受控文件夹访问评估

适用于:

平台

  • Windows

希望体验 Microsoft Defender for Endpoint? 注册免费试用版

受控文件夹访问 是一项功能,可帮助保护文档和文件免受可疑或恶意应用的修改。 Windows Server 2019、Windows Server 2022、Windows 10 和Windows 11 客户端支持受控文件夹访问权限。

它在帮助防止试图加密文件并将其扣为人质的 勒索软件 方面特别有用。

本文可帮助你评估受控文件夹访问权限。 它介绍了如何启用审核模式,以便你可以直接在组织中测试该功能。

提示

还可以在 demo.wd.microsoft.com 访问Microsoft Defender for Endpoint演示方案网站,确认该功能是否正常工作,并了解其工作原理。

备注

位于 demo.wd.microsoft.com 处的 Defender for Endpoint 演示网站已弃用,并将在未来删除。

使用审核模式测量影响

在审核模式下启用受控文件夹访问,以查看如果完全启用, 将会 发生的情况的记录。 测试该功能在组织中的工作原理,以确保它不会影响业务线应用。 还可以了解在一定时间段内通常会发生多少次可疑的文件修改尝试。

若要启用审核模式,请使用以下 PowerShell cmdlet:

Set-MpPreference -EnableControlledFolderAccess AuditMode

提示

如果想要完全审核受控文件夹访问在组织中的工作原理,则需要使用管理工具将此设置部署到网络 () 中的设备。 还可以使用组策略、Intune、移动设备管理 (MDM) 或Microsoft Endpoint Manager来配置和部署设置,如主控制文件夹访问主题中所述。

查看Windows 事件查看器中的受控文件夹访问事件

以下受控文件夹访问事件显示在 Microsoft/Windows 事件查看器/Windows/Windows Defender/Operational 文件夹下。

事件 ID 描述
5007 更改设置时的事件
1124 已审核的受控文件夹访问事件
1123 阻止的受控文件夹访问事件

提示

可以配置Windows事件转发订阅以集中收集日志。

自定义受保护的文件夹和应用

在评估期间,你可能希望添加到受保护文件夹列表,或允许某些应用修改文件。

请参阅具有受控文件夹访问权限的保护重要文件夹,以便使用管理工具(包括 组策略、PowerShell 和 MDM 配置服务提供程序) (CSP) 配置功能。

另请参阅