Partager via

Activer l’accès contrôlé aux dossiers

  • S’applique à: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender Antivirus

L’accès contrôlé aux dossiers vous permet de protéger les données précieuses contre les applications malveillantes et les menaces, telles que les rançongiciels. L’accès contrôlé aux dossiers est inclus dans Windows 10, Windows 11 et Windows Server 2019. L’accès contrôlé aux dossiers est également inclus dans la solution unifiée moderne pour Windows Server 2012R2 et 2016.

Vous pouvez activer l’accès contrôlé aux dossiers à l’aide de l’une des méthodes suivantes :

Conseil

Les exclusions ne fonctionnent pas si vous utilisez la protection contre la perte de données (DLP). Procédez comme suit pour examiner :

  1. Téléchargez et installez l’analyseur client Defender pour point de terminaison.
  2. Exécutez une trace pendant au moins cinq minutes.
  3. Dans le fichier de sortie obtenu MDEClientAnalyzerResult.zip , extrayez le contenu du EventLogs dossier et recherchez des instances de DLP EA dans les fichiers journaux disponibles .evtx .

Configuration requise

Systèmes d’exploitation pris en charge

Windows :

  1. Dans le centre d’administration Microsoft Intune à l’adresse https://intune.microsoft.com, accédez à Sécurité> des points de terminaisonGérer la> réduction de lasurface d’attaque. Ou, pour accéder directement à la sécurité du point de terminaison | Page Réduction de la surface d’attaque , utilisez https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/asr.

  2. Sous l’onglet Stratégies de la sécurité du point de terminaison | Page Réduction de la surface d’attaque , sélectionnez Créer une stratégie.

  3. Dans le menu volant Créer un profil qui s’ouvre, configurez les paramètres suivants :

    • Plateforme : sélectionnez Windows.
    • Profil : sélectionnez Règles de réduction de la surface d’attaque.

    Sélectionnez Créer.

  4. L’Assistant Création d’une stratégie s’ouvre. Sous l’onglet Informations de base , configurez les paramètres suivants :

    • Nom Entrez un nom unique et descriptif pour la stratégie.
    • Description : entrez une description facultative.

    Sélectionnez Suivant.

  5. Sous l’onglet Paramètres de configuration , faites défiler jusqu’à la section Activer l’accès contrôlé aux dossiers et configurez les paramètres suivants :

    • Dans la zone non configurée, sélectionnez Mode audit.

      Nous vous recommandons d’activer d’abord l’accès contrôlé aux dossiers en mode audit pour voir comment il fonctionne dans votre organization. Vous pouvez le définir sur un autre mode, par exemple Activé, ultérieurement.

    • Dossiers protégés avec accès contrôlé aux dossiers : ajoutez éventuellement des dossiers protégés. Les fichiers de ces dossiers ne peuvent pas être modifiés ou supprimés par des applications non approuvées. Les dossiers système par défaut sont automatiquement protégés. Vous pouvez afficher la liste des dossiers système par défaut dans l’application Sécurité Windows sur un appareil Windows. Pour en savoir plus sur ce paramètre, consultez Csp policy - Defender : ControlledFolderAccessProtectedFolders.

    • Accès contrôlé aux dossiers Applications autorisées : ajoutez éventuellement des applications approuvées pour accéder aux dossiers protégés. Microsoft Defender Antivirus détermine automatiquement les applications approuvées. Utilisez uniquement ce paramètre pour spécifier d’autres applications. Pour en savoir plus sur ce paramètre, consultez Fournisseur de services de configuration de stratégie - Defender : ControlledFolderAccessAllowedApplications.

    Lorsque vous avez terminé d’accéder à l’onglet Paramètres de configuration , sélectionnez Suivant.

  6. Sous l’onglet Balises d’étendue , la balise d’étendue nommée Default est sélectionnée par défaut, mais vous pouvez la supprimer et sélectionner d’autres balises d’étendue existantes. Lorsque vous avez terminé, cliquez sur Suivant.

  7. Sous l’onglet Affectations , cliquez dans la zone, sélectionnez Tous les utilisateurs, cliquez à nouveau dans la zone, puis sélectionnez Tous les appareils. Vérifiez que la valeur Type de cible est Include pour les deux, puis sélectionnez Suivant.

  8. Sous l’onglet Vérifier + créer , vérifiez les paramètres, puis sélectionnez Enregistrer.

Remarque

Les caractères génériques sont pris en charge pour les applications, mais pas pour les dossiers. Les applications autorisées continuent de déclencher des événements jusqu’à ce qu’elles soient redémarrées.

Gestion des périphériques mobiles (GPM)

Utilisez le fournisseur de services de configuration ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders pour permettre aux applications d’apporter des modifications aux dossiers protégés.

Microsoft Configuration Manager

  1. Dans Microsoft Configuration Manager, accédez à Ressources et conformité>Endpoint Protection>Windows Defender Exploit Guard.

  2. Sélectionnez Accueil>Créer une stratégie Exploit Guard.

  3. Entrez un nom et une description, sélectionnez Accès contrôlé aux dossiers, puis sélectionnez Suivant.

  4. Choisissez de bloquer ou d’auditer les modifications, d’autoriser d’autres applications ou d’ajouter d’autres dossiers, puis sélectionnez Suivant.

    Remarque

    Le caractère générique est pris en charge pour les applications, mais pas pour les dossiers. Les applications autorisées continuent de déclencher des événements jusqu’à ce qu’elles soient redémarrées.

  5. Passez en revue les paramètres et sélectionnez Suivant pour créer la stratégie.

  6. Une fois la stratégie créée, fermez.

Pour plus d’informations sur Microsoft Configuration Manager et l’accès contrôlé aux dossiers, consultez Stratégies et options d’accès contrôlé aux dossiers.

Stratégie de groupe

  1. Sur votre appareil de gestion stratégie de groupe, ouvrez la console de gestion stratégie de groupe. Cliquez avec le bouton droit sur l’objet stratégie de groupe que vous souhaitez configurer, puis sélectionnez Modifier.

  2. Dans l’Éditeur de gestion des stratégies de groupe, accédez à Configuration ordinateur, puis sélectionnez Modèles d’administration.

  3. Développez l’arborescence composants > Windows Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Accès contrôlé aux dossiers.

  4. Double-cliquez sur le paramètre Configurer l’accès contrôlé aux dossiers et définissez l’option sur Activé. Dans la section options, vous devez spécifier l’une des options suivantes :

    • Activer : les applications malveillantes et suspectes ne sont pas autorisées à apporter des modifications aux fichiers dans des dossiers protégés. Une notification est fournie dans le journal des événements Windows.
    • Désactiver (par défaut) : la fonctionnalité d’accès contrôlé aux dossiers ne fonctionne pas. Toutes les applications peuvent apporter des modifications aux fichiers dans des dossiers protégés.
    • Mode Audit : les modifications sont autorisées si une application malveillante ou suspecte tente d’apporter une modification à un fichier dans un dossier protégé. Toutefois, il est enregistré dans le journal des événements Windows, où vous pouvez évaluer l’impact sur votre organization.
    • Bloquer la modification du disque uniquement : les tentatives d’écriture dans des secteurs de disque effectuées par des applications non approuvées sont consignées dans le journal des événements Windows. Ces journaux se trouvent dans Journaux >des applications et des services Microsoft > Windows > Defender > Operational > ID 1123.
    • Auditer la modification du disque uniquement : seules les tentatives d’écriture dans des secteurs de disque protégés sont enregistrées dans le journal des événements Windows (sousJournaux >des applications et des servicesMicrosoft >Windows>Defender>ID opérationnel>1124). Les tentatives de modification ou de suppression de fichiers dans des dossiers protégés ne seront pas enregistrées.

    Capture d’écran montrant l’option de stratégie de groupe activée et le mode Audit sélectionné.

Importante

Pour activer entièrement l’accès contrôlé aux dossiers, vous devez définir l’option stratégie de groupe sur Activé et sélectionner Bloquer dans le menu déroulant des options.

PowerShell

  1. Tapez powershell dans le menu Démarrer, cliquez avec le bouton droit sur Windows PowerShell et sélectionnez Exécuter en tant qu’administrateur.

  2. Exécutez la commande suivante :

    Set-MpPreference -EnableControlledFolderAccess Enabled

    Vous pouvez activer la fonctionnalité en mode audit en spécifiant AuditMode au lieu de Enabled. Utilisez Disabled pour désactiver la fonctionnalité.

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez EnableControlFolderAccess.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.

  • Last updated on