启用受控文件夹访问

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR
• Microsoft Defender 防病毒

平台

• Windows

希望体验 Defender for Endpoint？ 注册免费试用版。

受控文件夹访问权限 有助于保护有价值的数据免受恶意应用和威胁（如勒索软件）的侵害。 Windows 10、Windows 11和 2019 Windows Server包含受控文件夹访问权限。 受控文件夹访问权限也包含在 Windows Server 2012R2 和 2016 的新式统一解决方案中。

可以使用以下任一方法启用受控文件夹访问：

• 启用受控文件夹访问
• 启用受控文件夹访问
  • 移动设备管理 (MDM)
  • Microsoft Configuration Manager
  • 组策略
  • PowerShell
  • 另请参阅

3. 选择“平台”，选择“Windows 10”、“Windows 11”和“Windows Server”，然后选择“配置文件”“攻击面减少规则>创建”。

4. 为策略命名并添加说明。 选择 下一步。

5. 向下滚动，然后在 “启用受控文件夹访问 ”下拉列表中选择一个选项，例如 “审核模式”。

   建议首先在审核模式下启用受控文件夹访问，以查看它在组织中的工作方式。 稍后可以将其设置为另一种模式，例如 Enabled。

6. 若要选择性地添加应受保护的文件夹，请选择“ 受控文件夹访问受保护的文件夹” ，然后添加文件夹。 不受信任的应用程序无法修改或删除这些文件夹中的文件。 请记住，默认系统文件夹会自动受到保护。 可以在 Windows 设备上的 Windows 安全中心 应用中查看默认系统文件夹的列表。 若要了解有关此设置的详细信息，请参阅 策略 CSP - Defender：ControlledFolderAccessProtectedFolders。

7. 若要选择性地添加应受信任的应用程序，请选择“ 受控文件夹访问允许的应用程序” ，然后添加应用可以访问受保护的文件夹。 Microsoft Defender防病毒自动确定应信任哪些应用程序。 仅使用此设置指定其他应用程序。 若要了解有关此设置的详细信息，请参阅 策略 CSP - Defender：ControlledFolderAccessAllowedApplications。

8. 选择配置文件 分配，分配给 所有用户 & 所有设备，然后选择 保存。

9. 选择“ 下一步 ”以保存每个打开的边栏选项卡，然后选择 “创建”。

注意

应用程序支持通配符，但文件夹不支持通配符。 允许的应用会继续触发事件，直到它们重新启动。

移动设备管理 (MDM)

使用 ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders 配置服务提供程序 (CSP) 允许应用对受保护的文件夹进行更改。

Microsoft Configuration Manager

1. 在“Microsoft Configuration Manager”中，转到“资产和符合性>终结点保护>”“Windows Defender 攻击防护”。

2. 选择“ 开始>创建攻击防护策略”。

3. 输入名称和说明，选择“ 受控文件夹访问权限”，然后选择“ 下一步”。

4. 选择是阻止更改还是审核更改、允许其他应用还是添加其他文件夹，然后选择“ 下一步”。

   注意

   应用程序支持通配符，但文件夹不支持通配符。 允许的应用会继续触发事件，直到它们重新启动。

5. 查看设置，然后选择“ 下一步 ”以创建策略。

6. 创建策略后， 关闭。

有关Microsoft Configuration Manager和受控文件夹访问的详细信息，请访问受控文件夹访问策略和选项。

组策略

1. 在组策略管理设备上，打开组策略管理控制台。 右键单击要配置的组策略对象，然后选择“编辑”。

2. 在 策略管理编辑器中， 计算机配置 并选择 管理模板。

3. 将树展开到 Windows 组件>，Microsoft Defender防病毒>Microsoft Defender Exploit Guard > 受控文件夹访问权限。

4. 双击“ 配置受控文件夹访问 ”设置，并将选项设置为 “已启用”。 在“选项”部分中，必须指定以下选项之一：

   • 启用 - 不允许恶意和可疑应用对受保护文件夹中的文件进行更改。 Windows 事件日志中提供了通知。
   • 禁用 (默认) - 受控文件夹访问功能不起作用。 所有应用都可以对受保护文件夹中的文件进行更改。
   • 审核模式 - 如果恶意或可疑应用尝试对受保护文件夹中的文件进行更改，则允许进行更改。 但是，它会记录在 Windows 事件日志中，你可以在其中评估对组织的影响。
   • 仅阻止磁盘修改 - 不受信任的应用尝试写入磁盘扇区时，将记录在 Windows 事件日志中。 可以在 Windows > Windows Defender >作 > ID 1123 Microsoft >应用程序和服务日志>中找到这些日志。
   • 仅审核磁盘修改 - 只有尝试写入受保护的磁盘扇区才会记录在 Windows 事件日志 (“ 应用程序和服务日志>”下，Microsoft>Windows>Defender>作>ID 1124) 。 不会记录修改或删除受保护文件夹中的文件的尝试。

   

重要

若要完全启用受控文件夹访问，必须将“组策略”选项设置为“已启用”，然后在选项下拉菜单中选择“阻止”。

PowerShell

1. 在“开始”菜单中键入“PowerShell”，右键单击“Windows PowerShell”，并选择“以管理员身份运行”。

2. 键入以下 cmdlet：

   Set-MpPreference -EnableControlledFolderAccess Enabled
   

   可以通过指定 AuditMode 而不是 Enabled在审核模式下启用该功能。 使用 Disabled 关闭该功能。

另请参阅

• 使用受控文件夹访问保护文重要件夹
• 自定义受控文件夹访问
• 评估 Microsoft Defender for Endpoint

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。