Crie uma regra de especialista que impeça que usuários não privilegiados criem links simbólicos e junções por meio de cmd. exe, PowerShell. exe ou PowerShell ISE. exe

Artigos técnicos ID: KB92752
Última modificação: 2022-07-18 16:54:37 Etc/GMT

Ambiente

Endpoint Security (ENS) Prevenção contra ameaças 10.x

Resumo

Use as etapas abaixo para criar uma regra de especialista personalizada no ePolicy Orchestrator (ePO), que impede que usuários não privilegiados criem links simbólicos (symlinks) e junções por meio cmd.exe do, powershell.exe ou powershell_ise.exe . Foram incluídas exclusões para alto nível obrigatório ( Admin: S-1-16-12288 ) e IDs de segurança (SIDs) de nível obrigatório do sistema ( S-1-16-16384 ) para permitir atividades normais do sistema operacional.

AVISO: Devido à natureza agressiva dessa regra de especialistas, recomendamos a prática recomendada padrão de primeiro testar a regra conforme "relatório somente" em seu ambiente para descartar o comportamento indesejado.

Para criar a regra de especialista no ePO, execute as etapas a seguir:

Selecione menu, políticaCatálogo de políticas.
Selecione Endpoint Security prevenção contra ameaças no Produtos no painel esquerdo.
Selecione prevenção de exploração na lista Categoria no painel direito.
Clique no link Editar para uma política editável.
Clique em Mostrar opções avançadas.
Clique em Adicionar regra de especialista na seção assinaturas.
Preencha os campos da página de Propriedades de expert Rules . ENS atribui o número de identificação iniciado automaticamente por 20.000:
1. Selecione a gravidade e a ação para a regra. Recomendamos uma alta gravidade e uma ação de reportar apenas para validação inicial. Depois de validar que a regra não causa um comportamento inesperado, você pode configurá-la para Bloquear e relatar.
2. Selecione usar modelo de regra de especialista para preencher o Campo de conteúdo da regra com o código de modelo quando você seleciona um tipo de regra.
3. Selecione o processo para o tipo de regra a ser criado.
4. Altere o código do modelo para especificar o comportamento da regra, conforme mostrado abaixo (uma cópia desse código também está anexada a este artigo, como symlink_expert_rule.txt ):
  
  Rule {
  Process {
  Include OBJECT_NAME { -v cmd.exe }
  Include OBJECT_NAME { -v powershell.exe }
  Include OBJECT_NAME { -v powershell_ise.exe }
  
  # exclude admin groups
  Exclude AggregateMatch {
  Include GROUP_SID { -v "S-1-16-12288" }
  Include GROUP_SID { -v "S-1-16-16384" }
  }
  }
  Target {
  Match FILE {
  Include -access SET_REPARSE
  }
  }
  }
Salve a regra e, em seguida, salve as configurações.
Imponha a política a um sistema cliente.
Valide a nova regra de especialista no sistema cliente.

Para facilitar a geração de relatórios de violações da regra acima, você pode fazer check-in da consulta Symlink_Reparse_Query.xml anexada no ePO.

Informações relacionadas

A regra do ENS expert fornecida é uma regra genérica que abrange uma simples separação de permissões de Grupo:

Os grupos que têm permissão para executar processos no nível de permissão de administrador (sistema e permissões altas).
Os grupos que não têm permissão para executar processos no nível de permissão de administrador (permissões média e baixa).

Esse modelo simples pode não ser suficiente para abranger um conjunto de permissões mais complexo em seu ambiente.

Se você descobrir que certos usuários estão impedidos de criar junções ou outros tipos de links simbólicos, personalize a regra de especialista para se adequar melhor ao seu ambiente. Para personalizar o, você precisa primeiro determinar em quais grupos de segurança o usuário bloqueado está. Em seguida, permita que um ou mais desses grupos sejam excluídos da regra do especialista. Ao determinar quais grupos precisam ter permissões para criar links simbólicos, lembre-se de que a regra cobre links simbólicos regulares, links físicos e junções.

O usuário bloqueado deve executar o comando a seguir em um prompt de comando Windows para obter a lista de grupos com SIDs:

whoami /groups

Examine a saída deste comando. Determine o grupo ou grupos apropriados para ter permissões para criar links simbólicos, de acordo com as políticas de segurança corporativa. Quando você tiver os SIDs de grupo para os quais deseja permitir a criação de links simbólicos, adicione-os um de cada vez à regra de especialista. Por exemplo, se você quisesse adicionar o Sid "S-1-5-21-", ele ficaria assim (a adição é mostrada em negrito abaixo):

Rule {
Process {
Include OBJECT_NAME { -v cmd.exe }
Include OBJECT_NAME { -v powershell.exe }
Include OBJECT_NAME { -v powershell_ise.exe }

# exclude admin groups
Exclude AggregateMatch {
Include GROUP_SID { -v "S-1-16-12288" }
Include GROUP_SID { -v "S-1-16-16384" }
Include GROUP_SID { -v "S-1-5-21-12345" }
}
}
Target {
Match FILE {
Include -access SET_REPARSE
}
}
}

Nota: A assinatura 6165 (comportamento malicioso: tentativa de junção de diretório detectada) foi introduzida no conteúdo de prevenção de exploração. A regra de especialista neste artigo é uma assinatura mais genérica e bloqueia a criação de link simbólico. A assinatura 6165 monitora atividades específicas por cmd detecção e não somente symlink criação.

Anexo 1

symlink_expert_rule.txt
385Bytes • < 1 minute @ broadband

Anexo 2

Symlink_Reparse_Query.xml
942Bytes • < 1 minute @ broadband

Aviso de isenção de responsabilidade

O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.

Produtos afetados

Idiomas:

Este artigo está disponível nos seguintes idiomas:

Knowledge Center

Crie uma regra de especialista que impeça que usuários não privilegiados criem links simbólicos e junções por meio de cmd. exe, PowerShell. exe ou PowerShell ISE. exe

Ambiente

Resumo

Informações relacionadas

Anexo 1

Anexo 2

Aviso de isenção de responsabilidade

Produtos afetados

Idiomas:

Title

Title

Knowledge Center

Crie uma regra de especialista que impeça que usuários não privilegiados criem links simbólicos e junções por meio de cmd. exe, PowerShell. exe ou PowerShell ISE. exe

Ambiente

Resumo

Informações relacionadas

Anexo 1

Anexo 2

Aviso de isenção de responsabilidade

Produtos afetados

Idiomas:

Escolha a sua região

Title

Title