Compartir a través de

Personalizar el acceso controlado a carpetas

  • Artículo

Se aplica a:

Plataformas

  • Windows

Sugerencia

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

El acceso controlado a carpetas le ayuda a proteger datos valiosos de aplicaciones y amenazas malintencionadas, como ransomware. El acceso controlado a carpetas se admite en clientes de Windows Server 2019, Windows Server 2022, Windows 10 y Windows 11.

Importante

El acceso controlado a carpetas no se admite en los servidores Linux.

En este artículo se describe cómo personalizar las funcionalidades de acceso controlado a carpetas e incluye las secciones siguientes:

Importante

El acceso controlado a carpetas supervisa las aplicaciones en busca de actividades que se detectan como malintencionadas. A veces, las aplicaciones legítimas no pueden realizar cambios en los archivos. Si el acceso controlado a carpetas afecta a la productividad de la organización, podría considerar la posibilidad de ejecutar esta característica en modo de auditoría para evaluar completamente el impacto.

Protección de carpetas adicionales

El acceso controlado a carpetas se aplica a muchas carpetas del sistema y ubicaciones predeterminadas, incluidas carpetas como Documentos, Imágenes y Películas. Puede agregar otras carpetas para protegerlas, pero no puede quitar las carpetas predeterminadas de la lista predeterminada.

Agregar otras carpetas al acceso controlado a carpetas puede ser útil en los casos en los que no almacene archivos en las bibliotecas de Windows predeterminadas o haya cambiado la ubicación predeterminada de las bibliotecas.

También puede especificar recursos compartidos de red y unidades asignadas. Se admiten las variables de entorno; sin embargo, los caracteres comodín no lo son.

Puede usar la aplicación de Seguridad de Windows, directiva de grupo, cmdlets de PowerShell o proveedores de servicios de configuración de administración de dispositivos móviles para agregar y quitar carpetas protegidas.

Uso de la aplicación Seguridad de Windows para proteger carpetas adicionales

  1. Abra la aplicación Seguridad de Windows seleccionando el icono de escudo en la barra de tareas o buscando seguridad en el menú Inicio.

  2. Seleccione Virus & protección contra amenazas y desplácese hacia abajo hasta la sección Protección contra ransomware .

  3. Seleccione Administrar protección contra ransomware para abrir el panel Protección contra ransomware .

  4. En la sección Acceso controlado a carpetas , seleccione Carpetas protegidas.

  5. Elija en el símbolo del Access Control del usuario. Se muestra el panel Carpetas protegidas .

  6. Seleccione Agregar una carpeta protegida y siga las indicaciones para agregar carpetas.

Uso de directiva de grupo para proteger carpetas adicionales

  1. En el equipo de administración de directivas de grupo, abra la Consola de administración de directivas de grupo.

  2. Haga clic con el botón derecho en el objeto directiva de grupo que desea configurar y, a continuación, seleccione Editar.

  3. En la Editor administración de directiva de grupo, vaya aDirectivasde configuración> del equipoPlantillas> administrativas.

  4. Expanda el árbol a Componentes> de Windows Microsoft DefenderAcceso controlado a carpetas controladas por Protección>contra vulnerabilidades> de seguridad de Antivirus de Windows Defender.
    NOTA: En versiones anteriores de Windows, es posible que veas Windows Antivirus de Defender en lugar de Microsoft Defender Antivirus.

  5. Haga doble clic en Carpetas protegidas configuradas y, a continuación, establezca la opción en Habilitado. Seleccione Mostrar y especifique cada carpeta que quiera proteger.

  6. Implemente el objeto directiva de grupo como suele hacer.

Uso de PowerShell para proteger carpetas adicionales

  1. Escriba PowerShell en el menú Inicio, haga clic con el botón derecho en Windows PowerShell y seleccione Ejecutar como administrador.

  2. Escriba el siguiente cmdlet de PowerShell, reemplazando <the folder to be protected> por la ruta de acceso de la carpeta (como "c:\apps\"):

    Add-MpPreference -ControlledFolderAccessProtectedFolders "<the folder to be protected>"

  3. Repita el paso 2 para cada carpeta que quiera proteger. Las carpetas protegidas están visibles en la aplicación Seguridad de Windows.

    Se muestra la ventana de PowerShell con el cmdlet

Importante

Use Add-MpPreference para anexar o agregar aplicaciones a la lista y no Set-MpPreference. El uso del Set-MpPreference cmdlet sobrescribirá la lista existente.

Uso de CSP de MDM para proteger carpetas adicionales

Use el proveedor de servicios de configuración ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList (CSP) para permitir que las aplicaciones realicen cambios en carpetas protegidas.

Permitir que aplicaciones específicas realicen cambios en carpetas controladas

Puede especificar si ciertas aplicaciones siempre se consideran seguras y dar acceso de escritura a los archivos de carpetas protegidas. Permitir aplicaciones puede ser útil si la característica de acceso controlado a carpetas bloquea una aplicación determinada que conozca y de confianza.

Importante

De forma predeterminada, Windows agrega aplicaciones que se consideran fáciles de usar en la lista de permitidos. Estas aplicaciones que se agregan automáticamente no se registran en la lista que se muestra en la aplicación Seguridad de Windows o mediante los cmdlets de PowerShell asociados. No es necesario agregar la mayoría de las aplicaciones. Agregue solo aplicaciones si se están bloqueando y puede comprobar su confiabilidad.

Al agregar una aplicación, debe especificar la ubicación de la aplicación. Solo se permitirá el acceso a las carpetas protegidas a la aplicación de esa ubicación. Si la aplicación (con el mismo nombre) está en una ubicación diferente, no se agregará a la lista de permitidos y puede bloquearse mediante el acceso controlado a carpetas.

Una aplicación o servicio permitidos solo tiene acceso de escritura a una carpeta controlada después de iniciarse. Por ejemplo, un servicio de actualización seguirá desencadenando eventos después de que se permita hasta que se detenga y reinicie.

Uso de la aplicación seguridad de Windows Defender para permitir aplicaciones específicas

  1. Abra la aplicación Seguridad de Windows buscando seguridad en el menú inicio.

  2. Seleccione el icono Protección contra amenazas de Virus & (o el icono de escudo en la barra de menús de la izquierda) y, a continuación, seleccione Administrar protección contra ransomware.

  3. En la sección Acceso controlado a carpetas, seleccione Permitir una aplicación a través del acceso controlado a carpetas.

  4. Seleccione Agregar una aplicación permitida y siga las indicaciones para agregar aplicaciones.

    Botón Agregar una aplicación permitida

Uso de directiva de grupo para permitir aplicaciones específicas

  1. En el dispositivo de administración de directiva de grupo, abra la consola de administración de directiva de grupo, haga clic con el botón derecho en el objeto directiva de grupo que desea configurar y seleccione Editar.

  2. En el Editor de administración de directiva de grupo, vaya a Configuración del equipo y seleccione Plantillas administrativas.

  3. Expanda el árbol a Componentes> de Windows Microsoft DefenderAcceso controlado a carpetas controladas por Protección>contra vulnerabilidades> de seguridad de Antivirus de Windows Defender.

  4. Haga doble clic en la opción Configurar aplicaciones permitidas y, a continuación, establezca la opción en Habilitado. Seleccionar Mostrar.

  5. Agregue la ruta de acceso completa al archivo ejecutable en Nombre de valor. Establezca Value en 0. Por ejemplo, para permitir que el símbolo del sistema establezca El nombre del valor como C:\Windows\System32\cmd.exe. El valor debe establecerse en 0.

Uso de PowerShell para permitir aplicaciones específicas

  1. Escriba PowerShell en el menú Inicio, haga clic con el botón derecho en Windows PowerShell y, a continuación, seleccione Ejecutar como administrador.

  2. Escriba el siguiente cmdlet:

    Add-MpPreference -ControlledFolderAccessAllowedApplications "<the app that should be allowed, including the path>"

    Por ejemplo, para agregar el archivo ejecutabletest.exe ubicado en la carpeta C:\apps, el cmdlet sería el siguiente:

    Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"

    Continúe usando Add-MpPreference -ControlledFolderAccessAllowedApplications para agregar más aplicaciones a la lista. Las aplicaciones agregadas con este cmdlet aparecerán en la aplicación de Seguridad de Windows.

    Cmdlet de PowerShell para permitir una aplicación

Importante

Use Add-MpPreference para anexar o agregar aplicaciones a la lista. El uso del Set-MpPreference cmdlet sobrescribirá la lista existente.

Uso de CSP de MDM para permitir aplicaciones específicas

Use el proveedor de servicios de configuración ./Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications (CSP) para permitir que las aplicaciones realicen cambios en carpetas protegidas.

Permitir que los archivos ejecutables firmados accedan a carpetas protegidas

Microsoft Defender para punto de conexión indicadores de certificado y archivo pueden permitir que los archivos ejecutables firmados accedan a carpetas protegidas. Para obtener más información sobre la implementación, consulte Creación de indicadores basados en certificados.

Nota:

Esto no se aplica a los motores de scripting, incluido PowerShell.

Personalizar la notificación

Para obtener más información sobre cómo personalizar la notificación cuando se desencadena una regla y bloquea una aplicación o un archivo, consulte Configurar notificaciones de alerta en Microsoft Defender para punto de conexión.

Vea también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.