Con l’aggiornamento Fall Creators Update alla versione 1709, Windows 10 ha introdotto una nuova funzione di protezione contro i trojan di crittografia come Locky, WannaCry e altri. L’accesso monitorato alle cartelle è nascosto nel Centro sicurezza di Windows Defender e ha lo scopo di impedire a programmi non autorizzati di accedere in scrittura a cartelle protette come “Documenti” dell’utente. In questo articolo presentiamo la nuova funzione in dettaglio.
- Windows 10 Fall Creators Update include una nuova funzione chiamata “Watched Folder Access”.
- Con l’Accesso controllato alle cartelle è possibile proteggere le cartelle contenenti dati personali dall’accesso in scrittura da parte di programmi non autorizzati.
- Accesso controllato alle cartelle è configurabile anche tramite Criteri di gruppo (GPO).
Indice dei contenuti
Attacco di Crypto Trojan
Dal 2016 si sono diffuse in rete ondate di Trojan a scopo di estorsione che attaccano i sistemi Windows attraverso falle di sicurezza per lo più note e non chiuse. I crypto-Trojan, chiamati anche ransomware Trojan, criptano i file degli utenti e – presumibilmente – li rilasciano nuovamente solo dietro pagamento di un riscatto. Il rappresentante più importante è stato finora il Trojan di crittografia chiamato WannaCry, che ha anche dirottato infrastrutture critiche come ospedali o Deutsche Bahn.
I sistemi Windows attuali, sui quali sono state applicate tutte le patch di Microsoft e che dispongono di una strategia di backup ragionevole, si sono dimostrati protettivi nei confronti di questi Trojan; i backup dovrebbero essere effettuati su dispositivi di archiviazione che possono essere separati dal sistema, poiché i Trojan di crittografia tentano di crittografare tutti i file a cui l’utente può accedere da Windows.
Leggete anche il nostro articolo Strategie per proteggersi da Trojan come Locky: il giusto backup!
Accesso monitorato alle cartelle in Windows 10
Con l’aggiornamento Fall Creators Update di Windows 10 alla versione 1709, Microsoft ha aggiunto la nuova funzione Accesso monitorato alle cartelle al Centro sicurezza di Windows Defender.
L’accesso monitorato alle cartelle protegge i file e le cartelle da modifiche non autorizzate, ad esempio per rendere più difficile la crittografia o l’eliminazione da parte di Trojan, consentendo solo a determinate app l’accesso completo ai file e alle cartelle.
Nota: i diritti di accesso della cartella non vengono modificati. In pratica, Windows si limita a stilare una whitelist delle applicazioni che possono accedere in scrittura alle cartelle protette.
È possibile accedere alla funzione tramite Impostazioni -> Aggiornamento e sicurezza – > Windows Defender – > Centro sicurezza di Windows Defender. Qui si fa clic sull’icona dello scudo e si passa a “Protezione da virus e minacce” e qui alle impostazioni di Protezione da virus e minacce. Qui è possibile attivare o disattivare l'”Accesso controllato alle cartelle” e quindi disabilitarlo o attivarlo.
Da questo momento in poi, solo i programmi autorizzati hanno accesso in scrittura alle cartelle protette.
Quali cartelle sono protette dall’accesso monitorato alle cartelle?
Non appena si attiva la funzione Cartelle protette, tutte le cartelle dell’utente (di solito sotto c:\Users\username) sono protette, anche se l’utente ha collocato il percorso di queste cartelle su un’altra unità.
Se volete aggiungere altre cartelle alla protezione, troverete l’apposito pulsante con la funzione “Aggiungi cartella protetta”.
Non solo per le cartelle locali: Windows può estendere la protezione delle cartelle anche alle cartelle e ai file locali. È quindi possibile monitorare anche le cartelle su supporti dati esterni e persino sulle unità di rete.
Cosa succede se un’applicazione non autorizzata tenta di accedere ai file della cartella protetta?
Se un’applicazione non autorizzata tenta di accedere in scrittura alle cartelle o ai file protetti, ciò viene registrato nel registro eventi e l’utente viene informato tramite una finestra di dialogo “Modifiche non autorizzate bloccate”.
Questo non significa necessariamente una minaccia in tutti i casi. Potreste solo aver dimenticato di abilitare un programma per l’accesso in scrittura.
Come posso concedere ad altri programmi l’accesso in scrittura alle cartelle protette?
Le applicazioni autorizzate per l’accesso in scrittura alle cartelle protette comprendono già applicazioni classificate come innocue da Microsoft. Purtroppo non è possibile vedere esattamente quali sono. Tuttavia, è possibile concedere ad altri programmi l’accesso in scrittura alle cartelle protette tramite “Aggiungi applicazione autorizzata”.
Criteri di gruppo e comandi PowerShell
L’accesso monitorato alle cartelle può essere distribuito e attivato anche tramite i criteri di gruppo e può essere trovato con Start->Esegui -> gpedit.msc (da Windows 10 Professional) in Configurazione computer => Criteri -> Modelli amministrativi -> Componenti di Windows -> Windows Defender Antivirus -> Windows Defender Exploit Guard -> Accesso monitorato alle cartelle.
Tramite PowerShell, è anche possibile attivare e amministrare l’accesso alle cartelle monitorate senza fare clic.
Con il comando
Set-MpPreference -EnableControlledFolderAccess Enabled
si attiva la protezione delle cartelle.
Le cartelle vengono aggiunte con
Set-MpPreference -ControlledFolderAccessProtectedFolders"Percorso della cartella
e le applicazioni affidabili con
Set-MpPreference -ControlledFolderAccessAllowedApplications"Percorso dell'applicazione".
Attenzione: il comando Imposta-MpPreferenza sostituisce le impostazioni precedenti. Il comando Add-MpPreference, invece, aggiunge alle impostazioni esistenti.
Microsoft ha documentato l’uso dell’accesso controllato alle cartelle tramite PowerShell e i criteri di gruppo in un articolo separato.
Programmi aggiuntivi per la valutazione
Microsoft offre agli amministratori il pacchetto di valutazione di Exploit Guard, che possono scaricare per testarlo. Questo pacchetto contiene vari strumenti, tra cui il programma ExploitGuard CFA File Creator.exe. Questo programma tenta di scrivere in cartelle protette per testare la funzione di sicurezza.
Il file cfa-events.xml del pacchetto può essere importato nel visualizzatore di eventi e può essere generata una vista personalizzata che riassume tutte le voci delle cartelle protette.
L’accesso alla cartella monitorata non può essere attivato?
Watched Folder Access può essere utilizzato solo in combinazione con Windows Defender. Se si utilizza una soluzione antivirus di terze parti, la funzione non è disponibile e l’accesso alle cartelle monitorate è disattivato. Non è chiaro il motivo di questa limitazione da parte di Microsoft, ma si tratta di un fastidio notevole. Presumibilmente la funzione non è integrata in Windows, ma in Windows Defender, che viene disattivato quando si utilizza un altro antivirus.
Conclusione
L’accesso monitorato alle cartelle è una funzione pratica e facile da usare, ma rimane limitata agli utenti che si affidano esclusivamente a Windows Defender per la protezione antivirus.