Powershell ASR - חסום יצירות תהליך מ- PSExec ו- WMI

האם ברצונך ללמוד כיצד להגדיר כללים להפחתת שטח התקיפה באמצעות Powershell? במדריך זה, נראה לך כיצד להשתמש בשורת הפקודה כדי להוסיף כלל ASR כדי לחסום יצירות תהליך שמקורן בפקודות PSExec ו- WMI.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

רשימת ציוד

כאן תוכל למצוא את רשימת הציוד המשמש ליצירת ערכת לימוד זו.

רשימת ציוד

קישור זה גם יראה את רשימת התוכנה המשמשת ליצירת ערכת לימוד זו.

ערכת לימוד קשורה – PowerShell

בדף זה, אנו מציעים גישה מהירה לרשימת ערכות לימוד הקשורות ל- PowerShell.

ערכת לימוד Powershell ASR – חסום יצירות תהליך שמקורן ב- PSExec ו- WMI

הפעל שורת פקודה מוגבהת של Powershell.

הוסף כלל ASR באמצעות Powershell.

Copy to Clipboard

בדוגמה שלנו, אנו מוסיפים כלל לחסימת יצירות תהליך שמקורן בפקודות PSExec ו- WMI.

ישנן מספר פעולות זמינות.

Copy to Clipboard

מצב WARN חוסם את הביצוע ומציג חלון אזהרה למשתמש.

פרט את כל כללי ASR שהוגדרו.

Copy to Clipboard

הנה פלט הפקודה.

Copy to Clipboard

הפעל מחדש את המחשב כדי להפעיל את כללי ASR.

Copy to Clipboard

לחלופין, הפעל מחדש את ההגנה בזמן אמת של Defender כדי להפעיל את כללי ה- ASR.

Copy to Clipboard

כדי לבדוק את תצורת ASR, נסה ליצור תהליך באמצעות WMI.

Copy to Clipboard

פרט אירועים הקשורים לכללי ASR.

Copy to Clipboard

הנה פלט הפקודה.

Copy to Clipboard

TimeCreated            Id LevelDisplayName Message
-----------            -- ---------------- -------
1/24/2023 1:10:05 AM 1121 Warning          Microsoft Defender Exploit Guard has blocked an operation that is not allowed by your IT administrator.
                                            For more information please contact your IT administrator.
                                                ID: D1E49AAC-8F56-4280-B9BA-993A6D77406C                                                                     
                                                Detection time: 2023-01-24T01:10:05.099Z                                                                     
                                                User: NT AUTHORITY\NETWORK SERVICE                                                                           
                                                Path: C:\Windows\System32\PING.EXE                                                                           
                                                Process Name: C:\Windows\System32\wbem\WmiPrvSE.exe                                                          
                                                Target Commandline: ping google.com                                                                          
                                                Parent Commandline: C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding                                
                                                Involved File:                                                                                               
                                                Inheritance Flags: 0x00000000                                                                                
                                                Security intelligence Version: 1.381.2617.0                                                                  
                                                Engine Version: 1.1.19900.2                                                                                  
                                                Product Version: 4.18.2211.5

השבת את כלל ASR באמצעות Powershell.

Copy to Clipboard

הסר את כלל ה- ASR באמצעות Powershell.

Copy to Clipboard

מזל טוב! באפשרותך להשתמש ב- Powershell כדי להגדיר כלל ASR לחסימת יצירות תהליך שמקורן בפקודות PSExec ו- WMI.

Powershell ASR – חסום יצירות תהליך מ- PSExec ו- WMI