Gostaria de saber como usar uma política de grupo para configurar regras de redução de superfície de ataque? Neste tutorial, mostraremos como criar uma política de grupo para adicionar uma regra ASR para bloquear criações de processos originadas de comandos PSExec e WMI.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Lista de equipamentos

Aqui você pode encontrar a lista de equipamentos usados para criar este tutorial.

Este link também mostrará a lista de software usada para criar este tutorial.

Tutorial relacionado ao Windows:

Nesta página, oferecemos acesso rápido a uma lista de tutoriais relacionados ao Windows.

Tutorial GPO ASR – Bloquear criações de processos do PSExec e WMI

No controlador de domínio, abra a ferramenta de gerenciamento de políticas de grupo.

Windows - Group Policy management

Crie uma nova política de grupo.

Digite um nome para a nova política do grupo.

Windows - Add GPO

Em nosso exemplo, o novo GPO foi nomeado: MY-GPO.

Na tela Gerenciamento de Políticas de Grupo, expanda a pasta chamada Objetos de Política de Grupo.

Clique com o botão direito do mouse no novo Objeto de Política de Grupo e selecione a opção Editar.

Windows - Edit GPO

Na tela do editor de política do grupo, expanda a pasta de configuração do computador e localize o seguinte item.

Copy to Clipboard

Acesse a pasta chamada Redução da superfície de ataque.

GPO - ATTACK SURFACE REDUCTION

Habilite o item chamado Configurar regras de redução de superfície de ataque.

GPO - CONFIGURE ATTACK SURFACE REDUCTION RULES

Clique no botão Mostrar.

Insira o ID da regra ASR e a ação desejada.

GPO ASR - Block process creations PSEXEC WMI

Em nosso exemplo, habilitamos uma regra para bloquear criações de processos do PSExec e do WMI.

Copy to Clipboard

Há várias ações disponíveis.

Copy to Clipboard

Para salvar a configuração da política de grupo, você precisa fechar o editor de Política de Grupo.

Parabéns! Você terminou a criação da GPO.

GPO ASR – Bloquear criações de processos do PSExec e WMI

Na tela de gerenciamento de políticas do Grupo, você precisa clicar com o botão direito do mouse na Unidade Organizacional desejada e selecionar a opção de vincular um GPO existente.

Em nosso exemplo, vamos vincular a política de grupo chamada MY-GPO à raiz do domínio.

GPO- tutorial linking

Depois de aplicar o GPO você precisa esperar por 10 ou 20 minutos.

Durante este tempo, o GPO será replicado para outros controladores de domínio.

Em um computador remoto, liste todas as regras ASR configuradas.

Copy to Clipboard

Aqui está a saída do comando.

Copy to Clipboard

Tente criar um processo usando WMI.

Copy to Clipboard

Em nosso exemplo, configuramos uma regra ASR para bloquear criações de processos do PSExec e WMI usando um GPO.