العروض التوضيحية للوصول إلى المجلدات الخاضعة للرقابة (CFA) (حظر برامج الفدية الضارة)

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2

يساعدك الوصول المتحكم به إلى المجلدات على حماية البيانات القيمة من التطبيقات والتهديدات الضارة، مثل برامج الفدية الضارة. يقوم برنامج الحماية من الفيروسات Microsoft Defender بتقييم جميع التطبيقات (أي ملف قابل للتنفيذ، بما في ذلك .exe و.scr وملفات .dll وغيرها) ثم يحدد ما إذا كان التطبيق ضارا أو آمنا. إذا تم تحديد أن التطبيق ضار أو مريب، فلن يتمكن التطبيق من إجراء تغييرات على أي ملفات في أي مجلد محمي.

متطلبات السيناريو والإعداد

• Windows 10 الإصدار 1709 16273
• برنامج الحماية من الفيروسات Microsoft Defender (الوضع النشط)

أوامر PowerShell

Set-MpPreference -EnableControlledFolderAccess (State)

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

حالات القاعدة

الدوله	الوضع	قيمة رقمية
ذوي الاحتياجات الخاصه	= إيقاف التشغيل	0
تمكين	= وضع الحظر	1
مراجعه الحسابات	= وضع التدقيق	2

التحقق من التكوين

Get-MpPreference

اختبار الملف

ملف اختبار برامج الفدية الضارة CFA

سيناريوهات

إعداد

قم بتنزيل وتشغيل البرنامج النصي للإعداد هذا. قبل تشغيل نهج تنفيذ تعيين البرنامج النصي إلى Unrestricted باستخدام أمر PowerShell هذا:

Set-ExecutionPolicy Unrestricted

يمكنك تنفيذ هذه الخطوات اليدوية بدلا من ذلك:

1. الإنشاء مجلد ضمن c: يسمى demo، "c:\demo".

2. احفظ هذا الملف النظيف في c:\demo (نحتاج إلى شيء لتشفيره).

3. تنفيذ أوامر PowerShell المدرجة سابقا في هذه المقالة.

السيناريو 1: يحظر CFA ملف اختبار برامج الفدية الضارة

1. قم بتشغيل CFA باستخدام أمر PowerShell:

Set-MpPreference -EnableControlledFolderAccess Enabled

2. أضف المجلد التجريبي إلى قائمة المجلدات المحمية باستخدام أمر PowerShell:

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

3. تنزيل ملف اختبار برامج الفدية الضارة
4. تنفيذ ملف اختبار برامج الفدية الضارة *هذا ليس برامج الفدية الضارة، فإنه يحاول بسيطة لتشفير c:\demo

السيناريو 1 النتائج المتوقعة

بعد 5 ثوان من تنفيذ ملف اختبار برامج الفدية الضارة، يجب أن تشاهد إعلاما منعت CFA محاولة التشفير.

السيناريو 2: ما الذي سيحدث بدون CFA

1. إيقاف تشغيل CFA باستخدام أمر PowerShell هذا:

Set-MpPreference -EnableControlledFolderAccess Disabled

2. تنفيذ ملف اختبار برامج الفدية الضارة

السيناريو 2 النتائج المتوقعة

• يتم تشفير الملفات الموجودة في c:\demo ويجب أن تتلقى رسالة تحذير
• تنفيذ ملف اختبار برامج الفدية الضارة مرة أخرى لفك تشفير الملفات

التنظيف

قم بتنزيل وتشغيل البرنامج النصي للتنظيف هذا. يمكنك تنفيذ هذه الخطوات اليدوية بدلا من ذلك:

Set-MpPreference -EnableControlledFolderAccess Disabled

تنظيف التشفير c:\demo باستخدام ملف التشفير/فك التشفير

راجع أيضًا

الوصول إلى المجلدات الخاضعة للتحكم

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.