Compartir vía

Evaluar acceso controlado a carpetas

  • Artículo

Se aplica a:

Plataformas

  • Windows

¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

El acceso controlado a carpetas es una característica que ayuda a proteger los documentos y archivos frente a modificaciones por parte de aplicaciones sospechosas o malintencionadas. El acceso controlado a carpetas es compatible con Windows Server 2022, Windows Server 2019 y dispositivos cliente que ejecutan Windows 10 o Windows 11.

Es especialmente útil para ayudar a proteger contra ransomware que intenta cifrar sus archivos y mantenerlos como rehenes.

Este artículo le ayuda a evaluar el acceso controlado a carpetas. Explica cómo habilitar el modo de auditoría para que pueda probar la característica directamente en su organización.

Uso del modo de auditoría para medir el impacto

Habilite el acceso controlado a carpetas en modo de auditoría para ver un registro de lo que podría ocurrir si se habilitara. Pruebe cómo funciona la característica en su organización para asegurarse de que no afecta a las aplicaciones de línea de negocio. También puede hacerse una idea de cuántos intentos sospechosos de modificar archivos suelen producirse durante un período de tiempo determinado.

Para habilitar el modo de auditoría, use el siguiente cmdlet de PowerShell:

Set-MpPreference -EnableControlledFolderAccess AuditMode

Sugerencia

Si desea auditar completamente cómo funcionará el acceso controlado a carpetas en su organización, use una herramienta de administración para implementar esta configuración en los dispositivos de las redes. También puede usar la directiva de grupo, Intune, la administración de dispositivos móviles (MDM) o Microsoft Configuration Manager para configurar e implementar la configuración, como se describe en el tema principal de acceso a carpetas controladas.

Nota:

  • Si el flujo de trabajo implica el uso de carpetas de red compartidas, habilitar el acceso controlado a carpetas puede dar lugar a una reducción significativa del rendimiento, especialmente debido a muchas consultas al servidor de recursos compartidos de archivos.
  • Algunos tipos de software de administración de recursos o seguridad de puntos de conexión insertan código en todos los procesos que se inician en el sistema. Esto puede dar lugar a que el acceso controlado a carpetas ya no confíe en aplicaciones conocidas como programas de Office. Puede ver el motivo de las detecciones de acceso controlado a carpetas mediante el argumento de -cfa la herramienta MDEClientAnalyzer (consulte Ejecución del analizador de cliente en Windows). Si se ve afectado, considere la posibilidad de agregar una exclusión antivirus para el proceso de inserción o consulte al proveedor de software de administración para firmar todos sus archivos binarios.

Revisión de eventos de acceso controlado a carpetas en el Visor de eventos de Windows

Los siguientes eventos controlados de acceso a carpetas aparecen en el Visor de eventos de Windows en la carpeta Microsoft/Windows/Windows Defender/Operational.

Id. de evento Descripción
5007 Evento cuando se cambia la configuración
1124 Evento de acceso a carpetas controladas auditadas
1123 Evento de acceso a carpetas controladas bloqueadas

Sugerencia

Puede configurar una suscripción de reenvío de eventos de Windows para recopilar los registros de forma centralizada.

Personalización de carpetas y aplicaciones protegidas

Durante la evaluación, es posible que desee agregar a la lista de carpetas protegidas o permitir que ciertas aplicaciones modifiquen archivos.

Consulte Protección de carpetas importantes con acceso controlado a carpetas para configurar la característica con herramientas de administración, incluidas las directivas de grupo, PowerShell y proveedores de servicios de configuración de MDM (CSP).

Vea también

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.