次の方法で共有


フォルダー アクセスの制御 (CFA) のデモンストレーションデモ (ランサムウェアのブロック)

適用対象:

フォルダー アクセスの制御は、ランサムウェアなどの悪意のあるアプリや脅威から貴重なデータを保護するのに役立ちます。 Microsoft Defenderウイルス対策では、すべてのアプリ (.exe、.scr、.dll ファイルなど、任意の実行可能ファイル) が評価され、アプリが悪意のあるアプリか安全かを判断します。 アプリが悪意のある、または疑わしいと判断された場合、アプリは保護されたフォルダー内のファイルに変更を加えることはできません。

シナリオの要件とセットアップ

  • Windows 10 1709 ビルド 16273
  • Microsoft Defender ウイルス対策 (アクティブ モード)

PowerShell コマンド

Set-MpPreference -EnableControlledFolderAccess (State)
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

ルールの状態

状態コード モード 数値
無効 = オフ 0
Enabled = ブロック モード 1
監査 = 監査モード 2

構成を確認する

Get-MpPreference

テスト ファイル

CFA ランサムウェア テスト ファイル

シナリオ

セットアップ

この セットアップ スクリプトをダウンロードして実行します。 スクリプトを実行する前に、次の PowerShell コマンドを使用して実行ポリシーを無制限に設定します。

Set-ExecutionPolicy Unrestricted

代わりに、次の手動手順を実行できます。

  1. Create c: という名前の demo、"c:\demo" の下のフォルダーです。

  2. このクリーン ファイルを c:\demo に保存します (暗号化する必要があります)。

  3. この記事で前述した PowerShell コマンドを実行します。

シナリオ 1: CFA によってランサムウェア テスト ファイルがブロックされる

  1. PowerShell コマンドを使用して CFA を有効にします。
Set-MpPreference -EnableControlledFolderAccess Enabled
  1. PowerShell コマンドを使用して、保護されたフォルダーの一覧にデモ フォルダーを追加します。
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
  1. ランサムウェア テスト ファイルをダウンロードする
  2. ランサムウェア テスト ファイルを実行する *これはランサムウェアではなく、単純な c:\demo の暗号化を試みます

シナリオ 1 の予想される結果

ランサムウェア テスト ファイルを実行してから 5 秒後に、CFA が暗号化の試行をブロックしたという通知が表示されます。

シナリオ 2: CFA なしで何が起こるか

  1. 次の PowerShell コマンドを使用して CFA をオフにします。
Set-MpPreference -EnableControlledFolderAccess Disabled
  1. ランサムウェア テスト ファイルを実行する

シナリオ 2 予想される結果

  • c:\demo のファイルは暗号化されており、警告メッセージが表示されます
  • ランサムウェア テスト ファイルをもう一度実行してファイルの暗号化を解除する

クリーンアップ

この クリーンアップ スクリプトをダウンロードして実行します。 代わりに、次の手動手順を実行できます。

Set-MpPreference -EnableControlledFolderAccess Disabled

暗号化/暗号化解除ファイルを使用して c:\demo 暗号化をクリーンアップする

関連項目

制御されたフォルダー アクセス

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。