需开启“受控文件夹访问”功能以启用勒索软件主动防护,可通过Windows安全中心图形界面、运行命令、组策略编辑器(专业版/企业版)、PowerShell(管理员权限)五种方式实现,并支持添加自定义受保护文件夹与信任应用。
如果您希望在 Windows 11 系统中启用针对勒索软件的主动防护机制,则需开启“受控文件夹访问”功能。该功能通过白名单机制限制未经授权的应用程序对关键文件夹的写入、删除或加密操作,从而有效抵御勒索病毒行为。以下是多种可行的开启方式:
一、通过 Windows 安全中心图形界面启用
此方法采用系统内置的安全中心应用完成设置,无需命令行或策略编辑经验,适用于绝大多数家庭与普通办公用户,操作直观且系统自动加载默认保护路径。
1、点击任务栏上的盾牌图标,打开 Windows 安全中心应用。
2、选择“病毒 & 威胁防护”选项。
3、在“勒索软件防护”部分,点击“管理勒索软件防护”。
4、在“受控文件夹访问”区域,将开关切换为“开”状态。
5、当弹出用户账户控制(UAC)提示时,点击“是”确认权限提升。
二、使用运行命令直达安全中心启用
此方式跳过多层菜单导航,直接调用 Windows 安全中心的深层协议地址,显著缩短操作路径,适合熟悉快捷入口的用户快速定位设置项。
1、按下 Win + R 打开“运行”对话框。
2、输入 windowsdefender: 并按回车,启动 Windows 安全中心。
3、在左侧导航栏中,点击“病毒和威胁防护”。
4、向下滚动至“病毒和威胁防护设置”,点击“管理设置”。
5、继续滚动到底部,点击“管理受控文件夹访问”。
6、将开关设为“开”,并在 UAC 提示中点击“是”完成启用。
三、通过组策略编辑器启用(仅限专业版/企业版)
此方法提供策略级控制能力,支持启用后进入审核模式以观察影响,便于组织环境评估兼容性后再全面启用,避免误拦截关键业务软件。
1、按下 Win + R,输入 gpedit.msc 并回车,打开本地组策略编辑器。
2、依次展开:计算机配置 → 管理模板 → Windows 组件 → Microsoft Defender 防病毒 → 攻击面减少。
3、在右侧双击“启用受控文件夹访问”策略。
4、选择“已启用”,并在下拉菜单中指定模式为“启用”或“审核模式”。
5、点击“应用”,再点击“确定”保存设置。
6、运行 gpupdate /force 命令使策略立即生效,或重启 Windows 安全中心进程。
四、通过 PowerShell 启用(需管理员权限)
此方式适用于自动化部署或脚本化管理场景,可批量执行且支持参数化配置,是 IT 管理员进行集中管控的重要手段。
1、右键开始按钮,选择“Windows Terminal(管理员)”或“PowerShell(管理员)”。
2、输入以下命令并回车:Set-MpPreference -EnableControlledFolderAccess Enabled。
3、若需启用审核模式而非强制拦截,改用命令:Set-MpPreference -EnableControlledFolderAccess AuditMode。
4、执行完成后,系统将立即应用新设置,无需重启。
五、添加自定义受保护文件夹与信任应用
默认保护范围仅覆盖系统库(如文档、图片、桌面、下载等),若存在其他敏感数据目录或合法程序被误拦截,需分别补充添加路径与白名单应用以确保防护完整性与可用性。
1、在 Windows 安全中心的“管理勒索软件防护”页面中,找到“受保护的文件夹”部分。
2、点击“添加受保护的文件夹”,浏览并选择目标路径,例如 D:\Work\Confidential。
3、返回同一页面,滚动至“允许的应用”区域,点击“添加应用控制例外”。
4、选择“添加应用”,从列表选取可信程序;或点击“更多应用”,手动定位并选择其可执行文件(如 C:\MyApp\app.exe)。
