Proteggere le cartelle importanti con l'accesso controllato alle cartelleProtect important folders with controlled folder access

Si applica a:Applies to:

Vuoi provare Defender per Endpoint?Want to experience Defender for Endpoint? Iscriversi per una versione di valutazione gratuita.Sign up for a free trial.

Che cos'è l'accesso controllato alle cartelle?What is controlled folder access?

L'accesso controllato alle cartelle consente di proteggere i dati importanti da app e minacce dannose, ad esempio ransomware.Controlled folder access helps protect your valuable data from malicious apps and threats, such as ransomware. L'accesso controllato alle cartelle protegge i dati controllando le app da un elenco di app note e attendibili.Controlled folder access protects your data by checking apps against a list of known, trusted apps. Supportato nei client Windows Server 2019 e Windows 10, l'accesso controllato alle cartelle può essere attivato tramite l'app Sicurezza di Windows, Microsoft Endpoint Configuration Manager o Intune (per i dispositivi gestiti).Supported on Windows Server 2019 and Windows 10 clients, controlled folder access can be turned on using the Windows Security App, Microsoft Endpoint Configuration Manager, or Intune (for managed devices).

Nota

I motori di script non sono attendibili e non è possibile consentire loro l'accesso alle cartelle protette controllate.Scripting engines are not trusted and you cannot allow them access to controlled protected folders. Ad esempio, PowerShell non è considerato attendibile dall'accesso controllato alle cartelle, anche se si consente con indicatori di file e certificati.For example, PowerShell is not trusted by controlled folder access, even if you allow with certificate and file indicators.

L'accesso controllato alle cartelle funziona meglio con Microsoft Defender for Endpoint,che fornisce report dettagliati sugli eventi di accesso controllato alle cartelle e sui blocchi nell'ambito dei soliti scenari di analisi degli avvisi.Controlled folder access works best with Microsoft Defender for Endpoint, which gives you detailed reporting into controlled folder access events and blocks as part of the usual alert investigation scenarios.

Suggerimento

I blocchi di accesso controllato alle cartelle non generano avvisi nella coda avvisi.Controlled folder access blocks don't generate alerts in the Alerts queue. Tuttavia, puoi visualizzare le informazioni sui blocchi di accesso controllato alle cartelle nella visualizzazione sequenza temporale del dispositivo,usando la ricerca avanzata ocon regole di rilevamento personalizzate.However, you can view information about controlled folder access blocks in the device timeline view, while using advanced hunting, or with custom detection rules.

Come funziona l'accesso controllato alle cartelle?How does controlled folder access work?

L'accesso controllato alle cartelle funziona consentendo solo alle app attendibili di accedere alle cartelle protette.Controlled folder access works by only allowing trusted apps to access protected folders. Le cartelle protette vengono specificate quando viene configurato l'accesso controllato alle cartelle.Protected folders are specified when controlled folder access is configured. In genere, le cartelle di uso comune, ad esempio quelle utilizzate per documenti, immagini, download e così via, sono incluse nell'elenco delle cartelle controllate.Typically, commonly used folders, such as those used for documents, pictures, downloads, and so on, are included in the list of controlled folders.

L'accesso controllato alle cartelle funziona con un elenco di app attendibili.Controlled folder access works with a list of trusted apps. Le app incluse nell'elenco del software attendibile funzionano come previsto.Apps that are included in the list of trusted software work as expected. Alle app non incluse nell'elenco non viene impedito di apportare modifiche ai file all'interno delle cartelle protette.Apps that are not included in the list are prevented from making any changes to files inside protected folders.

Le app vengono aggiunte all'elenco in base alla loro diffusione e reputazione.Apps are added to the list based upon their prevalence and reputation. Le app altamente diffuse in tutta l'organizzazione e che non hanno mai visualizzato alcun comportamento ritenuto dannoso sono considerate attendibili.Apps that are highly prevalent throughout your organization and that have never displayed any behavior deemed malicious are considered trustworthy. Tali app vengono aggiunte automaticamente all'elenco.Those apps are added to the list automatically.

Le app possono anche essere aggiunte manualmente all'elenco attendibile tramite Configuration Manager o Intune.Apps can also be added manually to the trusted list by using Configuration Manager or Intune. Altre azioni, ad esempio l'aggiunta di un indicatore di file per un'app, possono essere eseguite dalla console del Centro sicurezza.Additional actions, such as adding a file indicator for an app, can be performed from the Security Center Console.

Perché l'accesso controllato alle cartelle è importanteWhy controlled folder access is important

L'accesso controllato alle cartelle è particolarmente utile per proteggere i documenti e le informazioni da ransomware.Controlled folder access is especially useful in helping to protect your documents and information from ransomware. In un attacco ransomware, i file possono essere crittografati e tenuti in ostaggio.In a ransomware attack, your files can get encrypted and held hostage. Con l'accesso controllato alle cartelle, viene visualizzata una notifica nel computer in cui un'app ha tentato di apportare modifiche a un file in una cartella protetta.With controlled folder access in place, a notification appears on the computer where an app attempted to make changes to a file in a protected folder. Puoi personalizzare la notifica con i dettagli dell'azienda e le informazioni di contatto.You can customize the notification with your company details and contact information. È inoltre possibile abilitare le regole singolarmente per personalizzare le tecniche monitorate dalla funzionalità.You can also enable the rules individually to customize what techniques the feature monitors.

Le cartelle protette includono cartelle di sistema comuni (inclusi i settori di avvio) ed è possibile aggiungere altre cartelle.The protected folders include common system folders (including boot sectors), and you can add more folders. Puoi anche consentire alle app di concedere loro l'accesso alle cartelle protette.You can also allow apps to give them access to the protected folders.

È possibile utilizzare la modalità di controllo per valutare l'impatto dell'accesso controllato alle cartelle nell'organizzazione se fosse abilitato.You can use audit mode to evaluate how controlled folder access would impact your organization if it were enabled. È inoltre possibile visitare il sito Web Windows Defender test di base all'indirizzo demo.wd.microsoft.com per verificare che la funzionalità funzioni e vedere come funziona.You can also visit the Windows Defender Test ground website at demo.wd.microsoft.com to confirm the feature is working and see how it works.

L'accesso controllato alle cartelle è supportato nelle seguenti versioni di Windows:Controlled folder access is supported on the following versions of Windows:

Windows cartelle di sistema sono protette per impostazione predefinitaWindows system folders are protected by default

Windows cartelle di sistema sono protette per impostazione predefinita, insieme a diverse altre cartelle:Windows system folders are protected by default, along with several other folders:

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

Nota

È possibile configurare cartelle aggiuntive come protette, ma non è possibile rimuovere Windows di sistema protette per impostazione predefinita.You can configure additional folders as protected, but you cannot remove the Windows system folders that are protected by default.

Requisiti per l'accesso controllato alle cartelleRequirements for controlled folder access

L'accesso controllato alle cartelle richiede Antivirus Microsoft Defender protezione in tempo reale.Controlled folder access requires enabling Microsoft Defender Antivirus real-time protection.

Esaminare gli eventi di accesso controllato alle cartelle nel portale Microsoft 365 DefenderReview controlled folder access events in the Microsoft 365 Defender portal

Defender for Endpoint fornisce report dettagliati su eventi e blocchi nell'ambito degli scenari di analisi degli avvisi nel portale Microsoft 365 Defender.Defender for Endpoint provides detailed reporting into events and blocks as part of its alert investigation scenarios in the Microsoft 365 Defender portal. (Vedi Microsoft Defender per Endpoint in Microsoft 365 Defender.)(See Microsoft Defender for Endpoint in Microsoft 365 Defender.)

Puoi eseguire una query su Microsoft Defender per i dati dell'endpoint usando Ricerca avanzata.You can query Microsoft Defender for Endpoint data by using Advanced hunting. Se usi la modalità dicontrollo, puoi usare la ricerca avanzata per vedere in che modo le impostazioni di accesso controllato alle cartelle influirebbero sull'ambiente se fossero abilitate. If you're using audit mode, you can use advanced hunting to see how controlled folder access settings would affect your environment if they were enabled.

Query di esempio:Example query:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Esaminare gli eventi di accesso controllato alle cartelle nel Visualizzatore Windows eventiReview controlled folder access events in Windows Event Viewer

Puoi esaminare il registro Windows eventi per visualizzare gli eventi che vengono creati quando un'app controlla o blocca l'accesso controllato alle cartelle:You can review the Windows event log to see events that are created when controlled folder access blocks (or audits) an app:You can review the Windows event log to see events that are created when controlled folder access blocks (or audits) an app:

  1. Scarica il pacchetto di valutazione ed estrai il file cfa-events.xml in un percorso facilmente accessibile nel dispositivo.Download the Evaluation Package and extract the file cfa-events.xml to an easily accessible location on the device.
  2. Digita Visualizzatore eventi nel menu Start per aprire il Visualizzatore Windows eventi.Type Event viewer in the Start menu to open the Windows Event Viewer.
  3. Nel riquadro sinistro, in Azioni, selezionare Importa visualizzazione personalizzata....On the left panel, under Actions, select Import custom view....
  4. Passare al punto in cui è stato cfa-events.xml e selezionarlo.Navigate to where you extracted cfa-events.xml and select it. In alternativa, copiare il codice XML direttamente.Alternatively, copy the XML directly.
  5. Selezionare OK.Select OK.

La tabella seguente mostra gli eventi correlati all'accesso controllato alle cartelle:The following table shows events related to controlled folder access:

ID eventoEvent ID DescrizioneDescription
50075007 Evento quando vengono modificate le impostazioniEvent when settings are changed
11241124 Evento di accesso controllato alle cartelle controllatoAudited controlled folder access event
11231123 Evento di accesso controllato alla cartella bloccatoBlocked controlled folder access event

Visualizzare o modificare l'elenco delle cartelle protetteView or change the list of protected folders

Puoi usare l'app Sicurezza di Windows per visualizzare l'elenco delle cartelle protette dall'accesso controllato alle cartelle.You can use the Windows Security app to view the list of folders that are protected by controlled folder access.

  1. Nel dispositivo Windows 10, apri l'app Sicurezza di Windows app.On your Windows 10 device, open the Windows Security app.
  2. Selezionare Protezione da virus e minacce.Select Virus & threat protection.
  3. In Protezione ransomware seleziona Gestisci protezione ransomware.Under Ransomware protection, select Manage ransomware protection.
  4. Se l'accesso controllato alle cartelle è disattivato, è necessario attivarlo.If controlled folder access is turned off, you'll need to turn it on. Selezionare cartelle protette.Select protected folders.
  5. Esegui uno dei seguenti passaggi:Do one of the following steps:
    • Per aggiungere una cartella, selezionare + Aggiungi una cartella protetta.To add a folder, select + Add a protected folder.
    • Per rimuovere una cartella, selezionarla e quindi selezionare Rimuovi.To remove a folder, select it, and then select Remove.

Nota

Windows cartelle di sistema sono protette per impostazione predefinita e non è possibile rimuoverle dall'elenco.Windows system folders are protected by default, and you cannot remove them from the list.