Demonstrasjoner av kontrollert mappetilgang (CFA) (blokker løsepengevirus)

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2

Kontrollert mappetilgang hjelper deg med å beskytte verdifulle data mot skadelige apper og trusler, for eksempel løsepengevirus. Microsoft Defender Antivirus vurderer alle apper (alle kjørbare filer, inkludert .exe, .scr, .dll filer og andre), og bestemmer deretter om appen er skadelig eller trygg. Hvis appen er fastslått å være ondsinnet eller mistenkelig, kan ikke appen gjøre endringer i noen filer i en beskyttet mappe.

Scenariokrav og oppsett

• Windows 10 1709 bygg 16273
• Microsoft Defender Antivirus (aktiv modus)

PowerShell-kommandoer

Set-MpPreference -EnableControlledFolderAccess (State)

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

Regelstatuser

Tilstand	Modus	Numerisk verdi
Deaktivert	= Av	0
Aktivert	= Blokkmodus	1
Tilsynet	= Overvåkingsmodus	2

Bekreft konfigurasjon

Get-MpPreference

Test fil

Testfil for CFA-løsepengevirus

Scenarier

Konfigurasjon

Last ned og kjør installasjonsskriptet. Før kjøring av policyen for skriptsett kjøres ubegrenset ved hjelp av denne PowerShell-kommandoen:

Set-ExecutionPolicy Unrestricted

Du kan utføre disse manuelle trinnene i stedet:

1. Opprett en mappe under c: med navnet demo, «c:\demo».

2. Lagre denne rene filen i c:\demo (vi trenger noe å kryptere).

3. Utfør PowerShell-kommandoer som er oppført tidligere i denne artikkelen.

Scenario 1: CFA blokkerer testfil for løsepengevirus

1. Aktiver CFA ved hjelp av PowerShell-kommandoen:

Set-MpPreference -EnableControlledFolderAccess Enabled

2. Legg til demomappen i listen over beskyttede mapper ved hjelp av PowerShell-kommandoen:

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

3. Last ned testfilen for løsepengevirus
4. Utfør løsepengevirustestfilen *dette er ikke løsepengevirus, det er enkelt å prøve å kryptere c:\demo

Forventede resultater for scenario 1

5 sekunder etter at du har utført testfilen for løsepengevirus, skal du se et varsel om at CFA blokkerte krypteringsforsøket.

Scenario 2: Hva ville skje uten CFA

1. Deaktiver CFA ved hjelp av denne PowerShell-kommandoen:

Set-MpPreference -EnableControlledFolderAccess Disabled

2. Utfør testfilen for løsepengevirus

Forventede resultater for scenario 2

• Filene i c:\demo krypteres, og du bør få en advarselsmelding
• Utfør testfilen for løsepengevirus på nytt for å dekryptere filene

Opprydding

Last ned og kjør dette oppryddingsskriptet. Du kan utføre disse manuelle trinnene i stedet:

Set-MpPreference -EnableControlledFolderAccess Disabled

Rydd opp i c:\demokryptering ved hjelp av krypterings-/dekrypteringsfilen

Se også

Kontrollert mappetilgang

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.