使用受控資料夾存取權保護重要的資料夾

什麼是受控資料夾存取？

受控資料夾存取有助於保護您的寶貴資料免受惡意應用程式和威脅（例如勒索軟體）的侵害。 受控資料夾存取權可根據已知、受信任的應用程式清單檢查應用程式，以保護您的資料。 您可以使用適用於端點的 Microsoft Defender 安全性設定管理、Microsoft Intune、Microsoft Endpoint Configuration Manager 或 Windows 安全性應用程式來設定受控資料夾存取。

受控資料夾存取最適合適用於端點的 Microsoft Defender，可讓您詳細報告受控資料夾存取事件和封鎖，作為一般警示調查案例的一部分。

必要條件

受控資料夾存取需要：

• Microsoft Defender 防病毒軟件 成為主要防病毒軟件 (活動模式) 。

• Real-Time RTP) (保護需要開啟。

支援的作業系統

• Windows
• Windows 11
• Windows 10
• Azure Stack HCI OS 版本 23H2 和更新版本。
• Windows Server 2016 和更新版本
• Windows Server 2012 R2

受控資料夾存取如何運作？

受控資料夾存取的工作原理是僅允許受信任的應用程式存取受保護的資料夾。 受保護的資料夾是在設定受控資料夾存取時指定的。 一般而言，常用的資料夾 （例如用於文件、圖片、下載等的資料夾） 會包含在受控資料夾清單中。

受控資料夾存取適用於受信任的應用程式清單。 包含在受信任軟體清單中的應用程式會如預期般運作。 清單中未包含的應用程式無法對受保護資料夾內的檔案進行任何變更。

應用程式會根據其流行程度和聲譽添加到清單中。 在整個組織中非常普遍且從未顯示任何被視為惡意行為的應用程式被視為值得信任。 這些應用程式會自動新增至清單。

您也可以使用 Configuration Manager 或 Intune 手動將應用程式新增至信任的清單。 您可以在 Microsoft Defender 入口網站中執行其他動作。

為什麼受控資料夾存取很重要

受控資料夾存取對於幫助保護您的文件和資訊免受 勒索軟體的侵害特別有用。 在勒索軟體攻擊中，您的檔案可能會被加密並扣為人質。 在受控資料夾存取到位後，應用程式嘗試變更受保護資料夾中的檔案的電腦上會出現通知。 您可以使用公司詳細資料和連絡資訊自訂通知。 您也可以個別啟用規則，以自訂功能要監視的技術。

受保護的資料夾包括常見的系統資料夾 (包括) 的引導扇區，您可以新增更多資料夾。 您也可以 允許應用程式 授予他們存取受保護資料夾的權限。

您可以使用 稽核模式 來評估受控資料夾存取在啟用後會如何影響您的組織。

Windows系統資料夾預設受保護

Windows 系統資料夾預設會受到保護，以及其他幾個資料夾：

受保護的資料夾包括常見的系統資料夾 (包括) 的引導扇區，您可以新增其他資料夾。 您也可以允許應用程式授予他們存取受保護資料夾的權限。 預設受保護的 Windows 系統資料夾包括：

• c:\Users\<username>\Documents
• c:\Users\Public\Documents
• c:\Users\<username>\Pictures
• c:\Users\Public\Pictures
• c:\Users\Public\Videos
• c:\Users\<username>\Videos
• c:\Users\<username>\Music
• c:\Users\Public\Music
• c:\Users\<username>\Favorites

預設資料夾會出現在使用者配置檔中的 [ 此電腦] 底下，如下圖所示：

相同的設定檔資料夾也會針對系統帳戶受到保護，例如 LocalService、 、 NetworkServicesystemprofile等。 例如， C:\Windows\System32\config\systemprofile\Documents 如果存在) ，也會受到保護 (。

檢閱 Microsoft Defender 入口網站中的受控資料夾存取事件

適用於端點的 Defender 會在 Microsoft Defender 入口網站中提供事件和區塊的詳細報告，作為其警示調查案例的一部分。 如需詳細資訊，請參閱 適用於端點的 Microsoft Defender 全面偵測回應中的 Microsoft Defender 全面偵測回應。

您可以使用進階搜捕來查詢適用於端點的 Microsoft Defender 數據。 如果您使用 稽核模式，您可以使用 進階搜捕 來查看受控資料夾存取設定在啟用時會如何影響您的環境。

例如查詢：

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

檢閱 Windows 事件檢視器中的受控資料夾存取事件事件檢視器

您可以檢閱 Windows 事件記錄檔，以查看受控資料夾存取封鎖 (或稽核應用程式時所建立) 事件：

1. 下載 評估包 並將檔案 cfa-events.xml 解壓縮到裝置上易於存取的位置。

2. 在 [開始] 功能表中鍵入 [事件檢視器] 以開啟 Windows 事件檢視器。

3. 在左側面板的 動作 下，選取 匯入自訂檢視...。

4. 導覽至您擷取 cfa-events.xml 的位置，然後選取它。 或者， 直接複製 XML。

5. 選取 [確定]。

   下表顯示與受控資料夾存取相關的事件：

   事件識別碼	描述
   5007	變更設定時的事件
   1124	已稽核受控資料夾存取事件
   1123	封鎖的受控資料夾存取事件
   1127	封鎖的受控資料夾存取磁區寫入封鎖事件
   1128	稽核受控資料夾存取磁區寫入封鎖事件

受控資料夾存取體驗

使用者嘗試安裝觸發受控資料夾存取的應用程式，如果軟體或應用程式具有未知的信譽，快顯通知會向使用者顯示下列內容：

Virus & threat protection
Unauthorized changes blocked
Controlled folder access blocked C:\...
\ApplicationName... from making changes to memory.

在保護歷史記錄中，您將看到：

Protected memory access blocked
MM/DD/YEAR HH:MM AM/PM

檢視或變更受保護資料夾的清單

您可以使用 Windows 安全性應用程式來檢視受受控制資料夾存取保護的資料夾清單。

1. 在您的 Windows 10 或 Windows 11 裝置上，開啟 Windows 安全性應用程式。

2. 選取 [病毒與威脅防護]。

3. 在 [勒索軟體保護] 底下，選取 [管理勒索軟體保護]。

4. 如果已關閉受控資料夾存取，您必須將其開啟。 選取 受保護的資料夾。

5. 請執行下列任一步驟：

   • 若要新增資料夾，請選取 [+ 新增受保護的資料夾]。
   • 若要移除資料夾，請選取它，然後選取 [移除]。

   重要事項

   請勿將本機共用路徑 (回送) 為受保護的資料夾。 請改用本機路徑。 例如，如果您已共用 C:\demo 為 \\mycomputer\demo，請勿新增至 \\mycomputer\demo 受保護資料夾清單。 相反，添加 C:\demo.

Windows 系統資料夾 預設受保護，您無法將其從清單中刪除。 當您將新資料夾新增至清單時，子資料夾也會包含在保護中。