다음을 통해 공유

CFA(제어된 폴더 액세스) 데모(랜섬웨어 차단)

  • 적용 대상: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

제어된 폴더 액세스는 랜섬웨어와 같은 악의적인 앱 및 위협으로부터 중요한 데이터를 보호하는 데 도움이 됩니다. Microsoft Defender 바이러스 백신은 모든 앱(.exe, .scr, .dll 파일 등을 포함한 실행 파일)을 평가한 다음 앱이 악성인지 안전한지 확인합니다. 앱이 악의적이거나 의심스러운 것으로 확인되면 앱은 보호된 폴더의 파일을 변경할 수 없습니다.

시나리오 요구 사항 및 설정

  • Windows 10 1709 빌드 16273
  • Microsoft Defender 바이러스 백신(활성 모드)

PowerShell 명령

Set-MpPreference -EnableControlledFolderAccess (State)

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

규칙 상태

상태 모드 숫자 값
사용 안 함 해제 0
사용 차단 모드 1
감사 감사 모드 2

구성 확인

Get-MpPreference

테스트 파일

CFA 랜섬웨어 테스트 파일

시나리오

설정

설치 스크립트를 다운로드하고 실행합니다. 스크립트를 실행하기 전에 다음 PowerShell 명령을 사용하여 실행 정책을 로 Unrestricted 설정합니다.

Set-ExecutionPolicy Unrestricted

또는 다음 수동 단계를 대신 수행할 수 있습니다.

  1. 에서와 같이 라는 폴더 c:democ:\demo만듭니다.

  2. 클린 파일을c:\demo 에 저장합니다(암호화할 항목이 필요).

  3. 이 문서의 앞부분에 나열된 PowerShell 명령을 실행합니다.

다음으로, 공격적인 랜섬웨어 방지 ASR 규칙의 상태 검사 사용하도록 설정된 경우 이 테스트 기간 동안 사용하지 않도록 설정합니다.

$idx = $(Get-MpPreference).AttackSurfaceReductionRules_Ids.IndexOf("C1DB55AB-C21A-4637-BB3F-A12568109D35")
if ($idx -ge 0) {Write-Host "Rule Status: " $(Get-MpPreference).AttackSurfaceReductionRules_Actions[$idx]} else {Write-Host "Rule does not exist on this machine"}

규칙이 있고 상태 1 (Enabled) 또는 6 (Warn)인 경우 이 테스트를 실행하려면 사용하지 않도록 설정해야 합니다.

Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled

시나리오 1: CFA가 랜섬웨어 테스트 파일을 차단합니다.

  1. PowerShell 명령을 사용하여 CFA를 켭니다.

    Set-MpPreference -EnableControlledFolderAccess Enabled

  2. PowerShell 명령을 사용하여 보호된 폴더 목록에 데모 폴더를 추가합니다.

    Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

  3. 랜섬웨어 테스트 파일을 다운로드합니다.

  4. 랜섬웨어 테스트 파일을 실행합니다. 랜섬웨어가 아닙니다. 단순히 을 암호화 c:\demo하려고 합니다.

시나리오 1 예상 결과

랜섬웨어 테스트 파일을 실행한 후 약 5초 후에 CFA가 암호화 시도를 차단했다는 알림이 표시됩니다.

시나리오 2: CFA 없이는 어떻게 될까요?

  1. 다음 PowerShell 명령을 사용하여 CFA를 끕니다.

    Set-MpPreference -EnableControlledFolderAccess Disabled

  2. 랜섬웨어 테스트 파일을 실행합니다.

시나리오 2 예상 결과

  • c:\demo 파일이 암호화되고 경고 메시지가 표시됩니다.
  • 랜섬웨어 테스트 파일을 다시 실행하여 파일 암호 해독

정리

  1. 정리 스크립트를 다운로드하고 실행합니다. 대신 다음 수동 단계를 수행할 수 있습니다.

    Set-MpPreference -EnableControlledFolderAccess Disabled

  2. 암호화/암호 해독 파일을 사용하여 암호화 정리 c:\demo

  3. 공격적인 랜섬웨어 방지 ASR 규칙을 사용하도록 설정하고 이 테스트의 시작 부분에서 사용하지 않도록 설정한 경우 다시 사용하도록 설정합니다.

    Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled

참고 항목

제어된 폴더 액세스

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.