Powershell을 사용하여 공격 표면 감소 규칙을 구성하는 방법을 알아보시겠습니까? 이 자습서에서는 명령줄을 사용하여 PSExec 및 WMI 명령에서 발생하는 프로세스 생성을 차단하는 ASR 규칙을 추가하는 방법을 보여 줍니다.

• 윈도우 2012 R2 • 윈도우 2016 • 윈도우 2019 • 윈도우 2022 • 윈도우 10 • 윈도우 11

장비 목록

여기에서 이 자습서를 만드는 데 사용되는 장비 목록을 찾을 수 있습니다.

이 링크에는 이 자습서를 만드는 데 사용되는 소프트웨어 목록도 표시됩니다.

관련 자습서-PowerShell

이 페이지에서는 PowerShell과 관련된 자습서 목록에 빠르게 액세스할 수 있습니다.

자습서 파워쉘 ASR – PSExec 및 WMI에서 발생하는 블록 프로세스 생성

관리자 권한 Powershell 명령줄을 시작합니다.

Windows 10 - powershell elevated

파워 셸을 사용하여 ASR 규칙을 추가합니다.

Copy to Clipboard

이 예제에서는 PSExec 및 WMI 명령에서 발생하는 프로세스 생성을 차단하는 규칙을 추가합니다.

여러 작업을 사용할 수 있습니다.

Copy to Clipboard

WARN 모드는 실행을 차단하고 사용자에게 경고 창을 표시합니다.

ASR - WARNING MESSAGE

구성된 모든 ASR 규칙을 나열합니다.

Copy to Clipboard

다음은 명령 출력입니다.

Copy to Clipboard

컴퓨터를 다시 시작하여 ASR 규칙을 사용하도록 설정합니다.

Copy to Clipboard

필요에 따라 Defender 실시간 보호를 다시 시작하여 ASR 규칙을 사용하도록 설정합니다.

Copy to Clipboard

ASR 구성을 테스트하려면 WMI를 사용하여 프로세스를 만들어 봅니다.

Copy to Clipboard

ASR 규칙과 관련된 이벤트를 나열합니다.

Copy to Clipboard

다음은 명령 출력입니다.

Copy to Clipboard

파워 셸을 사용 하 여 ASR 규칙을 사용 하지 않도록 설정 합니다.

Copy to Clipboard

파워 셸을 사용 하 여 ASR 규칙을 제거 합니다.

Copy to Clipboard

축! Powershell을 사용하여 PSExec 및 WMI 명령에서 발생하는 프로세스 생성을 차단하도록 ASR 규칙을 구성할 수 있습니다.