Powershell ASR - حظر عمليات الإنشاء من PSExec و WMI

هل ترغب في معرفة كيفية تكوين قواعد تقليل الأجزاء المعرضة للهجوم باستخدام Powershell؟ في هذا البرنامج التعليمي ، سنوضح لك كيفية استخدام سطر الأوامر لإضافة قاعدة ASR لمنع عمليات إنشاء العمليات الناشئة عن أوامر PSExec و WMI.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

قائمة المعدات

هنا يمكنك العثور على قائمة المعدات المستخدمة لإنشاء هذا البرنامج التعليمي.

قائمة المعدات

هذا الرابط سوف تظهر أيضا قائمة البرامج المستخدمة لإنشاء هذا البرنامج التعليمي.

البرنامج التعليمي ذات الصلة – PowerShell

في هذه الصفحة، ونحن نقدم الوصول السريع إلى قائمة من الدروس المتعلقة PowerShell.

البرنامج التعليمي Powershell ASR – إنشاء عملية الكتلة الناشئة من PSExec و WMI

بدء تشغيل سطر أوامر Powershell مرتفع.

أضف قاعدة ASR باستخدام Powershell.

Copy to Clipboard

في مثالنا ، نضيف قاعدة لحظر عمليات إنشاء العمليات الناشئة من أوامر PSExec و WMI.

هناك العديد من الإجراءات المتاحة.

Copy to Clipboard

يحظر وضع WARN التنفيذ ويقدم نافذة تحذير للمستخدم.

سرد جميع قواعد ASR التي تم تكوينها.

Copy to Clipboard

هنا هو إخراج الأمر.

Copy to Clipboard

أعد تشغيل الكمبيوتر لتمكين قواعد ASR.

Copy to Clipboard

اختياريا، أعد تشغيل الحماية في الوقت الحقيقي ل Defender لتمكين قواعد ASR.

Copy to Clipboard

لاختبار تكوين ASR ، حاول إنشاء عملية باستخدام WMI.

Copy to Clipboard

سرد الأحداث المتعلقة بقواعد ASR.

Copy to Clipboard

هنا هو إخراج الأمر.

Copy to Clipboard

TimeCreated            Id LevelDisplayName Message
-----------            -- ---------------- -------
1/24/2023 1:10:05 AM 1121 Warning          Microsoft Defender Exploit Guard has blocked an operation that is not allowed by your IT administrator.
                                            For more information please contact your IT administrator.
                                                ID: D1E49AAC-8F56-4280-B9BA-993A6D77406C                                                                     
                                                Detection time: 2023-01-24T01:10:05.099Z                                                                     
                                                User: NT AUTHORITY\NETWORK SERVICE                                                                           
                                                Path: C:\Windows\System32\PING.EXE                                                                           
                                                Process Name: C:\Windows\System32\wbem\WmiPrvSE.exe                                                          
                                                Target Commandline: ping google.com                                                                          
                                                Parent Commandline: C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding                                
                                                Involved File:                                                                                               
                                                Inheritance Flags: 0x00000000                                                                                
                                                Security intelligence Version: 1.381.2617.0                                                                  
                                                Engine Version: 1.1.19900.2                                                                                  
                                                Product Version: 4.18.2211.5

قم بتعطيل قاعدة ASR باستخدام Powershell.

Copy to Clipboard

قم بإزالة قاعدة ASR باستخدام Powershell.

Copy to Clipboard

تهانينا! يمكنك استخدام Powershell لتكوين قاعدة ASR لحظر عمليات الإنشاء التي تنشأ من أوامر PSExec و WMI.

Powershell ASR – حظر عمليات الإنشاء من PSExec و WMI