Creare una regola di esperti che impedisca agli utenti non privilegiati di creare collegamenti e giunzioni simboliche tramite cmd. exe, PowerShell. exe o PowerShell ISE. exe

Articoli tecnici ID: KB92752
Ultima modifica: 18/07/2022

Ambiente

Endpoint Security (ENS) Prevenzione delle minacce 10.x

Riepilogo

Attenersi alla procedura riportata di seguito per creare una regola di esperti personalizzata in ePolicy Orchestrator (ePO) che impedisce agli utenti non privilegiati di creare collegamenti simbolici e giunzioni tramite cmd.exe , powershell.exe o powershell_ise.exe . Le esclusioni sono state incluse per gli ID di sicurezza di livello () livello obbligatorio Admin: S-1-16-12288 () elevato e obbligatorio S-1-16-16384 () per consentire la normale attività del sistema operativo.

Avviso: A causa della natura aggressiva di questa regola di esperti, si consiglia di eseguire la procedura consigliata per la prima verifica della regola come "segnala solo" nell'ambiente per escludere un comportamento non intenzionale.

Per creare la regola Expert in ePO, attenersi alla procedura riportata di seguito:

Selezionare menu, policy, Catalogo delle policy.
Selezionare Endpoint Security prevenzione delle minacce da Prodotti nell'elenco nel riquadro a sinistra.
Selezionare prevenzione exploit dall'elenco categoria nel riquadro a destra.
Fare clic sul collegamento modifica per una policy modificabile.
Fare clic su Mostra Avanzate.
Nella sezione firme, fare clic su Aggiungi regola di esperti .
Completare i campi nella pagina delle proprietà di Expert Rules . ENS assegna il numero di ID automaticamente a partire da 20.000:
1. Selezionare la gravità e l'azione per la regola. Si consiglia un' elevata gravità e un'azione di solo rapporto per la convalida iniziale. Dopo aver convalidato che la regola non causa un comportamento imprevisto, è possibile configurarla in modo che venga bloccata e segnalata.
2. Selezionare Usa modello di regola Expert per popolare il Campo contenuto regola con il codice del modello quando si seleziona un tipo di regola.
3. Selezionare processo per il tipo di regola da creare.
4. Modificare il codice del modello per specificare il comportamento della regola come mostrato di seguito (una copia di questo codice viene anche allegata a questo articolo come symlink_expert_rule.txt ):
  
  Rule {
  Process {
  Include OBJECT_NAME { -v cmd.exe }
  Include OBJECT_NAME { -v powershell.exe }
  Include OBJECT_NAME { -v powershell_ise.exe }
  
  # exclude admin groups
  Exclude AggregateMatch {
  Include GROUP_SID { -v "S-1-16-12288" }
  Include GROUP_SID { -v "S-1-16-16384" }
  }
  }
  Target {
  Match FILE {
  Include -access SET_REPARSE
  }
  }
  }
Salvare la regola, quindi salvare le impostazioni.
Imporre la policy in un sistema client.
Convalidare la nuova regola avanzata nel sistema client.

Per facilitare la segnalazione delle violazioni della regola precedente, è possibile archiviare il query allegato, Symlink_Reparse_Query.xml in ePO.

Informazioni correlate

La regola di esperti ENS fornita è una regola generica che copre una semplice separazione delle autorizzazioni dei gruppi:

I gruppi autorizzati a eseguire processi a livello di autorizzazione amministratore (sistema e autorizzazioni elevate).
I gruppi che non sono autorizzati a eseguire processi a livello di autorizzazione amministratore (autorizzazioni medie e basse).

Questo modello semplice potrebbe non essere sufficiente per coprire un set di autorizzazioni più complesso nell'ambiente.

Se si rileva che alcuni utenti sono bloccati dalla creazione di giunzioni o altri tipi di collegamenti simbolici, è possibile personalizzare la regola di esperti per adattarsi meglio all'ambiente di lavoro. Per personalizzare, è necessario prima determinare i gruppi di sicurezza in cui si trova l'utente bloccato. Quindi, consentire a uno o più di questi gruppi di essere esclusi dalla regola Expert. Quando si determinano i gruppi che devono disporre delle autorizzazioni per creare collegamenti simbolici, tenere presente che la regola copre collegamenti simbolici regolari, collegamenti e giunzioni.

L'utente bloccato deve eseguire il comando seguente in un prompt dei comandi di Windows per ottenere l'elenco di gruppi con SID:

whoami /groups

Esaminare l'output di questo comando. Determinare il gruppo o i gruppi appropriati per disporre delle autorizzazioni per creare collegamenti simbolici, in conformità con le policy di sicurezza aziendali. Quando si dispone dei SID di gruppo che si desidera consentire di creare collegamenti simbolici, aggiungerli uno alla volta alla regola Expert. Ad esempio, se si desidera aggiungere il SID "S-1-5-21-12345", l'aspetto sarà simile a questo (aggiunta mostrata in grassetto sotto):

Rule {
Process {
Include OBJECT_NAME { -v cmd.exe }
Include OBJECT_NAME { -v powershell.exe }
Include OBJECT_NAME { -v powershell_ise.exe }

# exclude admin groups
Exclude AggregateMatch {
Include GROUP_SID { -v "S-1-16-12288" }
Include GROUP_SID { -v "S-1-16-16384" }
Include GROUP_SID { -v "S-1-5-21-12345" }
}
}
Target {
Match FILE {
Include -access SET_REPARSE
}
}
}

Nota: La firma 6165 (comportamento dannoso: tentativo di giunzione di directory rilevato) è stata introdotta nel contenuto di prevenzione exploit. La regola di esperti in questo articolo è una firma più generica e blocca la creazione del collegamento simbolico. Signature 6165 monitora le attività cmd specifiche per il rilevamento e non solo symlink per la creazione.

Allegato 1

symlink_expert_rule.txt
385Bytes • < 1 minute @ broadband

Allegato 2

Symlink_Reparse_Query.xml
942Bytes • < 1 minute @ broadband

Dichiarazione di non responsabilità

Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.

Prodotti interessati

Lingue:

Questo articolo è disponibile nelle seguenti lingue:

Knowledge Center

Creare una regola di esperti che impedisca agli utenti non privilegiati di creare collegamenti e giunzioni simboliche tramite cmd. exe, PowerShell. exe o PowerShell ISE. exe

Ambiente

Riepilogo

Informazioni correlate

Allegato 1

Allegato 2

Dichiarazione di non responsabilità

Prodotti interessati

Lingue:

Title

Title

Knowledge Center

Creare una regola di esperti che impedisca agli utenti non privilegiati di creare collegamenti e giunzioni simboliche tramite cmd. exe, PowerShell. exe o PowerShell ISE. exe

Ambiente

Riepilogo

Informazioni correlate

Allegato 1

Allegato 2

Dichiarazione di non responsabilità

Prodotti interessati

Lingue:

Scegli la regione

Title

Title