Proteggere le cartelle importanti con l'accesso controllato alle cartelle
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
- Antivirus Microsoft Defender
Si applica a
- Windows
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Che cos'è l'accesso controllato alle cartelle?
L'accesso controllato alle cartelle consente di proteggere i dati preziosi da app e minacce dannose, ad esempio ransomware. L'accesso controllato alle cartelle protegge i dati controllando le app da un elenco di app note e attendibili. L'accesso controllato alle cartelle può essere configurato usando l'app Sicurezza di Windows, microsoft endpoint Configuration Manager o Intune (per i dispositivi gestiti). L'accesso controllato alle cartelle è supportato in Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 e Windows 11,
Nota
I motori di scripting non sono attendibili e non è possibile consentire loro l'accesso alle cartelle protette controllate. Ad esempio, PowerShell non è considerato attendibile dall'accesso controllato alle cartelle, anche se è consentito con indicatori di certificato e file.
L'accesso controllato alle cartelle funziona meglio con Microsoft Defender per endpoint, che offre report dettagliati sugli eventi di accesso controllato alle cartelle e sui blocchi come parte dei consueti scenari di analisi degli avvisi.
Consiglio
I blocchi di accesso controllato alle cartelle non generano avvisi nella coda Avvisi. Tuttavia, è possibile visualizzare le informazioni sui blocchi di accesso controllato alle cartelle nella visualizzazione sequenza temporale del dispositivo, usando la ricerca avanzata o con regole di rilevamento personalizzate.
Come funziona l'accesso controllato alle cartelle?
L'accesso controllato alle cartelle funziona solo consentendo alle app attendibili di accedere alle cartelle protette. Le cartelle protette vengono specificate quando viene configurato l'accesso controllato alle cartelle. In genere, le cartelle di uso comune, ad esempio quelle usate per documenti, immagini, download e così via, sono incluse nell'elenco delle cartelle controllate.
L'accesso controllato alle cartelle funziona con un elenco di app attendibili. Le app incluse nell'elenco del software attendibile funzionano come previsto. Alle app che non sono incluse nell'elenco viene impedito di apportare modifiche ai file all'interno di cartelle protette.
Le app vengono aggiunte all'elenco in base alla loro prevalenza e reputazione. Le app che sono molto diffuse nell'intera organizzazione e che non hanno mai visualizzato alcun comportamento considerato dannoso sono considerate attendibili. Queste app vengono aggiunte automaticamente all'elenco.
Le app possono anche essere aggiunte manualmente all'elenco attendibile usando Configuration Manager o Intune. È possibile eseguire azioni aggiuntive dal portale di Microsoft Defender.
Perché l'accesso controllato alle cartelle è importante
L'accesso controllato alle cartelle è particolarmente utile per proteggere i documenti e le informazioni dal ransomware. In un attacco ransomware, i file possono essere crittografati e tenuti in ostaggio. Con l'accesso controllato alle cartelle, viene visualizzata una notifica nel computer in cui un'app ha tentato di apportare modifiche a un file in una cartella protetta. È possibile personalizzare la notifica con i dettagli aziendali e le informazioni sul contatto. È anche possibile abilitare le regole singolarmente per personalizzare le tecniche monitorate dalla funzionalità.
Le cartelle protette includono cartelle di sistema comuni (inclusi i settori di avvio) ed è possibile aggiungere altre cartelle. È anche possibile consentire alle app di concedere loro l'accesso alle cartelle protette.
È possibile usare la modalità di controllo per valutare in che modo l'accesso controllato alle cartelle influirebbe sull'organizzazione se fosse abilitato.
Le cartelle di sistema di Windows sono protette per impostazione predefinita
Le cartelle di sistema di Windows sono protette per impostazione predefinita, insieme a diverse altre cartelle:
Le cartelle protette includono cartelle di sistema comuni (inclusi i settori di avvio) ed è possibile aggiungere altre cartelle. È anche possibile consentire alle app di concedere loro l'accesso alle cartelle protette. Le cartelle dei sistemi Windows protette per impostazione predefinita sono:
c:\Users\<username>\Documents
c:\Users\Public\Documents
c:\Users\<username>\Pictures
c:\Users\Public\Pictures
c:\Users\Public\Videos
c:\Users\<username>\Videos
c:\Users\<username>\Music
c:\Users\Public\Music
c:\Users\<username>\Favorites
Le cartelle predefinite vengono visualizzate nel profilo dell'utente, in Questo PC, come illustrato nell'immagine seguente:
Nota
È possibile configurare cartelle aggiuntive come protette, ma non è possibile rimuovere le cartelle di sistema di Windows protette per impostazione predefinita.
Requisiti per l'accesso controllato alle cartelle
L'accesso controllato alle cartelle richiede l'abilitazione della protezione in tempo reale Microsoft Defender Antivirus.
Esaminare gli eventi di accesso controllato alle cartelle nel portale di Microsoft Defender
Defender per endpoint fornisce report dettagliati su eventi e blocchi nell'ambito degli scenari di analisi degli avvisi nel portale di Microsoft Defender. Vedere Microsoft Defender per endpoint in Microsoft Defender XDR.
È possibile eseguire query sui dati Microsoft Defender per endpoint usando Ricerca avanzata. Se si usa la modalità di controllo, è possibile usare la ricerca avanzata per vedere in che modo le impostazioni di accesso controllato alle cartelle influiranno sull'ambiente se fossero abilitate.
Query di esempio:
DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
Esaminare gli eventi di accesso controllato alle cartelle in Windows Visualizzatore eventi
È possibile esaminare il registro eventi di Windows per visualizzare gli eventi creati quando l'accesso controllato alle cartelle blocca (o controlla) un'app:
Scaricare il pacchetto di valutazione ed estrarre il file cfa-events.xml in una posizione facilmente accessibile nel dispositivo.
Digitare Visualizzatore eventi nel menu Start per aprire il Visualizzatore eventi di Windows.
Nel pannello a sinistra, in Azioni, selezionare Importa visualizzazione personalizzata.
Passare alla posizione in cui è stata estratta cfa-events.xml e selezionarla. In alternativa, copiare direttamente il codice XML.
Selezionare OK.
La tabella seguente mostra gli eventi correlati all'accesso controllato alle cartelle:
ID evento | Descrizione |
---|---|
5007 |
Evento quando vengono modificate le impostazioni |
1124 |
Evento di accesso controllato alle cartelle controllato |
1123 |
Evento di accesso controllato alle cartelle bloccato |
1127 |
Evento blocco di scrittura del settore dell'accesso controllato alle cartelle bloccato |
1128 |
Audited controlled folder access sector write block event |
Visualizzare o modificare l'elenco delle cartelle protette
È possibile usare l'app Sicurezza di Windows per visualizzare l'elenco delle cartelle protette dall'accesso controllato alle cartelle.
Nel dispositivo Windows 10 o Windows 11 aprire l'app Sicurezza di Windows.
Selezionare Protezione da virus e minacce.
In Protezione ransomware selezionare Gestisci protezione ransomware.
Se l'accesso controllato alle cartelle è disattivato, è necessario attivarlo. Selezionare cartelle protette.
Eseguire uno dei seguenti passaggi:
- Per aggiungere una cartella, selezionare + Aggiungi una cartella protetta.
- Per rimuovere una cartella, selezionarla e quindi selezionare Rimuovi.
Importante
Non aggiungere percorsi di condivisione locali (loopback) come cartelle protette. Usare invece il percorso locale. Ad esempio, se è stato condiviso
C:\demo
come\\mycomputer\demo
, non aggiungere\\mycomputer\demo
all'elenco delle cartelle protette. AggiungereC:\demo
invece .
Le cartelle di sistema di Windows sono protette per impostazione predefinita e non è possibile rimuoverle dall'elenco. Le sottocartelle sono incluse anche nella protezione quando si aggiunge una nuova cartella all'elenco.
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.