使用受控文件夹访问保护文重要件夹

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR
• Microsoft Defender 防病毒

适用对象

• Windows

希望体验 Defender for Endpoint？ 注册免费试用版。

什么是受控文件夹访问权限？

受控的文件夹访问有助于保护有价值的数据免受恶意应用和威胁（如勒索软件）的侵害。 受控文件夹访问通过检查应用是否存在已知的受信任应用列表来保护数据。 受 Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022、Windows 10和Windows 11客户端支持，可以使用 Windows 安全中心 应用启用受控文件夹访问，Microsoft 终结点托管设备) Configuration Manager或Intune (。

注意

脚本引擎不受信任，你不能允许它们访问受控的受保护文件夹。 例如，即使允许 使用证书和文件指示器，受控文件夹访问也不信任 PowerShell。

受控文件夹访问最适用于 Microsoft Defender for Endpoint，它提供对受控文件夹访问事件和块的详细报告，作为常见警报调查方案的一部分。

提示

受控文件夹访问块不会在警报队列中生成 警报。 但是，可以在设备时间线视图中查看有关受控文件夹访问块的信息，同时使用高级搜寻或使用自定义检测规则。

受控文件夹访问如何工作？

受控文件夹访问权限的工作原理是仅允许受信任的应用访问受保护的文件夹。 配置受控文件夹访问权限时指定受保护的文件夹。 通常，常用文件夹（如用于文档、图片、下载等的文件夹）包含在受控文件夹列表中。

受控文件夹访问权限适用于受信任的应用列表。 受信任软件列表中包含的应用按预期工作。 列表中未包含的应用无法对受保护文件夹内的文件进行任何更改。

应用会根据其普及率和信誉添加到列表中。 在整个组织中非常普遍且从未显示任何被视为恶意行为的应用被视为可信。 这些应用会自动添加到列表中。

还可以使用 Configuration Manager 或 Intune 手动将应用添加到受信任列表。 可以从 Microsoft Defender 门户执行其他操作。

为什么受控文件夹访问很重要

受控文件夹访问权限在帮助保护文档和信息免受 勒索软件攻击方面特别有用。 在勒索软件攻击中，文件可能会加密并被扣为人质。 在受控文件夹访问到位后，应用尝试对受保护文件夹中的文件进行更改的计算机上会显示通知。 你可以使用公司的详细信息和联系人信息自定义通知。 还可以单独启用规则以自定义功能所监视的技术。

受保护的文件夹包括常见系统文件夹 (包括启动扇区) ，你可以添加更多文件夹。 还可以 允许应用 授予它们对受保护文件夹的访问权限。

可以使用 审核模式 评估受控文件夹访问在启用后对组织的影响。

以下版本的 Windows 支持受控文件夹访问：

• Windows 10版本 1709 及更高版本
• Windows 11
• Windows 2012 R2
• Windows 2016
• Windows Server 2019
• Windows Server 2022

默认情况下，Windows 系统文件夹受到保护

默认情况下，Windows 系统文件夹和其他几个文件夹一起受到保护：

受保护的文件夹包括常见系统文件夹 (包括启动扇区) ，你可以添加其他文件夹。 还可以允许应用授予它们对受保护文件夹的访问权限。 默认保护的 Windows 系统文件夹包括：

• c:\Users\<username>\Documents
• c:\Users\Public\Documents
• c:\Users\<username>\Pictures
• c:\Users\Public\Pictures
• c:\Users\Public\Videos
• c:\Users\<username>\Videos
• c:\Users\<username>\Music
• c:\Users\Public\Music
• c:\Users\<username>\Favorites

默认文件夹显示在用户的配置文件中， 位于“此电脑”下。

注意

可以将其他文件夹配置为受保护的文件夹，但不能删除默认受保护的 Windows 系统文件夹。

受控文件夹访问权限的要求

受控文件夹访问需要启用Microsoft Defender防病毒实时保护。

在Microsoft Defender门户中查看受控文件夹访问事件

Defender for Endpoint 在 Microsoft Defender 门户中提供事件和块的详细报告，作为警报调查方案的一部分;请参阅 Microsoft Defender XDR 中的Microsoft Defender for Endpoint。

可以使用高级搜寻查询Microsoft Defender for Endpoint数据。 如果使用 审核模式，则可以使用 高级搜寻 来了解受控制的文件夹访问设置在启用后对环境的影响。

示例查询：

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

查看 Windows 事件查看器中的受控文件夹访问事件

你可以查看 Windows 事件日志，查看在受控文件夹访问阻止 (或) 应用审核时创建的事件：

1. 下载 评估包 并将文件 cfa-events.xml 提取到设备上易于访问的位置。
2. 在“开始”菜单中键入“事件查看器”以打开 Windows 事件查看器。
3. 在左侧面板的 “操作”下，选择“ 导入自定义视图...”。
4. 导航到提取 cfa-events.xml 的位置并选择它。 或者， 直接复制 XML。
5. 选择“确定”。

下表显示了与受控文件夹访问相关的事件：

事件 ID	描述
5007	更改设置时的事件
1124	已审核的受控文件夹访问事件
1123	阻止的受控文件夹访问事件
1127	阻止的受控文件夹访问扇区写入阻止事件
1128	审核的受控文件夹访问扇区写入阻止事件

查看或更改受保护文件夹的列表

可以使用 Windows 安全中心 应用查看受受控文件夹访问权限保护的文件夹列表。

1. 在Windows 10或Windows 11设备上，打开Windows 安全中心应用。
2. 选择“病毒和威胁防护”。
3. 在 “勒索软件防护”下，选择“ 管理勒索软件防护”。
4. 如果已关闭受控文件夹访问，则需要将其打开。 选择 受保护的文件夹。
5. 请按照以下步骤之一操作：
   • 若要添加文件夹，请选择“ + 添加受保护的文件夹”。
   • 若要删除文件夹，请选择该文件夹，然后选择“ 删除”。

注意

默认情况下，Windows 系统文件夹 受到保护，你无法从列表中删除它们。 向列表添加新文件夹时，子文件夹也会包含在保护中。

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。