Partilhar via


Demonstrações de acesso controlado a pastas (CFA) (bloquear ransomware)

Aplica-se a:

O acesso controlado a pastas ajuda-o a proteger dados valiosos de aplicações e ameaças maliciosas, como ransomware. Microsoft Defender Antivírus avalia todas as aplicações (qualquer ficheiro executável, incluindo .exe, .scr, .dll ficheiros e outros) e, em seguida, determina se a aplicação é maliciosa ou segura. Se a aplicação for determinada como maliciosa ou suspeita, a aplicação não pode efetuar alterações a quaisquer ficheiros em nenhuma pasta protegida.

Requisitos de cenário e configuração

  • Windows 10 1709, build 16273
  • Antivírus do Microsoft Defender (modo ativo)

Comandos do PowerShell

Set-MpPreference -EnableControlledFolderAccess (State)
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

Estados da regra

Estado Modo Valor numérico
Desativado = Desativado 0
Ativado = Modo de bloqueio 1
Auditoria = Modo de auditoria 2

Verificar a configuração

Get-MpPreference

Ficheiro de teste

Ficheiro de teste de ransomware CFA

Cenários

Configuração

Transfira e execute este script de configuração. Antes de executar a política de execução do conjunto de scripts para Unrestricted com este comando do PowerShell:

Set-ExecutionPolicy Unrestricted

Em alternativa, pode executar estes passos manuais:

  1. Create uma pasta em c: chamada demonstração, "c:\demo".

  2. Guarde este ficheiro limpo em c:\demo (precisamos de algo para encriptar).

  3. Execute comandos do PowerShell listados anteriormente neste artigo.

Cenário 1: CFA bloqueia ficheiro de teste de ransomware

  1. Ative o CFA com o comando do PowerShell:
Set-MpPreference -EnableControlledFolderAccess Enabled
  1. Adicione a pasta de demonstração à lista de pastas protegidas com o comando do PowerShell:
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
  1. Transferir o ficheiro de teste de ransomware
  2. Execute o ficheiro de teste de ransomware *isto não é ransomware, é simples tentar encriptar c:\demo

Cenário 1 resultados esperados

5 segundos depois de executar o ficheiro de teste de ransomware, deverá ver uma notificação CFA bloqueada na tentativa de encriptação.

Cenário 2: O que aconteceria sem o CFA

  1. Desative o CFA com este comando do PowerShell:
Set-MpPreference -EnableControlledFolderAccess Disabled
  1. Executar o ficheiro de teste de ransomware

Cenário 2 resultados esperados

  • Os ficheiros em c:\demo são encriptados e deverá receber uma mensagem de aviso
  • Execute novamente o ficheiro de teste de ransomware para desencriptar os ficheiros

Limpeza

Transfira e execute este script de limpeza. Em alternativa, pode executar estes passos manuais:

Set-MpPreference -EnableControlledFolderAccess Disabled

Limpar a encriptação c:\demo com o ficheiro encriptar/desencriptar

Consulte também

Acesso controlado a pastas

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.