Haluatko oppia käyttämään ryhmäkäytäntöä hyökkäyspinnan pienentämissääntöjen määrittämiseen? Tässä opetusohjelmassa näytämme sinulle, kuinka voit luoda ryhmäkäytännön lisätäksesi ASR-säännön estämään PSExec- ja WMI-komennoista peräisin olevat prosessiluomukset.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Laiteluettelo

Täältä löydät luettelon laitteista, joita käytetään tämän opetusohjelman luomiseen.

Tämä linkki näyttää myös tämän opetusohjelman luomiseen käytetyn ohjelmistoluettelon.

Windowsiin liittyvä opetusohjelma:

Tällä sivulla tarjoamme nopean pääsyn luetteloon Windowsiin liittyvistä opetusohjelmista.

Opetusohjelma GPO ASR – Estä prosessien luominen PSExecistä ja WMI: stä

Avaa toimialueen ohjauskoneessa ryhmäkäytäntöjen hallintatyökalu.

Windows - Group Policy management

Luo uusi ryhmäkäytäntö.

Windows 2012 - Group Policy Objects

Kirjoita uuden ryhmäkäytännön nimi.

Windows - Add GPO

Esimerkissämme uusi ryhmäkäytäntöobjekti nimettiin: MY-GPO.

Laajenna Ryhmäkäytäntöjen hallinta -näytössä ryhmäkäytäntöobjektit-kansio.

Napsauta uutta ryhmäkäytäntöobjektia hiiren kakkospainikkeella ja valitse Muokkaa-vaihtoehto.

Windows - Edit GPO

Laajenna ryhmäkäytäntöeditorin näytössä Tietokoneen määrityskansio ja etsi seuraava kohde.

Copy to Clipboard

Käytä kansiota nimeltä Hyökkäyspinnan pienennys.

GPO - ATTACK SURFACE REDUCTION

Ota käyttöön kohde nimeltä Määritä hyökkäyspinnan pienennyssäännöt.

GPO - CONFIGURE ATTACK SURFACE REDUCTION RULES

Napsauta Näytä-painiketta.

Anna ASR-sääntötunnus ja haluamasi toiminto.

GPO ASR - Block process creations PSEXEC WMI

Esimerkissämme otimme käyttöön säännön, joka estää prosessien luomisen PSExecistä ja WMI: stä.

Copy to Clipboard

Käytettävissä on useita toimintoja.

Copy to Clipboard

Jos haluat tallentaa ryhmäkäytäntömäärityksen, sinun on suljettava ryhmäkäytäntöeditori.

Onnittelen! Olet saanut GPO:n luomisen valmiiksi.

GPO ASR – Estä prosessien luominen PSExecistä ja WMI: stä

Ryhmäkäytäntöjen hallintanäytössä sinun on napsautettava haluamaasi organisaatioyksikköä hiiren kakkospainikkeella ja valittava vaihtoehto, joka linkittää olemassa olevan ryhmäkäytäntöobjektin.

Windows-2012-Applocker application

Esimerkissämme aiomme linkittää MY-GPO-nimisen ryhmäkäytännön toimialueen juureen.

GPO- tutorial linking

Kun olet soveltanut GPO: ta, sinun on odotettava 10 tai 20 minuuttia.

Tänä aikana GPO replikoidaan muihin toimialueen ohjauskoneeseen.

Luettele etätietokoneessa kaikki määritetyt ASR-säännöt.

Copy to Clipboard

Tässä on komentotulostin.

Copy to Clipboard

Yritä luoda prosessi WMI: n avulla.

Copy to Clipboard

Esimerkissämme määritimme ASR-säännön estämään prosessien luomisen PSExecistä ja WMI: stä GPO: n avulla.