Alors que les attaques de rançongiciels prenaient de l’ampleur au milieu des années 2010, Microsoft a cherché à donner aux utilisateurs et administrateurs Windows des outils pour protéger leurs PC contre de telles attaques. Avec sa mise à jour de fonctionnalités d’octobre 2017, la société a ajouté une fonctionnalité appelée Accès contrôlé aux dossiers à Windows 10.

Sur papier, Accès contrôlé aux dossiers semble être une excellente protection pour les consommateurs, les utilisateurs à domicile et les petites entreprises aux ressources limitées. Tel que défini par Microsoft, « l’accès contrôlé aux dossiers permet de protéger vos précieuses données contre les applications malveillantes et les menaces, telles que les ransomwares. L’accès contrôlé aux dossiers protège vos données en vérifiant les applications par rapport à une liste d’applications connues et approuvées. Pris en charge sur les clients Windows Server 2019, Windows Server 2022, Windows 10 et Windows 11, l’accès contrôlé aux dossiers peut être activé à l’aide de l’application de sécurité Windows, Microsoft Endpoint Configuration Manager ou Intune (pour les appareils gérés).

Microsoft poursuit en disant : « L’accès contrôlé aux dossiers fonctionne en autorisant uniquement les applications de confiance à accéder aux dossiers protégés. Les dossiers protégés sont spécifiés lorsque l’accès contrôlé aux dossiers est configuré. Généralement, les dossiers couramment utilisés, tels que ceux utilisés pour les documents, les images, les téléchargements, etc., sont inclus dans la liste des dossiers contrôlés.

Les dossiers spécifiquement protégés incluent :

c:\Users\<username>\Documents
c:\Users\Public\Documents
c:\Users\<username>\Pictures
c:\Users\Public\Pictures
c:\Users\Public\Videos
c:\Users\<username>\Videos
c:\Users\<username>\Music
c:\Users\Public\Music
c:\Users\<username>\Favorites

Publicité

Conséquences inattendues

Alors déployons-nous tous, n’est-ce pas ? Eh bien, pas si vite. Askwoody utilisateur du forum Astro46 a récemment noté qu’il essayait d’utiliser l’accès contrôlé aux dossiers et que cela provoquait des effets secondaires lors de son utilisation. Comme il l’a raconté :

J’avais supposé que bientôt je travaillerais sur les différentes notifications d’accès, et tout se calmerait. N’est jamais arrivé. Je me suis souvent retrouvé à faire face à un problème inexplicable avec un programme qui ne fonctionnait pas correctement, entraînant finalement un accès refusé à un dossier. Ce ne serait peut-être pas aussi grave si j’avais vu une notification lorsque cela s’est produit. Mais, parfois oui, parfois non.

Et, il semblait que les programmes auxquels j’avais précédemment donné une approbation d’accès posaient à nouveau des problèmes. Parce que le programme a été mis à jour et que l’accès contrôlé aux dossiers n’a pas pu comprendre cela ? La frustration et le temps perdu l’ont emporté sur la supposée sécurité.

Comme le Blogue du PDQ souligne, il peut y avoir des effets secondaires qui peuvent bloquer les outils de gestion à distance et d’autres technologies. Lorsque vous avez activé l’accès contrôlé aux dossiers, ce que vous verrez lors de l’installation du logiciel est l’interaction entre la protection et le processus d’installation lorsque le programme d’installation tente d’accéder à certains dossiers. Vous pouvez recevoir des invites telles que « Modifications non autorisées bloquées » ou « Nomdulogiciel.exe empêché d’apporter des modifications. Cliquez pour voir les paramètres.

Lorsque vous utilisez l’accès contrôlé aux dossiers, vous devrez peut-être l’utiliser en mode audit plutôt que d’activer complètement le processus. L’activation de l’accès contrôlé aux dossiers en mode d’application complète peut vous faire perdre beaucoup de temps et ajouter des exclusions. Il existe de nombreux messages anecdotiques sur les utilisateurs d’ordinateurs qui doivent passer des heures à rechercher l’accès et à ajouter des exclusions. Une telle affiche (il y a plusieurs années) a constaté qu’il devait ajouter ce qu’il considérait comme des applications Microsoft normales telles que le Bloc-notes et Paint au processus d’exclusion.

Traquer les problèmes

Malheureusement, comme l’interface utilisateur est minimale, les conflits de dossiers contrôlés sont principalement découverts sur les postes de travail autonomes via des alertes qui apparaissent dans la barre d’état système lorsqu’un dossier est protégé et qu’une application tente d’accéder à l’emplacement. Vous pouvez également accéder aux journaux d’événements, mais avant de pouvoir consulter les détails, vous devez importer un fichier xml d’événements.

Comme noté dans Blog de la communauté technique de Microsoftvous devez Télécharger le fichier du package d’évaluation et extrayez cfa-events.xml dans votre dossier de téléchargement. Ou vous pouvez copier et coller les lignes suivantes dans un fichier Bloc-notes et l’enregistrer sous cfa-events.xml:

<QueryList>

  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">

   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>

   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>

  </Query>

</QueryList>

Importez maintenant ce fichier xml dans votre visualiseur d’événements afin de pouvoir afficher et trier plus facilement les événements d’accès contrôlé aux dossiers. Taper Observateur d’événements dans le menu Démarrer pour ouvrir l’Observateur d’événements Windows. Dans le panneau de gauche, sous Actions, sélectionnez Importer une vue personnalisée. Accédez à l’emplacement où vous avez extrait cfa-events.xml et sélectionnez-le. Vous pouvez également copier directement le XML. Sélectionner D’ACCORD.

Ensuite, recherchez dans le journal des événements les événements suivants :

5007     Event when settings are changed

1124     Audited controlled folder access event

1123     Blocked controlled folder access event

Vous voudrez vous concentrer sur 1124 si vous êtes en mode audit ou 1123 si vous avez entièrement activé l’accès contrôlé aux dossiers pour les tests. Une fois que vous avez examiné les journaux d’événements, il devrait présenter les dossiers supplémentaires que vous devez ajuster pour que vos applications fonctionnent pleinement.

Vous constaterez peut-être que certains logiciels ont besoin d’accéder à des fichiers supplémentaires auxquels vous ne vous attendiez pas. C’est là que réside le problème avec l’outil. Bien que Microsoft ait déjà approuvé de nombreuses applications et qu’elles fonctionnent donc parfaitement avec l’accès contrôlé aux dossiers activé, d’autres applications ou des applications plus anciennes peuvent ne pas fonctionner correctement. Il m’a souvent été surprenant de savoir quels fichiers et dossiers n’ont pas besoin d’ajustements et lesquels nécessitent des ajustements.

Semblable aux règles de réduction de la surface d’attaque, c’est l’une de ces technologies que j’aimerais avoir une meilleure interface autonome pour les postes de travail individuels. Alors que les entreprises avec Defender for Endpoint peuvent examiner les problèmes assez facilement, les postes de travail autonomes doivent toujours s’appuyer sur les messages qui s’affichent dans la barre d’état système.

En bout de ligne

Si vous comptez sur Defender pour vos besoins antivirus, envisagez d’évaluer l’accès contrôlé aux dossiers pour une protection supplémentaire contre les ransomwares. Cependant, ma recommandation est de vraiment l’évaluer, pas seulement de le déployer. Vous voudrez l’activer en mode audit et prendre votre temps pour examiner l’impact. En fonction de vos applications, vous pouvez le trouver plus percutant que vous ne le pensez.

Pour ceux qui ont Defender pour Endpoint, vous pouvez activer l’accès contrôlé aux dossiers comme suit : Dans Microsoft Endpoint Configuration Manager, accédez à Actifs et conformité > Endpoint Protection > Windows Defender Exploit Guard. Sélectionner Maison et alors Créer une stratégie de protection contre les exploits. Entrez un nom et une description, sélectionnez Accès contrôlé aux dossierset sélectionnez Prochain. Choisissez de bloquer ou d’auditer les modifications, d’autoriser d’autres applications ou d’ajouter d’autres dossiers, puis sélectionnez Prochain.

Alternativement, vous pouvez le gérer avec PowerShell, la stratégie de groupe et même clés de registre. Dans un scénario réseau, vous pouvez gérer les applications que vous ajoutez à la liste approuvée à l’aide de Configuration Manager ou Intune. Des configurations supplémentaires peuvent être effectuées à partir du portail Microsoft 365 Defender.

Souvent, il existe un équilibre entre les risques d’attaques et l’impact des systèmes de sécurité sur les ordinateurs. Prenez le temps d’évaluer l’équilibre et si cela a un surcoût acceptable pour vos besoins.

Copyright © 2022 IDG Communications, Inc.

Rate this post
Publicité
Article précédentHarem dans le labyrinthe d’un autre monde épisode 1
Article suivantGeoGuessr transforme Google Maps en un jeu pour TikTok
Berthe Lefurgey
Berthe Lefurgey est une journaliste chevronnée, passionnée par la technologie et l'innovation, qui fait actuellement ses armes en tant que rédactrice de premier plan pour TechTribune France. Avec une carrière de plus de dix ans dans le monde du journalisme technologique, Berthe s'est imposée comme une voix de confiance dans l'industrie. Pour en savoir plus sur elle, cliquez ici. Pour la contacter cliquez ici

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici