Avec la mise à jour Fall Creators Update à la version 1709, Windows 10 a introduit une nouvelle fonctionnalité pour la protection contre les chevaux de Troie de cryptage comme Locky, WannaCry et autres. L’accès surveillé aux dossiers se cache dans le Centre de sécurité Windows Defender et doit empêcher que des programmes non autorisés obtiennent un accès en écriture aux dossiers protégés de l’utilisateur tels que « Mes documents ». Nous présentons cette nouvelle fonctionnalité en détail dans cet article.
- La mise à jour Windows 10 Fall Creators Update contient une nouvelle fonctionnalité appelée « Accès surveillé aux dossiers ».
- L’accès surveillé aux dossiers permet de protéger les dossiers contenant des données personnelles contre l’accès en écriture de programmes non autorisés.
- L’accès surveillé aux dossiers est également configurable via les stratégies de groupe (GPO).
Table des matières
Attaque des crypto-chevaux de Troie
Depuis 2016 déjà, des vagues de chevaux de Troie d’extorsion déferlent sur le réseau et attaquent les systèmes Windows par le biais de failles de sécurité généralement connues et non comblées. Les crypto-chevaux de Troie, également appelés ransomwares, chiffrent les fichiers des utilisateurs et ne les libèrent – soi-disant – que contre le paiement d’une rançon. Jusqu’à présent, le représentant le plus célèbre était le cheval de Troie de cryptage appelé WannaCry, qui a également volé des infrastructures critiques telles que les hôpitaux ou la Deutsche Bahn.
Les systèmes Windows actuels, sur lesquels tous les correctifs de Microsoft ont été appliqués et qui présentent une stratégie de sauvegarde raisonnable, se sont avérés être une protection contre ces chevaux de Troie, les sauvegardes devant être effectuées sur des mémoires séparables du système, car les chevaux de Troie de cryptage tentent de crypter tous les fichiers accessibles à l’utilisateur depuis Windows.
Lisez également notre article Stratégies de protection contre les chevaux de Troie comme Locky : la bonne sauvegarde !
Accès surveillé aux dossiers dans Windows 10
Avec la mise à jour Fall Creators Update de Windows 10 à la version 1709, Microsoft a intégré la nouvelle fonctionnalité Accès surveillé aux dossiers dans le Centre de sécurité Windows Defender.
L’accès surveillé aux dossiers protège les fichiers et les dossiers contre les modifications non autorisées, afin de rendre plus difficile par exemple le cryptage ou la suppression par des chevaux de Troie, en n’autorisant que certaines applications à avoir un accès complet aux fichiers et aux dossiers.
Remarque: les droits d’accès du dossier ne sont pas modifiés. En fait, Windows ne fait que gérer une liste blanche des applications qui ont un accès en écriture aux dossiers protégés.
Vous accédez à cette fonction via Paramètres -> Mise à jour et sécurité – > Windows Defender – > Windows Defender Security Center. Cliquez ici sur le symbole du bouclier et allez dans « Protection contre les virus et les menaces » et ici dans les paramètres de la protection contre les virus et les menaces. Ici, vous pouvez activer ou désactiver l' »Accès contrôlé aux dossiers » et ainsi le désactiver ou l’activer.
A partir de ce moment, seuls les programmes autorisés ont accès en écriture aux dossiers protégés.
Quels dossiers sont protégés par l’accès surveillé aux dossiers ?
Dès que vous activez la fonction Dossiers protégés, tous les dossiers de l’utilisateur (en règle générale sous c:\Users\Nnom d’utilisateur) sont protégés, même si l’utilisateur a placé le chemin de ces dossiers sur un autre lecteur.
Si vous souhaitez ajouter d’autres dossiers à la protection, vous trouverez le bouton approprié avec la fonction « Ajouter un dossier protégé ».
Pas seulement pour les dossiers locaux: Windows peut également étendre sa protection des dossiers aux dossiers et fichiers locaux. Ainsi, il est également possible de surveiller des dossiers sur des supports de données externes et même sur des lecteurs réseau.
Que se passe-t-il si une application non autorisée tente d’accéder aux fichiers contenus dans le dossier protégé ?
Si une application non autorisée tente d’accéder en écriture à des dossiers ou fichiers protégés, cela est consigné dans le journal des événements et l’utilisateur en est informé par une boîte de dialogue « Modifications non autorisées bloquées ».
Cela ne signifie pas forcément une menace dans tous les cas. Il est possible que vous ayez simplement oublié d’autoriser l’accès en écriture d’un programme.
Comment puis-je autoriser d’autres programmes à accéder en écriture aux dossiers protégés ?
Parmi les applications autorisées pour l’accès en écriture aux dossiers protégés, on trouve déjà des apps qui ont été classées comme inoffensives par Microsoft. Il n’est malheureusement pas possible de voir exactement lesquelles. Vous pouvez toutefois accorder l’accès en écriture aux dossiers protégés à d’autres programmes via « Ajouter une application autorisée ».
Stratégie de groupe et commandes PowerShell
L’accès surveillé aux dossiers peut également être distribué et activé via des stratégies de groupe et se trouve sous avec démarrer->Exécuter -> gpedit.msc (à partir de Windows 10 Professionnel) sous Configuration ordinateur => Stratégies -> Modèles d’administration -> Composants Windows -> Windows Defender Antivirus -> Windows Defender Exploit Guard -> Accès surveillé aux dossiers.
Via PowerShell, il est possible d’activer et d’administrer l’accès surveillé aux dossiers sans avoir à cliquer.
Avec la commande
Set-MpPreference -EnableControlledFolderAccess Enabled
permet d’activer la protection des dossiers.
On ajoute des dossiers avec
Set-MpPreference-ControlledFolderAccessProtectedFolders "Chemin d'accès au dossier".
et les applications de confiance avec
Set-MpPreference-ControlledFolderAccessAllowedApplications "Chemin d'accès au programme".
Attention: la commande Set-MpPreference remplace les paramètres précédents. En revanche, la commande Add-MpPreference permet d’ajouter des paramètres existants.
Microsoft a documenté à nouveau l’utilisation de l’accès contrôlé aux dossiers via PowerShell et les stratégies de groupe dans un article spécifique.
Programmes supplémentaires pour l’évaluation
Microsoft propose aux administrateurs de tester l’Exploit Guard Evaluation Package en téléchargement. Ce pack contient différents outils, dont le programme ExploitGuard CFA File Creator.exe. Celui-ci tente d’écrire dans des dossiers protégés afin de tester la fonction de sécurité.
Il est possible d’importer le fichier cfa-events.xml du package dans l’Observateur d’événements et de générer une vue personnalisée qui regroupe toutes les entrées pour les dossiers protégés.
Impossible d’activer l’accès surveillé aux dossiers ?
L’accès surveillé aux dossiers ne peut être utilisé qu’en combinaison avec Windows Defender. Si vous utilisez une solution antivirus tierce, la fonctionnalité n’est pas disponible, l’accès surveillé aux dossiers est grisé. La raison pour laquelle Microsoft utilise cette limitation n’est pas claire, mais c’est une grande source d’irritation. Il est probable que la fonction ne soit pas intégrée dans Windows, mais dans Windows Defender, qui est désactivé en cas d’utilisation d’un autre antivirus.
Conclusion
L’accès surveillé aux dossiers est une fonction pratique et facile à utiliser, mais elle reste limitée aux utilisateurs qui utilisent exclusivement Windows Defender comme protection antivirus.