Demonstracje dotyczące kontrolowanego dostępu do folderów (CFA) (blokowanie oprogramowania wymuszającego okup)

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)

Kontrolowany dostęp do folderów pomaga chronić cenne dane przed złośliwymi aplikacjami i zagrożeniami, takimi jak oprogramowanie wymuszające okup. Microsoft Defender Antivirus ocenia wszystkie aplikacje (dowolny plik wykonywalny, w tym .exe, scr, pliki .dll i inne), a następnie określa, czy aplikacja jest złośliwa czy bezpieczna. Jeśli aplikacja zostanie określona jako złośliwa lub podejrzana, aplikacja nie może wprowadzać zmian w żadnych plikach w żadnym folderze chronionym.

Wymagania i konfiguracja scenariusza

• kompilacja Windows 10 1709 16273
• program antywirusowy Microsoft Defender (tryb aktywny)

Polecenia programu PowerShell

Set-MpPreference -EnableControlledFolderAccess (State)

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

Stany reguł

Stan	Tryb	Wartość liczbowa
Wyłączona	= Wyłączone	0
Włączone	= Tryb bloku	1
Inspekcji	= Tryb inspekcji	2

Weryfikowanie konfiguracji

Get-MpPreference

Plik testowy

Plik testowy oprogramowania wymuszającego okup cfa

Scenariuszy

Konfigurowanie

Pobierz i uruchom ten skrypt konfiguracji. Przed uruchomieniem zasad wykonywania zestawu skryptów na wartość Nieograniczone przy użyciu tego polecenia programu PowerShell:

Set-ExecutionPolicy Unrestricted

Zamiast tego możesz wykonać następujące czynności ręczne:

1. Twórca folder w obszarze c: o nazwie demo "c:\demo".

2. Zapisz ten czysty plik w pliku c:\demo (potrzebujemy czegoś do zaszyfrowania).

3. Wykonaj polecenia programu PowerShell wymienione wcześniej w tym artykule.

Scenariusz 1. Cfa blokuje plik testowy oprogramowania wymuszającego okup

1. Włącz usługę CFA przy użyciu polecenia programu PowerShell:

Set-MpPreference -EnableControlledFolderAccess Enabled

2. Dodaj folder demonstracyjny do listy folderów chronionych przy użyciu polecenia programu PowerShell:

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

3. Pobieranie pliku testowego oprogramowania wymuszającego okup
4. Wykonaj plik testowy oprogramowania wymuszającego okup *to nie jest oprogramowanie wymuszające okup, proste próby szyfrowania c:\demo

Oczekiwane wyniki scenariusza 1

5 sekund po wykonaniu pliku testowego oprogramowania wymuszającego okup powinno zostać wyświetlone powiadomienie CFA zablokowało próbę szyfrowania.

Scenariusz 2: Co by się stało bez cfa

1. Wyłącz usługę CFA przy użyciu tego polecenia programu PowerShell:

Set-MpPreference -EnableControlledFolderAccess Disabled

2. Wykonywanie pliku testowego oprogramowania wymuszającego okup

Oczekiwane wyniki scenariusza 2

• Pliki w c:\demo są szyfrowane i powinien zostać wyświetlony komunikat ostrzegawczy
• Ponownie wykonaj plik testowy oprogramowania wymuszającego okup, aby odszyfrować pliki

Oczyszczanie

Pobierz i uruchom ten skrypt oczyszczania. Zamiast tego możesz wykonać następujące czynności ręczne:

Set-MpPreference -EnableControlledFolderAccess Disabled

Czyszczenie szyfrowania c:\demo przy użyciu pliku szyfrowania/odszyfrowywania

Zobacz też

Kontrolowany dostęp do folderu

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.