适用于：

• Microsoft Defender for Endpoint 计划 1

• Microsoft Defender for Endpoint 计划 2

• Microsoft Defender XDR

• Microsoft Defender 防病毒

适用对象

• Windows

希望体验 Defender for Endpoint？ 注册免费试用版。

受控的文件夹访问有助于保护有价值的数据免受恶意应用和威胁（如勒索软件）的侵害。 受控文件夹访问通过检查应用是否存在已知的受信任应用列表来保护数据。 受 Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022、Windows 10和Windows 11客户端支持，可以使用 Windows 安全中心 应用启用受控文件夹访问，Microsoft 终结点) 托管设备的Configuration Manager或 Intune (。

受控文件夹访问最适用于 Microsoft Defender for Endpoint，它提供对受控文件夹访问事件和块的详细报告，作为常见警报调查方案的一部分。

受控文件夹访问权限的工作原理是仅允许受信任的应用访问受保护的文件夹。 配置受控文件夹访问权限时指定受保护的文件夹。 通常，常用文件夹（如用于文档、图片、下载等的文件夹）包含在受控文件夹列表中。

受控文件夹访问权限适用于受信任的应用列表。 受信任软件列表中包含的应用按预期工作。 列表中未包含的应用无法对受保护文件夹内的文件进行任何更改。

应用会根据其普及率和信誉添加到列表中。 在整个组织中非常普遍且从未显示任何被视为恶意行为的应用被视为可信。 这些应用会自动添加到列表中。

还可以使用 Configuration Manager 或 Intune 手动将应用添加到受信任的列表中。 可以从 Microsoft Defender 门户执行其他操作。

受控文件夹访问权限在帮助保护文档和信息免受 勒索软件攻击方面特别有用。 在勒索软件攻击中，文件可能会加密并被扣为人质。 在受控文件夹访问到位后，应用尝试对受保护文件夹中的文件进行更改的计算机上会显示通知。 你可以使用公司的详细信息和联系人信息自定义通知。 还可以单独启用规则以自定义功能所监视的技术。

受保护的文件夹包括常见系统文件夹 (包括启动扇区) ，你可以添加更多文件夹。 还可以 允许应用 授予它们对受保护文件夹的访问权限。

可以使用 审核模式 评估受控文件夹访问在启用后对组织的影响。

以下版本的 Windows 支持受控文件夹访问：

• Windows 10版本 1709 及更高版本

• Windows 11

• Windows 2012 R2

• Windows 2016

• Windows Server 2019

• Windows Server 2022

默认情况下，Windows 系统文件夹和其他几个文件夹一起受到保护：

受保护的文件夹包括常见系统文件夹 (包括启动扇区) ，你可以添加其他文件夹。 还可以允许应用授予它们对受保护文件夹的访问权限。 默认保护的 Windows 系统文件夹包括：

• c:\Users\<username>\Documents

• c:\Users\Public\Documents

• c:\Users\<username>\Pictures

• c:\Users\Public\Pictures

• c:\Users\Public\Videos

• c:\Users\<username>\Videos

• c:\Users\<username>\Music

• c:\Users\Public\Music

• c:\Users\<username>\Favorites

默认文件夹显示在用户的配置文件中， 位于“此电脑”下。

受控文件夹访问需要启用Microsoft Defender防病毒实时保护。

Defender for Endpoint 在 Microsoft Defender 门户中提供事件和块的详细报告，作为警报调查方案的一部分;请参阅 Microsoft Defender XDR 中的Microsoft Defender for Endpoint。

可以使用高级搜寻查询Microsoft Defender for Endpoint数据。 如果使用 审核模式，则可以使用 高级搜寻 来了解受控制的文件夹访问设置在启用后对环境的影响。

示例查询：

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

你可以查看 Windows 事件日志，查看在受控文件夹访问阻止 (或) 应用审核时创建的事件：

1. 下载 评估包 并将文件 cfa-events.xml 提取到设备上易于访问的位置。

2. 在“开始”菜单中键入“事件查看器”以打开 Windows 事件查看器。

3. 在左侧面板的 “操作”下，选择“ 导入自定义视图...”。

4. 导航到提取 cfa-events.xml 的位置并选择它。 或者， 直接复制 XML。

5. 选择“确定”。

下表显示了与受控文件夹访问相关的事件：

可以使用 Windows 安全中心 应用查看受受控文件夹访问权限保护的文件夹列表。

1. 在Windows 10或Windows 11设备上，打开Windows 安全中心应用。

2. 选择“病毒和威胁防护”。

3. 在 “勒索软件防护”下，选择“ 管理勒索软件防护”。

4. 如果已关闭受控文件夹访问，则需要将其打开。 选择 受保护的文件夹。

5. 请按照以下步骤之一操作：

• 若要添加文件夹，请选择“ + 添加受保护的文件夹”。

• 若要删除文件夹，请选择该文件夹，然后选择“ 删除”。