Windows 10 Fall Creators Update ajoute une fonctionnalité de sécurité avantageuse nommée Accès contrôlé aux dossiers, qui fait partie de Windows Defender Exploit Guard. Vous avez peut-être remarqué les notifications de modifications non autorisées bloquées . La fonctionnalité d'accès contrôlé aux dossiers de Windows Defender est celle qui se cache derrière ces notifications. L'accès contrôlé aux dossiers vous aide à protéger les données précieuses contre les programmes malveillants, tels que les ransomwares.

Cet article explique comment configurer CFA et empêcher les modifications non autorisées des notifications bloquées lors de l'exécution d'un programme.

Windows Defender Exploit Guard est un nouvel ensemble de fonctionnalités de prévention des intrusions sur l'hôte pour Windows 10, vous permettant de gérer et de réduire la surface d'attaque des applications installées sur l'ordinateur.

Qu'est-ce que l'accès contrôlé aux dossiers dans Windows 10?

L'accès contrôlé aux dossiers est une fonctionnalité anti-ransomware de Windows 10 qui aide à protéger vos documents, fichiers et zones de mémoire sur votre ordinateur contre les modifications par des applications suspectes ou malveillantes (en particulier les ransomware). L'accès contrôlé aux dossiers est pris en charge sur Windows Server 2019 ainsi que Windows 10.

Parfois, l'accès contrôlé aux dossiers peut empêcher les applications légitimes d'écrire dans des dossiers protégés (tels que le bureau, les dossiers Documents, etc.) et affiche la notification Les modifications non autorisées sont bloquées . Vous pouvez configurer un accès contrôlé aux dossiers afin de pouvoir autoriser des applications spécifiques et ajouter des dossiers personnalisés à la liste des dossiers «protégés».

$config[ads_text6] not found

Il est particulièrement utile pour protéger vos documents et informations contre les ransomwares qui peuvent tenter de crypter vos fichiers et de les garder en otage.

Comment utiliser l'accès contrôlé aux dossiers?

Condition préalable: la protection en temps réel de Windows Defender AV doit être activée pour que la fonctionnalité d'accès contrôlé aux dossiers fonctionne.

Activation de l'accès contrôlé aux dossiers

Pour activer l'accès contrôlé aux dossiers, procédez comme suit:

1. Double-cliquez sur l'icône du bouclier Defender dans la zone de notification pour ouvrir le Centre de sécurité Windows Defender.
2. Cliquez sur Protection contre les virus et les menaces
3. Cliquez sur Paramètres de protection contre les virus et les menaces
   
   Activation de l'accès contrôlé aux dossiers de Windows Defender
4. Activez le paramètre «Accès contrôlé aux dossiers». La boîte de dialogue UAC apparaîtra maintenant pour obtenir votre confirmation / consentement.

Désormais, l'accès contrôlé aux dossiers surveille les modifications apportées par les applications aux fichiers des dossiers protégés.

Activer la protection pour des emplacements de dossier supplémentaires

Par défaut, ces dossiers sont protégés et il n'existe aucun moyen de supprimer la protection de ces dossiers:

 Dossiers shell utilisateur: documents, images, vidéos, musique, favoris et bureau Dossiers shell publics: documents, images, vidéos et bureau 

Accès contrôlé aux dossiers - Dossiers protégés

Cependant, certains utilisateurs peuvent ne pas préférer stocker leurs fichiers dans les dossiers ou bibliothèques de shell personnels; ils peuvent avoir leurs documents dans un partage réseau ou dans d'autres emplacements. Dans ce cas, vous pouvez ajouter des emplacements de dossier supplémentaires sous la protection de Windows Defender, en cliquant sur le lien Dossiers protégés dans le Centre de sécurité Windows Defender, puis en cliquant sur le bouton Ajouter un dossier protégé . Vous pouvez également saisir des partages réseau et des lecteurs mappés.

Ajouter (liste blanche) des applications pour un accès contrôlé aux dossiers

L'accès contrôlé aux dossiers de Windows Defender bloquera l'accès en écriture (par des applications «hostiles») aux fichiers des dossiers protégés. Si une application tente de modifier ces fichiers et que l'application est mise sur liste noire par la fonctionnalité, vous recevrez une notification concernant la tentative.

Tout comme vous pouvez compléter les dossiers protégés avec des chemins de dossier supplémentaires, vous pouvez également ajouter (liste blanche) les applications auxquelles vous souhaitez autoriser l'accès à ces dossiers.

Bloc-notes ++ bloqué

Dans mon cas, l'accès contrôlé aux dossiers empêchait le programme d'éditeur de texte tiers Notepad ++ d'enregistrer sur le bureau.

D: \ Tools \ NPP \ notepad ++. Exe a été empêché de modifier% desktopdirectory% \ par l'accès contrôlé aux dossiers.

Et une entrée du journal des Event ID: 1123 ( Event ID: 1123 ) est générée pour l'événement bloqué.

Il sera répertorié sous Journaux des applications et des services → Microsoft → Windows → Windows Defender → Opérationnel

Accès contrôlé aux dossiers - Entrée du journal des événements

ID d'événement	La description
5007	Événement lorsque les paramètres sont modifiés
1124	Événement d'accès contrôlé aux dossiers audités
1123	Événement d'accès au dossier contrôlé bloqué
1127	Événement «modifications de la mémoire» bloqué?

Il n'y a aucune information officielle concernant l'ID d'événement CFA: 1127. Cela pourrait être lié à des événements bloqués «apportant des modifications à la mémoire». J'ai trouvé une entrée intéressante dans mon système.

 Nom du journal: Microsoft-Windows-Windows Defender / Source opérationnelle: Microsoft-Windows-Windows Defender Date: ID d'événement: 1127 Catégorie de tâche: Aucune Niveau: Avertissement Mots-clés: Utilisateur: SYSTÈME Ordinateur: DESKTOP-JKJ4G5Q Description: Accès contrôlé aux dossiers bloqué C: \ Program Files \ JAM Software \ TreeSize \ TreeSize.exe de modifier la mémoire. Heure de détection: 2019-04-21T17: 17: 09.462Z Utilisateur: DESKTOP-JKJ4G5Q \ ramesh Chemin: \ Device \ HarddiskVolume2 Nom du processus: C: \ Program Files \ JAM Software \ TreeSize \ TreeSize.exe Signature Version: 1.291.2409.0 Engine Version: 1.1.15800.1 Version du produit: 4.18.1903.4 

$config[ads_text6] not found

Pour obtenir la liste des 25 dernières applications bloquées, ouvrez une fenêtre d'invite de commandes et exécutez cette ligne de commande:

 wevtutil qe "Microsoft-Windows-Windows Defender / Operational" / q: "* [Système [(EventID = 1123)]]" / c: 15 / f: text / rd: true | findstr / i "nom du processus:" 

Consultez également le script PowerShell à la fin de cet article pour répertorier les éléments dans une fenêtre de grille d'affichage de liste et mettre en liste blanche les éléments sélectionnés en un seul clic.

Voici la liste des notifications de modifications non autorisées bloquées, comme indiqué dans le Centre de maintenance.

Notification d'Action Center sur les applications bloquées

J'ai tout de suite autorisé l'application, car Notepad ++ est un programme largement utilisé et fiable. Pour autoriser une application, cliquez sur Autoriser une application via l' option d' accès contrôlé aux dossiers dans Windows Defender Security Center. Ensuite, recherchez et ajoutez l'application que vous souhaitez autoriser.

Accès contrôlé aux dossiers - Autoriser une application

Autoriser les applications récemment bloquées

L'accès contrôlé aux dossiers vous permet également d'autoriser les applications récemment bloquées . Pour voir la liste des applications bloquées, cliquez sur le bouton Ajouter une application autorisée, puis sur Applications récemment bloquées .

Vous obtiendrez la liste des applications récemment bloquées. Dans la liste, vous pouvez cliquer sur sélectionner une application et l'ajouter à la liste d'autorisation. Pour ce faire, vous devez cliquer sur l'icône ou le bouton + glyphe près de l'entrée de l'application.

Ici, j'ai mis le processus PowerShell.exe sur liste blanche, par exemple.

Assurez-vous d'autoriser uniquement les applications auxquelles vous faites confiance. Autoriser PowerShell.exe doit être effectué avec une extrême prudence, car les logiciels malveillants cryptographiques peuvent exécuter silencieusement une commande ou un script PowerShell sur un ordinateur vulnérable.

Gérer l'accès contrôlé aux dossiers à l'aide de PowerShell

L'applet de Set-MpPreference de PowerShell prend en charge de nombreux paramètres afin que vous puissiez appliquer chaque paramètre Windows Defender via un script. Pour la liste complète des paramètres pris en charge par cette applet de commande, consultez cette page Microsoft.

Activer l'accès contrôlé aux dossiers à l'aide de PowerShell

Démarrez powershell.exe tant qu'administrateur. Pour ce faire, tapez powershell dans le menu Démarrer, cliquez avec le bouton droit sur Windows PowerShell et cliquez sur Exécuter en tant qu'administrateur.

Entrez l'applet de commande suivante:

 Set-MpPreference -EnableControlledFolderAccess Enabled 

Gérer l'accès contrôlé aux dossiers à l'aide de l'applet de commande PowerShell

Pour désactiver, utilisez cette commande:

 Set-MpPreference -EnableControlledFolderAccess désactivé 

Protéger des dossiers supplémentaires à l'aide de PowerShell

 Add-MpPreference -ControlledFolderAccessProtectedFolders "c: \ apps" 

Autoriser une application spécifique (Bloc-notes ++) à l'aide de PowerShell

 Add-MpPreference -ControlledFolderAccessAllowedApplications "d: \ tools \ npp \ notepad ++. Exe" 

Autoriser toutes les applications bloquées à accéder à un dossier contrôlé (de manière interactive) à l'aide de PowerShell

Redditor / u / gschizas a créé un petit script PowerShell soigné qui analyse le journal des événements (entrées avec l'ID: 1123 qui est l'événement «Accès au dossier contrôlé bloqué») pour rassembler la liste des applications bloquées par l'accès au dossier contrôlé de Windows Defender. Le script propose ensuite de mettre sur liste blanche tous les programmes ou certains programmes de la liste.

Comment utiliser le script?

• Ouvrez PowerShell en tant qu'administrateur.
• Visitez la page Gschubas GitHub
• Sélectionnez toutes les lignes de code et copiez-les dans le presse-papiers.
• Basculez vers la fenêtre PowerShell et collez-y le contenu, puis appuyez sur ENTRÉE
  
  Autoriser toutes les applications via les applications de dossiers contrôlés - Script PowerShell

  La liste des applications bloquées s'affiche, telle qu'elle est enregistrée dans le journal des événements.

  
  Sélectionnez les applications à ajouter à la liste blanche
• Sélectionnez les applications que vous souhaitez mettre sur liste blanche et cliquez sur OK. Pour sélectionner plusieurs programmes, appuyez sur le bouton Ctrl et cliquez sur l'entrée correspondante.
• Cliquez sur OK.

  Cela permet aux applications via un accès contrôlé aux dossiers en masse .

  $config[ads_text6] not found
  
  Applications ajoutées à la liste «Autoriser» des applications de dossiers contrôlés

Dans un environnement d'entreprise, l'accès contrôlé aux dossiers peut être géré à l'aide de:

• 1. Application Windows Defender Security Center
• 2. Stratégie de groupe
• 3. PowerShell

Dépannage: option d'accès contrôlé aux dossiers manquante, grisée ou inaccessible

Lorsque vous essayez d'ouvrir la page d'accès au dossier contrôlé via Démarrer, vous pouvez voir ce message d'erreur:

page indisponible

Votre administrateur informatique a un accès limité à certaines zones de cette application et l'élément auquel vous avez essayé d'accéder n'est pas disponible. Contactez le service d'assistance informatique pour plus d'informations.

Vous vous demandez peut-être si l'erreur ci-dessus est due à certaines restrictions de stratégie de groupe en vigueur sur votre ordinateur. Ce n'est pas nécessairement vrai.

L'erreur se produit si vous utilisez une solution antivirus tierce sur votre ordinateur, ce qui aurait désactivé le Windows Defender intégré. Comme indiqué précédemment, la fonctionnalité d' accès contrôlé aux dossiers repose entièrement sur la protection en temps réel de Windows Defender. Si Windows Defender est désactivé, l'accès contrôlé aux dossiers ne fonctionnera pas. Par conséquent, la page reste inaccessible ou grisée, selon la version de Windows 10 que vous utilisez.

Dans mon cas, l'erreur s'est produite après l'installation de Malwarebytes Premium. Il avait remplacé Windows Defender.

Remarque: Si vous êtes un utilisateur Premium de Malwarebytes, vous pouvez toujours activer et utiliser Windows Defender avec Malwarebytes Premium.

Pour ce faire, ouvrez Malwarebytes Premium → Paramètres → Application → Activer Ne jamais enregistrer Malwarebytes dans le Windows Action Center .

Cette option garantit que Malwarebytes Premium ne désactive pas Windows Defender et s'exécute avec Defender; afin que la fonctionnalité d'accès contrôlé aux dossiers fonctionne également. L'état du programme Malwarebytes n'apparaîtrait pas dans le Centre de maintenance.

Activer ou désactiver l'accès contrôlé aux dossiers à l'aide des raccourcis du bureau

Dans certaines situations, vous devrez peut-être désactiver temporairement l'accès contrôlé aux dossiers pour permettre aux programmes d'écrire dans des dossiers protégés, sans avoir à mettre en liste blanche chaque programme. Par exemple, vous pouvez avoir mis en liste blanche le programme ShareX, mais les captures d'écran peuvent toujours ne pas fonctionner car l'outil de capture et de traitement vidéo FFMpeg.exe n'est pas mis en liste blanche dans l'accès au dossier contrôlé. Et vous ne voudrez peut-être pas autoriser le programme externe de façon permanente.

À cette fin, vous pouvez créer deux raccourcis sur le bureau pour désactiver / activer rapidement l'accès contrôlé aux dossiers.

1. Faites un clic droit sur le bureau, cliquez sur Nouveau, raccourci
2. Dans la zone de texte "Tapez l'emplacement de l'élément", tapez la commande suivante:

    powershell.exe -command "& {Set-MpPreference -EnableControlledFolderAccess Enabled}" 

   

3. Nommez le raccourci «Activer l'accès contrôlé aux dossiers».

   Conseil rapide: dans l'onglet Propriétés du raccourci, vous pouvez le configurer pour qu'il s'exécute de manière réduite si vous ne souhaitez pas voir la fenêtre PowerShell lorsque la commande est exécutée. Bien sûr, PowerShell.exe doit être mis en liste blanche pour que ces raccourcis fonctionnent. Le chemin exécutable de PowerShell est C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe si vous allez le mettre en liste blanche.

   $config[ads_text6] not found
4. De même, créez un autre raccourci avec la cible suivante:

    powershell.exe -command "& {Set-MpPreference -EnableControlledFolderAccess Disabled}" 

   Nommez-le «Désactiver l'accès contrôlé aux dossiers» et, éventuellement, modifiez l'icône de raccourci pour les deux éléments comme vous le souhaitez.

   

Exécuter en tant qu'administrateur

Le raccourci / commande doit être exécuté avec un niveau élevé (en tant qu'administrateur). Donc, cliquez avec le bouton droit sur chaque raccourci et cliquez sur Propriétés. Cliquez sur Avancé, cochez la case « Exécuter en tant qu'administrateur », puis cliquez sur OK, OK.

Répétez l'étape pour l'autre raccourci.

Mots de clôture

Windows Defender obtient une nouvelle fonctionnalité de sécurité dans presque toutes les versions de Windows 10. Pour n'en nommer que quelques-uns, le scanner hors ligne de Windows Defender, la numérisation périodique limitée, la protection contre le cloud «à première vue» et la soumission automatique d'échantillons, ainsi que la capacité de protection des logiciels publicitaires ou PUA / PUP et Application Guard.

Et maintenant , l'accès contrôlé aux dossiers introduit dans la mise à jour Fall Creators est une autre fonctionnalité précieuse pour protéger le système contre les menaces, telles que les ransomwares.

Article associé

• Impossible d'enregistrer les fichiers sur le bureau et erreur «Fichier introuvable» dans Windows 10