控制文件夹访问 (CFA) 演示 (阻止勒索软件)
适用于:
受控文件夹访问权限有助于保护有价值的数据免受恶意应用和威胁(如勒索软件)的侵害。 Microsoft Defender防病毒 (任何可执行文件(包括 .exe、.scr、.dll 文件和其他) )评估所有应用,然后确定该应用是恶意的还是安全的。 如果应用被确定为恶意或可疑,则应用无法对任何受保护文件夹中的任何文件进行更改。
方案要求和设置
- Windows 10 1709 内部版本 16273
- Microsoft Defender防病毒 (活动模式)
PowerShell 命令
Set-MpPreference -EnableControlledFolderAccess (State)
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
规则状态
状态 | 模式 | 数值 |
---|---|---|
Disabled | = 关 | 0 |
已启用 | = 块模式 | 1 |
Audit | = 审核模式 | 2 |
验证配置
Get-MpPreference
测试文件
应用场景
安装
下载并运行此 安装脚本。 运行脚本之前,请使用此 PowerShell 命令将执行策略设置为“无限制”:
Set-ExecutionPolicy Unrestricted
可以改为执行以下手动步骤:
Create名为“c:\demo”的文件夹。
将此 干净文件 保存到 c:\demo 中, (我们需要一些内容来加密) 。
执行本文前面列出的 PowerShell 命令。
方案 1:CFA 阻止勒索软件测试文件
- 使用 PowerShell 命令打开 CFA:
Set-MpPreference -EnableControlledFolderAccess Enabled
- 使用 PowerShell 命令将演示文件夹添加到受保护的文件夹列表:
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
- 下载勒索软件 测试文件
- 执行勒索软件测试文件 *这不是勒索软件,只需尝试加密 c:\demo
方案 1 预期结果
执行勒索软件测试文件 5 秒后,应会看到 CFA 阻止加密尝试的通知。
方案 2:没有 CFA 会发生什么情况
- 使用以下 PowerShell 命令关闭 CFA:
Set-MpPreference -EnableControlledFolderAccess Disabled
- 执行勒索软件 测试文件
方案 2 预期结果
- c:\demo 中的文件已加密,应收到警告消息
- 再次执行勒索软件测试文件以解密文件
清理
下载并运行此 清理脚本。 可以改为执行以下手动步骤:
Set-MpPreference -EnableControlledFolderAccess Disabled
使用加密/解密文件清理 c:\demo 加密
另请参阅
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。