控制文件夹访问 (CFA) 演示 (阻止勒索软件)

适用于:

受控文件夹访问权限有助于保护有价值的数据免受恶意应用和威胁(如勒索软件)的侵害。 Microsoft Defender防病毒 (任何可执行文件(包括 .exe、.scr、.dll 文件和其他) )评估所有应用,然后确定该应用是恶意的还是安全的。 如果应用被确定为恶意或可疑,则应用无法对任何受保护文件夹中的任何文件进行更改。

方案要求和设置

  • Windows 10 1709 内部版本 16273
  • Microsoft Defender防病毒 (活动模式)

PowerShell 命令

Set-MpPreference -EnableControlledFolderAccess (State)
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

规则状态

状态 模式 数值
Disabled = 关 0
已启用 = 块模式 1
Audit = 审核模式 2

验证配置

Get-MpPreference

测试文件

CFA 勒索软件测试文件

应用场景

安装

下载并运行此 安装脚本。 运行脚本之前,请使用此 PowerShell 命令将执行策略设置为“无限制”:

Set-ExecutionPolicy Unrestricted

可以改为执行以下手动步骤:

  1. Create名为“c:\demo”的文件夹。

  2. 将此 干净文件 保存到 c:\demo 中, (我们需要一些内容来加密) 。

  3. 执行本文前面列出的 PowerShell 命令。

方案 1:CFA 阻止勒索软件测试文件

  1. 使用 PowerShell 命令打开 CFA:
Set-MpPreference -EnableControlledFolderAccess Enabled
  1. 使用 PowerShell 命令将演示文件夹添加到受保护的文件夹列表:
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
  1. 下载勒索软件 测试文件
  2. 执行勒索软件测试文件 *这不是勒索软件,只需尝试加密 c:\demo

方案 1 预期结果

执行勒索软件测试文件 5 秒后,应会看到 CFA 阻止加密尝试的通知。

方案 2:没有 CFA 会发生什么情况

  1. 使用以下 PowerShell 命令关闭 CFA:
Set-MpPreference -EnableControlledFolderAccess Disabled
  1. 执行勒索软件 测试文件

方案 2 预期结果

  • c:\demo 中的文件已加密,应收到警告消息
  • 再次执行勒索软件测试文件以解密文件

清理

下载并运行此 清理脚本。 可以改为执行以下手动步骤:

Set-MpPreference -EnableControlledFolderAccess Disabled

使用加密/解密文件清理 c:\demo 加密

另请参阅

受控文件夹访问

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区