Denetimli klasör erişimi (CFA) tanıtımları (fidye yazılımını engelle)

  • Makale

Şunlar için geçerlidir:

Denetimli klasör erişimi, değerli verileri fidye yazılımı gibi kötü amaçlı uygulamalardan ve tehditlerden korumanıza yardımcı olur. Microsoft Defender Virüsten Koruma tüm uygulamaları (.exe, .scr, .dll dosyaları ve diğerleri dahil olmak üzere herhangi bir yürütülebilir dosya) değerlendirir ve ardından uygulamanın kötü amaçlı veya güvenli olup olmadığını belirler. Uygulamanın kötü amaçlı veya şüpheli olduğu belirlenirse, uygulama herhangi bir korumalı klasördeki dosyalarda değişiklik yapamaz.

Senaryo gereksinimleri ve kurulumu

  • Windows 10 1709 derleme 16273
  • Microsoft Defender Virüsten Koruma (etkin mod)

PowerShell komutları

Set-MpPreference -EnableControlledFolderAccess (State)

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

Kural durumları

Durum Mod Sayısal değer
Devre dışı = Kapalı 0
Etkin = Blok modu 1
Denetim = Denetim modu 2

Yapılandırmayı doğrulama

Get-MpPreference

Test dosyası

CFA fidye yazılımı test dosyası

Senaryo

Kurulum

Bu kurulum betiğini indirip çalıştırın. Bu PowerShell komutunu kullanarak betik kümesi yürütme ilkesini Sınırsız olarak çalıştırmadan önce:

Set-ExecutionPolicy Unrestricted

Bunun yerine şu el ile adımları gerçekleştirebilirsiniz:

  1. c: adlı demo, "c:\demo" altında bir klasör İçerik Oluşturucu.

  2. Bu temiz dosyayı c:\demo dosyasına kaydedin (şifrelemek için bir şey gerekir).

  3. Bu makalenin önceki bölümlerinde listelenen PowerShell komutlarını yürütebilirsiniz.

Senaryo 1: CFA fidye yazılımı test dosyasını engelliyor

  1. PowerShell komutunu kullanarak CFA'ı açın:
Set-MpPreference -EnableControlledFolderAccess Enabled
  1. PowerShell komutunu kullanarak tanıtım klasörünü korumalı klasörler listesine ekleyin:
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
  1. Fidye yazılımı test dosyasını indirin
  2. Fidye yazılımı test dosyasını yürüt *bu fidye yazılımı değildir, basit c:\demo şifrelemeye çalışır

Senaryo 1 beklenen sonuçlar

Fidye yazılımı test dosyasını yürütürken 5 saniye sonra CFA'nın şifreleme girişimini engellediğini belirten bir bildirim görmeniz gerekir.

Senaryo 2: CFA olmadan ne olur?

  1. Bu PowerShell komutunu kullanarak CFA'ı kapatın:
Set-MpPreference -EnableControlledFolderAccess Disabled
  1. Fidye yazılımı test dosyasını yürütme

Senaryo 2 beklenen sonuçlar

  • c:\demo dosyasındaki dosyalar şifrelenir ve bir uyarı iletisi almanız gerekir
  • Dosyaların şifresini çözmek için fidye yazılımı test dosyasını yeniden yürütür

Temizleme

Bu temizleme betiğini indirin ve çalıştırın. Bunun yerine şu el ile adımları gerçekleştirebilirsiniz:

Set-MpPreference -EnableControlledFolderAccess Disabled

Şifreleme/şifre çözme dosyasını kullanarak c:\demo şifrelemesini temizleyin

Ayrıca bkz.

Denetimli klasör erişimi

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.