控制文件夹访问 (CFA) 演示 (阻止勒索软件)

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2

受控文件夹访问权限有助于保护有价值的数据免受恶意应用和威胁（如勒索软件）的侵害。 Microsoft Defender防病毒 (任何可执行文件（包括 .exe、.scr、.dll 文件和其他) ）评估所有应用，然后确定该应用是恶意的还是安全的。 如果应用被确定为恶意或可疑，则应用无法对任何受保护文件夹中的任何文件进行更改。

方案要求和设置

• Windows 10 1709 内部版本 16273
• Microsoft Defender防病毒 (活动模式)

PowerShell 命令

Set-MpPreference -EnableControlledFolderAccess (State)

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

规则状态

状态	模式	数值
Disabled	= 关	0
已启用	= 块模式	1
Audit	= 审核模式	2

验证配置

Get-MpPreference

测试文件

CFA 勒索软件测试文件

应用场景

安装

下载并运行此 安装脚本。 运行脚本之前，请使用此 PowerShell 命令将执行策略设置为“无限制”：

Set-ExecutionPolicy Unrestricted

可以改为执行以下手动步骤：

1. Create名为“c：\demo”的文件夹。

2. 将此 干净文件 保存到 c：\demo 中， (我们需要一些内容来加密) 。

3. 执行本文前面列出的 PowerShell 命令。

方案 1：CFA 阻止勒索软件测试文件

1. 使用 PowerShell 命令打开 CFA：

Set-MpPreference -EnableControlledFolderAccess Enabled

2. 使用 PowerShell 命令将演示文件夹添加到受保护的文件夹列表：

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

3. 下载勒索软件 测试文件
4. 执行勒索软件测试文件 *这不是勒索软件，只需尝试加密 c：\demo

方案 1 预期结果

执行勒索软件测试文件 5 秒后，应会看到 CFA 阻止加密尝试的通知。

方案 2：没有 CFA 会发生什么情况

1. 使用以下 PowerShell 命令关闭 CFA：

Set-MpPreference -EnableControlledFolderAccess Disabled

2. 执行勒索软件 测试文件

方案 2 预期结果

• c：\demo 中的文件已加密，应收到警告消息
• 再次执行勒索软件测试文件以解密文件

清理

下载并运行此 清理脚本。 可以改为执行以下手动步骤：

Set-MpPreference -EnableControlledFolderAccess Disabled

使用加密/解密文件清理 c：\demo 加密

另请参阅

受控文件夹访问

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。