共用方式為

啟用受控資料夾存取權

  • 適用於: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender Antivirus

受控的資料夾存取 幫助你保護有價值的資料,防範惡意應用程式和威脅,例如勒索軟體。 Windows 10、Windows 11 及 Windows Server 2019 包含受控資料夾存取功能。 受控資料夾存取功能也包含在現代統一的 Windows Server 2012R2 與 2016 解決方案中。

您可以使用以下任一方法來啟用受控資料夾存取:

提示

如果你使用 資料遺失防護 (DLP) ,排除功能就無法運作。 請採取以下步驟進行調查:

  1. 下載並安裝 Defender for Endpoint 用戶端分析器
  2. 至少追蹤五分鐘。
  3. 在產生的MDEClientAnalyzerResult.zip輸出檔案中,擷取資料夾內容EventLogs,並在可用的.evtx日誌檔案中搜尋 的DLP EA實例。

必要條件

支援的作業系統

Windows:

  1. 在 Microsoft Intune 管理中心https://intune.microsoft.com,請前往「端點安全>管理>攻擊面減少」。 或者,直接進入 端點安全 |攻擊面減少 頁面,請使用 https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/asr

  2. 端點安全 |攻擊面縮小頁面,選擇建立政策

  3. 在開啟的 「建立設定檔 」飛出視窗中,請設定以下設定:

    • 平台:選擇 視窗
    • 設定檔:選擇 攻擊面減少規則

    選取 [建立]

  4. 建立 政策 精靈會打開。 在 基礎 標籤中,請設定以下設定:

    • 名稱:輸入原則的唯一描述性名稱。
    • 描述:輸入選擇性描述。

    選取 [下一步]

  5. 設定 標籤中,往下滑到 啟用受控資料夾存取 區塊,並設定以下設定:

    • 在顯示 「未設定」的選項中,選擇 稽核模式

      我們建議先在稽核模式下啟用受控資料夾存取,看看它在你組織中的運作方式。 你可以之後再設定成其他模式,例如 啟用

    • 受控資料夾存取受保護資料夾:可選擇新增受保護的資料夾。 這些資料夾中的檔案無法被不受信任的應用程式修改或刪除。 預設系統資料夾會自動受到保護。 你可以在 Windows 裝置的 Windows 安全性應用程式中查看預設系統資料夾清單。 欲了解更多此設定,請參閱 政策CSP - Defender:ControlledFolderAccessProtectedFolders

    • 允許受控資料夾存取的應用程式:可選擇性地新增可信任存取受保護資料夾的應用程式。 Microsoft Defender 防毒軟體會自動判斷哪些應用程式是受信任的。 只用這個設定來指定更多應用程式。 欲了解更多此設定,請參閱 政策CSP - Defender:ControlledFolderAccessAllowedApplications

    完成 設定 標籤後,選擇 「下一步」。

  6. 範圍標籤 標籤中,預設選擇了名為 Default 的範圍標籤,但你可以移除它並選擇其他現有範圍標籤。 完成時,按 [下一步]

  7. 分配 標籤中,點選方塊,選擇 「所有使用者」,再點一次,然後選擇 「選擇所有裝置」。 確認目標 類型 值同時為 包含 ,然後選擇 下一步

  8. 「評論+建立 」標籤中,確認設定,然後選擇 儲存

注意事項

應用程式支援萬用字元,但不支援資料夾。 允許的應用程式會持續觸發事件直到重新啟動。

行動裝置管理 (MDM)

使用 ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders 的 CSP () 的設定服務提供者,讓應用程式能對受保護的資料夾進行變更。

Microsoft Configuration Manager

  1. 在 Microsoft Configuration Manager 中,請前往Windows Defender Exploit Guard資產與合規>端點保護>。

  2. 選擇 「建立>漏洞防護政策」。

  3. 輸入名稱和描述,選擇 受控資料夾存取,然後選擇 下一步

  4. 選擇是否封鎖或審核變更、允許其他應用程式或新增其他資料夾,然後選擇 「下一步」。

    注意事項

    應用程式支援萬用碼,但不支援資料夾。 允許的應用程式會持續觸發事件直到重新啟動。

  5. 檢視設定後選擇 「下一步 」來建立政策。

  6. 在保單建立後, 關閉

欲了解更多關於 Microsoft Configuration Manager 與受控資料夾存取的資訊,請造訪受控資料夾存取政策與選項

群組原則

  1. 在你的群組原則管理裝置上,打開群組原則管理主控台。 右鍵點擊你想設定的群組原則物件,然後選擇編輯

  2. [群組原則管理編輯器] 中,移至 [電腦設定] 然後選取 [系統管理範本]

  3. 將樹擴展為 Windows 元件>、Microsoft Defender 防毒>軟體、Microsoft Defender Exploit Guard > 控制資料夾存取。

  4. 雙擊「 設定受控資料夾存取 」設定,並將選項設為 啟用。 在選項區,您必須指定以下選項之一:

    • 啟用 - 惡意且可疑的應用程式不得更改受保護資料夾中的檔案。 Windows 事件日誌中會提供通知。
    • 停用 (預設) - 受控資料夾存取功能無法運作。 所有應用程式都能對受保護資料夾中的檔案進行修改。
    • 審計模式 - 若惡意或可疑應用程式嘗試更改受保護資料夾中的檔案,允許進行變更。 不過,這些紀錄會記錄在 Windows 事件日誌中,讓你能評估對組織的影響。
    • 僅區塊磁碟修改 - 不受信任的應用程式嘗試寫入磁碟扇區時,會記錄在 Windows 事件日誌中。 這些日誌可在 應用程式與服務日誌> 中找到,Microsoft > Windows > Defender > 操作 > 識別碼為 1123。
    • 僅審核磁碟修改 - 僅嘗試寫入受保護磁碟扇區的行為會記錄在 Windows 事件日誌 (應用程式與服務日誌Microsoft>>Windows>Defender>操作>識別碼 1124) 。 修改或刪除受保護資料夾檔案的嘗試不會被記錄。

    截圖顯示群組政策選項已啟用,且已選擇審核模式。

重要事項

要完全啟用受控資料夾存取,您必須將群組原則選項設為啟用,並在下拉選單中選擇封鎖

PowerShell

  1. 在 [開始] 功能表中輸入 powershell,以滑鼠右鍵按一下 Windows PowerShell 並選取 [以系統管理員身分執行]

  2. 執行下列命令:

    Set-MpPreference -EnableControlledFolderAccess Enabled

    你可以在稽核模式下啟用此功能,方法是指定 AuditModeEnabled。 用 Disabled 來關閉這個功能。

如需詳細語法與參數資訊,請參閱 EnableControlledFolderAccess

另請參閱

提示

想要深入了解? Engage 與 Microsoft Security 社群互動,加入我們的技術社群:適用於端點的 Microsoft Defender Defender 技術社群

  • Last updated on