野花视频在线官网免费1 ,毛片免费观看,婷婷资源综合

[點晴永久免費OA]Windows系統安全中心使用受控文件夾訪問保護重要文件不被勒索病毒破壞

當前位置：點晴教程→點晴OA辦公管理信息系統 →『經驗分享&問題答疑』

admin

2024年4月17日 16:45 本文熱度 1008

適用于：

Microsoft Defender for Endpoint 計劃 1
Microsoft Defender for Endpoint 計劃 2
Microsoft Defender XDR
Microsoft Defender 防病毒

適用對象

Windows

希望體驗 Defender for Endpoint？注冊免費試用版。

什么是受控文件夾訪問權限？

受控的文件夾訪問有助于保護有價值的數據免受惡意應用和威脅（如勒索軟件）的侵害。受控文件夾訪問通過檢查應用是否存在已知的受信任應用列表來保護數據。支持 Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022、Windows 10 和 Windows 11 客戶端，可以使用 Windows 安全中心應用啟用受控文件夾訪問，Microsoft 終結點托管設備 Configuration Manager或Intune。

備注

腳本引擎不受信任，你不能允許它們訪問受控的受保護文件夾。例如，即使允許使用證書和文件指示器，受控文件夾訪問也不信任 PowerShell。

受控文件夾訪問最適用于 Microsoft Defender for Endpoint，它提供對受控文件夾訪問事件和塊的詳細報告，作為常見警報調查方案的一部分。

提示

受控文件夾訪問塊不會在警報隊列中生成警報。但是，可以在設備時間線視圖中查看有關受控文件夾訪問塊的信息，同時使用高級搜尋或使用自定義檢測規則。

受控文件夾訪問如何工作？

受控文件夾訪問權限的工作原理是僅允許受信任的應用訪問受保護的文件夾。配置受控文件夾訪問權限時指定受保護的文件夾。通常，常用文件夾（如用于文檔、圖片、下載等的文件夾）包含在受控文件夾列表中。

受控文件夾訪問權限適用于受信任的應用列表。受信任軟件列表中包含的應用按預期工作。列表中未包含的應用無法對受保護文件夾內的文件進行任何更改。

應用會根據其普及率和信譽添加到列表中。在整個組織中非常普遍且從未顯示任何被視為惡意行為的應用被視為可信。這些應用會自動添加到列表中。

還可以使用 Configuration Manager 或 Intune 手動將應用添加到受信任列表。可以從 Microsoft Defender 門戶執行其他操作。

為什么受控文件夾訪問很重要

受控文件夾訪問權限在幫助保護文檔和信息免受勒索軟件攻擊方面特別有用。在勒索軟件攻擊中，文件可能會加密并被扣為人質。在受控文件夾訪問到位后，應用嘗試對受保護文件夾中的文件進行更改的計算機上會顯示通知。你可以使用公司的詳細信息和聯系人信息自定義通知。還可以單獨啟用規則以自定義功能所監視的技術。

受保護的文件夾包括常見系統文件夾 (包括啟動扇區) ，你可以添加更多文件夾。還可以允許應用授予它們對受保護文件夾的訪問權限。

可以使用審核模式評估受控文件夾訪問在啟用后對組織的影響。

以下版本的 Windows 支持受控文件夾訪問：

Windows 10版本 1709 及更高版本
Windows 11
Windows 2012 R2
Windows 2016
Windows Server 2019
Windows Server 2022

默認情況下，Windows 系統文件夾受到保護

默認情況下，Windows 系統文件夾和其他幾個文件夾一起受到保護：

受保護的文件夾包括常見系統文件夾 (包括啟動扇區) ，你可以添加其他文件夾。還可以允許應用授予它們對受保護文件夾的訪問權限。默認保護的 Windows 系統文件夾包括：

c:\Users\<username>\Documents
c:\Users\Public\Documents
c:\Users\<username>\Pictures
c:\Users\Public\Pictures
c:\Users\Public\Videos
c:\Users\<username>\Videos
c:\Users\<username>\Music
c:\Users\Public\Music
c:\Users\<username>\Favorites

默認文件夾顯示在用戶的配置文件中，位于“此電腦”下。

備注

可以將其他文件夾配置為受保護的文件夾，但不能刪除默認受保護的 Windows 系統文件夾。

受控文件夾訪問權限的要求

受控文件夾訪問需要啟用Microsoft Defender防病毒實時保護。

在Microsoft Defender門戶中查看受控文件夾訪問事件

Defender for Endpoint 在 Microsoft Defender 門戶中提供事件和塊的詳細報告，作為警報調查方案的一部分;請參閱 Microsoft Defender XDR 中的 Microsoft Defender for Endpoint。

可以使用高級搜尋查詢Microsoft Defender for Endpoint數據。如果使用審核模式，則可以使用高級搜尋來了解受控制的文件夾訪問設置在啟用后對環境的影響。

示例查詢：

PowerShell
DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

查看 Windows 事件查看器中的受控文件夾訪問事件

你可以查看 Windows 事件日志，查看在受控文件夾訪問阻止 (或) 應用審核時創建的事件：

下載評估包并將文件 cfa-events.xml 提取到設備上易于訪問的位置。
在“開始”菜單中鍵入“事件查看器”以打開 Windows 事件查看器。
在左側面板的 “操作”下，選擇“ 導入自定義視圖...”。
導航到提取 cfa-events.xml 的位置并選擇它。或者，直接復制 XML。
選擇“確定”。

下表顯示了與受控文件夾訪問相關的事件：

事件 ID	描述
5007	更改設置時的事件
1124	已審核的受控文件夾訪問事件
1123	阻止的受控文件夾訪問事件
1127	阻止的受控文件夾訪問扇區寫入阻止事件
1128	審核的受控文件夾訪問扇區寫入阻止事件