Demonstracje dotyczące kontrolowanego dostępu do folderów (CFA) (blokowanie oprogramowania wymuszającego okup)

Kontrolowany dostęp do folderów pomaga chronić cenne dane przed złośliwymi aplikacjami i zagrożeniami, takimi jak oprogramowanie wymuszające okup. Microsoft Defender Antivirus ocenia wszystkie aplikacje (dowolny plik wykonywalny, w tym .exe, scr, pliki .dll i inne), a następnie określa, czy aplikacja jest złośliwa czy bezpieczna. Jeśli aplikacja zostanie określona jako złośliwa lub podejrzana, aplikacja nie może wprowadzać zmian w żadnych plikach w żadnym folderze chronionym.

Wymagania i konfiguracja scenariusza

• kompilacja Windows 10 1709 16273
• program antywirusowy Microsoft Defender (tryb aktywny)

Polecenia programu PowerShell

Set-MpPreference -EnableControlledFolderAccess (State)

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

Stany reguł

Weryfikowanie konfiguracji

Get-MpPreference

Plik testowy

Plik testowy oprogramowania wymuszającego okup cfa

Scenariuszy

Konfigurowanie

Pobierz i uruchom ten skrypt konfiguracji. Przed uruchomieniem skryptu ustaw wartość zasad wykonywania na Unrestricted za pomocą tego polecenia programu PowerShell:

Set-ExecutionPolicy Unrestricted

Możesz też wykonać następujące ręczne kroki:

1. Utwórz folder o c: nazwie demo, jak w .c:\demo

2. Zapisz ten czysty plik w programie c:\demo (potrzebujemy czegoś do zaszyfrować).

3. Uruchom polecenia programu PowerShell wymienione wcześniej w tym artykule.

Następnie sprawdź stan reguły asr aggressive ransomware prevention i wyłącz ją na czas trwania tego testu, jeśli jest włączona:

$idx = $(Get-MpPreference).AttackSurfaceReductionRules_Ids.IndexOf("C1DB55AB-C21A-4637-BB3F-A12568109D35")
if ($idx -ge 0) {Write-Host "Rule Status: " $(Get-MpPreference).AttackSurfaceReductionRules_Actions[$idx]} else {Write-Host "Rule does not exist on this machine"}

Jeśli reguła istnieje, a stan to 1 (Enabled) lub 6 (Warn), należy ją wyłączyć, aby uruchomić ten test:

Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled

Scenariusz 1. Cfa blokuje plik testowy oprogramowania wymuszającego okup

1. Włącz usługę CFA przy użyciu polecenia programu PowerShell:

   Set-MpPreference -EnableControlledFolderAccess Enabled
   

2. Dodaj folder demonstracyjny do listy folderów chronionych przy użyciu polecenia programu PowerShell:

   Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
   

3. Pobierz plik testowy oprogramowania wymuszającego okup.

4. Wykonaj plik testowy oprogramowania wymuszającego okup. Należy pamiętać, że nie jest to oprogramowanie wymuszające okup; po prostu próbuje zaszyfrować c:\demo.

Oczekiwane wyniki scenariusza 1

Około pięciu sekund po wykonaniu pliku testowego oprogramowania wymuszającego okup powinno zostać wyświetlone powiadomienie, że usługa CFA zablokowała próbę szyfrowania.

Scenariusz 2: Co by się stało bez cfa

1. Wyłącz usługę CFA przy użyciu tego polecenia programu PowerShell:

   Set-MpPreference -EnableControlledFolderAccess Disabled
   

2. Wykonaj plik testowy oprogramowania wymuszającego okup.

Oczekiwane wyniki scenariusza 2

• Pliki w c:\demo pliku są szyfrowane i powinien zostać wyświetlony komunikat ostrzegawczy
• Ponownie wykonaj plik testowy oprogramowania wymuszającego okup, aby odszyfrować pliki

Oczyszczanie

1. Pobierz i uruchom ten skrypt oczyszczania. Zamiast tego możesz wykonać następujące czynności ręczne:

   Set-MpPreference -EnableControlledFolderAccess Disabled
   

2. c:\demo Czyszczenie szyfrowania przy użyciu pliku szyfrowania/odszyfrowywania

3. Jeśli włączono regułę asr aggressive ransomware prevention i wyłączono ją na początku tego testu, włącz ją ponownie:

   Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
   

Zobacz też

Kontrolowany dostęp do folderu