Demonstrasjoner av kontrollert mappetilgang (CFA) (blokker løsepengevirus)
Gjelder for:
Kontrollert mappetilgang hjelper deg med å beskytte verdifulle data mot skadelige apper og trusler, for eksempel løsepengevirus. Microsoft Defender Antivirus vurderer alle apper (alle kjørbare filer, inkludert .exe, .scr, .dll filer og andre), og bestemmer deretter om appen er skadelig eller trygg. Hvis appen er fastslått å være ondsinnet eller mistenkelig, kan ikke appen gjøre endringer i noen filer i en beskyttet mappe.
Scenariokrav og oppsett
- Windows 10 1709 bygg 16273
- Microsoft Defender Antivirus (aktiv modus)
PowerShell-kommandoer
Set-MpPreference -EnableControlledFolderAccess (State)
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
Regelstatuser
| Tilstand | Modus | Numerisk verdi |
|---|---|---|
| Deaktivert | = Av | 0 |
| Aktivert | = Blokkmodus | 1 |
| Tilsynet | = Overvåkingsmodus | 2 |
Bekreft konfigurasjon
Get-MpPreference
Test fil
Testfil for CFA-løsepengevirus
Scenarier
Konfigurasjon
Last ned og kjør installasjonsskriptet. Før kjøring av policyen for skriptsett kjøres ubegrenset ved hjelp av denne PowerShell-kommandoen:
Set-ExecutionPolicy Unrestricted
Du kan utføre disse manuelle trinnene i stedet:
Opprett en mappe under c: med navnet demo, «c:\demo».
Lagre denne rene filen i c:\demo (vi trenger noe å kryptere).
Utfør PowerShell-kommandoer som er oppført tidligere i denne artikkelen.
Scenario 1: CFA blokkerer testfil for løsepengevirus
- Aktiver CFA ved hjelp av PowerShell-kommandoen:
Set-MpPreference -EnableControlledFolderAccess Enabled
- Legg til demomappen i listen over beskyttede mapper ved hjelp av PowerShell-kommandoen:
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
- Last ned testfilen for løsepengevirus
- Utfør løsepengevirustestfilen *dette er ikke løsepengevirus, det er enkelt å prøve å kryptere c:\demo
Forventede resultater for scenario 1
5 sekunder etter at du har utført testfilen for løsepengevirus, skal du se et varsel om at CFA blokkerte krypteringsforsøket.
Scenario 2: Hva ville skje uten CFA
- Deaktiver CFA ved hjelp av denne PowerShell-kommandoen:
Set-MpPreference -EnableControlledFolderAccess Disabled
- Utfør testfilen for løsepengevirus
Forventede resultater for scenario 2
- Filene i c:\demo krypteres, og du bør få en advarselsmelding
- Utfør testfilen for løsepengevirus på nytt for å dekryptere filene
Opprydding
Last ned og kjør dette oppryddingsskriptet. Du kan utføre disse manuelle trinnene i stedet:
Set-MpPreference -EnableControlledFolderAccess Disabled
Rydd opp i c:\demokryptering ved hjelp av krypterings-/dekrypteringsfilen
Se også
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for