評估受控資料夾存取權
適用於:
- 適用於端點的 Microsoft Defender 方案 1
- 適用於端點的 Microsoft Defender 方案 2
- Microsoft Defender XDR
- Microsoft Defender 防毒軟體
平台
- Windows
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
受控資料夾存取 權是一項功能,可協助保護您的檔案和檔案不受可疑或惡意應用程式修改。 Windows Server 2022、Windows Server 2019 和執行 Windows 10 或 Windows 11 的用戶端裝置支援受控資料夾存取。
它特別有助於防止勒 索軟體 嘗試加密您的檔案,並將其保存在惡意中。
本文可協助您評估受控資料夾存取權。 其中說明如何啟用稽核模式,讓您可以直接在組織中測試此功能。
使用稽核模式來測量影響
在稽核模式中啟用受控資料夾存取,以查看啟用時可能發生之情況的記錄。 測試功能在組織中的運作方式,以確保它不會影響您的企業營運應用程式。 您也可以瞭解在一段時間內通常會發生多少可疑的檔案修改嘗試。
若要啟用稽核模式,請使用下列 PowerShell Cmdlet:
Set-MpPreference -EnableControlledFolderAccess AuditMode
注意事項
若要查看受控資料夾存取在組織中的運作方式,請使用管理工具將它部署到您網路中的裝置。 您也可以使用組策略、Intune、行動裝置管理 (MDM) ,或Microsoft Configuration Manager 來設定和部署設定,如 保護具有受控制資料夾存取權的重要資料夾中所述。
如果您的工作流程涉及共用網路資料夾的使用,啟用受控資料夾存取可能會大幅降低網路效能,如果共用網路資料夾是由不受信任的程式存取,特別是因為檔案共享伺服器有許多查詢。 請確定您的檔案伺服器已針對增加的網路流量優化,特別是當您針對離線檔案使用共用網路資料夾時。
某些類型的端點安全性或資產管理軟體會將程式代碼插入系統上啟動的每個進程。 這些可能會導致受控資料夾存取不再信任已知的應用程式,例如 Office 程式。 您可以使用 MDEClientAnalyzer 工具的
-cfa
自變數來查看受控資料夾存取偵測的原因。 如果您受到影響,請考慮為插入程式新增 防病毒軟體排除 專案,或洽詢管理軟體廠商以簽署其所有二進位檔。
在 Windows 事件查看器中檢閱受控制的資料夾存取事件
下列受控資料夾存取事件會出現在 Windows 事件查看器中Microsoft/Windows/Windows Defender/Operational 資料夾底下。
事件識別碼 | 描述 |
---|---|
5007 |
變更設定時的事件 |
1124 |
稽核的受控資料夾存取事件 |
1123 |
封鎖的受控資料夾存取事件 |
提示
您可以設定 Windows 事件轉送訂 用帳戶,以集中收集記錄。
自定義受保護的資料夾和應用程式
在評估期間,您可能會想要將 新增至受保護的資料夾清單,或允許特定應用程式修改檔案。
請參閱 使用受控資料夾存取權保護重要資料夾 ,以使用管理工具來設定功能,包括組策略、PowerShell 和 MDM 設定服務提供者, (CSP) 。
另請參閱
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。