La regla de experto de ENS proporcionada es una regla genérica que cubre una simple separación de permisos de Grupo:
- Los grupos que pueden ejecutar procesos en el nivel de permisos de administrador (sistema y permisos elevados).
- Los grupos que no tienen permiso para ejecutar procesos en el nivel de permisos de administrador (permisos medios y bajos).
Este modelo simple podría no ser suficiente para cubrir un conjunto de permisos más complejo en su entorno.
Si detecta que ciertos usuarios tienen bloqueados la creación de uniones u otros tipos de vínculos simbólicos, personalice la regla experta para que se adapte mejor a su entorno. Para personalizar, primero debe determinar en qué grupos de seguridad se encuentra el usuario bloqueado. A continuación, permita que uno o varios de esos grupos se excluyan de la regla experta. A la hora de determinar qué grupos deben tener permisos para crear vínculos simbólicos, recuerde que la regla cubre vínculos simbólicos, vínculos físicos y uniones regulares.
El usuario bloqueado debe ejecutar el siguiente comando en una Windows símbolo del sistema para obtener la lista de grupos con SID:
whoami /groups
Examine el resultado de este comando. Determine qué grupo o grupos son adecuados para tener permisos para crear vínculos simbólicos conforme a sus directivas de seguridad corporativas. Cuando tenga los SID de grupo a los que desee permitir la creación de vínculos simbólicos, agréguelos uno a la vez a la regla experta. Por ejemplo, si desea agregar el SID "S-1-5-21-12345", tendría el aspecto siguiente (la suma mostrada en negrita a continuación):
Normas
Cuatricromía
Incluir OBJECT_NAME {-v cmd. exe}
Incluir OBJECT_NAME {-v PowerShell. exe}
Incluir OBJECT_NAME {-v powershell_ise. exe}
# exclude admin groups
Excluir AggregateMatch {
Incluir GROUP_SID {-v "S-1-16-12288"}
Incluir GROUP_SID {-v "S-1-16-16384"}
Incluir GROUP_SID {-v "S-1-5-21-12345"}
}
}
Destino
Coincidencia de archivo {
Incluir-acceso SET_REPARSE
}
}
}
SEÑALAR La firma 6165 (comportamiento malicioso: intento de unión de directorios detectado) se introdujo en el contenido de prevención de exploit. La regla experta de este artículo es una firma más genérica y bloquea la creación de symlink. La firma 6165 supervisa actividades específicas por
cmd para la detección y no solo para la creación de symlink.