O acesso controlado a pastas^{(Controlled folder access)} é um recurso de prevenção de intrusões disponível com o Microsoft Defender Exploit Guard , que faz parte do Microsoft Defender Antivirus . Ele foi projetado principalmente para impedir que o ransomware criptografe seus dados/arquivos, mas também protege os arquivos contra alterações indesejadas de outros aplicativos maliciosos. Nesta postagem, mostraremos como configurar o Acesso à Pasta Controlada usando a Política de Grupo e o PowerShell^{(configure Controlled Folder Access using Group Policy & PowerShell)} no Windows 11/10.

Esse recurso é opcional no Windows 10 , mas quando ativado, o recurso é capaz de rastrear arquivos executáveis, scripts e DLLs que tentam fazer alterações em arquivos nas pastas protegidas. Se o aplicativo ou arquivo for malicioso ou não for reconhecido, o recurso bloqueará a tentativa em tempo real e você receberá uma notificação da atividade suspeita.

Configurar o acesso controlado a pastas^{(Folder Access)} usando a política de grupo^{(Group Policy)}

Para configurar o Acesso à Pasta Controlada^{(Controlled Folder Access)} usando a Diretiva de Grupo^{(Group Policy)} , primeiro você precisa habilitar esse recurso . Uma vez feito, você pode prosseguir para configurar o seguinte:

Adicionar um novo local para proteção por meio do Editor de Diretiva de Grupo Local^{(Local Group Policy Editor)}

Acesso a pastas controladas-Adicione um novo local para proteção

Se o acesso à pasta controlada estiver ativado, as pastas básicas serão adicionadas por padrão. Se você precisar proteger dados localizados em um local diferente, poderá usar a política Configurar pastas protegidas^{(Configure protected folders)} para adicionar a nova pasta.

Veja como:

Pressione a Windows key + R para invocar a caixa de diálogo Executar
Na caixa de diálogo Executar, digite gpedit.msce pressione Enter para abrir o Editor de Diretiva de Grupo^{(open Group Policy Editor)} .
Dentro do Editor de Diretiva de Grupo Local^{(Local Group Policy Editor)} , use o painel esquerdo para navegar até o caminho abaixo:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

Clique duas vezes na política Configurar pastas protegidas^{(Configure protected folders)} no painel direito para editar suas propriedades.
Selecione o botão de opção Ativado^(Enabled) .
Na seção Opções^(Options) , clique no botão Mostrar^(Show) .
Especifique os locais que deseja proteger inserindo o caminho da pasta (por exemplo; F:MyData) no campo Nome do valor^{(Value name)} e adicionando 0 no campo Valor^(Value) . Repita esta etapa para adicionar mais locais.
Clique no botão OK .
Clique no botão Aplicar^(Apply) .
Clique no botão OK .

A(s) nova(s) pasta(s) agora será(ão) adicionada(s) à lista de proteção de acesso à pasta controlada . ^(Controlled)Para reverter as alterações, siga as instruções acima, mas selecione a opção Não Configurado^{(Not Configured)} ou Desativado^(Disabled) .

Aplicativos da lista de permissões no acesso a pastas controladas usando ^(Controlled)o Editor de Diretiva de Grupo Local^{(Local Group Policy Editor)}

Aplicativos de lista de permissões de acesso a pastas controladas

Abra o Editor de Diretiva de Grupo Local.
Dentro do Editor de Diretiva de Grupo Local^{(Local Group Policy Editor)} , use o painel esquerdo para navegar até o caminho abaixo:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

Clique duas vezes na política Configurar aplicativos permitidos^{(Configure allowed applications)} no painel direito para editar suas propriedades.
Selecione o botão de opção Ativado^(Enabled) .
Na seção Opções^(Options) , clique no botão Mostrar^(Show) .
Especifique a localização do arquivo .exe para o aplicativo (por exemplo; C:Program Files (x86)GoogleChromeApplicationchrome.exe) que você deseja permitir no campo Nome do valor^{(Value name)} e adicione 0 no campo Valor^(Value) . Repita esta etapa para adicionar mais locais.
Clique no botão OK .
Clique no botão Aplicar^(Apply) .
Clique no botão OK .

Agora, os aplicativos especificados não serão bloqueados quando o acesso à pasta controlada estiver ativado e poderá fazer alterações em arquivos e pastas protegidos. Para reverter as alterações, siga as instruções acima, mas selecione a opção Não Configurado^{(Not Configured)} ou Desativado^(Disabled) .

Para usuários domésticos ^(Home)Windows 11/10 , você pode adicionar o recurso Editor de Diretiva de Grupo Local^{(add Local Group Policy Editor)} e, em seguida, seguir as instruções fornecidas acima ou pode usar o método PowerShell abaixo.

Configurar o acesso a pastas^{(Folder Access)} controladas usando o PowerShell

Para configurar o Acesso à Pasta Controlada^{(Controlled Folder Access)} usando a Diretiva de Grupo^{(Group Policy)} , primeiro você precisa habilitar o recurso. Uma vez feito, você pode prosseguir para configurar o seguinte:

Adicionar^(Add) novo local para proteção usando o PowerShell

Pressione a tecla Windows + X para abrir o menu de usuário avançado^{(open Power User Menu)} .
Toque em A no teclado para iniciar o PowerShell no modo administrador/elevado.
No console do PowerShell , digite o comando abaixo e pressione Enter .

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

No comando, substitua o F:olderpath oaddespaço reservado pelo caminho real do local e do executável do aplicativo que você deseja permitir. Assim, por exemplo, seu comando deve se parecer com o seguinte:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

Para remover uma pasta, digite o comando abaixo e pressione Enter :

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Aplicativos da lista de permissões no acesso a pastas controladas usando o ^(Controlled)PowerShell

Inicie o PowerShell^(PowerShell) no modo administrador/elevado.
No console do PowerShell , digite o comando abaixo e pressione Enter .

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

No comando, substitua o F:path oappapp.exe espaço reservado pelo caminho real do local e do executável do aplicativo que você deseja permitir. Assim, por exemplo, seu comando deve se parecer com o seguinte:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

O comando acima adicionará o Chrome à lista de aplicativos permitidos e o aplicativo poderá ser executado e fazer alterações em seus arquivos quando o acesso à pasta controlada estiver ativado.^(Controlled)

Para remover um aplicativo, digite o comando abaixo e pressione Enter :

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

É isso sobre como configurar o Acesso à Pasta Controlada^{(Controlled Folder Access)} usando a Política de Grupo^{(Group Policy)} e o PowerShell no Windows 11/10 !

Configure Controlled Folder Access using Group Policy & PowerShell

Controlled folder access is an intrusion-prevention feature available with Microsoft Defender Exploit Guard, which is part of the Microsoft Defender Antivirus. It’s been designed primarily to prevent ransomware from encrypting your data/files, but it also protects files from unwanted changes from other malicious applications. In this post, we will show you how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10.

This feature is optional on Windows 10 but when enabled, the feature is able to track executable files, scripts, and DLLs, that attempt to make changes to files in the protected folders. If the app or file is malicious or not recognized, the feature will block the attempt in real-time, and you’ll receive a notification of the suspicious activity.

Configure Controlled Folder Access using Group Policy

To configure Controlled Folder Access using Group Policy, you first need to enable this feature. Once done, you can proceed to configure the following:

Add a new location for protection via Local Group Policy Editor

Controlled folder access-Add new location for protection

If Controlled folder access is enabled, the basic folders are added by default. If you must protect data located in a different location, then you can use the Configure protected folders policy to add the new folder.

Here’s how:

Press Windows key + R to invoke the Run dialog
In the Run dialog box type gpedit.msc and hit Enter to open Group Policy Editor.
Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

Double-click the Configure protected folders policy on the right pane to edit its properties.
Select the Enabled radio button.
Under the Options section, click the Show button.
Specify the locations you want to protect by entering the path of the folder (eg; F:\MyData) in the Value name field and adding 0 in the Value field. Repeat this step to add more locations.
Click the OK button.
Click the Apply button.
Click the OK button.

The new folder(s) will now be added to the protection list of Controlled folder access. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

Whitelist apps in Controlled folder access using Local Group Policy Editor

Controlled folder access-Whitelist apps

Open Local Group Policy Editor.
Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

Double-click the Configure allowed applications policy on the right pane to edit its properties.
Select the Enabled radio button.
Under the Options section, click the Show button.
Specify the location of the .exe file for the app (eg; C:\Program Files (x86)\Google\Chrome\Application\chrome.exe) you want to allow in the Value name field and add 0 in the Value field. Repeat this step to add more locations.
Click the OK button.
Click the Apply button.
Click the OK button.

Now, the specified app(s) won’t be blocked when Controlled folder access is turned on, and it’ll be able to make changes to protected files and folders. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

For Windows 11/10 Home users, you can add Local Group Policy Editor feature and then carry out the instructions as provided above or you can do the PowerShell method below.

Configure Controlled Folder Access using PowerShell

To configure Controlled Folder Access using Group Policy, you first need to enable the feature. Once done, you can proceed to configure the following:

Add new location for protection using PowerShell

Press Windows key + X to open Power User Menu.
Tap A on the keyboard to launch PowerShell in admin/elevated mode.
In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

In the command, substitute the F:\folder\path\to\add placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

To remove a folder, type the command below and hit Enter:

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Whitelist apps in Controlled folder access using PowerShell

Launch PowerShell in admin/elevated mode.
In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

In the command, substitute the F:\path\to\app\app.exe placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

The above command will add Chrome to the list of allowed apps and the app will be allowed to run and make changes to your files when Controlled folder access is enabled.

To remove an app, type the command below and hit Enter:

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

That’s it on how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10!

Hortência Rios

About the author

Eu sou um técnico de informática com mais de 10 anos de experiência, incluindo 3 anos como um店員. Tenho experiência em dispositivos Apple e Android e sou particularmente habilidoso em reparar e atualizar computadores. Também gosto de assistir filmes no meu computador e usar meu iPhone para tirar fotos e vídeos.

Configurar o acesso controlado a pastas usando a política de grupo e o PowerShell

Configurar o acesso controlado a pastas^{(Folder Access)} usando a política de grupo^{(Group Policy)}

Adicionar um novo local para proteção por meio do Editor de Diretiva de Grupo Local^{(Local Group Policy Editor)}

Aplicativos da lista de permissões no acesso a pastas controladas usando ^(Controlled)o Editor de Diretiva de Grupo Local^{(Local Group Policy Editor)}

Configurar o acesso a pastas^{(Folder Access)} controladas usando o PowerShell

Adicionar^(Add) novo local para proteção usando o PowerShell

Aplicativos da lista de permissões no acesso a pastas controladas usando o ^(Controlled)PowerShell

Configure Controlled Folder Access using Group Policy & PowerShell

Configure Controlled Folder Access using Group Policy

Add a new location for protection via Local Group Policy Editor

Whitelist apps in Controlled folder access using Local Group Policy Editor

Configure Controlled Folder Access using PowerShell

Add new location for protection using PowerShell

Whitelist apps in Controlled folder access using PowerShell

Hortência Rios

About the author

Related posts

Folder Redirection Group Policy não quando aplicado usando SCCM

Desativar Internet Explorer 11 como um standalone browser usando Group Policy

Como adicionar Group Policy Editor para Windows 10 Home Edition

Prevent installation de Programs de Media Source removível

Alterar Delivery Optimization Cache Drive para Windows Updates

Download Group Policy Templates para Microsoft Edge browser

Group Policies para configurar o redirecionamento para Microsoft Edge

Como especificar o prazo antes de reinicializar automaticamente para Update installation

Como especificar Minimum and Maximum PIN length em Windows 10

Como verificar a Group Policy aplicada em um computador Windows 10

Group Policy Settings Reference Guide para Windows 10

Como bloquear todas as configurações Taskbar em Windows 10

Desativar Developer Tools em Edge usando Registry or Group Policy

Como habilitar ou Disable or Application Isolation feature em Windows 10

Desativar Delivery Optimization via Group Policy or Registry Editor

O processamento de Group Policy falhou por falta de network connectivity

Como mapear um Network Drive usando Group Policy no Windows 10

Ativar ou Desativar Fast Logon Optimization em Windows 10

Como Impedir que os usuários apagar Diagnostic Data em Windows 10

Não é possível acessar a pasta compartilhada por causa das políticas de segurança da organização

Configurar o acesso controlado a pastas usando a política de grupo e o PowerShell

Configurar o acesso controlado a pastas(Folder Access) usando a política de grupo(Group Policy)

Adicionar um novo local para proteção por meio do Editor de Diretiva de Grupo Local(Local Group Policy Editor)

Aplicativos da lista de permissões no acesso a pastas controladas usando (Controlled)o Editor de Diretiva de Grupo Local(Local Group Policy Editor)

Configurar o acesso a pastas(Folder Access) controladas usando o PowerShell

Adicionar(Add) novo local para proteção usando o PowerShell

Aplicativos da lista de permissões no acesso a pastas controladas usando o (Controlled)PowerShell

Configure Controlled Folder Access using Group Policy & PowerShell

Configure Controlled Folder Access using Group Policy

Add a new location for protection via Local Group Policy Editor

Whitelist apps in Controlled folder access using Local Group Policy Editor

Configure Controlled Folder Access using PowerShell

Add new location for protection using PowerShell

Whitelist apps in Controlled folder access using PowerShell

Hortência Rios

About the author

Related posts

Folder Redirection Group Policy não quando aplicado usando SCCM

Desativar Internet Explorer 11 como um standalone browser usando Group Policy

Como adicionar Group Policy Editor para Windows 10 Home Edition

Prevent installation de Programs de Media Source removível

Alterar Delivery Optimization Cache Drive para Windows Updates

Download Group Policy Templates para Microsoft Edge browser

Group Policies para configurar o redirecionamento para Microsoft Edge

Como especificar o prazo antes de reinicializar automaticamente para Update installation

Como especificar Minimum and Maximum PIN length em Windows 10

Como verificar a Group Policy aplicada em um computador Windows 10

Group Policy Settings Reference Guide para Windows 10

Como bloquear todas as configurações Taskbar em Windows 10

Desativar Developer Tools em Edge usando Registry or Group Policy

Como habilitar ou Disable or Application Isolation feature em Windows 10

Desativar Delivery Optimization via Group Policy or Registry Editor

O processamento de Group Policy falhou por falta de network connectivity

Como mapear um Network Drive usando Group Policy no Windows 10

Ativar ou Desativar Fast Logon Optimization em Windows 10

Como Impedir que os usuários apagar Diagnostic Data em Windows 10

Não é possível acessar a pasta compartilhada por causa das políticas de segurança da organização

Configurar o acesso controlado a pastas^{(Folder Access)} usando a política de grupo^{(Group Policy)}

Adicionar um novo local para proteção por meio do Editor de Diretiva de Grupo Local^{(Local Group Policy Editor)}

Aplicativos da lista de permissões no acesso a pastas controladas usando ^(Controlled)o Editor de Diretiva de Grupo Local^{(Local Group Policy Editor)}

Configurar o acesso a pastas^{(Folder Access)} controladas usando o PowerShell

Adicionar^(Add) novo local para proteção usando o PowerShell

Aplicativos da lista de permissões no acesso a pastas controladas usando o ^(Controlled)PowerShell