- Le contrôle d'accès aux dossiers limite les applications autorisées à modifier les fichiers dans les emplacements protégés, réduisant ainsi l'impact des ransomwares.
- Ça marche dans Windows 10 Windows 11 et diverses éditions de Windows Server tant que Microsoft Defender est l'antivirus actif.
- Il vous permet d'ajouter des dossiers et des applications de confiance, de les gérer depuis la Sécurité Windows ou de manière centralisée avec Intune, GPO, Configuration Manager et PowerShell.
- Il inclut des modes d'audit et génère des événements détaillés pour examiner les verrous et ajuster les paramètres sans interrompre le travail.
Si vous êtes préoccupé par Ransomware et sécurité de vos fichiers sous Windows 11Il existe une fonctionnalité intégrée que vous avez probablement désactivée et qui peut faire toute la différence : le contrôle d’accès aux dossiers. Ce n’est pas magique et cela ne remplace pas les sauvegardes, mais cela ajoute une couche de protection supplémentaire. De plus, si vous devez modifier les autorisations, vous pouvez… attribuer des autorisations aux dossiers et aux fichiersce qui complique considérablement la vie de malware qui tente de chiffrer ou de supprimer vos documents les plus importants.
Cette fonctionnalité est incluse dans Windows 11, Windows 10 et diverses versions de Windows Server Il s'intègre à Microsoft Defender. Par défaut, il est généralement désactivé car il peut être assez restrictif et bloquer parfois des programmes légitimes, mais vous pouvez le paramétrer selon vos préférences. modifier l'emplacement par défaut, ajouter des dossiers supplémentaires, autoriser des applications spécifiques et même le gérer via la stratégie de groupe, Intune, Configuration Manager ou PowerShell, aussi bien sur les ordinateurs personnels que dans les environnements d'entreprise.
Qu'est-ce que l'accès contrôlé aux dossiers, exactement ?
L'accès contrôlé aux dossiers est une fonctionnalité de Microsoft Defender Antivirus est conçu pour bloquer les ransomwares. et d'autres types de logiciels malveillants qui tentent de modifier ou de supprimer des fichiers dans certains emplacements protégés. Au lieu de bloquer toute activité, il autorise uniquement les applications jugées fiables à modifier ces dossiers.
En pratique, cette protection repose sur un liste des applications de confiance et une autre liste des dossiers protégés. La applications Les applications jouissant d'une bonne réputation et d'une forte présence dans l'écosystème Windows sont automatiquement autorisées, tandis que les applications inconnues ou suspectes ne pourront pas modifier ni supprimer les fichiers situés dans les chemins contrôlés, même si elles pourront les lire.
Il est important de comprendre que cette fonction Cela n'empêche pas les logiciels malveillants de copier ou de lire les données.Ce système bloque les actions de modification, de chiffrement ou de suppression de fichiers protégés. Si un attaquant parvient à infiltrer votre système, il pourra toujours exfiltrer des informations, mais il lui sera beaucoup plus difficile de compromettre vos documents importants.
L'accès contrôlé aux dossiers est conçu pour fonctionner en parallèle avec Microsoft Defender pour point de terminaison et le portail Microsoft Defenderoù vous pouvez consulter des rapports détaillés sur ce qui a été bloqué ou audité, très utiles notamment pour les entreprises afin d'enquêter sur les incidents de sécurité.
Systèmes d'exploitation compatibles et prérequis
Avant d'envisager son activation, il est conseillé de vérifier sur quelles plateformes elle fonctionne. L'accès contrôlé aux dossiers est disponible sur Windows 11, Windows 10 et diverses éditions de Windows Server, en plus de certains systèmes Microsoft spécifiques tels qu'Azure Stack HCI.
Plus précisément, cette fonction est prise en charge par Windows 10 et Windows 11 dans leurs éditions avec Microsoft Defender en tant qu'antivirus, et côté serveur il est pris en charge dans Windows Server 2016 et versions ultérieures, Windows Server 2012 R2, Windows Server 2019 et versions ultérieures, ainsi que dans le système d'exploitation Azure Stack HCI à partir de la version 23H2.
Un détail essentiel est le contrôle d'accès aux dossiers Cela ne fonctionne que lorsque l'antivirus actif est Microsoft Defender.Si vous utilisez un antivirus tiers qui désactive Defender, les paramètres de cette fonctionnalité disparaîtront de l'application Sécurité Windows ou deviendront inopérants, et vous devrez vous fier à la protection anti-ransomware du produit que vous avez installé.
Dans les environnements gérés, outre Defender, les éléments suivants sont requis des outils tels que Microsoft Intune, Configuration Manager ou des solutions MDM compatibles pouvoir déployer et gérer de manière centralisée des politiques d'accès contrôlé aux dossiers sur plusieurs appareils.
Comment fonctionne en interne l'accès contrôlé aux dossiers
Le fonctionnement de cette fonction repose sur deux piliers : d’une part, le dossiers considérés comme protégés et d'autre part, applications considérées comme fiablesToute tentative d'une application non fiable d'écrire, de modifier ou de supprimer des fichiers dans ces dossiers est bloquée ou auditée, selon le mode configuré.
Lorsque cette fonctionnalité est activée, Windows marque un certain nombre d'éléments comme protégés. dossiers utilisateur très courantsCela inclut les fichiers tels que les documents, les images, les vidéos, la musique et les favoris, provenant à la fois du compte actif et des dossiers publics. De plus, certains chemins d'accès du profil système (par exemple, les dossiers Documents du profil système) et des zones critiques du système sont également inclus. Botte.
La liste des applications autorisées est générée à partir de Réputation et prévalence du logiciel dans l'écosystème MicrosoftLes programmes largement utilisés et n'ayant jamais présenté de comportement malveillant sont considérés comme fiables et sont autorisés automatiquement. Les applications moins connues, les outils non officiels ou les fichiers exécutables portables peuvent être bloqués jusqu'à ce que vous les approuviez manuellement.
Dans les organisations commerciales, en plus des listes automatiques, les administrateurs peuvent ajouter ou autoriser des logiciels spécifiques via Microsoft Intune, Configuration Manager, les stratégies de groupe ou les configurations MDM, il est possible d'affiner ce qui est bloqué et ce qui ne l'est pas au sein de l'environnement d'entreprise.
Pour évaluer l'impact avant d'appliquer le blocage rigide, il existe une mode audit Cela permet aux applications de fonctionner normalement tout en consignant les événements qui auraient été bloqués. Ceci permet d'analyser en détail si le passage à un mode de blocage strict perturberait les processus métier ou les applications critiques.
Pourquoi est-ce si important contre les ransomwares ?
Les attaques de ransomware visent à cryptez vos documents et exigez une rançon pour rétablir votre accès. L'accès contrôlé aux dossiers vise précisément à empêcher les applications non autorisées de modifier les fichiers les plus importants pour vous, généralement situés dans Documents, Images, Vidéos ou d'autres dossiers où vous stockez vos projets et vos données personnelles.
Lorsqu'une application inconnue tente d'accéder à un fichier dans un dossier protégé, Windows génère une alerte. notification sur l'appareil signalant le blocageCette alerte peut être personnalisée en environnement professionnel avec des informations de contact internes afin que les utilisateurs sachent qui contacter en cas de besoin ou s'ils pensent qu'il s'agit d'une fausse alerte.
Outre les dossiers utilisateur habituels, le système protège également dossiers système et secteurs de démarrageréduire la surface d'attaque des logiciels malveillants qui tentent de manipuler le démarrage du système ou des composants critiques de Windows.
Un autre avantage est la possibilité d'activer le premier mode d'audit pour analyser l'impactVous pouvez ainsi voir quels programmes auraient été bloqués, consulter les journaux et ajuster les listes de dossiers et d'applications autorisés avant de passer à un blocage strict, évitant ainsi les surprises en environnement de production.
Dossiers protégés par défaut sous Windows
Par défaut, Windows marque un certain nombre d'emplacements de fichiers courants comme protégés. Cela inclut à la fois Les dossiers de profil utilisateur en tant que dossiers publicsAinsi, la plupart de vos documents, photos, musiques et vidéos sont protégés sans que vous ayez à configurer quoi que ce soit de plus.
Entre autres, des itinéraires tels que c:\Utilisateurs\ \Documents et c:\Utilisateurs\Public\Documentsdes équivalents pour les dossiers Images, Vidéos, Musique et Favoris, ainsi que les mêmes chemins d'accès équivalents pour les comptes système tels que LocalService, NetworkService ou systemprofile, à condition que les dossiers existent sur le système.
Ces emplacements sont visibles sur le profil de l'utilisateur, dans « Ce PC » dans l’Explorateur de fichiersPar conséquent, ce sont généralement ceux que vous utilisez quotidiennement sans trop vous soucier de la structure interne des dossiers de Windows.
Il est important de garder à l'esprit qu' Les dossiers protégés par défaut ne peuvent pas être supprimés de la liste.Vous pouvez ajouter d'autres dossiers personnels à d'autres emplacements, mais ceux d'usine restent toujours protégés afin de minimiser le risque de désactiver accidentellement la défense dans les zones clés.
Comment activer l'accès contrôlé aux dossiers depuis la sécurité Windows
Pour la plupart des particuliers et de nombreuses petites entreprises, le moyen le plus simple d'activer cette fonctionnalité est le L'application Sécurité Windows est incluse dans le système.Il n'est pas nécessaire d'installer quoi que ce soit de plus, il suffit de modifier quelques options.
Ouvrez d'abord le menu Démarrer, puis tapez « Sécurité Windows » ou « Sécurité Windows » Ouvrez ensuite l'application. Dans le panneau principal, accédez à la section « Protection contre les virus et les menaces », où se trouvent les options de Defender relatives aux logiciels malveillants.
Sur cet écran, faites défiler vers le bas jusqu'à trouver la section pour « Protection contre les ransomwares » Cliquez ensuite sur « Gérer la protection contre les ransomwares ». Si vous utilisez un antivirus tiers, vous verrez peut-être une référence à ce produit ici. Vous ne pourrez pas utiliser cette fonctionnalité pendant que cet antivirus est actif.
Sur l'écran de protection contre les ransomwares, vous verrez un interrupteur à bascule appelé « Accès contrôlé aux dossiers »Activez-le et, si le système affiche un avertissement de contrôle de compte d'utilisateur (UAC), acceptez-le pour appliquer les modifications avec les privilèges d'administrateur.
Une fois activée, plusieurs options supplémentaires s'afficheront : Historique des blocages, dossiers protégés et la possibilité d'autoriser les applications via un accès contrôlé aux dossiers. Vous pouvez ensuite affiner les paramètres selon vos besoins.
Configurer et ajuster l'accès contrôlé aux dossiers
Une fois la fonction lancée, il est normal que la plupart du temps ne remarquez rien d'inhabituel dans votre vie quotidienneToutefois, vous pouvez occasionnellement recevoir des avertissements si une application que vous utilisez tente d'écrire dans un dossier protégé et ne figure pas sur la liste des applications de confiance.
Si vous recevez des notifications, vous pouvez revenir à Sécurité Windows à tout moment et saisir les informations. Protection antivirus et contre les menaces > Gérer la protection contre les ransomwaresDe là, vous aurez un accès direct aux paramètres de blocage, aux dossiers et aux applications autorisées.
La section de « Historique des blocs » affiche la liste de tous les blocs Le rapport détaille les incidents : le fichier ou l’exécutable bloqué, la date et l’heure, le dossier protégé auquel il tentait d’accéder, et le niveau de gravité (faible, modéré, élevé ou grave). Si vous êtes certain qu’il s’agit d’un programme de confiance, vous pouvez le sélectionner et choisir « Autoriser sur l’appareil » pour le débloquer.
Dans la section « Dossiers protégés », l’application affiche tous les chemins d’accès actuellement protégés par le contrôle d’accès aux dossiers. À partir de là, vous pouvez Ajoutez de nouveaux dossiers ou supprimez ceux que vous avez ajoutés.Cependant, les dossiers Windows par défaut, tels que Documents ou Images, ne peuvent pas être supprimés de la liste.
Si à tout moment vous trouvez cette fonctionnalité trop intrusive, vous pouvez toujours Désactiver à nouveau le commutateur d'accès contrôlé aux dossiers Depuis le même écran, le changement est immédiat et tout redevient comme avant l'activation, même si vous perdrez évidemment cette protection supplémentaire contre les ransomwares.
Ajouter ou supprimer des dossiers protégés supplémentaires
Tout le monde n'enregistre pas ses documents dans les bibliothèques Windows standard. Si vous travaillez habituellement à partir de autres lecteurs, dossiers de projet ou chemins personnalisésVous souhaitez les inclure dans le périmètre de protection pour le contrôle d'accès aux dossiers.
Avec l'application Sécurité Windows, la procédure est très simple : dans la section Protection contre les ransomwares, accédez à « Dossiers protégés » et accepter la notification UAC Si cette option apparaît, vous verrez une liste des dossiers actuellement protégés et un bouton « Ajouter un dossier protégé ».
Appuyer sur ce bouton ouvrira une fenêtre de navigateur afin que Sélectionnez le dossier que vous souhaitez ajouterChoisissez le chemin d'accès (par exemple, un dossier sur un autre disque, un répertoire de travail pour vos projets ou même un lecteur réseau mappé) et confirmez. Dès lors, toute tentative de modification du dossier depuis une application non fiable sera bloquée ou analysée.
Si vous décidez ultérieurement que vous ne souhaitez plus qu'un dossier spécifique soit protégé, vous pouvez Sélectionnez-le dans la liste et appuyez sur « Supprimer ».Vous pouvez uniquement supprimer les dossiers supplémentaires que vous avez ajoutés ; ceux que Windows marque comme protégés par défaut ne peuvent pas être supprimés afin d’éviter de laisser des zones critiques non protégées à votre insu.
En plus des unités locales, vous pouvez spécifier partages réseau et lecteurs réseau mappésIl est possible d'utiliser des variables d'environnement dans les chemins d'accès, bien que les caractères génériques ne soient pas pris en charge. Cela offre une grande flexibilité pour sécuriser les emplacements dans des environnements plus complexes ou avec des scripts de configuration automatisés.
Autoriser les applications de confiance qui ont été bloquées
Il est assez fréquent qu'après l'activation de cette fonctionnalité, certaines applications légitimes soient affectées, notamment si Il enregistre les données dans Documents, Images ou dans un dossier protégé.Les jeux PC, les outils bureautiques moins connus ou les programmes plus anciens peuvent se bloquer lors de la saisie de texte.
Dans ces cas, la Sécurité Windows offre elle-même l'option « Autoriser une application à accéder aux dossiers de manière contrôlée »Depuis le panneau de protection contre les ransomwares, accédez à cette section et cliquez sur « Ajouter une application autorisée ».
Vous pouvez choisir d'ajouter des applications à partir de la liste des « Applications récemment bloquées » (très pratique si quelque chose a déjà été bloqué et que vous souhaitez simplement l'autoriser) ou parcourez toutes les applications pour anticiper et marquer comme fiables certains programmes qui, vous le savez, auront besoin d'écrire dans des dossiers protégés.
Lors de l'ajout d'une application, il est important que Spécifiez le chemin exact vers le fichier exécutable.Seul cet emplacement précis sera autorisé ; si le programme existe dans un autre chemin portant le même nom, il ne sera pas automatiquement ajouté à la liste des emplacements autorisés et pourra toujours être bloqué par le contrôle d’accès aux dossiers.
Il est important de garder à l'esprit que, même après avoir autorisé une application ou un service, Les processus en cours peuvent continuer à générer des événements jusqu'à ce qu'ils s'arrêtent et redémarrent. Autrement dit, vous devrez peut-être redémarrer l'application (ou le service lui-même) pour que la nouvelle exception soit pleinement prise en compte.
Gestion d'entreprise avancée : Intune, Configuration Manager et stratégie de groupe
En entreprise, il n'est pas courant de modifier manuellement les paramètres équipe par équipe, mais définir des politiques centralisées qui sont déployées de manière contrôlée. L'accès contrôlé aux dossiers est intégré à divers outils de gestion des périphériques Microsoft.
Avec Microsoft Intune, par exemple, vous pouvez créer un Directive sur la réduction de la surface d'attaque Pour Windows 10, Windows 11 et Windows Server. Dans le profil, une option spécifique permet de contrôler l'accès aux dossiers et de choisir entre différents modes : « Activé », « Désactivé », « Mode audit », « Bloquer la modification du disque uniquement » ou « Auditer la modification du disque uniquement ».
À partir de cette même directive dans Intune, il est possible ajouter des dossiers protégés supplémentaires (qui se synchronisent avec l'application Sécurité Windows sur les appareils) et spécifient également les applications de confiance qui auront toujours l'autorisation d'écrire dans ces dossiers. Ceci complète la détection automatique de Defender basée sur la réputation.
Si votre organisation utilise Microsoft Configuration Manager, vous pouvez également déployer des stratégies pour windows Defender Exploit GuardDans « Actifs et conformité > Protection des points de terminaison > Windows Defender Exploit Guard », une stratégie de protection contre les vulnérabilités est créée, l'option d'accès contrôlé aux dossiers est sélectionnée et vous choisissez de bloquer les modifications, d'effectuer uniquement un audit, d'autoriser d'autres applications ou d'ajouter d'autres dossiers.
En revanche, cette fonction peut être gérée de manière très granulaire à l'aide des objets de stratégie de groupe (GPO). Éditeur de gestion des stratégies de groupeDans Configuration ordinateur > Modèles d'administration, vous pouvez accéder aux composants Windows correspondant à Microsoft Defender Antivirus et à sa section Exploit Guard, où se trouvent plusieurs stratégies relatives au contrôle d'accès aux dossiers.
Ces politiques comprennent les éléments suivants : « Configurer l’accès contrôlé aux dossiers », qui vous permet de définir le mode (Activé, Désactivé, Mode audit, Bloquer uniquement la modification du disque, Auditer uniquement la modification du disque), ainsi que des entrées pour « Dossiers protégés configurés » ou « Configurer les applications autorisées », où les chemins d'accès aux dossiers et aux exécutables sont saisis avec la valeur indiquée pour les marquer comme autorisés.
Utilisation de PowerShell et du CSP MDM pour automatiser la configuration
Pour les administrateurs et les utilisateurs avancés, PowerShell offre une méthode très simple pour activer, désactiver ou ajuster l'accès contrôlé aux dossiers L'utilisation des cmdlets Microsoft Defender est particulièrement utile pour les scripts de déploiement, l'automatisation ou l'application de modifications par lots.
Pour commencer, ouvrez une fenêtre PowerShell avec des privilèges élevés : recherche Dans le menu Démarrer, cliquez avec le bouton droit sur « PowerShell » et choisissez « Exécuter en tant qu'administrateur ».Une fois à l'intérieur, vous pouvez activer la fonction en utilisant l'applet de commande :
exemple: Set-MpPreference -EnableControlledFolderAccess Enabled
Si vous souhaitez évaluer un comportement sans rien bloquer, vous pouvez utiliser mode audit En remplaçant « Enabled » par « AuditMode », et si vous souhaitez désactiver complètement cette fonction, il vous suffit de spécifier « Disabled » dans ce même paramètre. Cela vous permet de passer rapidement d'un mode à l'autre selon vos besoins.
Pour protéger des dossiers supplémentaires contre PowerShell, il existe une cmdlet Ajouter-PréférenceMp -AccèsContrôléDossiersProtectés, auquel vous transmettez le chemin d'accès au dossier que vous souhaitez protéger, par exemple :
exemple: Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\apps/"
De même, vous pouvez autoriser des applications spécifiques avec l'applet de commande. Ajouter-PréférenceMp -AccèsContrôléAuxDossiersApplicationsAutoriséesSpécifiez le chemin complet vers l'exécutable. Par exemple, si vous souhaitez autoriser un programme nommé test.exe situé dans c:\apps, vous utiliserez :
exemple: Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"
Dans les scénarios de gestion mobiles (MDM), la configuration est exposée via différents Fournisseurs de services de configuration (CSP), comme Defender/GuardedFoldersList pour les dossiers protégés ou Defender/ControlledFolderAccessAllowedApplications pour les applications autorisées, ce qui permet d'intégrer ces politiques dans des solutions MDM compatibles de manière centralisée.
Journalisation des événements et surveillance des incidents
Pour bien comprendre ce qui se passe au sein de vos équipes, il est essentiel d'examiner les événements générés par l'accès contrôlé aux dossiers lorsqu'il bloque ou audite des actions. Cela peut se faire à la fois depuis le portail Microsoft Defender et directement dans l'Observateur d'événements Windows.
Dans les entreprises qui utilisent Microsoft Defender pour les terminaux, le portail Microsoft Defender propose rapports détaillés des événements et des blocages En lien avec l'accès contrôlé aux dossiers, intégré aux scénarios d'investigation d'alertes habituels, vous pouvez même lancer des recherches avancées (analyse approfondie) pour examiner les tendances sur tous les appareils.
Par exemple, un Requête DeviceEvents Un exemple typique pourrait être :
exemple: DeviceEvents | where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
Dans les équipes individuelles, vous pouvez compter sur le Observateur d'événements WindowsMicrosoft propose une vue personnalisée (fichier cfa-events.xml) qui peut être importée pour visualiser de manière centralisée les événements d'accès contrôlé aux dossiers. Cette vue regroupe des entrées telles que l'événement 5007 (modification de la configuration), les événements 1123 et 1124 (blocage ou audit de l'accès contrôlé aux dossiers) et les événements 1127/1128 (blocage ou audit de l'écriture sur les secteurs de disque protégés).
Lorsqu'un blocage se produit, l'utilisateur voit généralement aussi un notification dans le système indiquant que des modifications non autorisées ont été bloquéesPar exemple, avec des messages tels que « L’accès contrôlé au dossier a empêché C:\…\ApplicationName… d’apporter des modifications à la mémoire », et l’historique de protection reflète des événements tels que « L’accès à la mémoire protégée a été bloqué » avec la date et l’heure.
L'accès contrôlé aux dossiers devient un outil très puissant pour entraver sérieusement les ransomwares et autres menaces qui tentent de détruire vos fichiers, tout en restant flexible grâce aux modes d'audit, aux listes de dossiers et d'applications autorisés, et à l'intégration avec les outils d'administration. Correctement configurée et associée à des sauvegardes régulières et à un antivirus à jour, elle constitue l'une des meilleures fonctionnalités de Windows 11 pour protéger vos documents les plus importants.
Écrivain passionné par le monde des octets et de la technologie en général. J'aime partager mes connaissances à travers l'écriture, et c'est ce que je vais faire dans ce blog, vous montrer toutes les choses les plus intéressantes sur les gadgets, les logiciels, le matériel, les tendances technologiques et plus encore. Mon objectif est de vous aider à naviguer dans le monde numérique de manière simple et divertissante.