启用受控文件夹访问
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender XDR
- Microsoft Defender 防病毒
平台
- Windows
希望体验 Defender for Endpoint? 注册免费试用版。
受控文件夹访问权限 有助于保护有价值的数据免受恶意应用和威胁(如勒索软件)的侵害。 Windows 10、Windows 11和 2019 Windows Server包含受控文件夹访问权限。 受控文件夹访问权限也包含在 Windows Server 2012R2 和 2016 的新式统一解决方案中。
可以使用以下任一方法启用受控文件夹访问:
选择“平台”,选择“Windows 10”、“Windows 11”和“Windows Server”,然后选择“配置文件”“攻击面减少规则>创建”。
为策略命名并添加说明。 选择 下一步。
向下滚动,然后在 “启用受控文件夹访问 ”下拉列表中选择一个选项,例如 “审核模式”。
建议首先在审核模式下启用受控文件夹访问,以查看它在组织中的工作方式。 稍后可以将其设置为另一种模式,例如 Enabled。
若要选择性地添加应受保护的文件夹,请选择“ 受控文件夹访问受保护的文件夹” ,然后添加文件夹。 不受信任的应用程序无法修改或删除这些文件夹中的文件。 请记住,默认系统文件夹会自动受到保护。 可以在 Windows 设备上的 Windows 安全中心 应用中查看默认系统文件夹的列表。 若要了解有关此设置的详细信息,请参阅 策略 CSP - Defender:ControlledFolderAccessProtectedFolders。
若要选择性地添加应受信任的应用程序,请选择“ 受控文件夹访问允许的应用程序” ,然后添加应用可以访问受保护的文件夹。 Microsoft Defender防病毒自动确定应信任哪些应用程序。 仅使用此设置指定其他应用程序。 若要了解有关此设置的详细信息,请参阅 策略 CSP - Defender:ControlledFolderAccessAllowedApplications。
选择配置文件 分配,分配给 所有用户 & 所有设备,然后选择 保存。
选择“ 下一步 ”以保存每个打开的边栏选项卡,然后选择 “创建”。
注意
应用程序支持通配符,但文件夹不支持通配符。 允许的应用会继续触发事件,直到它们重新启动。
移动设备管理 (MDM)
使用 ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders 配置服务提供程序 (CSP) 允许应用对受保护的文件夹进行更改。
Microsoft Configuration Manager
在“Microsoft Configuration Manager”中,转到“资产和符合性>终结点保护>”“Windows Defender 攻击防护”。
选择“ 开始>创建攻击防护策略”。
输入名称和说明,选择“ 受控文件夹访问权限”,然后选择“ 下一步”。
选择是阻止更改还是审核更改、允许其他应用还是添加其他文件夹,然后选择“ 下一步”。
注意
应用程序支持通配符,但文件夹不支持通配符。 允许的应用会继续触发事件,直到它们重新启动。
查看设置,然后选择“ 下一步 ”以创建策略。
创建策略后, 关闭。
有关Microsoft Configuration Manager和受控文件夹访问的详细信息,请访问受控文件夹访问策略和选项。
组策略
在组策略管理设备上,打开组策略管理控制台。 右键单击要配置的组策略对象,然后选择“编辑”。
在 策略管理编辑器中, 计算机配置 并选择 管理模板。
将树展开到 Windows 组件>,Microsoft Defender防病毒>Microsoft Defender Exploit Guard > 受控文件夹访问权限。
双击“ 配置受控文件夹访问 ”设置,并将选项设置为 “已启用”。 在“选项”部分中,必须指定以下选项之一:
- 启用 - 不允许恶意和可疑应用对受保护文件夹中的文件进行更改。 Windows 事件日志中提供了通知。
- 禁用 (默认) - 受控文件夹访问功能不起作用。 所有应用都可以对受保护文件夹中的文件进行更改。
- 审核模式 - 如果恶意或可疑应用尝试对受保护文件夹中的文件进行更改,则允许进行更改。 但是,它会记录在 Windows 事件日志中,你可以在其中评估对组织的影响。
- 仅阻止磁盘修改 - 不受信任的应用尝试写入磁盘扇区时,将记录在 Windows 事件日志中。 可以在 Windows > Windows Defender >作 > ID 1123 Microsoft >应用程序和服务日志>中找到这些日志。
- 仅审核磁盘修改 - 只有尝试写入受保护的磁盘扇区才会记录在 Windows 事件日志 (“ 应用程序和服务日志>”下,Microsoft>Windows>Defender>作>ID 1124) 。 不会记录修改或删除受保护文件夹中的文件的尝试。
重要
若要完全启用受控文件夹访问,必须将“组策略”选项设置为“已启用”,然后在选项下拉菜单中选择“阻止”。
PowerShell
在“开始”菜单中键入“PowerShell”,右键单击“Windows PowerShell”,并选择“以管理员身份运行”。
键入以下 cmdlet:
Set-MpPreference -EnableControlledFolderAccess Enabled
可以通过指定
AuditMode
而不是Enabled
在审核模式下启用该功能。 使用Disabled
关闭该功能。
另请参阅
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。