Come abilitare o disabilitare l'accesso controllato alle cartelle in Windows 11

Se sei preoccupato per Ransomware e sicurezza dei tuoi file in Windows 11Probabilmente hai disattivato una funzionalità integrata che può fare una grande differenza: l'Accesso Controllato alle Cartelle. Non è una magia e non sostituisce i backup, ma aggiunge un ulteriore livello di protezione e, se hai bisogno di modificare le autorizzazioni, puoi... assegnare permessi a cartelle e fileil che rende la vita molto più complicata per il malware che tenta di crittografare o eliminare i tuoi documenti più importanti.

Questa funzionalità è inclusa in Windows 11, Windows 10 e varie versioni di Windows Server e si integra con Microsoft Defender. Di default, è solitamente disabilitato perché può essere un po' restrittivo e a volte blocca programmi legittimi, ma è possibile modificarlo a proprio piacimento. cambia posizione predefinita, aggiungere cartelle extra, consentire applicazioni specifiche e persino gestirlo tramite criteri di gruppo, Intune, Configuration Manager o PowerShell, sia sui computer domestici che in ambienti aziendali.

Che cosa si intende esattamente per accesso controllato alle cartelle?

L'accesso controllato alle cartelle è una funzionalità di Microsoft Defender Antivirus progettato per bloccare il ransomware e altri tipi di malware che tentano di modificare o eliminare file in determinate posizioni protette. Invece di bloccare tutto ciò che è in esecuzione, consente solo alle applicazioni ritenute attendibili di apportare modifiche a tali cartelle.

In pratica, questa protezione si basa su un elenco di applicazioni attendibili e un altro elenco di cartelle protette. I applicazioni Le app con una buona reputazione e un'elevata diffusione nell'ecosistema Windows vengono automaticamente autorizzate, mentre le applicazioni sconosciute o sospette non potranno modificare o eliminare file nei percorsi controllati, sebbene possano leggerli.

È importante capire che questa funzione Non impedisce al malware di copiare o leggere i datiCiò che blocca sono le azioni volte a modificare, crittografare o eliminare file protetti. Se un aggressore riesce a infiltrarsi nel tuo sistema, potrebbe comunque esfiltrare informazioni, ma gli sarà molto più difficile compromettere i tuoi documenti chiave.

L'accesso controllato alle cartelle è progettato per funzionare fianco a fianco con Microsoft Defender per endpoint e il portale Microsoft Defenderdove è possibile visualizzare report dettagliati su ciò che è stato bloccato o controllato, molto utile soprattutto nelle aziende per indagare sugli incidenti di sicurezza.

Sistemi operativi compatibili e prerequisiti

Prima di considerare l'attivazione, è una buona idea sapere su quali piattaforme funziona. L'accesso controllato alle cartelle è disponibile su Windows 11, Windows 10 e varie edizioni di Windows Server, oltre ad alcuni sistemi Microsoft specifici come Azure Stack HCI.

Più specificatamente, la funzione è supportata in Windows 10 e Windows 11 nelle loro edizioni con Microsoft Defender come antivirus e, sul lato server, è supportato in Windows Server 2016 e versioni successive, Windows Server 2012 R2, Windows Server 2019 e successivi, nonché nel sistema operativo Azure Stack HCI dalla versione 23H2.

Un dettaglio fondamentale è l'accesso controllato alle cartelle Funziona solo quando l'antivirus attivo è Microsoft Defender.Se utilizzi un antivirus di terze parti che disabilita Defender, le impostazioni per questa funzionalità scompariranno dall'app Sicurezza di Windows o diventeranno inattive e dovrai affidarti alla protezione anti-ransomware del prodotto che hai installato.

Negli ambienti gestiti, oltre a Defender, sono richiesti i seguenti elementi: strumenti come Microsoft Intune, Configuration Manager o soluzioni MDM compatibili per poter distribuire e gestire centralmente i criteri di accesso alle cartelle controllate su più dispositivi.

Come funziona internamente l'accesso controllato alle cartelle

Il comportamento di questa funzione si basa su due pilastri: da un lato, la cartelle considerate protette e d'altra parte il applicazioni considerate affidabiliQualsiasi tentativo da parte di un'app non attendibile di scrivere, modificare o eliminare file in tali cartelle viene bloccato o controllato, a seconda della modalità configurata.

Quando la funzionalità è abilitata, Windows contrassegna una serie di elementi come protetti. cartelle utente molto comuniSono inclusi file come Documenti, Immagini, Video, Musica e Preferiti, sia dall'account attivo che dalle cartelle pubbliche. Inoltre, sono inclusi anche alcuni percorsi del profilo di sistema (ad esempio, le cartelle Documenti nel profilo di sistema) e aree critiche del sistema. Boot.

L'elenco delle applicazioni consentite viene generato da Reputazione e prevalenza del software nell'ecosistema MicrosoftI programmi ampiamente utilizzati che non hanno mai mostrato comportamenti dannosi sono considerati affidabili e vengono autorizzati automaticamente. Altre applicazioni meno note, strumenti homebrew o eseguibili portatili potrebbero essere bloccati fino a quando non vengono approvati manualmente.

Nelle organizzazioni aziendali, oltre agli elenchi automatici, gli amministratori possono aggiungere o consentire software specifici tramite Microsoft Intune, Configuration Manager, criteri di gruppo o configurazioni MDM, ottimizzando ciò che è bloccato e ciò che non lo è nell'ambiente aziendale.

Per valutare l'impatto prima di applicare il blocco rigido, c'è un modalità di controllo Ciò consente alle applicazioni di funzionare normalmente, ma registra gli eventi che sarebbero stati bloccati. Ciò consente di verificare in modo dettagliato se il passaggio alla modalità di blocco rigoroso potrebbe interrompere i processi aziendali o le applicazioni critiche.

Perché è così importante contro i ransomware?

Gli attacchi ransomware sono mirati a crittografare i tuoi documenti e richiedere un riscatto per ripristinare l'accesso. L'accesso controllato alle cartelle si concentra proprio sull'impedire ad applicazioni non autorizzate di modificare i file più importanti per te, che di solito si trovano in Documenti, Immagini, Video o altre cartelle in cui archivi i tuoi progetti e dati personali.

Quando un'applicazione sconosciuta tenta di accedere a un file in una cartella protetta, Windows genera un notifica sul dispositivo che avvisa del bloccoQuesto avviso può essere personalizzato in ambienti aziendali con informazioni di contatto interne, in modo che gli utenti sappiano chi contattare se hanno bisogno di aiuto o se ritengono che si tratti di un falso positivo.

Oltre alle solite cartelle utente, il sistema protegge anche cartelle di sistema e settori di avvioriducendo la superficie di attacco del malware che tenta di manipolare l'avvio del sistema o i componenti critici di Windows.

Un altro vantaggio è la possibilità di attivare il primo modalità di audit per analizzare l'impattoIn questo modo è possibile vedere quali programmi sarebbero stati bloccati, esaminare i registri e modificare gli elenchi di cartelle e applicazioni consentite prima di passare a un blocco rigoroso, evitando sorprese in un ambiente di produzione.

Cartelle protette per impostazione predefinita in Windows

Per impostazione predefinita, Windows contrassegna come protetti un certo numero di percorsi di file comuni. Ciò include entrambi cartelle del profilo utente come cartelle pubblichein modo che la maggior parte dei tuoi documenti, foto, musica e video siano protetti senza che tu debba configurare nulla di aggiuntivo.

Tra gli altri, percorsi come c:\Utenti\ \Documenti e c:\Utenti\Pubblico\Documentiequivalenti per Immagini, Video, Musica e Preferiti, nonché gli stessi percorsi equivalenti per gli account di sistema quali LocalService, NetworkService o systemprofile, a condizione che le cartelle esistano nel sistema.

Queste posizioni sono visualizzate in modo visibile sul profilo dell'utente, all'interno "Questo PC" in Esplora fileDi conseguenza, si tratta solitamente di quelli che si utilizzano quotidianamente, senza dover pensare troppo alla struttura delle cartelle interne di Windows.

È importante porre attenzione Le cartelle protette predefinite non possono essere rimosse dall'elencoÈ possibile aggiungere altre cartelle personalizzate in altre posizioni, ma quelle predefinite rimangono sempre protette per ridurre al minimo il rischio di disattivare accidentalmente la difesa in aree chiave.

Come abilitare l'accesso controllato alle cartelle da Sicurezza di Windows

Per la maggior parte degli utenti domestici e per molte piccole imprese, il modo più semplice per attivare questa funzione è Applicazione di sicurezza di Windows inclusa nel sistemaNon è necessario installare nulla di aggiuntivo, basta modificare alcune opzioni.

Per prima cosa, apri il menu Start, digita "Sicurezza di Windows" o "Sicurezza di Windows" e apri l'applicazione. Nel pannello principale, vai alla sezione "Protezione da virus e minacce", dove si trovano le opzioni di Defender relative al malware.

All'interno di quella schermata, scorri verso il basso fino a trovare la sezione per “Protezione contro il ransomware” e clicca su "Gestisci protezione ransomware". Se stai utilizzando un antivirus di terze parti, potresti vedere un riferimento a quel prodotto qui e Non potrai utilizzare questa funzionalità mentre l'antivirus è attivo.

Nella schermata di protezione ransomware vedrai un interruttore a levetta chiamato “Accesso controllato alle cartelle”Attivalo e, se il sistema visualizza un avviso di Controllo account utente (UAC), accettalo per applicare le modifiche con privilegi di amministratore.

Una volta abilitata, verranno visualizzate diverse opzioni aggiuntive: Cronologia dei blocchi, Cartelle protette e la possibilità di consentire l'accesso alle applicazioni tramite accesso controllato alle cartelle. Da qui è possibile perfezionare le impostazioni in base alle proprie esigenze.

Configurare e regolare l'accesso controllato alle cartelle

Una volta che la funzione è in esecuzione, è normale che la maggior parte delle volte non notare nulla di insolito nella tua vita quotidianaTuttavia, potresti occasionalmente ricevere avvisi se un'applicazione che utilizzi tenta di scrivere in una cartella protetta e non è presente nell'elenco delle applicazioni attendibili.

Se ricevi notifiche, puoi tornare a Sicurezza di Windows in qualsiasi momento e accedere Protezione antivirus e dalle minacce > Gestisci la protezione dal ransomwareDa lì avrai accesso diretto alle impostazioni per il blocco, le cartelle e le app consentite.

La sezione di “Cronologia blocchi” mostra l’elenco di tutti i blocchi Il rapporto descrive in dettaglio gli incidenti: quale file o eseguibile è stato bloccato, quando, a quale cartella protetta stava tentando di accedere e il livello di gravità (basso, moderato, alto o grave). Se sei certo che si tratti di un programma attendibile, puoi selezionarlo e scegliere "Consenti sul dispositivo" per sbloccarlo.

Nella sezione "Cartelle protette", l'applicazione visualizza tutti i percorsi attualmente protetti dall'accesso controllato alle cartelle. Da lì è possibile aggiungi nuove cartelle o rimuovi quelle che hai aggiuntoTuttavia, le cartelle predefinite di Windows, come Documenti o Immagini, non possono essere rimosse dall'elenco.

Se in qualsiasi momento ritieni che la funzionalità sia troppo invadente, puoi sempre disattivare nuovamente l'interruttore di accesso alla cartella controllata Dalla stessa schermata. La modifica è immediata e tutto torna come prima dell'attivazione, anche se ovviamente perderai quella barriera extra contro i ransomware.

Aggiungere o rimuovere ulteriori cartelle protette

Non tutti salvano i propri documenti nelle librerie standard di Windows. Se di solito lavori da altre unità, cartelle di progetto o percorsi personalizzatiSiete interessati a includerli nell'ambito della protezione per l'accesso controllato alle cartelle.

Utilizzando l'app Sicurezza di Windows, il processo è molto semplice: nella sezione protezione ransomware, vai a “Cartelle protette” e accettare l’avviso UAC Se appare, vedrai un elenco delle cartelle attualmente protette e un pulsante "Aggiungi una cartella protetta".

Premendo quel pulsante si aprirà una finestra del browser in modo che Seleziona la cartella che vuoi aggiungereScegli il percorso (ad esempio, una cartella su un'altra unità, una directory di lavoro per i tuoi progetti o anche un'unità di rete mappata) e conferma. Da quel momento in poi, qualsiasi tentativo di modificare la cartella da un'app non attendibile verrà bloccato o controllato.

Se in seguito decidi che non desideri più che una cartella specifica sia protetta, puoi Selezionalo dall'elenco e premi "Rimuovi"È possibile eliminare solo le cartelle aggiuntive aggiunte; quelle che Windows contrassegna come protette per impostazione predefinita non possono essere eliminate, per evitare di lasciare aree critiche non protette senza che l'utente se ne accorga.

Oltre alle unità locali, è possibile specificare condivisioni di rete e unità mappateÈ possibile utilizzare variabili d'ambiente nei percorsi, sebbene i caratteri jolly non siano supportati. Ciò offre una notevole flessibilità per proteggere le posizioni in ambienti più complessi o con script di configurazione automatizzati.

Consenti le app attendibili che sono state bloccate

È abbastanza comune che, dopo aver attivato la funzionalità, alcune applicazioni legittime siano interessate, soprattutto se Salva i dati in Documenti, Immagini o in una cartella protetta.I giochi per PC, gli strumenti per ufficio meno noti o i programmi più vecchi potrebbero bloccarsi quando si tenta di digitare.

Per questi casi, la Sicurezza di Windows stessa offre l'opzione "Consentire a un'applicazione l'accesso controllato alle cartelle"Dal pannello di protezione ransomware, vai a questa sezione e clicca su "Aggiungi un'applicazione consentita".

Puoi scegliere di aggiungere applicazioni dall'elenco di “App bloccate di recente” (molto comodo se qualcosa è già stato bloccato e vuoi semplicemente consentirlo) oppure sfogliare tutte le applicazioni per individuare e contrassegnare come attendibili determinati programmi che sai che dovranno scrivere su cartelle protette.

Quando si aggiunge un'applicazione, è importante che specificare il percorso esatto dell'eseguibileSarà consentita solo quella posizione specifica; se il programma esiste in un altro percorso con lo stesso nome, non verrà aggiunto automaticamente all'elenco consentito e potrebbe comunque essere bloccato dall'accesso controllato alle cartelle.

È importante tenere presente che, anche dopo aver consentito un'app o un servizio, I processi in corso possono continuare a generare eventi finché non si arrestano e si riavviano. In altre parole, potrebbe essere necessario riavviare l'applicazione (o il servizio stesso) affinché la nuova eccezione abbia pieno effetto.

Gestione aziendale avanzata: Intune, Configuration Manager e criteri di gruppo

Negli ambienti aziendali, non è prassi comune modificare manualmente le impostazioni per ogni singolo team, ma definire politiche centralizzate distribuiti in modo controllato. L'accesso controllato alle cartelle è integrato con vari strumenti di gestione dei dispositivi Microsoft.

Con Microsoft Intune, ad esempio, puoi creare un Direttiva sulla riduzione della superficie di attacco Per Windows 10, Windows 11 e Windows Server. All'interno del profilo è presente un'opzione specifica per abilitare l'accesso controllato alle cartelle, consentendo di scegliere tra modalità come "Abilitato", "Disabilitato", "Modalità di controllo", "Blocca solo le modifiche al disco" o "Controlla solo le modifiche al disco".

Da quella stessa direttiva in Intune è possibile aggiungere ulteriori cartelle protette (che si sincronizzano con l'app Sicurezza di Windows sui dispositivi) e specificano anche le app attendibili che avranno sempre l'autorizzazione a scrivere in quelle cartelle. Questo integra il rilevamento automatico basato sulla reputazione di Defender.

Se la tua organizzazione utilizza Microsoft Configuration Manager, puoi anche distribuire criteri per Windows Defender Exploit GuardDa "Risorse e conformità > Endpoint Protection > Windows Defender Exploit Guard" viene creato un criterio di protezione dalle vulnerabilità, viene selezionata l'opzione di accesso controllato alle cartelle e si sceglie se bloccare le modifiche, solo eseguire l'audit, consentire altre app o aggiungere altre cartelle.

D'altro canto, questa funzione può essere gestita in modo molto granulare utilizzando gli oggetti Criteri di gruppo (GPO). Editor di gestione dei criteri di gruppoIn Configurazione computer > Modelli amministrativi, è possibile accedere ai componenti di Windows corrispondenti a Microsoft Defender Antivirus e alla sua sezione Exploit Guard, dove sono presenti diversi criteri relativi all'accesso controllato alle cartelle.

Tali politiche includono quanto segue: “Configura l’accesso controllato alle cartelle”, che consente di impostare la modalità (Abilitata, Disabilitata, Modalità di controllo, Blocca solo modifica disco, Controlla solo modifica disco), nonché le voci per "Cartelle protette configurate" o "Configura applicazioni consentite", in cui vengono immessi i percorsi delle cartelle e dei file eseguibili insieme al valore indicato per contrassegnarli come consentiti.

Utilizzo di PowerShell e MDM CSP per automatizzare la configurazione

Per gli amministratori e gli utenti avanzati, PowerShell offre un modo molto semplice per attivare, disattivare o regolare l'accesso controllato alle cartelle utilizzando i cmdlet di Microsoft Defender. Questa funzionalità è particolarmente utile per script di distribuzione, automazione o applicazione di modifiche in batch.

Per iniziare, apri una finestra di PowerShell con privilegi elevati: cerca “PowerShell” nel menu Start, fare clic con il pulsante destro del mouse e scegliere “Esegui come amministratore”Una volta dentro, puoi attivare la funzione utilizzando il cmdlet:

Esempio: Set-MpPreference -EnableControlledFolderAccess Enabled

Se vuoi valutare il comportamento senza effettivamente bloccare nulla, puoi usare modalità di controllo Sostituendo Enabled con AuditMode, e se in qualsiasi momento si desidera disabilitarlo completamente, è sufficiente specificare Disabled nello stesso parametro. Ciò consente di passare rapidamente da una modalità all'altra in base alle esigenze.

Per proteggere cartelle aggiuntive da PowerShell, esiste il cmdlet Add-MpPreference -ControlledFolderAccessProtectedFolders, a cui si passa il percorso della cartella che si desidera proteggere, ad esempio:

Esempio: Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\apps/"

Allo stesso modo, è possibile consentire applicazioni specifiche con il cmdlet Add-MpPreference -ControlledFolderAccessAllowedApplicationsspecificando il percorso completo dell'eseguibile. Ad esempio, se si desidera autorizzare un programma chiamato test.exe in c:\apps, si utilizzerà:

Esempio: Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"

Negli scenari di gestione cellulare (MDM), la configurazione è esposta attraverso diversi Fornitori di servizi di configurazione (CSP), come Defender/GuardedFoldersList per le cartelle protette o Defender/ControlledFolderAccessAllowedApplications per le applicazioni consentite, che consente di integrare queste policy in soluzioni MDM compatibili in modo centralizzato.

Registrazione degli eventi e monitoraggio degli incidenti

Per comprendere appieno cosa sta succedendo con i tuoi team, è fondamentale rivedere il eventi generati dall'accesso controllato alle cartelle quando blocca o controlla le azioni. Questa operazione può essere eseguita sia dal portale di Microsoft Defender che direttamente nel Visualizzatore eventi di Windows.

Nelle aziende che utilizzano Microsoft Defender per gli endpoint, il portale Microsoft Defender offre resoconti dettagliati di eventi e blocchi correlato all'Accesso Controllato alle Cartelle, integrato nei consueti scenari di indagine degli avvisi. Qui è anche possibile avviare ricerche avanzate (Advanced Hunting) per analizzare i pattern su tutti i dispositivi.

Ad esempio, a Query DeviceEvents Un esempio tipico potrebbe essere:

Esempio: DeviceEvents | where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Nei team individuali puoi contare su Visiera di eventi di WindowsMicrosoft fornisce una vista personalizzata (file cfa-events.xml) che può essere importata per visualizzare in modo concentrato solo gli eventi di accesso alle cartelle controllate. Questa vista raccoglie voci come gli eventi 5007 (modifica della configurazione), 1123 e 1124 (blocco o controllo dell'accesso alle cartelle controllate) e 1127/1128 (blocco o controllo della scrittura sui settori del disco protetti).

Quando si verifica un blocco, l'utente di solito vede anche un notifica nel sistema che indica che le modifiche non autorizzate sono state bloccateAd esempio, con messaggi come "L'accesso alla cartella controllata ha bloccato C:\…\ApplicationName… impedendogli di apportare modifiche alla memoria", la cronologia della protezione riflette eventi come "Accesso alla memoria protetta bloccato" con data e ora.

L'accesso controllato alle cartelle diventa uno strumento molto potente per per ostacolare seriamente il ransomware e altre minacce che cercano di distruggere i tuoi file, pur rimanendo flessibile grazie alle modalità di controllo, agli elenchi di cartelle e applicazioni consentite e all'integrazione con gli strumenti di amministrazione. Se configurato correttamente e abbinato a backup regolari e a un software antivirus aggiornato, è una delle migliori funzionalità che Windows 11 offre per proteggere i tuoi documenti più importanti.