フォルダー アクセスの制御 (CFA) のデモンストレーションデモ (ランサムウェアのブロック)
適用対象:
フォルダー アクセスの制御は、ランサムウェアなどの悪意のあるアプリや脅威から貴重なデータを保護するのに役立ちます。 Microsoft Defenderウイルス対策では、すべてのアプリ (.exe、.scr、.dll ファイルなど、任意の実行可能ファイル) が評価され、アプリが悪意のあるアプリか安全かを判断します。 アプリが悪意のある、または疑わしいと判断された場合、アプリは保護されたフォルダー内のファイルに変更を加えることはできません。
シナリオの要件とセットアップ
- Windows 10 1709 ビルド 16273
- Microsoft Defender ウイルス対策 (アクティブ モード)
PowerShell コマンド
Set-MpPreference -EnableControlledFolderAccess (State)
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
ルールの状態
| 状態コード | モード | 数値 |
|---|---|---|
| 無効 | = オフ | 0 |
| Enabled | = ブロック モード | 1 |
| 監査 | = 監査モード | 2 |
構成を確認する
Get-MpPreference
テスト ファイル
シナリオ
セットアップ
この セットアップ スクリプトをダウンロードして実行します。 スクリプトを実行する前に、次の PowerShell コマンドを使用して実行ポリシーを無制限に設定します。
Set-ExecutionPolicy Unrestricted
代わりに、次の手動手順を実行できます。
Create c: という名前の demo、"c:\demo" の下のフォルダーです。
このクリーン ファイルを c:\demo に保存します (暗号化する必要があります)。
この記事で前述した PowerShell コマンドを実行します。
シナリオ 1: CFA によってランサムウェア テスト ファイルがブロックされる
- PowerShell コマンドを使用して CFA を有効にします。
Set-MpPreference -EnableControlledFolderAccess Enabled
- PowerShell コマンドを使用して、保護されたフォルダーの一覧にデモ フォルダーを追加します。
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
- ランサムウェア テスト ファイルをダウンロードする
- ランサムウェア テスト ファイルを実行する *これはランサムウェアではなく、単純な c:\demo の暗号化を試みます
シナリオ 1 の予想される結果
ランサムウェア テスト ファイルを実行してから 5 秒後に、CFA が暗号化の試行をブロックしたという通知が表示されます。
シナリオ 2: CFA なしで何が起こるか
- 次の PowerShell コマンドを使用して CFA をオフにします。
Set-MpPreference -EnableControlledFolderAccess Disabled
- ランサムウェア テスト ファイルを実行する
シナリオ 2 予想される結果
- c:\demo のファイルは暗号化されており、警告メッセージが表示されます
- ランサムウェア テスト ファイルをもう一度実行してファイルの暗号化を解除する
クリーンアップ
この クリーンアップ スクリプトをダウンロードして実行します。 代わりに、次の手動手順を実行できます。
Set-MpPreference -EnableControlledFolderAccess Disabled
暗号化/暗号化解除ファイルを使用して c:\demo 暗号化をクリーンアップする
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。