Come configurare l'accesso alle cartelle controllate per interrompere le notifiche "Modifiche non autorizzate bloccate"

Windows 10 Fall Creators Update aggiunge una vantaggiosa funzionalità di sicurezza denominata Accesso controllato alle cartelle, che fa parte di Windows Defender Exploit Guard. Potresti aver notato che le modifiche non autorizzate hanno bloccato le notifiche. La funzionalità di accesso alle cartelle controllate di Windows Defender è quella dietro quelle notifiche. L'accesso controllato alle cartelle consente di proteggere dati importanti da programmi dannosi, come i ransomware.

Questo articolo spiega come configurare CFA e impedire che le modifiche non autorizzate abbiano bloccato le notifiche durante l'esecuzione di un programma.

Windows Defender Exploit Guard è un nuovo set di funzionalità di prevenzione delle intrusioni dell'host per Windows 10, che consente di gestire e ridurre la superficie di attacco delle app installate sul computer.

Cos'è l'accesso controllato alle cartelle in Windows 10?

L'accesso controllato alle cartelle è una funzionalità anti-ransomware in Windows 10 che consente di proteggere documenti, file e aree di memoria del computer da modifiche di app sospette o dannose (in particolare ransomware). L'accesso controllato alle cartelle è supportato su Windows Server 2019 e Windows 10.

A volte l'accesso controllato alle cartelle può bloccare la scrittura di app legittime in cartelle protette (come desktop, cartelle di documenti, ecc.) E mostra la notifica Modifiche non autorizzate bloccate . È possibile configurare l'accesso alle cartelle controllate in modo da poter consentire applicazioni specifiche, nonché aggiungere cartelle personalizzate all'elenco delle cartelle "protette".

$config[ads_text6] not found

È particolarmente utile per aiutare a proteggere documenti e informazioni da ransomware che possono tentare di crittografare i file e tenerli in ostaggio.

Come utilizzare l'accesso controllato alle cartelle?

Prerequisito: la protezione in tempo reale di Windows Defender AV deve essere abilitata affinché la funzionalità di accesso controllato alle cartelle funzioni.

Abilitazione dell'accesso controllato alle cartelle

Per abilitare l'accesso alle cartelle controllate, attenersi alla seguente procedura:

  1. Fai doppio clic sull'icona dello scudo di Defender nell'area di notifica per aprire Windows Defender Security Center.
  2. Fai clic su Protezione da virus e minacce
  3. Fai clic su Impostazioni di protezione da virus e minacce

    Abilitazione dell'accesso alle cartelle controllato da Windows Defender
  4. Abilitare l'impostazione "Accesso controllato alle cartelle". La finestra di dialogo di Controllo dell'account utente verrà ora visualizzata per ottenere la tua conferma / consenso.

D'ora in poi, l'accesso alle cartelle controllate controlla le modifiche apportate dalle app ai file nelle cartelle protette.

Abilita la protezione per posizioni di cartelle aggiuntive

Per impostazione predefinita, queste cartelle sono protette e non è possibile rimuovere la protezione per queste cartelle:

 Cartelle shell utente: Documenti, Immagini, Video, Musica, Preferiti e Desktop Cartelle shell pubbliche: Documenti, Immagini, Video e Desktop 

Accesso controllato alle cartelle - Cartelle protette

Tuttavia, alcuni utenti potrebbero non preferire la memorizzazione dei propri file nelle cartelle o nelle librerie personali della shell; potrebbero avere i loro documenti in una condivisione di rete o in altre posizioni. In tal caso, puoi inserire ulteriori posizioni delle cartelle sotto la protezione di Windows Defender, facendo clic sul collegamento Cartelle protette nel Centro sicurezza di Windows Defender e facendo clic sul pulsante Aggiungi una cartella protetta . È inoltre possibile inserire condivisioni di rete e unità mappate.

Aggiungi (whitelist) app per l'accesso alle cartelle controllate

L'accesso alle cartelle controllato da Windows Defender bloccherà l'accesso in scrittura (tramite app "non amichevoli") ai file nelle cartelle protette. Se un'app tenta di apportare una modifica a questi file e l'app viene inserita nella blacklist dalla funzione, riceverai una notifica sul tentativo.

Proprio come è possibile integrare le cartelle protette con percorsi di cartelle aggiuntivi, è anche possibile aggiungere (whitelist) le app a cui si desidera consentire l'accesso a tali cartelle.

Blocco note ++ bloccato

Nel mio caso, l'accesso alle cartelle controllate stava bloccando il salvataggio sul desktop del programma di editor di testo di terze parti Notepad ++.

D: \ Tools \ NPP \ notepad ++. Exe è stato bloccato dalla modifica di% desktopdirectory% \ da Accesso controllato alle cartelle.

E viene generata una voce del registro Event ID: 1123 ( Event ID: 1123 ) per l'evento bloccato.

Verrà elencato in Registri applicazioni e serviziMicrosoftWindowsWindows DefenderOperativo

Accesso alle cartelle controllato: voce del registro degli eventi
ID eventoDescrizione
5007Evento in caso di modifica delle impostazioni
1124Evento di accesso alle cartelle controllato verificato
1123Evento di accesso alla cartella controllata bloccato
1127Evento "modifiche alla memoria" bloccato?
Non ci sono informazioni ufficiali sull'ID evento CFA: 1127. Potrebbe essere correlato a eventi bloccati "apportando modifiche alla memoria". Ho trovato una voce interessante nel mio sistema.
 Nome registro: Defender Microsoft-Windows-Windows / Origine operativa: Data difensore Microsoft-Windows-Windows: ID evento: 1127 Categoria attività: Nessuna Livello: Avviso Parole chiave: Utente: SISTEMA Computer: DESKTOP-JKJ4G5Q Descrizione: Accesso alle cartelle controllate bloccato C: \ Programmi \ JAM Software \ TreeSize \ TreeSize.exe dall'apportare modifiche alla memoria. Tempo di rilevamento: 2019-04-21T17: 17: 09.462Z Utente: DESKTOP-JKJ4G5Q \ ramesh Percorso: \ Device \ HarddiskVolume2 Nome processo: C: \ Programmi \ JAM Software \ TreeSize \ TreeSize.exe Versione firma: 1.291.2409.0 Engine Versione: 1.1.15800.1 Versione prodotto: 4.18.1903.4 

$config[ads_text6] not found

Per ottenere l'elenco delle ultime 25 app bloccate, apri una finestra del prompt dei comandi ed esegui questa riga di comando:

 wevtutil qe "Microsoft-Windows-Windows Defender / Operational" / q: "* [System [(EventID = 1123)]]" / c: 15 / f: text / rd: true | findstr / i "nome processo:" 

Inoltre, vedere lo script di PowerShell alla fine di questo articolo per elencare gli elementi in una finestra della griglia di visualizzazione elenco e inserire nella lista bianca gli elementi selezionati con un solo clic.

Ecco l'elenco delle notifiche non autorizzate per le modifiche bloccate, come mostrato nel Centro operativo.

Notifica del Centro operativo sulle app bloccate

Ho autorizzato subito l'app, poiché Notepad ++ è un programma ampiamente utilizzato e affidabile. Per consentire un'app, fai clic su Consenti a un'app tramite l' opzione di accesso alle cartelle controllate nel Centro sicurezza di Windows Defender. Quindi, individuare e aggiungere l'app che si desidera consentire.

Accesso controllato alle cartelle: consentire un'app

Consenti app bloccate di recente

L'accesso alle cartelle controllate consente anche di consentire app bloccate di recente . Per visualizzare l'elenco delle app bloccate, fai clic sul pulsante Aggiungi un'app consentita e fai clic su App bloccate di recente .

Otterrai l'elenco delle app che sono state recentemente bloccate. Dall'elenco, è possibile fare clic su Seleziona un'app e aggiungerla all'elenco Consenti. Per fare ciò, è necessario fare clic sull'icona o sul pulsante + glifo accanto alla voce dell'app.

Qui, ho inserito nella whitelist il processo PowerShell.exe, ad esempio.

Assicurati di consentire solo le app di cui ti fidi. L'autorizzazione di PowerShell.exe deve essere eseguita con estrema cautela, poiché i cripto-malware possono eseguire silenziosamente un comando o uno script PowerShell su un computer vulnerabile.

Gestisci l'accesso controllato alle cartelle tramite PowerShell

Il cmdlet Set-MpPreference di PowerShell supporta molti parametri in modo da poter applicare tutte le impostazioni di Windows Defender tramite script. Per l'elenco completo dei parametri supportati da questo cmdlet, consulta questa pagina Microsoft.

Abilita l'accesso controllato alle cartelle tramite PowerShell

Avviare powershell.exe come amministratore. Per fare ciò, digita powershell nel menu Start, fai clic con il pulsante destro del mouse su Windows PowerShell e fai clic su Esegui come amministratore.

Immettere il cmdlet seguente:

 Set-MpPreference -EnableControlledFolderAccess Enabled 

Gestire l'accesso controllato alle cartelle tramite il cmdlet di PowerShell

Per disabilitare, utilizzare questo comando:

 Set-MpPreference -EnableControlledFolderAccess Disabled 

Proteggi le cartelle aggiuntive usando PowerShell

 Add-MpPreference -ControlledFolderAccessProtectedFolders "c: \ apps" 

Consentire un'app specifica (Notepad ++) usando PowerShell

 Add-MpPreference -ControlledFolderAccessAllowedApplications "d: \ tools \ npp \ notepad ++. Exe" 

Consenti a tutte le app bloccate l'accesso controllato alle cartelle (in modo interattivo) tramite PowerShell

Redditor / u / gschizas ha elaborato un piccolo script PowerShell che analizza il registro eventi (voci con ID: 1123 che è l'evento "Accesso controllato alle cartelle bloccate") per raccogliere l'elenco delle app bloccate dall'accesso controllato alle cartelle di Windows Defender. Lo script offre quindi di inserire nella lista bianca tutti i programmi selezionati o quelli selezionati.

Come usare lo script?

  • Apri PowerShell come amministratore.
  • Visita la pagina GitHub di gschizas
  • Seleziona tutte le righe di codice e copia negli appunti.
  • Passare alla finestra di PowerShell e incollare il contenuto lì, quindi premere INVIO

    Consenti tutte le app tramite App cartella controllata - Script Powershell

    Viene visualizzato l'elenco delle app bloccate, come registrato nel registro eventi.

    Seleziona le app da autorizzare
  • Seleziona le app che desideri inserire nella whitelist e fai clic su OK. Per selezionare più programmi, premere il tasto Ctrl e fare clic sulla voce corrispondente.
  • Clicca OK.

    Ciò consente alle app tramite l'accesso controllato alle cartelle in blocco .

    App aggiunte all'elenco "Consenti" delle app delle cartelle controllate

In un ambiente aziendale, l'accesso controllato alle cartelle può essere gestito utilizzando:

  • 1. App Windows Defender Security Center
  • 2. Criteri di gruppo
  • 3. PowerShell

Risoluzione dei problemi: opzione di accesso alla cartella controllata mancante, disattivata o inaccessibile

Quando si tenta di aprire la pagina di accesso alle cartelle controllate tramite Start, è possibile che venga visualizzato questo messaggio di errore:

$config[ads_text6] not foundpagina non disponibile

L'amministratore IT ha un accesso limitato ad alcune aree di questa app e l'elemento a cui hai tentato di accedere non è disponibile. Contattare l'helpdesk IT per ulteriori informazioni.

Potresti chiederti se l'errore sopra riportato è causato da alcune restrizioni dei criteri di gruppo in vigore sul tuo computer. Potrebbe non essere necessariamente vero.

L'errore si verifica se si utilizza una soluzione antivirus di terze parti sul computer, che avrebbe disattivato Windows Defender incorporato. Come affermato in precedenza, la funzionalità di accesso alle cartelle controllate si basa completamente sulla protezione in tempo reale di Windows Defender. Se Windows Defender è disattivato, l'accesso alle cartelle controllate non funzionerebbe. Quindi la pagina rimane inaccessibile o in grigio, a seconda della build di Windows 10 che stai utilizzando.

Nel mio caso, l'errore si è verificato dopo aver installato Malwarebytes Premium. Aveva sostituito Windows Defender.

Nota: se sei un utente premium di Malwarebytes, puoi comunque abilitare e utilizzare Windows Defender insieme a Malwarebytes premium.

Per fare ciò, apri Malwarebytes Premium → Impostazioni → Applicazione → Abilita Non registrare mai Malwarebytes nel Centro operativo di Windows .

Questa opzione garantisce che Malwarebytes Premium non disattivi Windows Defender e funzioni insieme a Defender; quindi anche la funzione di accesso controllato alle cartelle funzionerebbe. Lo stato del programma Malwarebytes non verrà visualizzato nel Centro operativo.

Abilita o disabilita l'accesso controllato alle cartelle utilizzando i collegamenti sul desktop

In alcune situazioni, potrebbe essere necessario disabilitare temporaneamente l'accesso controllato alle cartelle per consentire ai programmi di scrivere in cartelle protette, senza dover inserire nella whitelist ogni programma. Ad esempio, potresti avere inserito nella whitelist il programma ShareX, ma le acquisizioni di schermate potrebbero non funzionare perché lo strumento di acquisizione ed elaborazione video FFMpeg.exe non è nella whitelist in Accesso controllato alle cartelle. E potresti non voler consentire il programma esterno in modo permanente.

A tale scopo, è possibile creare due collegamenti sul desktop per disabilitare / abilitare l'accesso controllato alle cartelle rapidamente.

  1. Fare clic con il tasto destro sul desktop, fare clic su Nuovo, collegamento
  2. Nella casella di testo "Digita la posizione dell'elemento", digita il seguente comando:
     powershell.exe -command "& {Set-MpPreference -EnableControlledFolderAccess Enabled}" 

  3. Denominare il collegamento "Abilita accesso alle cartelle controllato".

    Suggerimento rapido: nella scheda Proprietà del collegamento, è possibile configurarlo per l' esecuzione in modalità ridotta se non si desidera visualizzare la finestra di PowerShell quando viene eseguito il comando. Naturalmente, PowerShell.exe deve essere autorizzato per far funzionare queste scorciatoie. Il percorso eseguibile di PowerShell è C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe se lo vuoi inserire nella whitelist.

  4. Allo stesso modo, crea un altro collegamento con il seguente obiettivo:
     powershell.exe -command "& {Set-MpPreference -EnableControlledFolderAccess Disabled}" 

    Denominalo come "Disabilita l'accesso controllato alle cartelle" e, facoltativamente, modifica l'icona di collegamento per entrambi gli elementi come desiderato.

Eseguire come amministratore

Il collegamento / comando deve essere eseguito elevato (come amministratore). Quindi, fai clic con il pulsante destro del mouse su ogni collegamento e fai clic su Proprietà. Fare clic su Avanzate e abilitare la casella di controllo " Esegui come amministratore " e fare clic su OK, OK.

Ripetere il passaggio per l'altro collegamento.

$config[ads_text6] not found

Parole di chiusura

Windows Defender sta ottenendo una nuova funzionalità di sicurezza in quasi tutte le build di Windows 10. Per citarne alcuni, scanner offline di Windows Defender, Scansione periodica limitata, "Blocca a prima vista" Protezione del cloud e Invio automatico dei campioni e funzionalità di adware o PUA / PUP e Application Guard.

E ora l' accesso controllato alle cartelle introdotto in Fall Creators Update è un'altra preziosa funzione per proteggere il sistema da minacce, come il ransomware.

Articolo correlato

  • Impossibile salvare i file sul desktop ed errore "File non trovato" in Windows 10

Articoli Correlati