Démonstrations d’accès contrôlé aux dossiers (CFA) (bloquer les rançongiciels)

L’accès contrôlé aux dossiers vous permet de protéger les données précieuses contre les applications malveillantes et les menaces, telles que les rançongiciels. Microsoft Defender Antivirus évalue toutes les applications (tout fichier exécutable, y compris les fichiers .exe, .scr, .dll et autres), puis détermine si l’application est malveillante ou sécurisée. Si l’application est considérée comme malveillante ou suspecte, l’application ne peut pas apporter de modifications à des fichiers dans un dossier protégé.

Configuration requise et configuration du scénario

• Windows 10 1709 build 16273
• Antivirus Microsoft Defender (mode actif)

Commandes PowerShell

Set-MpPreference -EnableControlledFolderAccess (State)

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

États de règle

Vérifier la configuration

Get-MpPreference

Fichier de test

Fichier de test de ransomware CFA

Scénarios

Installation

Téléchargez et exécutez ce script d’installation. Avant d’exécuter le script, définissez la stratégie d’exécution sur à l’aide Unrestricted de cette commande PowerShell :

Set-ExecutionPolicy Unrestricted

Vous pouvez également effectuer ces étapes manuelles à la place :

1. Créez un dossier sous c: nommé demo, comme dans c:\demo.

2. Enregistrez ce fichier propre dans c:\demo (nous avons besoin d’un élément à chiffrer).

3. Exécutez les commandes PowerShell répertoriées plus haut dans cet article.

Ensuite, case activée que status de la règle ASR de prévention agressive des ransomwares et désactivez-la pendant la durée de ce test si elle est activée :

$idx = $(Get-MpPreference).AttackSurfaceReductionRules_Ids.IndexOf("C1DB55AB-C21A-4637-BB3F-A12568109D35")
if ($idx -ge 0) {Write-Host "Rule Status: " $(Get-MpPreference).AttackSurfaceReductionRules_Actions[$idx]} else {Write-Host "Rule does not exist on this machine"}

Si la règle existe et que la status est 1 (Enabled) ou 6 (Warn), elle doit être désactivée pour exécuter ce test :

Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled

Scénario 1 : CFA bloque le fichier de test de ransomware

1. Activez la fonction CFA à l’aide de la commande PowerShell :

   Set-MpPreference -EnableControlledFolderAccess Enabled
   

2. Ajoutez le dossier de démonstration à la liste des dossiers protégés à l’aide de la commande PowerShell :

   Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
   

3. Téléchargez le fichier de test de ransomware.

4. Exécutez le fichier de test de ransomware. Notez qu’il ne s’agit pas d’un ransomware ; il tente simplement de chiffrer c:\demo.

Résultats attendus du scénario 1

Environ cinq secondes après l’exécution du fichier de test de ransomware, vous devriez voir une notification indiquant que LAFA a bloqué la tentative de chiffrement.

Scénario 2 : Que se passerait-il sans la CFA

1. Désactivez la fonctionnalité CFA à l’aide de cette commande PowerShell :

   Set-MpPreference -EnableControlledFolderAccess Disabled
   

2. Exécutez le fichier de test de ransomware.

Résultats attendus du scénario 2

• Les fichiers dans c:\demo sont chiffrés et vous devez recevoir un message d’avertissement
• Réexécuter le fichier de test de ransomware pour déchiffrer les fichiers

Nettoyer

1. Téléchargez et exécutez ce script de nettoyage. Vous pouvez effectuer ces étapes manuelles à la place :

   Set-MpPreference -EnableControlledFolderAccess Disabled
   

2. Nettoyer le c:\demo chiffrement à l’aide du fichier chiffrer/déchiffrer

3. Si la règle ASR de prévention agressive des ransomwares a été activée et que vous l’avez désactivée au début de ce test, réactivez-la :

   Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
   

Voir aussi

Accès contrôlé aux dossiers