适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR
• Microsoft Defender 防病毒

平台

• Windows

受控文件夹访问权限有助于保护有价值的数据免受恶意应用和威胁（如勒索软件）的侵害。 Windows Server 2019、Windows Server 2022、Windows 10 和 Windows 11 客户端支持受控文件夹访问。

本文介绍如何自定义受控文件夹访问权限功能，并包含以下部分：

• 保护其他文件夹
• 添加应允许访问受保护文件夹的应用
• 允许已签名的可执行文件访问受保护的文件夹
• 自定义通知

受控文件夹访问权限适用于许多系统文件夹和默认位置，包括 文档、 图片和 电影等文件夹。 可以添加要保护的其他文件夹，但不能删除默认列表中的默认文件夹。

在未将文件存储在默认 Windows 库中，或者已更改库的默认位置的情况下，将其他文件夹添加到受控文件夹访问权限可能会有所帮助。

还可以指定网络共享和映射驱动器。 支持环境变量;但是，通配符不是。

可以使用 Windows 安全中心 应用、组策略、PowerShell cmdlet 或移动设备管理配置服务提供程序来添加和删除受保护的文件夹。

1. 通过选择任务栏中的屏蔽图标或在“开始”菜单中搜索安全性，打开Windows 安全中心应用。

2. 选择“ 病毒 & 威胁防护”，然后向下滚动到 “勒索软件防护 ”部分。

3. 选择“ 管理勒索软件防护 ”，打开 “勒索软件防护 ”窗格。

4. 在 “受控文件夹访问 ”部分下，选择“ 受保护的文件夹”。

5. 在“用户访问控制提示符上选择”是”。 将显示 “受保护的文件夹 ”窗格。

6. 选择“ 添加受保护的文件夹 ”，并按照提示添加文件夹。

1. 在组策略管理计算机上，打开 策略管理控制台。

2. 右键单击要配置的组策略对象，然后选择“编辑”。

3. 在组策略管理编辑器中，转到“计算机配置>策略>”“管理模板”。

4. 将树展开到 Windows 组件>Microsoft Defender防病毒>Windows Defender Exploit Guard>受控文件夹访问权限。
   注意：在较旧版本的 Windows 上，你可能会看到 Windows Defender 防病毒，而不是Microsoft Defender防病毒。

5. 双击“ 配置的受保护文件夹”，然后将选项设置为 “已启用”。 选择“ 显示”，并指定要保护的每个文件夹。

6. 像往常一样部署 组策略 对象。

1. 在“开始”菜单中键入 PowerShell，右键单击“Windows PowerShell并选择”以管理员身份运行”

2. 键入以下 PowerShell cmdlet，将 替换为文件夹的路径 (，例如 ) ：

3. 对要保护的每个文件夹重复步骤 2。 受保护的文件夹在 Windows 安全中心 应用中可见。

使用 https://docs.microsoft.com/zh-CN/microsoft-365/security/defender-endpoint/Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList 配置服务提供程序 (CSP) 允许应用对受保护的文件夹进行更改。

可以指定某些应用是否始终被视为安全应用，并授予对受保护文件夹中文件的写入访问权限。 如果你知道并信任的特定应用被受控文件夹访问功能阻止，则允许应用会很有用。

添加应用时，必须指定应用的位置。 仅允许该位置中的应用访问受保护的文件夹。 如果应用 (同名) 位于其他位置，则不会将其添加到允许列表中，并且可能会受到受控文件夹访问的阻止。

允许的应用程序或服务在启动后仅具有对受控文件夹的写入访问权限。 例如，更新服务在允许后将继续触发事件，直到它停止并重新启动。

1. 通过搜索“安全性”的“开始”菜单打开Windows 安全中心应用。

2. 选择 “病毒 & 威胁防护 ”磁贴 (或左侧菜单栏) 上的屏蔽图标，然后选择“ 管理勒索软件防护”。

3. 在“受控文件夹访问”部分下，选择“允许应用通过受控文件夹访问”

4. 选择“ 添加允许的应用 ”，并按照提示添加应用。

1. 在组策略管理设备上，打开组策略管理控制台，右键单击要配置的组策略对象，然后选择“编辑”。

2. 在 策略管理编辑器中， 计算机配置 并选择 管理模板。

3. 将树展开到 Windows 组件>Microsoft Defender防病毒>Windows Defender Exploit Guard>受控文件夹访问权限。

4. 双击“ 配置允许的应用程序 ”设置，然后将选项设置为 “已启用”。 选择“显示”。

5. 在 “值名称”中添加可执行文件的完整路径。 将 “值 ”设置为 。 例如，若要允许命令提示符，请将 “值名称 ”设置为 。 值 应设置为 。

1. 在“开始”菜单中键入 PowerShell，右键单击“Windows PowerShell然后选择”以管理员身份运行”

2. 输入以下 cmdlet：

   例如，若要添加位于 C：apps 文件夹中的可执行文件test.exe，cmdlet 将如下所示：

   继续使用 向列表添加更多应用。 使用此 cmdlet 添加的应用将显示在 Windows 安全中心 应用中。

使用 https://docs.microsoft.com/zh-CN/microsoft-365/security/defender-endpoint/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications 配置服务提供程序 (CSP) 允许应用对受保护的文件夹进行更改。

Microsoft Defender for Endpoint证书和文件指示器可以允许已签名的可执行文件访问受保护的文件夹。 有关实现详细信息，请参阅 基于证书创建指示器。

有关在触发规则并阻止应用或文件时自定义通知的详细信息，请参阅在 Microsoft Defender for Endpoint 中配置警报通知。

• 使用受控文件夹访问保护文重要件夹
• 启用受控文件夹访问
• 启用攻击面减少规则