Configurar o acesso controlado a pastas usando a política de grupo e o PowerShell
O acesso controlado a pastas(Controlled folder access) é um recurso de prevenção de intrusões disponível com o Microsoft Defender Exploit Guard , que faz parte do Microsoft Defender Antivirus . Ele foi projetado principalmente para impedir que o ransomware criptografe seus dados/arquivos, mas também protege os arquivos contra alterações indesejadas de outros aplicativos maliciosos. Nesta postagem, mostraremos como configurar o Acesso à Pasta Controlada usando a Política de Grupo e o PowerShell(configure Controlled Folder Access using Group Policy & PowerShell) no Windows 11/10.
Esse recurso é opcional no Windows 10 , mas quando ativado, o recurso é capaz de rastrear arquivos executáveis, scripts e DLLs que tentam fazer alterações em arquivos nas pastas protegidas. Se o aplicativo ou arquivo for malicioso ou não for reconhecido, o recurso bloqueará a tentativa em tempo real e você receberá uma notificação da atividade suspeita.
Configurar o acesso controlado a pastas(Folder Access) usando a política de grupo(Group Policy)
Para configurar o Acesso à Pasta Controlada(Controlled Folder Access) usando a Diretiva de Grupo(Group Policy) , primeiro você precisa habilitar esse recurso . Uma vez feito, você pode prosseguir para configurar o seguinte:
Adicionar um novo local para proteção por meio do Editor de Diretiva de Grupo Local(Local Group Policy Editor)
Se o acesso à pasta controlada estiver ativado, as pastas básicas serão adicionadas por padrão. Se você precisar proteger dados localizados em um local diferente, poderá usar a política Configurar pastas protegidas(Configure protected folders) para adicionar a nova pasta.
Veja como:
- Pressione a Windows key + R para invocar a caixa de diálogo Executar
- Na caixa de diálogo Executar, digite
gpedit.msc
e pressione Enter para abrir o Editor de Diretiva de Grupo(open Group Policy Editor) . - Dentro do Editor de Diretiva de Grupo Local(Local Group Policy Editor) , use o painel esquerdo para navegar até o caminho abaixo:
Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access
- Clique duas vezes na política Configurar pastas protegidas(Configure protected folders) no painel direito para editar suas propriedades.
- Selecione o botão de opção Ativado(Enabled) .
- Na seção Opções(Options) , clique no botão Mostrar(Show) .
- Especifique os locais que deseja proteger inserindo o caminho da pasta (por exemplo;
F:MyData
) no campo Nome do valor(Value name) e adicionando 0 no campo Valor(Value) . Repita esta etapa para adicionar mais locais. - Clique no botão OK .
- Clique no botão Aplicar(Apply) .
- Clique no botão OK .
A(s) nova(s) pasta(s) agora será(ão) adicionada(s) à lista de proteção de acesso à pasta controlada . (Controlled)Para reverter as alterações, siga as instruções acima, mas selecione a opção Não Configurado(Not Configured) ou Desativado(Disabled) .
Aplicativos da lista de permissões no acesso a pastas controladas usando (Controlled)o Editor de Diretiva de Grupo Local(Local Group Policy Editor)
- Abra o Editor de Diretiva de Grupo Local.
- Dentro do Editor de Diretiva de Grupo Local(Local Group Policy Editor) , use o painel esquerdo para navegar até o caminho abaixo:
Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access
- Clique duas vezes na política Configurar aplicativos permitidos(Configure allowed applications) no painel direito para editar suas propriedades.
- Selecione o botão de opção Ativado(Enabled) .
- Na seção Opções(Options) , clique no botão Mostrar(Show) .
- Especifique a localização do arquivo .exe para o aplicativo (por exemplo;
C:Program Files (x86)GoogleChromeApplicationchrome.exe
) que você deseja permitir no campo Nome do valor(Value name) e adicione 0 no campo Valor(Value) . Repita esta etapa para adicionar mais locais. - Clique no botão OK .
- Clique no botão Aplicar(Apply) .
- Clique no botão OK .
Agora, os aplicativos especificados não serão bloqueados quando o acesso à pasta controlada estiver ativado e poderá fazer alterações em arquivos e pastas protegidos. Para reverter as alterações, siga as instruções acima, mas selecione a opção Não Configurado(Not Configured) ou Desativado(Disabled) .
Para usuários domésticos (Home)Windows 11/10 , você pode adicionar o recurso Editor de Diretiva de Grupo Local(add Local Group Policy Editor) e, em seguida, seguir as instruções fornecidas acima ou pode usar o método PowerShell abaixo.
Configurar o acesso a pastas(Folder Access) controladas usando o PowerShell
Para configurar o Acesso à Pasta Controlada(Controlled Folder Access) usando a Diretiva de Grupo(Group Policy) , primeiro você precisa habilitar o recurso. Uma vez feito, você pode prosseguir para configurar o seguinte:
Adicionar(Add) novo local para proteção usando o PowerShell
- Pressione a tecla Windows + X para abrir o menu de usuário avançado(open Power User Menu) .
- Toque em A no teclado para iniciar o PowerShell no modo administrador/elevado.
- No console do PowerShell , digite o comando abaixo e pressione Enter .
Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"
No comando, substitua o F:olderpath oadd
espaço reservado pelo caminho real do local e do executável do aplicativo que você deseja permitir. Assim, por exemplo, seu comando deve se parecer com o seguinte:
Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"
- Para remover uma pasta, digite o comando abaixo e pressione Enter :
Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"
Aplicativos da lista de permissões no acesso a pastas controladas usando o (Controlled)PowerShell
- Inicie o PowerShell(PowerShell) no modo administrador/elevado.
- No console do PowerShell , digite o comando abaixo e pressione Enter .
Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"
No comando, substitua o F:path oappapp.exe
espaço reservado pelo caminho real do local e do executável do aplicativo que você deseja permitir. Assim, por exemplo, seu comando deve se parecer com o seguinte:
Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"
O comando acima adicionará o Chrome à lista de aplicativos permitidos e o aplicativo poderá ser executado e fazer alterações em seus arquivos quando o acesso à pasta controlada estiver ativado.(Controlled)
- Para remover um aplicativo, digite o comando abaixo e pressione Enter :
Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"
É isso sobre como configurar o Acesso à Pasta Controlada(Controlled Folder Access) usando a Política de Grupo(Group Policy) e o PowerShell no Windows 11/10 !
Related posts
Folder Redirection Group Policy não quando aplicado usando SCCM
Desativar Internet Explorer 11 como um standalone browser usando Group Policy
Como adicionar Group Policy Editor para Windows 10 Home Edition
Prevent installation de Programs de Media Source removível
Alterar Delivery Optimization Cache Drive para Windows Updates
Download Group Policy Templates para Microsoft Edge browser
Group Policies para configurar o redirecionamento para Microsoft Edge
Como especificar o prazo antes de reinicializar automaticamente para Update installation
Como especificar Minimum and Maximum PIN length em Windows 10
Como verificar a Group Policy aplicada em um computador Windows 10
Group Policy Settings Reference Guide para Windows 10
Como bloquear todas as configurações Taskbar em Windows 10
Desativar Developer Tools em Edge usando Registry or Group Policy
Como habilitar ou Disable or Application Isolation feature em Windows 10
Desativar Delivery Optimization via Group Policy or Registry Editor
O processamento de Group Policy falhou por falta de network connectivity
Como mapear um Network Drive usando Group Policy no Windows 10
Ativar ou Desativar Fast Logon Optimization em Windows 10
Como Impedir que os usuários apagar Diagnostic Data em Windows 10
Não é possível acessar a pasta compartilhada por causa das políticas de segurança da organização