Proteggere le cartelle importanti con l'accesso controllato alle cartelle

Si applica a:

Si applica a

  • Windows

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Che cos'è l'accesso controllato alle cartelle?

L'accesso controllato alle cartelle consente di proteggere i dati preziosi da app e minacce dannose, ad esempio ransomware. L'accesso controllato alle cartelle protegge i dati controllando le app da un elenco di app note e attendibili. Supportato in Windows Server 2019, Windows Server 2022, Windows 10 e Windows 11 client, l'accesso controllato alle cartelle può essere attivato tramite l'app Sicurezza di Windows, Microsoft Endpoint Configuration Manager o Intune (per i dispositivi gestiti).

Nota

I motori di scripting non sono attendibili e non è possibile consentire loro l'accesso alle cartelle protette controllate. Ad esempio, PowerShell non è considerato attendibile dall'accesso controllato alle cartelle, anche se è consentito con indicatori di certificato e file.

L'accesso controllato alle cartelle funziona meglio con Microsoft Defender per endpoint, che offre report dettagliati sugli eventi di accesso controllato alle cartelle e sui blocchi come parte dei consueti scenari di analisi degli avvisi.

Suggerimento

I blocchi di accesso controllato alle cartelle non generano avvisi nella coda Avvisi. È tuttavia possibile visualizzare informazioni sui blocchi di accesso controllato alle cartelle nella visualizzazione sequenza temporale del dispositivo, usando la ricerca avanzata o con regole di rilevamento personalizzate.

Come funziona l'accesso controllato alle cartelle?

L'accesso controllato alle cartelle funziona consentendo solo alle app attendibili di accedere alle cartelle protette. Le cartelle protette vengono specificate quando viene configurato l'accesso controllato alle cartelle. In genere, le cartelle di uso comune, ad esempio quelle usate per documenti, immagini, download e così via, sono incluse nell'elenco delle cartelle controllate.

L'accesso controllato alle cartelle funziona con un elenco di app attendibili. Le app incluse nell'elenco del software attendibile funzionano come previsto. Alle app che non sono incluse nell'elenco viene impedito di apportare modifiche ai file all'interno di cartelle protette.

Le app vengono aggiunte all'elenco in base alla loro prevalenza e reputazione. Le app che sono molto diffuse nell'intera organizzazione e che non hanno mai visualizzato alcun comportamento considerato dannoso sono considerate attendibili. Queste app vengono aggiunte automaticamente all'elenco.

Le app possono anche essere aggiunte manualmente all'elenco attendibile usando Configuration Manager o Intune. È possibile eseguire azioni aggiuntive dal portale di Microsoft 365 Defender.

Perché l'accesso controllato alle cartelle è importante

L'accesso controllato alle cartelle è particolarmente utile per proteggere i documenti e le informazioni dal ransomware. In un attacco ransomware, i file possono essere crittografati e tenuti in ostaggio. Con l'accesso controllato alle cartelle, viene visualizzata una notifica nel computer in cui un'app ha tentato di apportare modifiche a un file in una cartella protetta. È possibile personalizzare la notifica con i dettagli aziendali e le informazioni sul contatto. È anche possibile abilitare le regole singolarmente per personalizzare le tecniche monitorate dalla funzionalità.

Le cartelle protette includono cartelle di sistema comuni (inclusi i settori di avvio) ed è possibile aggiungere altre cartelle. È anche possibile consentire alle app di concedere loro l'accesso alle cartelle protette.

È possibile usare la modalità di controllo per valutare in che modo l'accesso controllato alle cartelle influirebbe sull'organizzazione se fosse abilitato. È anche possibile visitare il sito Web Windows Defender Test ground all'indirizzo demo.wd.microsoft.com per verificare che la funzionalità funzioni e vedere come funziona.

Nota

Il sito demo di Defender per endpoint demo.wd.microsoft.com è deprecato e sarà rimosso in futuro.

L'accesso controllato alle cartelle è supportato nelle versioni seguenti di Windows:

Windows cartelle di sistema sono protette per impostazione predefinita

Windows cartelle di sistema sono protette per impostazione predefinita, insieme a diverse altre cartelle:

Le cartelle protette includono cartelle di sistema comuni (inclusi i settori di avvio) ed è possibile aggiungere altre cartelle. È anche possibile consentire alle app di concedere loro l'accesso alle cartelle protette. Le cartelle di sistema Windows protette per impostazione predefinita sono:

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

Le cartelle predefinite vengono visualizzate nel profilo dell'utente, in Questo PC.

Cartelle di sistema protette Windows predefinite

Nota

È possibile configurare cartelle aggiuntive come protette, ma non è possibile rimuovere le cartelle di sistema Windows protette per impostazione predefinita.

Requisiti per l'accesso controllato alle cartelle

L'accesso controllato alle cartelle richiede l'abilitazione Antivirus Microsoft Defender protezione in tempo reale.

Esaminare gli eventi di accesso controllato alle cartelle nel portale di Microsoft 365 Defender

Defender per endpoint fornisce report dettagliati su eventi e blocchi nell'ambito degli scenari di analisi degli avvisi nel portale di Microsoft 365 Defender. Vedere Microsoft Defender per endpoint in Microsoft 365 Defender.

È possibile eseguire query sui dati Microsoft Defender per endpoint usando Ricerca avanzata. Se si usa la modalità di controllo, è possibile usare la ricerca avanzata per vedere in che modo le impostazioni di accesso controllato alle cartelle influiranno sull'ambiente se fossero abilitate.

Query di esempio:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Esaminare gli eventi di accesso controllato alle cartelle in Windows Visualizzatore eventi

È possibile esaminare il registro eventi Windows per visualizzare gli eventi creati quando l'accesso controllato alle cartelle blocca (o controlla) un'app:

  1. Scaricare il pacchetto di valutazione ed estrarre il file cfa-events.xml in una posizione facilmente accessibile nel dispositivo.
  2. Digitare Visualizzatore eventi nel menu Start per aprire il Windows Visualizzatore eventi.
  3. Nel pannello a sinistra, in Azioni, selezionare Importa visualizzazione personalizzata.
  4. Passare alla posizione in cui è stata estratta cfa-events.xml e selezionarla. In alternativa, copiare direttamente il codice XML.
  5. Selezionare OK.

La tabella seguente mostra gli eventi correlati all'accesso controllato alle cartelle:



ID evento Descrizione
5007 Evento quando vengono modificate le impostazioni
1124 Evento di accesso controllato alle cartelle controllato
1123 Evento di accesso controllato alle cartelle bloccato

Visualizzare o modificare l'elenco delle cartelle protette

È possibile usare l'app Sicurezza di Windows per visualizzare l'elenco delle cartelle protette dall'accesso controllato alle cartelle.

  1. Nel dispositivo Windows 10 o Windows 11 aprire l'app Sicurezza di Windows.
  2. Selezionare Protezione da virus e minacce.
  3. In Protezione ransomware selezionare Gestisci protezione ransomware.
  4. Se l'accesso controllato alle cartelle è disattivato, è necessario attivarlo. Selezionare cartelle protette.
  5. Eseguire uno dei seguenti passaggi:
    • Per aggiungere una cartella, selezionare + Aggiungi una cartella protetta.
    • Per rimuovere una cartella, selezionarla e quindi selezionare Rimuovi.

Nota

Windows cartelle di sistema sono protette per impostazione predefinita e non è possibile rimuoverle dall'elenco.