適用于：

• Microsoft Defender for Endpoint 計劃 1

• Microsoft Defender for Endpoint 計劃 2

• Microsoft Defender XDR

• Microsoft Defender 防病毒

適用對象

• Windows

希望體驗 Defender for Endpoint？ 注冊免費試用版。

受控的文件夾訪問有助于保護有價值的數據免受惡意應用和威脅（如勒索軟件）的侵害。 受控文件夾訪問通過檢查應用是否存在已知的受信任應用列表來保護數據。 受 Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022、Windows 10和Windows 11客戶端支持，可以使用 Windows 安全中心 應用啟用受控文件夾訪問，Microsoft 終結點) 托管設備的Configuration Manager或 Intune (。

受控文件夾訪問最適用于 Microsoft Defender for Endpoint，它提供對受控文件夾訪問事件和塊的詳細報告，作為常見警報調查方案的一部分。

受控文件夾訪問權限的工作原理是僅允許受信任的應用訪問受保護的文件夾。 配置受控文件夾訪問權限時指定受保護的文件夾。 通常，常用文件夾（如用于文檔、圖片、下載等的文件夾）包含在受控文件夾列表中。

受控文件夾訪問權限適用于受信任的應用列表。 受信任軟件列表中包含的應用按預期工作。 列表中未包含的應用無法對受保護文件夾內的文件進行任何更改。

應用會根據其普及率和信譽添加到列表中。 在整個組織中非常普遍且從未顯示任何被視為惡意行為的應用被視為可信。 這些應用會自動添加到列表中。

還可以使用 Configuration Manager 或 Intune 手動將應用添加到受信任的列表中。 可以從 Microsoft Defender 門戶執行其他操作。

受控文件夾訪問權限在幫助保護文檔和信息免受 勒索軟件攻擊方面特別有用。 在勒索軟件攻擊中，文件可能會加密并被扣為人質。 在受控文件夾訪問到位后，應用嘗試對受保護文件夾中的文件進行更改的計算機上會顯示通知。 你可以使用公司的詳細信息和聯系人信息自定義通知。 還可以單獨啟用規則以自定義功能所監視的技術。

受保護的文件夾包括常見系統文件夾 (包括啟動扇區) ，你可以添加更多文件夾。 還可以 允許應用 授予它們對受保護文件夾的訪問權限。

可以使用 審核模式 評估受控文件夾訪問在啟用后對組織的影響。

以下版本的 Windows 支持受控文件夾訪問：

• Windows 10版本 1709 及更高版本

• Windows 11

• Windows 2012 R2

• Windows 2016

• Windows Server 2019

• Windows Server 2022

默認情況下，Windows 系統文件夾和其他幾個文件夾一起受到保護：

受保護的文件夾包括常見系統文件夾 (包括啟動扇區) ，你可以添加其他文件夾。 還可以允許應用授予它們對受保護文件夾的訪問權限。 默認保護的 Windows 系統文件夾包括：

• c:\Users\<username>\Documents

• c:\Users\Public\Documents

• c:\Users\<username>\Pictures

• c:\Users\Public\Pictures

• c:\Users\Public\Videos

• c:\Users\<username>\Videos

• c:\Users\<username>\Music

• c:\Users\Public\Music

• c:\Users\<username>\Favorites

默認文件夾顯示在用戶的配置文件中， 位于“此電腦”下。

受控文件夾訪問需要啟用Microsoft Defender防病毒實時保護。

Defender for Endpoint 在 Microsoft Defender 門戶中提供事件和塊的詳細報告，作為警報調查方案的一部分;請參閱 Microsoft Defender XDR 中的Microsoft Defender for Endpoint。

可以使用高級搜尋查詢Microsoft Defender for Endpoint數據。 如果使用 審核模式，則可以使用 高級搜尋 來了解受控制的文件夾訪問設置在啟用后對環境的影響。

示例查詢：

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

你可以查看 Windows 事件日志，查看在受控文件夾訪問阻止 (或) 應用審核時創建的事件：

1. 下載 評估包 并將文件 cfa-events.xml 提取到設備上易于訪問的位置。

2. 在“開始”菜單中鍵入“事件查看器”以打開 Windows 事件查看器。

3. 在左側面板的 “操作”下，選擇“ 導入自定義視圖...”。

4. 導航到提取 cfa-events.xml 的位置并選擇它。 或者， 直接復制 XML。

5. 選擇“確定”。

下表顯示了與受控文件夾訪問相關的事件：

可以使用 Windows 安全中心 應用查看受受控文件夾訪問權限保護的文件夾列表。

1. 在Windows 10或Windows 11設備上，打開Windows 安全中心應用。

2. 選擇“病毒和威脅防護”。

3. 在 “勒索軟件防護”下，選擇“ 管理勒索軟件防護”。

4. 如果已關閉受控文件夾訪問，則需要將其打開。 選擇 受保護的文件夾。

5. 請按照以下步驟之一操作：

• 若要添加文件夾，請選擇“ + 添加受保護的文件夾”。

• 若要刪除文件夾，請選擇該文件夾，然后選擇“ 刪除”。