Cfa-demonstrationer (kontrollerad mappåtkomst) (blockera utpressningstrojaner)

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2

Kontrollerad mappåtkomst hjälper dig att skydda värdefulla data från skadliga appar och hot, till exempel utpressningstrojaner. Microsoft Defender Antivirus utvärderar alla appar (alla körbara filer, inklusive .exe, .scr, .dll filer och andra) och avgör sedan om appen är skadlig eller säker. Om appen bedöms vara skadlig eller misstänkt kan appen inte göra ändringar i några filer i någon skyddad mapp.

Scenariokrav och installation

• Windows 10 1709 build 16273
• Microsoft Defender Antivirus (aktivt läge)

PowerShell-kommandon

Set-MpPreference -EnableControlledFolderAccess (State)

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

Regeltillstånd

Tillstånd	Mode	Numeriskt värde
Inaktiverad	= Av	0
Aktiverad	= Blockläge	1
Granskning	= Granskningsläge	2

Verifiera konfigurationen

Get-MpPreference

Testfil

CFA-testfil för utpressningstrojaner

Scenarier

Konfiguration

Ladda ned och kör det här installationsskriptet. Innan du kör körningsprincipen för skriptuppsättningen till Unrestricted med det här PowerShell-kommandot:

Set-ExecutionPolicy Unrestricted

Du kan utföra dessa manuella steg i stället:

1. Skapa en mapp under c: med namnet demo, "c:\demo".

2. Spara den här rena filen i c:\demo (vi behöver något att kryptera).

3. Kör PowerShell-kommandon som anges tidigare i den här artikeln.

Scenario 1: CFA blockerar testfilen för utpressningstrojaner

1. Aktivera CFA med PowerShell-kommandot:

Set-MpPreference -EnableControlledFolderAccess Enabled

2. Lägg till demomappen i listan över skyddade mappar med powershell-kommandot:

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

3. Ladda ned testfilen för utpressningstrojaner
4. Kör testfilen för utpressningstrojaner * det här är inte utpressningstrojaner, det försöker enkelt kryptera c:\demo

Scenario 1 – förväntade resultat

5 sekunder efter att du har kört testfilen för utpressningstrojaner bör du se ett meddelande om att CFA blockerade krypteringsförsöket.

Scenario 2: Vad skulle hända utan CFA

1. Inaktivera CFA med det här PowerShell-kommandot:

Set-MpPreference -EnableControlledFolderAccess Disabled

2. Köra testfilen för utpressningstrojaner

Scenario 2 – förväntade resultat

• Filerna i c:\demo är krypterade och du bör få ett varningsmeddelande
• Kör testfilen för utpressningstrojaner igen för att dekryptera filerna

Rensning

Ladda ned och kör det här rensningsskriptet. Du kan utföra dessa manuella steg i stället:

Set-MpPreference -EnableControlledFolderAccess Disabled

Rensa c:\demokryptering med hjälp av kryptera/dekryptera filen

Se även

Kontrollerad mappåtkomst

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.