Évaluer l’accès contrôlé aux dossiers

S'applique à:

L' accès contrôlé aux dossiers est une fonctionnalité qui permet de protéger vos documents et fichiers contre toute modification par des applications suspectes ou malveillantes. L’accès contrôlé aux dossiers est pris en charge sur les clients Windows Server 2019 et Windows 10.

Elle est particulièrement utile pour protéger vos documents et informations des ransomware qui peuvent essayer de chiffrer vos fichiers afin de les prendre en otage.

Cette rubrique vous aide à évaluer l’accès contrôlé aux dossiers. Cet article explique comment activer le mode d’audit pour tester la fonctionnalité directement dans votre organisation.

Conseil

Vous pouvez également consulter le site web WindowsDefenderTestground à l’adresse demo.wd.microsoft.com pour vérifier que la fonctionnalité fonctionne bien et voir comment elle fonctionne.

Utiliser le mode audit pour mesurer l’impact

Vous pouvez activer la fonctionnalité d’accès contrôlé aux dossiers en mode d’audit. Cela vous permet d’afficher un enregistrement de ce qui se passerait si le paramètre était activé.

Cela peut être utile pour tester comment la fonctionnalité opérera dans votre organisation. Vous pouvez ainsi vous assurer qu’elle n’affecte pas vos applications métier et avoir une idée du nombre de tentatives de modification de fichiers suspectes durant une période donnée.

Pour activer le mode audit, utilisez l’applet de commande PowerShell suivante:

Set-MpPreference -EnableControlledFolderAccess AuditMode

Conseil

Si vous souhaitez effectuer un audit complet du fonctionnement de l’accès aux dossiers contrôlés dans votre organisation, vous devez utiliser un outil de gestion pour déployer ce paramètre sur les ordinateurs de votre réseau. Vous pouvez également utiliser une stratégie de groupe, Intune, GPM ou System Center Configuration Manager pour configurer et déployer le paramètre, comme décrit dans la rubrique accès au dossier contrôléprincipal.

Examiner les événements d’accès aux dossiers contrôlés dans l’observateur d’événements Windows

Les événements d’accès aux dossiers contrôlés suivants apparaissent dans l’observateur d’événements Windows sous Microsoft/Windows/Windows Defender/opérationnel.

ID d’événement Description
5007 Événement lors de la modification des paramètres
1124 Événement d’accès à un dossier contrôlé audité
1123 Événement d’accès aux dossiers contrôlés bloqués

Personnaliser les dossiers protégés et les applications

Lors de votre évaluation, il se peut que vous soyez amené à ajouter des dossiers à la liste des dossiers protégés, ou à autoriser certaines applications à modifier les fichiers.

Pour configurer la fonctionnalité à l’aide d’outils de gestion, notamment la stratégie de groupe, PowerShell et les fournisseurs de services de cryptographie GPM, voir protéger les dossiers importants avec un accès contrôlé aux dossiers.

Rubriques associées