控制資料夾存取 (CFA) 示範, (封鎖勒索軟體)
適用於:
受控資料夾存取權可協助您保護重要資料免於遭受惡意應用程式和威脅,例如勒索軟體。 Microsoft Defender 防病毒軟體會評估所有應用程式 (任何可執行檔,包括 .exe、.scr、.dll 檔案和其他) ,然後判斷應用程式是否為惡意或安全。 如果應用程式判斷為惡意或可疑,則應用程式無法變更任何受保護資料夾中的任何檔案。
案例需求和設定
- Windows 10 1709 組建 16273
- Microsoft Defender 防病毒軟體 (作用中模式)
PowerShell 命令
Set-MpPreference -EnableControlledFolderAccess (State)
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
規則狀態
| 狀態 | Mode | 數值 |
|---|---|---|
| 已停用 | = 關閉 | 0 |
| Enabled | = 封鎖模式 | 1 |
| 稽核 | = 稽核模式 | 2 |
確認設定
Get-MpPreference
測試檔案
案例
安裝程式
下載並執行此 安裝文稿。 執行文稿之前,請先使用此 PowerShell 命令將執行原則設定為 Unrestricted:
Set-ExecutionPolicy Unrestricted
您可以改為執行下列手動步驟:
Create 名為 demo“c:\demo” 的資料夾。
將這個 乾淨的檔案儲存 到 c:\demo (我們需要加密) 。
執行本文稍早所列的 PowerShell 命令。
案例 1:CFA 封鎖勒索軟體測試檔案
- 使用 PowerShell 命令開啟 CFA:
Set-MpPreference -EnableControlledFolderAccess Enabled
- 使用 PowerShell 命令將示範資料夾新增至受保護的資料夾清單:
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
- 下載勒索軟體 測試檔案
- 執行勒索軟體測試檔案 *這不是勒索軟體,它簡單嘗試加密 c:\demo
案例 1 預期結果
執行勒索軟體測試檔案 5 秒之後,您應該會看到 CFA 封鎖加密嘗試的通知。
案例 2:沒有 CFA 會發生什麼事
- 使用此 PowerShell 命令關閉 CFA:
Set-MpPreference -EnableControlledFolderAccess Disabled
- 執行勒索軟體 測試檔案
案例 2 預期結果
- c:\demo 中的檔案已加密,您應該會收到警告訊息
- 再次執行勒索軟體測試檔案以解密檔案
清除
下載並執行此 清除腳本。 您可以改為執行下列手動步驟:
Set-MpPreference -EnableControlledFolderAccess Disabled
使用加密/解密檔案清除 c:\demo 加密
另請參閱
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。