Proteger pastas importantes com acesso controlado a pastas
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
- Antivírus do Microsoft Defender
Aplica-se a
- Windows
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
O que é o acesso controlado a pastas?
O acesso controlado a pastas ajuda a proteger os seus dados valiosos contra aplicações e ameaças maliciosas, como ransomware. O acesso controlado a pastas protege os seus dados ao verificar as aplicações relativamente a uma lista de aplicações conhecidas e fidedignas. O acesso controlado a pastas pode ser configurado com a Aplicação Segurança do Windows, o Configuration Manager do Ponto Final da Microsoft ou Intune (para dispositivos geridos). O acesso controlado a pastas é suportado no Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 e Windows 11,
Nota
Os motores de script como o PowerShell não são considerados fidedignos pelo acesso controlado a pastas, mesmo que crie um indicador "permitir" através de indicadores de certificado e ficheiro. A única forma de permitir que os motores de script modifiquem pastas protegidas é adicioná-las como uma aplicação permitida. Veja Permitir que aplicações específicas façam alterações a pastas controladas.
O acesso controlado a pastas funciona melhor com Microsoft Defender para Endpoint, o que lhe fornece relatórios detalhados sobre eventos e blocos de acesso a pastas controlados como parte dos cenários habituais de investigação de alertas.
Sugestão
Os blocos de acesso controlados a pastas não geram alertas na fila Alertas. No entanto, pode ver informações sobre blocos de acesso controlados a pastas na vista de linha cronológica do dispositivo, ao utilizar a investigação avançada ou com regras de deteção personalizadas.
Como funciona o acesso controlado a pastas?
O acesso controlado a pastas funciona ao permitir apenas que as aplicações fidedignas acedam a pastas protegidas. As pastas protegidas são especificadas quando o acesso controlado a pastas está configurado. Normalmente, as pastas utilizadas frequentemente, como as utilizadas para documentos, imagens, transferências, etc., estão incluídas na lista de pastas controladas.
O acesso controlado a pastas funciona com uma lista de aplicações fidedignas. As aplicações incluídas na lista de software fidedigno funcionam conforme esperado. As aplicações que não estão incluídas na lista são impedidas de efetuar alterações a ficheiros dentro de pastas protegidas.
As aplicações são adicionadas à lista com base na sua prevalência e reputação. As aplicações altamente predominantes em toda a sua organização e que nunca apresentaram qualquer comportamento considerado malicioso são consideradas fidedignas. Essas aplicações são adicionadas automaticamente à lista.
As aplicações também podem ser adicionadas manualmente à lista fidedigna com Configuration Manager ou Intune. Podem ser efetuadas ações adicionais a partir do portal Microsoft Defender.
Por que motivo o acesso controlado a pastas é importante
O acesso controlado a pastas é especialmente útil para ajudar a proteger os seus documentos e informações contra ransomware. Num ataque de ransomware, os seus ficheiros podem ser encriptados e mantidos reféns. Com o acesso controlado a pastas implementado, é apresentada uma notificação no computador onde uma aplicação tentou efetuar alterações a um ficheiro numa pasta protegida. Pode personalizar a notificação com os detalhes da empresa e as informações de contacto. Também pode ativar as regras individualmente para personalizar as técnicas que a funcionalidade monitoriza.
As pastas protegidas incluem pastas de sistema comuns (incluindo setores de arranque) e pode adicionar mais pastas. Também pode permitir que as aplicações lhes dêem acesso às pastas protegidas.
Pode utilizar o modo de auditoria para avaliar o impacto que o acesso controlado a pastas teria na sua organização se estivesse ativado.
As pastas do sistema Windows estão protegidas por predefinição
As pastas do sistema Windows estão protegidas por predefinição, juntamente com várias outras pastas:
As pastas protegidas incluem pastas de sistema comuns (incluindo setores de arranque) e pode adicionar pastas adicionais. Também pode permitir que as aplicações lhes dêem acesso às pastas protegidas. As pastas de sistemas Windows que estão protegidas por predefinição são:
c:\Users\<username>\Documents
c:\Users\Public\Documents
c:\Users\<username>\Pictures
c:\Users\Public\Pictures
c:\Users\Public\Videos
c:\Users\<username>\Videos
c:\Users\<username>\Music
c:\Users\Public\Music
c:\Users\<username>\Favorites
As pastas predefinidas aparecem no perfil do utilizador, em Este PC, conforme mostrado na imagem seguinte:
Nota
Pode configurar pastas adicionais como protegidas, mas não pode remover as pastas do sistema Windows que estão protegidas por predefinição.
Requisitos para o acesso controlado a pastas
O acesso controlado a pastas requer a ativação Microsoft Defender proteção do Antivírus em tempo real.
Rever eventos de acesso controlado a pastas no portal do Microsoft Defender
O Defender para Endpoint fornece relatórios detalhados sobre eventos e blocos como parte dos respetivos cenários de investigação de alertas no portal do Microsoft Defender; veja Microsoft Defender para Endpoint no Microsoft Defender XDR.
Pode consultar Microsoft Defender para Endpoint dados através da Investigação avançada. Se estiver a utilizar o modo de auditoria, pode utilizar a investigação avançada para ver como as definições de acesso a pastas controladas afetariam o seu ambiente se estivessem ativadas.
Consulta de exemplo:
DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
Rever eventos de acesso controlado a pastas no Windows Visualizador de Eventos
Pode rever o registo de eventos do Windows para ver eventos criados quando uma aplicação controla blocos de acesso a pastas (ou auditorias):
Transfira o Pacote de Avaliação e extraia o ficheiro cfa-events.xml para uma localização facilmente acessível no dispositivo.
Escreva Visualizador de eventos no menu Iniciar para abrir a Visualizador de Eventos do Windows.
No painel esquerdo, em Ações, selecione Importar vista personalizada....
Navegue para onde extraiu cfa-events.xml e selecione-o. Em alternativa, copie o XML diretamente.
Selecione OK.
A tabela seguinte mostra eventos relacionados com o acesso controlado a pastas:
ID do Evento | Descrição |
---|---|
5007 |
Evento quando as definições são alteradas |
1124 |
Evento de acesso controlado a pastas auditadas |
1123 |
Evento de acesso controlado a pastas bloqueado |
1127 |
Evento de bloco de escrita do setor de acesso a pastas controlado bloqueado |
1128 |
Evento de bloco de escrita do setor de acesso a pastas controlado auditado |
Ver ou alterar a lista de pastas protegidas
Pode utilizar a aplicação Segurança do Windows para ver a lista de pastas protegidas pelo acesso controlado a pastas.
No seu dispositivo Windows 10 ou Windows 11, abra a aplicação Segurança do Windows.
Selecione proteção contra vírus e ameaças.
Em Proteção contra ransomware, selecione Gerir proteção contra ransomware.
Se o acesso controlado a pastas estiver desativado, terá de o ativar. Selecione pastas protegidas.
Execute um dos seguintes passos:
- Para adicionar uma pasta, selecione + Adicionar uma pasta protegida.
- Para remover uma pasta, selecione-a e, em seguida, selecione Remover.
Importante
Não adicione caminhos de partilha locais (loopbacks) como pastas protegidas. Em alternativa, utilize o caminho local. Por exemplo, se tiver partilhado
C:\demo
como\\mycomputer\demo
, não adicione\\mycomputer\demo
à lista de pastas protegidas. Em vez disso, adicioneC:\demo
.
As pastas do sistema Windows estão protegidas por predefinição e não pode removê-las da lista. As subpastas também são incluídas na proteção quando adiciona uma nova pasta à lista.
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.