Condividi tramite

Dimostrazioni di accesso controllato alle cartelle (CFA) (blocco ransomware)

  • Articolo

Si applica a:

L'accesso controllato alle cartelle consente di proteggere dati preziosi da app e minacce dannose, ad esempio ransomware. Microsoft Defender Antivirus valuta tutte le app (qualsiasi file eseguibile, inclusi .exe, .scr, .dll file e altri) e quindi determina se l'app è dannosa o sicura. Se l'app è determinata come dannosa o sospetta, l'app non può apportare modifiche ai file in alcuna cartella protetta.

Requisiti e configurazione dello scenario

  • Windows 10 1709 build 16273
  • Microsoft Defender Antivirus (modalità attiva)

Comandi PowerShell

Set-MpPreference -EnableControlledFolderAccess (State)

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

Stati delle regole

Stato Modalità Valore numerico
Disabilitato = Disattivato 0
Abilitato = Modalità blocco 1
Audit = Modalità di controllo 2

Verificare la configurazione

Get-MpPreference

File di test

File di test ransomware CFA

Scenari

Configurazione

Scaricare ed eseguire questo script di installazione. Prima di eseguire i criteri di esecuzione del set di script su Senza restrizioni usando questo comando di PowerShell:

Set-ExecutionPolicy Unrestricted

È invece possibile eseguire questi passaggi manuali:

  1. Create una cartella in c: named demo, "c:\demo".

  2. Salvare questo file pulito in c:\demo (è necessario un elemento da crittografare).

  3. Eseguire i comandi di PowerShell elencati in precedenza in questo articolo.

Scenario 1: CFA blocca il file di test ransomware

  1. Attivare CFA usando il comando di PowerShell:
Set-MpPreference -EnableControlledFolderAccess Enabled
  1. Aggiungere la cartella demo all'elenco delle cartelle protette usando il comando di PowerShell:
Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\
  1. Scaricare il file di test ransomware
  2. Eseguire il file di test ransomware *questo non è ransomware, è semplice tenta di crittografare c:\demo

Risultati previsti dello scenario 1

5 secondi dopo l'esecuzione del file di test ransomware si dovrebbe vedere una notifica CFA bloccato il tentativo di crittografia.

Scenario 2: Cosa accadrebbe senza CFA

  1. Disattivare CFA usando questo comando di PowerShell:
Set-MpPreference -EnableControlledFolderAccess Disabled
  1. Eseguire il file di test ransomware

Risultati previsti dello scenario 2

  • I file in c:\demo sono crittografati ed è necessario ricevere un messaggio di avviso
  • Eseguire di nuovo il file di test ransomware per decrittografare i file

Pulizia

Scaricare ed eseguire questo script di pulizia. È invece possibile eseguire questi passaggi manuali:

Set-MpPreference -EnableControlledFolderAccess Disabled

Pulire la crittografia c:\demo usando il file di crittografia/decrittografia

Vedere anche

Accesso controllato alle cartelle

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.