controlled-folder-access

Una* delle macchine che uso quotidianamente per lavoro è nel programma insider, slow ring, e da un po’ è stata aggiornata a Creators Update. Una delle feature che aspettavo era il “Controlled Folder Access”.

Quello che potete fare è definire una o più cartelle (e di conseguenza le relative sotto-cartelle) come “controllate”. Questo fa si che fondamentalmente solo i programmi autorizzati possono apportare modifiche a quelle cartelle. Ovviamente la cosa che salta subito all’occhio è che un ransomware non risulta tra i programmi autorizzati e quindi problema risolto.

Occhio perché al momento non è tutto oro quel che luccica

La cosa funziona e funziona bene. Microsoft dichiara, nella UI di Defender, che Windows contiene una lista di applicazioni note che sono autorizzate a prescindere. Ad esempio sulla mia macchina Visual Studio Code fa tutto quello che deve fare senza problemi, Excel no, Word si. Misteri della fede e delle versioni insider, quindi non è che mi possa lamentare.

Ma non è questo il problema. La cosa noiosa è che le applicazioni si comportano in maniera alquanto strana, rendendo difficile anche per l’utente esperto capire, cosa sta succedendo.

Excel, ad esempio, apre i file senza problemi ma poi fallisce miseramente con un errore totalmente scorrelato al momento del salvataggio. Il problema di fondo è che Excel non essendo tra le applicazioni autorizzate sulla mia macchina, non riesce a creare il file temporaneo necessario per gestire le modifiche e quindi in seguito non riuscirà a salvare.

Non ho fatto esperimenti, ma presumo che il sistema operativo rimbalzi l’applicazione con un errore ben preciso, che al momento l’applicazione semplicemente non sa gestire. Nel mio piccolo mi ero dimenticato di averle attivate e quindi ci ho messo un po’ a capire cosa stava succedendo.

L’altra cosa ad oggi noiosa è che non è sempre facile capire quale sia l’eseguibile che dovete autorizzare, se usate molti tool da command line succede che voi interagite con xyz.exe che a sua volta invoca un altro eseguibile che viene bloccato da Defender, generando il perfetto yak shaving.

* Una sola perché fidarsi è bene, ma… devo lavorare :-)