受控文件夹访问评估

适用于：

平台

希望体验 Microsoft Defender for Endpoint？注册免费试用版。

受控文件夹访问权限是一项功能，可帮助保护文档和文件不受可疑或恶意应用修改。运行 Windows 10 或 Windows 11 的 Windows Server 2022、Windows Server 2019 和客户端设备支持受控文件夹访问。

它特别适用于帮助防范试图加密文件并将其扣为人质的勒索软件。

本文可帮助你评估受控文件夹访问权限。本文介绍了如何启用审核模式，以便可以直接在组织中测试该功能。

使用审核模式衡量影响

在审核模式下启用受控文件夹访问，以查看启用后可能发生的情况的记录。测试该功能在组织中的工作方式，以确保它不会影响业务线应用。还可以了解在特定时间段内通常会发生多少次可疑的修改文件尝试。

若要启用审核模式，请使用以下 PowerShell cmdlet：

Set-MpPreference -EnableControlledFolderAccess AuditMode

注意

若要查看受控文件夹访问在组织中的工作方式，请使用管理工具将其部署到网络中的设备。还可以使用组策略、Intune、移动设备管理 (MDM) 或Microsoft Configuration Manager 配置和部署设置，如使用受控文件夹访问权限保护重要文件夹中所述。
如果工作流涉及使用共享文件夹，则启用受控文件夹访问可能会导致网络性能大幅降低（如果共享网络文件夹由不受信任的进程访问），特别是因为对文件共享服务器进行许多查询。请确保文件服务器已针对增加的网络流量进行优化，尤其是在将共享网络文件夹用于脱机文件时。
某些类型的终结点安全性或资产管理软件将代码注入系统启动的每个进程。这可能会导致受控文件夹访问不再信任已知应用程序（如 Office 程序）。可以使用 MDEClientAnalyzer 工具的 -cfa 参数查看受控文件夹访问检测的原因。如果受到影响，请考虑为注入过程添加防病毒排除，或咨询管理软件供应商以签署其所有二进制文件。

以下受控文件夹访问事件显示在 Windows 事件查看器中的 Microsoft/Windows/Windows Defender/Operational 文件夹下。

提示

可以将 Windows 事件转发订阅配置为集中收集日志。

在评估期间，你可能希望将添加到受保护文件夹列表，或允许某些应用修改文件。

有关使用管理工具（包括组策略、PowerShell 和 MDM 配置服务提供程序 (CSP) ）配置功能，请参阅使用受控文件夹访问权限保护重要文件夹。

提示

想要了解更多信息？在技术社区中与 Microsoft 安全社区互动： Microsoft Defender for Endpoint 技术社区。