Delen via

Demonstraties voor gecontroleerde maptoegang (CFA) (ransomware blokkeren)

  • Van toepassing op: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Gecontroleerde toegang tot mappen helpt u waardevolle gegevens te beschermen tegen schadelijke apps en bedreigingen, zoals ransomware. Microsoft Defender Antivirus beoordeelt alle apps (uitvoerbaar bestand, inclusief .exe, .scr, .dll bestanden en andere) en bepaalt vervolgens of de app schadelijk of veilig is. Als wordt vastgesteld dat de app schadelijk of verdacht is, kan de app geen wijzigingen aanbrengen in bestanden in een beveiligde map.

Scenariovereisten en installatie

  • Windows 10 1709 build 16273
  • Microsoft Defender Antivirus (actieve modus)

PowerShell-opdrachten

Set-MpPreference -EnableControlledFolderAccess (State)

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

Regelstatussen

Status Modus Numerieke waarde
Uitgeschakeld Uit 0
Ingeschakeld Blokmodus 1
Audit Controlemodus 2

Configuratie controleren

Get-MpPreference

Testbestand

CFA ransomware testbestand

Scenario's

Configuratie

Download dit installatiescript en voer dit uit. Voordat u het script uitvoert, stelt u het uitvoeringsbeleid in op Unrestricted met behulp van deze PowerShell-opdracht:

Set-ExecutionPolicy Unrestricted

U kunt ook deze handmatige stappen uitvoeren:

  1. Maak een map onder c: de naam demo, zoals in c:\demo.

  2. Sla dit schone bestand op in c:\demo (we hebben iets nodig om te versleutelen).

  3. Voer de PowerShell-opdrachten uit die eerder in dit artikel zijn vermeld.

Controleer vervolgens de status van de ASR-regel voor agressieve ransomwarepreventie en schakel deze uit voor de duur van deze test als deze is ingeschakeld:

$idx = $(Get-MpPreference).AttackSurfaceReductionRules_Ids.IndexOf("C1DB55AB-C21A-4637-BB3F-A12568109D35")
if ($idx -ge 0) {Write-Host "Rule Status: " $(Get-MpPreference).AttackSurfaceReductionRules_Actions[$idx]} else {Write-Host "Rule does not exist on this machine"}

Als de regel bestaat en de status of 6 (Warn)is1 (Enabled), moet deze worden uitgeschakeld om deze test uit te voeren:

Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled

Scenario 1: CFA blokkeert ransomware-testbestand

  1. Cfa inschakelen met de PowerShell-opdracht:

    Set-MpPreference -EnableControlledFolderAccess Enabled

  2. Voeg de demomap toe aan de lijst met beveiligde mappen met behulp van de PowerShell-opdracht:

    Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

  3. Download het ransomware-testbestand.

  4. Voer het ransomware-testbestand uit. Houd er rekening mee dat het geen ransomware is; het probeert gewoon te versleutelen c:\demo.

Verwachte resultaten scenario 1

Ongeveer vijf seconden na het uitvoeren van het ransomware-testbestand ziet u een melding dat CFA de versleutelingspoging heeft geblokkeerd.

Scenario 2: wat zou er gebeuren zonder CFA

  1. Schakel CFA uit met deze PowerShell-opdracht:

    Set-MpPreference -EnableControlledFolderAccess Disabled

  2. Voer het ransomware-testbestand uit.

Verwachte resultaten van scenario 2

  • De bestanden in c:\demo zijn versleuteld en u krijgt een waarschuwingsbericht
  • Voer het ransomware-testbestand opnieuw uit om de bestanden te ontsleutelen

Opschonen

  1. Download dit opschoonscript en voer dit uit. U kunt in plaats daarvan deze handmatige stappen uitvoeren:

    Set-MpPreference -EnableControlledFolderAccess Disabled

  2. Versleuteling opschonen c:\demo met behulp van het bestand versleutelen/ontsleutelen

  3. Als de ASR-regel agressieve ransomwarepreventie is ingeschakeld en u deze aan het begin van deze test hebt uitgeschakeld, schakelt u deze opnieuw in:

    Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled

Zie ook

Beheerde maptoegang

  • Last updated on