L'accesso alle cartelle controllato (controlled folder access) è una funzionalità di Windows 10 che facilita la protezione dei dati da app dannose e minacce, come ad esempio i ransomware.
Questa funzionalità, disponibile in Windows 10, versione 1709 e in Windows Server 2019, utilizza Windows Defender Antivirus per bloccare la modifica dei file contenuti all’interno delle cartelle protette dopo aver determinato se un’applicazione sia malevola oppure innocua per il nostro sistema operativo. E ciò è decisamente utile nel caso in cui l’applicazione malevola sia un ransomware che tenti di cifrare i nostri file per poter poi chiedere un riscatto per poterli riportare in chiaro.
Se per caso un’applicazione tentasse di modificare i file nelle cartelle che vogliamo proteggere riceveremo una notifica e potremo evitare che si verifichino danni al nostro sistema.
Le cartelle protette sono tutte le cartelle di sistema e le cartelle Documenti, Immagini, Video e Desktop (le Windows libraries), ma è anche possibile aggiungerne altre. È anche possibile creare una lista di applicazioni considerate attendibili che potranno operare nelle cartelle protette.
L’Accesso controllato alle cartelle richiede l'abilitazione di protezione in tempo reale di Windows Defender Antivirus, che è già abilitato di default nei nostri sistemi.
È possibile abilitare l'accesso controllato alle cartelle con uno di questi metodi:
- App Sicurezza di Windows
- Microsoft Intune
- Gestione di dispositivi mobili (MDM)
- System Center Configuration Manager (SCCM)
- Criteri di gruppo
- PowerShell
Per verificare la protezione delle cartelle aprite l'app Sicurezza di Windows, fate clic su Protezione da Virus & minacce e dopo aver cliccato su Gestisci protezione ransomware mettete a ON la funzionalità Accesso alle cartelle controllato
Figura 1: Abilitazione della protezione contro i ransomware
Figura 2: Abilitazione della funzionalità Accesso controllato alle cartelle
Cliccando sul link Cartelle protette avete la possibilità di verificare quali cartelle sono protette di default e potrete eventualmente aggiungere altre cartelle da proteggere.
Figura 3: Verifica e aggiunta delle cartelle da proteggere
Se cliccate sul link Consenti app tramite accesso alle cartelle controllato avrete la possibilità di creare un’eccezione per un’applicazione che considerate attendibile e che avrà la possibilità di modificare i file nelle cartelle protette.
Figura 4: Aggiunta di un'applicazione all'elenco di quelle considerate attendibili
Gestione tramite Group Policy
L’abilitazione dell’accesso alle cartelle controllato si può effettuare in maniera centralizzata utilizzando le Group Policy (Criteri di gruppo). Nell' Editor Gestione criteri di gruppo andate in Configurazione Computer e fate clic su Modelli amministrativi > Componenti di Windows > Windows Defender Antivirus > Windows Defender Exploit Guard > Accesso alle cartelle controllato
Fate doppio clic sull'impostazione Configura accesso controllato alle cartelle e quindi impostate l'opzione su Abilitata. Nella sezione delle opzioni dovete specificare una delle seguenti opzioni:
- Blocca - alle app dannose e sospette non sarà consentito apportare modifiche ai file nelle cartelle protette.
- Disabilita (valore predefinito) - la funzionalità di accesso controllato alle cartelle non funzionerà. Tutte le app possono apportare modifiche ai file nelle cartelle protette.
- Modalità Controllo - se un'app dannosa o sospetta tenta di effettuare una modifica di un file in una cartella protetta, la modifica sarà consentita, ma verrà registrata nel registro eventi di Windows. Ciò consente di valutare l'impatto di questa funzionalità e capire se ci possono essere dei falsi positivi.
Figura 5: Gestione tramite Group Policy dell'accesso alle cartelle protetto
Per poter aggiungere via Group Policy alcune cartelle da aggiungere a quelle protette di default andate in Configurazione Computer e fate clic su Modelli amministrativi > Componenti di Windows > Windows Defender Antivirus > Windows Defender Exploit Guard > Accesso alle cartelle controllato
Cliccate su Configura cartelle protette e dopo aver scelto Attivata fate clic su Mostra… per immettere il nome delle cartelle che devono essere aggiunte.
Figura 6: Aggiunta delle cartelle da proteggere
Gestione tramite PowerShell
La funzionalità di accesso controllato alle cartelle si può abilitare anche con il semplice comando PowerShell Set-MpPreference -EnableControlledFolderAccess Enabled
Maggiori dettagli sull’utilizzo della cmdlet Set-MpPreference possono essere recuperati al link https://docs.microsoft.com/it-it/powershell/module/defender/set-mppreference?view=win10-ps
Con il comando Add-MpPreference -ControlledFolderAccessProtectedFolders "<cartella da proteggere>" è possibile invece aggiungere ulteriori percorsi.
Maggiori dettagli sull’utilizzo della cmdlet Add-MpPreference possono essere recuperati al link https://docs.microsoft.com/it-it/powershell/module/defender/add-mppreference?view=win10-ps
Figura 7: Utilizzo di PowerShell per la gestione della funzionalità di accesso controllato alle cartelle
Conclusioni
A partire da Windows 10, versione 1709 abbiamo a diposizione un’arma formidabile e GRATUITA per poterci difendere dai ransomware. Grazie alla protezione in tempo reale da virus e minacce di Windows Defender, possiamo proteggere le cartelle più importanti da una delle minacce informatiche più frequenti e più dannose degli ultimi anni.