在Windows 10中配置受控文件夹访问

• 类别: 视窗

尝试消除问题的工具

选择操作系统 Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro 选择一个投影程序（可选） - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

描述您的问题

得到答案

通过电子邮件发送我 在网站上展示

受控文件夹访问是Windows 10的Fall Creators Update中引入的一项新功能，它是Windows Defender Exploit Guard的一部分。

该安全功能可保护文件免遭Windows计算机上运行的恶意代码访问，并且Microsoft专门对其进行广告宣传，以作为针对勒索软件的保护机制。

受控文件夹访问的主要思想是防止某些文件夹及其包含的文件受到未经授权的访问。可以将其视为防止操纵存储在受保护文件夹中的文件的保护层。

该功能需要Windows Defender Antivirus，并且还启用了实时保护。 减少攻击面 ，我昨天审查的另一个安全功能具有相同的要求。

该功能是Windows 10版本1709（秋季创作者更新）中引入的，并且不属于Microsoft操作系统的旧版本。

系统管理员和用户可以通过几种方式来管理“受控文件夹访问”：通过组策略和PowerShell，以及Windows Defender安全中心应用程序。

受控文件夹访问

Microsoft通过以下方式描述了“受控文件夹访问”的安全功能：

Windows Defender防病毒软件会评估所有应用程序（任何可执行文件，包括.exe，.scr，.dll文件和其他文件），然后由Windows Defender防病毒软件确定该应用程序是否恶意或安全。如果确定该应用程序是恶意软件或可疑软件，则将不允许该应用程序更改任何受保护文件夹中的任何文件。

这意味着该功能依赖Windows Defender来将进程检测为恶意程序。如果Windows Defender扫描未将进程标记为恶意或可疑，则将授予对受“受控文件夹访问”保护的文件夹的文件访问权限。

这不同于 其他反勒索软件工具 喜欢 杀手临Kickstart ， Bitdefender反勒索软件 ， 要么 WinPatrol战争 ，通常在保护重要文件和文件夹时更具主动性。

Windows Defender安全中心应用程序

Windows 10用户可以使用Windows Defender安全中心应用程序启用和管理“受控文件夹访问”。

1. 使用Windows-I打开“设置”应用程序。
2. 选择更新和安全性> Windows安全性
3. Windows安全页面打开时，选择病毒和威胁防护。
4. 当Windows安全性在新窗口中打开时，在“病毒和威胁防护设置”下选择“管理设置”。
5. 确保启用了实时保护。
6. 返回Windows安全性主页。
7. 向下滚动到“勒索软件保护”部分，然后选择“管理勒索软件保护”。
8. 在页面上切换“受控文件夹访问”以启用该功能。
9. 接受UAC提示进行更改。

当您将安全功能打开时，其下方会添加两个链接。

受保护的文件夹

当您单击链接时，将显示受“受控文件夹访问”保护的文件夹列表。 Windows Defender自动保护某些文件夹。这些是：

• 用户：文档，图片，视频，音乐，桌面，收藏夹
• 公开：文档，图片，视频，音乐，桌面

您不能删除这些默认文件夹，但是可以添加自定义文件夹位置，以便添加的文件夹也受安全功能保护。

单击“添加受保护的文件夹”以选择本地文件夹，并将其添加到受保护的文件夹列表中。

允许通过受控文件夹访问应用

此选项使您可以将应用程序列入白名单，以便这些程序可以与受保护的文件和文件夹进行交互。白名单在Windows Defender错误标记应用程序（误报）的情况下最有用。

只需单击页面上的“添加允许的应用程序”选项，然后从本地系统中选择一个可执行文件，以便允许它访问受保护的文件和文件夹。

组策略配置

您可以使用策略来管理“受控文件夹访问”功能。

注意 ：组策略仅是Windows 10专业版的一部分。家庭用户无法访问它（ 免费程序Policy Plus 不过，将其大部分添加到系统中）。

1. 点击Windows键，键入gpedit.msc，然后选择Windows内置搜索返回的项目。
2. 转到计算机配置>管理模板> Windows组件> Windows Defender防病毒> Windows Defender漏洞利用防护>受控文件夹访问。
3. 双击选择“配置受控文件夹访问”策略。
4. 将策略设置为启用。

您可以将功能设置为以下值：

• 禁用（默认）-与未配置相同。受控文件夹访问未激活。
• 启用-受控文件夹访问处于活动状态，并保护文件夹及其包含的文件。
• 审核模式-该功能创建的事件将写入Windows事件日志，但不会阻止访问。

还有两个其他策略可用于自定义功能：

• 配置允许的应用程序 -启用此策略可将程序添加到白名单。
• 配置受保护的文件夹 -启用此策略可以添加您希望安全功能包含在其保护中的自定义文件夹。

PowerShell命令

您可以使用PowerShell启用和配置“受控文件夹访问”。

1. 点击Windows键，键入PowerShell，按住Ctrl键和Shift键，然后选择PowerShell搜索结果。这将打开提升的PowerShell命令提示符。

要更改功能的状态，请运行以下命令：Set-MpPreference -EnableControlledFolderAccess Enabled

这将启用使用PowerShell的“受控文件夹访问”。您可以将状态设置为启用，禁用或AuditMode。

要将文件夹添加到受保护的文件夹列表，请运行以下命令：Add-MpPreference -ControlledFolderAccessProtectedFolders''

这会将所选文件夹添加到受保护文件夹列表中。

要将应用程序列入白名单，请运行以下命令：Add-MpPreference -ControlledFolderAccessAllowedApplications''

这会将所选程序添加到允许的进程列表中，以使它在尝试访问受其保护的文件夹时不会被安全功能阻止。

受控文件夹访问事件

Windows会在设置更改时创建事件，并在事件触发时以审核和阻止模式创建事件。

1. 从Microsoft下载Exploit Guard评估包，然后将其解压缩到本地系统。
2. 点击Windows键，键入Event Viewer，然后在搜索结果中选择Windows Event Viewer。
3. 当“事件查看器”窗口打开时，选择“操作”>“导入自定义视图”。
4. 选择提取的文件cfa-events-xml，将其添加为自定义视图。
5. 在下一个屏幕上单击确定。

自定义视图显示以下事件：

• 事件1123-阻止的事件
• 事件1124-审核模式事件
• 事件5007-设置更改事件

资源资源

• 通过受控文件夹访问保护重要文件夹
• 启用受控文件夹访问
• 自定义受控文件夹访问
• 评估受控文件夹访问
• Windows Defender漏洞利用防护
• Set-MpPreference文档
• Add-MpPreference文档
• Get-MpPreference文档