关键点阻止勒索软件：利用受控文件夹访问功能保护数据

本文章是Windows Security博客“Stopping ransomware where it counts: Protecting your data with Controlled folder access”（2017年10月23日美国时间发布）的翻译版本。

Windows Defender Exploit Guard是Windows 10 Fall Creators Update中搭载的新入侵防止功能。其中的受控文件夹访问功能通过防止对重要文件的未授权访问，实时阻止勒索软件。

加密原本是保护您的数据和文件的手段。但勒索软件扭曲了加密的效果，将其用于劫持文件。这意味着您会失去对文档、重要照片和视频以及其他关键文件等数据的控制。

对于企业和中小企业来说，失去文件访问权限可能导致业务中断。如果勒索软件感染影响到关键基础设施，甚至可能导致无法提供服务的严重情况。就在今年，一系列勒索软件活动以及至少两次全球性的勒索软件大流行导致医疗机构、运输系统和IT相关设施陷入瘫痪。

勒索软件不断进化，持续影响不同环境的各种设备。微软不断强化Windows 10的功能以应对勒索软件和其他威胁。我们提供的端到端安全套件整合了多个下一代防御技术，帮助客户防止、检测和响应勒索软件攻击。

受控文件夹访问功能增强了针对勒索软件的实时保护层。

监管未授权的加密

勒索软件活动对网络犯罪分子来说是盈利丰厚的业务，因此持续增长和发展。勒索软件侵入受害者的设备，加密文件和数据。由于这些文件被劫持，网络犯罪分子可以强迫受害者支付赎金。

受控文件夹访问功能将决定哪些程序可以访问数据的权力交还给您。该功能通过锁定文件夹，防止勒索软件和其他未授权应用程序访问，实时保护文件免受篡改。这就像将珠宝存放在只有您有钥匙的保险箱中。

如果无法加密文件，网络犯罪分子就无法要求赎金。受控文件夹访问功能是使勒索软件攻击无效的强大工具。

受控文件夹访问的工作原理

受控文件夹访问锁定文件夹，仅允许授权的应用程序访问。包括恶意可执行文件、DLL和脚本等未授权应用程序将被拒绝访问文件夹。

该功能可以从Windows 10的Windows Defender安全中心应用程序启用。

受控文件夹访问默认保护存储文档和其他重要数据的公共文件夹，但也可以自定义。您可以添加其他驱动器上的文件夹进行保护。还可以允许受信任的应用程序访问受保护的文件夹，因此即使使用特定或自定义应用程序，日常生产力也不会受到影响。

启用受控文件夹访问后，它会防止恶意应用程序访问，并通知用户有关尝试访问或修改受保护文件夹内文件的行为。此保护是实时提供的。

在企业网络中启用和管理受控文件夹访问

在企业环境中，可以使用组策略、PowerShell或移动设备管理的配置服务提供商来启用和管理受控文件夹访问。

受控文件夹访问功能与Windows Defender Advanced Threat Protection无缝集成。每次该功能阻止对受保护文件夹的更改尝试时，Windows Defender ATP都会生成警报。收到此通知后，安全运营人员可以采取快速响应措施，如隔离受影响的机器或阻止未授权应用程序在其他机器上运行。

与Windows Defender Exploit Guard的其他功能一样，管理员可以自定义尝试入侵时在终端显示的通知。看到自定义通知的员工可以致电企业帮助台或发送电子邮件和即时消息。

包括受控文件夹访问在内的Windows Defender Exploit Guard功能提供审核模式，管理员可以使用它来评估企业网络中的这些安全功能。在审核模式下，不会阻止对受保护文件夹内文件的更改尝试，但所有事件都会被记录，管理员可以在不影响生产环境的情况下评估Windows Defender Exploit Guard的功能。

Windows 10提供全面套件的高级勒索软件保护

勒索软件攻击日益复杂。为了确保客户的安全，微软持续改进Windows以防范勒索软件和其他威胁。Windows 10是迄今为止最安全的Windows版本。受控文件夹访问旨在降低勒索软件攻击的风险，帮助保护您环境中的用户和业务数据。

Tanmay Ganacharya (@tanmayg) Principal Group Manager, Windows Defender Research

关注以下Windows安全功能

Windows 10 S是针对安全和性能进行精简的Windows 10配置。仅使用Windows商店的应用程序，并将Microsoft Edge设为默认浏览器，提供经过微软严格审查的安全性。

使用Windows 10的客户还受到Windows Defender防病毒的保护。利用先进的机器学习模型以及通用和启发式技术，Windows Defender防病毒实时检测新的勒索软件甚至未知的勒索软件。

Microsoft Edge通过在权限较低的应用程序容器中打开页面，并基于评估阻止恶意下载，阻止来自Web的勒索软件感染。自发布以来，Microsoft Edge一直为Windows 10客户提供行业领先的在线保护。今年，Microsoft Edge在iOS和Android上可用，因此这些平台的用户可以享受比沙盒更先进的浏览器安全性。

在企业环境中，存在额外的保护层。Device Guard提供基于虚拟化的锁定安全。阻止所有类型的未授权内容，防止勒索软件和其他威胁到达机器。

除了Microsoft Edge，企业还可以通过阻止以电子邮件为切入点的勒索软件攻击来确保在线安全。微软的Exchange Online Protection (EOP)使用内置的反垃圾邮件过滤功能帮助保护Office 365用户。Office 365 Advanced Threat Protection利用点击时保护，通过阻止包含危险附件和链接的文件以及含有恶意链接的电子邮件，保护邮箱免受电子邮件攻击。

安全运营人员可以使用Windows Defender ATP检测和响应组织中的恶意软件流行。Windows Defender ATP增强的行为检测和机器学习检测库会标记勒索软件感染过程中的恶意行为。新引入的进程树可视化以及机器隔离功能的改进，有助于安全运营人员调查和响应勒索软件及其他恶意攻击。

受控文件夹访问是不断发展的下一代解决方案堆栈中的新增功能，帮助客户防止、检测和响应勒索软件及现代攻击。

受控文件夹访问、漏洞利用保护、攻击面减少和网络保护构成了Windows Defender Exploit Guard的主机入侵防止功能。Fall Creators Update中搭载的这些功能以及所有其他下一代安全技术，使Windows 10保持为有史以来最安全、最可靠的Windows。