Cree una regla experta que impida a los usuarios sin privilegios crear vínculos simbólicos y uniones a través de cmd. exe, PowerShell. exe o PowerShell ISE. exe

Artículos técnicos ID: KB92752
Última modificación: 27/09/2021

Entorno

Prevención de amenazas McAfee Endpoint Security (ENS) 10.x

Resumen

Siga los pasos que se indican a continuación para crear una regla de experto personalizada en ePolicy Orchestrator (ePO) que impida que los usuarios sin privilegios creen vínculos simbólicos (symlink) y uniones a través de cmd.exe, powershell.exe, o bien powershell_ise.exe. Se han incluido exclusiones para High Mandatory (Admin: S-1-16-12288) Nivel y sistema obligatorio (S-1-16-16384) ID de seguridad de nivel (SID) para permitir la actividad normal del sistema operativo.

Aviso Debido a la naturaleza agresiva de esta regla experta, McAfee recomienda la práctica recomendada estándar para probar primero la regla como "solo informar" en su entorno y así descartar el comportamiento no intencionado.

Para crear la regla experta en ePO:

Activa Menú, Políticas, Catálogo de directivas.
Activa Endpoint Security Prevención de amenazas de la Productos lista en el panel de la izquierda.
Activa Prevención de exploits en la lista categoría del panel derecho.
Haga clic en la Modifica vínculo para una directiva editable.
Pulsar Mostrar avanzado.
Pulsar Agregar regla de experto en la sección firmas.
Rellene los campos de la Propiedades de reglas de experto Web. ENS asigna el número de ID automáticamente a partir de 20000:
1. Seleccione la gravedad y la acción para la regla. McAfee recomienda un Alto gravedad y una acción solo Denuncia para la validación inicial. Una vez que haya valido que la regla no provoque un comportamiento inesperado, puede configurarla para Catch así Denuncia.
2. Activa Usar plantilla de regla de experto para rellenar el Campo de contenido de la regla con código de plantilla al seleccionar un tipo de regla.
3. Activa Cuatricromía para el tipo de regla que se va a crear.
4. Cambie el código de la plantilla para especificar el comportamiento de la regla tal y como se indica a continuación (también se adjunta una copia de este código a este artículo como symlink_expert_rule.txt):
  
  Normas
  Cuatricromía
  Incluir OBJECT_NAME {-v cmd. exe}
  Incluir OBJECT_NAME {-v PowerShell. exe}
  Incluir OBJECT_NAME {-v powershell_ise. exe}
  
  # exclude admin groups
  Excluir AggregateMatch {
  Incluir GROUP_SID {-v "S-1-16-12288"}
  Incluir GROUP_SID {-v "S-1-16-16384"}
  }
  }
  Destino
  Coincidencia de archivo {
  Incluir-acceso SET_REPARSE
  }
  }
  }
Guarde la regla y, a continuación, guarde la configuración.
Implementar la Directiva en un sistema cliente.
Valide la nueva regla experta en el sistema cliente.

Para facilitar la generación de informes de infracciones de la regla anterior, puede incorporar la consulta adjunta. Symlink_Reparse_Query.xml, en ePO.

Información relacionada

La regla de experto de ENS proporcionada es una regla genérica que cubre una simple separación de permisos de Grupo:

Los grupos que pueden ejecutar procesos en el nivel de permisos de administrador (sistema y permisos elevados).
Los grupos que no tienen permiso para ejecutar procesos en el nivel de permisos de administrador (permisos medios y bajos).

Este modelo simple podría no ser suficiente para cubrir un conjunto de permisos más complejo en su entorno.

Si detecta que ciertos usuarios tienen bloqueados la creación de uniones u otros tipos de vínculos simbólicos, personalice la regla experta para que se adapte mejor a su entorno. Para personalizar, primero debe determinar en qué grupos de seguridad se encuentra el usuario bloqueado. A continuación, permita que uno o varios de esos grupos se excluyan de la regla experta. A la hora de determinar qué grupos deben tener permisos para crear vínculos simbólicos, recuerde que la regla cubre vínculos simbólicos, vínculos físicos y uniones regulares.

El usuario bloqueado debe ejecutar el siguiente comando en una Windows símbolo del sistema para obtener la lista de grupos con SID:

whoami /groups

Examine el resultado de este comando. Determine qué grupo o grupos son adecuados para tener permisos para crear vínculos simbólicos conforme a sus directivas de seguridad corporativas. Cuando tenga los SID de grupo a los que desee permitir la creación de vínculos simbólicos, agréguelos uno a la vez a la regla experta. Por ejemplo, si desea agregar el SID "S-1-5-21-12345", tendría el aspecto siguiente (la suma mostrada en negrita a continuación):

Normas
Cuatricromía
Incluir OBJECT_NAME {-v cmd. exe}
Incluir OBJECT_NAME {-v PowerShell. exe}
Incluir OBJECT_NAME {-v powershell_ise. exe}

# exclude admin groups
Excluir AggregateMatch {
Incluir GROUP_SID {-v "S-1-16-12288"}
Incluir GROUP_SID {-v "S-1-16-16384"}
Incluir GROUP_SID {-v "S-1-5-21-12345"}
}
}
Destino
Coincidencia de archivo {
Incluir-acceso SET_REPARSE
}
}
}

SEÑALAR La firma 6165 (comportamiento malicioso: intento de unión de directorios detectado) se introdujo en el contenido de prevención de exploit. La regla experta de este artículo es una firma más genérica y bloquea la creación de symlink. La firma 6165 supervisa actividades específicas por cmd para la detección y no solo para la creación de symlink.

Archivo adjunto 1

symlink_expert_rule.txt
385Bytes • < 1 minute @ broadband

Archivo adjunto 2

Symlink_Reparse_Query.xml
942Bytes • < 1 minute @ broadband

Descargo de responsabilidad

El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.

Productos implicados

Best Practices
Configuration
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x

Idiomas:

Este artículo se encuentra disponible en los siguientes idiomas:

English United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified

Knowledge Center

Cree una regla experta que impida a los usuarios sin privilegios crear vínculos simbólicos y uniones a través de cmd. exe, PowerShell. exe o PowerShell ISE. exe

Entorno

Resumen

Información relacionada

Archivo adjunto 1

Archivo adjunto 2

Descargo de responsabilidad

Productos implicados

Idiomas:

Title

Title

Knowledge Center

Cree una regla experta que impida a los usuarios sin privilegios crear vínculos simbólicos y uniones a través de cmd. exe, PowerShell. exe o PowerShell ISE. exe

Entorno

Resumen

Información relacionada

Archivo adjunto 1

Archivo adjunto 2

Descargo de responsabilidad

Productos implicados

Idiomas:

Elija su región

Title

Title