Évaluer l’accès contrôlé aux dossiers
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
- Antivirus Microsoft Defender
Plateformes
- Windows
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
L’accès contrôlé aux dossiers est une fonctionnalité qui permet de protéger vos documents et fichiers contre toute modification par des applications suspectes ou malveillantes. L’accès contrôlé aux dossiers est pris en charge sur les clients Windows Server 2019, Windows Server 2022, Windows 10 et Windows 11.
Il est particulièrement utile pour vous protéger contre les rançongiciels qui tentent de chiffrer vos fichiers et de les prendre en otage.
Cet article vous aide à évaluer l’accès contrôlé aux dossiers. Il explique comment activer le mode audit afin de pouvoir tester la fonctionnalité directement dans votre organization.
Utiliser le mode audit pour mesurer l’impact
Activez l’accès contrôlé aux dossiers en mode audit pour voir un enregistrement de ce qui pourrait se produire s’il était activé. Testez le fonctionnement de la fonctionnalité dans votre organization pour vous assurer qu’elle n’affecte pas vos applications métier. Vous pouvez également avoir une idée du nombre de tentatives suspectes de modification de fichiers qui se produisent généralement sur une certaine période de temps.
Pour activer le mode audit, utilisez l’applet de commande PowerShell suivante :
Set-MpPreference -EnableControlledFolderAccess AuditMode
Conseil
Si vous souhaitez auditer entièrement le fonctionnement de l’accès contrôlé aux dossiers dans votre organization, vous devez utiliser un outil de gestion pour déployer ce paramètre sur les appareils de vos réseaux. Vous pouvez également utiliser stratégie de groupe, Intune, gestion des appareils mobiles (MDM) ou Microsoft Configuration Manager pour configurer et déployer le paramètre, comme décrit dans la rubrique main accès contrôlé aux dossiers.
Passer en revue les événements d’accès contrôlé aux dossiers dans Windows observateur d'événements
Les événements d’accès contrôlé aux dossiers suivants s’affichent dans Windows observateur d'événements sous Dossier Microsoft/Windows/Windows Defender/Operational.
ID d’événement | Description |
---|---|
5007 | Événement lorsque les paramètres sont modifiés |
1124 | Événement audité d’accès contrôlé aux dossiers |
1123 | Événement d’accès contrôlé aux dossiers bloqué |
Conseil
Vous pouvez configurer un abonnement de transfert d’événements Windows pour collecter les journaux de manière centralisée.
Personnaliser les applications et dossiers protégés
Pendant votre évaluation, vous pouvez ajouter à la liste des dossiers protégés ou autoriser certaines applications à modifier des fichiers.
Consultez Protéger les dossiers importants avec un accès contrôlé aux dossiers pour configurer la fonctionnalité avec des outils de gestion, notamment stratégie de groupe, PowerShell et les fournisseurs de services de configuration GPM.
Voir aussi
- Protéger les dossiers importants avec accès contrôlé aux dossiers
- Évaluer Microsoft Defender pour point de terminaison
- Utiliser le mode Audit
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour