需启用Windows 11“受控文件夹访问”功能以防护勒索软件,可通过安全中心图形界面、运行命令、组策略(专业版/企业版)、PowerShell命令四种方式开启,并可添加自定义受保护文件夹及受信任应用。
如果您希望在Windows 11中启用内置的勒索软件防护能力,防止恶意程序未经授权加密或篡改您的重要文件,则需激活“受控文件夹访问”功能。以下是多种可行的开启与设置方法:
一、通过Windows安全中心图形界面启用
此方法使用系统原生设置路径,全程可视化操作,适用于所有Windows 11版本用户,无需额外权限或工具,启用后即时生效。
1、点击任务栏上的“开始”按钮,选择“设置”图标进入系统设置界面。
2、在设置窗口左侧导航栏中,点击“隐私和安全性”选项。
3、在右侧列表中找到并点击“Windows 安全中心”进入安全功能主页面。
4、在安全中心内,选择“病毒和威胁防护”功能模块。
5、向下滚动至“勒索软件防护”区域,点击“管理勒索软件防护”。
6、将“受控文件夹访问”开关切换为开启状态。
7、当弹出用户账户控制(UAC)提示时,点击“是”确认权限更改。
二、使用运行命令直达安全中心启用
该方式跳过多层菜单导航,直接调用Windows Defender安全中心协议,适合熟悉快捷入口的用户,可显著缩短操作路径。
1、按下Win + R组合键打开“运行”对话框。
2、输入windowsdefender:并按回车,直接启动 Windows 安全中心。
3、在左侧导航栏中,点击“病毒和威胁防护”。
4、在右侧区域向下滚动,点击“病毒和威胁防护设置”下方的“管理设置”。
5、继续向下滚动至页面底部,点击“管理受控文件夹访问”。
6、将开关设为开,并在弹出的 UAC 提示中点击“是”完成启用。
三、通过组策略编辑器启用(仅限专业版/企业版)
此方法提供策略级部署能力,支持启用后进入审核模式,便于组织评估影响后再全面启用,适合IT管理员或批量配置场景。
1、按下Win + R,输入gpedit.msc并回车,打开本地组策略编辑器。
2、依次展开路径:计算机配置 → 管理模板 → Windows 组件 → Microsoft Defender 防病毒 → 攻击面减少。
3、在右侧双击“配置受控文件夹访问”策略。
4、选择“已启用”,并在下方下拉菜单中设置模式为启用或审核模式。
5、点击“应用”,再点击“确定”保存设置。
6、运行gpupdate /force命令使策略立即生效,或重启 Windows 安全中心。
四、通过PowerShell命令启用(管理员权限)
该方式直接调用Microsoft Defender API,适用于脚本自动化部署或IT运维人员批量启用场景,执行后无需交互确认。
1、以管理员身份运行 PowerShell。
2、执行以下命令启用功能:Set-MpPreference -EnableControlledFolderAccess Enabled。
3、命令执行完成后,系统将立即激活受控文件夹访问功能,无需重启。
五、添加自定义受保护的文件夹
默认情况下,受控文件夹访问仅保护系统库(如文档、图片、桌面、下载等),若需保护其他位置的数据,必须手动添加目标文件夹,否则关键数据仍可能暴露于风险中。
1、在“管理勒索软件防护”页面中,找到“受保护的文件夹”部分。
2、点击“添加受保护的文件夹”按钮。
3、在弹出的文件浏览器中,导航至目标文件夹并选中它,例如D:\WorkProjects或E:\FamilyPhotos。
4、点击“选择文件夹”完成添加。
5、确认所添加的文件夹已出现在受保护列表中,且状态为已启用保护。
六、添加受信任的应用程序以避免误拦截
某些合法应用程序(如备份工具、开发IDE、音视频编辑器)可能因行为特征被误判为威胁,需手动将其加入白名单,确保其能正常访问受保护的文件夹,同时不降低防护强度。
1、在“管理勒索软件防护”页面中,向下滚动到“允许应用通过受控文件夹访问”部分。
2、点击“添加允许的应用”按钮。
3、选择“从列表中添加建议的应用”,或点击“添加未列出的应用”手动浏览并选择应用程序的可执行文件(.exe)。
4、在文件资源管理器中定位到目标程序,例如C:\Program Files\Notepad++\notepad++.exe。
5、点击“打开”,该应用即被加入白名单,并显示在“允许的应用”列表中。
