Come abilitare la protezione ransomware in Windows 11

Informatec Digital » Risorse » Come abilitare la protezione ransomware in Windows 11

El il ransomware è diventato uno dei mal di testa più seri Per qualsiasi utente Windows: crittografa i file, blocca il computer e, per finire, richiede un pagamento per riaccedere, un pagamento che non garantisce quasi mai nulla. Windows 11 (e anche Windows 10) ha una funzionalità specifica per risolvere questo problema, ma è disabilitata di default, ed è necessario sapere dove cliccare per sfruttarla a proprio vantaggio.

In questo articolo vedrai Cos'è esattamente la protezione ransomware di Windows e come funziona "Controlled Folder Access"?Come attivarlo passo dopo passo in Windows 11 e Windows 10, quali cartelle sono protette per impostazione predefinita, come aggiungerne di proprie, come consentire app specifiche e quali altre misure adottare (backup, aggiornamenti, buon senso, ecc.) per evitare che una violazione dei dati rovini la tua giornata.

Cos'è il ransomware e perché è così pericoloso?

il ransomware è un tipo di Malware progettato per bloccare l'accesso al computer o ai file finché non paghi un "riscatto". Di solito crittografa documenti, foto, video e a volte persino il sistema stesso, impedendoti di aprire nulla normalmente.

Questo tipo di minaccia può arrivare attraverso siti web falsi o inaffidabili, download piratati, allegati e-mail sospettiSiti web ed e-mail dannosi possono essere scoperti tramite link sui social media o messaggi di chat, e persino tramite unità USB infette. Spesso, siti web o e-mail dannosi vengono identificati da dettagli come errori di ortografia, loghi mal copiati o nomi aziendali leggermente alterati (ad esempio, “PayePal” invece di “PayPal”).

Una volta dentro, il ransomware può diffondersi attraverso la rete ad altri computer o unità condivise, quindi non influisce solo sul PC di casa: può anche avere un impatto sui computer aziendali, sui server o persino sulle infrastrutture del settore pubblico, sfruttando falle di sicurezza di Windows.

Il problema è aggravato dal fatto che Molte varianti di ransomware rubano informazioni riservate Prima di crittografarli, ti ricattano minacciando di divulgarli se non paghi. Questo rende questo tipo di attacco una delle più grandi minacce alla sicurezza informatica odierna, sia per i privati ​​che per le organizzazioni.

Che cos'è la protezione ransomware di Windows?

Windows 10 e Windows 11 sono inclusi di serie Microsoft Defender Antivirus e un firewall integratoche analizzano file, processi e traffico di rete in background. Su questa base, Microsoft ha aggiunto un ulteriore livello chiamato protezione da ransomware, il cui nucleo è la funzione "Accesso controllato alle cartelle".

L'obiettivo di questa funzione è per proteggere determinate cartelle di sistema e profili utente in modo che solo le applicazioni attendibili possano modificarli. In questo modo, se un ransomware o un altro malware tenta di crittografare o eliminare i file, Windows blocca la modifica e visualizza una notifica.

In pratica, questa protezione impedisce applicazioni sconosciute o sospette Apporteranno modifiche non autorizzate ai file presenti in quelle cartelle. In questo modo, anche se una minaccia dovesse riuscire a entrare in azione, sarà molto più difficile che ti lasci senza documenti, foto o progetti importanti.

Inoltre, questa funzionalità si integra particolarmente bene con Microsoft Defender per endpoint e strumenti di gestione aziendale (Intune, Configuration Manager, ecc.), che consentono la distribuzione e l'audit della configurazione su larga scala e la revisione centralizzata degli eventi di blocco.

Come funziona l'accesso controllato alle cartelle

L'"accesso controllato alle cartelle" si basa su un'idea semplice: Solo le applicazioni attendibili possono modificare i file in determinate posizioni protette.Tutto il resto viene bloccato o registrato in modalità di controllo, a seconda della configurazione.

Windows mantiene un elenco di applicazioni attendibili In base alla sua diffusione e reputazione. Se un programma è ampiamente utilizzato, è in esecuzione da molto tempo senza comportamenti dannosi e Microsoft non ha rilevato alcun problema, è considerato affidabile e può funzionare normalmente nelle cartelle protette.

Quando un'app non è presente in quell'elenco, I tentativi di scrivere, eliminare o modificare file nelle cartelle protette vengono bloccati. (oppure vengono sottoposti a verifica, se si utilizza la modalità solo registro). È anche possibile aggiungere manualmente eccezioni per applicazioni specifiche che si ritiene sicure.

Questa funzionalità è particolarmente utile contro i ransomware perché Gli attacchi solitamente si concentrano sulla crittografia di documenti, foto, video o progettiPoiché queste cartelle hanno un accesso più restrittivo, il malware incontra una barriera che impedisce o ostacola notevolmente il suo obiettivo.

Per gli ambienti aziendali, l'accesso controllato alle cartelle può essere configurato da Microsoft IntuneConfiguration Manager o Microsoft Defender for Endpoint. In questi casi, gli amministratori possono esaminare centralmente gli eventi generati e adattare i criteri in base alle effettive esigenze dell'organizzazione.

Cartelle protette per impostazione predefinita in Windows

Quando si abilita l'accesso controllato alle cartelle, Windows protegge automaticamente un certo numero di profili utente e cartelle di sistemadove normalmente vengono archiviati documenti e contenuti personali.

I percorsi protetti per impostazione predefinita includono, ad esempio:

• c:\Utenti\ Documenti
• c:\Utenti\Pubblico\Documenti
• c:\Utenti\ Immagini
• c:\Utenti\Pubblico\Immagini
• c:\Utenti\ Video
• c:\Utenti\Pubblico\Video
• c:\Utenti\ Musica
• c:\Utenti\Pubblico\Musica
• c:\Utenti\ Preferiti

Queste sono le posizioni che normalmente vedi sotto "Questo PC" in Esplora filee sono solitamente il primo bersaglio degli aggressori, quindi è logico che Windows li protegga di default.

Inoltre, determinati profili di sistema come LocalService, NetworkService o systemprofile Hanno anche le rispettive cartelle protette (ad esempio, C:\Windows\System32\config\systemprofile\Documents(se esiste). Ciò aiuta a proteggere i processi e i servizi interni del sistema operativo stesso.

Le cartelle di sistema che vengono protette Non possono essere rimossi dall'elencoQuesto serve proprio a garantire che questo livello di sicurezza di base non venga disabilitato accidentalmente. È possibile aggiungere percorsi personalizzati per estendere la protezione ad altre directory o unità.

Come abilitare la protezione ransomware in Windows 11

In Windows 11, le impostazioni sono abbastanza facili da accedere, ma Non è sempre ovvio a prima vistaSeguendo questi passaggi, lo renderai attivo in pochissimo tempo.

1. Apri Sicurezza di Windows
Il modo più veloce è premere il tasto Windows, digitare “Sicurezza di Windows” e apri l'applicazione. Puoi anche andare su Home > Impostazioni > Privacy e sicurezza > Sicurezza di Windows ed entrare da lì.

2. Vai su "Antivirus e protezione dalle minacce"
All'interno dell'app vedrai diverse sezioni. Quella che ti interessa è... “Antivirus e protezione dalle minacce”Fare clic e si aprirà una nuova finestra con lo stato di Microsoft Defender e diverse opzioni.

3. Individuare “Protezione ransomware”
Scorri fino in fondo alla schermata finché non trovi il blocco “Protezione contro il ransomware”Qui sotto vedrai un link che dice qualcosa del tipo “Gestire la protezione dal ransomware”. Clicca lì.

4. Attiva “Accesso controllato alle cartelle”
Nella nuova schermata vedrai l'interruttore per “Controlla l’accesso alla cartella” (o "Accesso Cartella Controllato" a seconda della versione/lingua). Di solito è disabilitato per impostazione predefinita. Abilitalo: apparirà una finestra di Controllo Account Utente che chiederà conferma; accetta per rendere effettive le modifiche.

Da quel momento, i tuoi file, cartelle e determinate aree di memoria Saranno protetti da modifiche non autorizzate da parte di applicazioni sconosciute o dannose.

Configurare le cartelle protette e le applicazioni consentite

Una volta abilitato l'accesso alle cartelle controllate, è consigliabile Dai un'occhiata all'elenco delle cartelle e delle app consentite. per adattarlo al tuo attuale modo di lavorare.

Nella stessa sezione dedicata alla protezione ransomware troverai:

• Cronologia dei blocchi: per vedere quali applicazioni hanno tentato di modificare i file e sono state bloccate.
• Cartelle protetteQui puoi rivedere le cartelle già protette e aggiungerne di nuove.
• Consenti a un'applicazione di accedere a una delle cartelle controllate: per concedere l'autorizzazione a un programma specifico che è stato bloccato ma che ritieni sicuro.

Se di solito salvi i progetti in una cartella personalizzata (ad esempio, D:\Progetti o un'unità esterna) è altamente raccomandato Aggiungilo come cartella protettaSi noti che verranno trattate anche tutte le sottocartelle al suo interno.

Per quanto riguarda le applicazioni, se scopri che un programma legittimo (ad esempio, il tuo editor video o una suite per ufficio alternativa) non riesce a salvare le modifiche nelle cartelle protette, Puoi aggiungerlo manualmente all'elenco consentito dall'opzione appropriata. Assicurati però che si tratti di software affidabile, scaricato sempre da fonti ufficiali.

Come abilitare la protezione ransomware in Windows 10

In Windows 10 l'idea è la stessa, anche se il percorso all'interno delle impostazioni varia leggermente. Ciononostante, il procedimento è altrettanto semplice e ci vogliono solo pochi minuti.

1. Accedi alla sicurezza di Windows
Premere Home> Impostazioni, entra in "Aggiornamento e sicurezza" e, nel pannello di sinistra, seleziona “Sicurezza di Windows”Puoi anche digitare "Sicurezza di Windows" direttamente nel menu Start.

2. Vai a "Protezione da virus e minacce"
Una volta in Sicurezza di Windows, fare clic su “Protezione contro virus e minacce” per aprire la finestra con le opzioni antivirus integrate.

3. Gestire la protezione dal ransomware
All'interno di quella sezione, cerca il collegamento “Gestire la protezione dal ransomware”Di solito appare nella parte inferiore dello schermo. Clicca per accedere alle opzioni specifiche.

4. Abilitare l'accesso controllato alle cartelle
Proprio come in Windows 11, vedrai l'opzione per abilita il controllo di accesso alla cartellaSposta l'interruttore su "On" e conferma nella finestra pop-up di sicurezza. Da quel momento in poi, la funzionalità inizierà a proteggere le tue cartelle critiche.

Da lì, È possibile aggiungere ulteriori cartelle protette, rivedere la cronologia dei blocchi e consentire applicazioni specifiche, proprio come in Windows 11, dalle opzioni che appaiono nella stessa schermata.

Utilizzare OneDrive e i backup come ulteriore difesa

La protezione ransomware di Windows è di grande aiuto, ma Non sostituisce i backupL'ideale sarebbe abbinare questa funzione a un buon sistema di backup, sia nel cloud che offline.

Se accedi con il tuo account Microsoft e configuri Microsoft OnedriveLe finestre possono Sincronizza automaticamente i tuoi documenti, le tue immagini, le tue cartelle sul desktop, ecc. e offrono rilevamento e ripristino ransomware integrati, tra cui cronologia dei file in Windows per ripristinare le copie precedenti dei file.

Oltre al cloud, è altamente consigliato Creare backup regolari su supporti offline (ad esempio, dischi rigidi esterni scollegati quando non in uso). In questo modo, anche se un attacco riesce a violare le tue difese, avrai sempre la possibilità di ripristinare i tuoi dati da una posizione che il ransomware non è riuscito a raggiungere.

Cosa fare se sospetti che il tuo computer sia infetto

Se noti un comportamento anomalo (il computer diventa improvvisamente estremamente lento, si aprono finestre strane, i documenti non si aprono correttamente, ecc.) o hai sentito parlare di una nuova campagna malwareLa soluzione più prudente è avviare un'analisi completa.

Da Sicurezza di Windows, vai a “Protezione contro virus e minacce” ed esegue un analisi rapida con Microsoft Defender. Puoi anche optare per una scansione offline, che riavvia il sistema ed esegue la scansione prima che vengano caricate potenziali minacce.

Se il ransomware ha già fatto il suo danno, è normale che una schermata o una finestra appare come una richiesta di riscattochiedendoti soldi per sbloccare il dispositivo o i file. A quel punto:

• Non pagare il riscattoNon c'è alcuna garanzia che recupererai i dati e starai finanziando i criminali.
• Prova a pulire il computer con Sicurezza di Windows. o con una soluzione anti-malware affidabile.
• Utilizza i tuoi backup (OneDrive, unità esterne, ecc.) per ripristinare i file interessati una volta che il sistema è libero dal malware.

Se hai già pagato per errore, la cosa più sensata da fare è Contatta immediatamente la tua banca e le autorità. dal tuo Paese (polizia, agenzie di sicurezza informatica, ecc.) per cercare di bloccare l'operazione e segnalare la frode.

Esaminare gli eventi di accesso alle cartelle controllate

Quando l'accesso alle cartelle controllate blocca o verifica un'azione, Windows registra eventi specifici che possono essere visualizzati sia localmente che dal portale Microsoft Defender negli ambienti aziendali.

Nelle organizzazioni che utilizzano Microsoft Defender for Endpoint, è possibile avviare query avanzate per visualizzare le violazioni bloccate o verificate, ad esempio utilizzando filtri sui tipi di azione ControlledFolderAccessViolationBlocked o ControlledFolderAccessViolationAudited.

A livello locale, è possibile utilizzare il Visiera di eventi di Windows per importare viste personalizzate (ad esempio, il file cfa-events.xmle vedere eventi come:

ID evento	Descrizione
5007	Cambiamento nella configurazione Microsoft Defender
1124	Accesso alla cartella controllata e verificata
1123	Accesso alla cartella controllata bloccato
1127	Tentativo di scrittura nel settore protetto bloccato
1128	Tentativo di scrittura nel settore protetto verificato

Questo livello di dettaglio aiuta, soprattutto nelle aziende, a perfezionare le policy e rilevare le applicazioni legittime che necessitano di autorizzazione senza compromettere la sicurezza complessiva del sistema.

Esclusioni e caratteri jolly in Microsoft Defender

Oltre alla protezione specifica contro il ransomware, Microsoft Defender consente definire le esclusioni in modo che determinati file, cartelle, tipi di file o processi non vengano analizzati in tempo reale.

Da Sicurezza di Windows, nella sezione protezione antivirus, puoi accedere “Aggiungi o rimuovi esclusioni” e scegli tra:

• archivio: esclude un file specifico.
• Raccoglitore: esclude un intero percorso e tutto il suo contenuto.
• Tipo di file: escludere per estensione, come .docx, .pdf, ecc.
• Processo: esclude un eseguibile in modo che i file che apre non vengano analizzati in tempo reale.

Possono anche essere usati caratteri jolly (*) e variabili di ambiente in alcune esclusioni, ad esempio per escludere tutti i file la cui estensione termina in "st" (con *st) o tutti i processi che si trovano in una cartella specifica (ad esempio, C:\MyProcess\*).

Sebbene sia una funzionalità utile per evitare conflitti di prestazioni con determinati programmi, Deve essere utilizzato con estrema cautela.perché qualsiasi elemento escluso non è più protetto dall'analisi in tempo reale e potrebbe diventare un punto di ingresso per il malware.

Ulteriori suggerimenti per evitare il ransomware

La protezione ransomware di Windows è una componente molto importante, ma Non è l'unico di cui hai bisogno.Per ridurre al minimo i rischi, è consigliabile seguire una serie di buone pratiche di base.

Mantieni Windows e le tue app aggiornati
I criminali informatici ne approfittano costantemente vulnerabilità nel sistema operativo e nei programmi di uso quotidianoPer chiuderli il prima possibile, vai su Start > Impostazioni > Windows Update e assicurati che gli aggiornamenti automatici siano abilitati e installati regolarmente.

Utilizza un buon programma antivirus e non disattivarlo.
Microsoft Defender è un Antivirus integrato e abbastanza competenteTuttavia, se preferisci, puoi optare per soluzioni di terze parti (a pagamento o gratuite), purché siano affidabili. L'importante è disporre di un motore di protezione in tempo reale attivo e aggiornato.

Backup esterni e cloud
Come abbiamo già detto, è fondamentale avere backup in posizioni esterne al computer principaleCombinare l'archiviazione cloud (OneDrive, Google Drive, Dropbox...) con unità esterne offline è una strategia molto solida contro qualsiasi disastro, che si tratti di ransomware o di un guasto hardware.

Fai attenzione alle email, ai link e ai download
La maggior parte delle infezioni iniziano con un clic imprudenti su un collegamento o un allegatoFate attenzione alle e-mail inaspettate, ai mittenti sconosciuti, ai messaggi allarmistici che chiedono informazioni o pagamenti urgenti e, naturalmente, ai software scaricati da siti web pirata o dubbi.

Riavvia il computer di tanto in tanto
Sembra sciocco, ma Riavviare almeno una volta a settimana Aiuta a garantire che gli aggiornamenti del sistema e delle applicazioni vengano applicati correttamente, migliorando inoltre le prestazioni e la stabilità complessive.

Con tutto questo correttamente configurato e con la funzione di Accesso controllato alle cartelle abilitatoIl tuo Windows 11 (o Windows 10) sarà molto più preparato ad affrontare ransomware e altre minacce simili, riducendo al minimo le possibilità che i tuoi file importanti vengano dirottati o crittografati in modo irreparabile.