Souhaitez-vous apprendre à utiliser une stratégie de groupe pour configurer des règles de réduction de la surface d’attaque ? Dans ce didacticiel, nous allons vous montrer comment créer une stratégie de groupe pour ajouter une règle ASR afin de bloquer les créations de processus provenant des commandes PSExec et WMI.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Liste des équipements

Ici, vous pouvez trouver la liste des équipements utilisés pour créer ce tutoriel.

Ce lien affichera également la liste logicielle utilisée pour créer ce tutoriel.

Tutoriel lié à Windows:

Sur cette page, nous offrons un accès rapide à une liste de tutoriels liés à Windows.

Tutoriel GPO ASR – Bloquer les créations de processus à partir de PSExec et WMI

Sur le contrôleur de domaine, ouvrez l’outil de gestion des stratégies de groupe.

Windows - Group Policy management

Créez une stratégie de groupe.

Entrez un nom pour la nouvelle stratégie de groupe.

Windows - Add GPO

Dans notre exemple, le nouveau GPO a été nommé : MY-GPO.

Dans l’écran Gestion des stratégies de groupe, développez le dossier nommé Objets de stratégie de groupe.

Cliquez avec le bouton droit sur votre nouvel objet stratégie de groupe et sélectionnez l’option Modifier.

Windows - Edit GPO

Dans l’écran de l’éditeur de stratégies de groupe, développez le dossier de configuration de l’ordinateur et recherchez l’élément suivant.

Copy to Clipboard

Accédez au dossier nommé Réduction de la surface d’attaque.

GPO - ATTACK SURFACE REDUCTION

Activez l’élément nommé Configurer les règles de réduction de la surface d’attaque.

GPO - CONFIGURE ATTACK SURFACE REDUCTION RULES

Cliquez sur le bouton Afficher.

Entrez l’ID de la règle ASR et l’action souhaitée.

GPO ASR - Block process creations PSEXEC WMI

Dans notre exemple, nous avons activé une règle pour bloquer les créations de processus à partir de PSExec et WMI.

Copy to Clipboard

Plusieurs actions sont disponibles.

Copy to Clipboard

Pour enregistrer la configuration de stratégie de groupe, vous devez fermer l’éditeur de stratégie de groupe.

félicitations! Vous avez terminé la création de GPO.

GPO ASR – Bloquer les créations de processus à partir de PSExec et WMI

Dans l’écran Gestion des stratégies de groupe, vous devez cliquer avec le bouton droit sur l’unité organisationnelle souhaitée et sélectionner l’option pour lier un objet de stratégie de stratégie existant.

Dans notre exemple, nous allons lier la stratégie de groupe nommée MY-GPO à la racine du domaine.

GPO- tutorial linking

Après l’application de l’objet, vous devez attendre 10 ou 20 minutes.

Pendant ce temps, le GPO sera répliqué à d’autres contrôleurs de domaine.

Sur un ordinateur distant, répertoriez toutes les règles ASR configurées.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

Essayez de créer un processus à l’aide de WMI.

Copy to Clipboard

Dans notre exemple, nous avons configuré une règle ASR pour bloquer les créations de processus à partir de PSExec et WMI à l’aide d’un objet de stratégie de groupe.