Vil du lære hvordan du konfigurerer regler for reduksjon av angrepsoverflate ved hjelp av Powershell? I denne opplæringen vil vi vise deg hvordan du bruker kommandolinjen til å legge til en ASR-regel for å blokkere prosessopprettelser som stammer fra PSExec- og WMI-kommandoer.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Liste over utstyr

Her finner du listen over utstyr som brukes til å lage denne opplæringen.

Denne koblingen vil også vise programvarelisten som brukes til å lage denne opplæringen.

Relatert opplæring – PowerShell

På denne siden tilbyr vi rask tilgang til en liste over tutorials knyttet til PowerShell.

Opplæring Powershell ASR – Blokker prosessopprettelser som kommer fra PSExec og WMI

Start en forhøyet Powershell-kommandolinje.

Windows 10 - powershell elevated

Legg til en ASR-regel ved hjelp av Powershell.

Copy to Clipboard

I vårt eksempel legger vi til en regel for å blokkere prosessopprettelser som stammer fra PSExec- og WMI-kommandoer.

Det er flere tilgjengelige handlinger.

Copy to Clipboard

WARN-modus blokkerer kjøringen og presenterer et advarselsvindu for brukeren.

ASR - WARNING MESSAGE

List opp alle konfigurerte ASR-regler.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

Start datamaskinen på nytt for å aktivere ASR-reglene.

Copy to Clipboard

Du kan eventuelt starte Defender-sanntidsbeskyttelsen på nytt for å aktivere ASR-reglene.

Copy to Clipboard

For å teste ASR-konfigurasjonen, prøv å lage en prosess ved hjelp av WMI.

Copy to Clipboard

List opp hendelser relatert til ASR-regler.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

Deaktiver ASR-regelen ved hjelp av Powershell.

Copy to Clipboard

Fjern ASR-regelen ved hjelp av Powershell.

Copy to Clipboard

Gratulerer! Du kan bruke Powershell til å konfigurere en ASR-regel for å blokkere prosessopprettelser som stammer fra PSExec- og WMI-kommandoer.