Activer l’accès contrôlé aux dossiers

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender XDR
• Antivirus Microsoft Defender

Plateformes

• Windows

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

L’accès contrôlé aux dossiers vous permet de protéger les données précieuses contre les applications malveillantes et les menaces, telles que les rançongiciels. L’accès contrôlé aux dossiers est inclus dans Windows 10, Windows 11 et Windows Server 2019. L’accès contrôlé aux dossiers est également inclus dans la solution unifiée moderne pour Windows Server 2012R2 et 2016.

Vous pouvez activer l’accès contrôlé aux dossiers à l’aide de l’une des méthodes suivantes :

• application Sécurité Windows *
• Microsoft Intune
• Gestion des périphériques mobiles (GPM)
• Microsoft Configuration Manager
• Stratégie de groupe
• PowerShell

Conseil

Essayez d’abord d’utiliser le mode audit pour voir comment fonctionne la fonctionnalité et passer en revue les événements sans affecter l’utilisation normale de l’appareil dans votre organization.

Remarque

Si vous ajoutez Microsoft Defender exclusions antivirus (processus ou chemin) pour le fichier binaire en question, l’accès contrôlé au dossier l’approuve et ne bloque pas le processus ou le chemin d’accès. stratégie de groupe paramètres qui désactivent la fusion des listes d’administrateurs locaux remplacent les paramètres d’accès contrôlé aux dossiers. Ils remplacent également les dossiers protégés et les applications autorisées définies par l’administrateur local via un accès contrôlé aux dossiers. Ces stratégies sont les suivantes :

• Antivirus Microsoft Defender Configurer le comportement de fusion de l’administrateur local pour les listes
• System Center Endpoint Protection Autoriser les utilisateurs à ajouter des exclusions et des remplacements

Pour plus d’informations sur la désactivation de la fusion de listes locales, consultez Empêcher ou autoriser les utilisateurs à modifier localement Microsoft Defender paramètres de stratégie antivirus.

Ouvrez l’application Sécurité Windows.

1. Ouvrez l’application Sécurité Windows en sélectionnant l’icône de bouclier dans la barre des tâches. Vous pouvez également rechercher Sécurité Windows dans le menu Démarrer.

2. Sélectionnez la vignette Protection contre les virus & contre les menaces (ou l’icône de bouclier dans la barre de menus de gauche), puis sélectionnez Protection contre les ransomwares.

3. Définissez le commutateur Accès contrôlé aux dossiers sur Activé.

Remarque

• Cette méthode n’est pas disponible sur Windows Server 2012 R2 ou Windows Server 2016. Si l’accès contrôlé aux dossiers est configuré avec stratégie de groupe, PowerShell ou mdm CSP, l’état change dans l’application Sécurité Windows uniquement après le redémarrage de l’appareil. Si la fonctionnalité est définie sur Le mode Audit avec l’un de ces outils, l’application Sécurité Windows affiche l’état Désactivé.

• Si vous protégez les données de profil utilisateur, le profil utilisateur doit se trouver sur le lecteur d’installation Windows par défaut.

Microsoft Intune

1. Connectez-vous au centre d’administration Microsoft Intune et ouvrez Endpoint Security.

2. Accédez à Stratégie de réduction de la surface d’attaque>.

3. Sélectionnez Plateforme, choisissez Windows 10, Windows 11 et Windows Server, puis sélectionnez le profil Règles de réduction de> la surfaced’attaque Créer.

4. Nommez la stratégie et ajoutez une description. Sélectionnez Suivant.

5. Faites défiler vers le bas et, dans la liste déroulante Activer l’accès contrôlé aux dossiers , sélectionnez une option, telle que Mode Audit.

   Nous vous recommandons d’activer d’abord l’accès contrôlé aux dossiers en mode audit pour voir comment il fonctionnera dans votre organization. Vous pouvez le définir sur un autre mode, par exemple Activé, ultérieurement.

6. Pour ajouter éventuellement des dossiers qui doivent être protégés, sélectionnez Dossiers protégés par accès contrôlé aux dossiers, puis ajoutez des dossiers. Les fichiers de ces dossiers ne peuvent pas être modifiés ou supprimés par des applications non approuvées. Gardez à l’esprit que vos dossiers système par défaut sont automatiquement protégés. Vous pouvez afficher la liste des dossiers système par défaut dans l’application Sécurité Windows sur un appareil Windows. Pour en savoir plus sur ce paramètre, consultez Csp policy - Defender : ControlledFolderAccessProtectedFolders.

7. Pour ajouter éventuellement des applications qui doivent être approuvées, sélectionnez Applications autorisées d’accès contrôlé aux dossiers , puis ajoutez les applications pouvant accéder aux dossiers protégés. Microsoft Defender Antivirus détermine automatiquement les applications qui doivent être approuvées. Utilisez uniquement ce paramètre pour spécifier des applications supplémentaires. Pour en savoir plus sur ce paramètre, consultez Fournisseur de services de configuration de stratégie - Defender : ControlledFolderAccessAllowedApplications.

8. Sélectionnez les attributions de profil, attribuez à Tous les utilisateurs & Tous les appareils, puis sélectionnez Enregistrer.

9. Sélectionnez Suivant pour enregistrer chaque panneau ouvert, puis Créer.

Remarque

Les caractères génériques sont pris en charge pour les applications, mais pas pour les dossiers. Les applications autorisées continuent de déclencher des événements jusqu’à ce qu’elles soient redémarrées.

Gestion des périphériques mobiles (GPM)

Utilisez le fournisseur de services de configuration ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders pour permettre aux applications d’apporter des modifications aux dossiers protégés.

Microsoft Configuration Manager

1. Dans Microsoft Configuration Manager, accédez à Ressources et conformité>Endpoint Protection>Windows Defender Exploit Guard.

2. Sélectionnez Accueil>Créer une stratégie Exploit Guard.

3. Entrez un nom et une description, sélectionnez Accès contrôlé aux dossiers, puis sélectionnez Suivant.

4. Choisissez de bloquer ou d’auditer les modifications, d’autoriser d’autres applications ou d’ajouter d’autres dossiers, puis sélectionnez Suivant.

   Remarque

   Le caractère générique est pris en charge pour les applications, mais pas pour les dossiers. Les applications autorisées continueront à déclencher des événements jusqu’à ce qu’elles soient redémarrées.

5. Passez en revue les paramètres et sélectionnez Suivant pour créer la stratégie.

6. Une fois la stratégie créée, fermez.

Stratégie de groupe

1. Sur votre appareil de gestion stratégie de groupe, ouvrez la console de gestion stratégie de groupe, cliquez avec le bouton droit sur l’objet stratégie de groupe que vous souhaitez configurer, puis sélectionnez Modifier.

2. Dans l’Éditeur de gestion des stratégies de groupe, accédez à Configuration ordinateur, puis sélectionnez Modèles d’administration.

3. Développez l’arborescence composants > Windows Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Accès contrôlé aux dossiers.

4. Double-cliquez sur le paramètre Configurer l’accès contrôlé aux dossiers et définissez l’option sur Activé. Dans la section options, vous devez spécifier l’une des options suivantes :

   • Activer : les applications malveillantes et suspectes ne sont pas autorisées à apporter des modifications aux fichiers dans des dossiers protégés. Une notification est fournie dans le journal des événements Windows.
   • Désactiver (par défaut) : la fonctionnalité d’accès contrôlé aux dossiers ne fonctionne pas. Toutes les applications peuvent apporter des modifications aux fichiers dans des dossiers protégés.
   • Mode Audit : les modifications sont autorisées si une application malveillante ou suspecte tente d’apporter une modification à un fichier dans un dossier protégé. Toutefois, il sera enregistré dans le journal des événements Windows, où vous pouvez évaluer l’impact sur votre organization.
   • Bloquer la modification du disque uniquement : les tentatives d’écriture dans des secteurs de disque effectuées par des applications non approuvées sont consignées dans le journal des événements Windows. Ces journaux se trouvent dans Journaux >des applications et des services Microsoft > Windows > Defender > Operational > ID 1123.
   • Auditer la modification du disque uniquement : seules les tentatives d’écriture dans des secteurs de disque protégés sont enregistrées dans le journal des événements Windows (sousJournaux >des applications et des servicesMicrosoft >Windows>Defender>ID opérationnel>1124). Les tentatives de modification ou de suppression de fichiers dans des dossiers protégés ne seront pas enregistrées.

   

Importante

Pour activer entièrement l’accès contrôlé aux dossiers, vous devez définir l’option stratégie de groupe sur Activé et sélectionner Bloquer dans le menu déroulant des options.

PowerShell

1. Tapez powershell dans le menu Démarrer, cliquez avec le bouton droit sur Windows PowerShell et sélectionnez Exécuter en tant qu’administrateur.

2. Tapez l’applet de commande suivante :

   Set-MpPreference -EnableControlledFolderAccess Enabled
   

   Vous pouvez activer la fonctionnalité en mode audit en spécifiant AuditMode au lieu de Enabled. Utilisez Disabled pour désactiver la fonctionnalité.

Voir aussi

• Protéger les dossiers importants avec accès contrôlé aux dossiers
• Personnaliser l’accès contrôlé aux dossiers
• Évaluer Microsoft Defender pour point de terminaison

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.