Cree la siguiente regla experta y aplique la regla a los sistemas afectados. Esta regla bloquea la creación de un volcado del proceso LSASS mediante una tarea Manager en Windows Server 2016.
Nota: Solo Windows Server 2016 no bloquea un volcado de LSASS por
taskmgr.exe; otras versiones de sistemas operativos Windows funcionan según lo previsto.
Rule {
Process {
Include OBJECT_NAME { -v "taskmgr.exe" }
Include AggregateMatch -xtype "int" {
Include GROUP_SID { -v "S-1-16-12288" }
Include GROUP_SID { -v "S-1-16-16384" }
}
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\lsass*.dmp" }
Include -access "CREATE"
}
}
}
Nota: La regla se ha validado en Windows 10 20H2 64-bit, Windows 11 y Windows Server 2016.
Para obtener instrucciones sobre la creación de la regla experta mediante Policy Orchestrator (EPO), consulte la sección "crear reglas expertas para proteger procesos mediante ePO" de la
10.7.x Guía del producto de Endpoint Security.