適用于：

• Microsoft Defender for Endpoint 計(jì)劃 1

• Microsoft Defender for Endpoint 計(jì)劃 2

• Microsoft Defender XDR

• Microsoft Defender 防病毒

適用對(duì)象

• Windows

希望體驗(yàn) Defender for Endpoint？ 注冊(cè)免費(fèi)試用版。

受控的文件夾訪問有助于保護(hù)有價(jià)值的數(shù)據(jù)免受惡意應(yīng)用和威脅（如勒索軟件）的侵害。 受控文件夾訪問通過(guò)檢查應(yīng)用是否存在已知的受信任應(yīng)用列表來(lái)保護(hù)數(shù)據(jù)。 支持 Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022、Windows 10 和 Windows 11 客戶端，可以使用 Windows 安全中心 應(yīng)用啟用受控文件夾訪問，Microsoft 終結(jié)點(diǎn)托管設(shè)備 Configuration Manager或Intune。

受控文件夾訪問最適用于 Microsoft Defender for Endpoint，它提供對(duì)受控文件夾訪問事件和塊的詳細(xì)報(bào)告，作為常見警報(bào)調(diào)查方案的一部分。

受控文件夾訪問權(quán)限的工作原理是僅允許受信任的應(yīng)用訪問受保護(hù)的文件夾。 配置受控文件夾訪問權(quán)限時(shí)指定受保護(hù)的文件夾。 通常，常用文件夾（如用于文檔、圖片、下載等的文件夾）包含在受控文件夾列表中。

受控文件夾訪問權(quán)限適用于受信任的應(yīng)用列表。 受信任軟件列表中包含的應(yīng)用按預(yù)期工作。 列表中未包含的應(yīng)用無(wú)法對(duì)受保護(hù)文件夾內(nèi)的文件進(jìn)行任何更改。

應(yīng)用會(huì)根據(jù)其普及率和信譽(yù)添加到列表中。 在整個(gè)組織中非常普遍且從未顯示任何被視為惡意行為的應(yīng)用被視為可信。 這些應(yīng)用會(huì)自動(dòng)添加到列表中。

還可以使用 Configuration Manager 或 Intune 手動(dòng)將應(yīng)用添加到受信任列表。 可以從 Microsoft Defender 門戶執(zhí)行其他操作。

受控文件夾訪問權(quán)限在幫助保護(hù)文檔和信息免受 勒索軟件攻擊方面特別有用。 在勒索軟件攻擊中，文件可能會(huì)加密并被扣為人質(zhì)。 在受控文件夾訪問到位后，應(yīng)用嘗試對(duì)受保護(hù)文件夾中的文件進(jìn)行更改的計(jì)算機(jī)上會(huì)顯示通知。 你可以使用公司的詳細(xì)信息和聯(lián)系人信息自定義通知。 還可以單獨(dú)啟用規(guī)則以自定義功能所監(jiān)視的技術(shù)。

受保護(hù)的文件夾包括常見系統(tǒng)文件夾 (包括啟動(dòng)扇區(qū)) ，你可以添加更多文件夾。 還可以 允許應(yīng)用 授予它們對(duì)受保護(hù)文件夾的訪問權(quán)限。

可以使用 審核模式 評(píng)估受控文件夾訪問在啟用后對(duì)組織的影響。

以下版本的 Windows 支持受控文件夾訪問：

• Windows 10版本 1709 及更高版本

• Windows 11

• Windows 2012 R2

• Windows 2016

• Windows Server 2019

• Windows Server 2022

默認(rèn)情況下，Windows 系統(tǒng)文件夾和其他幾個(gè)文件夾一起受到保護(hù)：

受保護(hù)的文件夾包括常見系統(tǒng)文件夾 (包括啟動(dòng)扇區(qū)) ，你可以添加其他文件夾。 還可以允許應(yīng)用授予它們對(duì)受保護(hù)文件夾的訪問權(quán)限。 默認(rèn)保護(hù)的 Windows 系統(tǒng)文件夾包括：

• c:\Users\<username>\Documents

• c:\Users\Public\Documents

• c:\Users\<username>\Pictures

• c:\Users\Public\Pictures

• c:\Users\Public\Videos

• c:\Users\<username>\Videos

• c:\Users\<username>\Music

• c:\Users\Public\Music

• c:\Users\<username>\Favorites

默認(rèn)文件夾顯示在用戶的配置文件中， 位于“此電腦”下。

受控文件夾訪問需要啟用Microsoft Defender防病毒實(shí)時(shí)保護(hù)。

Defender for Endpoint 在 Microsoft Defender 門戶中提供事件和塊的詳細(xì)報(bào)告，作為警報(bào)調(diào)查方案的一部分;請(qǐng)參閱 Microsoft Defender XDR 中的 Microsoft Defender for Endpoint。

可以使用高級(jí)搜尋查詢Microsoft Defender for Endpoint數(shù)據(jù)。 如果使用 審核模式，則可以使用 高級(jí)搜尋 來(lái)了解受控制的文件夾訪問設(shè)置在啟用后對(duì)環(huán)境的影響。

示例查詢：

你可以查看 Windows 事件日志，查看在受控文件夾訪問阻止 (或) 應(yīng)用審核時(shí)創(chuàng)建的事件：

1. 下載 評(píng)估包 并將文件 cfa-events.xml 提取到設(shè)備上易于訪問的位置。

2. 在“開始”菜單中鍵入“事件查看器”以打開 Windows 事件查看器。

3. 在左側(cè)面板的 “操作”下，選擇“ 導(dǎo)入自定義視圖...”。

4. 導(dǎo)航到提取 cfa-events.xml 的位置并選擇它。 或者， 直接復(fù)制 XML。

5. 選擇“確定”。

下表顯示了與受控文件夾訪問相關(guān)的事件：

可以使用 Windows 安全中心 應(yīng)用查看受受控文件夾訪問權(quán)限保護(hù)的文件夾列表。

1. 在Windows 10或Windows 11設(shè)備上，打開Windows 安全中心應(yīng)用。

2. 選擇“病毒和威脅防護(hù)”。

3. 在 “勒索軟件防護(hù)”下，選擇“ 管理勒索軟件防護(hù)”。

4. 如果已關(guān)閉受控文件夾訪問，則需要將其打開。 選擇 受保護(hù)的文件夾。

5. 請(qǐng)按照以下步驟之一操作：

• 若要添加文件夾，請(qǐng)選擇“ + 添加受保護(hù)的文件夾”。

• 若要?jiǎng)h除文件夾，請(qǐng)選擇該文件夾，然后選擇“ 刪除”。