Демонстрации управляемого доступа к папкам (CFA) (блочное программное обеспечение-шантажист)
Область применения:
Контролируемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как программы-шантажисты. антивирусная программа Microsoft Defender оценивает все приложения (любой исполняемый файл, включая .exe, SCR, файлы .dll и другие), а затем определяет, является ли приложение вредоносным или безопасным. Если установлено, что приложение является вредоносным или подозрительным, оно не сможет вносить изменения в файлы в любой защищенной папке.
Требования к сценарию и настройка
- Windows 10 1709 сборка 16273
- антивирусная программа Microsoft Defender (активный режим)
Команды PowerShell
Set-MpPreference -EnableControlledFolderAccess (State)
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
Состояния правил
| Состояние | Режим | Числовое значение |
|---|---|---|
| Отключено | = Выкл. | 0 |
| Включено | = режим блокировки | 1 |
| Аудит | = режим аудита | 2 |
Проверка настроек
Get-MpPreference
Тестовый файл
Файл теста программы-шантажиста CFA
Сценарии
Setup
Скачайте и запустите этот скрипт установки. Перед запуском скрипта задайте для политики выполнения значение Неограниченную с помощью следующей команды PowerShell:
Set-ExecutionPolicy Unrestricted
Вместо этого можно выполнить следующие действия вручную:
Create папку в папке c: с именем demo, "c:\demo".
Сохраните этот чистый файл в c:\demo (нам нужно что-то зашифровать).
Выполните команды PowerShell, перечисленные ранее в этой статье.
Сценарий 1. CFA блокирует файл теста программы-шантажиста
- Включите CFA с помощью команды PowerShell:
Set-MpPreference -EnableControlledFolderAccess Enabled
- Добавьте демонстрационную папку в список защищенных папок с помощью команды PowerShell:
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
- Скачивание тестового файла программы-шантажиста
- Выполнение тестового файла программы-шантажиста *это не программа-шантажист, он просто пытается зашифровать c:\demo
Ожидаемые результаты сценария 1
Через 5 секунд после выполнения тестового файла программы-шантажиста вы увидите уведомление CFA, заблокировав попытку шифрования.
Сценарий 2. Что будет происходить без CFA
- Отключите CFA с помощью следующей команды PowerShell:
Set-MpPreference -EnableControlledFolderAccess Disabled
- Выполнение тестового файла программы-шантажиста
Ожидаемые результаты сценария 2
- Файлы в c:\demo зашифрованы, и вы должны получить предупреждающее сообщение
- Повторно выполните тестовый файл программы-шантажиста, чтобы расшифровать файлы.
Очистка
Скачайте и запустите этот скрипт очистки. Вместо этого можно выполнить следующие действия вручную:
Set-MpPreference -EnableControlledFolderAccess Disabled
Очистка шифрования c:\demo с помощью файла шифрования и расшифровки
См. также
Контролируемый доступ к папкам
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по