提供的 ENS 专家规则是一个通用规则，涵盖对组权限的简单分隔：

• 允许在管理员权限级别（系统和高权限）运行流程的组。
• 不允许在管理员权限级别（中权限和低权限）运行流程的组。

这一简单模型可能无法覆盖您环境中更为复杂的权限集。

如果您发现某些用户被阻止创建方案或其他类型的符号链接，请自定义专家规则，以适应您的环境。 要自定义，首先您需要确定被阻止用户所位于的安全组。 然后，允许将一个或多个组从专家规则中排除。 确定哪些组需要权限才能创建符号链接时，请注意，规则涵盖常规符号链接、硬链接和小设置。

被阻止的用户必须在 Windows 命令提示符中运行以下命令，以获得包含 SID 的组列表：

检查此命令的输出。 确定哪些组或组应当具有创建符号链接的权限，以根据您的公司安全策略。 当您具有要允许创建符号链接的组 SID 时，请一次将它们添加到专家规则中。 例如，如果您要添加 SID"S-1-5-21-12345"，则如下所示（添加时以下列粗体显示）：

规则 {
安装过程 {
Include OBJECT_NAME { -v cmd.exe }
Include OBJECT_NAME { -v powershell.exe }
包含 OBJECT_NAME { -v powershell_ise.exe }

# exclude admin groups
排除 AggregateMatch {
包含GROUP_SID { -v "S-1-16-12288" }
包含GROUP_SID { -v "S-1-16-16384" }
包含GROUP_SID { -v "S-1-5-21-12345" }
}
}
Target {
匹配的文件 {
包含 -access SET_REPARSE
}
}
}

注意：漏洞利用防护内容中推出了特征码 6165（检测到恶意行为： 目录破坏尝试）。 本文中的专家规则是一个较通用的特征码，可阻止创建符号链接。 特征码 6165 监控特定活动，cmd以检测并不仅仅是符号链接的创建。