PowerShell ASR - PSExec および WMI からのプロセス作成をブロックする

PowerShell を使用して攻撃表面の縮小ルールを構成する方法を学びたいですか? このチュートリアルでは、コマンドラインを使用して ASR ルールを追加し、PSExec および WMI コマンドからのプロセス作成をブロックする方法について説明します。

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

機器リスト

ここでは、このチュートリアルを作成するために使用される機器のリストを見つけることができます。

機器リスト

このリンクには、このチュートリアルの作成に使用するソフトウェアの一覧も表示されます。

チュートリアル PowerShell ASR – PSExec および WMI から発生したプロセスの作成をブロックする

管理者特権の Powershell コマンドラインを起動します。

PowerShell を使用して ASR ルールを追加します。

Copy to Clipboard

この例では、PSExec および WMI コマンドからのプロセス作成をブロックするルールを追加します。

使用可能なアクションは複数あります。

Copy to Clipboard

WARN モードは実行をブロックし、ユーザーに警告ウィンドウを表示します。

構成されているすべての ASR ルールを一覧表示します。

Copy to Clipboard

コマンド出力を次に示します。

Copy to Clipboard

コンピューターを再起動して、ASR ルールを有効にします。

Copy to Clipboard

必要に応じて、Defender リアルタイム保護を再起動して、ASR ルールを有効にします。

Copy to Clipboard

ASR 構成をテストするには、WMI を使用してプロセスを作成してみてください。

Copy to Clipboard

ASR ルールに関連するイベントを一覧表示します。

Copy to Clipboard

コマンド出力を次に示します。

Copy to Clipboard

TimeCreated            Id LevelDisplayName Message
-----------            -- ---------------- -------
1/24/2023 1:10:05 AM 1121 Warning          Microsoft Defender Exploit Guard has blocked an operation that is not allowed by your IT administrator.
                                            For more information please contact your IT administrator.
                                                ID: D1E49AAC-8F56-4280-B9BA-993A6D77406C                                                                     
                                                Detection time: 2023-01-24T01:10:05.099Z                                                                     
                                                User: NT AUTHORITY\NETWORK SERVICE                                                                           
                                                Path: C:\Windows\System32\PING.EXE                                                                           
                                                Process Name: C:\Windows\System32\wbem\WmiPrvSE.exe                                                          
                                                Target Commandline: ping google.com                                                                          
                                                Parent Commandline: C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding                                
                                                Involved File:                                                                                               
                                                Inheritance Flags: 0x00000000                                                                                
                                                Security intelligence Version: 1.381.2617.0                                                                  
                                                Engine Version: 1.1.19900.2                                                                                  
                                                Product Version: 4.18.2211.5

PowerShell を使用して ASR ルールを無効にします。

Copy to Clipboard

PowerShell を使用して ASR ルールを削除します。

Copy to Clipboard

おめでとう！ PowerShell を使用して、PSExec および WMI コマンドからのプロセス作成をブロックする ASR ルールを構成できます。

PowerShell ASR – PSExec および WMI からのプロセス作成をブロックする