Évaluer l’accès contrôlé aux dossiers
S’applique à :
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft 365 Defender
- Antivirus Microsoft Defender
Plateformes
- Windows
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
L’accès contrôlé aux dossiers est une fonctionnalité qui permet de protéger vos documents et fichiers contre toute modification par des applications suspectes ou malveillantes. L’accès contrôlé aux dossiers est pris en charge sur les clients Windows Server 2019, Windows Server 2022, Windows 10 et Windows 11.
Il est particulièrement utile pour vous protéger contre les rançongiciels qui tentent de chiffrer vos fichiers et de les prendre en otage.
Cet article vous aide à évaluer l’accès contrôlé aux dossiers. Il explique comment activer le mode audit afin que vous puissiez tester la fonctionnalité directement dans votre organisation.
Utiliser le mode audit pour mesurer l’impact
Activez l’accès contrôlé au dossier en mode audit pour voir un enregistrement de ce qui se serait passé s’il était entièrement activé. Testez le fonctionnement de la fonctionnalité dans votre organisation pour vous assurer qu’elle n’affecte pas vos applications métier. Vous pouvez également avoir une idée du nombre de tentatives de modification de fichier suspectes qui se produisent généralement sur une certaine période de temps.
Pour activer le mode audit, utilisez l’applet de commande PowerShell suivante :
Set-MpPreference -EnableControlledFolderAccess AuditMode
Conseil
Si vous souhaitez auditer entièrement le fonctionnement de l’accès contrôlé aux dossiers dans votre organisation, vous devez utiliser un outil de gestion pour déployer ce paramètre sur les appareils de vos réseaux. Vous pouvez également utiliser stratégie de groupe, Intune, la gestion des appareils mobiles (MDM) ou Microsoft Configuration Manager pour configurer et déployer le paramètre, comme décrit dans la rubrique principale relative à l’accès contrôlé aux dossiers.
Passer en revue les événements d’accès contrôlé aux dossiers dans Windows observateur d'événements
Les événements d’accès contrôlé aux dossiers suivants s’affichent dans Windows observateur d'événements sous Dossier Microsoft/Windows/Windows Defender/Operational.
| ID d’événement | Description |
|---|---|
| 5007 | Événement lorsque les paramètres sont modifiés |
| 1124 | Événement audité d’accès contrôlé aux dossiers |
| 1123 | Événement d’accès contrôlé aux dossiers bloqué |
Conseil
Vous pouvez configurer un abonnement de transfert d’événements Windows pour collecter les journaux de manière centralisée.
Personnaliser les applications et dossiers protégés
Pendant votre évaluation, vous pouvez ajouter à la liste des dossiers protégés ou autoriser certaines applications à modifier des fichiers.
Consultez Protéger les dossiers importants avec un accès contrôlé aux dossiers pour configurer la fonctionnalité avec des outils de gestion, notamment stratégie de groupe, PowerShell et les fournisseurs de services de configuration GPM.