勒索软件今年已经成为头条新闻。 WannaCry一直是最值得注意的例子，利用微软已经修补的Windows漏洞。 windows10中的自动更新使Microsoft的最新版本的Windows基本不受影响。尽管Windows 10对WannaCry有适应能力，但微软已经在windows10 1709中为Windows Defender添加了一些功能来提高安全性。

Windows Defender Exploit Guard替代了windows10中的增强型缓解体验工具包（EMET）。受控文件夹访问（CFA）是Exploit Guard的一部分，帮助用户和组织保护文件夹等文件免受恶意应用程序侵害。 CFA默认是禁用的。但是，用户可以启用它并使用默认设置获得更好的保护。受保护的文件夹列表包括所有用户的文档，视频，音乐，收藏夹和图片文件夹。您可以将自己的文件夹添加到列表中，但不能删除默认文件夹。最重要的是，网络共享也可以被保护，尽管不支持使用通配符。

启用受控文件夹访问

我使用默认设置在主电脑上启用了受控文件夹访问。要启用CFA，请打开Windows Defender安全中心，单击病毒和威胁防护，然后单击病毒和威胁防护设置。向下滚动设置列表，并将受控文件夹访问设置为开。

我立即收到一个警告，一个Snagit编辑器被阻止在我的Documents文件夹中进行更改。 这不一定是一个好兆头，因为如果CFA有太多的误报，用户会抱怨或关闭CFA。 Snagit的工作方式与CFA启用之前一样，但在尝试保存图像时仍会收到警告。 所以我把它添加到CFA允许的程序列表中。

如果您安装的应用程序与CFA不兼容，则可以将其添加到通过CFA允许的应用程序列表中。 微软并没有说明CFA如何确定应用程序是否值得信赖，但CFA依赖于Windows Defender实时防病毒扫描引擎。 如果您使用的是第三方防病毒解决方案，则无法使用CFA。 还值得注意的是，用户必须具有管理权限才能启用CFA，对受保护的文件夹列表进行任何更改，并通过CFA允许应用程序。

好消息是CFA可以由系统管理员使用组策略进行配置。可以在管理模板> Windows组件> Windows Defender防病毒> Windows Defender漏洞防护>受控文件夹访问下找到CFA的设置。还可以使用PowerShell，使用Set-MpPreference和Add-MpPreference cmdlet以及用于移动设备管理（MDM）的配置服务提供程序（CSP）来配置CFA。

噱头还是有效的安全防御？

像任何保护技术一样，CFA可以作为纵深防御策略的一部分。例如，如果用户对其设备具有管理权限，则CFA的保护能力将被削弱。 Exploit Guard CFA File Creator工具是Exploit Guard评估软件包的一部分，该软件包可从Microsoft免费下载。您可以使用该工具来测试CFA的有效性。一些独立的测试也表明，CFA有效地防御了受保护的文件夹Locky，这是一个含有恶意宏的Microsoft Word文档中的勒索软件。有关防止恶意宏的更多信息，请参阅在Petri上管理Office 2016中的宏安全性。

受控文件夹访问值得评估，因为它是非常容易配置，可以帮助保护有价值的数据勒索软件。您应该在您的环境中测试它，以确定是否需要通过CFA允许任何应用程序。在一天结束的时候，没有什么比正确测试的灾难恢复计划更重要，以便在防御失败的情况下恢复数据。