Crie a regra de especialista a seguir e aplique a regra aos sistemas afetados. Essa regra bloqueia a criação de um despejo de processo do LSASs por meio de Manager de tarefas no Windows Server 2016.
Nota: Somente Windows Server 2016 não bloqueia um despejo do LSASs por
taskmgr.exe; outras versões do sistema operacional Windows funcionam conforme o esperado.
Rule {
Process {
Include OBJECT_NAME { -v "taskmgr.exe" }
Include AggregateMatch -xtype "int" {
Include GROUP_SID { -v "S-1-16-12288" }
Include GROUP_SID { -v "S-1-16-16384" }
}
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\lsass*.dmp" }
Include -access "CREATE"
}
}
}
Nota: A regra foi validada no Windows 10 20H2 64 bits, Windows 11 e Windows Server 2016.
Para obter orientação sobre como criar a regra de especialista usando o Policy Orchestrator (ePO), consulte o "criar regras de especialista para proteger processos usando o ePO" seção do
10.7.x Guia de produto da Endpoint Security.