Wilt u leren hoe u een groepsbeleid kunt gebruiken om regels voor het verminderen van het aanvalsoppervlak te configureren? In deze zelfstudie laten we u zien hoe u een groepsbeleid maakt om een ASR-regel toe te voegen om procescreaties te blokkeren die afkomstig zijn van PSExec- en WMI-opdrachten.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Uitrustingslijst

Hier vindt u de lijst met apparatuur die wordt gebruikt om deze zelfstudie te maken.

Deze link toont ook de softwarelijst die wordt gebruikt om deze zelfstudie te maken.

Windows Gerelateerde zelfstudie:

Op deze pagina bieden we snel toegang tot een lijst met zelfstudies met betrekking tot Windows.

Tutorial GPO ASR – Blokkeer procescreaties van PSExec en WMI

Open op de domeincontroller het hulpprogramma voor groepsbeleidsbeheer.

Windows - Group Policy management

Een nieuw groepsbeleid maken.

Voer een naam in voor het nieuwe groepsbeleid.

Windows - Add GPO

In ons voorbeeld werd de nieuwe GPO genoemd: MY-GPO.

Vouw in het scherm Groepsbeleidsbeheer de map met de naam Groepsbeleidsobjecten uit.

Klik met de rechtermuisknop op het nieuwe groepsbeleidsobject en selecteer de optie Bewerken.

Windows - Edit GPO

Vouw in het scherm van de groepsbeleidseditor de map Computerconfiguratie uit en zoek het volgende item.

Copy to Clipboard

Open de map Met de naam Aanvalsoppervlakreductie.

GPO - ATTACK SURFACE REDUCTION

Schakel het item met de naam Regels voor het verkleinen van het aanvalsoppervlak configureren in.

GPO - CONFIGURE ATTACK SURFACE REDUCTION RULES

Klik op de knop Weergeven.

Voer de ASR-regel-ID en de gewenste actie in.

GPO ASR - Block process creations PSEXEC WMI

In ons voorbeeld hebben we een regel ingeschakeld om procescreaties van PSExec en WMI te blokkeren.

Copy to Clipboard

Er zijn meerdere acties beschikbaar.

Copy to Clipboard

Als u de configuratie van het groepsbeleid wilt opslaan, moet u de editor groepsbeleid sluiten.

Gefeliciteerd! Je bent klaar met de GPO creatie.

GPO ASR – Blokkeer procescreaties van PSExec en WMI

Klik op het scherm Groepsbeleidsbeheer met de rechtermuisknop op de gewenste organisatie-eenheid en selecteer de optie om een bestaand GPO te koppelen.

In ons voorbeeld gaan we het groepsbeleid met de naam MY-GPO koppelen aan de wortel van het domein.

GPO- tutorial linking

Na het toepassen van de GPO moet u 10 of 20 minuten wachten.

Gedurende deze periode wordt de GPO gerepliceerd naar andere domeincontrollers.

Maak op een externe computer een lijst met alle geconfigureerde ASR-regels.

Copy to Clipboard

Hier is de opdrachtuitvoer.

Copy to Clipboard

Probeer een proces te maken met WMI.

Copy to Clipboard

In ons voorbeeld hebben we een ASR-regel geconfigureerd om procescreaties van PSExec en WMI te blokkeren met behulp van een groepsbeleidsobject.