Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
¿Qué es el acceso controlado a carpetas?
El acceso controlado a carpetas ayuda a proteger los datos valiosos de aplicaciones y amenazas malintencionadas, como ransomware. El acceso controlado a carpetas protege los datos comprobando las aplicaciones con una lista de aplicaciones conocidas de confianza. El acceso controlado a carpetas se puede configurar mediante Microsoft Defender para punto de conexión Administración de la configuración de seguridad, Microsoft Intune, Microsoft Endpoint Configuration Manager o la aplicación de Seguridad de Windows.
El acceso controlado a carpetas funciona mejor con Microsoft Defender para punto de conexión, lo que proporciona informes detallados sobre eventos y bloques de acceso controlados a carpetas como parte de los escenarios habituales de investigación de alertas.
Sugerencia
Los bloques de acceso controlados a carpetas no generan alertas en la cola de alertas. Sin embargo, puede ver información sobre los bloques de acceso controlados a carpetas en la vista de escala de tiempo del dispositivo, mientras se usa la búsqueda avanzada o con reglas de detección personalizadas.
Requisitos previos
El acceso controlado a carpetas requiere:
Microsoft Defender Antivirus para que sea el antivirus principal (modo activo).
Real-Time Protection (RTP) debe estar activado.
Sistemas operativos admitidos
- Windows
- Windows 11
- Windows 10
- Sistema operativo de Azure Stack HCI, versión 23H2 y posteriores.
- Windows Server 2016 y versiones posteriores
- Windows Server 2012 R2
¿Cómo funciona el acceso controlado a carpetas?
El acceso controlado a carpetas solo funciona al permitir que las aplicaciones de confianza accedan a carpetas protegidas. Las carpetas protegidas se especifican cuando se configura el acceso controlado a carpetas. Normalmente, las carpetas que se usan normalmente, como las que se usan para documentos, imágenes, descargas, etc., se incluyen en la lista de carpetas controladas.
El acceso controlado a carpetas funciona con una lista de aplicaciones de confianza. Las aplicaciones que se incluyen en la lista de software de confianza funcionan según lo esperado. Se impide que las aplicaciones que no se incluyen en la lista realicen cambios en los archivos dentro de carpetas protegidas.
Las aplicaciones se agregan a la lista en función de su prevalencia y reputación. Las aplicaciones que son muy frecuentes en toda la organización y que nunca han mostrado ningún comportamiento considerado malintencionado se consideran de confianza. Esas aplicaciones se agregan automáticamente a la lista.
Las aplicaciones también se pueden agregar manualmente a la lista de confianza mediante Configuration Manager o Intune. Otras acciones se pueden realizar en el portal de Microsoft Defender.
Por qué es importante el acceso controlado a carpetas
El acceso controlado a carpetas es especialmente útil para ayudar a proteger sus documentos e información frente a ransomware. En un ataque de ransomware, sus archivos se pueden cifrar y mantener como rehén. Con el acceso controlado a carpetas en su lugar, aparece una notificación en el equipo donde una aplicación intentó realizar cambios en un archivo en una carpeta protegida. Puede personalizar la notificación con los detalles de la empresa y la información de contacto. También puede habilitar las reglas individualmente para personalizar las técnicas que supervisan las características.
Las carpetas protegidas incluyen carpetas comunes del sistema (incluidos los sectores de arranque) y puede agregar más carpetas. También puede permitir que las aplicaciones les concedan acceso a las carpetas protegidas.
Puede usar el modo de auditoría para evaluar cómo afectaría el acceso controlado a la carpeta a su organización si estuviera habilitado.
Las carpetas del sistema de Windows están protegidas de forma predeterminada
Las carpetas del sistema de Windows están protegidas de forma predeterminada, junto con otras carpetas:
Las carpetas protegidas incluyen carpetas comunes del sistema (incluidos los sectores de arranque) y puede agregar otras carpetas. También puede permitir que las aplicaciones les concedan acceso a las carpetas protegidas. Las carpetas de sistemas Windows que están protegidas de forma predeterminada son:
c:\Users\<username>\Documentsc:\Users\Public\Documentsc:\Users\<username>\Picturesc:\Users\Public\Picturesc:\Users\Public\Videosc:\Users\<username>\Videosc:\Users\<username>\Musicc:\Users\Public\Musicc:\Users\<username>\Favorites
Las carpetas predeterminadas aparecen en el perfil del usuario, en Este equipo, como se muestra en la siguiente imagen:
Las mismas carpetas de perfil también están protegidas para las cuentas del sistema, como LocalService, NetworkService, systemprofile, etc. Por ejemplo, C:\Windows\System32\config\systemprofile\Documents también está protegido (si existe).
Nota:
Puede configurar más carpetas como protegidas, pero no puede quitar las carpetas del sistema de Windows protegidas de forma predeterminada.
Nota:
Los motores de scripting como PowerShell no son de confianza mediante el acceso controlado a carpetas, incluso si crea un indicador de "permitir" mediante indicadores de certificado y archivo. La única manera de permitir que los motores de script modifiquen carpetas protegidas es agregarlas como una aplicación permitida. Consulte Permitir que aplicaciones específicas realicen cambios en carpetas controladas.
Revisión de eventos de acceso controlado a carpetas en el portal de Microsoft Defender
Sugerencia
Los bloques de acceso controlados a carpetas no generan alertas en la cola de alertas. Sin embargo, puede ver información sobre los bloques de acceso controlados a carpetas en la vista de escala de tiempo del dispositivo, mientras se usa la búsqueda avanzada o con reglas de detección personalizadas.
Defender para punto de conexión proporciona informes detallados sobre eventos y bloques como parte de sus escenarios de investigación de alertas en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Defender para punto de conexión en Microsoft Defender XDR.
Puede consultar Microsoft Defender para punto de conexión datos mediante la búsqueda avanzada. Si usa el modo de auditoría, puede usar la búsqueda avanzada para ver cómo afectaría a su entorno la configuración de acceso controlado a carpetas si estuvieran habilitadas.
Consulta de ejemplo:
DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
Revisar eventos de acceso controlado a carpetas en Windows Visor de eventos
Puede revisar el registro de eventos de Windows para ver los eventos que se crean cuando se controla el acceso a carpetas bloquea (o audita) una aplicación:
Descargue el paquete de evaluación y extraiga el archivo cfa-events.xml en una ubicación de fácil acceso en el dispositivo.
Escriba Visor de eventos en el menú Inicio para abrir el Visor de eventos de Windows.
En el panel izquierdo, en Acciones, seleccione Importar vista personalizada....
Vaya al lugar donde extrajo cfa-events.xml y selecciónelo. Como alternativa, copie el XML directamente.
Seleccione Aceptar.
En la tabla siguiente se muestran eventos relacionados con el acceso controlado a carpetas:
Id. de evento Descripción 5007Evento cuando se cambia la configuración 1124Evento de acceso a carpetas controladas auditadas 1123Evento de acceso a carpetas controladas bloqueadas 1127Evento de bloque de escritura del sector de acceso a carpetas controlado bloqueado 1128Evento de bloque de escritura del sector de acceso a carpetas controlado auditado
Experiencia de acceso controlado a carpetas
Un usuario intenta instalar una aplicación que desencadena el acceso controlado a carpetas, si el software o la aplicación tienen una reputación desconocida, una notificación del sistema presenta al usuario lo siguiente:
Virus & threat protection
Unauthorized changes blocked
Controlled folder access blocked C:\...
\ApplicationName... from making changes to memory.
Y en el historial de protección, verá lo siguiente:
Protected memory access blocked
MM/DD/YEAR HH:MM AM/PM
Ver o cambiar la lista de carpetas protegidas
Puede usar la aplicación Seguridad de Windows para ver la lista de carpetas protegidas por el acceso controlado a carpetas.
En el dispositivo Windows 10 o Windows 11, abra la aplicación Seguridad de Windows.
Seleccione Protección antivirus y contra amenazas.
En Protección contra ransomware, seleccione Administrar protección contra ransomware.
Si el acceso controlado a carpetas está desactivado, debe activarlo. Seleccione carpetas protegidas.
Realice uno de los pasos siguientes:
- Para agregar una carpeta, seleccione + Agregar una carpeta protegida.
- Para quitar una carpeta, selecciónela y, a continuación, seleccione Quitar.
Importante
No agregue rutas de acceso de recurso compartido local (bucle invertido) como carpetas protegidas. En su lugar, use la ruta de acceso local. Por ejemplo, si ha compartido
C:\democomo\\mycomputer\demo, no agregue\\mycomputer\demoa la lista de carpetas protegidas. En su lugar, agregueC:\demo.
Las carpetas del sistema de Windows están protegidas de forma predeterminada y no se pueden quitar de la lista. Las subcarpetas también se incluyen en la protección al agregar una nueva carpeta a la lista.
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.