使用受控資料夾存取權保護重要的資料夾
適用於:
- 適用於端點的 Microsoft Defender 方案 1
- 適用於端點的 Microsoft Defender 方案 2
- Microsoft Defender XDR
- Microsoft Defender 防毒軟體
適用於
- Windows
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
什麼是受控制的資料夾存取?
受控資料夾存取權可協助保護您的寶貴資料免於遭受惡意應用程式和威脅,例如勒索軟體。 受控資料夾存取權會藉由檢查應用程式是否有已知且受信任的應用程式清單來保護您的數據。 您可以使用 Windows 安全性 應用程式、Microsoft端點 Configuration Manager 或受控裝置) 的 Intune (來設定受控資料夾存取權。 Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022、Windows 10 和 Windows 11 支援受控資料夾存取權。
注意事項
PowerShell 之類的腳本引擎不受受控制的資料夾存取信任,即使您使用 憑證和檔案指標建立「允許」指標也一樣。 允許文稿引擎修改受保護資料夾的唯一方式是將它們新增為允許的應用程式。 請參閱 允許特定應用程式變更受控制的資料夾。
受控資料夾存取最適合與 適用於端點的 Microsoft Defender 搭配使用,這可讓您在一般警示調查案例中詳細報告受控制的資料夾存取事件和區塊。
受控資料夾存取權如何運作?
受控資料夾存取的運作方式是只允許受信任的應用程式存取受保護的資料夾。 設定受控資料夾存取權時,會指定受保護的資料夾。 一般而言,常用的資料夾,例如用於檔、圖片、下載等的資料夾,都會包含在受控資料夾清單中。
受控資料夾存取權適用於信任的應用程式清單。 受信任軟體清單中包含的應用程式會如預期般運作。 清單中未包含的應用程式無法對受保護資料夾內的檔案進行任何變更。
應用程式會根據其普遍性和信譽新增至清單。 在整個組織中極為普遍且從未顯示任何被視為惡意行為的應用程式會被視為值得信任。 這些應用程式會自動新增至清單。
您也可以使用 Configuration Manager 或 Intune,手動將應用程式新增至信任的清單。 您可以從 Microsoft Defender 入口網站執行其他動作。
為什麼受控制的資料夾存取權很重要
受控資料夾存取在協助保護您的文件和資訊免於 勒索軟體時特別有用。 在勒索軟體攻擊中,您的檔案可能會加密並持有惡意。 當受控資料夾存取就緒時,計算機上會出現一則通知,其中應用程式嘗試變更受保護資料夾中的檔案。 您可以使用公司詳細資料和連絡資訊自訂通知。 您也可以個別啟用規則,以自訂功能要監視的技術。
受保護的資料夾包含常見的系統資料夾 (包括開機扇區) ,而且您可以新增更多資料夾。 您也可以 允許應用程式 授與他們受保護資料夾的存取權。
您可以使用 稽核模式 來評估如果已啟用受控資料夾存取,會對您的組織造成何種影響。
Windows 系統資料夾預設會受到保護
Windows 系統資料夾預設會與其他數個資料夾一起受到保護:
受保護的資料夾包含常見的系統資料夾 (包括開機扇區) ,而且您可以新增其他資料夾。 您也可以允許應用程式授與他們受保護資料夾的存取權。 預設受保護的 Windows 系統資料夾為:
c:\Users\<username>\Documents
c:\Users\Public\Documents
c:\Users\<username>\Pictures
c:\Users\Public\Pictures
c:\Users\Public\Videos
c:\Users\<username>\Videos
c:\Users\<username>\Music
c:\Users\Public\Music
c:\Users\<username>\Favorites
預設資料夾會出現在使用者設定檔的 [此計算機] 下方,如下圖所示:
注意事項
您可以將其他資料夾設定為受保護,但無法移除預設受保護的 Windows 系統資料夾。
受控制資料夾存取的需求
受控資料夾存取權需要啟用 Microsoft Defender 防病毒軟體即時保護。
在 Microsoft Defender 入口網站中檢閱受控制的資料夾存取事件
適用於端點的Defender會在 Microsoft Defender入口網站的警示調查案例中提供事件和區塊的詳細報告;請參閱 Microsoft Defender 全面偵測回應中的 適用於端點的 Microsoft Defender。
您可以使用進階搜捕來查詢 適用於端點的 Microsoft Defender 數據。 如果您使用 稽核模式,您可以使用 進階搜捕 來查看受控資料夾存取設定在啟用時會如何影響您的環境。
例如查詢:
DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
檢閱 Windows 事件檢視器 中受控制的資料夾存取事件
您可以檢閱 Windows 事件記錄檔,以查看受控制資料夾存取區塊 (或稽核) 應用程式時所建立的事件:
下載 評估套件 ,並將檔案 解壓縮cfa-events.xml 至裝置上容易存取的位置。
在 [開始] 功能表中輸入事件查看器,以開啟 Windows 事件檢視器。
在左面板的 [ 動作] 底下,選取 [ 匯入自定義檢視...]。
流覽至您擷取 cfa-events.xml 的位置,然後加以選取。 或者, 直接複製 XML。
選取 [確定]。
下表顯示與受控制資料夾存取權相關的事件:
事件識別碼 | 描述 |
---|---|
5007 |
變更設定時的事件 |
1124 |
稽核的受控資料夾存取事件 |
1123 |
封鎖的受控資料夾存取事件 |
1127 |
封鎖的受控資料夾存取扇區寫入區塊事件 |
1128 |
稽核的受控資料夾存取扇區寫入區塊事件 |
檢視或變更受保護資料夾的清單
您可以使用 Windows 安全性 應用程式來檢視受控制資料夾存取權保護的資料夾清單。
在您的 Windows 10 或 Windows 11 裝置上,開啟 Windows 安全性 應用程式。
選取 [病毒與威脅防護]。
在 [勒索軟體保護] 下,選 取 [管理勒索軟體保護]。
如果已關閉受控制資料夾存取權,您必須將其開啟。 選 取受保護的資料夾。
執行下列其中一個步驟:
- 若要新增資料夾,請選取 [+ 新增受保護的資料夾]。
- 若要移除資料夾,請加以選取,然後選取 [ 移除]。
重要事項
請勿將本機共享路徑新增 (回送) 為受保護的資料夾。 請改用本機路徑。 例如,如果您已將 共用
C:\demo
為\\mycomputer\demo
,請勿將 新\\mycomputer\demo
增至受保護資料夾清單。 請改為新增C:\demo
。
Windows 系統資料夾 預設會受到保護,而且您無法從清單中移除它們。 當您將新資料夾新增至清單時,子資料夾也會包含在保護中。
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。