Demonstrações de CFA (acesso controlado à pasta) (bloquear ransomware)
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
O acesso controlado à pasta ajuda você a proteger dados valiosos contra aplicativos mal-intencionados e ameaças, como ransomware. Microsoft Defender Antivírus avalia todos os aplicativos (qualquer arquivo executável, incluindo .exe, .scr, .dll arquivos e outros) e determina se o aplicativo é mal-intencionado ou seguro. Se o aplicativo for determinado como mal-intencionado ou suspeito, o aplicativo não poderá fazer alterações em nenhum arquivo em nenhuma pasta protegida.
Requisitos de cenário e configuração
- Windows 10 1709 build 16273
- Microsoft Defender Antivírus (modo ativo)
Comandos do PowerShell
Set-MpPreference -EnableControlledFolderAccess (State)
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
Estados de regra
| Estado | Modo | Valor numérico |
|---|---|---|
| Desabilitado | = Desativado | 0 |
| Habilitado | = Modo de bloqueio | 1 |
| Auditoria | = Modo de auditoria | 2 |
Verificar a configuração
Get-MpPreference
Arquivo de teste
Arquivo de teste de ransomware CFA
Cenários
Configurar
Baixe e execute este script de configuração. Antes de executar a política de execução do conjunto de scripts como Irrestrito usando este comando do PowerShell:
Set-ExecutionPolicy Unrestricted
Em vez disso, você pode executar estas etapas manuais:
Create uma pasta em c: demonstração nomeada, "c:\demo".
Salve esse arquivo limpo em c:\demo (precisamos de algo para criptografar).
Execute comandos do PowerShell listados anteriormente neste artigo.
Cenário 1: CFA bloqueia arquivo de teste de ransomware
- Ative o CFA usando o comando do PowerShell:
Set-MpPreference -EnableControlledFolderAccess Enabled
- Adicione a pasta de demonstração à lista de pastas protegidas usando o comando do PowerShell:
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
- Baixar o arquivo de teste de ransomware
- Executar o arquivo de teste de ransomware *isso não é ransomware, ele tenta criptografar c:\demonstração
Cenário 1 resultados esperados
5 segundos depois de executar o arquivo de teste de ransomware, você deve ver uma notificação CFA bloquear a tentativa de criptografia.
Cenário 2: O que aconteceria sem CFA
- Desative o CFA usando este comando do PowerShell:
Set-MpPreference -EnableControlledFolderAccess Disabled
- Executar o arquivo de teste de ransomware
Cenário 2 resultados esperados
- Os arquivos em c:\demonstração são criptografados e você deve receber uma mensagem de aviso
- Execute o arquivo de teste de ransomware novamente para descriptografar os arquivos
Limpar
Baixe e execute este script de limpeza. Em vez disso, você pode executar estas etapas manuais:
Set-MpPreference -EnableControlledFolderAccess Disabled
Limpar a criptografia c:\demo usando o arquivo criptografar/descriptografar
Confira também
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.