¿Le gustaría aprender a usar una directiva de grupo para configurar reglas de reducción de superficie de ataque? En este tutorial, le mostraremos cómo crear una directiva de grupo para agregar una regla ASR para bloquear las creaciones de procesos originadas en comandos PSExec y WMI.
• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11
Lista de equipos
Aquí puede encontrar la lista de equipos utilizados para crear este tutorial.
Este enlace también mostrará la lista de software utilizada para crear este tutorial.
Tutorial relacionado con Windows:
En esta página, ofrecemos acceso rápido a una lista de tutoriales relacionados con Windows.
Tutorial GPO ASR – Creación de procesos de bloque desde PSExec y WMI
En el controlador de dominio, abra la herramienta de administración de directivas de grupo.
Cree una nueva directiva de grupo.
Escriba un nombre para la nueva directiva de grupo.
En nuestro ejemplo, el nuevo GPO se nombró: MY-GPO.
En la pantalla Administración de directivas de grupo, expanda la carpeta denominada Objetos de directiva de grupo.
Haga clic con el botón derecho en el nuevo objeto de directiva de grupo y seleccione la opción Editar.
En la pantalla del editor de directivas de grupo, expanda la carpeta Configuración del equipo y busque el siguiente elemento.
Acceda a la carpeta denominada Reducción de la superficie de ataque.
Habilite el elemento denominado Configurar reglas de reducción de superficie de ataque.
Haga clic en el botón Mostrar.
Introduzca el ID de regla ASR y la acción deseada.
En nuestro ejemplo, habilitamos una regla para bloquear las creaciones de procesos de PSExec y WMI.
Hay varias acciones disponibles.
Para guardar la configuración de directiva de grupo, debe cerrar el editor de directivas de grupo.
¡Felicitaciones! Ha terminado la creación del GPO.
GPO ASR: creación de procesos de bloques desde PSExec y WMI
En la pantalla Administración de directivas de grupo, debe hacer clic con el botón derecho en la unidad organizativa deseada y seleccionar la opción para vincular un GPO existente.
En nuestro ejemplo, vamos a vincular la directiva de grupo denominada MY-GPO a la raíz del dominio.
Después de aplicar el GPO es necesario esperar 10 o 20 minutos.
Durante este tiempo, el GPO se replicará en otros controladores de dominio.
En un equipo remoto, enumere todas las reglas ASR configuradas.
Aquí está la salida del comando.
Intente crear un proceso mediante WMI.
En nuestro ejemplo, configuramos una regla ASR para bloquear las creaciones de procesos de PSExec y WMI mediante un GPO.