Article Number: 000126118
Ei sovellettavissa
Advanced Threat Prevention (ATP) -toimintoa suositellaan oletusarvoisesti suoritettavaksi aluksi oppimistilassa. Kaikki uhkatiedot kerätään, jotta järjestelmänvalvojat voivat hallita uhkia ja mahdollisesti ei-toivottuja ohjelmia (PUP) joustavasti ympäristössään ja sallia tärkeät sovellukset.
Lisätietoja käytäntöjen muokkaamisesta Dell Endpoint Security Suite Enterprisessa on artikkelissa Dell Data Protection -palvelimen käytäntöjen muokkaaminen.
Lisätietoja ja säännöt poikkeusten luomisesta Dell Endpoint Security Suite Enterprisessa ovat artikkelissa Poikkeusten lisääminen Dell Endpoint Security Suite Enterprisessa.
| Käytännön arvo | Ehdotettu arvo | Käytännön kuvaus |
|---|---|---|
| Advanced Threat Prevention (ensisijainen kytkin) |
Palaa |
Tämä käytännön arvo määrittää, voivatko asiakkaat käyttää Advanced Threat Prevention -käytäntöjä. Tämä mahdollistaa myös tiedostotoiminnot ja suorituksenhallinnan, joita ei voi poistaa käytöstä. Suorituksen hallinta kattaa taustauhkien havaitsemisen ja tiedostojen tarkkailun. Tämä ATP: n moduuli analysoi ja abstrahoi kannettavan suoritettavan tiedoston (PE) aikomukset sen aiottujen toimien ja käyttäytymisen perusteella. Kaikki Execution Control sekä BTD ja File Watcher havaitsevat tiedostot käsitellään automaattista karanteenia vastaavien käytäntöjen perusteella. Nämä toimet suoritetaan kannettavan suoritettavan tiedoston absoluuttisen polun sijainnin perusteella. |
| Tiedostotoiminnot: |
|
|
| Vaarallinen suoritettava automaattinen karanteeni, kun suoritettava hallinta on käytössä |
Ei käytössä | Tämä määrittää, asetetaanko vakavana uhkana pidetyt tiedostot automaattisesti karanteeniin. |
| Vaarallinen suoritettava automaattinen lataus käytössä |
Käytössä |
Määrittää, ladataanko vakavat uhat pilvipalveluun, jotta nämä uhat voidaan tarkistaa toisen mielipiteen perusteella. |
| Epänormaali suoritettava automaattinen karanteeni, kun suoritettava hallinta on käytössä |
Ei käytössä |
Tämä määrittää, asetetaanko mahdollisena uhkana pidetyt tiedostot automaattisesti karanteeniin. |
| Epänormaalin suoritettavan tiedoston automaattinen lataus käytössä |
Käytössä |
Määrittää, ladataanko mahdolliset uhat pilvipalveluun, jotta nämä uhat voidaan tarkistaa toisen mielipiteen perusteella. |
| Salli tiedostojen suorittaminen Exclude Folders -kohdassa |
Käytössä |
Tämä koskee käytäntöä Jätä pois tiettyjä kansioita suojausasetukset-käytäntöryhmässä. Tämä sallii poissuljetuissa kansioissa olevien suoritettavien tiedostojen suorittamisen, vaikka ne asetettaisiin automaattisesti karanteeniin. |
| Automaattinen poisto |
Ei käytössä |
Tämä ottaa ajastimen käyttöön Päiviä ennen poistoa -käytännölle. Tämä koskee karanteeniin asetettuja kohteita, kun Päiviä poistettuun -aika on kulunut, kaikki karanteenikansiossa olevat uhat poistetaan automaattisesti, jos tämä käytäntö on käytössä. |
| Päiviä poistamiseen |
14 |
Tämä määrittää, kuinka monta päivää kohde pysyy uhkakohtaisesti paikallisessa karanteenikansiossa. |
| Muistitoiminnot |
||
| Muistisuojaus käytössä |
Käytössä |
Tämä mahdollistaa muistisuojaustoiminnon Memory Protection -moduuli analysoi ja tulkitsee sovellusten suorittamisen tarkoituksen valvomalla sovellusten ja muistissa olevan käyttöjärjestelmän vuorovaikutusta. |
| Ota käyttöön Ohita suoritettavat tiedostot |
Käytössä |
Tämän ansiosta tietyt suoritettavat tiedostot voidaan jättää muistisuojauksen ulkopuolelle. |
| Sulje pois suoritettavat tiedostot |
Tyhjä |
Kaikki poikkeukset on määritettävä käyttämällä suoritettavan tiedoston suhteellista polkua (ilman asemakirjainta). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Hyväksikäyttö: Pinon kierto |
Hälytys |
Langan pino on korvattu toisella pinolla. Yleensä tietokone varaa yhden pinon säikeelle. Hyökkääjä käyttää eri pinoa suorituksen hallintaan tavalla, jota tietojen suorittamisen estäminen (DEP) ei voi estää. Koskee seuraavia: Windows, Mac |
| Hyväksikäyttö: Pinon suojaus |
Hälytys |
Säikepinon muistisuojausta on muutettu niin, että se mahdollistaa suoritusoikeuden. Pinomuistin ei pitäisi olla suoritettavaa, joten yleensä tämä tarkoittaa, että hyökkääjä valmistautuu suorittamaan haitallista koodia, joka on tallennettu pinon muistiin osana hyväksikäyttöä, minkä tietojen suorittamisen estäminen (DEP) estäisi muuten. Koskee seuraavia: Windows, Mac |
| Hyväksikäyttö: Korvauskoodi |
Hälytys |
Prosessin muistissa olevaa koodia on muokattu tekniikalla, joka saattaa viitata yritykseen ohittaa tietojen suorittamisen esto (DEP). Koskee seuraavia: Windows |
| Hyväksikäyttö: Skannerin muistihaku |
Hälytys |
Prosessi yrittää lukea kelvollisia magneettijuovan tietoja toisesta prosessista. Liittyy tyypillisesti myyntipistetietokoneisiin Koskee seuraavia: Windows |
| Hyväksikäyttö: Haitallinen tietosisältö |
Hälytys |
Prosessi yrittää lukea kelvollisia magneettijuovan tietoja toisesta prosessista. Liittyy tyypillisesti myyntipistetietokoneisiin Koskee seuraavia: Windows |
| Hyväksikäyttö: Haitallinen tietosisältö |
Hälytys |
Yleinen liittymäkoodin ja hyötykuorman tunnistus, joka liittyy hyväksikäyttöön, on havaittu. Koskee seuraavia: Windows |
| Prosessin ruiskutus: Muistin etävaraus |
Hälytys |
Prosessi on varannut muistin toiseen prosessiin. Useimmat kohdistukset tapahtuvat vain samassa prosessissa. Tämä tarkoittaa yleensä yritystä lisätä koodia tai tietoja toiseen prosessiin, mikä voi olla ensimmäinen askel haitallisen läsnäolon vahvistamisessa tietokoneessa. Koskee seuraavia: Windows, Mac |
| Prosessin ruiskutus: Muistin etäkartoitus |
Hälytys |
Prosessi on lisännyt koodin tai tietoja toiseen prosessiin. Tämä voi olla merkki yrityksestä aloittaa koodin suorittaminen toisessa prosessissa ja vahvistaa haitallista läsnäoloa. Koskee seuraavia: Windows, Mac |
| Prosessin ruiskutus: Etäkirjoitus muistiin |
Hälytys |
Prosessi on muokannut muistia toisessa prosessissa. Tämä on yleensä yritys tallentaa koodi tai tiedot aiemmin varattuun muistiin (katso OutofProcessAllocation), mutta on mahdollista, että hyökkääjä yrittää korvata olemassa olevan muistin ohjatakseen suorituksen haitalliseen tarkoitukseen. Koskee seuraavia: Windows, Mac |
| Prosessin ruiskutus: PE:n etäkirjoitus muistiin |
Hälytys |
Prosessi on muokannut toisen prosessin muistia sisältämään suoritettavan näköistiedoston. Yleensä tämä tarkoittaa, että hyökkääjä yrittää suorittaa koodia kirjoittamatta koodia ensin levylle. Koskee seuraavia: Windows, Mac |
| Prosessin ruiskutus: Etäkorvauskoodi |
Hälytys |
Prosessi on muokannut suoritettavaa muistia toisessa prosessissa. Normaaleissa olosuhteissa suoritettavaa muistia ei muuteta, erityisesti toisella prosessilla. Tämä tarkoittaa yleensä yritystä ohjata suoritusta toisessa prosessissa. Koskee seuraavia: Windows, Mac |
| Prosessin ruiskutus: Muistin etäpoisto |
Hälytys |
Prosessi on poistanut suoritettavan Windows-tiedoston toisen prosessin muistista. Tämä saattaa viitata aikomukseen korvata suoritettava kuva muokatulla kopiolla suorituksen ohjaamiseksi muualle. Koskee seuraavia: Windows, Mac |
| Prosessin ruiskutus: Säikeen etäluonti |
Hälytys |
Prosessi on luonut säikeen toisessa prosessissa. Hyökkääjä aktivoi tämän avulla haitallisen läsnäolon, joka on lisätty toiseen prosessiin. Koskee seuraavia: Windows, Mac |
| Prosessin ruiskutus: Etä-APC ajoitettu |
Hälytys |
Prosessi on ohjannut toisen prosessin säikeen suorittamisen. Hyökkääjä aktivoi tämän avulla haitallisen läsnäolon, joka on lisätty toiseen prosessiin. Koskee seuraavia: Windows |
| Prosessin ruiskutus: DYLD-injektio (vain Mac OS X) |
Hälytys |
On määritetty ympäristömuuttuja, joka aiheuttaa jaetun kirjaston lisäämisen käynnistettyyn prosessiin. Hyökkäykset voivat muokata ohjelmien luetteloa, kuten Safaria, tai korvata ohjelmia bash-skripteillä, jotka aiheuttavat niiden moduulien lataamisen automaattisesti, kun ohjelma käynnistyy. Koskee seuraavia: Mac |
| Laajeneminen: LSASS:n luku |
Hälytys |
Windowsin paikallisen suojausviranomaisen prosessille kuuluvaa muistia on käytetty tavalla, joka viittaa käyttäjän salasanan hankintayritykseen. Koskee seuraavia: Windows |
| Laajeneminen: Nollavaraus |
Hälytys |
Tyhjäsivu on varattu. Muistialue on yleensä varattu, mutta tietyissä olosuhteissa se voidaan varata. Hyökkäykset voivat käyttää tätä etuoikeuksien laajentamisen määrittämiseen hyödyntämällä joitakin tunnettuja null de-reference -heikkouksia, jotka ovat yleensä ytimessä. Koskee seuraavia: Windows, Mac |
| Suorittamisen hallinta |
||
| Estä palvelun pysäytys laitteesta |
Ei käytössä |
Kun käytössä on estää ATP-palvelun pysäyttämisen. Tämä estää myös sovelluksen asennuksen poistamisen. |
| Lopeta vaaralliset käynnissä olevat prosessit ja aliprosessit |
Ei käytössä |
Tämän ominaisuuden avulla voidaan havaita ja lopettaa kaikki muistipohjaiset uhat, jotka synnyttävät aliprosesseja. |
| Uhkien taustatarkistus |
Suorita kerran |
Tämä määrittää, suoritetaanko laitteessa olemassa olevien tiedostojen tarkistus. Asetuksena voidaan olla Disabled, Run Once tai Run Recurring. Jos Watch For New Files on käytössä, on suositeltavaa määrittää taustauhkien tunnistus suoritettavaksi kerran. Sinun on tarkistettava olemassa olevat tiedostot kerran vain, jos tarkkailet myös uusia ja päivitettyjä tiedostoja. |
| Varo uusia tiedostoja |
Käytössä |
Kun tämä asetus on käytössä, laitteeseen juuri kirjoitetut tai muuttuneet tiedostot voidaan tunnistaa ja analysoida.
Huomautus: On suositeltavaa, että Watch for New Files poistetaan käytöstä suuren liikenteen laitteissa (kuten tiedostoissa tai sovelluspalvelimissa), koska se voi lisätä levyn viivettä odottamatta, koska jokainen tiedosto on analysoitava, kun se kirjoitetaan levylle. Tämä lieventyy oletusarvoisesti, koska kaikki suoritettavat kannettavat suoritettavat tiedostot analysoidaan niiden yrittäessä suorittaa. Tätä voidaan lieventää entisestään ottamalla käyttöön ja määrittämällä taustauhkien tunnistus suoritettavaksi toistuvasti.
|
| Aseta tarkistettavan arkistotiedoston enimmäiskoko |
150 |
Määrittää suurimman analysoitavan puretun arkiston koon. Koko on megatavuina. |
| Suojausasetukset | ||
| Ota käyttöön Sulje pois tietyt kansiot (sisältää alikansiot) | Käytössä | Tämä mahdollistaa kansioiden määrittämisen File Watcherissa ja suorituksenhallinnassa käytännön perusteella ja Salli tiedostojen suorittaminen Jätä pois kansioista , joita ei valvota. |
| Sulje pois tietyt kansiot (mukaan lukien alikansiot) | -Tyhjä- | Määrittää luettelon kansioista, joita ei valvota File Watcherissa. Salli tiedostojen suorittaminen Jätä pois kansiot -käytäntö estää näistä hakemistoista suoritettavien tiedostojen karanteenin. Tämä käytäntö estää kyseisten hakemistojen tarkistamisen uusien tiedostojen varalta tai taustauhkien tunnistuksen. Kaikki lisätyt poikkeukset on määritettävä käyttämällä kyseisen suoritettavan tiedoston absoluuttista polkua (mukaan lukien polun asemakirjain). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Sovellusten hallinta | ||
| Sovellusten hallinta | Ei käytössä | Tämä mahdollistaa sovelluspohjaisten muutosten rajoittamisen laitteessa, uusia sovelluksia ei voi lisätä, sovelluksia ei voi poistaa eikä sovelluksia voi muokata tai päivittää. |
| Sovellusten hallinnan sallitut kansiot | -Tyhjä- | Tämä määrittää luettelon sovelluksen hallinnan kansioista, joita ei valvota. Kaikki lisätyt poikkeukset on määritettävä käyttämällä kyseisen suoritettavan tiedoston absoluuttista polkua (mukaan lukien polun asemakirjain). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Ota muutosikkuna käyttöön | Ei käytössä | Kun tämä on käytössä, sovellusten hallinta poistetaan tilapäisesti käytöstä, jolloin muutoksia voi tapahtua ympäristössä. |
| Komentosarjojen hallinta | ||
| Komentosarjojen hallinta | Käytössä | Ottaa komentosarjahallinnan käyttöön Script Control valvoo sovelluksia ja palveluita, jotka voivat suorittaa toimintoja käyttöjärjestelmässä. Näitä sovelluksia kutsutaan yleisesti tulkeiksi. ATP tarkkailee näitä sovelluksia ja palveluita mahdollisten komentosarjojen varalta ja käytäntöjen perusteella joko ilmoittaa niiden suoritetusta toimesta tai estää toimintojen suorittamisen. Nämä päätökset tehdään komentosarjan nimen ja suhteellisen reitin perusteella, jossa komentosarja suoritettiin. |
| Komentosarjan hallintatila | Hälytys | Kun asetus on Estä, komentosarjapohjaisia kohteita ei suoriteta. Tämä sisältää kaikki aktiiviset komentosarjat, makropohjaiset komentosarjat ja PowerShell-pohjaiset komentosarjat. Myöhemmissä versioissa nämä on jaettu omiin käytäntöihinsä. Koskee seuraavia: 1.2.1371 ja aikaisemmat ESSE-koontiversiot |
| Aktiiviset komentosarjat | Hälytys | Kun asetuksena on Block, tämä poistaa käytöstä mahdollisuuden suorittaa JavaScriptiä, VBscriptiä, eräajoja, Pythonia, Perliä, PHP: tä, Rubya ja monia muita komentosarjoja. Koskee seuraavia: 1.2.1391 ja sitä uudemmat ESSE-versiot. |
| Makrot | Hälytys | Kun asetuksena on Hälytys, asiakirjoissa olevia makroja voidaan analysoida, jotta voidaan määrittää, suorittavatko ne mahdollisesti haitallisia komentoja. Jos uhka havaitaan, Estä-asetus estää makron suorittamisen. Käynnistettäessä suoritettavat makrot saattavat estää sovelluksen latautumisen. Koskee seuraavia: 1.2.1391 ja sitä uudemmat ESSE-versiot. |
| PowerShell | Hälytys | Kun asetus on Block, PowerShell-pohjaisten komentosarjojen suorittaminen ympäristössä estetään. Koskee seuraavia: 1.2.1391 ja sitä uudemmat ESSE-versiot. |
| Powershell-konsoli | Allow | Kun asetus on Block, PowerShell V3 -konsoli ja ISE eivät käynnisty. Koskee seuraavia: 1.2.1391 ja sitä uudemmat ESSE-versiot. |
| Ota käyttöön Hyväksy komentosarjat kansioissa (ja alikansioissa) | Käytössä | Tämä mahdollistaa sen, että komentosarjojen ohjausobjektin sijaintien analysointi voidaan sulkea pois. |
| Kansioiden (ja alikansioiden) skriptien hyväksyminen | -Tyhjä- | Tässä osassa kerrotaan Script Control -ohjelman kansioista, joita ei valvota.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Maailmanlaajuinen salli | -Tyhjä- | Tätä käytäntöä hyödynnetään ESSE:ssä katkaisutilassa. Näin asiakkailla on ympäristö, joka on täysin erillään Internetistä. Tämä käytäntö määrittää tietyt uhkapolut ja sertifikaatit, jotka on sallittava ympäristössä. |
| Karanteeniin asetettujen luettelo | -Tyhjä- | Tätä käytäntöä hyödynnetään ESSE:ssä katkaisutilassa. Näin asiakkailla on ympäristö, joka on täysin erillään Internetistä. Tämä on määritetty luettelo tunnetuista virheellisistä hajautusarvoista, jotka asetetaan automaattisesti karanteeniin, kun agentti havaitsee niitä. |
| Turvallisten luettelo | -Tyhjä- | Tätä käytäntöä hyödynnetään ESSE:ssä katkaisutilassa. Näin asiakkailla on ympäristö, joka on täysin erillään Internetistä. Tämä käytäntö määrittää tietyt uhkahajautukset, jotka on sallittava ympäristössä. |
| Sovelluksen asetukset | ||
| Estä ponnahdusilmoitukset | Käytössä | Tämä sallii tai estää ESSE:tä näyttämästä leivänpaahdinvalintaikkunaa. |
| Ponnahdusikkunoiden vähimmäisilmoitustaso | High | Määrittää, mitä loppukäyttäjälle ilmoitetaan, jos Popup-ilmoitusten estokäytäntö poistetaan käytöstä. High
Keskitaso
Low
|
| Ota BIOS-varmuus käyttöön | Käytössä | Suorittaa BIOS-eheystarkistuksia tuetuille Dell-tietokoneille (2016 ja uudemmat yritysluokan tietokoneet) |
| Ota lokitiedostojen automaattinen lataus käyttöön | Käytössä | Näin asiakaspalvelijat voivat ladata ATP-laajennuksen lokitiedostot automaattisesti pilveen joka päivä keskiyöllä tai 100 megatavun kokoisena sen mukaan, kumpi tapahtuu ensin. |
| Käytännön arvo | Ehdotettu arvo | Käytännön kuvaus |
|---|---|---|
| Advanced Threat Prevention (ensisijainen kytkin) |
Palaa |
Tämä käytännön arvo määrittää, voivatko asiakkaat käyttää Advanced Threat Prevention -käytäntöjä. Tämä ottaa käyttöön myös tiedostotoiminnot ja suorituksenhallinnan, joita ei voi poistaa käytöstä. Suorituksen hallinta kattaa taustauhkien havaitsemisen ja tiedostojen tarkkailun. Tämä ATP: n moduuli analysoi ja abstrahoi kannettavan suoritettavan tiedoston (PE) aikomukset sen aiottujen toimien ja käyttäytymisen perusteella. Kaikki Execution Controlin, BTD:n ja File Watcherin havaitsemat tiedostot käsitellään automaattista karanteeniin asettamista vastaavien käytäntöjen mukaisesti. Nämä toimet suoritetaan kannettavan suoritettavan tiedoston absoluuttisen polun sijainnin perusteella. |
| Tiedostotoiminnot: |
|
|
| Vaarallinen suoritettava automaattinen karanteeni, kun suoritettava hallinta on käytössä |
Käytössä | Tämä määrittää, asetetaanko vakavana uhkana pidetyt tiedostot automaattisesti karanteeniin. |
| Vaarallinen suoritettava automaattinen lataus käytössä |
Käytössä |
Määrittää, ladataanko vakavat uhat pilvipalveluun, jotta nämä uhat voidaan tarkistaa toisen mielipiteen perusteella. |
| Epänormaali suoritettava automaattinen karanteeni, kun suoritettava hallinta on käytössä |
Käytössä |
Tämä määrittää, asetetaanko mahdollisena uhkana pidetyt tiedostot automaattisesti karanteeniin. |
| Epänormaalin suoritettavan tiedoston automaattinen lataus käytössä |
Käytössä |
Määrittää, ladataanko mahdolliset uhat pilvipalveluun, jotta nämä uhat voidaan tarkistaa toisen mielipiteen perusteella. |
| Salli tiedostojen suorittaminen Exclude Folders -kohdassa |
Käytössä |
Tämä koskee käytäntöä Jätä pois tietyt kansiot Suojausasetukset-käytäntöryhmässä. Tämä sallii poissuljetuissa kansioissa olevien suoritettavien tiedostojen suorittamisen, vaikka ne asetettaisiin automaattisesti karanteeniin. |
| Automaattinen poisto |
Käytössä |
Tämä ottaa ajastimen käyttöön päivinä poistoon asti, tämä koskee myös karanteeniin asetettuja kohteita. Kun poistamiseen on kulunut päiviä, karanteenikansiossa olevat uhat poistetaan automaattisesti, jos tämä käytäntö on otettu käyttöön. |
| Päiviä poistamiseen |
14 |
Määrittää, kuinka monta päivää kohde pysyy uhkakohtaisesti paikallisessa karanteenikansiossa. |
| Muistitoiminnot |
||
| Muistisuojaus käytössä |
Käytössä |
Tämä mahdollistaa muistisuojaustoiminnon, muistisuojausmoduuli analysoi ja tulkitsee sovellusten suorittamistarkoitukset valvomalla sovellusten ja muistissa olevan käyttöjärjestelmän välistä vuorovaikutusta. |
| Ota käyttöön Ohita suoritettavat tiedostot |
Käytössä |
Tämän ansiosta tietyt suoritettavat tiedostot voidaan jättää muistisuojauksen ulkopuolelle. |
| Sulje pois suoritettavat tiedostot |
Vaihtelee ympäristön mukaan |
Kaikki poikkeukset on määritettävä käyttämällä suoritettavan tiedoston suhteellista polkua (ilman asemakirjainta). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Hyväksikäyttö: Pinon kierto |
Lopettaa |
Langan pino on korvattu toisella pinolla. Yleensä tietokone varaa säikeelle vain yhden pinon. Hyökkääjä käyttää eri pinoa suorituksen hallintaan tavalla, jota tietojen suorittamisen estäminen (DEP) ei estä. Koskee seuraavia: Windows, Mac |
| Hyväksikäyttö: Pinon suojaus |
Lopettaa |
Säikepinon muistisuojausta on muutettu niin, että se mahdollistaa suoritusoikeuden. Pinomuistin ei pitäisi olla suoritettavaa, joten yleensä tämä tarkoittaa, että hyökkääjä valmistautuu suorittamaan pinomuistiin tallennettua haitallista koodia osana hyväksikäyttöä, mitä tietojen suorittamisen estäminen (DEP) ei muuten estäisi. Koskee seuraavia: Windows, Mac |
| Hyväksikäyttö: Korvauskoodi |
Lopettaa |
Prosessin muistissa olevaa koodia on muokattu tekniikalla, joka saattaa viitata yritykseen ohittaa tietojen suorittamisen esto (DEP). Koskee seuraavia: Windows |
| Hyväksikäyttö: Skannerin muistihaku |
Lopettaa |
Prosessi yrittää lukea kelvollisia magneettijuovan jälkitietoja toisesta prosessista, joka liittyy yleensä myyntipistetietokoneisiin. Koskee seuraavia: Windows |
| Hyväksikäyttö: Haitallinen tietosisältö |
Lopettaa |
Yleinen liittymäkoodin ja hyötykuorman tunnistus, joka liittyy hyväksikäyttöön, on havaittu. Koskee seuraavia: Windows |
| Prosessin ruiskutus: Muistin etävaraus |
Lopettaa |
Prosessi on varannut muistin toiseen prosessiin. Useimmat kohdistukset tapahtuvat vain samassa prosessissa. Tämä tarkoittaa yleensä yritystä lisätä koodia tai tietoja toiseen prosessiin, mikä voi olla ensimmäinen askel haitallisen läsnäolon vahvistamisessa tietokoneessa. Koskee seuraavia: Windows, Mac |
| Prosessin ruiskutus: Muistin etäkartoitus |
Lopettaa |
Prosessi on lisännyt koodin tai tietoja toiseen prosessiin. Tämä voi olla merkki yrityksestä aloittaa koodin suorittaminen toisessa prosessissa ja vahvistaa haitallista läsnäoloa. Koskee seuraavia: Windows, Mac |
| Prosessin ruiskutus: Etäkirjoitus muistiin |
Lopettaa |
Prosessi on muokannut muistia toisessa prosessissa. Tällä yritetään tavallisesti tallentaa koodia tai tietoja aiemmin varattuun muistiin (katso OutOfProcessAllocation), mutta hyökkääjä saattaa yrittää korvata olemassa olevan muistin ohjatakseen suorituksen haitalliseen tarkoitukseen. Koskee seuraavia: Windows, Mac |
| Prosessin ruiskutus: PE:n etäkirjoitus muistiin |
Lopettaa |
Prosessi on muokannut toisen prosessin muistia sisältämään suoritettavan näköistiedoston. Yleensä tämä tarkoittaa, että hyökkääjä yrittää suorittaa koodia kirjoittamatta koodia ensin levylle. Koskee seuraavia: Windows, Mac |
| Prosessin ruiskutus: Etäkorvauskoodi |
Lopettaa |
Prosessi on muokannut suoritettavaa muistia toisessa prosessissa. Normaaleissa olosuhteissa suoritettavaa muistia ei muuteta, erityisesti toisella prosessilla. Tämä tarkoittaa yleensä yritystä ohjata suoritusta toisessa prosessissa. Koskee seuraavia: Windows, Mac |
| Prosessin ruiskutus: Muistin etäpoisto |
Lopettaa |
Prosessi on poistanut suoritettavan Windows-tiedoston toisen prosessin muistista. Tämä saattaa viitata aikomukseen korvata suoritettava kuva muokatulla kopiolla suorituksen ohjaamiseksi muualle. Koskee seuraavia: Windows, Mac |
| Prosessin ruiskutus: Säikeen etäluonti |
Lopettaa |
Prosessi on luonut säikeen toisessa prosessissa. Hyökkääjä aktivoi tämän avulla haitallisen läsnäolon, joka on lisätty toiseen prosessiin. Koskee seuraavia: Windows, Mac |
| Prosessin ruiskutus: Etä-APC ajoitettu |
Lopettaa |
Prosessi on ohjannut toisen prosessin säikeen suorittamisen. Hyökkääjä aktivoi tämän avulla haitallisen läsnäolon, joka on lisätty toiseen prosessiin. Koskee seuraavia: Windows |
| Prosessin ruiskutus: DYLD-injektio (vain Mac OS X) |
Lopettaa |
On määritetty ympäristömuuttuja, joka aiheuttaa jaetun kirjaston lisäämisen käynnistettyyn prosessiin. Hyökkäykset voivat muokata ohjelmien luetteloa, kuten Safaria, tai korvata ohjelmia bash-skripteillä, jotka aiheuttavat niiden moduulien lataamisen automaattisesti, kun ohjelma käynnistyy. Koskee seuraavia: Mac |
| Laajeneminen: LSASS:n luku |
Lopettaa |
Windowsin paikallisen suojausviranomaisen prosessille kuuluvaa muistia on käytetty tavalla, joka viittaa käyttäjän salasanan hankintayritykseen. Koskee seuraavia: Windows |
| Laajeneminen: Nollavaraus |
Lopettaa |
Tyhjäsivu on varattu. Muistialue on yleensä varattu, mutta tietyissä olosuhteissa se voidaan varata. Hyökkäykset voivat käyttää tätä etuoikeuksien laajentamiseen hyödyntämällä joitakin tunnettuja null de-reference -haavoittuvuuksia, jotka ovat yleensä ytimessä. Koskee seuraavia: Windows, Mac |
| Suorittamisen hallinta |
||
| Estä palvelun pysäytys laitteesta |
Käytössä |
Kun asetus on käytössä, ATP-palvelua ei voida pysäyttää edes tietokoneena. Tämä estää myös sovelluksen asennuksen poistamisen. |
| Lopeta vaaralliset käynnissä olevat prosessit ja aliprosessit |
Käytössä |
Tämän ominaisuuden avulla voidaan havaita ja lopettaa kaikki muistipohjaiset uhat, jotka synnyttävät aliprosesseja. |
| Uhkien taustatarkistus |
Suorita kerran |
Tämä määrittää, suoritetaanko laitteessa olemassa olevien tiedostojen tarkistus. Asetuksena voidaan olla Disabled, Run Once tai Run Recurring. Jos Watch For New Files on käytössä, on suositeltavaa määrittää taustauhkien tunnistus suoritettavaksi kerran. Sinun on tarkistettava olemassa olevat tiedostot kerran vain, jos tarkkailet myös uusia ja päivitettyjä tiedostoja. |
| Varo uusia tiedostoja |
Käytössä |
Kun tämä asetus on käytössä, laitteeseen juuri kirjoitetut tai muuttuneet tiedostot voidaan tunnistaa ja analysoida.
Huomautus: On suositeltavaa, että Watch for New Files poistetaan käytöstä suuren liikenteen laitteissa (kuten tiedostoissa tai sovelluspalvelimissa), koska se voi lisätä levyn viivettä odottamatta, koska jokainen tiedosto on analysoitava, kun se kirjoitetaan levylle. Tätä lieventää oletusarvoisesti se, että kaikki suoritettavat kannettavat suoritettavat tiedostot analysoidaan niiden suorittamisen aikana. Tätä voidaan lieventää entisestään ottamalla käyttöön ja määrittämällä taustauhkien tunnistus suoritettavaksi toistuvasti.
|
| Aseta tarkistettavan arkistotiedoston enimmäiskoko |
150 |
Määrittää suurimman analysoitavan puretun arkiston koon. Koko on megatavuina. |
| Suojausasetukset | ||
| Ota käyttöön Sulje pois tietyt kansiot (sisältää alikansiot) | Käytössä | Tämä mahdollistaa kansioiden määrittämisen File Watcherissa ja Execution Control -toiminnossa Salli tiedostojen suorittaminen valvomattomien kansioiden poissulkemiskansioissa -käytännön perusteella. |
| Sulje pois tietyt kansiot (mukaan lukien alikansiot) | Vaihtelee ympäristön mukaan | Tämä määrittää luettelon File Watcherin kansioista, joita ei valvota. Tämä Salli tiedostojen suorittaminen Jätä pois kansiot -käytäntö estää näistä hakemistoista suoritettavien tiedostojen asettamisen karanteeniin. Tämä käytäntö estää kyseisten hakemistojen tarkistamisen uusien tiedostojen varalta tai taustauhkien tunnistuksen. Kaikki lisätyt poikkeukset on määritettävä käyttämällä kyseisen suoritettavan tiedoston absoluuttista polkua (mukaan lukien polun asemakirjain). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Sovellusten hallinta | ||
| Sovellusten hallinta | Ei käytössä | Tämä mahdollistaa laitekohtaisten muutosten rajoittamisen. Uusia sovelluksia ei voi lisätä, poistaa eikä sovelluksia voi muokata tai päivittää. |
| Sovellusten hallinnan sallitut kansiot | -Tyhjä- | Tämä määrittää luettelon sovelluksen hallinnan kansioista, joita ei valvota. Kaikki lisätyt poikkeukset on määritettävä käyttämällä kyseisen suoritettavan tiedoston absoluuttista polkua (mukaan lukien polun asemakirjain). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Ota muutosikkuna käyttöön | Ei käytössä | Kun tämä on käytössä, sovellusten hallinta poistetaan tilapäisesti käytöstä, jolloin muutoksia voi tapahtua ympäristössä. |
| Komentosarjojen hallinta | ||
| Komentosarjojen hallinta | Käytössä | Ottaa komentosarjojen hallinnan käyttöön Script Control valvoo sovelluksia ja palveluita, jotka voivat suorittaa toimintoja käyttöjärjestelmässä. Näitä sovelluksia kutsutaan yleisesti tulkeiksi. ATP valvoo näitä sovelluksia ja palveluita sellaisten komentosarjojen varalta, jotka yrittävät suorittaa ja perustuvat käytäntöihin, joko ilmoittaa niiden toimista tai estää toimintojen suorittamisen. Nämä päätökset tehdään komentosarjan nimen ja suhteellisen polun perusteella, josta komentosarja suoritettiin. |
| Komentosarjan hallintatila | Lohko | Kun asetuksena on Estä, komentosarjapohjaisia kohteita ei suoriteta. Tämä sisältää kaikki aktiiviset komentosarjat, makropohjaiset komentosarjat ja PowerShell-pohjaiset komentosarjat. Myöhemmissä versioissa nämä on jaettu omiin käytäntöihinsä. Koskee seuraavia: 1.2.1371 ja aikaisemmat ESSE-koontiversiot |
| Aktiiviset komentosarjat | Lohko | Kun asetus on Estä, tämä poistaa käytöstä JavaScriptin, VBscriptin, erän, Pythonin, Perlin, PHP:n, Rubyn ja monien muiden komentosarjojen suorittamisen. Koskee seuraavia: 1.2.1391 ja sitä uudemmat ESSE-versiot. |
| Makrot | Lohko | Kun asetuksena on Hälytys, asiakirjoissa olevia makroja voidaan analysoida, jotta voidaan määrittää, suorittavatko ne mahdollisesti haitallisia komentoja. Jos uhka havaitaan, "Estä" -asetus estää makron suorittamisen. Käynnistettäessä suoritettavat makrot saattavat estää sovelluksen latautumisen. Koskee seuraavia: 1.2.1391 ja sitä uudemmat ESSE-versiot. |
| PowerShell | Lohko | Kun asetuksena on Block, PowerShell-pohjaisten komentosarjojen suorittaminen ympäristössä estetään. Koskee seuraavia: 1.2.1391 ja sitä uudemmat ESSE-versiot. |
| Powershell-konsoli | Allow | Kun asetus on Block, estää PowerShell V3 -konsolin ja ISE:n käynnistymisen. Koskee seuraavia: 1.2.1391 ja sitä uudemmat ESSE-versiot. |
| Ota käyttöön Hyväksy komentosarjat kansioissa (ja alikansioissa) | Käytössä | Tämä mahdollistaa sijaintien ohittamisen komentosarjojen ohjausobjektien analysoinnista. |
| Kansioiden (ja alikansioiden) skriptien hyväksyminen | Vaihtelee ympäristön mukaan | Tässä osassa kerrotaan Script Control -ohjelman kansioista, joita ei valvota.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Maailmanlaajuinen salli | Vaihtelee ympäristön mukaan | Tätä käytäntöä hyödynnetään ESSE:ssä Disconnected mode -tilassa. Tämä mahdollistaa sen, että asiakkailla on ympäristö, joka on täysin erillään Internetistä. Tämä käytäntö määrittää tietyt uhkapolut ja sertifikaatit, jotka on sallittava ympäristössä. |
| Karanteeniin asetettujen luettelo | Vaihtelee ympäristön mukaan | Tätä käytäntöä hyödynnetään ESSE:ssä Disconnected mode -tilassa. Tämä mahdollistaa sen, että asiakkailla on ympäristö, joka on täysin erillään Internetistä. Tämä on määritetty luettelo tunnetusti virheellisistä hajautusarvoista, jotka asetetaan automaattisesti karanteeniin, kun agentti havaitsee niitä. |
| Turvallisten luettelo | Vaihtelee ympäristön mukaan | Tätä käytäntöä hyödynnetään ESSE:ssä Disconnected mode -tilassa. Tämä mahdollistaa sen, että asiakkailla on ympäristö, joka on täysin erillään Internetistä. Tämä käytäntö määrittää tietyt uhkahajautukset, jotka on sallittava ympäristössä. |
| Sovelluksen asetukset | ||
| Estä ponnahdusilmoitukset | Ei käytössä | Tämä sallii tai estää ESSE:tä näyttämästä leivänpaahdinvalintaikkunaa. |
| Ponnahdusikkunoiden vähimmäisilmoitustaso | High | Määrittää, mitä loppukäyttäjälle ilmoitetaan, jos Piilota ponnahdusikkunat -käytäntö poistetaan käytöstä. High
Keskitaso
Low
|
| Ota BIOS-varmuus käyttöön | Käytössä | Suorittaa BIOS-eheystarkistuksia tuetuille Dell-tietokoneille (2016 ja uudemmat yritysluokan tietokoneet) |
| Ota lokitiedostojen automaattinen lataus käyttöön | Käytössä | Näin asiakaspalvelijat voivat ladata ATP-laajennuksen lokitiedostot automaattisesti pilveen joka päivä keskiyöllä tai 100 megatavun kokoisena sen mukaan, kumpi tapahtuu ensin. |
| Ota vakiokäyttöliittymä käyttöön | Käytössä | Tämä ottaa käyttöön lisävaihtoehdon Dell Data Security Consolen käyttämiseksi päätepisteessä. Näin paikalliset käyttäjät näkevät, mitä uhkia, muistitapahtumia tai komentosarjoja paikallisessa päätepisteessä on havaittu. Tämä vaihtoehto on käytettävissä päätepisteen hiiren kakkospainikkeella avattavasta valikosta tai Dell Data Security Consolen asetusrattaasta vaihtoehdossa, jonka nimi on Advanced Threat Prevention. Kun tämä asetus on valittu, käytettävissä on lisävalitsimia, jotka näyttävät tai piilottavat kyseisestä tietokoneesta löydetyt uhat, muistitapahtumat tai komentosarjat. Tämä käytäntö edellyttää, että Dell Encryption Management Agentin versio on vähintään 8.18.0. |
Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.
Dell Endpoint Security Suite Enterprise
04 Mar 2024
10
Solution