是否要了解如何使用 Powershell 配置攻击面减少规则? 在本教程中,我们将向您展示如何使用命令行添加 ASR 规则来阻止源自 PSExec 和 WMI 命令的进程创建。

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

设备列表

在这里,您可以找到用于创建本教程的设备列表。

此链接还将显示用于创建本教程的软件列表。

相关教程 – 电源壳

在此页上,我们提供对与 PowerShell 相关的教程列表的快速访问。

教程 Powershell ASR – 阻止源自 PSExec 和 WMI 的进程创建

启动提升的 Powershell 命令行。

Windows 10 - powershell elevated

使用 Powershell 添加 ASR 规则。

Copy to Clipboard

在我们的示例中,我们添加了一个规则来阻止源自 PSExec 和 WMI 命令的进程创建。

有多种操作可用。

Copy to Clipboard

WARN 模式阻止执行并向用户显示警告窗口。

ASR - WARNING MESSAGE

列出所有已配置的 ASR 规则。

Copy to Clipboard

下面是命令输出。

Copy to Clipboard

重新启动计算机以启用 ASR 规则。

Copy to Clipboard

(可选)重新启动防御者实时保护以启用 ASR 规则。

Copy to Clipboard

若要测试 ASR 配置,请尝试使用 WMI 创建进程。

Copy to Clipboard

列出与 ASR 规则相关的事件。

Copy to Clipboard

下面是命令输出。

Copy to Clipboard

使用 Powershell 禁用 ASR 规则。

Copy to Clipboard

使用 Powershell 删除 ASR 规则。

Copy to Clipboard

祝贺! 可以使用 Powershell 配置 ASR 规则,以阻止源自 PSExec 和 WMI 命令的进程创建。