共用方式為

使用受控資料夾存取權保護重要的資料夾

  • 適用於: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

什麼是受控資料夾存取?

受控的資料夾存取有助於保護您珍貴的資料免受惡意應用程式與威脅,如勒索軟體。 受控資料夾存取透過與已知且受信任的應用程式清單進行比對,保護你的資料。 可透過適用於端點的 Microsoft Defender安全設定管理、Microsoft Intune、Microsoft端點Configuration Manager或Windows 安全性應用程式來設定受控資料夾存取。

受控資料夾存取在 適用於端點的 Microsoft Defender 上運作最佳,該版本能詳細回報受控資料夾存取事件與阻擋,作為常見警示調查情境的一部分。

提示

受控資料夾存取區塊不會在 警報佇列中產生警報。 不過,你可以在裝置時間軸視圖中查看受控資料夾存取區塊的資訊,使用進階搜尋或自訂偵測規則

必要條件

受控資料夾存取需要:

支援的作業系統

  • Windows
  • Windows 11
  • Windows 10
  • Azure Stack HCI OS,版本 23H2 及以後。
  • Windows Server 2016 及更新版本
  • Windows Server 2012 R2

受控資料夾存取是如何運作的?

受控資料夾存取的運作方式是只允許受信任的應用程式存取受保護的資料夾。 受保護資料夾是在設定受控資料夾存取時指定的。 通常,常用的資料夾,例如用於文件、圖片、下載等的資料夾,會被納入受控資料夾清單。

受控資料夾存取是透過一份可信應用程式清單來運作的。 被列入受信任軟體清單的應用程式都能正常運作。 未包含在清單中的應用程式將被禁止對受保護資料夾內的檔案進行任何變更。

應用程式會根據其盛行率和聲譽被加入名單。 在你組織中非常普遍且從未出現任何被視為惡意行為的應用程式,被視為值得信賴。 這些應用程式會自動加入清單。

應用程式也可以透過 Configuration Manager 或 Intune 手動加入受信任清單。 其他操作則可在 Microsoft Defender 入口網站中執行。

為什麼受控資料夾存取很重要

受控資料夾存取對於保護您的文件和資訊免受 勒索軟體侵害特別有用。 在勒索軟體攻擊中,你的檔案可能會被加密並挾持。 在控制資料夾存取的情況下,電腦上會跳出通知,表示應用程式嘗試修改受保護資料夾中的檔案。 您可以使用公司詳細資料和連絡資訊自訂通知。 您也可以個別啟用規則,以自訂功能要監視的技術。

受保護的資料夾包含常見的系統資料夾 (開機扇區) ,你也可以新增更多資料夾。 你也可以 允許應用程式 存取受保護的資料夾。

您可以使用 稽核模式 評估若啟用受控資料夾存取,對組織的影響。

Windows 系統資料夾預設是受保護的

Windows 系統資料夾預設會受到保護,還有其他幾個資料夾:

受保護的資料夾包含常見的系統資料夾 (包括開機扇區) ,並且你可以新增其他資料夾。 你也可以允許應用程式存取受保護的資料夾。 預設受保護的 Windows 系統資料夾有:

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

預設資料夾會出現在使用者個人檔案中,位於 「此電腦」下方,如下圖所示:

受保護的 Windows 預設系統資料夾

相同的個人檔案資料夾也會被保護給系統帳號,例如 LocalServiceNetworkServicesystemprofile、 等等。 例如, C:\Windows\System32\config\systemprofile\Documents 如果存在) ,也 (受到保護。

注意事項

你可以將更多資料夾設定為受保護,但無法移除預設受保護的 Windows 系統資料夾。

注意事項

像 PowerShell 這樣的腳本引擎,即使你用 憑證和檔案指示器建立「允許」指示器,也不受受控資料夾存取的信任。 允許腳本引擎修改受保護資料夾的唯一方法是將它們加入為允許的應用程式。 請參見 「允許特定應用程式更改受控資料夾」。

檢視 Microsoft Defender 入口網站中的受控資料夾存取事件

提示

受控資料夾存取區塊不會在 警報佇列中產生警報。 不過,你可以在裝置時間軸視圖中查看受控資料夾存取區塊的資訊,使用進階搜尋或自訂偵測規則

Defender for Endpoint 在其 Microsoft Defender 入口網站的警示調查情境中,提供事件與封鎖的詳細報告。 更多資訊請參閱Microsoft Defender 全面偵測回應年適用於端點的 Microsoft Defender

您可以使用 Advanced Hunting 查詢 適用於端點的 Microsoft Defender 資料。 如果你使用 審計模式,可以用 進階搜尋 來查看如果啟用受控資料夾存取設定,會如何影響環境。

例如查詢:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

檢視 Windows 事件檢視器中的受控資料夾存取事件

你可以查看 Windows 事件日誌,看看當受控資料夾存取阻擋 (或審核) 應用程式時所產生的事件:

  1. 下載評估套件,並將檔案 cfa-events.xml 解壓到裝置上易於存取的位置。

  2. 在開始選單輸入「Event viewer」即可開啟 Windows 事件檢視器。

  3. 在左側面板的 動作中,選擇 匯入自訂視圖...

  4. 導向你提取 cfa-events.xml 的地方並選擇它。 或者,直接 複製 XML 檔案。

  5. 選取 [確定]

    下表顯示與受控資料夾存取相關的事件:

    事件識別碼 描述
    5007 變更設定時的事件
    1124 經審核的受控資料夾存取事件
    1123 被封鎖的受控資料夾存取事件
    1127 阻塞的受控資料夾存取扇區寫入阻塞事件
    1128 經審核的受控資料夾存取扇區寫入區塊事件

受控資料夾存取體驗

使用者嘗試安裝觸發受控資料夾存取的應用程式,若該軟體或應用程式聲譽不明,會以吐司通知顯示以下訊息:

Virus & threat protection
Unauthorized changes blocked
Controlled folder access blocked C:\...
\ApplicationName... from making changes to memory.

在保護歷史中,你會看到:

Protected memory access blocked
MM/DD/YEAR HH:MM AM/PM

檢視或更改受保護資料夾清單

你可以使用 Windows 安全性應用程式查看受控資料夾存取保護的資料夾清單。

  1. 在您的 Windows 10 或 Windows 11 裝置上,開啟 Windows 安全性應用程式。

  2. 選取 [病毒與威脅防護]

  3. 在勒索 軟體防護中,選擇 管理勒索軟體防護

  4. 如果控制資料夾存取被關閉,你需要重新開啟它。 選擇 受保護的資料夾

  5. 請執行下列任一步驟:

    • 要新增資料夾,請選擇 + 新增受保護資料夾
    • 要移除資料夾,先選取它,然後選擇 移除

    重要事項

    不要把本地分享路徑 (迴圈) 當作受保護資料夾。 改用當地小徑吧。 例如,如果你有以 s(s) 共享 C:\demo\\mycomputer\demo請不要將資料夾加入 \\mycomputer\demo 受保護資料夾清單。 相反地,加入 C:\demo

Windows 系統資料夾 預設是受保護的,你無法將它們從清單中移除。 新增資料夾時,子資料夾也會包含在保護範圍內。

  • Last updated on