Vill du lära dig hur du använder en grupprincip för att konfigurera regler för minskning av attackytan? I den här självstudien visar vi dig hur du skapar en grupprincip för att lägga till en ASR-regel för att blockera processskapanden som kommer från PSExec- och WMI-kommandon.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• fönster 2022
• Windows 10
• Windows 11

Utrustning lista

Här kan du hitta listan över utrustning som används för att skapa denna tutorial.

Denna länk kommer också att visa programvaran lista som används för att skapa denna tutorial.

Windows Relaterad självstudie:

På den här sidan erbjuder vi snabb tillgång till en lista med självstudier relaterade till Windows.

Självstudiekurs GPO ASR – Blockera processskapanden från PSExec och WMI

Öppna verktyget grupprinciphantering på domänkontrollanten.

Windows - Group Policy management

Skapa en ny grupprincip.

Windows 2012 - Group Policy Objects

Ange ett namn på den nya grupppolicyn.

Windows - Add GPO

I vårt exempel fick den nya GPO namnet: MY-GPO.

Expandera mappen med namnet Grupprincipobjekt på skärmen Grupprinciphantering.

Högerklicka på ditt nya grupprincipobjekt och välj alternativet Redigera.

Windows - Edit GPO

Expandera konfigurationsmappen Dator på skärmen för redigeraren för grupprinciper och leta upp följande objekt.

Copy to Clipboard

Öppna mappen med namnet Minskning av attackytan.

GPO - ATTACK SURFACE REDUCTION

Aktivera objektet med namnet Konfigurera regler för minskning av attackytan.

GPO - CONFIGURE ATTACK SURFACE REDUCTION RULES

Klicka på knappen Visa.

Ange ASR-regel-ID och önskad åtgärd.

GPO ASR - Block process creations PSEXEC WMI

I vårt exempel aktiverade vi en regel för att blockera processskapanden från PSExec och WMI.

Copy to Clipboard

Det finns flera åtgärder tillgängliga.

Copy to Clipboard

Om du vill spara grupprincipkonfigurationen måste du stänga redigeraren för grupprinciper.

Grattis! Du har avslutat GPO-skapelsen.

GPO ASR - Blockera processskapande från PSExec och WMI

På skärmen Grupprinciphantering måste du högerklicka på organisationsenheten som önskas och välja alternativet för att länka en existerande GPO.

Windows-2012-Applocker application

I vårt exempel ska vi länka grupppolicyn med namnet MY-GPO till domänens rot.

GPO- tutorial linking

Efter applicering av GPO måste du vänta i 10 eller 20 minuter.

Under denna tid kommer GPO att replikeras till andra domänkontrollanter.

På en fjärrdator listar du alla konfigurerade ASR-regler.

Copy to Clipboard

Här är kommandot utgång.

Copy to Clipboard

Försök att skapa en process med WMI.

Copy to Clipboard

I vårt exempel konfigurerade vi en ASR-regel för att blockera processskapande från PSExec och WMI med hjälp av ett grupprincipobjekt.