Ukázky řízeného přístupu ke složkám (CFA) (block ransomware)

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod

Řízený přístup ke složkám pomáhá chránit cenná data před škodlivými aplikacemi a hrozbami, jako je ransomware. Microsoft Defender Antivirus vyhodnotí všechny aplikace (všechny spustitelné soubory, včetně .exe, .scr, souborů .dll a dalších) a pak zjistí, jestli je aplikace škodlivá nebo bezpečná. Pokud se zjistí, že je aplikace škodlivá nebo podezřelá, nemůže provádět změny v žádných souborech v žádné chráněné složce.

Požadavky a nastavení scénáře

• Windows 10 1709 build 16273
• Microsoft Defender Antivirus (aktivní režim)

Příkazy PowerShellu

Set-MpPreference -EnableControlledFolderAccess (State)

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

Stavy pravidel

Stav	Režim	Číselná hodnota
Zakázáno	= Vypnuto	0
Povoleno	= Režim blokování	1
Auditu	= Režim auditování	2

Ověření konfigurace

Get-MpPreference

Testovací soubor

Testovací soubor ransomwaru CFA

Scénáře

Instalace

Stáhněte a spusťte tento instalační skript. Před spuštěním skriptu nastavte pomocí tohoto příkazu PowerShellu zásadu spouštění na Hodnotu Bez omezení:

Set-ExecutionPolicy Unrestricted

Místo toho můžete provést tyto ruční kroky:

1. Create složku v části c: s názvem demo, "c:\demo".

2. Uložte tento čistý soubor do c:\demo (potřebujeme něco k zašifrování).

3. Spusťte příkazy PowerShellu uvedené výše v tomto článku.

Scénář 1: CFA blokuje testovací soubor ransomwaru

1. Zapněte CFA pomocí příkazu PowerShellu:

Set-MpPreference -EnableControlledFolderAccess Enabled

2. Přidejte ukázkovou složku do seznamu chráněných složek pomocí příkazu PowerShellu:

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

3. Stažení testovacího souboru ransomwaru
4. Spusťte testovací soubor ransomwaru *to není ransomware, ale jednoduše se pokusí zašifrovat c:\demo.

Scénář 1 – očekávané výsledky

5 sekund po spuštění testovacího souboru ransomwaru by se mělo zobrazit oznámení CFA, že pokus o šifrování zablokoval.

Scénář 2: Co by se stalo bez CFA

1. Vypněte CFA pomocí tohoto příkazu PowerShellu:

Set-MpPreference -EnableControlledFolderAccess Disabled

2. Spuštění testovacího souboru ransomwaru

Scénář 2 – očekávané výsledky

• Soubory v c:\demo jsou šifrované a měla by se zobrazit zpráva upozornění.
• Spuštěním testovacího souboru ransomwaru znovu dešifrujte soubory.

Vyčištění

Stáhněte a spusťte tento skript pro vyčištění. Místo toho můžete provést tyto ruční kroky:

Set-MpPreference -EnableControlledFolderAccess Disabled

Vyčištění šifrování c:\demo pomocí souboru encrypt/decrypt

Viz také

Řízený přístup ke složkám

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.