Comment configurer le dispositif d’accès contrôlé aux dossiers sous Windows 10 ?

Mise à jour le 20 janvier 2021

L’accès contrôlé aux dossiers est une fonctionnalité de prévention des intrusions disponible avec Microsoft Defender Exploit Guard, qui fait partie de l’antivirus Microsoft Defender.

Elle a été conçue principalement pour empêcher les logiciels rançonneurs de crypter vos données/fichiers, mais elle protège également les fichiers contre les modifications indésirables provenant d’autres applications malveillantes.

Dans cet article, nous allons voir comment configurer l’accès aux dossiers contrôlés en utilisant l’Éditeur de stratégie de groupe locale et PowerShell dans Windows 10.

Windows-Defender

Cette fonctionnalité est optionnelle sous Windows 10, mais lorsqu’elle est activée, elle permet de surveiller les fichiers exécutables, les scripts et les DLL qui tentent d’apporter des modifications aux fichiers des dossiers protégés. Si l’application ou les fichiers sont malveillants ou non reconnus, la fonction bloquera la tentative d’accès en temps réel, et vous recevrez une notification de l’activité suspecte.

Configurer l’accès aux dossiers contrôlés en utilisant une stratégie de groupe

Pour configurer l’accès contrôlé aux dossiers à l’aide d’une stratégie de groupe, vous devez d’abord activer cette fonctionnalité. Voici la marche à suivre :

  • Ouvrez l’invite Exécuter (Windows + R), saisissez la commande gpedit.msc et appuyez sur Entrée pour ouvrir l’Éditeur de stratégie de groupe locale.
  • Dans l’éditeur, utilisez le volet de gauche pour accéder au chemin d’accès ci-dessous :
Configuration ordinateur > Modèles d'administration > Composants Windows > Antivirus Microsoft Defender > Microsoft Defender Exploit Guard > Dispositif d'accès contrôlé aux dossiers
  • Double-cliquez sur Configurer des dossiers protégés dans le volet de droite pour modifier ses propriétés.
  • Sélectionnez le bouton radio Activé.
  • Dans la section Options, cliquez sur le bouton Afficher.
  • Spécifiez les emplacements que vous souhaitez protéger en entrant le chemin du dossier (par exemple, F:\Mes données) dans le champ Nom de la valeur et en ajoutant 0 dans le champ Valeur. Répétez cette étape pour ajouter d’autres dossiers.
  • Cliquez sur le bouton OK.
  • Cliquez sur le bouton Appliquer.
  • Cliquez sur le bouton OK.

Le ou les dossiers seront désormais ajoutés à la liste de protection de l’accès contrôlé aux dossiers. Pour annuler les changements, suivez les instructions ci-dessus, mais sélectionnez l’option Non configuré ou Désactivé.

Configurer les applications autorisées par l’accès contrôlé aux dossiers

Ces applications sont autorisées à modifier ou à supprimer les fichiers qui se trouvent dans des dossiers dont l’accès est contrôlé.

  • Ouvrez l’invite Exécuter (Windows + R), saisissez la commande gpedit.msc et appuyez sur Entrée pour ouvrir l’Éditeur de stratégie de groupe locale.
  • Dans l’éditeur, utilisez le volet de gauche pour accéder au chemin d’accès ci-dessous :
Configuration ordinateur > Modèles d'administration > Composants Windows > Antivirus Microsoft Defender > Microsoft Defender Exploit Guard > Dispositif d'accès contrôlé aux dossiers
  • Double-cliquez sur Configurer les applications autorisées dans le volet de droite pour modifier ses propriétés.
  • Sélectionnez le bouton radio Activé.
  • Dans la section Options, cliquez sur le bouton Afficher.
  • Indiquez l’emplacement du fichier .exe pour l’application (par exemple : C:\Program Files (x86)\Google\Chrome\Application\chrome.exe) que vous souhaitez autoriser dans le champ Nom de la valeur et ajoutez 0 dans le champ Valeur. Répétez cette étape pour ajouter d’autres applications autorisées.
  • Cliquez sur le bouton OK.
  • Cliquez sur le bouton Appliquer.
  • Cliquez sur le bouton OK.

Désormais, la ou les applications spécifiées ne seront plus bloquées lorsque l’accès au dossier contrôlé est activé, et il sera possible d’apporter des modifications aux fichiers et dossiers protégés. Pour annuler les modifications, suivez les instructions ci-dessus, mais sélectionnez l’option Non configuré ou Désactivé.

Pour les utilisateurs de Windows 10 édition Famille, vous pouvez ajouter l’Éditeur de stratégie de groupe local sur cette version de Windows 10 et ensuite suivre les instructions fournies ci-dessus ou vous pouvez utiliser la méthode PowerShell décrite ci-dessous.

Configurer l’accès aux dossiers contrôlés en utilisant PowerShell

Pour ajouter un nouveau dossier à protéger, suivez les instructions suivantes :

  • Ouvrez PowerShell en mode administrateur
  • Dans la console PowerShell, tapez la commande ci-dessous et appuyez sur la touche Entrée.
Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\Mes données"
  • Dans la commande, remplacez le F:\Mes données par le chemin du dossier à protéger.

Pour retirer un dossier, utilisez la commande ci-dessous et appuyez sur la touche Entrée.

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\Mes données"
  • Dans la commande, remplacez le F:\Mes données par le chemin du dossier à supprimer de la liste des dossiers protégés.

Pour configurer les applications autorisées par l’accès contrôlé aux dossiers, suivez les instructions suivantes :

  • Ouvrez PowerShell en mode administrateur
  • Dans la console PowerShell, tapez la commande ci-dessous et appuyez sur la touche Entrée.
Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"
  • La commande ci-dessus ajoute Chrome à la liste des applications autorisées et l’application sera autorisée à s’exécuter et à apporter des modifications à vos fichiers lorsque l’accès au dossier contrôlé est activé.
  • Dans la commande, remplacez C:\Program Files (x86)\Google\Chrome\Application\chrome.exe par le chemin de l’exécutable de l’application que vous voulez autoriser.

Pour supprimer une application, utilisez la commande ci-dessous et appuyez sur la touche Entrée.

Remove-MpPreference -ControlledFolderAccessAllowedApplications C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
  • Dans la commande, remplacez C:\Program Files (x86)\Google\Chrome\Application\chrome.exe par le chemin de l’exécutable de l’application que vous voulez retirer de la liste des applications.