Vil du gerne lære at bruge en gruppepolitik til at konfigurere regler for reduktion af angrebsoverflade? I denne vejledning viser vi dig, hvordan du opretter en gruppepolitik for at tilføje en ASR-regel for at blokere procesoprettelser, der stammer fra PSExec- og WMI-kommandoer.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Vinduer 2022
• Windows 10
• Windows 11

Liste over udstyr

Her kan du finde listen over udstyr, der bruges til at oprette denne tutorial.

Dette link viser også den softwareliste, der bruges til at oprette dette selvstudium.

Selvstudium i Windows:

På denne side tilbyder vi hurtig adgang til en liste over selvstudier relateret til Windows.

Tutorial GPO ASR - Bloker procesoprettelser fra PSExec og WMI

Åbn gruppepolitikstyringsværktøjet på domænecontrolleren.

Windows - Group Policy management

Opret en ny gruppepolitik.

Windows 2012 - Group Policy Objects

Angiv et navn til den nye gruppepolitik.

Windows - Add GPO

I vores eksempel blev den nye gruppepolitikobjekt navngivet: MY-GPO.

Udvid mappen Med navnet Gruppepolitikobjekter på skærmbilledet Gruppepolitikstyring.

Højreklik på det nye gruppepolitikobjekt, og vælg indstillingen Rediger.

Windows - Edit GPO

Udvid computerkonfigurationsmappen på skærmbilledet Gruppepolitikeditor, og find følgende element.

Copy to Clipboard

Få adgang til mappen med navnet Attack surface reduction.

GPO - ATTACK SURFACE REDUCTION

Aktivér elementet med navnet Konfigurer regler for reduktion af angrebsoverflade.

GPO - CONFIGURE ATTACK SURFACE REDUCTION RULES

Klik på knappen Vis.

Indtast ASR-regel-id'et og den ønskede handling.

GPO ASR - Block process creations PSEXEC WMI

I vores eksempel aktiverede vi en regel om at blokere procesoprettelser fra PSExec og WMI.

Copy to Clipboard

Der er flere handlinger tilgængelige.

Copy to Clipboard

Hvis du vil gemme gruppepolitikkonfigurationen, skal du lukke editoren gruppepolitik.

Tillykke! Du er færdig med oprettelsen af gruppepolitikobjektet.

GPO ASR - Bloker procesoprettelser fra PSExec og WMI

På skærmbilledet Administration af gruppepolitik skal du højreklikke på den ønskede organisationsenhed og vælge indstillingen for at sammenkæde et eksisterende gruppepolitikobjekt.

Windows-2012-Applocker application

I vores eksempel vil vi knytte gruppepolitikken med navnet MY-GPO til roden af domænet.

GPO- tutorial linking

Efter anvendelse af gruppepolitikobjektet skal du vente i 10 eller 20 minutter.

I dette tidsrum replikeres gruppepolitikobjektet til andre domænecontrollere.

På en fjerncomputer skal du angive alle konfigurerede ASR-regler.

Copy to Clipboard

Her er kommandoen output.

Copy to Clipboard

Prøv at oprette en proces ved hjælp af WMI.

Copy to Clipboard

I vores eksempel konfigurerede vi en ASR-regel til at blokere procesoprettelser fra PSExec og WMI ved hjælp af en GPO.