Szabályozott mappahozzáférés (CFA) bemutatók (zsarolóprogramok blokkolása)
Érintett szolgáltatás:
A szabályozott mappahozzáférés segít megvédeni az értékes adatokat a rosszindulatú alkalmazásoktól és fenyegetésektől, például a zsarolóprogramoktól. Microsoft Defender Víruskereső felméri az összes alkalmazást (bármely végrehajtható fájlt, beleértve a .exe, .scr, .dll fájlokat és egyebeket), majd megállapítja, hogy az alkalmazás rosszindulatú vagy biztonságos-e. Ha az alkalmazás rosszindulatú vagy gyanús, akkor az alkalmazás nem módosíthatja a védett mappákban lévő fájlokat.
Forgatókönyv követelményei és beállítása
- Windows 10 1709 16273-ás build
- Microsoft Defender víruskereső (aktív mód)
PowerShell-parancsok
Set-MpPreference -EnableControlledFolderAccess (State)
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
Szabályállapotok
Állapot | Mód | Számérték |
---|---|---|
Letiltva | = Kikapcsolva | 0 |
Engedélyezve. | = Blokk mód | 1 |
Ellenőrzési | = Naplózási mód | 2 |
Konfiguráció ellenőrzése
Get-MpPreference
Tesztfájl
Forgatókönyvek
Beállítás
Töltse le és futtassa ezt a telepítési szkriptet. A szkript futtatása előtt állítsa a végrehajtási szabályzatot Korlátlan értékre ezzel a PowerShell-paranccsal:
Set-ExecutionPolicy Unrestricted
Ehelyett az alábbi manuális lépéseket hajthatja végre:
Létrehozás egy mappát a c: nevű demo, "c:\demo" mappában.
Mentse ezt a tiszta fájlt a c:\demo fájlba (a titkosításhoz szükségünk van valamire).
Hajtsa végre a cikk korábbi részében felsorolt PowerShell-parancsokat.
1. forgatókönyv: A CFA blokkolja a zsarolóprogram-tesztfájlt
- Kapcsolja be a CFA-t a PowerShell-paranccsal:
Set-MpPreference -EnableControlledFolderAccess Enabled
- Adja hozzá a bemutatómappát a védett mappák listájához a PowerShell-paranccsal:
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
- A zsarolóprogram tesztfájljának letöltése
- Hajtsa végre a zsarolóprogram-tesztfájlt *ez nem zsarolóprogram, egyszerűen megpróbálja titkosítani a c:\demo fájlt
Az 1. forgatókönyv várt eredményei
A zsarolóprogram-tesztfájl végrehajtása után 5 másodperccel megjelenik egy értesítés, amely szerint a CFA letiltotta a titkosítási kísérletet.
2. forgatókönyv: Mi történne CFA nélkül?
- Kapcsolja ki a CFA-t ezzel a PowerShell-paranccsal:
Set-MpPreference -EnableControlledFolderAccess Disabled
- A zsarolóprogram tesztfájljának végrehajtása
A 2. forgatókönyv várt eredményei
- A c:\demo fájl titkosítva van, és figyelmeztető üzenetet kell kapnia
- Futtassa újra a zsarolóprogram-tesztfájlt a fájlok visszafejtéséhez
Tisztítás
Töltse le és futtassa ezt a karbantartási szkriptet. Ehelyett az alábbi manuális lépéseket hajthatja végre:
Set-MpPreference -EnableControlledFolderAccess Disabled
A c:\demo titkosítás törlése a titkosítási/visszafejtési fájl használatával
Lásd még
Mappákhoz való hozzáférés szabályozása
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: