Créer une règle d’expert qui empêche les utilisateurs ne disposant pas de privilèges de créer des liens symboliques et des jonctions via cmd. exe, PowerShell. exe ou PowerShell ISE. exe

Articles techniques ID: KB92752
Date de la dernière modification : 2022-07-18 19:02:27 Etc/GMT

Environnement

Endpoint Security (ENS) Prévention contre les menaces 10.x

Synthèse

Suivez les étapes ci-dessous pour créer une règle expert personnalisée dans ePolicy Orchestrator (ePO) qui empêche les utilisateurs ne disposant pas de privilèges de créer des liens symboliques (symlinks) et des jonctions via cmd.exe , powershell.exe ou powershell_ise.exe . Des exclusions ont été incluses pour les ID de sécurité (SID) de niveau élevé obligatoires ( Admin: S-1-16-12288 ) et obligatoires S-1-16-16384 () pour permettre une activité normale du système d’exploitation.

Avertissement : En raison de la nature agressive de cette règle d’experts, nous vous recommandons la meilleure pratique standard de test de la règle en tant que "rapport uniquement" dans votre environnement pour exclure le comportement involontaire.

Pour créer la règle expert dans ePO, suivez les étapes ci-dessous :

Sélectionnez menu, stratégie, catalogue de stratégies.
Sélectionnez Endpoint Security prévention contre les menaces dans la Produits liste dans le volet de gauche.
Sélectionnez prévention contre les exploits dans la liste catégorie du volet de droite.
Cliquez sur le lien modifier pour une stratégie modifiable.
Cliquez sur Afficher les paramètres avancés.
Cliquez sur Ajouter une règle expert dans la section signatures.
Renseignez les champs de la page Propriétés des règles d’expert . ENS attribue automatiquement le numéro d’ID à partir de 20 000 :
1. Sélectionnez la gravité et l'action de la règle. Il est conseillé de disposer d’une gravité élevée et d’une action de génération de rapports uniquement pour la validation initiale. Une fois que vous avez terminé de vérifier que la règle n’est pas à l’origine d’un comportement inattendu, vous pouvez la configurer pour la bloquer et la signaler.
2. Sélectionnez utiliser un modèle de règle expert pour renseigner Champ de contenu de règle avec le code du modèle lorsque vous sélectionnez un type de règle.
3. Sélectionnez processus pour le type de règle à créer.
4. Modifiez le code du modèle pour spécifier le comportement de la règle comme indiqué ci-dessous (une copie de ce code est également jointe à cet article comme symlink_expert_rule.txt suit) :
  
  Rule {
  Process {
  Include OBJECT_NAME { -v cmd.exe }
  Include OBJECT_NAME { -v powershell.exe }
  Include OBJECT_NAME { -v powershell_ise.exe }
  
  # exclude admin groups
  Exclude AggregateMatch {
  Include GROUP_SID { -v "S-1-16-12288" }
  Include GROUP_SID { -v "S-1-16-16384" }
  }
  }
  Target {
  Match FILE {
  Include -access SET_REPARSE
  }
  }
  }
Enregistrez la règle, puis enregistrez les paramètres.
Mettre en œuvre la stratégie sur un système client.
Validez la nouvelle règle expert sur le système client.

Pour faciliter la génération de rapports sur les violations de la règle ci-dessus, vous pouvez archiver la requête Symlink_Reparse_Query.xml jointe, dans ePO.

Informations connexes

La règle d’expert ENS fournie est une règle générique qui couvre une séparation simple des autorisations de groupe :

Les groupes autorisés à exécuter des processus au niveau d’autorisation administrateur (système et autorisations élevées).
Les groupes qui ne sont pas autorisés à exécuter des processus au niveau d’autorisation administrateur (autorisations moyenne et faible).

Ce modèle simple peut ne pas être suffisant pour couvrir un ensemble plus complexe d’autorisations dans votre environnement.

Si vous constatez que certains utilisateurs ne sont pas en train de créer des jonctions ou d’autres types de liens symboliques, personnalisez la règle expert pour mieux convenir à votre environnement. Pour personnaliser, vous devez d’abord déterminer les groupes de sécurité dans lesquels se trouve l’utilisateur bloqué. Ensuite, autorisez l’exclusion d’un ou de plusieurs groupes de la règle expert. Lorsque vous déterminez les groupes devant disposer des autorisations nécessaires pour créer des liens symboliques, n’oubliez pas que la règle couvre les liens symboliques normaux, les liens physiques et les jonctions.

L’utilisateur bloqué doit exécuter la commande suivante dans une invite de commande Windows pour obtenir la liste des groupes avec des identificateurs de sécurité :

whoami /groups

Examinez la sortie de cette commande. Déterminez le ou les groupes appropriés pour disposer des autorisations nécessaires à la création de liens symboliques, conformément aux stratégies de sécurité de votre entreprise. Lorsque vous avez les SID de groupe que vous souhaitez autoriser à créer des liens symboliques, ajoutez-les un à un à la règle expert. Par exemple, si vous souhaitez ajouter le SID "S-1-5-21-12345", il se présenterait comme suit (en gras ci-dessous) :

Rule {
Process {
Include OBJECT_NAME { -v cmd.exe }
Include OBJECT_NAME { -v powershell.exe }
Include OBJECT_NAME { -v powershell_ise.exe }

# exclude admin groups
Exclude AggregateMatch {
Include GROUP_SID { -v "S-1-16-12288" }
Include GROUP_SID { -v "S-1-16-16384" }
Include GROUP_SID { -v "S-1-5-21-12345" }
}
}
Target {
Match FILE {
Include -access SET_REPARSE
}
}
}

Remarque : La signature 6165 (comportement malveillant : tentative de jonction de répertoire détectée) a été introduite dans le contenu de prévention contre les exploits. La règle expert de cet article est un signature plus générique et bloque la création de liens symboliques. La signature 6165 surveille des activités spécifiques par cmd la détection et non seulement symlink une création.

Pièce jointe 1

symlink_expert_rule.txt
385Bytes • < 1 minute @ broadband

Pièce jointe 2

Symlink_Reparse_Query.xml
942Bytes • < 1 minute @ broadband

Clause d'exclusion de responsabilité

Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.

Produits affectés

Langues :

Cet article est disponible dans les langues suivantes :

Knowledge Center

Créer une règle d’expert qui empêche les utilisateurs ne disposant pas de privilèges de créer des liens symboliques et des jonctions via cmd. exe, PowerShell. exe ou PowerShell ISE. exe

Environnement

Synthèse

Informations connexes

Pièce jointe 1

Pièce jointe 2

Clause d'exclusion de responsabilité

Produits affectés

Langues :

Title

Title

Knowledge Center

Créer une règle d’expert qui empêche les utilisateurs ne disposant pas de privilèges de créer des liens symboliques et des jonctions via cmd. exe, PowerShell. exe ou PowerShell ISE. exe

Environnement

Synthèse

Informations connexes

Pièce jointe 1

Pièce jointe 2

Clause d'exclusion de responsabilité

Produits affectés

Langues :

Choisissez votre région

Title

Title