Condividi tramite


Proteggere le cartelle importanti con l'accesso controllato alle cartelle

Si applica a:

Si applica a

  • Windows

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Che cos'è l'accesso controllato alle cartelle?

L'accesso controllato alle cartelle consente di proteggere i dati preziosi da app e minacce dannose, ad esempio ransomware. L'accesso controllato alle cartelle protegge i dati controllando le app da un elenco di app note e attendibili. L'accesso controllato alle cartelle può essere configurato usando l'app Sicurezza di Windows, microsoft endpoint Configuration Manager o Intune (per i dispositivi gestiti). L'accesso controllato alle cartelle è supportato in Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 e Windows 11,

Nota

I motori di script come PowerShell non sono considerati attendibili dall'accesso controllato alle cartelle, anche se si crea un indicatore "consenti" usando indicatori di certificato e file. L'unico modo per consentire ai motori di script di modificare le cartelle protette consiste nell'aggiungerle come app consentita. Vedere Consentire ad app specifiche di apportare modifiche alle cartelle controllate.

L'accesso controllato alle cartelle funziona meglio con Microsoft Defender per endpoint, che offre report dettagliati sugli eventi di accesso controllato alle cartelle e sui blocchi come parte dei consueti scenari di analisi degli avvisi.

Consiglio

I blocchi di accesso controllato alle cartelle non generano avvisi nella coda Avvisi. Tuttavia, è possibile visualizzare le informazioni sui blocchi di accesso controllato alle cartelle nella visualizzazione sequenza temporale del dispositivo, usando la ricerca avanzata o con regole di rilevamento personalizzate.

Come funziona l'accesso controllato alle cartelle?

L'accesso controllato alle cartelle funziona solo consentendo alle app attendibili di accedere alle cartelle protette. Le cartelle protette vengono specificate quando viene configurato l'accesso controllato alle cartelle. In genere, le cartelle di uso comune, ad esempio quelle usate per documenti, immagini, download e così via, sono incluse nell'elenco delle cartelle controllate.

L'accesso controllato alle cartelle funziona con un elenco di app attendibili. Le app incluse nell'elenco del software attendibile funzionano come previsto. Alle app che non sono incluse nell'elenco viene impedito di apportare modifiche ai file all'interno di cartelle protette.

Le app vengono aggiunte all'elenco in base alla loro prevalenza e reputazione. Le app che sono molto diffuse nell'intera organizzazione e che non hanno mai visualizzato alcun comportamento considerato dannoso sono considerate attendibili. Queste app vengono aggiunte automaticamente all'elenco.

Le app possono anche essere aggiunte manualmente all'elenco attendibile usando Configuration Manager o Intune. È possibile eseguire azioni aggiuntive dal portale di Microsoft Defender.

Perché l'accesso controllato alle cartelle è importante

L'accesso controllato alle cartelle è particolarmente utile per proteggere i documenti e le informazioni dal ransomware. In un attacco ransomware, i file possono essere crittografati e tenuti in ostaggio. Con l'accesso controllato alle cartelle, viene visualizzata una notifica nel computer in cui un'app ha tentato di apportare modifiche a un file in una cartella protetta. È possibile personalizzare la notifica con i dettagli aziendali e le informazioni sul contatto. È anche possibile abilitare le regole singolarmente per personalizzare le tecniche monitorate dalla funzionalità.

Le cartelle protette includono cartelle di sistema comuni (inclusi i settori di avvio) ed è possibile aggiungere altre cartelle. È anche possibile consentire alle app di concedere loro l'accesso alle cartelle protette.

È possibile usare la modalità di controllo per valutare in che modo l'accesso controllato alle cartelle influirebbe sull'organizzazione se fosse abilitato.

Le cartelle di sistema di Windows sono protette per impostazione predefinita

Le cartelle di sistema di Windows sono protette per impostazione predefinita, insieme a diverse altre cartelle:

Le cartelle protette includono cartelle di sistema comuni (inclusi i settori di avvio) ed è possibile aggiungere altre cartelle. È anche possibile consentire alle app di concedere loro l'accesso alle cartelle protette. Le cartelle dei sistemi Windows protette per impostazione predefinita sono:

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

Le cartelle predefinite vengono visualizzate nel profilo dell'utente, in Questo PC, come illustrato nell'immagine seguente:

Cartelle di sistema predefinite di Windows protette

Nota

È possibile configurare cartelle aggiuntive come protette, ma non è possibile rimuovere le cartelle di sistema di Windows protette per impostazione predefinita.

Requisiti per l'accesso controllato alle cartelle

L'accesso controllato alle cartelle richiede l'abilitazione della protezione in tempo reale Microsoft Defender Antivirus.

Esaminare gli eventi di accesso controllato alle cartelle nel portale di Microsoft Defender

Defender per endpoint fornisce report dettagliati su eventi e blocchi nell'ambito degli scenari di analisi degli avvisi nel portale di Microsoft Defender. Vedere Microsoft Defender per endpoint in Microsoft Defender XDR.

È possibile eseguire query sui dati Microsoft Defender per endpoint usando Ricerca avanzata. Se si usa la modalità di controllo, è possibile usare la ricerca avanzata per vedere in che modo le impostazioni di accesso controllato alle cartelle influiranno sull'ambiente se fossero abilitate.

Query di esempio:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Esaminare gli eventi di accesso controllato alle cartelle in Windows Visualizzatore eventi

È possibile esaminare il registro eventi di Windows per visualizzare gli eventi creati quando l'accesso controllato alle cartelle blocca (o controlla) un'app:

  1. Scaricare il pacchetto di valutazione ed estrarre il file cfa-events.xml in una posizione facilmente accessibile nel dispositivo.

  2. Digitare Visualizzatore eventi nel menu Start per aprire il Visualizzatore eventi di Windows.

  3. Nel pannello a sinistra, in Azioni, selezionare Importa visualizzazione personalizzata.

  4. Passare alla posizione in cui è stata estratta cfa-events.xml e selezionarla. In alternativa, copiare direttamente il codice XML.

  5. Selezionare OK.

La tabella seguente mostra gli eventi correlati all'accesso controllato alle cartelle:

ID evento Descrizione
5007 Evento quando vengono modificate le impostazioni
1124 Evento di accesso controllato alle cartelle controllato
1123 Evento di accesso controllato alle cartelle bloccato
1127 Evento blocco di scrittura del settore dell'accesso controllato alle cartelle bloccato
1128 Audited controlled folder access sector write block event

Visualizzare o modificare l'elenco delle cartelle protette

È possibile usare l'app Sicurezza di Windows per visualizzare l'elenco delle cartelle protette dall'accesso controllato alle cartelle.

  1. Nel dispositivo Windows 10 o Windows 11 aprire l'app Sicurezza di Windows.

  2. Selezionare Protezione da virus e minacce.

  3. In Protezione ransomware selezionare Gestisci protezione ransomware.

  4. Se l'accesso controllato alle cartelle è disattivato, è necessario attivarlo. Selezionare cartelle protette.

  5. Eseguire uno dei seguenti passaggi:

    • Per aggiungere una cartella, selezionare + Aggiungi una cartella protetta.
    • Per rimuovere una cartella, selezionarla e quindi selezionare Rimuovi.

    Importante

    Non aggiungere percorsi di condivisione locali (loopback) come cartelle protette. Usare invece il percorso locale. Ad esempio, se è stato condiviso C:\demo come \\mycomputer\demo, non aggiungere \\mycomputer\demo all'elenco delle cartelle protette. Aggiungere C:\demoinvece .

Le cartelle di sistema di Windows sono protette per impostazione predefinita e non è possibile rimuoverle dall'elenco. Le sottocartelle sono incluse anche nella protezione quando si aggiunge una nuova cartella all'elenco.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.