共用方式為

自訂受控資料夾存取權

  • 發行項

適用於:

平台

  • Windows

提示

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

受控資料夾存取權可協助您保護重要資料免於遭受惡意應用程式和威脅,例如勒索軟體。 受控資料夾存取權支援於:

  • Windows 11
  • Windows 10
  • Windows Server 2025
  • Windows Server 2022
  • Windows Server 2019

重要事項

Linux 伺服器不支援受控資料夾存取。

本文說明如何自定義受控資料夾存取功能,並包含下列各節:

重要事項

受控資料夾存取權會監視應用程式中偵測到惡意的活動。 有時候,合法的應用程式會遭到封鎖,無法對您的檔案進行變更。 如果受控制的資料夾存取權會影響組織的生產力,您可以考慮在 稽核模式 中執行此功能,以完整評估影響。

保護其他資料夾

受控資料夾存取權適用於許多系統資料夾和預設位置,包括 文件圖片電影等資料夾。 您可以新增要保護的其他資料夾,但無法移除預設清單中的預設資料夾。

如果您未將檔案儲存在預設的 Windows 連結庫中,或您已變更連結庫的預設位置,則將其他資料夾新增至受控資料夾存取可能會很有説明。

您也可以指定網路共享和對應的磁碟驅動器。 支援環境變數;不過,通配符不是。

您可以使用 Windows 安全性 應用程式、群組原則、PowerShell Cmdlet 或行動裝置管理設定服務提供者來新增和移除受保護的資料夾。

使用 Windows 安全性 應用程式來保護其他資料夾

  1. 選取任務列中的防護圖示,或在 [開始] 功能表中搜尋安全性,以開啟 Windows 安全性 應用程式。

  2. 取 [病毒 & 威脅防護],然後向下捲動至 [ 勒索軟體保護 ] 區段。

  3. 取 [管理勒索軟體保護 ] 以開啟 [ 勒索軟體保護 ] 窗格。

  4. 在 [ 受控資料夾存取權] 區段下,選取 [ 受保護的資料夾]

  5. [使用者 存取控制 提示中選擇 []。 [ 受保護的資料夾] 窗格隨即顯示。

  6. 取 [新增受保護的資料夾] ,並遵循提示新增資料夾。

使用 群組原則 來保護其他資料夾

  1. 在您的群組原則管理電腦,開啟 群組原則管理主控台

  2. 以滑鼠右鍵按下您要設定 群組原則 物件,然後選取 [編輯]

  3. 群組原則 管理 編輯器 中,移至 [計算機設定>>原則] [系統管理範本]

  4. 將樹狀結構展開至 Windows 元件>Microsoft Defender 防病毒軟體>Windows Defender 惡意探索防護>受控資料夾存取權
    注意:在舊版 Windows 上,您可能會看到 Windows Defender 防毒軟體,而不是 Microsoft Defender 防病毒軟體

  5. 按兩下 [ 設定受保護的資料夾],然後將選項設定為 [ 已啟用]。 選 取 [顯示],然後指定您想要保護的每個資料夾。

  6. 像您通常一樣部署 群組原則 物件。

使用 PowerShell 保護其他資料夾

  1. 在 [開始] 功能表中輸入 PowerShell,以滑鼠右鍵按兩下 [Windows PowerShell],然後選取 [以系統管理員身分執行]

  2. 輸入下列 PowerShell Cmdlet,並將 <the folder to be protected> 取代為資料夾的路徑 (例如 "c:\apps\") :

    Add-MpPreference -ControlledFolderAccessProtectedFolders "<the folder to be protected>"

  3. 針對您想要保護的每個資料夾重複步驟 2。 受保護的資料夾會顯示在 Windows 安全性 應用程式中。

    顯示 Cmdlet 的 PowerShell 視窗

重要事項

使用 Add-MpPreference 應用程式附加或新增至清單,而不是 Set-MpPreference。 使用 Set-MpPreference Cmdlet 則會覆寫現有的清單。

使用 MDM CSP 保護其他資料夾

使用 ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList 設定服務提供者 (CSP) ,以允許應用程式變更受保護的資料夾。

允許特定應用程式變更受控制的資料夾

您可以指定某些應用程式是否一律被視為安全,並授與受保護資料夾中檔案的寫入許可權。 如果受控資料夾存取功能封鎖您知道和信任的特定應用程式,允許應用程式會很有用。

重要事項

根據預設,Windows 會將被視為易記的應用程式新增至允許的清單。 自動新增的這類應用程式不會記錄在 Windows 安全性 應用程式中顯示的清單中,或是使用相關聯的PowerShell Cmdlet。 您不應該需要新增大部分的應用程式。 只有在應用程式遭到封鎖且您可以驗證其可信度時,才新增應用程式。

當您新增應用程式時,必須指定應用程式的位置。 只有該位置中的應用程式才能存取受保護的資料夾。 如果應用程式 (名稱相同,) 位於不同的位置,則不會將它新增至允許清單,而且可能會遭到受控制的資料夾存取封鎖。

允許的應用程式或服務在啟動后,只有受控制資料夾的寫入許可權。 例如,更新服務會在允許之後繼續觸發事件,直到停止並重新啟動為止。

使用 Windows Defender 安全性應用程式允許特定應用程式

  1. 搜尋 [安全性] 的 [開始] 功能表,以開啟 Windows 安全性 應用程式。

  2. 取 [病毒 & 威脅防護 ] 圖格 (或左側功能表欄上的防護圖示) ,然後選取 [ 管理勒索軟體保護]

  3. 在 [ 受控資料夾存取權 ] 區段下,選取 [ 允許透過受控資料夾存取的應用程式]

  4. 取 [新增允許的應用程式 ],並遵循提示來新增應用程式。

    [新增允許的應用程式] 按鈕

使用 群組原則 來允許特定應用程式

  1. 在您的 群組原則 管理裝置上,開啟 [群組原則 管理控制台],以滑鼠右鍵按兩下您要設定的 群組原則 對象,然後選取 [編輯]

  2. [群組原則管理編輯器] 中,移至 [電腦設定] 然後選取 [系統管理範本]

  3. 將樹狀結構展開至 Windows 元件>Microsoft Defender 防病毒軟體>Windows Defender 惡意探索防護>受控資料夾存取權

  4. 按兩下 [ 設定允許的應用程式 ] 設定,然後將選項設定為 [已啟用]。 選取 顯示

  5. 在 [ 值名稱] 中,將完整路徑新增至可執行檔。 將 [值] 設定為 0。 例如,若要允許命令提示字元將 [值名稱 ] 設定為 C:\Windows\System32\cmd.exe 應設定為 0

使用 PowerShell 允許特定應用程式

  1. 在 [開始] 功能表中輸入 PowerShell,以滑鼠右鍵按兩下 [Windows PowerShell],然後選取 [以系統管理員身分執行]

  2. 輸入下列 Cmdlet:

    Add-MpPreference -ControlledFolderAccessAllowedApplications "<the app that should be allowed, including the path>"

    例如,若要新增位於 C:\apps 資料夾中的可執行檔test.exe,Cmdlet 會如下所示:

    Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"

    繼續使用 Add-MpPreference -ControlledFolderAccessAllowedApplications 將更多應用程式新增至清單。 使用此 Cmdlet 新增的應用程式會出現在 Windows 安全性 應用程式中。

    允許應用程式的PowerShell Cmdlet

重要事項

使用 Add-MpPreference 以附加或新增應用程式至清單。 使用 Set-MpPreference Cmdlet 則會覆寫現有的清單。

使用 MDM CSP 允許特定應用程式

使用 ./Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications 設定服務提供者 (CSP) ,以允許應用程式變更受保護的資料夾。

允許已簽署的可執行檔存取受保護的資料夾

適用於端點的 Microsoft Defender 憑證和檔案指標可以允許已簽署的可執行檔存取受保護的資料夾。 如需實作詳細數據,請 參閱根據憑證建立指標

注意事項

這不適用於腳本引擎,包括 Powershell

自訂通知

如需在觸發規則並封鎖應用程式或檔案時自定義通知的詳細資訊,請參閱在 適用於端點的 Microsoft Defender 中設定警示通知

另請參閱

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。