El acceso controlado a carpetas^{(Controlled folder access)} es una función de prevención de intrusiones disponible con Microsoft Defender Exploit Guard , que forma parte de Microsoft Defender Antivirus . Ha sido diseñado principalmente para evitar que el ransomware cifre sus datos/archivos, pero también protege los archivos de cambios no deseados de otras aplicaciones maliciosas. En esta publicación, le mostraremos cómo configurar el acceso controlado a carpetas mediante la directiva de grupo y PowerShell^{(configure Controlled Folder Access using Group Policy & PowerShell)} en Windows 11/10.

Esta función es opcional en Windows 10 , pero cuando está habilitada, la función puede rastrear archivos ejecutables, scripts y DLL^(DLLs) que intentan realizar cambios en los archivos en las carpetas protegidas. Si la aplicación o el archivo es malicioso o no se reconoce, la función bloqueará el intento en tiempo real y recibirá una notificación de la actividad sospechosa.

Configurar el acceso a carpetas^{(Folder Access)} controladas mediante la directiva de grupo^{(Group Policy)}

Para configurar el acceso controlado a carpetas^{(Controlled Folder Access)} mediante la directiva de grupo^{(Group Policy)} , primero debe habilitar esta función . Una vez hecho esto, puede proceder a configurar lo siguiente:

Agregue una nueva ubicación para la protección a través del Editor de políticas de grupo local^{(Local Group Policy Editor)}

Si el acceso controlado a carpetas está habilitado, las carpetas básicas se agregan de manera predeterminada. Si debe proteger los datos ubicados en una ubicación diferente, puede usar la política Configurar carpetas protegidas^{(Configure protected folders)} para agregar la nueva carpeta.

Así es cómo:

• Presione Windows key + R para invocar el cuadro de diálogo Ejecutar
• En el cuadro de diálogo Ejecutar, escriba gpedit.mscy presione Entrar para abrir el Editor de directivas de grupo^{(open Group Policy Editor)} .
• Dentro del Editor de políticas de grupo local^{(Local Group Policy Editor)} , use el panel izquierdo para navegar a la ruta a continuación:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Haga doble clic en la  política Configurar carpetas protegidas^{(Configure protected folders)} en el panel derecho para editar sus propiedades.
• Seleccione el  botón de opción Habilitado^(Enabled) .
• En la sección Opciones , haga clic en el botón ^(Options)Mostrar^(Show)  .
• Especifique las ubicaciones que desea proteger ingresando la ruta de la carpeta (p. ej., F:MyData) en el campo Nombre del valor^{(Value name)} y agregando 0 en el campo Valor^(Value) . Repita este paso para agregar más ubicaciones.
• Haga clic en el  botón Aceptar^(OK)  .
• Haga clic en el  botón Aplicar^(Apply)  .
• Haga clic en el  botón Aceptar^(OK)  .

Las nuevas carpetas ahora se agregarán a la lista de protección de Acceso controlado^(Controlled) a carpetas. Para revertir los cambios, siga las instrucciones anteriores, pero seleccione la  opción No configurado^{(Not Configured)} o Deshabilitado .^(Disabled)

Aplicaciones de la lista blanca en el acceso controlado^(Controlled) a la carpeta mediante el Editor de directivas de grupo local^{(Local Group Policy Editor)}

• Abra el Editor de políticas de grupo local.
• Dentro del Editor de políticas de grupo local^{(Local Group Policy Editor)} , use el panel izquierdo para navegar a la ruta a continuación:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Haga doble clic en la política Configurar aplicaciones permitidas^{(Configure allowed applications)}  en el panel derecho para editar sus propiedades.
• Seleccione el  botón de opción Habilitado^(Enabled) .
• En la sección Opciones , haga clic en el botón ^(Options)Mostrar^(Show)  .
• Especifique la ubicación del archivo .exe para la aplicación (p. ej., C:Program Files (x86)GoogleChromeApplicationchrome.exe) que desea permitir en el campo Nombre del valor^{(Value name)} y agregue 0 en el campo Valor^(Value) . Repita este paso para agregar más ubicaciones.
• Haga clic en el  botón Aceptar^(OK)  .
• Haga clic en el  botón Aplicar^(Apply)  .
• Haga clic en el  botón Aceptar^(OK)  .

Ahora, las aplicaciones especificadas no se bloquearán cuando el acceso controlado a la carpeta esté activado y podrá realizar cambios en los archivos y carpetas protegidos. Para revertir los cambios, siga las instrucciones anteriores, pero seleccione la  opción No configurado^{(Not Configured)} o Deshabilitado .^(Disabled)

Para los usuarios de Windows 11/10 Home , puede agregar la función Editor de políticas de grupo local^{(add Local Group Policy Editor)} y luego seguir las instrucciones que se proporcionan arriba o puede seguir el método de PowerShell a continuación.^(PowerShell)

Configurar el acceso controlado a carpetas^{(Folder Access)} mediante PowerShell

Para configurar el acceso controlado a carpetas^{(Controlled Folder Access)} mediante la directiva de grupo^{(Group Policy)} , primero debe habilitar la función. Una vez hecho esto, puede proceder a configurar lo siguiente:

Agregue^(Add) una nueva ubicación para la protección mediante PowerShell

• Presione la tecla de Windows + X para abrir el menú de usuario avanzado^{(open Power User Menu)} .
• Toque A en el teclado para iniciar PowerShell en modo administrador/elevado.
• En la consola de PowerShell , escriba el siguiente comando y presione Entrar^(Enter) .

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

En el comando, sustituya el F:olderpath oaddmarcador de posición con la ruta real de la ubicación y el ejecutable de la aplicación que desea permitir. Entonces, por ejemplo, su comando debería verse así:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• Para eliminar una carpeta, escriba el siguiente comando y presione Entrar^(Enter) :

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Aplicaciones de la lista blanca en Acceso controlado^(Controlled) a carpetas mediante PowerShell

• Inicie PowerShell en modo administrador/elevado.
• En la consola de PowerShell , escriba el siguiente comando y presione Entrar^(Enter) .

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

En el comando, sustituya el F:path oappapp.exe marcador de posición con la ruta real de la ubicación y el ejecutable de la aplicación que desea permitir. Entonces, por ejemplo, su comando debería verse así:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

El comando anterior agregará Chrome a la lista de aplicaciones permitidas y la aplicación podrá ejecutarse y realizar cambios en sus archivos cuando el acceso controlado^(Controlled) a la carpeta esté habilitado.

• Para eliminar una aplicación, escriba el siguiente comando y presione Entrar^(Enter) :

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

¡Eso es todo sobre cómo configurar el acceso controlado a carpetas^{(Controlled Folder Access)} usando la política de grupo^{(Group Policy)} y PowerShell en Windows 11/10 !

Configure Controlled Folder Access using Group Policy & PowerShell

Controlled folder access is an intrusion-prevention feature available with Microsoft Defender Exploit Guard, which is part of the Microsoft Defender Antivirus. It’s been designed primarily to prevent ransomware from encrypting your data/files, but it also protects files from unwanted changes from other malicious applications. In this post, we will show you how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10.

This feature is optional on Windows 10 but when enabled, the feature is able to track executable files, scripts, and DLLs, that attempt to make changes to files in the protected folders. If the app or file is malicious or not recognized, the feature will block the attempt in real-time, and you’ll receive a notification of the suspicious activity.

Configure Controlled Folder Access using Group Policy

To configure Controlled Folder Access using Group Policy, you first need to enable this feature. Once done, you can proceed to configure the following:

Add a new location for protection via Local Group Policy Editor

If Controlled folder access is enabled, the basic folders are added by default. If you must protect data located in a different location, then you can use the Configure protected folders policy to add the new folder.

Here’s how:

• Press Windows key + R to invoke the Run dialog
• In the Run dialog box type gpedit.msc and hit Enter to open Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure protected folders policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the locations you want to protect by entering the path of the folder (eg; F:\MyData) in the Value name field and adding 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

The new folder(s) will now be added to the protection list of Controlled folder access. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

Whitelist apps in Controlled folder access using Local Group Policy Editor

• Open Local Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure allowed applications policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the location of the .exe file for the app (eg; C:\Program Files (x86)\Google\Chrome\Application\chrome.exe) you want to allow in the Value name field and add 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

Now, the specified app(s) won’t be blocked when Controlled folder access is turned on, and it’ll be able to make changes to protected files and folders. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

For Windows 11/10 Home users, you can add Local Group Policy Editor feature and then carry out the instructions as provided above or you can do the PowerShell method below.

Configure Controlled Folder Access using PowerShell

To configure Controlled Folder Access using Group Policy, you first need to enable the feature. Once done, you can proceed to configure the following:

Add new location for protection using PowerShell

• Press Windows key + X to open Power User Menu.
• Tap A on the keyboard to launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

In the command, substitute the F:\folder\path\to\add placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• To remove a folder, type the command below and hit Enter:

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Whitelist apps in Controlled folder access using PowerShell

• Launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

In the command, substitute the F:\path\to\app\app.exe placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

The above command will add Chrome to the list of allowed apps and the app will be allowed to run and make changes to your files when Controlled folder access is enabled.

• To remove an app, type the command below and hit Enter:

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

That’s it on how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10!

Related posts

• Folder Redirection Group Policy no se aplica cuando se usa SCCM

• Desactive Internet Explorer 11 como un standalone browser usando Group Policy

• Cómo agregar Group Policy Editor a Windows 10 Home Edition

• Prevent installation de Programs de Media Source removible

• Cambio Delivery Optimization Cache Drive para Windows Updates

• Cómo evitar que los usuarios eliminen la Diagnostic Data en Windows 10

• Cómo especificar Minimum and Maximum PIN length en Windows 10

• Cómo excluir Individual Users or Computers de un Group Policy Object

• No se puede acceder a una carpeta compartida debido a las políticas de seguridad de la organización

• Customize Ctrl+Alt+Del Screen usando Group Policy or Registry en Windows

• Deshabilitar: tiene nuevas aplicaciones que pueden abrir este tipo de archivo

• Habilitar o deshabilitar el acceso a Firefox Add-ons Manager usando Group Policy

• Cómo habilitar Audio Sandbox en Edge browser

• Cómo comprobar el Group Policy aplicado en una computadora Windows 10

• Group Policy Settings Reference Guide para Windows 10

• Turn Desactivado de las entradas de búsqueda recientes en File Explorer en Windows 11/10

• Desactivar Delivery Optimization a través de Group Policy or Registry Editor

• Cómo aplicar Layered Group Policy en Windows 11/10

• Download Group Policy Templates para Microsoft Edge browser

• Cómo especificar la fecha límite antes de reiniciar automáticamente para Update installation