文件管控
最近更新时间:2025年06月06日 09:55:56
对策略设定的文件/文件夹进行监测和管控。
监测:记录创建、修改、删除和读取等操作行为。
管控:对企业敏感文件进行权限加固,例如:禁止修改、复制、移动、和读取等操作。
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择终端安全策略 > 终端管控。
2. 在终端管控页面,选择文件管控,单击新建策略。
![]()
3. 在新建文件管控策略页面,配置相关参数。
3.1 输入策略名称,并输入策略描述等参数。
![]()
3.2 单击添加适用范围 ,勾选需管控/排除的用户/终端名称,单击确定。
4. 根据实际需求,选择如下文件管控策略,单击保存。
文件访问管控
注意:
开启后可能对终端的使用有一定影响(例如:管控范围较广时有可能影响文件的操作性能),请谨慎开启。在开启后,请做好测试验证,确认无异常之后然后再逐步灰度扩大影响范围。
1. 勾选文件访问管控,单击![]()
参数名称 | 说明 |
禁止访问以下文件或文件夹路径 | 当配置文件名时,将会模糊匹配所有与输入文件名匹配的文件(例:note.doc将会匹配123note.docx) 当配置路径,以“\”结尾时,将进行精确匹配(例:D:\windows\),无“\”结尾时,将会模糊匹配所有与输入路径名匹配的文件夹(例:D:\windows将会匹配D:\windows123) 建议不要禁用C盘文件夹以避免系统崩溃,如需添加C盘文件夹,请选择禁止指定程序访问 |
是否对系统文件加白 | 开启加白后,系统目录下的文件将不会被禁止访问。 如果不开启对系统文件加白,建议选择"禁止指定程序访问"模式,以避免因系统文件无法访问而导致系统崩溃。 |
禁止对受控文件或文件夹执行以下操作 | 根据实际管控情况选择创建、复制、移动、写入、删除、重命名、读取。 |
受控访问程序 | 禁止任意程序访问:受控文件/文件夹禁止任意程序访问。 禁止指定程序访问:填写指定程序名称。 |
配置示例
1. 新建1个文档,文档名称为《测试文件写入》,文档格式:txt。
![]()
2. 禁止访问以下文件或文件夹路径:填写新建文档所在的路径 C:\Users\Admin\Desktop\CS 。
3. 开启对系统文件加白,加白后电脑系统文件将不会被禁止访问。
4. 禁止对受控文件或文件夹执行写入操作。
5. 受控访问程序选择禁止任意程序访问。
6. 完成添加后,单击保存。
![]()
7. 在终端上打开指定的文件:《测试文件写入》.txt,写入内容后保存,提示操作成功完成。但文件大小未变化且内容并未写入,受控文件写入内容失败。
![]()
8. 若配置禁止对受控文件或文件夹执行创建,复制,移动等操作。
9. 当访问C:\Users\Admin\Desktop下文件或文件夹时,则提示系统的权限不足弹窗"拒绝访问" 。
文件操作审计
注意:
开启后可能对终端的使用(例:审计范围较大有可能影响文件的操作性能)有一定影响,请谨慎开启。在开启后,请做好测试验证,确认无异常之后然后再逐步灰度扩大影响范围。
1. 敏感文件操作审计行为可追溯。
2. 勾选文件操作审计,单击![]()
![]()
参数名称 | 说明 |
审计文件操作行为 | 根据实际管控情况选择创建、复制、移动、写入、删除、重命名、读取。 |
设备存储监控 | 非本地硬盘存储介质(包括但不限于USB移动存储、光盘、网络共享)。 本地硬盘(建议不选用,避免数据量过大;如果启用,需配置对应过滤参数文件夹或后缀名字)。 |
文件夹路径或关键字 | 当配置文件名时,将会模糊匹配所有与输入文件名匹配的文件(例:note.doc将会匹配123note.docx) 当配置路径,以“\”结尾时,将进行精确匹配(例:D:\windows\),无“\”结尾时,将会模糊匹配所有与输入路径名匹配的文件夹(例:D:\windows将会匹配D:\windows123) |
后缀 | 输入文件后缀名,例如 txt 等。 |
配置示例
1. 勾选所有文件操作行为。
![]()
2. 设备存储监控为空(不勾选)。
3. 填写文件夹路径 C:\Windows 。
4. 输入txt,tmp,xml 文件后缀名 。
5. 完成添加后,单击保存。
![]()
6. 在终端C:\Windows下对 txt,tmp,xml 后缀的文件进行创建、复制、移动、写入、删除、重命名、读取操作。
7. 进入事件中心 > 日志审计 > 终端管控日志 > 文件管控页面,相关操作审计的日志上报到后台,并在 Web 端展示。
共享目录审计
1. 单击开启共享目录审计,开启后,收到此策略的终端上报本机共享文件夹信息。
说明:
共享目录仅支持 Windows 系统。
2. 在终端管理 > 终端信息> 终端详情 > 运行监控 > 共享目录页内枚举显示。