Demos für kontrollierten Ordnerzugriff (CFA) (Ransomware blockieren)
Gilt für:
Der kontrollierte Ordnerzugriff hilft Ihnen, wertvolle Daten vor schädlichen Apps und Bedrohungen wie Ransomware zu schützen. Microsoft Defender Antivirus bewertet alle Apps (jede ausführbare Datei, einschließlich .exe, .scr, .dll Dateien und andere) und ermittelt dann, ob die App böswillig oder sicher ist. Wenn die App als böswillig oder verdächtig eingestuft wird, kann die App keine Änderungen an Dateien in einem geschützten Ordner vornehmen.
Szenarioanforderungen und Einrichtung
- Windows 10 1709 Build 16273
- Microsoft Defender Antivirus (aktiver Modus)
PowerShell-Befehle
Set-MpPreference -EnableControlledFolderAccess (State)
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
Regelzustände
| Status | Modus | Numerischer Wert |
|---|---|---|
| Deaktiviert | = Aus | 0 |
| Aktiviert | = Blockmodus | 1 |
| Überwachung | = Überwachungsmodus | 2 |
Überprüfen der Konfiguration
Get-MpPreference
Testdatei
Szenarien
Setup
Laden Sie dieses Setupskript herunter, und führen Sie es aus. Legen Sie vor dem Ausführen der Skriptausführungsrichtlinie mit diesem PowerShell-Befehl auf Uneingeschränkt fest:
Set-ExecutionPolicy Unrestricted
Sie können stattdessen die folgenden manuellen Schritte ausführen:
Create unter "c: demo" einen Ordner mit dem Namen "c:\demo".
Speichern Sie diese sauber-Datei in c:\demo (wir benötigen etwas zum Verschlüsseln).
Führen Sie weiter oben in diesem Artikel aufgeführte PowerShell-Befehle aus.
Szenario 1: CFA blockiert Ransomware-Testdatei
- Aktivieren Sie CFA mithilfe des PowerShell-Befehls:
Set-MpPreference -EnableControlledFolderAccess Enabled
- Fügen Sie den Demoordner mithilfe des PowerShell-Befehls der Liste geschützter Ordner hinzu:
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
- Herunterladen der Ransomware-Testdatei
- Führen Sie die Ransomware-Testdatei *dies ist keine Ransomware, es versucht einfach, c:\demo zu verschlüsseln
Erwartete Ergebnisse für Szenario 1
5 Sekunden nach der Ausführung der Ransomware-Testdatei sollten Sie eine Benachrichtigung sehen CFA blockiert den Verschlüsselungsversuch.
Szenario 2: Was würde ohne CFA passieren?
- Deaktivieren Sie CFA mit diesem PowerShell-Befehl:
Set-MpPreference -EnableControlledFolderAccess Disabled
- Ausführen der Ransomware-Testdatei
Erwartete Ergebnisse in Szenario 2
- Die Dateien in c:\demo sind verschlüsselt, und Es sollte eine Warnmeldung angezeigt werden.
- Führen Sie die Ransomware-Testdatei erneut aus, um die Dateien zu entschlüsseln
Bereinigen
Laden Sie dieses Bereinigungsskript herunter, und führen Sie es aus. Sie können stattdessen die folgenden manuellen Schritte ausführen:
Set-MpPreference -EnableControlledFolderAccess Disabled
Bereinigen der C:\demo-Verschlüsselung mithilfe der Verschlüsselungs-/Entschlüsselungsdatei
Siehe auch
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für