Condividi tramite


Valutare l’accesso controllato alle cartelle

Si applica a:

Piattaforme

  • Windows

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

L'accesso controllato alle cartelle è una funzionalità che consente di proteggere i documenti e i file dalla modifica da app sospette o dannose. L'accesso controllato alle cartelle è supportato nei dispositivi Windows Server 2022, Windows Server 2019 e client che eseguono Windows 10 o Windows 11.

E 'particolarmente utile per aiutare a proteggere da ransomware che tenta di crittografare i file e tenerli in ostaggio.

Questo articolo consente di valutare l'accesso controllato alle cartelle. Viene illustrato come abilitare la modalità di controllo in modo da poter testare la funzionalità direttamente nell'organizzazione.

Usare la modalità di controllo per misurare l'impatto

Abilitare l'accesso controllato alle cartelle in modalità di controllo per visualizzare un record di ciò che potrebbe verificarsi se fosse abilitato. Testare il funzionamento della funzionalità nell'organizzazione per assicurarsi che non influisca sulle app line-of-business. È anche possibile ottenere un'idea di quanti tentativi sospetti di modificare i file in genere si verificano in un determinato periodo di tempo.

Per abilitare la modalità di controllo, usare il cmdlet di PowerShell seguente:

Set-MpPreference -EnableControlledFolderAccess AuditMode

Nota

  • Per verificare il funzionamento dell'accesso controllato alle cartelle nell'organizzazione, usare uno strumento di gestione per distribuirlo nei dispositivi della rete. È anche possibile usare Criteri di gruppo, Intune, gestione dei dispositivi mobili (MDM) o Microsoft Configuration Manager per configurare e distribuire l'impostazione, come descritto in Proteggere cartelle importanti con accesso controllato alle cartelle.

  • Se il flusso di lavoro prevede l'utilizzo di cartelle di rete condivise, l'abilitazione dell'accesso controllato alle cartelle può comportare una riduzione significativa delle prestazioni di rete, se le cartelle di rete condivise sono accessibili da un processo non attendibile, in particolare a causa di molte query al server di condivisione file. Assicurarsi che i file server siano ottimizzati per aumentare il traffico di rete, soprattutto se si usano cartelle di rete condivise per i file offline.

  • Alcuni tipi di software di sicurezza degli endpoint o gestione degli asset inseriscono codice in ogni processo che inizia nel sistema. Ciò può comportare che l'accesso controllato alle cartelle non consideri più attendibili le applicazioni note come le applicazioni di Office. È possibile visualizzare il motivo dei rilevamenti di accesso controllato alle cartelle usando l'argomento dello -cfa strumento MDEClientAnalyzer. Se si è interessati, provare ad aggiungere un'esclusione antivirus per il processo di inserimento oppure rivolgersi al fornitore del software di gestione per la firma di tutti i file binari.

Esaminare gli eventi di accesso controllato alle cartelle nel Visualizzatore eventi di Windows

I seguenti eventi di accesso controllato alle cartelle vengono visualizzati nel Visualizzatore eventi di Windows nella cartella Microsoft/Windows/Windows Defender/Operational.

ID evento Descrizione
5007 Evento quando vengono modificate le impostazioni
1124 Evento di accesso controllato alle cartelle controllato
1123 Evento di accesso controllato alle cartelle bloccato

Consiglio

È possibile configurare una sottoscrizione di Inoltro eventi di Windows per raccogliere i log in modo centralizzato.

Personalizzare le cartelle e le app protette

Durante la valutazione, è possibile aggiungere all'elenco di cartelle protette o consentire a determinate app di modificare i file.

Vedere Proteggere cartelle importanti con accesso controllato alle cartelle per configurare la funzionalità con gli strumenti di gestione, inclusi Criteri di gruppo, PowerShell e provider di servizi di configurazione MDM.

Vedere anche

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.