Avaliar o acesso controlado a pastas
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
- Antivírus do Microsoft Defender
Plataformas
- Windows
Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
O acesso controlado a pastas é uma funcionalidade que ajuda a proteger os seus documentos e ficheiros contra modificações por aplicações suspeitas ou maliciosas. O acesso controlado a pastas é suportado no Windows Server 2019, Windows Server 2022, Windows 10 e Windows 11 clientes.
É especialmente útil para ajudar a proteger contra ransomware que tenta encriptar os seus ficheiros e mantê-los reféns.
Este artigo ajuda-o a avaliar o acesso controlado a pastas. Explica como ativar o modo de auditoria para que possa testar a funcionalidade diretamente na sua organização.
Utilizar o modo de auditoria para medir o impacto
Ative o acesso controlado a pastas no modo de auditoria para ver um registo do que poderia ocorrer se estivesse ativado. Teste como a funcionalidade funciona na sua organização para garantir que não afeta as suas aplicações de linha de negócio. Também pode ter uma ideia de quantas tentativas suspeitas de modificação de ficheiros ocorrem geralmente durante um determinado período de tempo.
Para ativar o modo de auditoria, utilize o seguinte cmdlet do PowerShell:
Set-MpPreference -EnableControlledFolderAccess AuditMode
Sugestão
Se quiser auditar totalmente o funcionamento controlado do acesso a pastas na sua organização, terá de utilizar uma ferramenta de gestão para implementar esta definição em dispositivos nas suas redes. Também pode utilizar Política de Grupo, Intune, gestão de dispositivos móveis (MDM) ou Microsoft Configuration Manager para configurar e implementar a definição, conforme descrito no tópico de acesso a pastas controladas principal.
Rever eventos de acesso controlado a pastas no Windows Visualizador de Eventos
Os seguintes eventos de acesso controlado a pastas são apresentados no Windows Visualizador de Eventos na pasta Microsoft/Windows/Windows Defender/Operational.
| ID do Evento | Descrição |
|---|---|
| 5007 | Evento quando as definições são alteradas |
| 1124 | Evento de acesso controlado a pastas auditadas |
| 1123 | Evento de acesso controlado a pastas bloqueado |
Sugestão
Pode configurar uma subscrição de Reencaminhamento de Eventos do Windows para recolher os registos centralmente.
Personalizar pastas e aplicações protegidas
Durante a avaliação, poderá querer adicionar à lista de pastas protegidas ou permitir que determinadas aplicações modifiquem ficheiros.
Veja Proteger pastas importantes com acesso controlado a pastas para configurar a funcionalidade com ferramentas de gestão, incluindo Política de Grupo, PowerShell e fornecedores de serviços de configuração MDM (CSPs).
Consulte também
- Proteger pastas importantes com acesso controlado a pastas
- Avaliar o Microsoft Defender para Endpoint
- Utilizar o modo de auditoria
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários