使用组策略和 PowerShell 配置受控文件夹访问

受控文件夹访问是 Microsoft Defender Exploit Guard 提供的一项入侵防御功能，它是 Microsoft Defender 防病毒软件的一部分。它的设计主要是为了防止勒索软件加密您的数据/文件，但它也可以保护文件免受其他恶意应用程序的意外更改。在这篇文章中，我们将向您展示如何在 Windows 11/10 中使用组策略和 PowerShell 配置受控文件夹访问。

此功能在 Windows 10 上是可选的，但启用后，该功能能够跟踪尝试更改受保护文件夹中的文件的可执行文件、脚本和 DLL。如果应用程序或文件是恶意的或无法识别，该功能将实时阻止尝试，并且您将收到可疑活动的通知。

使用组策略配置受控文件夹访问

要使用组策略配置受控文件夹访问，您首先需要启用此功能。完成后，您可以继续配置以下内容：

通过本地组策略编辑器添加新的保护位置

如果启用受控文件夹访问，则默认添加基本文件夹。如果您必须保护位于不同位置的数据，则可以使用配置受保护的文件夹策略来添加新文件夹。

就是这样：

• 按 Windows 键 + R 调用“运行”对话框

• 在“运行”对话框中，键入 gpedit.msc 并按 Enter 键打开组策略编辑器。

• 在本地组策略编辑器中，使用左窗格导航到以下路径：

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• 双击右侧窗格中的配置受保护的文件夹策略以编辑其属性。

• 选择启用单选按钮。

• 在“选项”部分下，点击显示按钮。

• 通过在值名称字段中输入文件夹路径（例如：F:\MyData）并添加0 ，指定要保护的位置 在值字段中。重复此步骤以添加更多位置。

• 点击确定按钮。

• 点击应用按钮。

• 点击确定按钮。

新文件夹现在将添加到受控文件夹访问的保护列表中。要恢复更改，请按照上述说明操作，但选择未配置或已禁用选项。

使用本地组策略编辑器将受控文件夹访问中的应用程序列入白名单

• 打开本地组策略编辑器。

• 在本地组策略编辑器中，使用左窗格导航到以下路径：

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• 双击右侧窗格中的配置允许的应用程序政策以编辑其属性。

• 选择启用单选按钮。

• 在“选项”部分下，点击显示按钮。

• 指定应用程序 .exe 文件的位置（例如；C:\Program Files (x86)\Google\Chrome\Applicatio

• 点击确定按钮。

• 点击应用按钮。

• 点击确定按钮。

现在，当打开受控文件夹访问时，指定的应用程序不会被阻止，并且它将能够对受保护的文件和文件夹进行更改。要恢复更改，请按照上述说明操作，但选择未配置或已禁用选项。

对于 Windows 11/10 家庭版用户，您可以添加本地组策略编辑器功能，然后执行上面提供的说明，也可以执行下面的 PowerShell 方法。

使用 PowerShell 配置受控文件夹访问

要使用组策略配置受控文件夹访问，您首先需要启用该功能。完成后，您可以继续配置以下内容：

使用 PowerShell 添加新的保护位置

• 按 Windows 键 + X 打开高级用户菜单。

• 点击键盘上的 A 以管理/提升模式启动 PowerShell。

• 在 PowerShell 控制台中，输入以下命令并按 Enter 键。

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

在命令中，将 F: old\path o dd 占位符替换为您要允许的应用程序的位置和可执行文件的实际路径。例如，您的命令应如下所示：

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• 要删除文件夹，请键入以下命令并按 Enter 键：

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

使用 PowerShell 将受控文件夹访问中的应用程序列入白名单

• 在管理/提升模式下启动 PowerShell。

• 在 PowerShell 控制台中，输入以下命令并按 Enter 键。

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

在命令中，将 F:\path o pp pp.exe 占位符替换为您要允许的应用的位置和可执行文件的实际路径。例如，您的命令应如下所示：

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

上述命令会将 Chrome 添加到允许的应用程序列表中，并且在启用受控文件夹访问时，将允许该应用程序运行并对文件进行更改。

• 要删除应用程序，请输入以下命令并按 Enter 键：

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

这就是如何在 Windows 11/10 中使用组策略和 PowerShell 配置受控文件夹访问！