Protéger les dossiers importants avec accès contrôlé aux dossiers

S’applique à :

S’applique à

  • Windows

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Qu’est-ce que l’accès contrôlé aux dossiers ?

L’accès contrôlé aux dossiers permet de protéger vos données précieuses contre les applications malveillantes et les menaces, telles que les ransomwares. L’accès contrôlé aux dossiers protège vos données en vérifiant les applications par rapport à une liste d’applications connues et approuvées. Pris en charge sur les clients Windows Server 2019, Windows Server 2022, Windows 10 et Windows 11, l’accès contrôlé aux dossiers peut être activé à l’aide de l’application Sécurité Windows, du point de terminaison Microsoft Configuration Manager ou Intune (pour les appareils gérés).

Remarque

Les moteurs de script ne sont pas approuvés et vous ne pouvez pas leur permettre d’accéder à des dossiers protégés contrôlés. Par exemple, PowerShell n’est pas approuvé par l’accès contrôlé aux dossiers, même si vous l’autorisez avec des indicateurs de certificat et de fichier.

L’accès contrôlé aux dossiers fonctionne mieux avec Microsoft Defender pour point de terminaison, ce qui vous permet de générer des rapports détaillés sur les événements d’accès contrôlé aux dossiers et les blocs dans le cadre des scénarios d’investigation des alertes habituels.

Pointe

Les blocs d’accès aux dossiers contrôlés ne génèrent pas d’alertes dans la file d’attente d’alertes. Toutefois, vous pouvez afficher des informations sur les blocs d’accès contrôlés aux dossiers dans l’affichage chronologie de l’appareil, lors de l’utilisation d’une chasse avancée ou avec des règles de détection personnalisées.

Comment fonctionne l’accès contrôlé aux dossiers ?

L’accès contrôlé aux dossiers fonctionne en autorisant uniquement les applications approuvées à accéder aux dossiers protégés. Les dossiers protégés sont spécifiés lorsque l’accès contrôlé aux dossiers est configuré. En règle générale, les dossiers couramment utilisés, tels que ceux utilisés pour les documents, les images, les téléchargements, etc., sont inclus dans la liste des dossiers contrôlés.

L’accès contrôlé aux dossiers fonctionne avec une liste d’applications approuvées. Les applications incluses dans la liste des logiciels approuvés fonctionnent comme prévu. Les applications qui ne sont pas incluses dans la liste sont empêchées d’apporter des modifications aux fichiers à l’intérieur des dossiers protégés.

Les applications sont ajoutées à la liste en fonction de leur prévalence et de leur réputation. Les applications très répandues au sein de votre organisation et qui n’ont jamais affiché de comportement considéré comme malveillant sont considérées comme dignes de confiance. Ces applications sont ajoutées automatiquement à la liste.

Les applications peuvent également être ajoutées manuellement à la liste approuvée à l’aide de Configuration Manager ou de Intune. Des actions supplémentaires peuvent être effectuées à partir du portail Microsoft 365 Defender.

Pourquoi l’accès contrôlé aux dossiers est important

L’accès contrôlé aux dossiers est particulièrement utile pour protéger vos documents et informations contre les ransomwares. Dans une attaque par ransomware, vos fichiers peuvent être chiffrés et pris en otage. Une fois l’accès contrôlé aux dossiers en place, une notification s’affiche sur l’ordinateur où une application a tenté d’apporter des modifications à un fichier dans un dossier protégé. Vous pouvez personnaliser la notification avec les informations et les coordonnées de l’entreprise. Vous pouvez également activer les règles individuellement pour personnaliser les techniques analysées par la fonctionnalité.

Les dossiers protégés incluent des dossiers système courants (y compris les secteurs de démarrage) et vous pouvez ajouter d’autres dossiers. Vous pouvez également autoriser les applications à leur donner accès aux dossiers protégés.

Vous pouvez utiliser le mode audit pour évaluer l’impact de l’accès contrôlé aux dossiers sur votre organisation s’il était activé.

L’accès contrôlé aux dossiers est pris en charge sur les versions suivantes de Windows :

Les dossiers système Windows sont protégés par défaut

Les dossiers système Windows sont protégés par défaut, ainsi que plusieurs autres dossiers :

Les dossiers protégés incluent des dossiers système courants (y compris les secteurs de démarrage) et vous pouvez ajouter des dossiers supplémentaires. Vous pouvez également autoriser les applications à leur donner accès aux dossiers protégés. Les dossiers des systèmes Windows qui sont protégés par défaut sont les suivants :

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

Les dossiers par défaut apparaissent dans le profil de l’utilisateur, sous ce PC.

Dossiers de systèmes windows par défaut protégés

Remarque

Vous pouvez configurer des dossiers supplémentaires en tant que dossiers protégés, mais vous ne pouvez pas supprimer les dossiers système Windows qui sont protégés par défaut.

Configuration requise pour l’accès contrôlé aux dossiers

L’accès contrôlé aux dossiers nécessite l’activation de Microsoft Defender protection antivirus en temps réel.

Passer en revue les événements d’accès contrôlé aux dossiers dans le portail Microsoft 365 Defender

Defender pour point de terminaison fournit des rapports détaillés sur les événements et les blocs dans le cadre de ses scénarios d’investigation d’alerte dans le portail Microsoft 365 Defender ; consultez Microsoft Defender pour point de terminaison dans Microsoft 365 Defender.

Vous pouvez interroger Microsoft Defender pour point de terminaison données à l’aide de la chasse avancée. Si vous utilisez le mode audit, vous pouvez utiliser la chasse avancée pour voir comment les paramètres d’accès contrôlé aux dossiers auraient une incidence sur votre environnement s’ils étaient activés.

Exemples de requête :

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Passer en revue les événements d’accès contrôlé aux dossiers dans Windows observateur d'événements

Vous pouvez consulter le journal des événements Windows pour voir les événements qui sont créés lorsque des blocs d’accès contrôlés aux dossiers (ou auditent) une application :

  1. Téléchargez le package d’évaluation et extrayez le fichier cfa-events.xml à un emplacement facilement accessible sur l’appareil.
  2. Tapez l’observateur d’événements dans le menu Démarrer pour ouvrir le observateur d'événements Windows.
  3. Dans le volet gauche, sous Actions, sélectionnez Importer un affichage personnalisé....
  4. Accédez à l’emplacement où vous avez extraitcfa-events.xmlet sélectionnez-le. Vous pouvez également copier le code XML directement.
  5. Sélectionnez OK.

Le tableau suivant présente les événements liés à l’accès contrôlé aux dossiers :



ID d’événement Description
5007 Événement lorsque les paramètres sont modifiés
1124 Événement d’accès contrôlé aux dossiers audité
1123 Événement d’accès contrôlé aux dossiers bloqué

Afficher ou modifier la liste des dossiers protégés

Vous pouvez utiliser l’application Sécurité Windows pour afficher la liste des dossiers protégés par un accès contrôlé aux dossiers.

  1. Sur votre appareil Windows 10 ou Windows 11, ouvrez l’application Sécurité Windows.
  2. Sélectionnez Protection contre les menaces de virus&.
  3. Sous Protection contre les rançongiciels, sélectionnez Gérer la protection contre les ransomware.
  4. Si l’accès contrôlé aux dossiers est désactivé, vous devez l’activer. Sélectionnez dossiers protégés.
  5. Effectuez l’une des étapes suivantes :
    • Pour ajouter un dossier, sélectionnez + Ajouter un dossier protégé.
    • Pour supprimer un dossier, sélectionnez-le, puis sélectionnez Supprimer.

Remarque

Les dossiers système Windows sont protégés par défaut et vous ne pouvez pas les supprimer de la liste.