win10受控文件夹访问权限需要打开实时保护,win10已阻止访问受保护的文件夹
勒索软件已经成为今年的头条新闻。WannaCry一直是最显著的例子,它利用了微软已经修补的Windows漏洞。Windows S10中的自动更新使得微软最新版本的Windows基本不受影响。虽然Windows 10可以适配WannaCry,但是微软在windows10 1709中为Windows Defender增加了一些功能来提高安全性。
Windows Defender Exploit Guard取代了windows S10中的增强版ease experience toolkit (EMET)。受控文件夹访问(CFA)是Exploit Guard的一部分,可帮助用户和组织保护文件夹等文件免受恶意应用程序的攻击。CFA默认禁用。但是,用户可以启用它并使用默认设置来获得更好的保护。受保护的文件夹列表包括所有用户的文档、视频、音乐、收藏夹和图片文件夹。您可以将自己的文件夹添加到列表中,但不能删除默认文件夹。最重要的是,网络共享也可以得到保护,尽管不支持通配符。
启用受控文件夹访问
我使用默认设置在主计算机上启用了受控文件夹访问。要启用CFA,请打开Windows Defender安全中心,单击病毒和威胁防护,然后单击病毒和威胁防护设置。向下滚动设置列表,将受控文件夹访问设置为打开。
我立即收到一个警告,说Snagit编辑器被阻止在我的文档文件夹中进行更改。这不一定是个好兆头,因为如果CFA的误报太多,用户就会投诉或者关闭CFA。Snagit的工作方式与启用CFA之前相同,但是当您试图保存图像时,仍然会收到警告。所以我把它加到了CFA允许的节目列表里。
如果您安装的应用程序与CFA不兼容,您可以将其添加到CFA允许的应用程序列表中。微软没有解释CFA如何确定一个应用是否值得信任,但CFA依赖于Windows Defender实时杀毒扫描引擎。如果您使用的是第三方防病毒解决方案,则不能使用CFA。还值得注意的是,用户必须拥有管理权限才能启用CFA,对受保护的文件夹列表进行任何更改,并允许应用程序通过CFA。
好消息是系统管理员可以使用组策略来配置CFA。CFA的设置可以在管理模板Windows组件Windows Defender防病毒Windows Defender漏洞保护控制的文件夹访问下找到。您还可以使用PowerShell、Set-MpPreference和Add-MpPreference cmdlet以及用于移动设备管理(MDM)的配置服务提供程序(CSP)来配置CFA。
噱头还是有效的安全防御?
像任何保护技术一样,CFA可以用作深度防御策略的一部分。比如用户对自己的设备有管理权限,CFA的保护能力就会被削弱。Exploit Guard CFA文件创建工具是Exploit Guard评估包的一部分,可以从微软免费下载。你可以用这个工具来测试CFA的有效性。一些独立的测试也表明,CFA有效地防御了受保护的文件夹Locky,这是一个包含恶意宏的Microsoft Word文档中的勒索软件。有关防止恶意宏的更多信息,请参见在Petri网上管理Office 2016中的宏安全性。
受控文件夹访问值得评估,因为它非常容易配置,可以帮助保护有价值的数据勒索软件。您应该在您的环境中测试它,以确定是否需要通过CFA来允许任何应用程序。归根结底,为了在防御失败的情况下恢复数据,没有什么比经过适当测试的灾难恢复计划更重要的了。