Imparare a utilizzare un criterio di gruppo per configurare le regole di riduzione della superficie di attacco? In questa esercitazione verrà illustrato come creare un criterio di gruppo per aggiungere una regola ASR per bloccare le creazioni di processi originati dai comandi PSExec e WMI.
• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11
Elenco attrezzature
Qui puoi trovare l’elenco delle attrezzature utilizzate per creare questa esercitazione.
Questo link mostrerà anche l’elenco software utilizzato per creare questa esercitazione.
Esercitazione correlata a Windows:
In questa pagina, offriamo un rapido accesso a un elenco di tutorial relativi a Windows.
Esercitazione GPO ASR – Creazione di processi a blocchi da PSExec e WMI
Nel controller di dominio aprire lo strumento di gestione dei criteri di gruppo.
Creare un nuovo criterio di gruppo.
Immettere un nome per i nuovi criteri di gruppo.
Nel nostro esempio, il nuovo oggetto Criteri di gruppo è stato denominato: MY-GPO.
Nella schermata Gestione Criteri di gruppo espandere la cartella denominata Oggetti Criteri di gruppo.
Fare clic con il pulsante destro del mouse sul nuovo oggetto Criteri di gruppo e selezionare l’opzione Modifica.
Nella schermata dell’editor dei criteri di gruppo espandere la cartella Configurazione computer e individuare l’elemento seguente.
Accedere alla cartella denominata Attack surface reduction.
Abilitare l’elemento denominato Configura regole di riduzione della superficie di attacco.
Fare clic sul pulsante Mostra.
Immettere l’ID regola ASR e l’azione desiderata.
Nel nostro esempio, abbiamo abilitato una regola per bloccare le creazioni di processi da PSExec e WMI.
Sono disponibili più azioni.
Per salvare la configurazione dei criteri di gruppo, è necessario chiudere l’editor Criteri di gruppo.
Congratulazioni! La creazione dell’oggetto Criteri di gruppo è stata completata.
GPO ASR – Creazione di processi a blocchi da PSExec e WMI
Nella schermata Gestione Criteri di gruppo è necessario fare clic con il pulsante destro del mouse sull’unità organizzativa desiderata e selezionare l’opzione per collegare un oggetto Criteri di gruppo esistente.
Nel nostro esempio, ci sarà il collegamento del criterio di gruppo denominato MY-GPO alla radice del dominio.
Dopo aver applicato l’oggetto Criteri di gruppo è necessario attendere 10 o 20 minuti.
Durante questo periodo l’oggetto Criteri di gruppo verrà replicato in altri controller di dominio.
In un computer remoto, elencare tutte le regole ASR configurate.
Ecco l’output del comando.
Provare a creare un processo utilizzando WMI.
Nel nostro esempio, abbiamo configurato una regola ASR per bloccare le creazioni di processi da PSExec e WMI utilizzando un oggetto Criteri di gruppo.
