Demonstrações de acesso controlado a pastas (CFA) (bloquear ransomware)
Aplica-se a:
O acesso controlado a pastas ajuda-o a proteger dados valiosos de aplicações e ameaças maliciosas, como ransomware. Microsoft Defender Antivírus avalia todas as aplicações (qualquer ficheiro executável, incluindo .exe, .scr, .dll ficheiros e outros) e, em seguida, determina se a aplicação é maliciosa ou segura. Se a aplicação for determinada como maliciosa ou suspeita, a aplicação não pode efetuar alterações a quaisquer ficheiros em nenhuma pasta protegida.
Requisitos de cenário e configuração
- Windows 10 1709, build 16273
- Antivírus do Microsoft Defender (modo ativo)
Comandos do PowerShell
Set-MpPreference -EnableControlledFolderAccess (State)
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
Estados da regra
Estado | Modo | Valor numérico |
---|---|---|
Desativado | = Desativado | 0 |
Ativado | = Modo de bloqueio | 1 |
Auditoria | = Modo de auditoria | 2 |
Verificar a configuração
Get-MpPreference
Ficheiro de teste
Ficheiro de teste de ransomware CFA
Cenários
Configuração
Transfira e execute este script de configuração. Antes de executar a política de execução do conjunto de scripts para Unrestricted com este comando do PowerShell:
Set-ExecutionPolicy Unrestricted
Em alternativa, pode executar estes passos manuais:
Create uma pasta em c: chamada demonstração, "c:\demo".
Guarde este ficheiro limpo em c:\demo (precisamos de algo para encriptar).
Execute comandos do PowerShell listados anteriormente neste artigo.
Cenário 1: CFA bloqueia ficheiro de teste de ransomware
- Ative o CFA com o comando do PowerShell:
Set-MpPreference -EnableControlledFolderAccess Enabled
- Adicione a pasta de demonstração à lista de pastas protegidas com o comando do PowerShell:
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
- Transferir o ficheiro de teste de ransomware
- Execute o ficheiro de teste de ransomware *isto não é ransomware, é simples tentar encriptar c:\demo
Cenário 1 resultados esperados
5 segundos depois de executar o ficheiro de teste de ransomware, deverá ver uma notificação CFA bloqueada na tentativa de encriptação.
Cenário 2: O que aconteceria sem o CFA
- Desative o CFA com este comando do PowerShell:
Set-MpPreference -EnableControlledFolderAccess Disabled
- Executar o ficheiro de teste de ransomware
Cenário 2 resultados esperados
- Os ficheiros em c:\demo são encriptados e deverá receber uma mensagem de aviso
- Execute novamente o ficheiro de teste de ransomware para desencriptar os ficheiros
Limpeza
Transfira e execute este script de limpeza. Em alternativa, pode executar estes passos manuais:
Set-MpPreference -EnableControlledFolderAccess Disabled
Limpar a encriptação c:\demo com o ficheiro encriptar/desencriptar
Consulte também
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.