La regla de experto de ENS proporcionada es una regla genérica que cubre una simple separación de permisos de Grupo:
- Los grupos que pueden ejecutar procesos en el nivel de permisos del administrador (sistema y permisos elevados).
- Los grupos que no tienen permiso para ejecutar procesos en el nivel de permisos de administrador (permisos medio y bajo).
Este modelo simple podría no ser suficiente para cubrir un conjunto de permisos más complejo en su entorno.
Si detecta que ciertos usuarios tienen bloqueados la creación de uniones u otros tipos de vínculos simbólicos, personalice la regla experta para que se adapte mejor a su entorno. Para personalizar, primero debe determinar en qué grupos de seguridad se encuentra el usuario bloqueado. A continuación, permita que uno o varios de esos grupos se excluyan de la regla experta. A la hora de determinar qué grupos deben tener permisos para crear vínculos simbólicos, recuerde que la regla cubre vínculos simbólicos, vínculos físicos y uniones regulares.
El usuario bloqueado debe ejecutar el siguiente comando en un símbolo del sistema Windows para obtener la lista de grupos con SID:
whoami /groups
Examine el resultado de este comando. Determine qué grupo o grupos son adecuados para tener permisos para crear vínculos simbólicos conforme a sus directivas de seguridad corporativas. Cuando tenga los SID de grupo a los que desee permitir la creación de vínculos simbólicos, agréguelos uno a la vez a la regla experta. Por ejemplo, si deseara agregar el SID "S-1-5-21-12345", tendría el aspecto siguiente (la suma mostrada en negrita a continuación):
Rule {
Process {
Include OBJECT_NAME { -v cmd.exe }
Include OBJECT_NAME { -v powershell.exe }
Include OBJECT_NAME { -v powershell_ise.exe }
# exclude admin groups
Exclude AggregateMatch {
Include GROUP_SID { -v "S-1-16-12288" }
Include GROUP_SID { -v "S-1-16-16384" }
Include GROUP_SID { -v "S-1-5-21-12345" }
}
}
Target {
Match FILE {
Include -access SET_REPARSE
}
}
}
Nota: La firma 6165 (comportamiento malicioso: intento de unión de directorios detectado) se introdujo en el contenido de Exploit Prevention. La regla experta de este artículo es una firma más genérica y bloquea la creación de symlink. La firma 6165 supervisa actividades específicas por
cmd detección y no solo
symlink de creación.