受控文件夹访问 (CFA) 演示测试工具 (块脚本)
适用于:
受控文件夹访问可帮助你保护有价值的数据免受恶意应用和威胁(如勒索软件)的侵害。 所有应用 (任何可执行文件(包括 .exe、.scr、.dll 文件和其他) )都由 Microsoft Defender 防病毒进行评估,后者随后会确定该应用是恶意的还是安全的。 如果应用被确定为恶意或可疑,则不允许它对任何受保护文件夹中的任何文件进行更改。
方案要求和设置
- Windows 10 1709 内部版本 16273
- Microsoft Defender防病毒 (活动模式)
PowerShell 命令
Set-MpPreference -EnableControlledFolderAccess <State>
规则状态
| 状态 | 模式 | 数值 |
|---|---|---|
| Disabled | = 关 | 0 |
| 已启用 | = 块模式 | 1 |
| Audit | = 审核模式 | 2 |
验证配置
Get-MpPreference
应用场景
安装
下载并运行此 安装脚本。 运行脚本之前,请使用此 PowerShell 命令将执行策略设置为“无限制”:
Set-ExecutionPolicy Unrestricted
可以改为执行以下手动步骤:
- 使用 PowerShell 命令打开 CFA:
Set-MpPreference -EnableControlledFolderAccess Enabled
- 下载 CFA 测试工具
- 执行上述 PowerShell 命令
场景:使用 CFA 测试工具模拟写入受保护文件夹的不受信任的进程
- 启动 CFA 测试工具
- 选择所需的文件夹并创建文件
清理
下载并运行此 清理脚本。 可以改为执行以下手动步骤:
Set-MpPreference -EnableControlledFolderAccess Disabled
另请参阅
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。