Поделиться через


Демонстрации управляемого доступа к папкам (CFA) (блочное программное обеспечение-шантажист)

Область применения:

Контролируемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как программы-шантажисты. антивирусная программа Microsoft Defender оценивает все приложения (любой исполняемый файл, включая .exe, SCR, файлы .dll и другие), а затем определяет, является ли приложение вредоносным или безопасным. Если установлено, что приложение является вредоносным или подозрительным, оно не сможет вносить изменения в файлы в любой защищенной папке.

Требования к сценарию и настройка

  • Windows 10 1709 сборка 16273
  • антивирусная программа Microsoft Defender (активный режим)

Команды PowerShell

Set-MpPreference -EnableControlledFolderAccess (State)
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

Состояния правил

Состояние Режим Числовое значение
Отключено = Выкл. 0
Включено = режим блокировки 1
Аудит = режим аудита 2

Проверка настроек

Get-MpPreference

Тестовый файл

Файл теста программы-шантажиста CFA

Сценарии

Setup

Скачайте и запустите этот скрипт установки. Перед запуском скрипта задайте для политики выполнения значение Неограниченную с помощью следующей команды PowerShell:

Set-ExecutionPolicy Unrestricted

Вместо этого можно выполнить следующие действия вручную:

  1. Create папку в папке c: с именем demo, "c:\demo".

  2. Сохраните этот чистый файл в c:\demo (нам нужно что-то зашифровать).

  3. Выполните команды PowerShell, перечисленные ранее в этой статье.

Сценарий 1. CFA блокирует файл теста программы-шантажиста

  1. Включите CFA с помощью команды PowerShell:
Set-MpPreference -EnableControlledFolderAccess Enabled
  1. Добавьте демонстрационную папку в список защищенных папок с помощью команды PowerShell:
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
  1. Скачивание тестового файла программы-шантажиста
  2. Выполнение тестового файла программы-шантажиста *это не программа-шантажист, он просто пытается зашифровать c:\demo

Ожидаемые результаты сценария 1

Через 5 секунд после выполнения тестового файла программы-шантажиста вы увидите уведомление CFA, заблокировав попытку шифрования.

Сценарий 2. Что будет происходить без CFA

  1. Отключите CFA с помощью следующей команды PowerShell:
Set-MpPreference -EnableControlledFolderAccess Disabled
  1. Выполнение тестового файла программы-шантажиста

Ожидаемые результаты сценария 2

  • Файлы в c:\demo зашифрованы, и вы должны получить предупреждающее сообщение
  • Повторно выполните тестовый файл программы-шантажиста, чтобы расшифровать файлы.

Очистка

Скачайте и запустите этот скрипт очистки. Вместо этого можно выполнить следующие действия вручную:

Set-MpPreference -EnableControlledFolderAccess Disabled

Очистка шифрования c:\demo с помощью файла шифрования и расшифровки

См. также

Контролируемый доступ к папкам

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.