Activer l’accès contrôlé aux dossiers

S’applique à :

Plateformes

  • Windows

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

L’accès contrôlé aux dossiers vous permet de protéger les données précieuses contre les applications malveillantes et les menaces, telles que les rançongiciels. L’accès contrôlé aux dossiers est inclus avec Windows 10, Windows 11 et Windows Server 2019. L’accès contrôlé aux dossiers est également inclus dans la solution unifiée moderne pour Windows Server 2012R2 et 2016.

Vous pouvez activer l’accès contrôlé aux dossiers à l’aide de l’une des méthodes suivantes :

Conseil

Essayez d’abord d’utiliser le mode audit pour voir comment fonctionne la fonctionnalité et passer en revue les événements sans affecter l’utilisation normale des appareils dans votre organisation.

Remarque

Si vous ajoutez des exclusions de l’Antivirus Microsoft Defender (processus ou chemin d’accès) pour le fichier binaire en question, l’accès contrôlé au dossier l’approuve et ne bloque pas le processus ou le chemin d’accès. Les paramètres de stratégie de groupe qui désactivent la fusion des listes d’administrateurs locaux remplacent les paramètres d’accès contrôlé aux dossiers. Ils remplacent également les dossiers protégés et les applications autorisées définies par l’administrateur local via un accès contrôlé aux dossiers. Ces stratégies sont les suivantes :

  • Antivirus Microsoft Defender Configurer le comportement de fusion de l’administrateur local pour les listes
  • System Center Endpoint Protection Autoriser les utilisateurs à ajouter des exclusions et des remplacements

Pour plus d’informations sur la désactivation de la fusion de listes locales, consultez Empêcher ou autoriser les utilisateurs à modifier localement les paramètres de stratégie de l’Antivirus Microsoft Defender.

Ouvrez l’application Sécurité Windows.

  1. Ouvrez l’application Sécurité Windows en sélectionnant l’icône de bouclier dans la barre des tâches. Vous pouvez également rechercher Sécurité Windows dans le menu Démarrer.

  2. Sélectionnez la vignette Protection contre les virus & contre les menaces (ou l’icône de bouclier dans la barre de menus de gauche), puis sélectionnez Protection contre les ransomwares.

  3. Définissez le commutateur Accès contrôlé aux dossiers sur Activé.

Remarque

  • Cette méthode n’est pas disponible sur Windows Server 2012 R2 ou Windows Server 2016. Si l’accès contrôlé aux dossiers est configuré avec une stratégie de groupe, PowerShell ou mdm CSP, l’état change dans l’application Sécurité Windows uniquement après le redémarrage de l’appareil. Si la fonctionnalité est définie sur Mode Audit avec l’un de ces outils, l’application Sécurité Windows affiche l’état Désactivé.

  • Si vous protégez les données de profil utilisateur, le profil utilisateur doit se trouver sur le lecteur d’installation Windows par défaut.

Microsoft Intune

  1. Connectez-vous au Centre d’administration Microsoft Intune et ouvrez Sécurité des points de terminaison.

  2. Accédez à Stratégie de réduction de la surface d’attaque>.

  3. Sélectionnez Plateforme, choisissez Windows 10, Windows 11 et Windows Server, puis sélectionnez le profil Règles de réduction de la surface d’attaque>Créer.

  4. Nommez la stratégie et ajoutez une description. Sélectionnez Suivant.

  5. Faites défiler vers le bas et, dans la liste déroulante Activer l’accès contrôlé aux dossiers , sélectionnez une option, telle que Mode Audit.

    Nous vous recommandons d’activer d’abord l’accès contrôlé aux dossiers en mode audit pour voir comment il fonctionnera dans votre organisation. Vous pouvez le définir sur un autre mode, par exemple Activé, ultérieurement.

  6. Pour ajouter éventuellement des dossiers qui doivent être protégés, sélectionnez Dossiers protégés par accès contrôlé aux dossiers, puis ajoutez des dossiers. Les fichiers de ces dossiers ne peuvent pas être modifiés ou supprimés par des applications non approuvées. Gardez à l’esprit que vos dossiers système par défaut sont automatiquement protégés. Vous pouvez afficher la liste des dossiers système par défaut dans l’application Sécurité Windows sur un appareil Windows. Pour en savoir plus sur ce paramètre, consultez Csp policy - Defender : ControlledFolderAccessProtectedFolders.

  7. Pour ajouter éventuellement des applications qui doivent être approuvées, sélectionnez Applications autorisées d’accès contrôlé aux dossiers , puis ajoutez les applications pouvant accéder aux dossiers protégés. Antivirus Microsoft Defender détermine automatiquement quelles applications doivent être approuvées. Utilisez uniquement ce paramètre pour spécifier des applications supplémentaires. Pour en savoir plus sur ce paramètre, consultez Fournisseur de services de configuration de stratégie - Defender : ControlledFolderAccessAllowedApplications.

  8. Sélectionnez les attributions de profil, attribuez à Tous les utilisateurs & Tous les appareils, puis sélectionnez Enregistrer.

  9. Sélectionnez Suivant pour enregistrer chaque panneau ouvert, puis Créer.

Remarque

Les caractères génériques sont pris en charge pour les applications, mais pas pour les dossiers. Les applications autorisées continuent de déclencher des événements jusqu’à ce qu’elles soient redémarrées.

Gestion des périphériques mobiles (GPM)

Utilisez le fournisseur de services de configuration ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders pour permettre aux applications d’apporter des modifications aux dossiers protégés.

Microsoft Configuration Manager

  1. Dans Microsoft Configuration Manager, accédez à Ressources et conformité>Endpoint Protection>Windows Defender Exploit Guard.

  2. Sélectionnez Accueil>Créer une stratégie Exploit Guard.

  3. Entrez un nom et une description, sélectionnez Accès contrôlé aux dossiers, puis sélectionnez Suivant.

  4. Choisissez de bloquer ou d’auditer les modifications, d’autoriser d’autres applications ou d’ajouter d’autres dossiers, puis sélectionnez Suivant.

    Remarque

    Le caractère générique est pris en charge pour les applications, mais pas pour les dossiers. Les applications autorisées continueront à déclencher des événements jusqu’à ce qu’elles soient redémarrées.

  5. Passez en revue les paramètres et sélectionnez Suivant pour créer la stratégie.

  6. Une fois la stratégie créée, fermez.

Stratégie de groupe

  1. Sur votre appareil de gestion des stratégies de groupe, ouvrez la console de gestion des stratégies de groupe, cliquez avec le bouton droit sur l’objet de stratégie de groupe que vous souhaitez configurer, puis sélectionnez Modifier.

  2. Dans l’Éditeur de gestion des stratégies de groupe, accédez à Configuration ordinateur, puis sélectionnez Modèles d’administration.

  3. Développez l’arborescence des composants > Windows Antivirus > Microsoft Defender Microsoft Defender Exploit Guard > Accès contrôlé aux dossiers.

  4. Double-cliquez sur le paramètre Configurer l’accès contrôlé aux dossiers et définissez l’option sur Activé. Dans la section options, vous devez spécifier l’une des options suivantes :

    • Activer : les applications malveillantes et suspectes ne sont pas autorisées à apporter des modifications aux fichiers dans des dossiers protégés. Une notification est fournie dans le journal des événements Windows.
    • Désactiver (par défaut) : la fonctionnalité d’accès contrôlé aux dossiers ne fonctionne pas. Toutes les applications peuvent apporter des modifications aux fichiers dans des dossiers protégés.
    • Mode Audit : les modifications sont autorisées si une application malveillante ou suspecte tente d’apporter une modification à un fichier dans un dossier protégé. Toutefois, il sera enregistré dans le journal des événements Windows, où vous pouvez évaluer l’impact sur votre organisation.
    • Bloquer la modification du disque uniquement : les tentatives d’écriture dans des secteurs de disque effectuées par des applications non approuvées sont consignées dans le journal des événements Windows. Ces journaux se trouvent dans Journaux >des applications et des services Microsoft > Windows > Defender > Operational > ID 1123.
    • Auditer la modification du disque uniquement : seules les tentatives d’écriture dans des secteurs de disque protégés sont enregistrées dans le journal des événements Windows (sousJournaux >des applications et des servicesMicrosoft >Windows>Defender>ID opérationnel>1124). Les tentatives de modification ou de suppression de fichiers dans des dossiers protégés ne seront pas enregistrées.

    Capture d’écran montrant l’option de stratégie de groupe activée et le mode Audit sélectionné.

Importante

Pour activer entièrement l’accès contrôlé aux dossiers, vous devez définir l’option Stratégie de groupe sur Activé et sélectionner Bloquer dans le menu déroulant des options.

PowerShell

  1. Tapez powershell dans le menu Démarrer, cliquez avec le bouton droit sur Windows PowerShell et sélectionnez Exécuter en tant qu’administrateur.

  2. Tapez l’applet de commande suivante :

    Set-MpPreference -EnableControlledFolderAccess Enabled
    

    Vous pouvez activer la fonctionnalité en mode audit en spécifiant AuditMode au lieu de Enabled. Utilisez Disabled pour désactiver la fonctionnalité.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.