windows域环境的建立（在部署Windows的受控文件夹访问之前三思而后行）

Thinkstock上海一站式IT外包服务，上海希尼亚偌信息科技有限公司专注IT领域多年，致力于 IT外包 、IT运维、网络维护、系统集成等多项IT外包服务，服务网点遍及上海各区，数十年来已为数百家知名企业及上市企业提供过IT技术服务欢迎您来电咨询，我们将竭诚为您服务...，接下来我们就来聊聊关于windows域环境的建立?以下内容大家不妨参考一二希望能帮到您!

windows域环境的建立

Thinkstock

上海一站式IT外包服务，上海希尼亚偌信息科技有限公司专注IT领域多年，致力于 IT外包 、IT运维、网络维护、系统集成等多项IT外包服务，服务网点遍及上海各区，数十年来已为数百家知名企业及上市企业提供过IT技术服务。欢迎您来电咨询，我们将竭诚为您服务...

随着勒索软件攻击在 2010 年代中期开始流行，微软试图为 Windows 用户和管理员提供工具来保护他们的 PC 免受此类攻击。 在 2017 年 10 月的功能更新中，该公司向 Windows 10 添加了一项名为“受控文件夹访问”的功能。

在纸面上，受控文件夹访问对于资源有限的消费者、家庭用户和小型企业来说听起来像是一种很好的保护。 正如微软所定义的那样，“受控文件夹访问有助于保护您的宝贵数据免受恶意应用程序和威胁，例如勒索软件。 受控文件夹访问通过对照已知、受信任的应用程序列表检查应用程序来保护您的数据。 在 Windows Server 2019、Windows Server 2022、Windows 10 和 Windows 11 客户端上受支持，可以使用 Windows 安全应用程序、Microsoft Endpoint Configuration Manager 或 Intune（用于托管设备）打开受控文件夹访问。”

微软接着说，“受控文件夹访问仅允许受信任的应用程序访问受保护的文件夹。 在配置受控文件夹访问时指定受保护的文件夹。 通常，常用文件夹，例如用于文档、图片、下载等的文件夹，都包含在受控文件夹列表中。”

受特别保护的文件夹包括：

c:\Users\<username>\Documents

c:\Users\Public\Documents

c:\Users\<username>\Pictures

c:\Users\Public\Pictures

c:\Users\Public\Videos

c:\Users\<username>\Videos

c:\Users\<username>\Music

c:\Users\Public\Music

c:\Users\<username>\Favorites

意想不到的后果

所以让我们全部推出，对吧？嗯，没那么快。 Askwoody 论坛用户 Astro46 最近指出，他一直在尝试使用受控文件夹访问，并且在他的使用过程中产生了副作用。正如他所说：

我以为很快我就会处理各种访问通知，一切都会安定下来。从来没有发生过。我经常发现自己处理一些无法正常运行的程序的莫名其妙的问题，最终追踪到被拒绝的文件夹访问。如果我在发生通知时看到通知，这可能不会那么糟糕。但是，有时是，有时不是。

而且，似乎我之前授予访问权限的程序再次引起了问题。因为程序更新了，受控文件夹访问无法理解？挫败感和时间损失战胜了所谓的安全性。

正如 PDQ 博客所指出的那样，可能会出现阻碍远程管理工具和其他技术的副作用。启用受控文件夹访问后，您在安装软件时将看到保护和安装程序进程之间的交互，因为安装程序会尝试访问某些文件夹。您可能会收到诸如“未经授权的更改被阻止”或“Softwarename.exe 被阻止进行更改”等提示。点击查看设置。”

使用受控文件夹访问时，您可能需要在审核模式下使用它，而不是完全启用该过程。在完全强制模式下启用受控文件夹访问可能会导致您花费大量时间运行并添加排除项。有许多关于计算机用户不得不花费数小时追踪访问权限和添加排除项的轶事帖子。一位这样的张贴者（几年前）发现他必须将他认为是正常的 Microsoft 应用程序（例如记事本和画图）添加到排除过程中。

追踪问题

不幸的是，由于用户界面很小，在独立工作站上发现受控文件夹冲突的主要方式是当文件夹受到保护并且应用程序试图访问该位置时，系统托盘中会显示警报。或者，您可以访问事件日志，但在查看详细信息之前，您必须导入事件 xml 文件。

如 Microsoft 技术社区博客中所述，您必须下载评估包文件并将 cfa-events.xml 解压缩到您的下载文件夹。或者，您可以将以下行复制并粘贴到记事本文件中，并将其另存为 cfa-events.xml：

<QueryList>

<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">

<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>

<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>

</Query>

</QueryList>

现在将此 xml 文件导入您的事件查看器，以便您可以更轻松地查看和排序受控文件夹访问事件。 在开始菜单中键入事件查看器以打开 Windows 事件查看器。 在左侧面板的操作下，选择导入自定义视图。 导航到您提取 cfa-events.xml 的位置并选择它。 或者，直接复制 XML。 选择确定。

接下来，在事件日志中查找以下事件：

5007 Event when settings are changed

1124 Audited controlled folder access event

1123 Blocked controlled folder access event

如果您处于审核模式，则需要关注 1124，如果您已完全启用受控文件夹访问以进行测试，则需要关注 1123。查看事件日志后，它应该显示您需要调整的其他文件夹，以使您的应用程序充分发挥作用。

您可能会发现某些软件需要访问您没想到的其他文件。这就是工具的问题。虽然 Microsoft 已经批准了许多应用程序，因此它们可以在启用受控文件夹访问的情况下正常工作，但其他或更旧的应用程序可能无法正常工作。我经常感到惊讶的是，哪些文件和文件夹不需要调整，哪些需要调整。

与攻击面减少规则类似，这是我希望为单个工作站提供更好的独立界面的技术之一。虽然使用 Defender for Endpoint 的企业可以相当轻松地查看问题，但独立工作站仍然必须依赖系统托盘中弹出的消息。

底线

如果您依赖 Defender 来满足您的防病毒需求，请考虑评估受控文件夹访问以获得额外的勒索软件保护。但是，我的建议是真正评估，而不仅仅是部署它。您需要在审核模式下启用它并花时间查看影响。根据您的应用程序，您可能会发现它比您想象的更有影响力。

对于使用 Defender for Endpoint 的用户，您可以按如下方式启用受控文件夹访问：在 Microsoft Endpoint Configuration Manager 中，转到资产和合规性 > Endpoint Protection > Windows Defender Exploit Guard。选择 Home，然后选择 Create Exploit Guard Policy。输入名称和描述，选择受控文件夹访问，然后选择下一步。选择是阻止还是审核更改、允许其他应用程序还是添加其他文件夹，然后选择下一步。

或者，您可以使用 PowerShell、组策略甚至注册表项来管理它。在网络方案中，可以使用 Configuration Manager 或 Intune 管理添加到受信任列表的应用程序。可以从 Microsoft 365 Defender 门户执行其他配置。

通常，攻击风险和安全系统对计算机的影响之间存在平衡。花时间评估余额以及这是否对您的需求有可接受的开销。

上海希尼亚偌数十年专注于一站式IT外包业务、IT系统集成服务、IT运维管理服务。