Vil du lære hvordan du bruker en gruppepolicy for å konfigurere regler for reduksjon av angrepsoverflate? I denne opplæringen vil vi vise deg hvordan du oppretter en gruppepolicy for å legge til en ASR-regel for å blokkere prosessopprettelser som stammer fra PSExec- og WMI-kommandoer.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 2022
• Windows 10
• Windows 11

Liste over utstyr

Her finner du listen over utstyr som brukes til å lage denne opplæringen.

Denne koblingen vil også vise programvarelisten som brukes til å lage denne opplæringen.

Windows Relatert Tutorial:

På denne siden tilbyr vi rask tilgang til en liste over tutorials knyttet til Windows.

Opplæring GPO ASR - Blokker prosessopprettelser fra PSExec og WMI

Åpne verktøyet for gruppepolicybehandling på domenekontrolleren.

Windows - Group Policy management

Opprett en ny gruppepolicy.

Windows 2012 - Group Policy Objects

Skriv inn et navn på den nye gruppepolicyen.

Windows - Add GPO

I vårt eksempel ble det nye Gruppepolicyobjektet kalt MY-GPO.

Utvid mappen med navnet Gruppepolicyobjekter i skjermbildet Gruppepolicybehandling.

Høyreklikk det nye gruppepolicyobjektet, og velg alternativet Rediger.

Windows - Edit GPO

Utvid datamaskinkonfigurasjonsmappen på skjermbildet redigeringsprogram for gruppepolicy, og finn følgende element.

Copy to Clipboard

Få tilgang til mappen som heter Attack surface reduction.

GPO - ATTACK SURFACE REDUCTION

Aktiver elementet som heter Konfigurer angrepsoverflatereduksjonsregler.

GPO - CONFIGURE ATTACK SURFACE REDUCTION RULES

Klikk på Vis-knappen.

Skriv inn ASR-regel-ID og ønsket handling.

GPO ASR - Block process creations PSEXEC WMI

I vårt eksempel aktivert vi en regel for å blokkere prosessopprettelser fra PSExec og WMI.

Copy to Clipboard

Det er flere tilgjengelige handlinger.

Copy to Clipboard

Hvis du vil lagre konfigurasjonen av gruppepolicy, må du lukke redigeringsprogrammet for gruppepolicy.

Gratulerer! Du er ferdig med GPO-opprettelsen.

GPO ASR - Blokker prosessopprettelser fra PSExec og WMI

I skjermbildet Gruppepolicybehandling må du høyreklikke den ønskede organisasjonsenheten og velge alternativet for å koble et eksisterende gruppepolicyobjekt.

Windows-2012-Applocker application

I vårt eksempel skal vi koble gruppepolicyen my-GPO til roten av domenet.

GPO- tutorial linking

Etter påføring av gruppepolicyobjektet må du vente i 10 eller 20 minutter.

I løpet av denne tiden vil Gruppepolicyobjektet bli replikert til andre domenekontrollere.

List alle konfigurerte ASR-regler på en ekstern datamaskin.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

Prøv å lage en prosess ved hjelp av WMI.

Copy to Clipboard

I vårt eksempel konfigurerte vi en ASR-regel for å blokkere prosessopprettelser fra PSExec og WMI ved å bruke en GPO.