Poiché gli attacchi ransomware hanno guadagnato slancio a metà degli anni 2010, Microsoft ha cercato di fornire agli utenti e agli amministratori di Windows strumenti per proteggere i propri PC da tali attacchi. Con l'aggiornamento delle funzionalità di ottobre 2017, la società ha aggiunto una funzionalità denominata Accesso controllato alle cartelle a Windows 10.

Sulla carta, l'accesso controllato ai record sembra un'ottima protezione per consumatori, individui e piccole imprese con risorse limitate. Come definito da Microsoft, "l'accesso controllato alle cartelle aiuta a proteggere i tuoi dati preziosi da applicazioni e minacce dannose, come il ransomware. L'accesso controllato alle cartelle protegge i tuoi dati confrontando le app con un elenco compatibile con Windows Server 2019, Windows Server 2022, Windows 10 e Windows 11. L'accesso controllato alle cartelle può essere abilitato utilizzando l'app Sicurezza di Windows, Microsoft Endpoint Configuration Manager o Intune ( per dispositivi gestiti).

Microsoft continua dicendo: "L'accesso controllato alle cartelle funziona consentendo solo alle app affidabili di accedere alle cartelle protette. Le cartelle protette vengono specificate durante la configurazione dell'accesso alle cartelle controllate. In generale, le cartelle di uso comune, come quelle utilizzate per documenti, immagini, download, ecc., sono incluse nell'elenco delle cartelle controllate.

Le cartelle specificamente protette includono:

c: UtentiDocumentazione
c:UsersPublicDocuments
c: UtentiQualche foto
c:UsersPublicImages
c:UsersPublicVideos
c: UtentiVideo
c: UtentiMusicale
c:UsersPublicMusic
c: UtentiPreferiti

conseguenze non volute

Quindi, ci siamo sparsi tutti, giusto? Beh, non così in fretta. L'utente del forum Askwoody Astro46 ha recentemente sottolineato che stava cercando di utilizzare l'accesso controllato alle cartelle e stava causando effetti collaterali durante l'utilizzo. Come ha raccontato:

Ho pensato che presto avrei lavorato sulle varie notifiche di accesso e tutto si sarebbe sistemato. Non è mai successo. Mi trovo spesso di fronte a un problema inspiegabile con un programma che non funziona correttamente, con conseguente negazione dell'accesso a una cartella. Potrebbe non essere così male se avessi visto una notifica quando è successo. Ma a volte sì, a volte no. E sembrava che i programmi a cui avevo precedentemente concesso l'accesso stessero causando di nuovo problemi. Perché il programma è stato aggiornato e l'accesso alle cartelle controllate non è stato in grado di risolverlo? La frustrazione e la perdita di tempo hanno superato la presunta sicurezza.

Come sottolinea il blog PDQ, possono esserci effetti collaterali che possono bloccare gli strumenti di gestione remota e altre tecnologie. Quando hai abilitato l'accesso alle cartelle controllate, ciò che vedrai durante l'installazione del software è l'interazione tra la protezione e il processo di installazione quando il programma di installazione tenta di accedere a determinate cartelle. Potresti ricevere avvisi come "Modifiche non autorizzate bloccate" o "Nome software.exe bloccato dall'apportare modifiche. Clicca per vedere le impostazioni.

Quando si utilizza l'accesso controllato alle cartelle, potrebbe essere necessario utilizzarlo in modalità di controllo invece di abilitare completamente il processo. L'abilitazione dell'accesso controllato alle cartelle in modalità di applicazione completa può richiedere molto tempo e aggiungere esclusioni. Ci sono molti post aneddotici su utenti di computer che devono passare ore a cercare l'accesso e aggiungere esclusioni. Uno di questi poster (diversi anni fa) ha rivelato che doveva aggiungere quelle che considerava normali applicazioni Microsoft, come Blocco note e Paint, al processo di rinuncia.

traccia problemi

Sfortunatamente, poiché l'interfaccia utente è minima, i conflitti di cartelle controllate vengono rilevati principalmente sui desktop standalone tramite avvisi sulla barra delle applicazioni quando una cartella è protetta e un'applicazione tenta di accedere alla posizione. Puoi anche accedere ai registri degli eventi, ma prima di poter vedere i dettagli, devi importare un file xml dell'evento.

Come menzionato nel blog della Microsoft Tech Community, è necessario scaricare il file del pacchetto di valutazione ed estrarre cfa-events.xml nella cartella dei download. Oppure puoi copiare e incollare le seguenti righe in un file Blocco note e salvarlo come cfa-events.xml:

Ora importa questo file xml nel tuo visualizzatore di eventi in modo da poter visualizzare e ordinare più facilmente gli eventi di accesso alle cartelle controllate. Incolla Visualizzatore eventi nel menu Start per aprire il Visualizzatore eventi di Windows. Nel riquadro sinistro, in Azioni, seleziona Importa visualizzazione personalizzata. Individua il punto in cui hai estratto cfa-events.xml e selezionalo. Puoi anche copiare direttamente l'XML. Seleziona OK.

Quindi, controlla il registro eventi per i seguenti eventi:

5007 Evento di modifica dei parametri

1124 Evento di accesso alle cartelle controllate controllato

1123 Accesso alla cartella controllata da eventi bloccato

Ti consigliamo di concentrarti su 1124 se sei in modalità di controllo o 1123 se hai l'accesso controllato alle cartelle completamente abilitato per il test. Dopo aver esaminato i registri eventi, dovrebbero mostrare tutte le cartelle aggiuntive che devi modificare affinché le tue applicazioni funzionino completamente.

Alcuni software potrebbero richiedere l'accesso a file aggiuntivi che non ti aspettavi. È qui che sta il problema con lo strumento. Sebbene molte app siano già state approvate da Microsoft e quindi funzionino perfettamente con Accesso controllato alle cartelle abilitato, altre app o app precedenti potrebbero non funzionare correttamente. Mi ha spesso sorpreso quali file e cartelle non hanno bisogno di essere modificati e quali hanno bisogno di essere modificati.

Simile alle regole di riduzione della superficie di attacco, questa è una di quelle tecnologie che vorresti avere un'interfaccia indipendente migliore per le singole workstation. Mentre le aziende con Defender for Endpoint possono indagare sui problemi abbastanza facilmente, i desktop autonomi devono ancora fare affidamento sui messaggi della barra delle applicazioni.

Alla fine della linea

Se ti affidi a Defender per le tue esigenze antivirus, valuta la possibilità di valutare l'accesso controllato alle cartelle per una protezione aggiuntiva dal ransomware. Tuttavia, la mia raccomandazione è di valutarlo davvero, non solo di implementarlo. Dovrai attivarlo in modalità di controllo e prenderti il ​​tuo tempo per esaminarne l'impatto. A seconda delle tue applicazioni, potresti trovarlo più impressionante di quanto pensi.

Per coloro che dispongono di Defender for Endpoint, è possibile abilitare l'accesso controllato alle cartelle come segue: In Microsoft Endpoint Configuration Manager, accedere a Risorse e conformità > Endpoint Protection > Windows Defender Exploit Guard. Seleziona Start, quindi Crea criterio di protezione dagli exploit. Immettere un nome e una descrizione, selezionare Accesso controllato alla cartella, quindi selezionare Avanti. Scegli di bloccare o controllare le modifiche, consentire più app o aggiungere più cartelle, quindi seleziona Avanti.

Puoi anche gestirlo con PowerShell, Criteri di gruppo e persino chiavi di registro. In uno scenario di rete, puoi gestire le app che aggiungi all'elenco attendibili usando Configuration Manager o Intune. È possibile effettuare impostazioni aggiuntive dal portale di Microsoft 365 Defender.

C'è spesso un compromesso tra il rischio di attacchi e l'impatto dei sistemi di sicurezza sui computer. Prenditi il ​​tempo necessario per valutare il tuo equilibrio e se hai un sovraccarico accettabile per le tue esigenze.

Copyright © 2022 IDG Communications, Inc.

Condividi questo