PowerShell を使用して攻撃表面の縮小ルールを構成する方法を学びたいですか? このチュートリアルでは、コマンド ラインを使用して ASR ルールを追加し、PSExec および WMI コマンドからのプロセス作成をブロックする方法について説明します。

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

機器リスト

ここでは、このチュートリアルを作成するために使用される機器のリストを見つけることができます。

このリンクには、このチュートリアルの作成に使用するソフトウェアの一覧も表示されます。

関連チュートリアル – PowerShell

このページでは、PowerShell に関連するチュートリアルの一覧にすばやくアクセスできます。

チュートリアル PowerShell ASR – PSExec および WMI から発生したプロセスの作成をブロックする

管理者特権の Powershell コマンド ラインを起動します。

Windows 10 - powershell elevated

PowerShell を使用して ASR ルールを追加します。

Copy to Clipboard

この例では、PSExec および WMI コマンドからのプロセス作成をブロックするルールを追加します。

使用可能なアクションは複数あります。

Copy to Clipboard

WARN モードは実行をブロックし、ユーザーに警告ウィンドウを表示します。

ASR - WARNING MESSAGE

構成されているすべての ASR ルールを一覧表示します。

Copy to Clipboard

コマンド出力を次に示します。

Copy to Clipboard

コンピューターを再起動して、ASR ルールを有効にします。

Copy to Clipboard

必要に応じて、Defender リアルタイム保護を再起動して、ASR ルールを有効にします。

Copy to Clipboard

ASR 構成をテストするには、WMI を使用してプロセスを作成してみてください。

Copy to Clipboard

ASR ルールに関連するイベントを一覧表示します。

Copy to Clipboard

コマンド出力を次に示します。

Copy to Clipboard

PowerShell を使用して ASR ルールを無効にします。

Copy to Clipboard

PowerShell を使用して ASR ルールを削除します。

Copy to Clipboard

おめでとう! PowerShell を使用して、PSExec および WMI コマンドからのプロセス作成をブロックする ASR ルールを構成できます。