Demostraciones de acceso controlado a carpetas (CFA) (bloquear ransomware)

El acceso controlado a carpetas le ayuda a proteger datos valiosos de aplicaciones y amenazas malintencionadas, como ransomware. Microsoft Defender Antivirus evalúa todas las aplicaciones (cualquier archivo ejecutable, incluidos los archivos .exe, .scr, .dll y otros) y, a continuación, determina si la aplicación es malintencionada o segura. Si se determina que la aplicación es malintencionada o sospechosa, la aplicación no puede realizar cambios en ningún archivo de ninguna carpeta protegida.

Requisitos y configuración del escenario

• Windows 10 1709 compilación 16273
• Microsoft Defender Antivirus (modo activo)

Comandos de PowerShell

Set-MpPreference -EnableControlledFolderAccess (State)

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

Estados de regla

Comprobación de la configuración

Get-MpPreference

Archivo de prueba

Archivo de prueba de ransomware CFA

Escenarios

Instalación

Descargue y ejecute este script de instalación. Antes de ejecutar el script, establezca la directiva Unrestricted de ejecución en mediante este comando de PowerShell:

Set-ExecutionPolicy Unrestricted

O bien, puede realizar estos pasos manuales en su lugar:

1. Cree una carpeta con c: el nombre demo, como en c:\demo.

2. Guarde este archivo limpio en c:\demo (necesitamos algo para cifrar).

3. Ejecute los comandos de PowerShell enumerados anteriormente en este artículo.

A continuación, compruebe el estado de la regla ASR de prevención agresiva de ransomware y deshabilite durante esta prueba si está habilitada:

$idx = $(Get-MpPreference).AttackSurfaceReductionRules_Ids.IndexOf("C1DB55AB-C21A-4637-BB3F-A12568109D35")
if ($idx -ge 0) {Write-Host "Rule Status: " $(Get-MpPreference).AttackSurfaceReductionRules_Actions[$idx]} else {Write-Host "Rule does not exist on this machine"}

Si la regla existe y el estado es 1 (Enabled) o 6 (Warn), debe deshabilitarse para ejecutar esta prueba:

Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled

Escenario 1: CFA bloquea el archivo de prueba de ransomware

1. Active CFA mediante el comando de PowerShell:

   Set-MpPreference -EnableControlledFolderAccess Enabled
   

2. Agregue la carpeta de demostración a la lista de carpetas protegidas mediante el comando de PowerShell:

   Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
   

3. Descargue el archivo de prueba ransomware.

4. Ejecute el archivo de prueba ransomware. Tenga en cuenta que no es ransomware; simplemente intenta cifrar c:\demo.

Resultados esperados del escenario 1

Unos cinco segundos después de ejecutar el archivo de prueba ransomware, debería ver una notificación de que CFA bloqueó el intento de cifrado.

Escenario 2: Lo que sucedería sin CFA

1. Desactive CFA con este comando de PowerShell:

   Set-MpPreference -EnableControlledFolderAccess Disabled
   

2. Ejecute el archivo de prueba ransomware.

Resultados esperados del escenario 2

• Los archivos de c:\demo están cifrados y debería recibir un mensaje de advertencia.
• Ejecute de nuevo el archivo de prueba ransomware para descifrar los archivos.

Limpiar

1. Descargue y ejecute este script de limpieza. En su lugar, puede realizar estos pasos manuales:

   Set-MpPreference -EnableControlledFolderAccess Disabled
   

2. Limpieza del c:\demo cifrado mediante el archivo encrypt/decrypt

3. Si se ha habilitado la regla ASR de prevención agresiva de ransomware y la ha deshabilitado al principio de esta prueba, vuelva a habilitarla:

   Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
   

Vea también

Acceso controlado a carpetas