通过

使用受控文件夹访问保护文重要件夹

  • 项目

适用于:

适用对象

  • Windows

希望体验 Defender for Endpoint? 注册免费试用版

什么是受控文件夹访问权限?

受控的文件夹访问有助于保护有价值的数据免受恶意应用和威胁(如勒索软件)的侵害。 受控文件夹访问通过检查应用是否存在已知的受信任应用列表来保护数据。 可以使用 Windows 安全中心 应用、Microsoft终结点Configuration Manager或Intune (来配置受控文件夹访问) 。 Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022、Windows 10 和 Windows 11 支持受控文件夹访问,

注意

脚本引擎不受信任,你不能允许它们访问受控的受保护文件夹。 例如,即使允许 使用证书和文件指示器,受控文件夹访问也不信任 PowerShell。

受控文件夹访问最适用于 Microsoft Defender for Endpoint,它提供对受控文件夹访问事件和块的详细报告,作为常见警报调查方案的一部分。

提示

受控文件夹访问块不会在警报队列中生成 警报。 但是,可以在设备时间线视图中查看有关受控文件夹访问块的信息,同时使用高级搜寻或使用自定义检测规则

受控文件夹访问如何工作?

受控文件夹访问权限的工作原理是仅允许受信任的应用访问受保护的文件夹。 配置受控文件夹访问权限时指定受保护的文件夹。 通常,常用文件夹(如用于文档、图片、下载等的文件夹)包含在受控文件夹列表中。

受控文件夹访问权限适用于受信任的应用列表。 受信任软件列表中包含的应用按预期工作。 列表中未包含的应用无法对受保护文件夹内的文件进行任何更改。

应用会根据其普及率和信誉添加到列表中。 在整个组织中非常普遍且从未显示任何被视为恶意行为的应用被视为可信。 这些应用会自动添加到列表中。

还可以使用 Configuration Manager 或 Intune 手动将应用添加到受信任列表。 可以从 Microsoft Defender 门户执行其他操作。

为什么受控文件夹访问很重要

受控文件夹访问权限在帮助保护文档和信息免受 勒索软件攻击方面特别有用。 在勒索软件攻击中,文件可能会加密并被扣为人质。 在受控文件夹访问到位后,应用尝试对受保护文件夹中的文件进行更改的计算机上会显示通知。 你可以使用公司的详细信息和联系人信息自定义通知。 还可以单独启用规则以自定义功能所监视的技术。

受保护的文件夹包括常见系统文件夹 (包括启动扇区) ,你可以添加更多文件夹。 还可以 允许应用 授予它们对受保护文件夹的访问权限。

可以使用 审核模式 评估受控文件夹访问在启用后对组织的影响。

默认情况下,Windows 系统文件夹受到保护

默认情况下,Windows 系统文件夹和其他几个文件夹一起受到保护:

受保护的文件夹包括常见系统文件夹 (包括启动扇区) ,你可以添加其他文件夹。 还可以允许应用授予它们对受保护文件夹的访问权限。 默认保护的 Windows 系统文件夹包括:

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

默认文件夹显示在“ 此电脑”下的用户配置文件中,如下图所示:

受保护的 Windows 默认系统文件夹

注意

可以将其他文件夹配置为受保护的文件夹,但不能删除默认受保护的 Windows 系统文件夹。

受控文件夹访问权限的要求

受控文件夹访问需要启用Microsoft Defender防病毒实时保护

在Microsoft Defender门户中查看受控文件夹访问事件

Defender for Endpoint 在 Microsoft Defender 门户中提供事件和块的详细报告,作为警报调查方案的一部分;请参阅 Microsoft Defender XDR 中的Microsoft Defender for Endpoint

可以使用高级搜寻查询Microsoft Defender for Endpoint数据。 如果使用 审核模式,则可以使用 高级搜寻 来了解受控制的文件夹访问设置在启用后对环境的影响。

示例查询:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

查看 Windows 事件查看器中的受控文件夹访问事件

你可以查看 Windows 事件日志,查看在受控文件夹访问阻止 (或) 应用审核时创建的事件:

  1. 下载 评估包 并将文件 cfa-events.xml 提取到设备上易于访问的位置。

  2. 在“开始”菜单中键入“事件查看器”以打开 Windows 事件查看器。

  3. 在左侧面板的 “操作”下,选择“ 导入自定义视图...”

  4. 导航到提取 cfa-events.xml 的位置并选择它。 或者, 直接复制 XML

  5. 选择“确定”

下表显示了与受控文件夹访问相关的事件:

事件 ID 描述
5007 更改设置时的事件
1124 已审核的受控文件夹访问事件
1123 阻止的受控文件夹访问事件
1127 阻止的受控文件夹访问扇区写入阻止事件
1128 审核的受控文件夹访问扇区写入阻止事件

查看或更改受保护文件夹的列表

可以使用 Windows 安全中心 应用查看受受控文件夹访问权限保护的文件夹列表。

  1. 在Windows 10或Windows 11设备上,打开Windows 安全中心应用。

  2. 选择“病毒和威胁防护”。

  3. “勒索软件防护”下,选择“ 管理勒索软件防护”。

  4. 如果已关闭受控文件夹访问,则需要将其打开。 选择 受保护的文件夹

  5. 请按照以下步骤之一操作:

    • 若要添加文件夹,请选择“ + 添加受保护的文件夹”。
    • 若要删除文件夹,请选择该文件夹,然后选择“ 删除”。

    重要

    不要将 (环回) 添加为受保护的文件夹的本地共享路径。 请改用本地路径。 例如,如果已将 C:\demo 共享为 \\mycomputer\demo,请不要将 添加到 \\mycomputer\demo 受保护的文件夹列表中。 请改为添加 C:\demo

默认情况下,Windows 系统文件夹 受到保护,你无法从列表中删除它们。 向列表添加新文件夹时,子文件夹也会包含在保护中。

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区