¿Le gustaría aprender a configurar reglas de reducción de superficie de ataque con Powershell? En este tutorial, le mostraremos cómo usar la línea de comandos para agregar una regla ASR para bloquear las creaciones de procesos que se originan en comandos PSExec y WMI.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 2022
• Windows 10
• Windows 11

Lista de equipos

Aquí puede encontrar la lista de equipos utilizados para crear este tutorial.

Este enlace también mostrará la lista de software utilizada para crear este tutorial.

Tutorial relacionado - PowerShell

En esta página, ofrecemos acceso rápido a una lista de tutoriales relacionados con PowerShell.

Tutorial Powershell ASR - Creación de procesos de bloques originados en PSExec y WMI

Inicie una línea de comandos de Powershell con privilegios elevados.

Windows 10 - powershell elevated

Agregue una regla ASR mediante Powershell.

Copy to Clipboard

En nuestro ejemplo, agregamos una regla para bloquear las creaciones de procesos que se originan en comandos PSExec y WMI.

Hay varias acciones disponibles.

Copy to Clipboard

El modo WARN bloquea la ejecución y presenta una ventana de advertencia al usuario.

ASR - WARNING MESSAGE

Enumere todas las reglas ASR configuradas.

Copy to Clipboard

Aquí está la salida del comando.

Copy to Clipboard

Reinicie el equipo para habilitar las reglas ASR.

Copy to Clipboard

Opcionalmente, reinicie la protección en tiempo real de Defender para habilitar las reglas ASR.

Copy to Clipboard

Para probar la configuración de ASR, intente crear un proceso mediante WMI.

Copy to Clipboard

Enumerar eventos relacionados con las reglas ASR.

Copy to Clipboard

Aquí está la salida del comando.

Copy to Clipboard

Deshabilite la regla ASR mediante Powershell.

Copy to Clipboard

Quite la regla ASR mediante Powershell.

Copy to Clipboard

¡Felicitaciones! Puede usar Powershell para configurar una regla ASR para bloquear las creaciones de procesos que se originan en comandos PSExec y WMI.