Créez la règle expert suivante et appliquez la règle aux systèmes concernés. Cette règle bloque la création d’un vidage de processus LSASS via le gestionnaire des tâches sur Windows Server 2016.
Remarque : Seul Windows Server 2016 ne bloque pas un vidage LSASS par
taskmgr.exe; d’autres versions Windows systèmes d’exploitation fonctionnent comme prévu.
Rule {
Process {
Include OBJECT_NAME { -v "taskmgr.exe" }
Include AggregateMatch -xtype "int" {
Include GROUP_SID { -v "S-1-16-12288" }
Include GROUP_SID { -v "S-1-16-16384" }
}
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\lsass*.dmp" }
Include -access "CREATE"
}
}
}
Remarque : La règle a été validée sur Windows 10 20H2 64-bit, Windows 11 et Windows Server 2016.
Pour obtenir des conseils sur la création de la règle expert à l’aide de Policy Orchestrator (ePO), reportez-vous à la section "création de règles expert pour protéger les processus à l’aide d’ePO" de la section
10.7.x Guide produit de Endpoint Security.