CFA(제어된 폴더 액세스) 데모(랜섬웨어 차단)

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2

제어된 폴더 액세스는 랜섬웨어와 같은 악의적인 앱 및 위협으로부터 중요한 데이터를 보호하는 데 도움이 됩니다. Microsoft Defender 바이러스 백신은 모든 앱(.exe, .scr, .dll 파일 등을 포함한 실행 파일)을 평가한 다음 앱이 악성인지 안전한지 확인합니다. 앱이 악의적이거나 의심스러운 것으로 확인되면 앱은 보호된 폴더의 파일을 변경할 수 없습니다.

시나리오 요구 사항 및 설정

• Windows 10 1709 빌드 16273
• Microsoft Defender 바이러스 백신(활성 모드)

PowerShell 명령

Set-MpPreference -EnableControlledFolderAccess (State)

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

규칙 상태

상태	모드	숫자 값
사용 안 함	= 끄기	0
사용	= 블록 모드	1
감사	= 감사 모드	2

구성 확인

Get-MpPreference

테스트 파일

CFA 랜섬웨어 테스트 파일

시나리오

설정

이 설치 스크립트를 다운로드하고 실행합니다. 스크립트를 실행하기 전에 이 PowerShell 명령을 사용하여 실행 정책을 무제한으로 설정합니다.

Set-ExecutionPolicy Unrestricted

대신 다음 수동 단계를 수행할 수 있습니다.

1. c: 명명된 demo, "c:\demo" 아래의 폴더를 Create.

2. 이 클린 파일을 c:\demo에 저장합니다(암호화할 항목이 필요).

3. 이 문서의 앞부분에 나열된 PowerShell 명령을 실행합니다.

시나리오 1: CFA가 랜섬웨어 테스트 파일을 차단합니다.

1. PowerShell 명령을 사용하여 CFA를 켭니다.

Set-MpPreference -EnableControlledFolderAccess Enabled

2. PowerShell 명령을 사용하여 보호된 폴더 목록에 데모 폴더를 추가합니다.

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

3. 랜섬웨어 테스트 파일 다운로드
4. 랜섬웨어 테스트 파일 실행 *이것은 랜섬웨어가 아니며 c:\demo를 간단하게 암호화하려고 시도합니다.

시나리오 1 예상 결과

랜섬웨어 테스트 파일을 실행한 후 5초 후에 CFA가 암호화 시도를 차단했다는 알림이 표시됩니다.

시나리오 2: CFA 없이는 어떻게 될까요?

1. 다음 PowerShell 명령을 사용하여 CFA를 끕니다.

Set-MpPreference -EnableControlledFolderAccess Disabled

2. 랜섬웨어 테스트 파일 실행

시나리오 2 예상 결과

• c:\demo의 파일은 암호화되며 경고 메시지가 표시됩니다.
• 랜섬웨어 테스트 파일을 다시 실행하여 파일 암호 해독

정리

이 정리 스크립트를 다운로드하고 실행합니다. 대신 다음 수동 단계를 수행할 수 있습니다.

Set-MpPreference -EnableControlledFolderAccess Disabled

암호화/암호 해독 파일을 사용하여 c:\demo 암호화 정리

참고 항목

제어된 폴더 액세스

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.