Habilitar el acceso controlado a carpetas

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender XDR
• Antivirus de Microsoft Defender

Plataformas

• Windows

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

El acceso controlado a carpetas le ayuda a proteger datos valiosos de aplicaciones y amenazas malintencionadas, como ransomware. El acceso controlado a carpetas se incluye con Windows 10, Windows 11 y Windows Server 2019. El acceso controlado a carpetas también se incluye como parte de la solución moderna y unificada para Windows Server 2012R2 y 2016.

Puede habilitar el acceso controlado a carpetas mediante cualquiera de estos métodos:

• Habilitar el acceso controlado a carpetas
• Habilitar el acceso controlado a carpetas
  • Administración de dispositivos móviles (MDM)
  • Microsoft Configuration Manager
  • Directiva de grupo
  • PowerShell
  • Ver también

3. Seleccione Plataforma, elija Windows 10, Windows 11 y Windows Server, y seleccione el perfil Reglas > de reducción de superficie expuesta a ataquesCrear.

4. Asigne un nombre a la directiva y agregue una descripción. Seleccione Siguiente.

5. Desplácese hacia abajo y, en la lista desplegable Habilitar acceso controlado a carpetas , seleccione una opción, como Modo de auditoría.

   Se recomienda habilitar primero el acceso controlado a carpetas en modo de auditoría para ver cómo funciona en su organización. Puede establecerlo en otro modo, como Habilitado, más adelante.

6. Para agregar opcionalmente carpetas que se deben proteger, seleccione Carpetas protegidas con acceso controlado a carpetas y, a continuación, agregue carpetas. Las aplicaciones que no son de confianza no pueden modificar ni eliminar los archivos de estas carpetas. Tenga en cuenta que las carpetas predeterminadas del sistema se protegen automáticamente. Puede ver la lista de carpetas del sistema predeterminadas en la aplicación Seguridad de Windows en un dispositivo Windows. Para más información sobre esta configuración, consulte CSP de directiva: Defender: ControlledFolderAccessProtectedFolders.

7. Para agregar opcionalmente aplicaciones de confianza, seleccione Aplicaciones permitidas de acceso controlado a carpetas y, a continuación, agregue las aplicaciones que puedan acceder a carpetas protegidas. Microsoft Defender Antivirus determina automáticamente qué aplicaciones deben ser de confianza. Use esta configuración solo para especificar aplicaciones adicionales. Para más información sobre esta configuración, consulte CSP de directiva: Defender: ControlledFolderAccessAllowedApplications.

8. Seleccione el perfil Asignaciones, asigne a Todos los usuarios & Todos los dispositivos y seleccione Guardar.

9. Seleccione Siguiente para guardar cada hoja abierta y, a continuación, Crear.

Nota:

Los caracteres comodín se admiten para las aplicaciones, pero no para las carpetas. Las aplicaciones permitidas siguen desencadenando eventos hasta que se reinician.

Administración de dispositivos móviles (MDM)

Use el proveedor de servicios de configuración ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders (CSP) para permitir que las aplicaciones realicen cambios en las carpetas protegidas.

Microsoft Configuration Manager

1. En Microsoft Configuration Manager, vaya a Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard (Protección contra vulnerabilidades de seguridad de Windows Defender).

2. Seleccione Inicio>Crear directiva de Protección contra vulnerabilidades de seguridad.

3. Escriba un nombre y una descripción, seleccione Acceso controlado a carpetas y seleccione Siguiente.

4. Elija si bloquea o audita los cambios, permite otras aplicaciones o agrega otras carpetas y selecciona Siguiente.

   Nota:

   El carácter comodín se admite para las aplicaciones, pero no para las carpetas. Las aplicaciones permitidas siguen desencadenando eventos hasta que se reinician.

5. Revise la configuración y seleccione Siguiente para crear la directiva.

6. Una vez creada la directiva, cierre.

Para obtener más información sobre Microsoft Configuration Manager y el acceso controlado a carpetas, visite Directivas y opciones de acceso controlado a carpetas.

Directiva de grupo

1. En el dispositivo de administración de directiva de grupo, abra la consola de administración de directiva de grupo. Haga clic con el botón derecho en el objeto directiva de grupo que desea configurar y seleccione Editar.

2. En el Editor de administración de directiva de grupo, vaya a Configuración del equipo y seleccione Plantillas administrativas.

3. Expanda el árbol a componentes > de Windows Microsoft Defender Antivirus > Microsoft Defender acceso a carpetas controladas de Exploit Guard>.

4. Haga doble clic en la opción Configurar acceso controlado a carpetas y establezca la opción en Habilitado. En la sección de opciones, debe especificar una de las siguientes opciones:

   • Habilitar : las aplicaciones malintencionadas y sospechosas no pueden realizar cambios en los archivos de carpetas protegidas. Se proporciona una notificación en el registro de eventos de Windows.
   • Deshabilitar (valor predeterminado): la característica acceso controlado a carpetas no funcionará. Todas las aplicaciones pueden realizar cambios en los archivos de carpetas protegidas.
   • Modo de auditoría : se permiten cambios si una aplicación malintencionada o sospechosa intenta realizar un cambio en un archivo de una carpeta protegida. Sin embargo, se registra en el registro de eventos de Windows, donde puede evaluar el impacto en su organización.
   • Bloquear solo la modificación de disco : los intentos de las aplicaciones que no son de confianza para escribir en sectores de disco se registrarán en el registro de eventos de Windows. Estos registros se pueden encontrar en Registros > de aplicaciones y servicios Id. operativo > 1123 de Microsoft > Windows > Defender>.
   • Auditar solo la modificación del disco: solo se registrarán los intentos de escritura en sectores de disco protegidos en el registro de eventos de Windows (en Registros > de aplicaciones y servicios, id.operativo>1124 deMicrosoft>Windows>Defender>). Los intentos de modificar o eliminar archivos en carpetas protegidas no se registrarán.

   

Importante

Para habilitar completamente el acceso controlado a carpetas, debe establecer la opción directiva de grupo en Habilitado y seleccionar Bloquear en el menú desplegable de opciones.

PowerShell

1. Escriba powershell en el menú Inicio, haga clic con el botón derecho en Windows PowerShell y seleccione Ejecutar como administrador.

2. Escriba el siguiente cmdlet:

   Set-MpPreference -EnableControlledFolderAccess Enabled
   

   Puede habilitar la característica en modo de auditoría especificando AuditMode en lugar de Enabled. Use Disabled para desactivar la característica.

Vea también

• Proteger carpetas importantes con acceso controlado a carpetas
• Personalizar el acceso controlado a carpetas
• Microsoft Defender para punto de conexión

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.