Demos für kontrollierten Ordnerzugriff (CFA) (Ransomware blockieren)

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2

Der kontrollierte Ordnerzugriff hilft Ihnen, wertvolle Daten vor schädlichen Apps und Bedrohungen wie Ransomware zu schützen. Microsoft Defender Antivirus bewertet alle Apps (jede ausführbare Datei, einschließlich .exe, .scr, .dll Dateien und andere) und ermittelt dann, ob die App böswillig oder sicher ist. Wenn die App als böswillig oder verdächtig eingestuft wird, kann die App keine Änderungen an Dateien in einem geschützten Ordner vornehmen.

Szenarioanforderungen und Einrichtung

• Windows 10 1709 Build 16273
• Microsoft Defender Antivirus (aktiver Modus)

PowerShell-Befehle

Set-MpPreference -EnableControlledFolderAccess (State)

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

Regelzustände

Status	Modus	Numerischer Wert
Deaktiviert	= Aus	0
Aktiviert	= Blockmodus	1
Überwachung	= Überwachungsmodus	2

Überprüfen der Konfiguration

Get-MpPreference

Testdatei

CFA-Ransomware-Testdatei

Szenarien

Setup

Laden Sie dieses Setupskript herunter, und führen Sie es aus. Legen Sie vor dem Ausführen der Skriptausführungsrichtlinie mit diesem PowerShell-Befehl auf Uneingeschränkt fest:

Set-ExecutionPolicy Unrestricted

Sie können stattdessen die folgenden manuellen Schritte ausführen:

1. Create unter "c: demo" einen Ordner mit dem Namen "c:\demo".

2. Speichern Sie diese sauber-Datei in c:\demo (wir benötigen etwas zum Verschlüsseln).

3. Führen Sie weiter oben in diesem Artikel aufgeführte PowerShell-Befehle aus.

Szenario 1: CFA blockiert Ransomware-Testdatei

1. Aktivieren Sie CFA mithilfe des PowerShell-Befehls:

Set-MpPreference -EnableControlledFolderAccess Enabled

2. Fügen Sie den Demoordner mithilfe des PowerShell-Befehls der Liste geschützter Ordner hinzu:

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

3. Herunterladen der Ransomware-Testdatei
4. Führen Sie die Ransomware-Testdatei *dies ist keine Ransomware, es versucht einfach, c:\demo zu verschlüsseln

Erwartete Ergebnisse für Szenario 1

5 Sekunden nach der Ausführung der Ransomware-Testdatei sollten Sie eine Benachrichtigung sehen CFA blockiert den Verschlüsselungsversuch.

Szenario 2: Was würde ohne CFA passieren?

1. Deaktivieren Sie CFA mit diesem PowerShell-Befehl:

Set-MpPreference -EnableControlledFolderAccess Disabled

2. Ausführen der Ransomware-Testdatei

Erwartete Ergebnisse in Szenario 2

• Die Dateien in c:\demo sind verschlüsselt, und Es sollte eine Warnmeldung angezeigt werden.
• Führen Sie die Ransomware-Testdatei erneut aus, um die Dateien zu entschlüsseln

Bereinigen

Laden Sie dieses Bereinigungsskript herunter, und führen Sie es aus. Sie können stattdessen die folgenden manuellen Schritte ausführen:

Set-MpPreference -EnableControlledFolderAccess Disabled

Bereinigen der C:\demo-Verschlüsselung mithilfe der Verschlüsselungs-/Entschlüsselungsdatei

Siehe auch

Kontrollierter Ordnerzugriff

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.