Хотите узнать, как настроить правила уменьшения поверхности атаки с помощью Powershell? В этом руководстве мы покажем вам, как использовать командную строку для добавления правила ASR для блокировки процессов, созданных из команд PSExec и WMI.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Список оборудования

Здесь вы можете найти список оборудования, используемого для создания этого учебника.

Эта ссылка будет также показать список программного обеспечения, используемого для создания этого учебника.

Похожий учебник — PowerShell

На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с PowerShell.

Учебное пособие по Powershell ASR — блокировка процессов, созданных на psExec и WMI

Запустите командную строку Powershell с повышенными привилегиями.

Windows 10 - powershell elevated

Добавьте правило ASR с помощью Powershell.

Copy to Clipboard

В нашем примере мы добавляем правило для блокировки создания процессов, исходящих из команд PSExec и WMI.

Доступно несколько действий.

Copy to Clipboard

Режим WARN блокирует выполнение и представляет пользователю окно предупреждения.

ASR - WARNING MESSAGE

Список всех настроенных правил ASR.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Перезагрузите компьютер, чтобы включить правила ASR.

Copy to Clipboard

При необходимости перезапустите защиту Defender в режиме реального времени, чтобы включить правила ASR.

Copy to Clipboard

Чтобы проверить конфигурацию ASR, попробуйте создать процесс с помощью WMI.

Copy to Clipboard

Перечислите события, связанные с правилами ASR.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Отключите правило ASR с помощью Powershell.

Copy to Clipboard

Удалите правило ASR с помощью Powershell.

Copy to Clipboard

Поздравляю! Powershell можно использовать для настройки правила ASR для блокировки процессов, созданных из команд PSExec и WMI.