如何在 Windows 11 中啟用或停用受控資料夾訪問

如果你擔心 勒索軟體與 Windows 11 中的檔案安全您可能禁用了一個內建功能，但它卻能起到很大的作用：受控資料夾存取。它並非萬能，也不能取代備份，但它能增加一層額外的保護，而且如果您需要調整權限，您可以… 為資料夾和檔案分配權限這使得生活變得更加複雜。 惡意軟件 試圖加密或刪除您最重要的文件。

此功能包含在 Windows 11、Windows 10 和各種版本的 Windows Server 它還與 Microsoft Defender 整合。預設情況下，它通常是禁用的，因為它可能比較嚴格，有時會阻止合法程序，但您可以根據自己的喜好進行調整。 更改預設位置可以添加額外的資料夾，允許特定的應用程序，甚至可以透過群組原則、Intune、Configuration Manager 或 PowerShell 進行管理，無論是在家用電腦還是企業環境中。

什麼是受控資料夾存取權限？

受控資料夾存取是以下功能的特性： 微軟 Defender 防毒軟體旨在阻止勒索軟體 以及其他試圖修改或刪除特定受保護位置檔案的惡意軟體。它不會阻止所有運行的程序，而只允許被視為可信任的應用程式對這些資料夾進行更改。

實際上，這種保護是基於… 受信任應用程式列表和受保護資料夾列表。 該 應用程序 在 Windows 生態系統中享有良好聲譽和高普及度的應用程式會被自動允許，而未知或可疑的應用程式將無法修改或刪除受控路徑中的文件，儘管它們可以讀取這些文件。

理解此功能非常重要。 它無法阻止惡意軟體複製或讀取資料。它阻止的是修改、加密或刪除受保護檔案的操作。即使攻擊者成功入侵您的系統，他們仍然可以竊取訊息，但他們要篡改您的關鍵文件將變得更加困難。

受控資料夾存取旨在與以下功能協同工作： Microsoft Defender for Endpoint 和 Microsoft Defender Portal您可以在這裡查看有關已封鎖或已審核內容的詳細報告，這對於公司調查安全事件尤其有用。

相容的作業系統和先決條件

在考慮啟動該功能之前，最好先了解它支援哪些平台。受控資料夾存取權限可在以下平台上使用： Windows 11、Windows 10 和各種版本的 Windows Server此外，還包括一些特定的微軟系統，例如 Azure Stack HCI。

更具體地說，該功能在以下情況下受支援： Windows 10 和 Windows 11 及其各版本都已安裝 Microsoft Defender。 作為一款防毒軟體，它在伺服器端支援 Windows Server 2016 及更高版本、Windows Server 2012 R2、Windows Server 2019 及後續版本，以及 Azure Stack HCI 作業系統 23H2 版本及更高版本。

關鍵細節在於對資料夾的存取權限控制。 只有當目前使用的防毒軟體是微軟Defender時，它才能正常運作。如果您使用停用 Windows Defender 的第三方防毒軟體，則此功能的設定將從 Windows 安全中心應用程式中消失或失效，您將不得不依賴已安裝產品的反勒索軟體保護功能。

在託管環境中，除了 Defender 之外，還需要以下元件。 諸如 Microsoft Intune、Configuration Manager 或相容的 MDM 解決方案之類的工具 能夠集中部署和管理跨多個裝置的受控資料夾存取策略。

內部受控資料夾存取權限的工作原理

此函數的行為基於兩大支柱：一方面是 被視為受保護的資料夾 另一方面， 被認為值得信賴的應用程序根據配置的模式，任何不受信任的應用程式嘗試寫入、修改或刪除這些資料夾中的檔案都會被封鎖或審核。

啟用功能後，Windows 會將許多內容標記為受保護。 非常常見的使用者資料夾這包括活動帳戶和公共資料夾中的文件、圖片、影片、音樂和收藏夾等文件。此外，某些系統設定檔路徑（例如，系統設定檔中的「文件」資料夾）和系統的關鍵區域也包含在內。 開機.

允許的應用程式清單由以下方式產生： 該軟體在微軟生態系統中的聲譽和普及程度廣泛使用且從未表現出惡意行為的程序會被視為可信任程序，並自動獲得授權。其他不太知名的應用程式、自製工具或便攜式可執行檔可能會被阻止，直到您手動批准為止。

在商業組織中，除了自動清單之外，管理員還可以 新增或允許特定軟體 透過 Microsoft Intune、Configuration Manager、群組原則或 MDM 配置，微調企業環境中哪些操作被阻止，哪些操作不會被阻止。

為了在施加硬質阻隔之前評估其影響，需要進行以下操作： 審核模式 這樣一來，應用程式可以正常運行，但會記錄原本會被阻止的事件。這有助於詳細審查切換到嚴格阻塞模式是否會中斷業務流程或關鍵應用程式。

為什麼它對抵禦勒索軟體如此重要？

勒索軟體攻擊的目標是 加密您的文件並索取贖金 恢復您的存取權限。受控資料夾存取功能旨在防止未經授權的應用程式修改對您最重要的文件，這些文件通常位於「文件」、「圖片」、「影片」或其他您儲存項目和個人資料的資料夾中。

當未知應用程式嘗試存取受保護資料夾中的檔案時，Windows 會產生錯誤訊息。 設備發出阻塞警報通知在商業環境中，可以對這條警報進行自定義，添加內部聯繫信息，以便用戶在需要幫助或認為警報是誤報時知道該聯繫誰。

除了常見的使用者資料夾外，該系統還保護 系統資料夾和引導磁區減少試圖操縱系統啟動或關鍵 Windows 元件的惡意軟體的攻擊面。

另一個優點是能夠啟動第一個 審計模式用於分析影響這樣，您就可以查看哪些程式將被阻止，查看日誌，並在採取嚴格阻止措施之前調整允許的資料夾和應用程式列表，從而避免在生產環境中出現意外情況。

Windows 中預設受保護的資料夾

預設情況下，Windows 會將許多常用檔案位置標記為受保護。這包括兩者。 使用者設定檔資料夾作為公共資料夾這樣，您的大部分文件、照片、音樂和影片都能受到保護，而無需您進行任何額外的配置。

其中，例如： c:\Users\ \Documents 和 c:\Users\Public\Documents圖片、影片、音樂和收藏的等效路徑，以及 LocalService、NetworkService 或 systemprofile 等系統帳戶的相同等效路徑（前提是這些資料夾存在於系統中）。

這些位置會清楚顯示在使用者的個人資料頁面上。 檔案總管中的「此電腦」。因此，這些通常是你每天使用而不會過多考慮 Windows 內部資料夾結構的檔案。

重要的是要注意 無法從清單中刪除預設的受保護資料夾。您可以在其他位置添加更多自己的資料夾，但出廠自帶的資料夾始終受到保護，以最大程度地降低意外禁用關鍵區域防禦的風險。

如何在 Windows 安全中心啟用受控資料夾訪問

對於大多數家庭用戶和許多小型企業來說，啟動此功能的最簡單方法是： 系統中包含的 Windows 安全應用程式無需安裝任何額外軟體，只需更改幾個選項即可。

首先，開啟「開始」選單，輸入 “Windows 安全中心”或“Windows 安全中心” 打開應用程式。在主面板上，前往「病毒和威脅防護」部分，Defender 的惡意軟體相關選項就在這裡。

在該畫面中，向下捲動直到找到該部分 “防範勒索軟體” 然後點選「管理勒索軟體防護」。如果您使用的是第三方防毒軟體，您可能會在此處看到該產品的相關資訊。 您將無法使用此功能。 當防毒軟體處於啟動狀態時。

在勒索軟體防護畫面上，您會看到一個名為「切換開關」的按鈕。 “受控資料夾存取權限”啟動該功能，如果系統顯示使用者帳戶控制 (UAC) 警告，請接受該警告以使用管理員權限套用變更。

啟用後，將顯示以下幾個附加選項： 阻止歷史記錄，受保護資料夾 並允許應用程式透過受控資料夾存取權限運行。您可以在此處根據需要微調設定。

配置和調整受控資料夾存取權限

函數運行後，大多數情況下都是正常的。 日常生活中並沒有發現任何異常狀況但是，如果您使用的應用程式嘗試寫入受保護的資料夾，且該應用程式不在受信任清單中，則您可能會偶爾收到警告。

如果您收到通知，您可以隨時返回 Windows 安全中心並輸入 防毒與威脅防護 > 管理勒索軟體防護從這裡您可以直接存取封鎖、資料夾和允許的應用程式的設定。

的部分 「區塊歷史記錄」顯示所有區塊的清單。 該報告詳細列出了事件：被封鎖的檔案或可執行檔、封鎖時間、嘗試存取的受保護資料夾以及嚴重程度（低、中、高或嚴重）。如果您確定它是受信任的程序，可以選擇它並選擇“允許在設備上運行”來解除阻止。

在「受保護資料夾」部分，應用程式會顯示所有目前受「受控資料夾存取」保護的路徑。您可以從那裡進行以下操作： 新增資料夾或刪除已新增的資料夾但是，預設的 Windows 資料夾，例如“文件”或“圖片”，無法從清單中刪除。

如果您在任何時候覺得該功能過於煩人，您可以隨時關閉它。 再次禁用受控資料夾存取開關 在同一螢幕上即可完成更改。更改會立即生效，一切都會恢復到啟動前的狀態，但顯然您將失去抵禦勒索軟體的額外屏障。

新增或刪除其他受保護資料夾

並非所有人都將文件保存在標準的 Windows 庫中。如果您通常在以下位置工作： 其他磁碟機、專案資料夾或自訂路徑您希望將它們納入受控資料夾存取保護範圍。

使用 Windows 安全中心應用，操作過程非常簡單：在勒索軟體防護部分，前往 選擇「受保護的資料夾」並接受 UAC 通知 如果出現，您將看到目前受保護資料夾的清單和一個「新增受保護資料夾」按鈕。

按下該按鈕將開啟一個瀏覽器窗口，以便 選擇要新增的資料夾選擇路徑（例如，另一個磁碟機上的資料夾、專案的工作目錄，甚至是已對應的網路磁碟機）並確認。從那時起，任何試圖從不受信任的應用程式修改該資料夾的行為都將被阻止或審核。

如果您之後決定不再保護某個特定資料夾，您可以 從清單中選擇它，然後按“刪除”。你只能刪除你新增的額外資料夾；Windows 預設標記為受保護的資料夾無法刪除，以避免在你不知情的情況下使關鍵區域處於未保護狀態。

除了本地單位外，您還可以指定 網路共享和映射驅動器雖然不支援通配符，但可以在路徑中使用環境變數。這為在更複雜的環境中或使用自動化配置腳本保護位置提供了相當大的靈活性。

允許已封鎖的受信任應用

啟用該功能後，一些合法應用程式受到影響的情況很常見，尤其是在以下情況下： 它可以將資料保存在「文件」、「圖片」或受保護的資料夾中。PC 遊戲、不太知名的辦公室工具或較舊的程式在嘗試輸入文字時可能會出現卡頓。

針對這些情況，Windows 安全中心本身提供了相應的選項。 “允許應用程式透過受控資料夾存取權限”從勒索軟體防護面板，前往此部分，然後按一下「新增允許的應用程式」。

您可以從清單中選擇新增應用程式。 “最近被封鎖的應用程式” （如果某些內容已被阻止，而您只想允許它，則非常方便）或瀏覽所有應用程序，預先將某些您知道需要寫入受保護資料夾的程式標記為受信任。

添加應用程式時，重要的是： 指定可執行檔的確切路徑。僅允許在該特定位置運行；如果程式存在於同名的其他路徑中，則不會自動將其添加到允許清單中，並且仍可能因受控資料夾存取而被封鎖。

需要注意的是，即使允許了某個應用程式或服務， 正在進行的過程可能會繼續產生事件。 直到它們停止並重新啟動。換句話說，您可能需要重新啟動應用程式（或服務本身）才能使新的例外情況完全生效。

進階企業管理：Intune、設定管理器和群組策略

在企業環境中，逐一團隊手動更改設定並不是常見的做法，但是 定義集中式策略 這些設備以受控方式部署。受控資料夾存取與各種 Microsoft 裝置管理工具整合。

例如，使用 Microsoft Intune，您可以建立 攻擊面縮減指令 適用於 Windows 10、Windows 11 和 Windows Server。在設定檔中，有一個專門的選項可以啟用對資料夾的受控訪問，允許您在「啟用」、「停用」、「審核模式」、「僅阻止磁碟修改」或「僅審核磁碟修改」等模式之間進行選擇。

從 Intune 中的相同指令可以實現這一點 新增其他受保護資料夾 （與裝置上的 Windows 安全中心應用程式同步），並指定始終擁有寫入這些資料夾權限的受信任應用程式。這完善了 Defender 基於信譽的自動偵測功能。

如果您的組織使用 Microsoft Configuration Manager，您也可以部署策略。 Windows Defender的 漏洞防護從「資產和合規性 > 端點保護 > Windows Defender Exploit Guard」建立漏洞保護策略，選擇受控資料夾存取選項，然後選擇封鎖變更、僅審核、允許其他應用程式或新增其他資料夾。

另一方面，可以使用群組原則物件 (GPO) 以非常精細的方式管理此功能。 群組原則管理編輯器在「電腦設定」>「管理範本」中，您可以存取與 Microsoft Defender 防毒軟體及其漏洞利用防護部分對應的 Windows 元件，其中包含與受控資料夾存取相關的多個原則。

這些政策包括以下內容： “配置對資料夾的受控存取權限”允許您設定模式（啟用、停用、審核模式、僅阻止磁碟修改、僅審核磁碟修改），以及「已設定的受保護資料夾」或「已設定的允許應用程式」的條目，其中輸入資料夾和可執行檔案的路徑以及指示的值，以將其標記為允許。

使用 PowerShell 和 MDM CSP 實現配置自動化

對於管理員和進階使用者而言，PowerShell 提供了一個非常直接的方式 啟用、停用或調整對資料夾的受控存取權限 使用 Microsoft Defender cmdlet。這對於部署腳本、自動化或大量應用程式變更尤其有用。

首先，以管理員權限開啟 PowerShell 視窗：搜尋 在“開始”功能表中選擇“PowerShell”，右鍵單擊並選擇“以管理員身份執行”。。 進去之後你可以 激活功能 使用 cmdlet：

例如： Set-MpPreference -EnableControlledFolderAccess Enabled

如果你想在不實際阻止任何操作的情況下評估行為，可以使用以下方法： 審核模式 只需將 Enabled 替換為 AuditMode，如果需要完全停用此功能，只需在相同參數中指定 Disabled 即可。這樣，您可以根據需要快速切換模式。

若要保護其他資料夾免受 PowerShell 的攻擊，可以使用 cmdlet。 新增-MpPreference -受控資料夾存取受保護資料夾您可以將要保護的資料夾路徑傳遞給該函數，例如：

例如： Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\apps/"

同樣，您可以使用 cmdlet 允許特定應用程式運行。 新增-MpPreference -ControlledFolderAccessAllowedApplications指定可執行檔的完整路徑。例如，如果要授權 c:\apps 目錄下的名為 test.exe 的程序，則應使用：

例如： Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"

在管理場景中 移動 （MDM），配置透過不同的方式公開。 配置服務提供者 (CSP)例如，Defender/GuardedFoldersList 用於受保護的資料夾，Defender/ControlledFolderAccessAllowedApplications 用於允許的應用程序，這使得這些策略能夠以集中的方式整合到相容的 MDM 解決方案中。

事件日誌記錄和事故監控

要全面了解團隊的運作情況，關鍵在於檢視以下內容： 由受控資料夾存取權限產生的事件 它會阻止或審核某些操作。這既可以透過 Microsoft Defender 入口網站完成，也可以直接在 Windows 事件檢視器中完成。

對於使用 Microsoft Defender 進行端點保護的公司，Microsoft Defender 入口網站提供 事件和堵塞的詳細報告 與受控資料夾存取相關，並已整合到常規警報調查場景中。您甚至可以啟動進階搜尋（進階搜尋）來分析所有裝置上的模式。

例如，一個 設備事件查詢 一個典型的例子可能是：

例如： DeviceEvents | where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

在個人團隊中，你可以依靠 Windows 事件檢視器微軟提供了一個自訂視圖（cfa-events.xml 檔案），可以匯入該視圖以集中方式查看受控資料夾存取事件。此視圖收集諸如事件 5007（配置變更）、1123 和 1124（受控資料夾存取封鎖或審核）以及 1127/1128（受保護磁碟區寫入封鎖或審核）之類的條目。

當發生阻塞時，使用者通常也會看到一個 系統發出通知，表明未經授權的更改已被阻止。例如，會顯示「受控資料夾存取已封鎖 C:\…\ApplicationName… 對記憶體進行更改」之類的訊息，並且保護歷史記錄會反映「受保護的記憶體存取已封鎖」之類的事件，並帶有日期和時間。

受控資料夾存取權限成為一種非常強大的工具，用於… 嚴重阻礙勒索軟體和其他威脅 它能有效阻止惡意程式破壞您的文件，同時憑藉審核模式、允許的資料夾和應用程式清單以及與管理工具的集成，保持靈活性。如果配置得當，並配合定期備份和最新的防毒軟體，它將成為 Windows 11 保護您重要文件安全的最佳功能之一。