Personalizar o acesso controlado a pastas

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2
• Microsoft Defender XDR
• Antivírus do Microsoft Defender

Plataformas

• Windows

Sugestão

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

O acesso controlado a pastas ajuda-o a proteger dados valiosos de aplicações e ameaças maliciosas, como ransomware. O acesso controlado a pastas é suportado no Windows Server 2019, Windows Server 2022, Windows 10 e Windows 11 clientes.

Importante

O acesso controlado a pastas não é suportado em servidores Linux.

Este artigo descreve como personalizar as capacidades de acesso controlado a pastas e inclui as seguintes secções:

• Proteger pastas adicionais
• Adicionar aplicações que devem ter permissão para aceder a pastas protegidas
• Permitir que ficheiros executáveis assinados acedam a pastas protegidas
• Personalizar a notificação

Importante

O acesso controlado a pastas monitoriza as aplicações para atividades que são detetadas como maliciosas. Por vezes, as aplicações legítimas são impedidas de efetuar alterações aos seus ficheiros. Se o acesso controlado a pastas afetar a produtividade da sua organização, poderá considerar executar esta funcionalidade no modo de auditoria para avaliar totalmente o impacto.

Proteger pastas adicionais

O acesso controlado a pastas aplica-se a muitas pastas do sistema e localizações predefinidas, incluindo pastas como Documentos, Imagens e Filmes. Pode adicionar outras pastas a proteger, mas não pode remover as pastas predefinidas na lista predefinida.

Adicionar outras pastas ao acesso controlado a pastas pode ser útil para casos em que não armazena ficheiros nas bibliotecas predefinidas do Windows ou se alterou a localização predefinida das suas bibliotecas.

Também pode especificar partilhas de rede e unidades mapeadas. As variáveis de ambiente são suportadas; no entanto, os carateres universais não são.

Pode utilizar a aplicação Segurança do Windows, Política de Grupo, cmdlets do PowerShell ou fornecedores de serviços de configuração de gestão de dispositivos móveis para adicionar e remover pastas protegidas.

Utilizar a aplicação Segurança do Windows para proteger pastas adicionais

1. Abra a aplicação Segurança do Windows ao selecionar o ícone de escudo na barra de tarefas ou ao procurar segurança no menu Iniciar.

2. Selecione Vírus & proteção contra ameaças e, em seguida, desloque-se para baixo até à secção Proteção contra ransomware .

3. Selecione Gerir proteção contra ransomware para abrir o painel Proteção contra ransomware .

4. Na secção Acesso controlado a pastas , selecione Pastas protegidas.

5. Selecione Sim no pedido Controlo de Acesso utilizador. É apresentado o painel Pastas protegidas .

6. Selecione Adicionar uma pasta protegida e siga as instruções para adicionar pastas.

Utilizar Política de Grupo para proteger pastas adicionais

1. No computador de gestão da Política de Grupo, abra a Consola de Gestão de Políticas de Grupo.

2. Clique com o botão direito do rato no Objeto Política de Grupo que pretende configurar e, em seguida, selecione Editar.

3. No Revisor gestão do Política de Grupo, aceda a Políticas de configuração> do computadorModelos>administrativos.

4. Expanda a árvore para componentes> do Windows Microsoft Defenderacesso controlado a pastas controladas> peloWindows Defender Exploit Guard>.
   NOTA: em versões mais antigas do Windows, poderá ver o Windows Antivírus do Defender em vez de Microsoft Defender Antivírus.

5. Faça duplo clique em Pastas protegidas configuradas e, em seguida, defina a opção como Ativado. Selecione Mostrar e especifique cada pasta que pretende proteger.

6. Implemente o objeto Política de Grupo como costuma fazer.

Utilizar o PowerShell para proteger pastas adicionais

1. Escreva PowerShell no menu Iniciar, clique com o botão direito do rato Windows PowerShell e selecione Executar como administrador

2. Escreva o seguinte cmdlet do PowerShell, substituindo <the folder to be protected> pelo caminho da pasta (como "c:\apps\"):

   Add-MpPreference -ControlledFolderAccessProtectedFolders "<the folder to be protected>"
   

3. Repita o passo 2 para cada pasta que pretende proteger. As pastas protegidas são visíveis na aplicação Segurança do Windows.

   

Importante

Utilize Add-MpPreference para acrescentar ou adicionar aplicações à lista e não Set-MpPreference. A utilização do Set-MpPreference cmdlet substituirá a lista existente.

Utilizar CSPs MDM para proteger pastas adicionais

Utilize o fornecedor de serviços de configuração (CSP) ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList para permitir que as aplicações façam alterações às pastas protegidas.

Permitir que aplicações específicas façam alterações a pastas controladas

Pode especificar se determinadas aplicações são sempre consideradas seguras e conceder acesso de escrita a ficheiros em pastas protegidas. Permitir aplicações pode ser útil se uma determinada aplicação que conhece e a confiança estiver a ser bloqueada pela funcionalidade de acesso controlado a pastas.

Importante

Por predefinição, o Windows adiciona aplicações que são consideradas amigáveis à lista de permissões. Estas aplicações que são adicionadas automaticamente não são registadas na lista apresentada na aplicação Segurança do Windows ou através dos cmdlets do PowerShell associados. Não deve precisar de adicionar a maioria das aplicações. Adicione apenas aplicações se estas estiverem a ser bloqueadas e poderá verificar a respetiva fiabilidade.

Quando adiciona uma aplicação, tem de especificar a localização da aplicação. Apenas a aplicação nessa localização terá permissão para aceder às pastas protegidas. Se a aplicação (com o mesmo nome) estiver numa localização diferente, não será adicionada à lista de permissões e poderá ser bloqueada pelo acesso controlado a pastas.

Uma aplicação ou serviço permitido só tem acesso de escrita a uma pasta controlada depois de ser iniciada. Por exemplo, um serviço de atualização continuará a acionar eventos depois de ser permitido até ser parado e reiniciado.

Utilizar a aplicação Segurança do Windows Defender para permitir aplicações específicas

1. Abra a aplicação Segurança do Windows ao procurar Segurança no menu Iniciar.

2. Selecione o mosaico Vírus & proteção contra ameaças (ou o ícone de escudo na barra de menus esquerda) e, em seguida, selecione Gerir proteção contra ransomware.

3. Na secção Acesso controlado a pastas , selecione Permitir uma aplicação através de Acesso controlado a pastas

4. Selecione Adicionar uma aplicação permitida e siga as instruções para adicionar aplicações.

   

Utilizar Política de Grupo para permitir aplicações específicas

1. No dispositivo de gestão Política de Grupo, abra a Consola de Gestão do Política de Grupo, clique com o botão direito do rato no Objeto de Política de Grupo que pretende configurar e selecione Editar.

2. No Editor de Gestão de Políticas de Grupo, vá para Configuração do computador e selecione Modelos administrativos.

3. Expanda a árvore para componentes> do Windows Microsoft Defenderacesso controlado a pastas controladas> peloWindows Defender Exploit Guard>.

4. Faça duplo clique na definição Configurar aplicações permitidas e, em seguida, defina a opção como Ativado. Selecione Mostrar.

5. Adicione o caminho completo ao executável em Nome do valor. Defina Valor como 0. Por exemplo, para permitir que a Linha de Comandos defina o Nome do valor como C:\Windows\System32\cmd.exe. O valor deve ser definido como 0.

Utilizar o PowerShell para permitir aplicações específicas

1. Escreva PowerShell no menu Iniciar, clique com o botão direito do rato em Windows PowerShell e, em seguida, selecione Executar como administrador

2. Insira o seguinte cmdlet:

   Add-MpPreference -ControlledFolderAccessAllowedApplications "<the app that should be allowed, including the path>"
   

   Por exemplo, para adicionar o test.exe executável localizado na pasta C:\apps, o cmdlet seria o seguinte:

   Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"
   

   Continue a utilizar Add-MpPreference -ControlledFolderAccessAllowedApplications para adicionar mais aplicações à lista. As aplicações adicionadas com este cmdlet serão apresentadas na aplicação Segurança do Windows.

   

Importante

Utilize Add-MpPreference para acrescentar ou adicionar aplicações à lista. A utilização do Set-MpPreference cmdlet substituirá a lista existente.

Utilizar CSPs mdm para permitir aplicações específicas

Utilize o fornecedor de serviços de configuração (CSP) ./Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications para permitir que as aplicações façam alterações às pastas protegidas.

Permitir que ficheiros executáveis assinados acedam a pastas protegidas

Microsoft Defender para Endpoint certificado e indicadores de ficheiro podem permitir que ficheiros executáveis assinados acedam a pastas protegidas. Para obter detalhes sobre a implementação, veja Criar indicadores com base em certificados.

Nota

Isto não se aplica aos motores de scripting, incluindo o Powershell

Personalizar a notificação

Para obter mais informações sobre como personalizar a notificação quando uma regra é acionada e bloqueia uma aplicação ou ficheiro, veja Configurar notificações de alerta no Microsoft Defender para Endpoint.

Consulte também

• Proteger pastas importantes com acesso controlado a pastas
• Ativar o acesso controlado a pastas
• Ativar regras de redução da superfície de ataque

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.