Demostraciones de acceso controlado a carpetas (CFA) (bloquear ransomware)
Se aplica a:
El acceso controlado a carpetas le ayuda a proteger datos valiosos de aplicaciones y amenazas malintencionadas, como ransomware. Microsoft Defender Antivirus evalúa todas las aplicaciones (cualquier archivo ejecutable, incluidos los archivos .exe, .scr, .dll y otros) y, a continuación, determina si la aplicación es malintencionada o segura. Si se determina que la aplicación es malintencionada o sospechosa, la aplicación no puede realizar cambios en ningún archivo de ninguna carpeta protegida.
Requisitos y configuración del escenario
- Windows 10 1709 compilación 16273
- Microsoft Defender Antivirus (modo activo)
Comandos de PowerShell
Set-MpPreference -EnableControlledFolderAccess (State)
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
Estados de regla
| Estado | Modo | Valor numérico |
|---|---|---|
| Deshabilitada | = Desactivado | 0 |
| Habilitado | = Modo de bloque | 1 |
| Auditoría | = Modo auditoría | 2 |
Comprobación de la configuración
Get-MpPreference
Archivo de prueba
Archivo de prueba de ransomware CFA
Escenarios
Instalación
Descargue y ejecute este script de instalación. Antes de ejecutar el script, establezca la directiva de ejecución en Sin restricciones mediante este comando de PowerShell:
Set-ExecutionPolicy Unrestricted
En su lugar, puede realizar estos pasos manuales:
Create una carpeta en c: denominada demo, "c:\demo".
Guarde este archivo limpio en c:\demo (necesitamos algo para cifrar).
Ejecute los comandos de PowerShell enumerados anteriormente en este artículo.
Escenario 1: CFA bloquea el archivo de prueba de ransomware
- Active CFA mediante el comando de PowerShell:
Set-MpPreference -EnableControlledFolderAccess Enabled
- Agregue la carpeta de demostración a la lista de carpetas protegidas mediante el comando de PowerShell:
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
- Descargar el archivo de prueba de ransomware
- Ejecutar el archivo de prueba ransomware *esto no es ransomware, lo sencillo intenta cifrar c:\demo
Resultados esperados del escenario 1
5 segundos después de ejecutar el archivo de prueba ransomware debería ver una notificación CFA bloqueado el intento de cifrado.
Escenario 2: Lo que sucedería sin CFA
- Desactive CFA con este comando de PowerShell:
Set-MpPreference -EnableControlledFolderAccess Disabled
- Ejecución del archivo de prueba de ransomware
Resultados esperados del escenario 2
- Los archivos de c:\demo están cifrados y debería recibir un mensaje de advertencia.
- Ejecute de nuevo el archivo de prueba ransomware para descifrar los archivos.
Limpiar
Descargue y ejecute este script de limpieza. En su lugar, puede realizar estos pasos manuales:
Set-MpPreference -EnableControlledFolderAccess Disabled
Limpieza del cifrado c:\demo mediante el archivo encrypt/decrypt
Consulte también
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.