受控資料夾存取 是一項功能,可協助保護您的文件和檔案免遭可疑或惡意應用程式的修改。
它對於幫助防止試圖加密您的文件並將其扣為人質的 勒索軟件 特別有用。
本文可協助您評估受控資料夾存取。 它說明如何啟用稽核模式,以便您可以直接在組織中測試該功能。
必要條件
支援的作業系統
- Windows
- Windows Server 2019 和更新版本
- Azure Stack HCI OS 版本 23H2 和更新版本
- Windows 10 或 Windows 11。
使用稽核模式來衡量影響
在稽核模式中啟用受控資料夾存取,以查看啟用時可能發生的情況的記錄。 測試此功能在您的組織中的運作方式,以確保它不會影響您的企業營運應用程式。 您還可以了解在一定時間段內通常會發生多少次可疑的修改檔案嘗試。
若要啟用稽核模式,請使用下列 PowerShell Cmdlet:
Set-MpPreference -EnableControlledFolderAccess AuditMode
注意事項
若要查看受控資料夾存取在組織中的運作方式,請使用管理工具將其部署到網路中的裝置。 您也可以使用 群組原則、Intune、行動裝置管理 (MDM) 或 Microsoft Configuration Manager 來設定和部署設定,如使用受控資料夾存取保護重要資料夾中所述。
如果您的工作流程涉及共用網路資料夾的使用,如果共用網路資料夾是由不受信任的處理程序存取,則啟用受控資料夾存取可能會導致網路效能大幅降低,特別是因為對檔案共用伺服器的許多查詢。 確保您的檔案伺服器針對增加的網路流量進行了最佳化,特別是當您使用共用網路資料夾來儲存離線檔案時。
某些類型的端點安全或資產管理軟體會將程式碼注入系統上啟動的每個程序中。 這些可能會導致受控資料夾存取不再信任已知應用程式,例如 Office 程式。 您可以使用 MDEClientAnalyzer 工具的
-cfa引數來查看受控資料夾存取偵測的原因。 如果您受到影響,請考慮為插入程式新增 防毒排除項目 ,或諮詢您的管理軟體廠商,以簽署其所有二進位檔。
檢閱 Windows 事件檢視器中的受控資料夾存取事件事件檢視器
下列受控資料夾存取事件會出現在 Windows 事件檢視器中的 Microsoft/Windows/Windows Defender/Operational 資料夾下。
| 事件識別碼 | 描述 |
|---|---|
5007 |
變更設定時的事件 |
1124 |
已稽核受控資料夾存取事件 |
1123 |
封鎖的受控資料夾存取事件 |
提示
您可以設定 Windows 事件轉送訂用帳戶 ,以集中收集記錄。
自訂受保護的資料夾和應用程式
在評估期間,您可能想要新增至受保護資料夾清單,或允許某些應用程式修改檔案。
請參閱 使用受控資料夾存取權保護重要資料夾,以使用管理工具設定功能,包括 群組原則、PowerShell 和 MDM 設定服務提供者 (CSP) 。
另請參閱
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。