Gostaria de saber como configurar regras de redução de superfície de ataque usando o Powershell? Neste tutorial, mostraremos como usar a linha de comando para adicionar uma regra ASR para bloquear criações de processos originadas de comandos PSExec e WMI.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Lista de equipamentos

Aqui você pode encontrar a lista de equipamentos usados para criar este tutorial.

Este link também mostrará a lista de software usada para criar este tutorial.

Tutorial relacionado – PowerShell

Nesta página, oferecemos acesso rápido a uma lista de tutoriais relacionados ao PowerShell.

Tutorial Powershell ASR – Bloquear criações de processos originárias do PSExec e WMI

Inicie uma linha de comando powershell elevada.

Windows 10 - powershell elevated

Adicione uma regra ASR usando o Powershell.

Copy to Clipboard

Em nosso exemplo, adicionamos uma regra para bloquear criações de processos originadas de comandos PSExec e WMI.

Há várias ações disponíveis.

Copy to Clipboard

O modo WARN bloqueia a execução e apresenta uma janela de aviso ao usuário.

ASR - WARNING MESSAGE

Liste todas as regras ASR configuradas.

Copy to Clipboard

Aqui está a saída do comando.

Copy to Clipboard

Reinicie o computador para habilitar as regras ASR.

Copy to Clipboard

Opcionalmente, reinicie a proteção em tempo real do Defender para habilitar as regras ASR.

Copy to Clipboard

Para testar a configuração ASR, tente criar um processo usando WMI.

Copy to Clipboard

Listar eventos relacionados a regras ASR.

Copy to Clipboard

Aqui está a saída do comando.

Copy to Clipboard

Desative a regra ASR usando o Powershell.

Copy to Clipboard

Remova a regra ASR usando o Powershell.

Copy to Clipboard

Parabéns! Você pode usar o Powershell para configurar uma regra ASR para bloquear criações de processos originadas de comandos PSExec e WMI.