Démonstrations d’accès contrôlé aux dossiers (CFA) (bloquer les rançongiciels)
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
L’accès contrôlé aux dossiers vous permet de protéger les données précieuses contre les applications malveillantes et les menaces, telles que les rançongiciels. Microsoft Defender Antivirus évalue toutes les applications (tout fichier exécutable, y compris les fichiers .exe, .scr, .dll et autres), puis détermine si l’application est malveillante ou sécurisée. Si l’application est considérée comme malveillante ou suspecte, l’application ne peut pas apporter de modifications à des fichiers dans un dossier protégé.
Configuration requise et configuration du scénario
- Windows 10 1709 build 16273
- Antivirus Microsoft Defender (mode actif)
Commandes PowerShell
Set-MpPreference -EnableControlledFolderAccess (State)
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
États de règle
| État | Mode | Valeur numérique |
|---|---|---|
| Désactivé | = Désactivé | 0 |
| Activé | = Mode bloc | 1 |
| Audit | = Mode d’audit | 2 |
Vérifier la configuration
Get-MpPreference
Fichier de test
Fichier de test de ransomware CFA
Scénarios
Configuration
Téléchargez et exécutez ce script d’installation. Avant d’exécuter la stratégie d’exécution du jeu de scripts sur Non restreint à l’aide de cette commande PowerShell :
Set-ExecutionPolicy Unrestricted
Vous pouvez effectuer ces étapes manuelles à la place :
Create un dossier sous c : named demo, « c :\demo ».
Enregistrez ce fichier propre dans c :\demo (nous avons besoin d’un élément à chiffrer).
Exécutez les commandes PowerShell répertoriées plus haut dans cet article.
Scénario 1 : CFA bloque le fichier de test de ransomware
- Activez la fonction CFA à l’aide de la commande PowerShell :
Set-MpPreference -EnableControlledFolderAccess Enabled
- Ajoutez le dossier de démonstration à la liste des dossiers protégés à l’aide de la commande PowerShell :
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
- Télécharger le fichier de test de ransomware
- Exécutez le fichier de test de ransomware *ce n’est pas un ransomware, il tente simplement de chiffrer c :\demo
Résultats attendus du scénario 1
5 secondes après l’exécution du fichier de test de ransomware, vous devriez voir une notification CFA bloqué la tentative de chiffrement.
Scénario 2 : Que se passerait-il sans la CFA
- Désactivez la fonctionnalité CFA à l’aide de cette commande PowerShell :
Set-MpPreference -EnableControlledFolderAccess Disabled
- Exécuter le fichier de test de ransomware
Résultats attendus du scénario 2
- Les fichiers dans c :\demo sont chiffrés et vous devez recevoir un message d’avertissement
- Réexécuter le fichier de test de ransomware pour déchiffrer les fichiers
Nettoyer
Téléchargez et exécutez ce script de nettoyage. Vous pouvez effectuer ces étapes manuelles à la place :
Set-MpPreference -EnableControlledFolderAccess Disabled
Nettoyer le chiffrement c :\demo à l’aide du fichier encrypt/decrypt
Voir aussi
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.