Personalizar o acesso controlado a pastas
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
- Microsoft Defender Antivírus
Plataformas
- Windows
Dica
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
O acesso controlado à pasta ajuda você a proteger dados valiosos contra aplicativos mal-intencionados e ameaças, como ransomware. O acesso controlado à pasta tem suporte em clientes do Windows Server 2019, Windows Server 2022, Windows 10 e Windows 11. Este artigo descreve como personalizar os recursos de acesso controlado à pasta e inclui as seguintes seções:
- Proteger pastas adicionais
- Adicionar aplicativos que devem ter permissão para acessar pastas protegidas
- Permitir que arquivos executáveis assinados acessem pastas protegidas
- Personalizar a notificação
Importante
O acesso controlado à pasta monitora aplicativos para atividades detectadas como mal-intencionadas. Às vezes, aplicativos legítimos são impedidos de fazer alterações em seus arquivos. Se o acesso controlado à pasta afetar a produtividade da sua organização, você poderá considerar executar esse recurso no modo de auditoria para avaliar totalmente o impacto.
Proteger pastas adicionais
O acesso controlado à pasta se aplica a muitas pastas do sistema e locais padrão, incluindo pastas como Documentos, Imagens e Filmes. Você pode adicionar outras pastas a serem protegidas, mas não pode remover as pastas padrão na lista padrão.
Adicionar outras pastas ao acesso controlado a pastas pode ser útil para casos em que você não armazena arquivos nas bibliotecas padrão do Windows ou altera o local padrão de suas bibliotecas.
Você também pode especificar compartilhamentos de rede e unidades mapeadas. Há suporte para variáveis de ambiente; no entanto, curingas não são.
Você pode usar o aplicativo Segurança do Windows, Política de Grupo, cmdlets do PowerShell ou provedores de serviços de configuração de gerenciamento de dispositivo móvel para adicionar e remover pastas protegidas.
Use o aplicativo Segurança do Windows para proteger pastas adicionais
Abra o aplicativo Segurança do Windows selecionando o ícone de escudo na barra de tarefas ou procurando segurança no menu Iniciar.
Selecione Vírus & proteção contra ameaças e, em seguida, role para baixo até a seção proteção do Ransomware .
Selecione Gerenciar proteção de ransomware para abrir o painel de proteção do Ransomware .
Na seção Acesso controlado à pasta , selecione Pastas protegidas.
Escolha Sim no prompt Controle de Acesso de usuário. O painel Pastas protegidas é exibido.
Selecione Adicionar uma pasta protegida e siga os prompts para adicionar pastas.
Usar Política de Grupo para proteger pastas adicionais
No computador de gerenciamento de Política de Grupo, abra o Console de Gerenciamento de Política de Grupo.
Clique com o botão direito do mouse no objeto Política de Grupo que você deseja configurar e selecione Editar.
No Editor de Gerenciamento de Política de Grupo, acesseModelos administrativos de políticas> de configuração>de computador.
Expanda a árvore para componentes do Windows Microsoft Defender Acesso à pasta Antivírus>>Windows Defender Explore Guard>Controlled.
OBSERVAÇÃO: Em versões mais antigas do Windows, você pode ver Windows Defender Antivírus em vez de Microsoft Defender Antivírus.Clique duas vezes em Pastas protegidas configuradas e defina a opção como Habilitada. Selecione Mostrar e especifique cada pasta que você deseja proteger.
Implante seu objeto Política de Grupo como normalmente faz.
Usar o PowerShell para proteger pastas adicionais
Digite PowerShell no menu Iniciar, clique com o botão direito do mouse em Windows PowerShell e selecione Executar como administrador
Digite o cmdlet do PowerShell a seguir, substituindo
<the folder to be protected>
pelo caminho da pasta (como"c:\apps\"
):Add-MpPreference -ControlledFolderAccessProtectedFolders "<the folder to be protected>"
Repita a etapa 2 para cada pasta que você deseja proteger. As pastas protegidas estão visíveis no aplicativo Segurança do Windows.
Importante
Use Add-MpPreference
para acrescentar ou adicionar aplicativos à lista e não Set-MpPreference
. O uso do Set-MpPreference
cmdlet substituirá a lista existente.
Usar CSPs MDM para proteger pastas adicionais
Use o CSP (provedor de serviços de configuração ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList ) para permitir que os aplicativos façam alterações em pastas protegidas.
Permitir que aplicativos específicos façam alterações em pastas controladas
Você pode especificar se determinados aplicativos são sempre considerados seguros e dar acesso de gravação a arquivos em pastas protegidas. Permitir aplicativos pode ser útil se um aplicativo específico que você conhece e confia está sendo bloqueado pelo recurso de acesso de pasta controlado.
Importante
Por padrão, o Windows adiciona aplicativos considerados amigáveis à lista permitida. Esses aplicativos adicionados automaticamente não são registrados na lista mostrada no aplicativo Segurança do Windows ou usando os cmdlets associados do PowerShell. Você não deve precisar adicionar a maioria dos aplicativos. Adicione somente aplicativos se eles estiverem sendo bloqueados e você puder verificar sua confiabilidade.
Quando você adiciona um aplicativo, você precisa especificar a localização do aplicativo. Somente o aplicativo nesse local terá acesso permitido às pastas protegidas. Se o aplicativo (com o mesmo nome) estiver em um local diferente, ele não será adicionado à lista de permissões e poderá ser bloqueado pelo acesso controlado à pasta.
Um aplicativo ou serviço permitido só tem acesso de gravação a uma pasta controlada após o início. Por exemplo, um serviço de atualização continuará a disparar eventos depois que ele for permitido até que ele seja interrompido e reiniciado.
Use o aplicativo Windows Defender Security para permitir aplicativos específicos
Abra o aplicativo Segurança do Windows pesquisando o menu inicial para Segurança.
Selecione o bloco proteção contra ameaças & vírus (ou o ícone de escudo na barra de menus à esquerda) e selecione Gerenciar proteção contra ransomware.
Na seção Acesso controlado à pasta , selecione Permitir um aplicativo por meio do acesso controlado à pasta
Selecione Adicionar um aplicativo permitido e siga os prompts para adicionar aplicativos.
Usar Política de Grupo para permitir aplicativos específicos
Em seu dispositivo de gerenciamento Política de Grupo, abra o Console de Gerenciamento Política de Grupo, clique com o botão direito do mouse no objeto Política de Grupo que você deseja configurar e selecione Editar.
No Editor de Gerenciamento de Política de Grupo, acesse Configuração do Computador e selecione Modelos Administrativos.
Expanda a árvore para componentes do Windows Microsoft Defender Acesso à pasta Antivírus>>Windows Defender Explore Guard>Controlled.
Clique duas vezes na configuração Configurar aplicativos permitidos e defina a opção como Habilitada. Selecione Mostrar.
Adicione o caminho completo ao executável em Nome do Valor. Defina Valor como
0
. Por exemplo, para permitir que o Prompt de Comando defina o nome do valor comoC:\Windows\System32\cmd.exe
. O valor deve ser definido como0
.
Usar o PowerShell para permitir aplicativos específicos
Digite PowerShell no menu Iniciar, clique com o botão direito do mouse em Windows PowerShell e selecione Executar como administrador
Inserir o seguinte cmdlet:
Add-MpPreference -ControlledFolderAccessAllowedApplications "<the app that should be allowed, including the path>"
Por exemplo, para adicionar o test.exe executável localizado na pasta C:\apps, o cmdlet seria o seguinte:
Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"
Continue a usar
Add-MpPreference -ControlledFolderAccessAllowedApplications
para adicionar mais aplicativos à lista. Os aplicativos adicionados usando esse cmdlet serão exibidos no aplicativo Segurança do Windows.
Importante
Use Add-MpPreference
para acrescentar ou adicionar aplicativos à lista. O uso do Set-MpPreference
cmdlet substituirá a lista existente.
Usar CSPs do MDM para permitir aplicativos específicos
Use o CSP (provedor de serviços de configuração ./Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications ) para permitir que os aplicativos façam alterações em pastas protegidas.
Permitir que arquivos executáveis assinados acessem pastas protegidas
Microsoft Defender para Ponto de Extremidade indicadores de certificado e arquivo podem permitir que arquivos executáveis assinados acessem pastas protegidas. Para obter detalhes da implementação, consulte Create indicadores com base em certificados.
Observação
Isso não se aplica a mecanismos de script, incluindo o Powershell
Personalizar a notificação
Para obter mais informações sobre como personalizar a notificação quando uma regra é disparada e bloqueia um aplicativo ou arquivo, consulte Configurar notificações de alerta no Microsoft Defender para Ponto de Extremidade.
Confira também
- Proteja pastas importantes com acesso controlado a pastas
- Habilitar o acesso controlado a pastas
- Habilitar regras da redução da superfície de ataque
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.