Alors que les attaques de rançongiciels prenaient de l'ampleur au milieu des années 2010, Microsoft a cherché à fournir aux utilisateurs et administrateurs Windows des outils pour protéger leurs PC contre de telles attaques. Avec sa mise à jour de fonctionnalités d'octobre 2017, la société a ajouté une fonctionnalité appelée Accès contrôlé aux dossiers à Windows 10.

Sur le papier, l'accès contrôlé aux dossiers semble être une excellente protection pour les consommateurs, les particuliers et les petites entreprises aux ressources limitées. Selon la définition de Microsoft, "l'accès contrôlé aux dossiers permet de protéger vos précieuses données contre les applications malveillantes et les menaces, telles que les ransomwares. L'accès contrôlé aux dossiers protège vos données en comparant les applications à une liste compatible avec Windows Server 2019, Windows Server 2022, Windows 10 et Windows 11, l'accès contrôlé aux dossiers peut être activé à l'aide de l'application Windows Security, Microsoft Endpoint Configuration Manager ou Intune ( pour les appareils gérés).

Microsoft poursuit en disant : « L'accès contrôlé aux dossiers fonctionne en autorisant uniquement les applications de confiance à accéder aux dossiers protégés. Les dossiers protégés sont spécifiés lors de la configuration de l'accès contrôlé aux dossiers. En général, les dossiers couramment utilisés, tels que ceux utilisés pour les documents, les images, les téléchargements, etc., sont inclus dans la liste des dossiers surveillés.

Les dossiers spécifiquement protégés incluent :

c : UtilisateursDocuments
c:UsersPublicDocuments
c : UtilisateursDes photos
c:UsersPublicImages
c:UsersPublicVideos
c : UtilisateursVidéos
c : UtilisateursMusique
c:UsersPublicMusic
c : UtilisateursAnnonces favorites

conséquences inattendues

Donc, nous nous sommes tous éparpillés, n'est-ce pas ? Eh bien, pas si vite. L'utilisateur du forum Askwoody, Astro46, a récemment souligné qu'il essayait d'utiliser l'accès contrôlé aux dossiers et provoquait des effets secondaires lors de son utilisation. Comme il l'a raconté :

J'ai pensé que je travaillerais bientôt sur les différentes notifications d'accès et que tout s'arrangerait. Ce n'est jamais arrivé. Je suis souvent confronté à un problème inexpliqué avec un programme qui ne fonctionne pas correctement, ce qui finit par lui refuser l'accès à un dossier. Ce ne serait peut-être pas si grave si vous aviez vu une notification lorsque cela s'est produit. Mais parfois oui, parfois non. Et il semblait que les programmes auxquels j'avais précédemment donné accès posaient à nouveau des problèmes. Parce que le programme a été mis à jour et que l'accès contrôlé aux dossiers n'a pas pu le résoudre ? La frustration et la perte de temps ont eu raison de la supposée sécurité.

Comme le souligne le blog PDQ, il peut y avoir des effets secondaires qui peuvent bloquer les outils de gestion à distance et d'autres technologies. Lorsque vous avez activé l'accès contrôlé aux dossiers, ce que vous verrez lors de l'installation du logiciel est l'interaction entre la protection et le processus d'installation lorsque le programme d'installation tente d'accéder à certains dossiers. Vous pouvez recevoir des avis tels que "Modifications non autorisées bloquées" ou "Nom du logiciel.exe bloqué pour apporter des modifications. Cliquez pour voir les paramètres.

Lorsque vous utilisez l'accès contrôlé aux dossiers, vous devrez peut-être l'utiliser en mode audit au lieu d'activer complètement le processus. L'activation de l'accès contrôlé aux dossiers en mode d'application complète peut prendre du temps et ajouter des exclusions. Il existe de nombreux messages anecdotiques sur les utilisateurs d'ordinateurs qui doivent passer des heures à rechercher l'accès et à ajouter des exclusions. L'une de ces affiches (il y a plusieurs années) a révélé qu'elle devait ajouter ce qu'elle considérait comme des applications Microsoft normales, telles que le Bloc-notes et Paint, au processus de désinscription.

suivre les problèmes

Malheureusement, comme l'interface utilisateur est minimale, les conflits de dossiers contrôlés sont principalement découverts sur les postes de travail autonomes via des alertes de la barre d'état système lorsqu'un dossier est protégé et qu'une application tente d'accéder à l'emplacement. Vous pouvez également accéder aux journaux d'événements, mais avant de pouvoir voir les détails, vous devez importer un fichier xml d'événements.

Comme mentionné dans le blog Microsoft Tech Community, vous devez télécharger le fichier du package d'évaluation et extraire cfa-events.xml dans votre dossier de téléchargements. Ou vous pouvez copier et coller les lignes suivantes dans un fichier Bloc-notes et l'enregistrer sous cfa-events.xml :

Importez maintenant ce fichier xml dans votre visualiseur d'événements afin de pouvoir afficher et trier plus facilement les événements d'accès aux dossiers contrôlés. Pâte Observateur d'événements dans le menu Démarrer pour ouvrir l'Observateur d'événements Windows. Dans le volet de gauche, sous Actions, sélectionnez Importer une vue personnalisée. Accédez à l'emplacement où vous avez extrait cfa-events.xml et sélectionnez-le. Vous pouvez également copier directement le XML. Sélectionnez OK.

Ensuite, vérifiez le journal des événements pour les événements suivants :

5007 Evénement lorsque les paramètres sont modifiés

1124 Événement d'accès au dossier contrôlé audité

1123 Accès au dossier contrôlé par événement verrouillé

Vous voudrez vous concentrer sur 1124 si vous êtes en mode audit ou 1123 si vous avez un accès contrôlé aux dossiers entièrement activé pour les tests. Une fois que vous avez examiné les journaux d'événements, il devrait afficher tous les dossiers supplémentaires que vous devez ajuster pour que vos applications fonctionnent pleinement.

Certains logiciels peuvent avoir besoin d'accéder à des fichiers supplémentaires auxquels vous ne vous attendiez pas. C'est là que réside le problème avec l'outil. Bien que de nombreuses applications aient déjà été approuvées par Microsoft et fonctionnent donc parfaitement avec l'accès contrôlé aux dossiers activé, d'autres applications ou des applications plus anciennes peuvent ne pas fonctionner correctement. Cela m'a souvent surpris quels fichiers et dossiers n'ont pas besoin d'être modifiés et lesquels doivent être modifiés.

Semblable aux règles de réduction de la surface d'attaque, il s'agit de l'une de ces technologies pour lesquelles vous souhaiteriez avoir une meilleure interface autonome pour les postes de travail individuels. Alors que les entreprises avec Defender for Endpoint peuvent enquêter assez facilement sur les problèmes, les postes de travail autonomes doivent toujours s'appuyer sur les messages de la barre d'état système.

Au bout de la ligne

Si vous comptez sur Defender pour vos besoins antivirus, envisagez d'évaluer l'accès contrôlé aux dossiers pour une protection supplémentaire contre les ransomwares. Cependant, ma recommandation est de vraiment l'évaluer, pas seulement de le mettre en œuvre. Vous devrez l'activer en mode audit et prendre votre temps pour examiner l'impact. Selon vos applications, vous le trouverez peut-être plus impressionnant que vous ne le pensez.

Pour ceux qui ont Defender pour Endpoint, vous pouvez activer l'accès contrôlé aux dossiers comme suit : Dans Microsoft Endpoint Configuration Manager, accédez à Actifs et conformité > Endpoint Protection > Windows Defender Exploit Guard. Sélectionnez Démarrer, puis Créer une stratégie de protection contre les exploits. Entrez un nom et une description, sélectionnez Accès contrôlé au dossier, puis sélectionnez Suivant. Choisissez de bloquer ou d'auditer les modifications, d'autoriser plus d'applications ou d'ajouter plus de dossiers, puis sélectionnez Suivant.

Vous pouvez également le gérer avec PowerShell, la stratégie de groupe et même les clés de registre. Dans un scénario réseau, vous pouvez gérer les applications que vous ajoutez à la liste approuvée à l'aide de Configuration Manager ou Intune. Des paramètres supplémentaires peuvent être définis à partir du portail Microsoft 365 Defender.

Il existe souvent un compromis entre le risque d'attaques et l'impact des systèmes de sécurité sur les ordinateurs. Prenez le temps d'évaluer votre équilibre et si vous avez des frais généraux acceptables pour vos besoins.

Copyright © 2022 IDG Communications, Inc.

Share