L' accesso controllato alle cartelle^{(Controlled folder access)} è una funzionalità di prevenzione delle intrusioni disponibile con Microsoft Defender Exploit Guard , che fa parte di Microsoft Defender Antivirus . È stato progettato principalmente per impedire al ransomware di crittografare dati/file, ma protegge anche i file da modifiche indesiderate da altre applicazioni dannose. In questo post, ti mostreremo come configurare l'accesso controllato alle cartelle utilizzando Criteri di gruppo e PowerShell^{(configure Controlled Folder Access using Group Policy & PowerShell)} in Windows 11/10.

Questa funzionalità è facoltativa su Windows 10 ma, se abilitata, è in grado di tenere traccia di file eseguibili, script e DLL^(DLLs) che tentano di apportare modifiche ai file nelle cartelle protette. Se l'app o il file è dannoso o non riconosciuto, la funzione bloccherà il tentativo in tempo reale e riceverai una notifica dell'attività sospetta.

Configurare l' accesso controllato alle cartelle^{(Folder Access)} utilizzando i criteri di gruppo^{(Group Policy)}

Per configurare l' accesso controllato alle cartelle^{(Controlled Folder Access)} utilizzando Criteri^{(Group Policy)} di gruppo , è necessario prima abilitare questa funzione . Una volta terminato, puoi procedere alla configurazione di quanto segue:

Aggiungi una nuova posizione per la protezione tramite l'Editor criteri di gruppo locali^{(Local Group Policy Editor)}

Se l'accesso controllato alle cartelle è abilitato, le cartelle di base vengono aggiunte per impostazione predefinita. Se è necessario proteggere i dati che si trovano in una posizione diversa, è possibile utilizzare il criterio Configura cartelle protette^{(Configure protected folders)} per aggiungere la nuova cartella.

Ecco come:

• Premi il Windows key + R per richiamare la finestra di dialogo Esegui
• Nella finestra di dialogo Esegui, digita gpedit.msce premi Invio per aprire l'Editor criteri di gruppo^{(open Group Policy Editor)} .
• All'interno dell'Editor criteri di gruppo locali^{(Local Group Policy Editor)} , utilizzare il riquadro sinistro per passare al percorso seguente:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Fare doppio clic sul  criterio Configura cartelle protette^{(Configure protected folders)} nel riquadro di destra per modificarne le proprietà.
• Seleziona il  pulsante di opzione Abilitato^(Enabled) .
• Nella sezione Opzioni^(Options) , fai clic sul pulsante Mostra^(Show)  .
• Specificare le posizioni che si desidera proteggere inserendo il percorso della cartella (es; F:MyData) nel campo Nome valore^{(Value name)} e aggiungendo 0 nel campo Valore^(Value) . Ripetere questo passaggio per aggiungere più posizioni.
• Fare  clic sul pulsante OK  .
• Fare clic sul  pulsante Applica^(Apply)  .
• Fare  clic sul pulsante OK  .

Le nuove cartelle verranno ora aggiunte all'elenco di protezione di Accesso controllato^(Controlled) alle cartelle. Per annullare le modifiche, segui le istruzioni precedenti, ma seleziona l'  opzione Non configurato^{(Not Configured)} o Disabilitato .^(Disabled)

App nella whitelist nell'accesso controllato^(Controlled) alle cartelle utilizzando l'Editor criteri di gruppo locali^{(Local Group Policy Editor)}

• Apri Editor criteri di gruppo locali.
• All'interno dell'Editor criteri di gruppo locali^{(Local Group Policy Editor)} , utilizzare il riquadro sinistro per passare al percorso seguente:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Fare doppio clic sul criterio Configura applicazioni consentite^{(Configure allowed applications)}  nel riquadro di destra per modificarne le proprietà.
• Seleziona il  pulsante di opzione Abilitato^(Enabled) .
• Nella sezione Opzioni^(Options) , fai clic sul pulsante Mostra^(Show)  .
• Specificare la posizione del file .exe per l'app (es; C:Program Files (x86)GoogleChromeApplicationchrome.exe) che si desidera consentire nel campo Nome valore^{(Value name)} e aggiungere 0 nel campo Valore^(Value) . Ripetere questo passaggio per aggiungere più posizioni.
• Fare  clic sul pulsante OK  .
• Fare clic sul  pulsante Applica^(Apply)  .
• Fare  clic sul pulsante OK  .

Ora, le app specificate non verranno bloccate quando l'accesso controllato alle cartelle è attivato e sarà in grado di apportare modifiche a file e cartelle protetti. Per annullare le modifiche, segui le istruzioni precedenti, ma seleziona l'  opzione Non configurato^{(Not Configured)} o Disabilitato .^(Disabled)

Per gli utenti domestici di ^(Home)Windows 11/10 , puoi aggiungere la funzionalità Editor criteri di gruppo locali^{(add Local Group Policy Editor)} e quindi eseguire le istruzioni fornite sopra oppure puoi eseguire il metodo PowerShell di seguito.^(PowerShell)

Configura l'accesso controllato alle cartelle^{(Folder Access)} tramite PowerShell

Per configurare l' accesso controllato alle cartelle^{(Controlled Folder Access)} utilizzando Criteri^{(Group Policy)} di gruppo , devi prima abilitare la funzione. Una volta terminato, puoi procedere alla configurazione di quanto segue:

Aggiungi^(Add) una nuova posizione per la protezione tramite PowerShell

• Premi il tasto Windows + X per aprire il menu Power User^{(open Power User Menu)} .
• Toccare A sulla tastiera per avviare PowerShell in modalità amministratore/elevata.
• Nella console di PowerShell , digita il comando seguente e premi Invio^(Enter) .

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

Nel comando, sostituisci il F:olderpath oaddsegnaposto con il percorso effettivo per la posizione e l'eseguibile dell'app che desideri consentire. Quindi, ad esempio, il tuo comando dovrebbe essere simile al seguente:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• Per rimuovere una cartella, digita il comando seguente e premi Invio^(Enter) :

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

App nella whitelist nell'accesso controllato^(Controlled) alla cartella tramite PowerShell

• Avvia PowerShell in modalità amministratore/elevata.
• Nella console di PowerShell , digita il comando seguente e premi Invio^(Enter) .

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

Nel comando, sostituisci il F:path oappapp.exe segnaposto con il percorso effettivo per la posizione e l'eseguibile dell'app che desideri consentire. Quindi, ad esempio, il tuo comando dovrebbe essere simile al seguente:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

Il comando precedente aggiungerà Chrome all'elenco delle app consentite e l'app potrà essere eseguita e apportare modifiche ai tuoi file quando l'accesso controllato^(Controlled) alla cartella è abilitato.

• Per rimuovere un'app, digita il comando seguente e premi Invio^(Enter) :

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

Ecco come configurare l' accesso controllato alle cartelle^{(Controlled Folder Access)} utilizzando Criteri^{(Group Policy)} di gruppo e PowerShell in Windows 11/10 !

Configure Controlled Folder Access using Group Policy & PowerShell

Controlled folder access is an intrusion-prevention feature available with Microsoft Defender Exploit Guard, which is part of the Microsoft Defender Antivirus. It’s been designed primarily to prevent ransomware from encrypting your data/files, but it also protects files from unwanted changes from other malicious applications. In this post, we will show you how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10.

This feature is optional on Windows 10 but when enabled, the feature is able to track executable files, scripts, and DLLs, that attempt to make changes to files in the protected folders. If the app or file is malicious or not recognized, the feature will block the attempt in real-time, and you’ll receive a notification of the suspicious activity.

Configure Controlled Folder Access using Group Policy

To configure Controlled Folder Access using Group Policy, you first need to enable this feature. Once done, you can proceed to configure the following:

Add a new location for protection via Local Group Policy Editor

If Controlled folder access is enabled, the basic folders are added by default. If you must protect data located in a different location, then you can use the Configure protected folders policy to add the new folder.

Here’s how:

• Press Windows key + R to invoke the Run dialog
• In the Run dialog box type gpedit.msc and hit Enter to open Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure protected folders policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the locations you want to protect by entering the path of the folder (eg; F:\MyData) in the Value name field and adding 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

The new folder(s) will now be added to the protection list of Controlled folder access. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

Whitelist apps in Controlled folder access using Local Group Policy Editor

• Open Local Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure allowed applications policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the location of the .exe file for the app (eg; C:\Program Files (x86)\Google\Chrome\Application\chrome.exe) you want to allow in the Value name field and add 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

Now, the specified app(s) won’t be blocked when Controlled folder access is turned on, and it’ll be able to make changes to protected files and folders. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

For Windows 11/10 Home users, you can add Local Group Policy Editor feature and then carry out the instructions as provided above or you can do the PowerShell method below.

Configure Controlled Folder Access using PowerShell

To configure Controlled Folder Access using Group Policy, you first need to enable the feature. Once done, you can proceed to configure the following:

Add new location for protection using PowerShell

• Press Windows key + X to open Power User Menu.
• Tap A on the keyboard to launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

In the command, substitute the F:\folder\path\to\add placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• To remove a folder, type the command below and hit Enter:

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Whitelist apps in Controlled folder access using PowerShell

• Launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

In the command, substitute the F:\path\to\app\app.exe placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

The above command will add Chrome to the list of allowed apps and the app will be allowed to run and make changes to your files when Controlled folder access is enabled.

• To remove an app, type the command below and hit Enter:

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

That’s it on how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10!

Related posts

• Folder Redirection Group Policy non applicato quando si utilizza SCCM

• Disabilita Internet Explorer 11 come standalone browser utilizzando Group Policy

• Come aggiungere Group Policy Editor a Windows 10 Home Edition

• Prevent installation di Programs da rimovibile Media Source

• Cambio Delivery Optimization Cache Drive per Windows Updates

• Come aggiungere le impostazioni di sincronizzazione OneDrive in Local Group Policy Editor

• Le politiche di sicurezza sono impostate per mostrare informazioni sull'ultimo accesso interattivo

• Come installare o Update Group Policy Administrative Templates (ADMX)

• Disabilita: hai nuove app che possono aprire questo tipo di file

• Come tenere traccia User Activity in WorkGroup Mode su Windows 11/10

• Come specificare Minimum and Maximum PIN length in Windows 10

• Come specificare il termine prima del riavvio automatico per Update installation

• Abilita o disabilita l'accesso a Firefox Add-ons Manager utilizzando Group Policy

• Turn OFF Display di recenti voci di ricerca in File Explorer in Windows 11/10

• La lavorazione di Group Policy non è riuscita a causa della mancanza di network connectivity

• Customize Ctrl+Alt+Del Screen Usando Group Policy or Registry in Windows

• Come applicare Layered Group Policy in Windows 11/10

• Group Policies per configurare il reindirizzamento a Microsoft Edge

• Come Import or Export Group Policy settings in Windows 10

• Group Policy Settings Reference Guide per Windows 10