启用受控文件夹访问

适用于:

平台

  • Windows

希望体验 Defender for Endpoint? 注册免费试用版

受控文件夹访问权限 有助于保护有价值的数据免受恶意应用和威胁(如勒索软件)的侵害。 Windows 10、Windows 11和 2019 Windows Server包含受控文件夹访问权限。 受控文件夹访问权限也包含在 Windows Server 2012R2 和 2016 的新式统一解决方案中。

可以使用以下任一方法启用受控文件夹访问:

  1. 选择“平台”,选择“Windows 10”、“Windows 11”和“Windows Server”,然后选择“配置文件”“攻击面减少规则>创建”。

  2. 为策略命名并添加说明。 选择 下一步

  3. 向下滚动,然后在 “启用受控文件夹访问 ”下拉列表中选择一个选项,例如 “审核模式”。

    建议首先在审核模式下启用受控文件夹访问,以查看它在组织中的工作方式。 稍后可以将其设置为另一种模式,例如 Enabled

  4. 若要选择性地添加应受保护的文件夹,请选择“ 受控文件夹访问受保护的文件夹” ,然后添加文件夹。 不受信任的应用程序无法修改或删除这些文件夹中的文件。 请记住,默认系统文件夹会自动受到保护。 可以在 Windows 设备上的 Windows 安全中心 应用中查看默认系统文件夹的列表。 若要了解有关此设置的详细信息,请参阅 策略 CSP - Defender:ControlledFolderAccessProtectedFolders

  5. 若要选择性地添加应受信任的应用程序,请选择“ 受控文件夹访问允许的应用程序” ,然后添加应用可以访问受保护的文件夹。 Microsoft Defender防病毒自动确定应信任哪些应用程序。 仅使用此设置指定其他应用程序。 若要了解有关此设置的详细信息,请参阅 策略 CSP - Defender:ControlledFolderAccessAllowedApplications

  6. 选择配置文件 分配,分配给 所有用户 & 所有设备,然后选择 保存

  7. 选择“ 下一步 ”以保存每个打开的边栏选项卡,然后选择 “创建”。

注意

应用程序支持通配符,但文件夹不支持通配符。 允许的应用会继续触发事件,直到它们重新启动。

移动设备管理 (MDM)

使用 ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders 配置服务提供程序 (CSP) 允许应用对受保护的文件夹进行更改。

Microsoft Configuration Manager

  1. 在“Microsoft Configuration Manager”中,转到“资产和符合性>终结点保护>”“Windows Defender 攻击防护”。

  2. 选择“ 开始>创建攻击防护策略”。

  3. 输入名称和说明,选择“ 受控文件夹访问权限”,然后选择“ 下一步”。

  4. 选择是阻止更改还是审核更改、允许其他应用还是添加其他文件夹,然后选择“ 下一步”。

    注意

    应用程序支持通配符,但文件夹不支持通配符。 允许的应用会继续触发事件,直到它们重新启动。

  5. 查看设置,然后选择“ 下一步 ”以创建策略。

  6. 创建策略后, 关闭

有关Microsoft Configuration Manager和受控文件夹访问的详细信息,请访问受控文件夹访问策略和选项

组策略

  1. 在组策略管理设备上,打开组策略管理控制台。 右键单击要配置的组策略对象,然后选择“编辑”。

  2. 策略管理编辑器中, 计算机配置 并选择 管理模板

  3. 将树展开到 Windows 组件>,Microsoft Defender防病毒>Microsoft Defender Exploit Guard > 受控文件夹访问权限

  4. 双击“ 配置受控文件夹访问 ”设置,并将选项设置为 “已启用”。 在“选项”部分中,必须指定以下选项之一:

    • 启用 - 不允许恶意和可疑应用对受保护文件夹中的文件进行更改。 Windows 事件日志中提供了通知。
    • 禁用 (默认) - 受控文件夹访问功能不起作用。 所有应用都可以对受保护文件夹中的文件进行更改。
    • 审核模式 - 如果恶意或可疑应用尝试对受保护文件夹中的文件进行更改,则允许进行更改。 但是,它会记录在 Windows 事件日志中,你可以在其中评估对组织的影响。
    • 仅阻止磁盘修改 - 不受信任的应用尝试写入磁盘扇区时,将记录在 Windows 事件日志中。 可以在 Windows > Windows Defender >作 > ID 1123 Microsoft >应用程序和服务日志>中找到这些日志。
    • 仅审核磁盘修改 - 只有尝试写入受保护的磁盘扇区才会记录在 Windows 事件日志 (“ 应用程序和服务日志>”下,Microsoft>Windows>Defender>>ID 1124) 。 不会记录修改或删除受保护文件夹中的文件的尝试。

    屏幕截图显示已启用的组策略选项,并选择了“审核模式”。

重要

若要完全启用受控文件夹访问,必须将“组策略”选项设置为“已启用”,然后在选项下拉菜单中选择“阻止”。

PowerShell

  1. 在“开始”菜单中键入“PowerShell”,右键单击“Windows PowerShell”,并选择“以管理员身份运行”。

  2. 键入以下 cmdlet:

    Set-MpPreference -EnableControlledFolderAccess Enabled
    

    可以通过指定 AuditMode 而不是 Enabled在审核模式下启用该功能。 使用 Disabled 关闭该功能。

另请参阅

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区