共用方式為

啟用受控資料夾存取權

  • 發行項

適用於:

平台

  • Windows

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

受控資料夾存取權 可協助您保護重要資料免於遭受惡意應用程式和威脅,例如勒索軟體。 受控資料夾存取權隨附於 Windows 10、Windows 11 和 Windows Server 2019。 受控資料夾存取權也包含在適用於 Windows Server 2012R2 和 2016 的新式整合解決方案中

您可以使用下列任一方法來啟用受控資料夾存取:

  1. 選取 [平臺],選擇 [Windows 10]、[Windows 11] 和 [Windows Server],然後選取 [建立攻擊面縮小規則>] 配置檔。

  2. 為原則命名並新增描述。 選取 [下一步]

  3. 向下卷動,然後在 [ 啟用受控資料夾存取權 ] 下拉式清單中,選取一個選項,例如 [稽核模式]

    建議您先在稽核模式中啟用受控資料夾存取,以查看其在組織中的運作方式。 您可以稍後將它設定為另一個模式,例如 [已啟用]。

  4. 若要選擇性地新增應受保護的資料夾,請選取 [ 受控資料夾存取受保護的資料夾 ],然後新增資料夾。 不受信任的應用程式無法修改或刪除這些資料夾中的檔案。 請記住,您的預設系統資料夾會自動受到保護。 您可以在 Windows 裝置上的 Windows 安全性 應用程式中檢視預設系統資料夾清單。 若要深入瞭解此設定,請參閱 原則 CSP - Defender:ControlledFolderAccessProtectedFolders

  5. 若要選擇性地新增應該信任的應用程式,請選取 [ 受控資料夾存取允許的應用程式 ],然後新增應用程式可以存取受保護的資料夾。 Microsoft Defender 防病毒軟體會自動判斷應該信任哪些應用程式。 僅使用此設定來指定其他應用程式。 若要深入瞭解此設定,請參閱 原則 CSP - Defender:ControlledFolderAccessAllowedApplications

  6. 選取設定檔 [ 指派],指派給 [ 所有使用者 & 所有裝置],然後選取 [ 儲存]

  7. 取 [下一步 ] 以儲存每個開啟的刀鋒視窗,然後 選取 [建立]

注意事項

應用程式支援通配符,但資料夾則不支援。 允許的應用程式會繼續觸發事件,直到重新啟動為止。

行動裝置管理 (MDM)

使用 ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders 設定服務提供者 (CSP) ,以允許應用程式變更受保護的資料夾。

Microsoft Configuration Manager

  1. 在 Microsoft Configuration Manager 中,移至 [資產與合規性>Endpoint Protection>] [Windows Defender 惡意探索防護]

  2. 取 [首頁>建立惡意探索防護原則]

  3. 輸入名稱和描述,選取 [ 受控資料夾存取權],然後選取 [ 下一步]

  4. 選擇封鎖或稽核變更、允許其他應用程式,或新增其他資料夾,然後選取 [ 下一步]

    注意事項

    應用程式支援通配符,但資料夾不支援。 允許的應用程式會繼續觸發事件,直到重新啟動為止。

  5. 檢閱設定,然後選取 [下一步 ] 以建立原則。

  6. 建立原則之後, 請關閉

如需 Microsoft Configuration Manager 和受控資料夾存取權的詳細資訊,請流覽受控資料夾存取原則和選項

群組原則

  1. 在您的 群組原則 管理裝置上,開啟 [群組原則 管理控制台]。 以滑鼠右鍵按下您要設定的 群組原則 物件,然後選取 [編輯]

  2. [群組原則管理編輯器] 中,移至 [電腦設定] 然後選取 [系統管理範本]

  3. 將樹狀結構展開至 Windows 元件>,Microsoft Defender 防病毒軟體 > Microsoft Defender 惡意探索防護>受控資料夾存取權

  4. 按兩下 [ 設定受控資料夾存取權 ] 設定,並將選項設定為 [已啟用]。 在 options 區段中,您必須指定下列其中一個選項:

    • 啟用 - 不允許惡意和可疑的應用程式變更受保護資料夾中的檔案。 Windows 事件記錄檔中會提供通知。
    • 停用 (預設) - 受控資料夾存取功能無法運作。 所有應用程式都可以變更受保護資料夾中的檔案。
    • 稽核模式 - 如果惡意或可疑的應用程式嘗試變更受保護資料夾中的檔案,則允許變更。 不過,它會記錄在 Windows 事件記錄檔中,您可以在其中評估對組織的影響。
    • 僅封鎖磁碟修改 - 不受信任應用程式寫入磁碟扇區的嘗試將會記錄在 Windows 事件記錄檔中。 您可以在 Windows Defender >>作>識別碼 1123 > Microsoft應用程式和服務記錄>中找到這些記錄。
    • 僅稽核磁碟修改 - 只有寫入受保護磁碟扇區的嘗試才會記錄在 Windows 事件記錄檔 (的 [應用程式和服務記錄>]底下,Microsoft>Windows>Defender>作業>標識碼 1124) 。 不會記錄修改或刪除受保護資料夾中檔案的嘗試。

    此螢幕快照顯示已啟用組策略選項,並已選取 [稽核模式]。

重要事項

若要完全啟用受控資料夾存取權,您必須將 [群組原則] 選項設定為 [啟用],然後在選項下拉功能表中選取 [封鎖]。

PowerShell

  1. 在 [開始] 功能表中輸入 powershell,以滑鼠右鍵按一下 Windows PowerShell 並選取 [以系統管理員身分執行]

  2. 輸入下列 Cmdlet:

    Set-MpPreference -EnableControlledFolderAccess Enabled

    您可以藉由指定 AuditMode 而不是 Enabled,在稽核模式中啟用此功能。 使用 Disabled 關閉功能。

另請參閱

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。