提供される ENS エキスパートルールは、グループ権限の単純な分離をカバーする一般的なルールです。
- 管理者アクセス許可レベル(システムおよび高いアクセス許可)でプロセスを実行することを許可されているグループ。
- 管理者アクセス許可レベル(中および低のアクセス許可)でプロセスを実行することを許可されていないグループ。
この単純なモデルでは、環境内のより複雑な一連のアクセス許可をカバーするには十分でない場合があります。
特定のユーザーがジャンクションまたは他のタイプのシンボリックリンクを作成できないようになっている場合は、環境に合わせてエキスパートルールをカスタマイズします。その場合、ブロックされたユーザーがどのセキュリティグループに属しているかを調べ、それらのグループの 1 つ以上をエキスパートルールから除外することを許可する必要があります。シンボリックリンクを作成するためのアクセス許可が必要なグループを決定するときは、規則が通常のシンボリックリンク、ハードリンク、およびジャンクションを対象とすることに注意してください。
ブロックされたユーザーは、Windows コマンドプロンプトで次のコマンドを実行して、SID を持つグループのリストを取得する必要があります。
whoami /groups
このコマンドの出力を調べます。企業のセキュリティポリシーに従って、シンボリックリンクを作成する権限を持つのに適切なグループを決定します。シンボリックリンクの作成を許可するグループ SID がある場合は、一度に1つずつエキスパートルールに追加します。たとえば、「S-1-5-21-12345」という SID を追加する場合、次のようになります(追加は以下の太字で示されています)。
Rule {
Process {
Include OBJECT_NAME { -v cmd.exe }
Include OBJECT_NAME { -v powershell.exe }
Include OBJECT_NAME { -v powershell_ise.exe }
# exclude admin groups
Exclude AggregateMatch {
Include GROUP_SID { -v "S-1-16-12288" }
Include GROUP_SID { -v "S-1-16-16384" }
Include GROUP_SID { -v "S-1-5-21-12345" }
}
}
Target {
Match FILE {
Include -access SET_REPARSE
}
}
}