Habilitar o acesso controlado a pastas

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR
• Microsoft Defender Antivírus

Plataformas

• Windows

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

O acesso controlado a pastas ajuda-o a proteger dados valiosos de aplicações e ameaças maliciosas, como ransomware. O acesso controlado a pastas está incluído no Windows 10, Windows 11 e Windows Server 2019. O acesso controlado a pastas também está incluído como parte da solução moderna e unificada para o Windows Server 2012R2 e 2016.

Pode ativar o acesso controlado a pastas através de qualquer um destes métodos:

• Aplicação Segurança do Windows *
• Microsoft Intune
• Gerenciamento de dispositivos móveis (MDM)
• Microsoft Configuration Manager
• Política de grupo
• PowerShell

Dica

Experimente utilizar o modo de auditoria no início para que possa ver como a funcionalidade funciona e rever eventos sem afetar a utilização normal do dispositivo na sua organização.

Observação

Se adicionar exclusões do Antivírus do Microsoft Defender (processo ou caminho) para o binário em questão, o acesso controlado a pastas confia no mesmo e não bloqueia o processo ou caminho. Definições de Política de Grupo que desativam a lista de administradores locais que intercalam substitui as definições de acesso controlado a pastas. Também substituem pastas protegidas e aplicações permitidas definidas pelo administrador local através de acesso controlado a pastas. Essas políticas incluem:

• Antivírus do Microsoft Defender Configurar o comportamento de intercalação de administrador local para listas
• System Center Endpoint Protection Permitir que os utilizadores adicionem exclusões e substituições

Para obter mais informações sobre como desativar a intercalação de listas locais, consulte Impedir ou permitir que os utilizadores modifiquem localmente as definições de política do Antivírus do Microsoft Defender.

O aplicativo Segurança do Windows

1. Abrir o aplicativo de Segurança do Windows selecionando o ícone do escudo na barra de tarefas. Também pode procurar Segurança do Windows no menu Iniciar.

2. Selecione o mosaico Vírus & proteção contra ameaças (ou o ícone de escudo na barra de menus esquerda) e, em seguida, selecione Proteção contra ransomware.

3. Defina o comutador para Acesso controlado a pastas como Ativado.

Observação

• Este método não está disponível no Windows Server 2012 R2 ou Windows Server 2016. Se o acesso controlado a pastas estiver configurado com a Política de Grupo, o PowerShell ou os CSPs mdm, o estado só será alterado na aplicação Segurança do Windows após reiniciar o dispositivo. Se a funcionalidade estiver definida como Modo de auditoria com qualquer uma dessas ferramentas, a aplicação Segurança do Windows mostra o estado como Desativado.

• Se estiver a proteger os dados do perfil de utilizador, o perfil de utilizador deve estar na unidade de instalação predefinida do Windows.

Microsoft Intune

1. Inicie sessão no centro de administração do Microsoft Intune e abra a Segurança do Ponto Final.

2. Aceda aPolítica de Redução da> Superfície de Ataque.

3. Selecione Plataforma, selecione Windows 10, Windows 11 e Windows Server e selecione o perfil Regras de Redução da> Superfície de AtaqueCriar.

4. Atribua um nome à política e adicione uma descrição. Selecione Avançar.

5. Desloque-se para baixo e, no menu pendente Ativar Acesso Controlado a Pastas , selecione uma opção, como Modo de Auditoria.

   Recomendamos que ative o acesso controlado a pastas no modo de auditoria primeiro para ver como irá funcionar na sua organização. Pode defini-lo para outro modo, como Ativado, mais tarde.

6. Para adicionar opcionalmente pastas que devem ser protegidas, selecione Pastas Protegidas de Acesso controlado a Pastas e, em seguida, adicione pastas. Os ficheiros nestas pastas não podem ser modificados ou eliminados por aplicações não fidedignos. Tenha em atenção que as suas pastas de sistema predefinidas são protegidas automaticamente. Pode ver a lista de pastas de sistema predefinidas na aplicação Segurança do Windows num dispositivo Windows. Para saber mais sobre esta definição, consulte Política CSP – Defender: ControlledFolderAccessProtectedFolders.

7. Para adicionar opcionalmente aplicações que devem ser fidedignas, selecione Aplicações Permitidas de Acesso a Pastas Controladas e, em seguida, adicione as aplicações que podem aceder a pastas protegidas. O Antivírus do Microsoft Defender determina automaticamente que aplicações devem ser consideradas fidedignas. Utilize esta definição apenas para especificar aplicações adicionais. Para saber mais sobre esta definição, veja Política CSP – Defender: ControlledFolderAccessAllowedApplications.

8. Selecione o perfil Atribuições, atribua a Todos os Utilizadores & Todos os Dispositivos e selecione Guardar.

9. Selecione Seguinte para guardar cada painel aberto e, em seguida , Criar.

Observação

Os carateres universais são suportados para aplicações, mas não para pastas. As aplicações permitidas continuam a acionar eventos até serem reiniciadas.

Gerenciamento de dispositivos móveis (MDM)

Utilize o fornecedor de serviços de configuração (CSP) ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders para permitir que as aplicações façam alterações às pastas protegidas.

Microsoft Configuration Manager

1. No Microsoft Configuration Manager, aceda a Ativos e Compliance>Endpoint Protection>Windows Defender Exploit Guard.

2. Selecione Base>Criar Política do Exploit Guard.

3. Introduza um nome e uma descrição, selecione Acesso controlado a pastas e selecione Seguinte.

4. Escolha se bloqueia ou audita alterações, permite outras aplicações ou adiciona outras pastas e selecione Seguinte.

   Observação

   O caráter universal é suportado para aplicações, mas não para pastas. As aplicações permitidas continuarão a acionar eventos até serem reiniciadas.

5. Reveja as definições e selecione Seguinte para criar a política.

6. Após a criação da política, Feche.

Política de grupo

1. No dispositivo de gestão da Política de Grupo, abra a Consola de Gestão de Políticas de Grupo, clique com o botão direito do rato no Objeto de Política de Grupo que pretende configurar e selecione Editar.

2. No Editor de Gerenciamento de Política de Grupo, acesse Configuração do Computador e selecione Modelos Administrativos.

3. Expanda a árvore para componentes > do Windows Antivírus do Microsoft Defender Acesso controlado a pastas > do Microsoft Defender Exploit Guard>.

4. Faça duplo clique na definição Configurar acesso controlado a pastas e defina a opção como Ativado. Na secção de opções, tem de especificar uma das seguintes opções:

   • Ativar – as aplicações maliciosas e suspeitas não poderão efetuar alterações a ficheiros em pastas protegidas. Será fornecida uma notificação no registo de eventos do Windows.
   • Desativar (Predefinição) – a funcionalidade de acesso controlado a pastas não funcionará. Todas as aplicações podem efetuar alterações a ficheiros em pastas protegidas.
   • Modo de Auditoria – as alterações serão permitidas se uma aplicação maliciosa ou suspeita tentar efetuar uma alteração a um ficheiro numa pasta protegida. No entanto, será registado no registo de eventos do Windows, onde pode avaliar o impacto na sua organização.
   • Bloquear apenas a modificação do disco – as tentativas de aplicações não fidedignos para escrever em setores de disco serão registadas no registo de Eventos do Windows. Estes registos podem ser encontrados em Registos de Aplicações e Serviços> do Microsoft > Windows > Defender > Operational > ID 1123.
   • Auditar apenas a modificação do disco – apenas as tentativas de escrita em setores de disco protegidos serão registadas no registo de eventos do Windows (em Aplicações e Serviços> Regista o IDOperacional> doMicrosoft>Windows>Defender>1124). As tentativas de modificar ou eliminar ficheiros em pastas protegidas não serão registadas.

   

Importante

Para ativar totalmente o acesso controlado a pastas, tem de definir a opção Política de Grupo como Ativada e selecionar Bloquear no menu pendente opções.

PowerShell

1. Digitar powershell no menu Iniciar, clique com o botão direito do mouse em Windows PowerShell e selecione Executar como administrador.

2. Digite o seguinte cmdlet:

   Set-MpPreference -EnableControlledFolderAccess Enabled
   

   Pode ativar a funcionalidade no modo de auditoria ao especificar AuditMode em vez de Enabled. Utilize Disabled para desativar a funcionalidade.

Confira também

• Proteja pastas importantes com acesso controlado a pastas
• Personalizar o acesso controlado a pastas
• Avaliar o Microsoft Defender para Ponto de Extremidade

Dica

Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.