האם ברצונך ללמוד כיצד להגדיר כללים להפחתת שטח התקיפה באמצעות Powershell? במדריך זה, נראה לך כיצד להשתמש בשורת הפקודה כדי להוסיף כלל ASR כדי לחסום יצירות תהליך שמקורן בפקודות PSExec ו- WMI.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

רשימת ציוד

כאן תוכל למצוא את רשימת הציוד המשמש ליצירת ערכת לימוד זו.

קישור זה גם יראה את רשימת התוכנה המשמשת ליצירת ערכת לימוד זו.

ערכת לימוד קשורה – PowerShell

בדף זה, אנו מציעים גישה מהירה לרשימת ערכות לימוד הקשורות ל- PowerShell.

ערכת לימוד Powershell ASR – חסום יצירות תהליך שמקורן ב- PSExec ו- WMI

הפעל שורת פקודה מוגבהת של Powershell.

Windows 10 - powershell elevated

הוסף כלל ASR באמצעות Powershell.

Copy to Clipboard

בדוגמה שלנו, אנו מוסיפים כלל לחסימת יצירות תהליך שמקורן בפקודות PSExec ו- WMI.

ישנן מספר פעולות זמינות.

Copy to Clipboard

מצב WARN חוסם את הביצוע ומציג חלון אזהרה למשתמש.

ASR - WARNING MESSAGE

פרט את כל כללי ASR שהוגדרו.

Copy to Clipboard

הנה פלט הפקודה.

Copy to Clipboard

הפעל מחדש את המחשב כדי להפעיל את כללי ASR.

Copy to Clipboard

לחלופין, הפעל מחדש את ההגנה בזמן אמת של Defender כדי להפעיל את כללי ה- ASR.

Copy to Clipboard

כדי לבדוק את תצורת ASR, נסה ליצור תהליך באמצעות WMI.

Copy to Clipboard

פרט אירועים הקשורים לכללי ASR.

Copy to Clipboard

הנה פלט הפקודה.

Copy to Clipboard

השבת את כלל ASR באמצעות Powershell.

Copy to Clipboard

הסר את כלל ה- ASR באמצעות Powershell.

Copy to Clipboard

מזל טוב! באפשרותך להשתמש ב- Powershell כדי להגדיר כלל ASR לחסימת יצירות תהליך שמקורן בפקודות PSExec ו- WMI.