Proteger pastas importantes com acesso controlado a pastasProtect important folders with controlled folder access

Aplica-se a:Applies to:

Deseja experimentar o Defender para Ponto de Extremidade?Want to experience Defender for Endpoint? Inscreva-se para uma avaliação gratuita.Sign up for a free trial.

O que é acesso controlado a pastas?What is controlled folder access?

O acesso controlado a pastas ajuda a proteger seus dados valiosos contra aplicativos mal-intencionados e ameaças, como ransomware.Controlled folder access helps protect your valuable data from malicious apps and threats, such as ransomware. O acesso controlado a pastas protege seus dados verificando aplicativos em uma lista de aplicativos conhecidos e confiáveis.Controlled folder access protects your data by checking apps against a list of known, trusted apps. Com suporte nos clientes Windows Server 2019 e Windows 10, o acesso controlado a pastas pode ser ligado usando o aplicativo Segurança do Windows, o Microsoft Endpoint Configuration Manager ou o Intune (para dispositivos gerenciados).Supported on Windows Server 2019 and Windows 10 clients, controlled folder access can be turned on using the Windows Security App, Microsoft Endpoint Configuration Manager, or Intune (for managed devices).

Observação

Os mecanismos de script não são confiáveis e você não pode permitir que eles acessem pastas protegidas controladas.Scripting engines are not trusted and you cannot allow them access to controlled protected folders. Por exemplo, o PowerShell não é confiável por acesso controlado a pastas, mesmo que você permita com indicadores de certificado e arquivo.For example, PowerShell is not trusted by controlled folder access, even if you allow with certificate and file indicators.

O acesso controlado a pastas funciona melhor com o Microsoft Defender para Pontode Extremidade , que fornece relatórios detalhados sobre eventos e blocos de acesso controlado a pastas como parte dos cenários de investigação de alertas usuais.Controlled folder access works best with Microsoft Defender for Endpoint, which gives you detailed reporting into controlled folder access events and blocks as part of the usual alert investigation scenarios.

Dica

Os blocos de acesso controlados a pastas não geram alertas na fila de alertas.Controlled folder access blocks don't generate alerts in the Alerts queue. No entanto, você pode exibir informações sobre blocos de acesso controlados a pastas no exibição de linha do tempo do dispositivo ,ao usar a busca avançada oucom regras de detecção personalizadas.However, you can view information about controlled folder access blocks in the device timeline view, while using advanced hunting, or with custom detection rules.

Como funciona o acesso controlado a pastas?How does controlled folder access work?

O acesso controlado a pastas funciona apenas permitindo que aplicativos confiáveis acessem pastas protegidas.Controlled folder access works by only allowing trusted apps to access protected folders. As pastas protegidas são especificadas quando o acesso controlado a pastas é configurado.Protected folders are specified when controlled folder access is configured. Normalmente, pastas comumente usadas, como as usadas para documentos, imagens, downloads e assim por diante, são incluídas na lista de pastas controladas.Typically, commonly used folders, such as those used for documents, pictures, downloads, and so on, are included in the list of controlled folders.

O acesso controlado a pastas funciona com uma lista de aplicativos confiáveis.Controlled folder access works with a list of trusted apps. Os aplicativos incluídos na lista de softwares confiáveis funcionam conforme o esperado.Apps that are included in the list of trusted software work as expected. Os aplicativos que não estão incluídos na lista são impedidos de fazer alterações nos arquivos dentro de pastas protegidas.Apps that are not included in the list are prevented from making any changes to files inside protected folders.

Os aplicativos são adicionados à lista com base em sua prevalência e reputação.Apps are added to the list based upon their prevalence and reputation. Aplicativos altamente predominantes em toda a sua organização e que nunca exibiram nenhum comportamento considerado mal-intencionado são considerados confiáveis.Apps that are highly prevalent throughout your organization and that have never displayed any behavior deemed malicious are considered trustworthy. Esses aplicativos são adicionados à lista automaticamente.Those apps are added to the list automatically.

Os aplicativos também podem ser adicionados manualmente à lista confiável usando o Configuration Manager ou o Intune.Apps can also be added manually to the trusted list by using Configuration Manager or Intune. Ações adicionais, como adicionar um indicador de arquivo para um aplicativo, podem ser executadas no Console da Central de Segurança.Additional actions, such as adding a file indicator for an app, can be performed from the Security Center Console.

Por que o acesso controlado a pastas é importanteWhy controlled folder access is important

O acesso controlado a pastas é especialmente útil para ajudar a proteger seus documentos e informações do ransomware.Controlled folder access is especially useful in helping to protect your documents and information from ransomware. Em um ataque de ransomware, seus arquivos podem ser criptografados e mantidos como reféns.In a ransomware attack, your files can get encrypted and held hostage. Com o acesso controlado a pastas no local, uma notificação é exibida no computador onde um aplicativo tentou fazer alterações em um arquivo em uma pasta protegida.With controlled folder access in place, a notification appears on the computer where an app attempted to make changes to a file in a protected folder. Você pode personalizar a notificação com os detalhes da empresa e informações de contato.You can customize the notification with your company details and contact information. Você também pode habilitar as regras individualmente para personalizar quais técnicas os monitores de recursos.You can also enable the rules individually to customize what techniques the feature monitors.

As pastas protegidas incluem pastas comuns do sistema (incluindo setores de inicialização) e você pode adicionar mais pastas.The protected folders include common system folders (including boot sectors), and you can add more folders. Você também pode permitir que os aplicativos lhes dêem acesso às pastas protegidas.You can also allow apps to give them access to the protected folders.

Você pode usar o modo de auditoria para avaliar como o acesso controlado a pastas afetaria sua organização se ele estivesse habilitado.You can use audit mode to evaluate how controlled folder access would impact your organization if it were enabled. Você também pode visitar o site Windows Defender local de teste no demo.wd.microsoft.com para confirmar se o recurso está funcionando e ver como ele funciona.You can also visit the Windows Defender Test ground website at demo.wd.microsoft.com to confirm the feature is working and see how it works.

O acesso controlado a pastas é suportado nas seguintes versões do Windows:Controlled folder access is supported on the following versions of Windows:

Windows do sistema são protegidas por padrãoWindows system folders are protected by default

Windows do sistema são protegidas por padrão, juntamente com várias outras pastas:Windows system folders are protected by default, along with several other folders:

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

Observação

Você pode configurar pastas adicionais como protegidas, mas não pode remover as pastas Windows do sistema protegidas por padrão.You can configure additional folders as protected, but you cannot remove the Windows system folders that are protected by default.

Requisitos para acesso controlado a pastasRequirements for controlled folder access

O acesso controlado a pastas requer Microsoft Defender Antivírus proteção em tempo real.Controlled folder access requires enabling Microsoft Defender Antivirus real-time protection.

Revisar eventos de acesso controlado a pastas no portal Microsoft 365 DefenderReview controlled folder access events in the Microsoft 365 Defender portal

O Defender for Endpoint fornece relatórios detalhados sobre eventos e blocos como parte de seus cenários de investigação de alerta no portal Microsoft 365 Defender.Defender for Endpoint provides detailed reporting into events and blocks as part of its alert investigation scenarios in the Microsoft 365 Defender portal. (Consulte Microsoft Defender for Endpoint in Microsoft 365 Defender.)(See Microsoft Defender for Endpoint in Microsoft 365 Defender.)

Você pode consultar dados do Microsoft Defender para o Ponto de Extremidade usando a busca avançada.You can query Microsoft Defender for Endpoint data by using Advanced hunting. Se você estiver usando o modo deauditoria, poderá usar a busca avançada para ver como as configurações de acesso controlado a pastas afetariam seu ambiente se elas fossem habilitadas.If you're using audit mode, you can use advanced hunting to see how controlled folder access settings would affect your environment if they were enabled.

Exemplo de consulta:Example query:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Revisar eventos de acesso controlado a pastas Windows Visualizador de EventosReview controlled folder access events in Windows Event Viewer

Você pode revisar o log Windows de eventos para ver eventos criados quando blocos de acesso controlados a pastas (ou auditorias) um aplicativo:You can review the Windows event log to see events that are created when controlled folder access blocks (or audits) an app:

  1. Baixe o Pacote de Avaliação e extraia o arquivo cfa-events.xml para um local facilmente acessível no dispositivo.Download the Evaluation Package and extract the file cfa-events.xml to an easily accessible location on the device.
  2. Digite Visualizador de eventos no menu Iniciar para abrir o Windows Visualizador de Eventos.Type Event viewer in the Start menu to open the Windows Event Viewer.
  3. No painel esquerdo, em Ações, selecione Importar exibição personalizada....On the left panel, under Actions, select Import custom view....
  4. Navegue até onde você extraiucfa-events.xml e selecione-o.Navigate to where you extracted cfa-events.xml and select it. Como alternativa, copie o XML diretamente.Alternatively, copy the XML directly.
  5. Selecione OK.Select OK.

A tabela a seguir mostra eventos relacionados ao acesso controlado a pastas:The following table shows events related to controlled folder access:

ID de eventoEvent ID DescriçãoDescription
50075007 Evento quando as configurações são alteradasEvent when settings are changed
11241124 Evento de acesso controlado a pastas auditadasAudited controlled folder access event
11231123 Evento de acesso controlado de pasta bloqueadoBlocked controlled folder access event

Exibir ou alterar a lista de pastas protegidasView or change the list of protected folders

Você pode usar o aplicativo Segurança do Windows para exibir a lista de pastas protegidas pelo acesso controlado a pastas.You can use the Windows Security app to view the list of folders that are protected by controlled folder access.

  1. Em seu Windows 10, abra o aplicativo Segurança do Windows.On your Windows 10 device, open the Windows Security app.
  2. Select Proteção contra vírus e ameaças.Select Virus & threat protection.
  3. Em Proteção contra ransomware, selecione Gerenciar proteção de ransomware.Under Ransomware protection, select Manage ransomware protection.
  4. Se o acesso controlado à pasta estiver desligado, você precisará au acessá-lo.If controlled folder access is turned off, you'll need to turn it on. Selecione pastas protegidas.Select protected folders.
  5. Faça o seguinte:Do one of the following steps:
    • Para adicionar uma pasta, selecione + Adicionar uma pasta protegida.To add a folder, select + Add a protected folder.
    • Para remover uma pasta, selecione-a e selecione Remover.To remove a folder, select it, and then select Remove.

Observação

Windows do sistema são protegidas por padrão e você não pode removê-las da lista.Windows system folders are protected by default, and you cannot remove them from the list.