受控文件夹访问评估
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender XDR
- Microsoft Defender 防病毒
平台
- Windows
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
受控文件夹访问权限 是一项功能,可帮助保护文档和文件不受可疑或恶意应用修改。 Windows Server 2019、Windows Server 2022、Windows 10 和 Windows 11 客户端支持受控文件夹访问。
它特别适用于帮助防范试图加密文件并将其扣为人质的 勒索软件 。
本文可帮助你评估受控文件夹访问权限。 本文介绍了如何启用审核模式,以便可以直接在组织中测试该功能。
使用审核模式衡量影响
在审核模式下启用受控文件夹访问,以查看启用后可能发生的情况的记录。 测试该功能在组织中的工作方式,以确保它不会影响业务线应用。 还可以了解在特定时间段内通常会发生多少次可疑的修改文件尝试。
若要启用审核模式,请使用以下 PowerShell cmdlet:
Set-MpPreference -EnableControlledFolderAccess AuditMode
提示
如果要完全审核受控文件夹访问在组织中的工作方式,则需要使用管理工具将此设置部署到网络 () 中的设备。 还可以使用组策略、Intune、移动设备管理 (MDM) 或Microsoft Configuration Manager来配置和部署设置,如main受控文件夹访问主题中所述。
查看 Windows 事件查看器中的受控文件夹访问事件
以下受控文件夹访问事件显示在 Windows 事件查看器 Microsoft/Windows/Windows Defender/Operational 文件夹下。
事件 ID | 描述 |
---|---|
5007 | 更改设置时的事件 |
1124 | 已审核的受控文件夹访问事件 |
1123 | 阻止的受控文件夹访问事件 |
提示
可以将 Windows 事件转发订阅 配置为集中收集日志。
自定义受保护的文件夹和应用
在评估期间,你可能希望将 添加到受保护文件夹列表,或允许某些应用修改文件。
有关使用管理工具(包括组策略、PowerShell 和 MDM 配置服务提供程序 (CSP) )配置功能,请参阅使用受控文件夹访问权限保护重要文件夹。
另请参阅
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈