简而言之:是否可以列出 Windows 拒绝访问受保护文件夹的程序?
我最近启用了 Windows Defender 中的勒索软件保护功能,将一系列文件夹添加到受控文件夹访问列表中。其中一些文件夹受 Git 版本控制(通过 Github Desktop),或使用 Syncthing 同步(通过 SyncTrayzor)。我已将 和git.exe中syncthing.exe的规范版本添加到允许的应用程序列表中,但现在我收到消息,告诉我 Windows 已阻止和 C:/Program Files访问受保护文件夹中的文件的尝试。 C:/Users/.../git.exeC:/Users/.../syncthing.exe
令人恼火的是,省略号隐藏了可执行文件的大部分路径。对我的用户目录进行 Windows 搜索最终会找到多个副本git.exe,但目前尚不清楚其中哪些副本试图编辑这些文件。勒索软件保护的用户界面有限,这意味着需要很长时间才能单独添加每个文件,这似乎是一个糟糕的安全选择:聪明的攻击者可能会授权他们的恶意软件git.exe诱骗我允许访问。
我如何才能看到被阻止文件的完整路径(特别是在通知提示从我的屏幕上消失之后)?
我在 Windows 事件日志中看不到任何相关内容。
答案1
您可以在 Windows Defender 设置中查看最近阻止的应用程序列表。
要查看被阻止的应用程序列表,请点击添加允许的应用按钮,然后点击最近阻止的应用程序。
或者,打开命令提示符窗口来运行此命令:
wevtutil qe "Microsoft-Windows-Windows Defender/Operational" /q:"*[System[(EventID=1123)]]" /c:15 /f:text /rd:true | findstr /i "process name:"
这显示了 Defender 的受控文件夹访问阻止的最后 15 个项目的列表。
