Ativar o acesso controlado a pastas

Aplica-se a:

Plataformas

  • Windows

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

O acesso controlado a pastas ajuda-o a proteger dados valiosos de aplicações e ameaças maliciosas, como ransomware. O acesso controlado a pastas está incluído no Windows 10, Windows 11 e Windows Server 2019. O acesso controlado a pastas também está incluído como parte da solução moderna e unificada para o Windows Server 2012R2 e 2016.

Pode ativar o acesso controlado a pastas através de qualquer um destes métodos:

Sugestão

Experimente utilizar o modo de auditoria no início para que possa ver como a funcionalidade funciona e rever eventos sem afetar a utilização normal do dispositivo na sua organização.

Nota

Se adicionar exclusões do Antivírus do Microsoft Defender (processo ou caminho) para o binário em questão, o acesso controlado a pastas confia no mesmo e não bloqueia o processo ou caminho. Definições de Política de Grupo que desativam a lista de administradores locais que intercalam substitui as definições de acesso controlado a pastas. Também substituem pastas protegidas e aplicações permitidas definidas pelo administrador local através de acesso controlado a pastas. Estas políticas incluem:

  • Antivírus do Microsoft Defender Configurar o comportamento de intercalação de administrador local para listas
  • System Center Endpoint Protection Permitir que os utilizadores adicionem exclusões e substituições

Para obter mais informações sobre como desativar a intercalação de listas locais, consulte Impedir ou permitir que os utilizadores modifiquem localmente as definições de política do Antivírus do Microsoft Defender.

Aplicação Segurança do Windows

  1. Abra a aplicação Segurança do Windows selecionando o ícone de escudo na barra de tarefas ou procurando no menu Iniciar por Segurança do Windows. Também pode procurar Segurança do Windows no menu Iniciar.

  2. Selecione o mosaico Vírus & proteção contra ameaças (ou o ícone de escudo na barra de menus esquerda) e, em seguida, selecione Proteção contra ransomware.

  3. Defina o comutador para Acesso controlado a pastas como Ativado.

Nota

  • Este método não está disponível no Windows Server 2012 R2 ou Windows Server 2016. Se o acesso controlado a pastas estiver configurado com a Política de Grupo, o PowerShell ou os CSPs mdm, o estado só será alterado na aplicação Segurança do Windows após reiniciar o dispositivo. Se a funcionalidade estiver definida como Modo de auditoria com qualquer uma dessas ferramentas, a aplicação Segurança do Windows mostra o estado como Desativado.

  • Se estiver a proteger os dados do perfil de utilizador, o perfil de utilizador deve estar na unidade de instalação predefinida do Windows.

Microsoft Intune

  1. Inicie sessão no centro de administração do Microsoft Intune e abra a Segurança do Ponto Final.

  2. Aceda aPolítica de Redução da> Superfície de Ataque.

  3. Selecione Plataforma, selecione Windows 10, Windows 11 e Windows Server e selecione o perfil Regras de Redução da> Superfície de AtaqueCriar.

  4. Atribua um nome à política e adicione uma descrição. Selecione Seguinte.

  5. Desloque-se para baixo e, no menu pendente Ativar Acesso Controlado a Pastas , selecione uma opção, como Modo de Auditoria.

    Recomendamos que ative o acesso controlado a pastas no modo de auditoria primeiro para ver como irá funcionar na sua organização. Pode defini-lo para outro modo, como Ativado, mais tarde.

  6. Para adicionar opcionalmente pastas que devem ser protegidas, selecione Pastas Protegidas de Acesso controlado a Pastas e, em seguida, adicione pastas. Os ficheiros nestas pastas não podem ser modificados ou eliminados por aplicações não fidedignos. Tenha em atenção que as suas pastas de sistema predefinidas são protegidas automaticamente. Pode ver a lista de pastas de sistema predefinidas na aplicação Segurança do Windows num dispositivo Windows. Para saber mais sobre esta definição, consulte Política CSP – Defender: ControlledFolderAccessProtectedFolders.

  7. Para adicionar opcionalmente aplicações que devem ser fidedignas, selecione Aplicações Permitidas de Acesso a Pastas Controladas e, em seguida, adicione as aplicações que podem aceder a pastas protegidas. O Antivírus do Microsoft Defender determina automaticamente que aplicações devem ser consideradas fidedignas. Utilize esta definição apenas para especificar aplicações adicionais. Para saber mais sobre esta definição, veja Política CSP – Defender: ControlledFolderAccessAllowedApplications.

  8. Selecione o perfil Atribuições, atribua a Todos os Utilizadores & Todos os Dispositivos e selecione Guardar.

  9. Selecione Seguinte para guardar cada painel aberto e, em seguida , Criar.

Nota

Os carateres universais são suportados para aplicações, mas não para pastas. As aplicações permitidas continuam a acionar eventos até serem reiniciadas.

Gestão de Dispositivos Móveis (MDM)

Utilize o fornecedor de serviços de configuração (CSP) ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders para permitir que as aplicações façam alterações às pastas protegidas.

Microsoft Configuration Manager

  1. No Microsoft Configuration Manager, aceda a Ativos e Compliance>Endpoint Protection>Windows Defender Exploit Guard.

  2. Selecione Base>Criar Política do Exploit Guard.

  3. Introduza um nome e uma descrição, selecione Acesso controlado a pastas e selecione Seguinte.

  4. Escolha se bloqueia ou audita alterações, permite outras aplicações ou adiciona outras pastas e selecione Seguinte.

    Nota

    O caráter universal é suportado para aplicações, mas não para pastas. As aplicações permitidas continuarão a acionar eventos até serem reiniciadas.

  5. Reveja as definições e selecione Seguinte para criar a política.

  6. Após a criação da política, Feche.

Política de Grupo

  1. No dispositivo de gestão da Política de Grupo, abra a Consola de Gestão de Políticas de Grupo, clique com o botão direito do rato no Objeto de Política de Grupo que pretende configurar e selecione Editar.

  2. No Editor de Gestão de Políticas de Grupo, vá para Configuração do computador e selecione Modelos administrativos.

  3. Expanda a árvore para componentes > do Windows Antivírus do Microsoft Defender Acesso controlado a pastas > do Microsoft Defender Exploit Guard>.

  4. Faça duplo clique na definição Configurar acesso controlado a pastas e defina a opção como Ativado. Na secção de opções, tem de especificar uma das seguintes opções:

    • Ativar – as aplicações maliciosas e suspeitas não poderão efetuar alterações a ficheiros em pastas protegidas. Será fornecida uma notificação no registo de eventos do Windows.
    • Desativar (Predefinição) – a funcionalidade de acesso controlado a pastas não funcionará. Todas as aplicações podem efetuar alterações a ficheiros em pastas protegidas.
    • Modo de Auditoria – as alterações serão permitidas se uma aplicação maliciosa ou suspeita tentar efetuar uma alteração a um ficheiro numa pasta protegida. No entanto, será registado no registo de eventos do Windows, onde pode avaliar o impacto na sua organização.
    • Bloquear apenas a modificação do disco – as tentativas de aplicações não fidedignos para escrever em setores de disco serão registadas no registo de Eventos do Windows. Estes registos podem ser encontrados em Registos de Aplicações e Serviços> do Microsoft > Windows > Defender > Operational > ID 1123.
    • Auditar apenas a modificação do disco – apenas as tentativas de escrita em setores de disco protegidos serão registadas no registo de eventos do Windows (em Aplicações e Serviços> Regista o IDOperacional> doMicrosoft>Windows>Defender>1124). As tentativas de modificar ou eliminar ficheiros em pastas protegidas não serão registadas.

    Captura de ecrã a mostrar a opção de política de grupo ativada e o Modo de Auditoria selecionado.

Importante

Para ativar totalmente o acesso controlado a pastas, tem de definir a opção Política de Grupo como Ativada e selecionar Bloquear no menu pendente opções.

PowerShell

  1. Digite PowerShell no menu Iniciar, clique com o botão direito no Windows PowerShell e selecione Executar como administrador.

  2. Escreva o seguinte cmdlet:

    Set-MpPreference -EnableControlledFolderAccess Enabled
    

    Pode ativar a funcionalidade no modo de auditoria ao especificar AuditMode em vez de Enabled. Utilize Disabled para desativar a funcionalidade.

Consulte também

Sugestão

Quer saber mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.