自定义受控文件夹访问

适用于:

平台

  • Windows

提示

希望体验 Defender for Endpoint? 注册免费试用版

受控文件夹访问权限有助于保护有价值的数据免受恶意应用和威胁(如勒索软件)的侵害。 Windows Server 2019、Windows Server 2022、Windows 10 和 Windows 11 客户端支持受控文件夹访问。

重要

Linux 服务器上不支持受控文件夹访问。

本文介绍如何自定义受控文件夹访问权限功能,并包含以下部分:

重要

受控文件夹访问可监视应用以检测为恶意的活动。 有时,合法应用会被阻止对文件进行更改。 如果受控文件夹访问影响组织的工作效率,可以考虑在 审核模式下 运行此功能,以充分评估影响。

保护其他文件夹

受控文件夹访问权限适用于许多系统文件夹和默认位置,包括 文档图片电影等文件夹。 可以添加要保护的其他文件夹,但不能删除默认列表中的默认文件夹。

在未将文件存储在默认 Windows 库中,或者已更改库的默认位置的情况下,将其他文件夹添加到受控文件夹访问权限可能会有所帮助。

还可以指定网络共享和映射驱动器。 支持环境变量;但是,通配符不是。

可以使用 Windows 安全中心 应用、组策略、PowerShell cmdlet 或移动设备管理配置服务提供程序来添加和删除受保护的文件夹。

使用 Windows 安全中心 应用保护其他文件夹

  1. 通过选择任务栏中的屏蔽图标或在“开始”菜单中搜索安全性,打开Windows 安全中心应用。

  2. 选择“ 病毒 & 威胁防护”,然后向下滚动到 “勒索软件防护 ”部分。

  3. 选择“ 管理勒索软件防护 ”,打开 “勒索软件防护 ”窗格。

  4. “受控文件夹访问 ”部分下,选择“ 受保护的文件夹”。

  5. “用户访问控制提示符上选择”是”。 将显示 “受保护的文件夹 ”窗格。

  6. 选择“ 添加受保护的文件夹 ”,并按照提示添加文件夹。

使用组策略保护其他文件夹

  1. 在组策略管理计算机上,打开 策略管理控制台

  2. 右键单击要配置的组策略对象,然后选择“编辑”。

  3. 组策略管理编辑器中,转到“计算机配置>策略>”“管理模板”。

  4. 将树展开到 Windows 组件>Microsoft Defender防病毒>Windows Defender Exploit Guard>受控文件夹访问权限
    注意:在较旧版本的 Windows 上,你可能会看到 Windows Defender 防病毒,而不是Microsoft Defender防病毒

  5. 双击“ 配置的受保护文件夹”,然后将选项设置为 “已启用”。 选择“ 显示”,并指定要保护的每个文件夹。

  6. 像往常一样部署 组策略 对象。

使用 PowerShell 保护其他文件夹

  1. 在“开始”菜单中键入 PowerShell,右键单击“Windows PowerShell并选择”以管理员身份运行

  2. 键入以下 PowerShell cmdlet,将 <the folder to be protected> 替换为文件夹的路径 (,例如 "c:\apps\") :

    Add-MpPreference -ControlledFolderAccessProtectedFolders "<the folder to be protected>"
    
  3. 对要保护的每个文件夹重复步骤 2。 受保护的文件夹在 Windows 安全中心 应用中可见。

    显示 cmdlet 的 PowerShell 窗口

重要

使用 Add-MpPreference 将应用追加或添加到列表,而不是 Set-MpPreferenceSet-MpPreference使用 cmdlet 将覆盖现有列表。

使用 MDM CSP 保护其他文件夹

使用 ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList 配置服务提供程序 (CSP) 允许应用对受保护的文件夹进行更改。

允许特定应用对受控文件夹进行更改

可以指定某些应用是否始终被视为安全应用,并授予对受保护文件夹中文件的写入访问权限。 如果你知道并信任的特定应用被受控文件夹访问功能阻止,则允许应用会很有用。

重要

默认情况下,Windows 会添加对允许列表友好的应用。 自动添加的此类应用不会记录在 Windows 安全中心 应用中显示的列表中或使用关联的 PowerShell cmdlet。 无需添加大多数应用。 仅当应用被阻止并且你可以验证其可信度时,才添加应用。

添加应用时,必须指定应用的位置。 仅允许该位置中的应用访问受保护的文件夹。 如果应用 (同名) 位于其他位置,则不会将其添加到允许列表中,并且可能会受到受控文件夹访问的阻止。

允许的应用程序或服务在启动后仅具有对受控文件夹的写入访问权限。 例如,更新服务在允许后将继续触发事件,直到它停止并重新启动。

使用 Windows Defender 安全应用允许特定应用

  1. 通过搜索“安全性”的“开始”菜单打开Windows 安全中心应用。

  2. 选择 “病毒 & 威胁防护 ”磁贴 (或左侧菜单栏) 上的屏蔽图标,然后选择“ 管理勒索软件防护”。

  3. “受控文件夹访问”部分下,选择“允许应用通过受控文件夹访问

  4. 选择“ 添加允许的应用 ”,并按照提示添加应用。

    “添加允许的应用”按钮

使用组策略允许特定应用

  1. 在组策略管理设备上,打开组策略管理控制台,右键单击要配置的组策略对象,然后选择“编辑”。

  2. 策略管理编辑器中, 计算机配置 并选择 管理模板

  3. 将树展开到 Windows 组件>Microsoft Defender防病毒>Windows Defender Exploit Guard>受控文件夹访问权限

  4. 双击“ 配置允许的应用程序 ”设置,然后将选项设置为 “已启用”。 选择“显示”。

  5. “值名称”中添加可执行文件的完整路径。 将 “值 ”设置为 0。 例如,若要允许命令提示符,请将 “值名称 ”设置为 C:\Windows\System32\cmd.exe 应设置为 0

使用 PowerShell 允许特定应用

  1. 在“开始”菜单中键入 PowerShell,右键单击“Windows PowerShell然后选择”以管理员身份运行

  2. 输入以下 cmdlet:

    Add-MpPreference -ControlledFolderAccessAllowedApplications "<the app that should be allowed, including the path>"
    

    例如,若要添加位于 C:\apps 文件夹中的可执行文件test.exe,cmdlet 将如下所示:

    Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"
    

    继续使用 Add-MpPreference -ControlledFolderAccessAllowedApplications 向列表添加更多应用。 使用此 cmdlet 添加的应用将显示在 Windows 安全中心 应用中。

    用于允许应用程序的 PowerShell cmdlet

重要

使用 Add-MpPreference 将应用追加或添加到列表。 Set-MpPreference使用 cmdlet 将覆盖现有列表。

使用 MDM CSP 允许特定应用

使用 ./Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications 配置服务提供程序 (CSP) 允许应用对受保护的文件夹进行更改。

允许已签名的可执行文件访问受保护的文件夹

Microsoft Defender for Endpoint证书和文件指示器可以允许已签名的可执行文件访问受保护的文件夹。 有关实现详细信息,请参阅 基于证书创建指示器

注意

这不适用于脚本引擎,包括 Powershell

自定义通知

有关在触发规则并阻止应用或文件时自定义通知的详细信息,请参阅在 Microsoft Defender for Endpoint 中配置警报通知

另请参阅

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区