共用方式為


啟用受控資料夾存取權

適用於:

平台

  • Windows

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

受控資料夾存取權 可協助您保護重要資料免於遭受惡意應用程式和威脅,例如勒索軟體。 Windows 10、Windows 11 和 Windows Server 2019 隨附受控資料夾存取權。 Windows Server 2012R2 和 2016 的新式整合解決方案也包含受控資料夾存取權。

您可以使用下列任一方法來啟用受控資料夾存取:

提示

請先嘗試使用 稽核模式 ,讓您可以查看功能的運作方式並檢閱事件,而不會影響組織中的正常裝置使用量。

注意事項

如果您針對有問題的二進位檔新增Microsoft Defender 防病毒軟體排除 (程式或路徑) ,受控資料夾存取權會信任它,而且不會封鎖進程或路徑。 停用本機系統管理員清單合併覆寫受控制資料夾存取設定的組策略設定。 它們也會覆寫本機系統管理員透過受控制資料夾存取所設定的受保護資料夾和允許的應用程式。 這些原則包含:

  • Microsoft Defender 防病毒軟體設定 清單的本機系統管理員合併行為
  • System Center Endpoint Protection 允許使用者新增排除和覆寫

如需停用本機清單合併的詳細資訊,請參閱防止或允許使用者在本機修改 Microsoft Defender 防病毒軟體原則設定。

Windows 安全性應用程式

  1. 在工作列中選取防護盾圖示,以開啟 Windows 安全性應用程式。 您也可以搜尋 Windows 安全性的 [開始] 功能表。

  2. 取 [病毒 & 威脅防護 ] 圖格 (或左側功能表欄上的防護圖示) ,然後選取 [ 勒索軟體保護]

  3. 將 [ 受控資料夾存取權] 的參數設定為 [開啟]

注意事項

  • 此方法不適用於 Windows Server 2012 R2 或 Windows Server 2016。 如果使用組策略、PowerShell 或 MDM CSP 設定受控制的資料夾存取權,則只有在重新啟動裝置之後,Windows 安全性應用程式中的狀態才會變更。 如果使用其中任一工具將此功能設定為 稽核模式 ,Windows 安全性應用程式會將狀態顯示為 [關閉]

  • 如果您要保護使用者配置檔數據,則使用者配置檔應該位於預設的 Windows 安裝磁碟驅動器上。

Microsoft Intune

  1. 登入 Microsoft Intune 系統管理中心 並開啟 端點安全性

  2. 移至 [受攻擊面縮小>原則]

  3. 選取 [平臺],選擇 [Windows 10]、[Windows 11] 和 [Windows Server],然後選取配置檔 [攻擊面縮小規則>建立]

  4. 為原則命名並新增描述。 選取 [下一步]

  5. 向下卷動,然後在 [ 啟用受控資料夾存取權 ] 下拉式清單中,選取一個選項,例如 [稽核模式]

    建議您先在稽核模式中啟用受控資料夾存取,以查看其在組織中的運作方式。 您可以稍後將它設定為另一個模式,例如 [已啟用]。

  6. 若要選擇性地新增應受保護的資料夾,請選取 [ 受控資料夾存取受保護的資料夾 ],然後新增資料夾。 不受信任的應用程式無法修改或刪除這些資料夾中的檔案。 請記住,您的預設系統資料夾會自動受到保護。 您可以在 Windows 裝置上的 Windows 安全性應用程式中檢視預設系統資料夾清單。 若要深入瞭解此設定,請參閱 原則 CSP - Defender:ControlledFolderAccessProtectedFolders

  7. 若要選擇性地新增應該信任的應用程式,請選取 [ 受控資料夾存取允許的應用程式 ],然後新增應用程式可以存取受保護的資料夾。 Microsoft Defender 防病毒軟體會自動判斷應該信任哪些應用程式。 僅使用此設定來指定其他應用程式。 若要深入瞭解此設定,請參閱 原則 CSP - Defender:ControlledFolderAccessAllowedApplications

  8. 選取設定檔 [ 指派],指派給 [ 所有使用者 & 所有裝置],然後選取 [ 儲存]

  9. 取 [下一步 ] 以儲存每個開啟的刀鋒視窗,然後 選取 [建立]

注意事項

應用程式支援通配符,但資料夾則不支援。 允許的應用程式會繼續觸發事件,直到重新啟動為止。

行動裝置管理 (MDM)

使用 ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders 設定服務提供者 (CSP) ,以允許應用程式變更受保護的資料夾。

Microsoft Configuration Manager

  1. 在 Microsoft Configuration Manager 中,移至 [資產與合規性>Endpoint Protection>] [Windows Defender 惡意探索防護]

  2. 取 [首頁>建立惡意探索防護原則]

  3. 輸入名稱和描述,選取 [ 受控資料夾存取權],然後選取 [ 下一步]

  4. 選擇封鎖或稽核變更、允許其他應用程式,或新增其他資料夾,然後選取 [ 下一步]

    注意事項

    應用程式支援通配符,但資料夾不支援。 允許的應用程式會繼續觸發事件,直到重新啟動為止。

  5. 檢閱設定,然後選取 [下一步 ] 以建立原則。

  6. 建立原則之後, 請關閉

群組原則

  1. 在您的組策略管理裝置上,開啟 組策略管理控制台,以滑鼠右鍵按下您要設定的組策略對象,然後選取 [ 編輯]

  2. [群組原則管理編輯器] 中,移至 [電腦設定] 然後選取 [系統管理範本]

  3. 將樹狀結構展開至 Windows 元件 > Microsoft Defender 防病毒軟體 > Microsoft Defender 惡意探索防護 > 受控資料夾存取權

  4. 按兩下 [ 設定受控資料夾存取權 ] 設定,並將選項設定為 [已啟用]。 在 options 區段中,您必須指定下列其中一個選項:

    • 啟用 - 不允許惡意和可疑的應用程式變更受保護資料夾中的檔案。 Windows 事件記錄檔中將會提供通知。
    • 停用 (預設) - 受控資料夾存取功能無法運作。 所有應用程式都可以變更受保護資料夾中的檔案。
    • 稽核模式 - 如果惡意或可疑的應用程式嘗試變更受保護資料夾中的檔案,則允許變更。 不過,它會記錄在 Windows 事件記錄檔中,您可以在其中評估對組織的影響。
    • 僅封鎖磁碟修改 - 不受信任應用程式寫入磁碟扇區的嘗試將會記錄在 Windows 事件記錄檔中。 您可以在 Windows Defender >> 操作>識別碼 1123 > Microsoft應用程式和服務記錄>中找到這些記錄。
    • 僅稽核磁碟修改 - 只有寫入受保護磁碟扇區的嘗試才會記錄在 Windows 事件記錄檔 (的 [應用程式和服務記錄>]底下,Microsoft>Windows>Defender>作業>標識碼 1124) 。 不會記錄修改或刪除受保護資料夾中檔案的嘗試。

    此螢幕快照顯示已啟用組策略選項,並已選取 [稽核模式]。

重要事項

若要完全啟用受控資料夾存取權,您必須將組策略選項設定為 [已啟用 ],然後在選項下拉功能表中選取 [ 封鎖 ]。

PowerShell

  1. 在 [開始] 功能表中輸入 powershell,以滑鼠右鍵按一下 Windows PowerShell 並選取 [以系統管理員身分執行]

  2. 輸入下列 Cmdlet:

    Set-MpPreference -EnableControlledFolderAccess Enabled
    

    您可以藉由指定 AuditMode 而不是 Enabled,在稽核模式中啟用此功能。 使用 Disabled 關閉功能。

另請參閱

提示

想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。