グループ ポリシーを使用して攻撃表面の縮小ルールを構成する方法を学習しますか? このチュートリアルでは、グループ ポリシーを作成して ASR ルールを追加し、PSExec および WMI コマンドからのプロセス作成をブロックする方法について説明します。
• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11
機器リスト
ここでは、このチュートリアルを作成するために使用される機器のリストを見つけることができます。
このリンクには、このチュートリアルの作成に使用するソフトウェアの一覧も表示されます。
ウィンドウズ関連のチュートリアル:
このページでは、Windows に関連するチュートリアルの一覧にすばやくアクセスできます。
チュートリアル GPO ASR – PSExec および WMI からのプロセス作成をブロックする
ドメイン コントローラで、グループ ポリシー管理ツールを開きます。
新しいグループ ポリシーを作成します。
新しいグループ ポリシーの名前を入力します。
この例では、新しい GPO の名前が MY-GPO です。
[グループ ポリシーの管理] 画面で、[グループ ポリシー オブジェクト] という名前のフォルダを展開します。
新しいグループ ポリシー オブジェクトを右クリックし、[編集] オプションを選択します。
グループ ポリシー エディタ画面で、[コンピューター] 構成フォルダを展開し、次の項目を見つけます。
[攻撃表面の縮小] という名前のフォルダーにアクセスします。
[攻撃表面の縮小ルールの構成] という名前の項目を有効にします。
[表示]ボタンをクリックします。
ASR ルール ID と目的のアクションを入力します。
この例では、PSExec と WMI からのプロセス作成をブロックするルールを有効にしました。
使用可能なアクションは複数あります。
グループ ポリシー構成を保存するには、グループ ポリシー エディターを閉じる必要があります。
おめでとう! GPO の作成が完了しました。
GPO ASR – PSExec および WMI からのプロセス作成をブロックする
[グループ ポリシーの管理] 画面で、目的の組織単位を右クリックし、存在する GPO をリンクするオプションを選択する必要があります。
この例では、MY-GPO という名前のグループ ポリシーをドメインのルートにリンクします。
GPO を適用した後、10 分または 20 分待つ必要があります。
この間、GPO は他のドメイン コントローラにレプリケートされます。
リモート コンピューターで、構成されているすべての ASR ルールを一覧表示します。
コマンド出力を次に示します。
WMI を使用してプロセスを作成してみてください。
この例では、GPO を使用して PSExec および WMI からのプロセス作成をブロックするように ASR ルールを構成しました。