Partage via


Évaluer l’accès contrôlé aux dossiers

S’applique à :

Plateformes

  • Windows

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

L’accès contrôlé aux dossiers est une fonctionnalité qui permet de protéger vos documents et fichiers contre toute modification par des applications suspectes ou malveillantes. L’accès contrôlé aux dossiers est pris en charge sur Windows Server 2022, Windows Server 2019 et les appareils clients exécutant Windows 10 ou Windows 11.

Il est particulièrement utile pour vous protéger contre les rançongiciels qui tentent de chiffrer vos fichiers et de les prendre en otage.

Cet article vous aide à évaluer l’accès contrôlé aux dossiers. Il explique comment activer le mode audit afin que vous puissiez tester la fonctionnalité directement dans votre organisation.

Utiliser le mode audit pour mesurer l’impact

Activez l’accès contrôlé aux dossiers en mode audit pour voir un enregistrement de ce qui pourrait se produire s’il était activé. Testez le fonctionnement de la fonctionnalité dans votre organisation pour vous assurer qu’elle n’affecte pas vos applications métier. Vous pouvez également avoir une idée du nombre de tentatives suspectes de modification de fichiers qui se produisent généralement sur une certaine période de temps.

Pour activer le mode audit, utilisez l’applet de commande PowerShell suivante :

Set-MpPreference -EnableControlledFolderAccess AuditMode

Remarque

  • Pour voir comment l’accès contrôlé aux dossiers fonctionne dans votre organisation, utilisez un outil de gestion pour le déployer sur les appareils de votre réseau. Vous pouvez également utiliser la stratégie de groupe, Intune, la gestion des appareils mobiles (MDM) ou Microsoft Configuration Manager pour configurer et déployer le paramètre, comme décrit dans Protéger les dossiers importants avec un accès contrôlé aux dossiers.

  • Si votre flux de travail implique l’utilisation de dossiers réseau partagés, l’activation de l’accès contrôlé aux dossiers peut entraîner une réduction significative des performances réseau si les dossiers réseau partagés sont accessibles par un processus non approuvé, en particulier en raison de nombreuses requêtes sur le serveur de partage de fichiers. Assurez-vous que vos serveurs de fichiers sont optimisés pour augmenter le trafic réseau, en particulier si vous utilisez des dossiers réseau partagés pour les fichiers hors connexion.

  • Certains types de logiciels de sécurité de point de terminaison ou de gestion des ressources injectent du code dans chaque processus qui démarre sur le système. Cela peut entraîner un accès contrôlé aux dossiers qui ne fait plus confiance aux applications connues comme les programmes Office. Vous pouvez voir la raison des détections d’accès contrôlé aux dossiers à l’aide de l’argument de l’outil -cfaMDEClientAnalyzer. Si vous êtes affecté, envisagez d’ajouter une exclusion antivirus pour le processus d’injection ou consultez votre fournisseur de logiciels de gestion pour la signature de tous ses fichiers binaires.

Passer en revue les événements d’accès contrôlé aux dossiers dans l’Observateur d’événements Windows

Les événements d’accès contrôlé aux dossiers suivants s’affichent dans l’Observateur d’événements Windows sous le dossier Microsoft/Windows/Windows Defender/Operational.

ID d’événement Description
5007 Événement lorsque les paramètres sont modifiés
1124 Événement audité d’accès contrôlé aux dossiers
1123 Événement d’accès contrôlé aux dossiers bloqué

Conseil

Vous pouvez configurer un abonnement de transfert d’événements Windows pour collecter les journaux de manière centralisée.

Personnaliser les applications et dossiers protégés

Pendant votre évaluation, vous pouvez ajouter à la liste des dossiers protégés ou autoriser certaines applications à modifier des fichiers.

Consultez Protéger les dossiers importants avec un accès contrôlé aux dossiers pour configurer la fonctionnalité avec des outils de gestion, notamment la stratégie de groupe, PowerShell et les fournisseurs de services de configuration GPM (CSP).

Voir aussi

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.