Proteger pastas importantes com acesso controlado a pastas

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2
• Microsoft Defender XDR
• Antivírus do Microsoft Defender

Aplica-se a

• Windows

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

O que é o acesso controlado a pastas?

O acesso controlado a pastas ajuda a proteger os seus dados valiosos contra aplicações e ameaças maliciosas, como ransomware. O acesso controlado a pastas protege os seus dados ao verificar as aplicações relativamente a uma lista de aplicações conhecidas e fidedignas. Suportado no Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 e Windows 11 clientes, o acesso controlado a pastas pode ser ativado com a Aplicação Segurança do Windows, o Ponto Final da Microsoft Configuration Manager ou Intune (para dispositivos geridos).

Nota

Os motores de script não são fidedignos e não pode permitir-lhes o acesso a pastas protegidas controladas. Por exemplo, o PowerShell não é fidedigno pelo acesso controlado a pastas, mesmo que permita com indicadores de certificado e ficheiro.

O acesso controlado a pastas funciona melhor com Microsoft Defender para Endpoint, o que lhe fornece relatórios detalhados sobre eventos e blocos de acesso a pastas controlados como parte dos cenários habituais de investigação de alertas.

Sugestão

Os blocos de acesso controlados a pastas não geram alertas na fila Alertas. No entanto, pode ver informações sobre blocos de acesso controlados a pastas na vista de linha cronológica do dispositivo, ao utilizar a investigação avançada ou com regras de deteção personalizadas.

Como funciona o acesso controlado a pastas?

O acesso controlado a pastas funciona ao permitir apenas que as aplicações fidedignas acedam a pastas protegidas. As pastas protegidas são especificadas quando o acesso controlado a pastas está configurado. Normalmente, as pastas utilizadas frequentemente, como as utilizadas para documentos, imagens, transferências, etc., estão incluídas na lista de pastas controladas.

O acesso controlado a pastas funciona com uma lista de aplicações fidedignas. As aplicações incluídas na lista de software fidedigno funcionam conforme esperado. As aplicações que não estão incluídas na lista são impedidas de efetuar alterações a ficheiros dentro de pastas protegidas.

As aplicações são adicionadas à lista com base na sua prevalência e reputação. As aplicações altamente predominantes em toda a sua organização e que nunca apresentaram qualquer comportamento considerado malicioso são consideradas fidedignas. Essas aplicações são adicionadas automaticamente à lista.

As aplicações também podem ser adicionadas manualmente à lista fidedigna com Configuration Manager ou Intune. Podem ser efetuadas ações adicionais a partir do portal Microsoft Defender.

Por que motivo o acesso controlado a pastas é importante

O acesso controlado a pastas é especialmente útil para ajudar a proteger os seus documentos e informações contra ransomware. Num ataque de ransomware, os seus ficheiros podem ser encriptados e mantidos reféns. Com o acesso controlado a pastas implementado, é apresentada uma notificação no computador onde uma aplicação tentou efetuar alterações a um ficheiro numa pasta protegida. Pode personalizar a notificação com os detalhes da empresa e as informações de contacto. Também pode ativar as regras individualmente para personalizar as técnicas que a funcionalidade monitoriza.

As pastas protegidas incluem pastas de sistema comuns (incluindo setores de arranque) e pode adicionar mais pastas. Também pode permitir que as aplicações lhes dêem acesso às pastas protegidas.

Pode utilizar o modo de auditoria para avaliar o impacto que o acesso controlado a pastas teria na sua organização se estivesse ativado.

O acesso controlado a pastas é suportado nas seguintes versões do Windows:

• Windows 10, versão 1709 e posterior
• Windows 11
• Windows 2012 R2
• Windows 2016
• Windows Server 2019
• Windows Server 2022

As pastas do sistema Windows estão protegidas por predefinição

As pastas do sistema Windows estão protegidas por predefinição, juntamente com várias outras pastas:

As pastas protegidas incluem pastas de sistema comuns (incluindo setores de arranque) e pode adicionar pastas adicionais. Também pode permitir que as aplicações lhes dêem acesso às pastas protegidas. As pastas de sistemas Windows que estão protegidas por predefinição são:

• c:\Users\<username>\Documents
• c:\Users\Public\Documents
• c:\Users\<username>\Pictures
• c:\Users\Public\Pictures
• c:\Users\Public\Videos
• c:\Users\<username>\Videos
• c:\Users\<username>\Music
• c:\Users\Public\Music
• c:\Users\<username>\Favorites

As pastas predefinidas aparecem no perfil do utilizador, em Este PC.

Nota

Pode configurar pastas adicionais como protegidas, mas não pode remover as pastas do sistema Windows que estão protegidas por predefinição.

Requisitos para o acesso controlado a pastas

O acesso controlado a pastas requer a ativação Microsoft Defender proteção do Antivírus em tempo real.

Rever eventos de acesso controlado a pastas no portal do Microsoft Defender

O Defender para Endpoint fornece relatórios detalhados sobre eventos e blocos como parte dos respetivos cenários de investigação de alertas no portal do Microsoft Defender; veja Microsoft Defender para Endpoint no Microsoft Defender XDR.

Pode consultar Microsoft Defender para Endpoint dados através da Investigação avançada. Se estiver a utilizar o modo de auditoria, pode utilizar a investigação avançada para ver como as definições de acesso a pastas controladas afetariam o seu ambiente se estivessem ativadas.

Consulta de exemplo:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Rever eventos de acesso controlado a pastas no Windows Visualizador de Eventos

Pode rever o registo de eventos do Windows para ver eventos criados quando uma aplicação controla blocos de acesso a pastas (ou auditorias):

1. Transfira o Pacote de Avaliação e extraia o ficheiro cfa-events.xml para uma localização facilmente acessível no dispositivo.
2. Escreva Visualizador de eventos no menu Iniciar para abrir a Visualizador de Eventos do Windows.
3. No painel esquerdo, em Ações, selecione Importar vista personalizada....
4. Navegue para onde extraiu cfa-events.xml e selecione-o. Em alternativa, copie o XML diretamente.
5. Selecione OK.

A tabela seguinte mostra eventos relacionados com o acesso controlado a pastas:

ID do Evento	Descrição
5007	Evento quando as definições são alteradas
1124	Evento de acesso controlado a pastas auditadas
1123	Evento de acesso controlado a pastas bloqueado
1127	Evento de bloco de escrita do setor de acesso a pastas controlado bloqueado
1128	Evento de bloco de escrita do setor de acesso a pastas controlado auditado

Ver ou alterar a lista de pastas protegidas

Pode utilizar a aplicação Segurança do Windows para ver a lista de pastas protegidas pelo acesso controlado a pastas.

1. No seu dispositivo Windows 10 ou Windows 11, abra a aplicação Segurança do Windows.
2. Selecione proteção contra vírus e ameaças.
3. Em Proteção contra ransomware, selecione Gerir proteção contra ransomware.
4. Se o acesso controlado a pastas estiver desativado, terá de o ativar. Selecione pastas protegidas.
5. Execute um dos seguintes passos:
   • Para adicionar uma pasta, selecione + Adicionar uma pasta protegida.
   • Para remover uma pasta, selecione-a e, em seguida, selecione Remover.

Nota

As pastas do sistema Windows estão protegidas por predefinição e não pode removê-las da lista. As subpastas também são incluídas na proteção quando adiciona uma nova pasta à lista.

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.