Valvotun kansion käytön (CFA) esittelyt (estä kiristyshaittaohjelma)

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

Hallittujen kansioiden käyttö auttaa suojaamaan arvokkaita tietoja haitallisilta sovelluksilta ja uhilta, kuten kiristyshaittaohjelmilta. Microsoft Defender virustentorjuntaohjelma arvioi kaikki sovellukset (mikä tahansa suoritettava tiedosto, mukaan lukien .exe, .scr, .dll tiedostot ja muut) ja määrittää sitten, onko sovellus haitallinen vai turvallinen. Jos sovellus on määritetty haitalliseksi tai epäilyttäväksi, sovellus ei voi tehdä muutoksia mihinkään suojattuun kansioon.

Skenaariovaatimukset ja määritys

• Windows 10 1709 -koontiversio 16273
• Microsoft Defender virustentorjunta (aktiivinen tila)

PowerShell-komennot

Set-MpPreference -EnableControlledFolderAccess (State)

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

Säännön tilat

Valtion	Tila	Numeerinen arvo
Poistettu käytöstä	= ei käytössä	0
Käytössä	= lohkotila	1
Tarkastuksen	= valvontatila	2

Tarkista määritykset

Get-MpPreference

Testaa tiedostoa

CFA ransomware testitiedosto

Skenaarioita

Asennus

Lataa ja suorita tämä asennuskomentosarja. Ennen kuin suoritat komentosarjan, määritä suorituskäytännöksi Rajoittamaton tällä PowerShell-komennolla:

Set-ExecutionPolicy Unrestricted

Voit sen sijaan suorittaa seuraavat manuaaliset vaiheet:

1. Create kansion kohdassa c: nimetty esittely, "c:\demo".

2. Tallenna tämä puhdas tiedosto c:\demoon (tarvitsemme jotain salattavaa).

3. Suorita aiemmin tässä artikkelissa luetellut PowerShell-komennot.

Skenaario 1: CFA estää kiristyshaittaohjelmatestitiedoston

1. Ota CFA käyttöön PowerShell-komennolla:

Set-MpPreference -EnableControlledFolderAccess Enabled

2. Lisää esittelykansio suojattujen kansioiden luetteloon PowerShell-komennolla:

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

3. Lataa kiristysohjelman testitiedosto
4. Suorita kiristyshaittaohjelman testitiedosto *tämä ei ole kiristyshaittaohjelma, se yksinkertainen yrittää salata c:\demo

Skenaarion 1 odotetut tulokset

5 sekuntia kiristysohjelman testitiedoston suorittamisen jälkeen sinun pitäisi nähdä ilmoitus CFA esti salausyrityksen.

Skenaario 2: Mitä tapahtuisi ilman CFA:ta?

1. Poista CFA käytöstä tällä PowerShell-komennolla:

Set-MpPreference -EnableControlledFolderAccess Disabled

2. Suorita kiristysohjelman testitiedosto

Skenaarion 2 odotetut tulokset

• Kansiossa c:\demo olevat tiedostot salataan, joten näyttöön tulee varoitussanoma
• Suorita kiristyshaittaohjelman testitiedosto uudelleen tiedostojen salauksen purkamiseksi

Puhdistaminen

Lataa ja suorita tämä puhdistuskomentosarja. Voit sen sijaan suorittaa seuraavat manuaaliset vaiheet:

Set-MpPreference -EnableControlledFolderAccess Disabled

Puhdista c:\demo-salaus käyttämällä tiedoston salausta/salauksen purkua

Tutustu myös seuraaviin ohjeartikkeleihin:

Hallittu kansion käyttö

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.