グループ ポリシーを使用して攻撃表面の縮小ルールを構成する方法を学習しますか? このチュートリアルでは、グループ ポリシーを作成して ASR ルールを追加し、PSExec および WMI コマンドからのプロセス作成をブロックする方法について説明します。

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

機器リスト

ここでは、このチュートリアルを作成するために使用される機器のリストを見つけることができます。

このリンクには、このチュートリアルの作成に使用するソフトウェアの一覧も表示されます。

ウィンドウズ関連のチュートリアル:

このページでは、Windows に関連するチュートリアルの一覧にすばやくアクセスできます。

チュートリアル GPO ASR – PSExec および WMI からのプロセス作成をブロックする

ドメイン コントローラで、グループ ポリシー管理ツールを開きます。

Windows - Group Policy management

新しいグループ ポリシーを作成します。

新しいグループ ポリシーの名前を入力します。

Windows - Add GPO

この例では、新しい GPO の名前が MY-GPO です。

[グループ ポリシーの管理] 画面で、[グループ ポリシー オブジェクト] という名前のフォルダを展開します。

新しいグループ ポリシー オブジェクトを右クリックし、[編集] オプションを選択します。

Windows - Edit GPO

グループ ポリシー エディタ画面で、[コンピューター] 構成フォルダを展開し、次の項目を見つけます。

Copy to Clipboard

[攻撃表面の縮小] という名前のフォルダーにアクセスします。

GPO - ATTACK SURFACE REDUCTION

[攻撃表面の縮小ルールの構成] という名前の項目を有効にします。

GPO - CONFIGURE ATTACK SURFACE REDUCTION RULES

[表示]ボタンをクリックします。

ASR ルール ID と目的のアクションを入力します。

GPO ASR - Block process creations PSEXEC WMI

この例では、PSExec と WMI からのプロセス作成をブロックするルールを有効にしました。

Copy to Clipboard

使用可能なアクションは複数あります。

Copy to Clipboard

グループ ポリシー構成を保存するには、グループ ポリシー エディターを閉じる必要があります。

おめでとう! GPO の作成が完了しました。

GPO ASR – PSExec および WMI からのプロセス作成をブロックする

[グループ ポリシーの管理] 画面で、目的の組織単位を右クリックし、存在する GPO をリンクするオプションを選択する必要があります。

この例では、MY-GPO という名前のグループ ポリシーをドメインのルートにリンクします。

GPO- tutorial linking

GPO を適用した後、10 分または 20 分待つ必要があります。

この間、GPO は他のドメイン コントローラにレプリケートされます。

リモート コンピューターで、構成されているすべての ASR ルールを一覧表示します。

Copy to Clipboard

コマンド出力を次に示します。

Copy to Clipboard

WMI を使用してプロセスを作成してみてください。

Copy to Clipboard

この例では、GPO を使用して PSExec および WMI からのプロセス作成をブロックするように ASR ルールを構成しました。