- O acesso controlado às pastas limita quais aplicativos podem modificar arquivos em locais protegidos, reduzindo o impacto de ransomware.
- ele funciona em Windows 10, Windows 11 e várias edições do Windows Server, desde que o Microsoft Defender seja o antivírus ativo.
- Ele permite adicionar pastas e aplicativos confiáveis, gerenciá-los a partir da Segurança do Windows ou centralmente com o Intune, GPO, Configuration Manager e PowerShell.
- Inclui modos de auditoria e gera eventos detalhados para revisar bloqueios e ajustar configurações sem interromper o trabalho.
Se você está preocupado com Ransomware e a segurança dos seus arquivos no Windows 11Existe um recurso integrado que você provavelmente desativou e que pode fazer uma grande diferença: Acesso Controlado a Pastas. Não é mágica e não substitui backups, mas adiciona uma camada extra de proteção e, se precisar ajustar as permissões, você pode... Atribuir permissões a pastas e arquivoso que torna a vida muito mais complicada para malwares que tenta criptografar ou excluir seus documentos mais importantes.
Este recurso está incluído em Windows 11, Windows 10 e várias versões do Windows Server Ele se integra ao Microsoft Defender. Por padrão, geralmente está desativado porque pode ser um pouco restritivo e às vezes bloqueia programas legítimos, mas você pode ajustá-lo conforme sua preferência. alterar localização padrãoAdicione pastas extras, permita aplicativos específicos e até mesmo gerencie tudo por meio de políticas de grupo, Intune, Configuration Manager ou PowerShell, tanto em computadores domésticos quanto em ambientes corporativos.
O que exatamente é o acesso controlado a pastas?
O acesso controlado a pastas é uma funcionalidade de O antivírus Microsoft Defender foi projetado para impedir ransomware. e outros tipos de malware que tentam modificar ou excluir arquivos em locais protegidos. Em vez de bloquear tudo o que é executado, ele permite apenas que aplicativos considerados confiáveis façam alterações nessas pastas.
Na prática, essa proteção se baseia em um lista de aplicativos confiáveis e outra lista de pastas protegidas. As Aplicativos Aplicativos com boa reputação e alta prevalência no ecossistema Windows são permitidos automaticamente, enquanto aplicativos desconhecidos ou suspeitos não poderão modificar ou excluir arquivos em caminhos controlados, embora possam lê-los.
É importante entender que esta função Isso não impede que o malware copie ou leia dados.O que ele bloqueia são ações para modificar, criptografar ou excluir arquivos protegidos. Se um invasor conseguir infiltrar-se no seu sistema, ele ainda poderá extrair informações, mas será muito mais difícil para ele comprometer seus documentos importantes.
O Acesso Controlado a Pastas foi projetado para funcionar em conjunto com Microsoft Defender para Endpoint e o Portal do Microsoft Defenderonde você pode ver relatórios detalhados do que foi bloqueado ou auditado, muito útil, especialmente para empresas, na investigação de incidentes de segurança.
Sistemas operacionais compatíveis e pré-requisitos
Antes de considerar ativá-lo, é uma boa ideia saber em quais plataformas ele funciona. O acesso controlado a pastas está disponível em Windows 11, Windows 10 e várias edições do Windows Server, além de alguns sistemas específicos da Microsoft, como o Azure Stack HCI.
Mais especificamente, a função é suportada em Windows 10 e Windows 11 em suas edições com o Microsoft Defender Como antivírus, e no lado do servidor, é compatível com o Windows Server 2016 e versões posteriores, Windows Server 2012 R2, Windows Server 2019 e sucessores, bem como com o sistema operacional Azure Stack HCI a partir da versão 23H2.
Um detalhe fundamental é o acesso controlado às pastas. Só funciona quando o antivírus ativo é o Microsoft Defender.Se você usa um antivírus de terceiros que desativa o Defender, as configurações desse recurso desaparecerão do aplicativo Segurança do Windows ou ficarão inoperantes, e você terá que confiar na proteção antiransomware do produto instalado.
Em ambientes gerenciados, além do Defender, os seguintes itens são necessários. ferramentas como o Microsoft Intune, o Configuration Manager ou soluções MDM compatíveis Para poder implementar e gerenciar de forma centralizada políticas de acesso controlado a pastas em vários dispositivos.
Como funciona internamente o acesso controlado a pastas
O comportamento dessa função se baseia em dois pilares: por um lado, o pastas consideradas protegidas e por outro lado o aplicativos considerados confiáveisQualquer tentativa de um aplicativo não confiável de gravar, modificar ou excluir arquivos nessas pastas é bloqueada ou auditada, dependendo do modo configurado.
Quando o recurso está ativado, o Windows marca vários itens como protegidos. pastas de usuário muito comunsIsso inclui arquivos como Documentos, Imagens, Vídeos, Músicas e Favoritos, tanto da conta ativa quanto de pastas públicas. Além disso, determinados caminhos do perfil do sistema (por exemplo, pastas de Documentos no perfil do sistema) e áreas críticas do sistema também estão incluídos. Bota.
A lista de aplicações permitidas é gerada a partir de Reputação e prevalência do software no ecossistema da MicrosoftProgramas amplamente utilizados que nunca apresentaram comportamento malicioso são considerados confiáveis e autorizados automaticamente. Outros aplicativos menos conhecidos, ferramentas caseiras ou executáveis portáteis podem ser bloqueados até que você os aprove manualmente.
Nas organizações empresariais, além das listas automáticas, os administradores podem Adicionar ou permitir software específico Por meio do Microsoft Intune, Configuration Manager, políticas de grupo ou configurações de MDM, é possível ajustar o que está bloqueado e o que não está no ambiente corporativo.
Para avaliar o impacto antes de aplicar o bloqueio rígido, existe um modo de auditoria Isso permite que os aplicativos funcionem normalmente, mas registra os eventos que teriam sido bloqueados. Isso possibilita uma análise detalhada para determinar se a mudança para o modo de bloqueio estrito interromperia os processos de negócios ou aplicativos críticos.
Por que é tão importante contra ransomware?
Os ataques de ransomware têm como alvo Criptografe seus documentos e exija um resgate. Para restaurar seu acesso. O acesso controlado a pastas tem como foco principal impedir que aplicativos não autorizados modifiquem os arquivos mais importantes para você, que geralmente estão localizados em Documentos, Imagens, Vídeos ou outras pastas onde você armazena seus projetos e dados pessoais.
Quando um aplicativo desconhecido tenta acessar um arquivo em uma pasta protegida, o Windows gera uma exceção. notificação no dispositivo alertando sobre o bloqueioEste alerta pode ser personalizado em ambientes empresariais com informações de contato internas, para que os usuários saibam a quem contatar caso precisem de ajuda ou se acreditarem que se trata de um falso positivo.
Além das pastas de usuário usuais, o sistema também protege Pastas do sistema e setores de inicializaçãoReduzir a superfície de ataque de malware que tenta manipular a inicialização do sistema ou componentes críticos do Windows.
Outra vantagem é poder ativar o primeiro modo de auditoria para analisar o impactoDessa forma, você pode ver quais programas teriam sido bloqueados, revisar os registros e ajustar as listas de pastas e aplicativos permitidos antes de optar por um bloqueio estrito, evitando surpresas em um ambiente de produção.
Pastas protegidas por padrão no Windows
Por padrão, o Windows marca vários locais de arquivos comuns como protegidos. Isso inclui ambos Pastas de perfil de usuário como pastas públicasAssim, a maioria dos seus documentos, fotos, músicas e vídeos ficam protegidos sem que você precise configurar nada adicional.
Entre outras, rotas como c:\Usuários\ \Documentos e c:\Users\Public\Documentosequivalentes para Imagens, Vídeos, Músicas e Favoritos, bem como os mesmos caminhos equivalentes para contas de sistema como LocalService, NetworkService ou systemprofile, desde que as pastas existam no sistema.
Essas localizações são exibidas visivelmente no perfil do usuário, dentro de “Este PC” no Explorador de ArquivosPortanto, geralmente são esses que você usa diariamente sem pensar muito na estrutura de pastas interna do Windows.
É importante colocar atenção As pastas protegidas por padrão não podem ser removidas da lista.Você pode adicionar mais pastas personalizadas em outros locais, mas as pastas padrão de fábrica permanecem sempre protegidas para minimizar o risco de desativar acidentalmente a segurança em áreas importantes.
Como habilitar o Acesso Controlado a Pastas nas configurações de segurança do Windows
Para a maioria dos usuários domésticos e muitas pequenas empresas, a maneira mais fácil de ativar esse recurso é... Aplicativo de segurança do Windows incluído no sistemaNão é necessário instalar nada extra, basta alterar algumas opções.
Primeiro, abra o menu Iniciar, digite “Segurança do Windows” ou “Segurança do Windows” Abra o aplicativo. No painel principal, acesse a seção "Proteção contra vírus e ameaças", onde estão localizadas as opções do Defender relacionadas a malware.
Nessa tela, role para baixo até encontrar a seção para “Proteção contra ransomware” e clique em “Gerenciar proteção contra ransomware”. Se você estiver usando um antivírus de terceiros, poderá ver uma referência a esse produto aqui e Você não poderá usar este recurso. enquanto esse antivírus estiver ativo.
Na tela de proteção contra ransomware, você verá uma opção chamada “Acesso controlado a pastas”Ative-o e, se o sistema exibir um aviso de Controle de Conta de Usuário (UAC), aceite-o para aplicar as alterações com privilégios de administrador.
Uma vez ativada, várias opções adicionais serão exibidas: Histórico de bloqueios, Pastas protegidas e a possibilidade de permitir que aplicativos acessem pastas de forma controlada. A partir daqui, você pode ajustar as configurações conforme necessário.
Configure e ajuste o acesso controlado a pastas.
Uma vez que a função esteja em execução, é normal que na maioria das vezes Não repare em nada de incomum no seu dia a dia.No entanto, você poderá receber avisos ocasionalmente se um aplicativo que você usa tentar gravar em uma pasta protegida e não estiver na lista de aplicativos confiáveis.
Se você receber notificações, poderá retornar à Segurança do Windows a qualquer momento e inserir as informações necessárias. Antivírus e proteção contra ameaças > Gerenciar proteção contra ransomwareA partir daí, você terá acesso direto às configurações de bloqueio, pastas e aplicativos permitidos.
A seção de O “Histórico de blocos” exibe a lista de todos os blocos. O relatório detalha os incidentes: qual arquivo ou executável foi interrompido, quando, qual pasta protegida ele estava tentando acessar e o nível de gravidade (baixo, moderado, alto ou grave). Se você tiver certeza de que é um programa confiável, pode selecioná-lo e escolher "Permitir no dispositivo" para desbloqueá-lo.
Na seção "Pastas Protegidas", o aplicativo exibe todos os caminhos que estão atualmente protegidos pelo Acesso Controlado a Pastas. A partir daí, você pode Adicione novas pastas ou remova as que você já adicionou.No entanto, pastas padrão do Windows, como Documentos ou Imagens, não podem ser removidas da lista.
Se em algum momento você achar o recurso muito intrusivo, você sempre pode... desative novamente a opção de acesso controlado à pasta. Na mesma tela. A alteração é imediata e tudo volta a ser como era antes da ativação, embora você obviamente perca essa barreira extra contra ransomware.
Adicionar ou remover pastas protegidas adicionais
Nem todos salvam seus documentos nas bibliotecas padrão do Windows. Se você costuma trabalhar a partir de outras unidades, pastas de projeto ou caminhos personalizadosVocê tem interesse em incluí-los no escopo da proteção para acesso controlado a pastas.
Usando o aplicativo Segurança do Windows, o processo é muito simples: na seção de proteção contra ransomware, acesse “Pastas protegidas” e aceitar o aviso do UAC Se aparecer, você verá uma lista das pastas atualmente protegidas e um botão "Adicionar uma pasta protegida".
Ao pressionar esse botão, uma janela do navegador será aberta para que Selecione a pasta que deseja adicionar.Escolha o caminho (por exemplo, uma pasta em outra unidade, um diretório de trabalho para seus projetos ou até mesmo uma unidade de rede mapeada) e confirme. A partir desse momento, qualquer tentativa de modificar a pasta por um aplicativo não confiável será bloqueada ou auditada.
Se mais tarde você decidir que não deseja mais que uma pasta específica seja protegida, você pode Selecione-o na lista e pressione “Remover”.Você só pode excluir as pastas adicionais que você adicionou; aquelas que o Windows marca como protegidas por padrão não podem ser excluídas para evitar deixar áreas críticas desprotegidas sem que você perceba.
Além das unidades locais, você pode especificar Compartilhamentos de rede e unidades mapeadasÉ possível usar variáveis de ambiente em caminhos, embora caracteres curinga não sejam suportados. Isso proporciona considerável flexibilidade para proteger locais em ambientes mais complexos ou com scripts de configuração automatizados.
Permitir aplicativos confiáveis que foram bloqueados.
É bastante comum que, após a ativação do recurso, alguns aplicativos legítimos sejam afetados, especialmente se Ele salva dados em Documentos, Imagens ou em uma pasta protegida.Jogos de PC, ferramentas de escritório menos conhecidas ou programas mais antigos podem apresentar travamentos ao tentar digitar.
Para esses casos, a própria Segurança do Windows oferece a opção. “Permitir que um aplicativo acesse pastas de forma controlada”No painel de proteção contra ransomware, acesse esta seção e clique em “Adicionar um aplicativo permitido”.
Você pode optar por adicionar aplicativos da lista de “Aplicativos bloqueados recentemente” (Muito conveniente se algo já foi bloqueado e você só quer permitir) ou navegue por todos os aplicativos para antecipar e marcar como confiáveis certos programas que você sabe que precisarão gravar em pastas protegidas.
Ao adicionar um aplicativo, é importante que Especifique o caminho exato para o executável.Somente esse local específico será permitido; se o programa existir em outro caminho com o mesmo nome, ele não será adicionado automaticamente à lista de permitidos e ainda poderá ser bloqueado pelo controle de acesso à pasta.
É importante ter em mente que, mesmo depois de permitir um aplicativo ou serviço, Os processos em andamento podem continuar a gerar eventos. até que parem e reiniciem. Em outras palavras, pode ser necessário reiniciar o aplicativo (ou o próprio serviço) para que a nova exceção tenha efeito completo.
Gerenciamento empresarial avançado: Intune, Configuration Manager e políticas de grupo.
Em ambientes corporativos, não é prática comum alterar as configurações manualmente, equipe por equipe, mas definir políticas centralizadas que são implementadas de forma controlada. O acesso controlado a pastas está integrado a várias ferramentas de gerenciamento de dispositivos da Microsoft.
Com o Microsoft Intune, por exemplo, você pode criar um Diretiva de Redução da Superfície de Ataque Para Windows 10, Windows 11 e Windows Server. Dentro do perfil, existe uma opção específica para habilitar o acesso controlado a pastas, permitindo que você escolha entre modos como "Habilitado", "Desabilitado", "Modo de auditoria", "Bloquear somente modificações no disco" ou "Auditar somente modificações no disco".
A partir dessa mesma diretiva no Intune, é possível adicionar pastas protegidas adicionais (que sincronizam com o aplicativo Segurança do Windows nos dispositivos) e também especificam aplicativos confiáveis que sempre terão permissão para gravar nessas pastas. Isso complementa a detecção automática baseada em reputação do Defender.
Se sua organização usa o Microsoft Configuration Manager, você também pode implantar políticas para Windows Defender Guarda de ExploraçãoEm “Ativos e Conformidade > Proteção de Endpoint > Windows Defender Exploit Guard”, é criada uma política de proteção contra vulnerabilidades, a opção de acesso controlado à pasta é selecionada e você escolhe se deseja bloquear alterações, apenas auditar, permitir outros aplicativos ou adicionar outras pastas.
Por outro lado, essa função pode ser gerenciada de forma muito granular usando Objetos de Política de Grupo (GPOs). Editor de Gestão de Políticas de GrupoEm Configuração do Computador > Modelos Administrativos, você pode acessar os componentes do Windows correspondentes ao Microsoft Defender Antivírus e sua seção Proteção contra Exploração, onde existem diversas políticas relacionadas ao acesso controlado a pastas.
Essas políticas incluem o seguinte: “Configurar acesso controlado a pastas”, que permite definir o modo (Ativado, Desativado, Modo de auditoria, Bloquear somente modificações no disco, Auditar somente modificações no disco), bem como entradas para "Pastas protegidas configuradas" ou "Configurar aplicativos permitidos", onde os caminhos das pastas e dos executáveis são inseridos juntamente com o valor indicado para marcá-los como permitidos.
Utilizando o PowerShell e o MDM CSP para automatizar a configuração.
Para administradores e usuários avançados, o PowerShell oferece uma maneira muito simples de... Ativar, desativar ou ajustar o acesso controlado a pastas. Utilizando cmdlets do Microsoft Defender. Isso é especialmente útil para scripts de implantação, automação ou aplicação de alterações em lotes.
Para começar, abra uma janela do PowerShell com privilégios elevados: pesquisar No menu Iniciar, clique com o botão direito do mouse em “PowerShell” e selecione “Executar como administrador”.Uma vez lá dentro, você pode ativar função usando o cmdlet:
Exemplo: Set-MpPreference -EnableControlledFolderAccess Enabled
Se você quiser avaliar o comportamento sem bloquear nada, pode usar o modo de auditoria Ao substituir `Enabled` por `AuditMode`, e caso deseje desativá-lo completamente em algum momento, basta especificar `Disabled` nesse mesmo parâmetro. Isso permite alternar rapidamente entre os modos conforme necessário.
Para proteger pastas adicionais do PowerShell, existe o cmdlet Adicionar-MpPreference -ControlledFolderAccessProtectedFolders, à qual você passa o caminho da pasta que deseja proteger, por exemplo:
Exemplo: Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\apps/"
Da mesma forma, você pode permitir aplicativos específicos com o cmdlet. Add-MpPreference -ControlledFolderAccessAllowedApplicationsEspecificando o caminho completo para o executável. Por exemplo, se você quiser autorizar um programa chamado test.exe em c:\apps, você usaria:
Exemplo: Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"
Em cenários de gestão móvel (MDM), a configuração é exposta através de diferentes Provedores de serviços de configuração (CSPs), como Defender/GuardedFoldersList para pastas protegidas ou Defender/ControlledFolderAccessAllowedApplications para aplicativos permitidos, o que permite que essas políticas sejam integradas em soluções MDM compatíveis de forma centralizada.
Registro de eventos e monitoramento de incidentes
Para entender completamente o que está acontecendo com suas equipes, é fundamental revisar o eventos gerados pelo acesso controlado a pastas quando bloqueia ou audita ações. Isso pode ser feito tanto pelo portal do Microsoft Defender quanto diretamente no Visualizador de Eventos do Windows.
Em empresas que utilizam o Microsoft Defender para endpoints, o portal do Microsoft Defender oferece relatórios detalhados de eventos e bloqueios relacionado ao Acesso Controlado a Pastas, integrado aos cenários usuais de investigação de alertas. Lá, você pode até mesmo iniciar pesquisas avançadas (Busca Avançada) para analisar padrões em todos os dispositivos.
Por exemplo, um Consulta DeviceEvents Um exemplo típico seria:
Exemplo: DeviceEvents | where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
Em equipes individuais, você pode contar com o Visualizador de eventos do WindowsA Microsoft fornece uma visualização personalizada (arquivo cfa-events.xml) que pode ser importada para visualizar apenas os eventos de acesso a pastas controladas de forma concentrada. Essa visualização coleta entradas como o evento 5007 (alteração de configuração), 1123 e 1124 (bloqueio ou auditoria de acesso a pastas controladas) e 1127/1128 (bloqueio ou auditoria de gravação em setor de disco protegido).
Quando ocorre um bloqueio, o usuário geralmente também vê um notificação no sistema indicando que alterações não autorizadas foram bloqueadasPor exemplo, com mensagens como "O acesso controlado à pasta bloqueou C:\…\ApplicationName… de fazer alterações na memória", e o histórico de proteção reflete eventos como "Acesso à memória protegida bloqueado" com data e hora.
O acesso controlado a pastas torna-se uma ferramenta muito poderosa para para dificultar seriamente o acesso a ransomware e outras ameaças. que tentam destruir seus arquivos, mantendo-se flexível graças aos modos de auditoria, listas de pastas e aplicativos permitidos e integração com ferramentas administrativas. Quando configurado corretamente e combinado com backups regulares e um software antivírus atualizado, é um dos melhores recursos que o Windows 11 oferece para manter seus documentos mais importantes em segurança.
Escritor apaixonado pelo mundo dos bytes e da tecnologia em geral. Adoro compartilhar meu conhecimento por meio da escrita, e é isso que farei neste blog, mostrar a vocês tudo o que há de mais interessante sobre gadgets, software, hardware, tendências tecnológicas e muito mais. Meu objetivo é ajudá-lo a navegar no mundo digital de uma forma simples e divertida.