Del via

Kontrollerede mappeadgang (CFA) demonstrationer (bloker ransomware)

  • Artikel

Gælder for:

Kontrolleret mappeadgang hjælper dig med at beskytte værdifulde data mod skadelige apps og trusler, f.eks. ransomware. Microsoft Defender Antivirus vurderer alle apps (alle eksekverbare filer, herunder .exe, .scr, .dll filer og andre) og bestemmer derefter, om appen er skadelig eller sikker. Hvis appen bestemmes for at være skadelig eller mistænkelig, kan appen ikke foretage ændringer af nogen filer i en beskyttet mappe.

Scenariekrav og konfiguration

  • Windows 10 1709 build 16273
  • Microsoft Defender Antivirus (aktiv tilstand)

PowerShell-kommandoer

Set-MpPreference -EnableControlledFolderAccess (State)

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

Regeltilstande

Staten Tilstand Numerisk værdi
Deaktiveret = Fra 0
Aktiveret = Bloktilstand 1
Revision = Overvågningstilstand 2

Kontrollér konfiguration

Get-MpPreference

Testfil

CFA ransomware-testfil

Scenarier

Konfiguration

Download og kør dette installationsscript. Før du kører kørselspolitikken for scriptsæt til Ubegrænset ved hjælp af denne PowerShell-kommando:

Set-ExecutionPolicy Unrestricted

Du kan i stedet udføre disse manuelle trin:

  1. Create en mappe under c: med navnet demo, "c:\demo".

  2. Gem denne rene fil i c:\demo (vi har brug for noget at kryptere).

  3. Udfør PowerShell-kommandoer, der er angivet tidligere i denne artikel.

Scenarie 1: CFA blokerer ransomware-testfil

  1. Slå CFA til ved hjælp af PowerShell-kommando:
Set-MpPreference -EnableControlledFolderAccess Enabled
  1. Føj demomappen til listen over beskyttede mapper ved hjælp af PowerShell-kommando:
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
  1. Download ransomware-testfilen
  2. Udfør ransomware-testfilen *dette er ikke ransomware, det er simpelt forsøger at kryptere c:\demo

Scenarie 1 forventede resultater

5 sekunder efter udførelsen af ransomware testfilen bør du se en meddelelse CFA blokeret krypteringsforsøget.

Scenarie 2: Hvad ville der ske uden CFA

  1. Slå CFA fra ved hjælp af denne PowerShell-kommando:
Set-MpPreference -EnableControlledFolderAccess Disabled
  1. Udfør ransomware-testfilen

Forventede resultater i scenarie 2

  • Filerne i c:\demo er krypteret, og du bør få vist en advarselsmeddelelse
  • Udfør ransomware-testfilen igen for at dekryptere filerne

Oprydning

Download og kør dette oprydningsscript. Du kan i stedet udføre disse manuelle trin:

Set-MpPreference -EnableControlledFolderAccess Disabled

Ryd op i c:\demo-kryptering ved hjælp af krypterings-/dekrypteringsfilen

Se også

Styret mappeadgang

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.