Personalizar o acesso controlado a pastas

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR
• Microsoft Defender Antivírus

Plataformas

• Windows

Dica

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

O acesso controlado à pasta ajuda você a proteger dados valiosos contra aplicativos mal-intencionados e ameaças, como ransomware. O acesso controlado à pasta tem suporte em clientes do Windows Server 2019, Windows Server 2022, Windows 10 e Windows 11. Este artigo descreve como personalizar os recursos de acesso controlado à pasta e inclui as seguintes seções:

• Proteger pastas adicionais
• Adicionar aplicativos que devem ter permissão para acessar pastas protegidas
• Permitir que arquivos executáveis assinados acessem pastas protegidas
• Personalizar a notificação

Importante

O acesso controlado à pasta monitora aplicativos para atividades detectadas como mal-intencionadas. Às vezes, aplicativos legítimos são impedidos de fazer alterações em seus arquivos. Se o acesso controlado à pasta afetar a produtividade da sua organização, você poderá considerar executar esse recurso no modo de auditoria para avaliar totalmente o impacto.

Proteger pastas adicionais

O acesso controlado à pasta se aplica a muitas pastas do sistema e locais padrão, incluindo pastas como Documentos, Imagens e Filmes. Você pode adicionar outras pastas a serem protegidas, mas não pode remover as pastas padrão na lista padrão.

Adicionar outras pastas ao acesso controlado a pastas pode ser útil para casos em que você não armazena arquivos nas bibliotecas padrão do Windows ou altera o local padrão de suas bibliotecas.

Você também pode especificar compartilhamentos de rede e unidades mapeadas. Há suporte para variáveis de ambiente; no entanto, curingas não são.

Você pode usar o aplicativo Segurança do Windows, Política de Grupo, cmdlets do PowerShell ou provedores de serviços de configuração de gerenciamento de dispositivo móvel para adicionar e remover pastas protegidas.

Use o aplicativo Segurança do Windows para proteger pastas adicionais

1. Abra o aplicativo Segurança do Windows selecionando o ícone de escudo na barra de tarefas ou procurando segurança no menu Iniciar.

2. Selecione Vírus & proteção contra ameaças e, em seguida, role para baixo até a seção proteção do Ransomware .

3. Selecione Gerenciar proteção de ransomware para abrir o painel de proteção do Ransomware .

4. Na seção Acesso controlado à pasta , selecione Pastas protegidas.

5. Escolha Sim no prompt Controle de Acesso de usuário. O painel Pastas protegidas é exibido.

6. Selecione Adicionar uma pasta protegida e siga os prompts para adicionar pastas.

Usar Política de Grupo para proteger pastas adicionais

1. No computador de gerenciamento de Política de Grupo, abra o Console de Gerenciamento de Política de Grupo.

2. Clique com o botão direito do mouse no objeto Política de Grupo que você deseja configurar e selecione Editar.

3. No Editor de Gerenciamento de Política de Grupo, acesseModelos administrativos de políticas> de configuração>de computador.

4. Expanda a árvore para componentes do Windows Microsoft Defender Acesso à pasta Antivírus>>Windows Defender Explore Guard>Controlled.
   OBSERVAÇÃO: Em versões mais antigas do Windows, você pode ver Windows Defender Antivírus em vez de Microsoft Defender Antivírus.

5. Clique duas vezes em Pastas protegidas configuradas e defina a opção como Habilitada. Selecione Mostrar e especifique cada pasta que você deseja proteger.

6. Implante seu objeto Política de Grupo como normalmente faz.

Usar o PowerShell para proteger pastas adicionais

1. Digite PowerShell no menu Iniciar, clique com o botão direito do mouse em Windows PowerShell e selecione Executar como administrador

2. Digite o cmdlet do PowerShell a seguir, substituindo <the folder to be protected> pelo caminho da pasta (como "c:\apps\"):

   Add-MpPreference -ControlledFolderAccessProtectedFolders "<the folder to be protected>"
   

3. Repita a etapa 2 para cada pasta que você deseja proteger. As pastas protegidas estão visíveis no aplicativo Segurança do Windows.

   

Importante

Use Add-MpPreference para acrescentar ou adicionar aplicativos à lista e não Set-MpPreference. O uso do Set-MpPreference cmdlet substituirá a lista existente.

Usar CSPs MDM para proteger pastas adicionais

Use o CSP (provedor de serviços de configuração ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList ) para permitir que os aplicativos façam alterações em pastas protegidas.

Permitir que aplicativos específicos façam alterações em pastas controladas

Você pode especificar se determinados aplicativos são sempre considerados seguros e dar acesso de gravação a arquivos em pastas protegidas. Permitir aplicativos pode ser útil se um aplicativo específico que você conhece e confia está sendo bloqueado pelo recurso de acesso de pasta controlado.

Importante

Por padrão, o Windows adiciona aplicativos considerados amigáveis à lista permitida. Esses aplicativos adicionados automaticamente não são registrados na lista mostrada no aplicativo Segurança do Windows ou usando os cmdlets associados do PowerShell. Você não deve precisar adicionar a maioria dos aplicativos. Adicione somente aplicativos se eles estiverem sendo bloqueados e você puder verificar sua confiabilidade.

Quando você adiciona um aplicativo, você precisa especificar a localização do aplicativo. Somente o aplicativo nesse local terá acesso permitido às pastas protegidas. Se o aplicativo (com o mesmo nome) estiver em um local diferente, ele não será adicionado à lista de permissões e poderá ser bloqueado pelo acesso controlado à pasta.

Um aplicativo ou serviço permitido só tem acesso de gravação a uma pasta controlada após o início. Por exemplo, um serviço de atualização continuará a disparar eventos depois que ele for permitido até que ele seja interrompido e reiniciado.

Use o aplicativo Windows Defender Security para permitir aplicativos específicos

1. Abra o aplicativo Segurança do Windows pesquisando o menu inicial para Segurança.

2. Selecione o bloco proteção contra ameaças & vírus (ou o ícone de escudo na barra de menus à esquerda) e selecione Gerenciar proteção contra ransomware.

3. Na seção Acesso controlado à pasta , selecione Permitir um aplicativo por meio do acesso controlado à pasta

4. Selecione Adicionar um aplicativo permitido e siga os prompts para adicionar aplicativos.

   

Usar Política de Grupo para permitir aplicativos específicos

1. Em seu dispositivo de gerenciamento Política de Grupo, abra o Console de Gerenciamento Política de Grupo, clique com o botão direito do mouse no objeto Política de Grupo que você deseja configurar e selecione Editar.

2. No Editor de Gerenciamento de Política de Grupo, acesse Configuração do Computador e selecione Modelos Administrativos.

3. Expanda a árvore para componentes do Windows Microsoft Defender Acesso à pasta Antivírus>>Windows Defender Explore Guard>Controlled.

4. Clique duas vezes na configuração Configurar aplicativos permitidos e defina a opção como Habilitada. Selecione Mostrar.

5. Adicione o caminho completo ao executável em Nome do Valor. Defina Valor como 0. Por exemplo, para permitir que o Prompt de Comando defina o nome do valor como C:\Windows\System32\cmd.exe. O valor deve ser definido como 0.

Usar o PowerShell para permitir aplicativos específicos

1. Digite PowerShell no menu Iniciar, clique com o botão direito do mouse em Windows PowerShell e selecione Executar como administrador

2. Inserir o seguinte cmdlet:

   Add-MpPreference -ControlledFolderAccessAllowedApplications "<the app that should be allowed, including the path>"
   

   Por exemplo, para adicionar o test.exe executável localizado na pasta C:\apps, o cmdlet seria o seguinte:

   Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"
   

   Continue a usar Add-MpPreference -ControlledFolderAccessAllowedApplications para adicionar mais aplicativos à lista. Os aplicativos adicionados usando esse cmdlet serão exibidos no aplicativo Segurança do Windows.

   

Importante

Use Add-MpPreference para acrescentar ou adicionar aplicativos à lista. O uso do Set-MpPreference cmdlet substituirá a lista existente.

Usar CSPs do MDM para permitir aplicativos específicos

Use o CSP (provedor de serviços de configuração ./Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications ) para permitir que os aplicativos façam alterações em pastas protegidas.

Permitir que arquivos executáveis assinados acessem pastas protegidas

Microsoft Defender para Ponto de Extremidade indicadores de certificado e arquivo podem permitir que arquivos executáveis assinados acessem pastas protegidas. Para obter detalhes da implementação, consulte Create indicadores com base em certificados.

Observação

Isso não se aplica a mecanismos de script, incluindo o Powershell

Personalizar a notificação

Para obter mais informações sobre como personalizar a notificação quando uma regra é disparada e bloqueia um aplicativo ou arquivo, consulte Configurar notificações de alerta no Microsoft Defender para Ponto de Extremidade.

Confira também

• Proteja pastas importantes com acesso controlado a pastas
• Habilitar o acesso controlado a pastas
• Habilitar regras da redução da superfície de ataque

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.