Article Number: 000126118
Není k dispozici
Ve výchozím nastavení se funkce Advanced Threat Prevention (ATP) doporučuje nejprve spustit v režimu učení. Veškeré informace o hrozbách jsou shromažďovány tak, aby správcům poskytly flexibilitu při správě hrozeb a potenciálně nežádoucích programů (PUP) ve svém prostředí a aby bylo možné přidat na seznam povolených ty nejdůležitější aplikace.
Další informace o úpravách zásad v sadě Dell Endpoint Security Suite Enterprise naleznete v článku Jak upravit zásady na serveru Dell Data Protection Server.
Další informace a pravidla pro vytváření výjimek v sadě Dell Endpoint Security Suite Enterprise naleznete v článku Jak přidat výjimky do sady Dell Endpoint Security Suite Enterprise.
| Hodnota zásady | Doporučená hodnota | Policy Description |
|---|---|---|
| Advanced Threat Prevention (Primary Switch) |
Svítí |
Tato hodnota zásady určuje, zda mohou klienti využívat zásady služby Advanced Threat Prevention. Zároveň umožňuje akce souboru a funkci Execution Control, které nelze zakázat. Funkce Execution Control zahrnuje funkci Background Threat Detection a File Watcher. Tento modul v rámci služby ATP analyzuje a shrnuje záměry přenosného spustitelného souboru (PE) na základě zamýšlených akcí a chování. Všechny soubory zjištěné kontrolou funkcí Execution Control společně s BTD a nástrojem File Watcher jsou zpracovávány na základě zásad, které se vztahují k automatické karanténě. Tyto akce se provádějí na základě absolutní cesty k přenosnému spustitelnému souboru. |
| Akce souboru: |
|
|
| Unsafe Executable Auto Quarantine With Executable Control Enabled |
Disabled | To určuje, zda jsou soubory, které jsou považovány za závažnou hrozbu, automaticky umístěny do karantény. |
| Unsafe Executable Auto Upload Enabled |
Enabled |
Nastaví, zda se mají do cloudu odesílat závažné hrozby za účelem jejich další kontroly. |
| Abnormal Executable Auto Quarantine With Executable Control Enabled |
Disabled |
To určuje, zda jsou soubory, které jsou považovány za potenciální hrozbu, automaticky umístěny do karantény. |
| Abnormal Executable Auto Upload Enabled |
Enabled |
Nastaví, zda se mají do cloudu odesílat potenciální hrozby za účelem jejich další kontroly. |
| Allow Execution of Files in Exclude Folders |
Enabled |
To platí pro zásady Exclude Specific Folders v rámci skupiny zásad Protection Settings. To umožňuje spuštění spustitelných souborů ve vyloučených složkách, i když jsou automaticky umístěny do karantény. |
| Auto Delete |
Disabled |
Tím se povolí časovač u zásady Days until Deleted. To platí pro položky v karanténě. Po uplynutí Dnů do odstranění se všechny hrozby ve složce karantény automaticky odeberou, pokud je tato zásada povolena. |
| Days Until Deleted |
14 |
To určuje počet dní, po které na hrozbu zůstane položka v místní složce karantény. |
| Akce paměti |
||
| Memory Protection Enabled |
Enabled |
Modul ochrany paměti analyzuje a interpretuje záměry spuštěných aplikací sledováním interakcí mezi aplikacemi a operačním systémem v paměti. |
| Enable Exclude executable files |
Enabled |
To umožňuje vyloučit určité spustitelné soubory z ochrany paměti. |
| Exclude executable files |
Prázdné |
Všechny přidané výjimky musí být zadány pomocí relativní cesty k danému spustitelnému souboru (vynechte z cesty písmeno jednotky). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Exploitation: Stack Pivot |
Alert |
Stoh byl u vlákna nahrazen jiným stohem. Obecně počítač přiděluje na jedno vlákno jeden stoh. Útočník může použít ke kontrole spuštění jiný stoh takovým způsobem, že jej funkce zabránění spuštění dat (DEP) nedokáže zablokovat. Platí pro: Windows, Mac |
| Exploitation: Stack Protect |
Alert |
Ochrana paměti stohu vlákna byla upravena tak, aby povolila oprávnění ke spuštění. Paměť stohu by neměla být spustitelná, takže to obvykle znamená, že útočník se v rámci útoku připravuje na spuštění škodlivého kódu uloženého v paměti stohu, což by jinak zablokovala funkce zabránění spuštění dat (DEP). Platí pro: Windows, Mac |
| Exploitation: Overwrite Code |
Alert |
Kód uložený v paměti procesu byl upraven pomocí techniky, což může signalizovat pokus o obejití funkce zabránění spuštění dat (DEP). Platí pro: Windows |
| Exploitation: Scanner Memory Search |
Alert |
Proces se snaží číst platná data stopy magnetického proužku z jiného procesu. Obvykle související s prodejními počítači (POS) Platí pro: Windows |
| Exploitation: Malicious Payload |
Alert |
Proces se snaží číst platná data stopy magnetického proužku z jiného procesu. Obvykle související s prodejními počítači (POS) Platí pro: Windows |
| Exploitation: Malicious Payload |
Alert |
Byl zjištěn obecný kód prostředí a datová část spojené s útokem. Platí pro: Windows |
| Process Injection: Remote Allocation of Memory |
Alert |
Proces přidělil paměť v jiném procesu. Většina přidělování probíhá pouze v rámci stejného procesu. To zpravidla značí pokus o vložení kódu nebo dat do jiného procesu, což může představovat první krok k odstranění přítomnosti škodlivého činitele v počítači. Platí pro: Windows, Mac |
| Process Injection: Remote Mapping of Memory |
Alert |
Proces zavedl kód nebo data do jiného procesu. To může značit pokus o zahájení spuštění kódu v jiném procesu a posílení škodlivého činitele. Platí pro: Windows, Mac |
| Process Injection: Remote Write to Memory |
Alert |
Proces upravil paměť v jiném procesu. Obvykle se jedná o pokus o uložení kódu nebo dat do dříve přidělené paměti (viz OutofProcessAllocation), je však možné, že se útočník pokouší přepsat stávající paměť, aby mohl odklonit její spuštění se škodlivým záměrem. Platí pro: Windows, Mac |
| Process Injection: Remote Write PE to Memory |
Alert |
Proces upravil paměť v jiném procesu, aby obsahoval spustitelnou bitovou kopii. Obecně to znamená, že se útočník pokouší spustit kód bez jeho dřívějšího zápisu na disk. Platí pro: Windows, Mac |
| Process Injection: Remote Overwrite Code |
Alert |
Proces upravil spustitelnou paměť v jiném procesu. Za normálních podmínek k úpravě spustitelné paměti nedojde, zejména ze strany jiného procesu. To obvykle značí pokus o odklonění spuštění v jiném procesu. Platí pro: Windows, Mac |
| Process Injection: Remote Unmap of Memory |
Alert |
Proces odstranil spustitelný soubor systému Windows z paměti jiného procesu. To může značit snahu o náhradu spustitelné bitové kopie pomocí upravené bitové kopie za účelem odklonění spuštění. Platí pro: Windows, Mac |
| Process Injection: Remote Thread Creation |
Alert |
Proces vytvořil vlákno v jiném procesu. Útočník tuto skutečnost používá k aktivaci škodlivého činitele, který vpravil do jiného procesu. Platí pro: Windows, Mac |
| Process Injection: Remote APC Scheduled |
Alert |
Proces odklonil spuštění vlákna jiného procesu. Útočník tuto skutečnost používá k aktivaci škodlivého činitele, který vpravil do jiného procesu. Platí pro: Windows |
| Process Injection: DYLD Injection (pouze Mac OS X) |
Alert |
Byla nastavena proměnná prostředí, která způsobí vložení sdílené knihovny do spuštěného procesu. Útoky mohou upravit seznam vlastností aplikací, jako je Safari, nebo nahradit aplikace pomocí skriptů bash, které způsobí automatické načtení jejich modulů při spuštění aplikace. Platí pro: Mac |
| Escalation: LSASS Read |
Alert |
Paměť náležející k procesu místního zabezpečení systému Windows byla zpřístupněna způsobem, který signalizuje pokus o získání hesel uživatelů. Platí pro: Windows |
| Escalation: Zero Allocate |
Alert |
Byla přidělena nulová stránka. Oblast paměti je obvykle vyhrazena, ale za určitých okolností ji lze přidělit. Útočníci mohou tuto skutečnost využít k eskalaci oprávnění a využít některé známé chyby při vyhledávání nulových hodnot, obvykle v jádru. Platí pro: Windows, Mac |
| Execution Control |
||
| Prevent Service Shutdown from Device |
Disabled |
Je-li tato zásada nastavena na hodnotu Enabled, není možné zastavit službu ATP. Nelze také odinstalovat aplikace. |
| Kill Unsafe Running Process and Sub-Processes |
Disabled |
Povolení této funkce umožňuje zjistit a ukončit jakékoli hrozby na bázi paměti, které vytváří dílčí procesy. |
| Background Threat Detection |
Run Once |
Tato hodnota určuje, zda má být v zařízení spuštěna kontrola stávajících souborů. To lze nastavit na Zakázáno, Spustit jednou nebo Spustit opakovaně. Pokud je povolena funkce Watch for New Files, doporučuje se nakonfigurovat funkci Background Threat Detection na hodnotu Run Once. Pokud sledujete nové a aktualizované soubory, stávající soubory je nutné zkontrolovat pouze jednou. |
| Watch for New Files |
Enabled |
Nastavení zásady na hodnotu Enabled umožňuje zjistit a analyzovat všechny soubory, které byly nově zapsány do zařízení nebo změněny.
Poznámka: Doporučuje se zakázat funkci Watch for New Files na zařízeních s vysokým provozem (jako jsou soubory nebo aplikační servery), protože by to mohlo způsobit neočekávané zvýšení latence disku, protože by bylo nutné analyzovat každý soubor při zápisu na disk. Tento problém je zmírněn ve výchozím nastavení, protože veškeré přenosné spustitelné soubory, u kterých proběhne pokus o spuštění, jsou analyzovány. Problém lze dále zmírnit povolením funkce Background Threat Detection a jejím nastavením na hodnotu Run Recurring.
|
| Set Maximum Archive File Size to Scan |
150 |
Konfiguruje maximální velikost dekomprimovaného archivu, kterou lze analyzovat. Velikost je v megabajtech. |
| Protection Settings | ||
| Enable Exclude Specific Folders (includes subfolders) | Enabled | To umožňuje definovat složky ve sledování souborů a řízení spouštění na základě zásad a povolit spouštění souborů ve vyloučených složkách , které nejsou monitorovány. |
| Exclude Specific Folders (includes subfolders) | Prázdné | Definuje seznam složek v Application Watcher, které se nemonitorují, zásada Povolit spouštění souborů ve vyloučených složkách zabraňuje karanténě všech souborů spuštěných z těchto adresářů. Tato zásada zabraňuje skenování těchto adresářů pomocí funkce Watch for New Files nebo Background Threat Detection. Všechny přidané výjimky musí být zadány pomocí absolutní cesty k danému spustitelnému souboru (zahrňte do cesty písmeno jednotky). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Application Control | ||
| Application Control | Disabled | To umožňuje omezit změny na základě aplikací v zařízení, nelze přidávat žádné nové aplikace, odebírat žádné aplikace a upravovat ani aktualizovat žádné aplikace. |
| Složky povolené funkcí Application Control | Prázdné | Tím se definuje seznam složek v řízení aplikací, které nejsou monitorovány. Všechny přidané výjimky musí být zadány pomocí absolutní cesty k danému spustitelnému souboru (zahrňte do cesty písmeno jednotky). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Enable Change Window | Disabled | Je-li tato zásada povolena, dočasně se zakáže funkce Application Control, což umožňuje provádět úpravy v prostředí. |
| Script Control | ||
| Script Control | Enabled | Povolí použití správy skriptů. Funkce Script Control sleduje aplikace a služby, které mohou spouštět akce v rámci operačního systému. Tyto aplikace se běžně nazývají překladači. Služba ATP sleduje tyto aplikace a služby u všech skriptů, u kterých proběhne pokus o spuštění, a na základě zásad buď upozorní, že byly provedeny jejich akce, nebo zablokuje probíhající akce. Tato rozhodnutí se provádějí na základě názvu skriptu a relativní cesty k umístění, ze kterého byl skript spuštěn. |
| Script Control Mode | Alert | Je-li zásada nastavena na hodnotu Block, nespustí se žádné položky založené na skriptech. To zahrnuje jakýkoli aktivní skript, skript založený na makrech nebo skript založený na prostředí PowerShell. V novějších verzích jsou tyto skripty rozděleny do svých vlastních zásad. Platí pro: verzi 1.2.1371 a starší sestavení sady ESSE |
| Active Script | Alert | Je-li tato zásada nastavena na hodnotu Block, nebude možné spouštět skripty JavaScript, VBscript, dávkové skripty, skripty Python, Perl, PHP, Ruby a mnoho dalších. Platí pro: verzi 1.2.1391 a novější sestavení sady ESSE. |
| Macros | Alert | Nastavení této zásady na hodnotu Alert umožňuje analyzovat makra v dokumentech za účelem zjištění, zda spouští potenciálně škodlivé příkazy. Pokud je zachycena hrozba, nastavení Block zabrání spuštění makra. Makra spuštěná při spuštění systému mohou zabránit načtení aplikace. Platí pro: verzi 1.2.1391 a novější sestavení sady ESSE. |
| Powershell | Alert | Je-li tato zásada nastavena na hodnotu Block, zabrání spuštění všech skriptů založených na prostředí PowerShell v prostředí. Platí pro: verzi 1.2.1391 a novější sestavení sady ESSE. |
| Powershell Console | Allow | Je-li tato zásada nastavena na hodnotu Block, zabrání spuštění konzole PowerShell V3 a softwaru ISE. Platí pro: verzi 1.2.1391 a novější sestavení sady ESSE. |
| Enable Approve Scripts in Folders (and Subfolders) | Enabled | To umožňuje vyloučit umístění ve správě skriptů z analýzy. |
| Approve Scripts in Folders (and Subfolders) | Prázdné | Tato část podrobně popisuje složky ve funkci Script Control, které nejsou sledovány.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Global Allow | Prázdné | Tato zásada používá pro sadu ESSE režim odpojení. To umožňuje zákazníkům prostředí zcela izolovat od internetu. Tato zásada určuje konkrétní cesty k hrozbám a které certifikáty by měly být v prostředí povoleny. |
| Quarantine List | Prázdné | Tato zásada používá pro sadu ESSE režim odpojení. To umožňuje zákazníkům prostředí zcela izolovat od internetu. Jedná se o definovaný seznam známých chybných hashů, které se v agentovi automaticky umístí do karantény. |
| Safe List | Prázdné | Tato zásada používá pro sadu ESSE režim odpojení. To umožňuje zákazníkům prostředí zcela izolovat od internetu. Tato zásada určuje konkrétní podezřelé hashe, které by měly být v prostředí povoleny. |
| Agent Settings | ||
| Suppress Popup Notifications | Enabled | Tím povolíte nebo zakážete možnost ESSE zobrazit dialogové okno toustovače. |
| Minimum Popup Notification Level | Vysoká | Definuje, co bude upozorněno koncovému uživateli, pokud je zakázána zásada Potlačit vyskakovací oznámení. Vysoká
Střední
Nízké
|
| Enable BIOS Assurance | Enabled | Provádění kontroly integrity systému BIOS na podporovaných počítačích Dell (počítače 2016 a novější podnikové třídy) |
| Enable Auto-upload of Log Files | Enabled | To umožňuje agentům automaticky odesílat soubory protokolu pro doplněk ATP do cloudu každý den o půlnoci nebo rychlostí 100 MB, podle toho, co nastane dříve. |
| Hodnota zásady | Doporučená hodnota | Policy Description |
|---|---|---|
| Advanced Threat Prevention (Primary Switch) |
Svítí |
Tato hodnota zásady určuje, zda mohou klienti využívat zásady služby Advanced Threat Prevention. Zároveň umožňuje akce souboru a funkci Execution Control, které nelze zakázat. Funkce Execution Control zahrnuje funkci Background Threat Detection a File Watcher. Tento modul v rámci služby ATP analyzuje a shrnuje záměry přenosného spustitelného souboru (PE) na základě zamýšlených akcí a chování. Všechny soubory zjištěné řízením spuštění a BTD a File Watcher se zpracovávají na základě zásad, které korelují s automatickou karanténou. Tyto akce se provádějí na základě absolutní cesty k přenosnému spustitelnému souboru. |
| Akce souboru: |
|
|
| Unsafe Executable Auto Quarantine With Executable Control Enabled |
Enabled | To určuje, zda jsou soubory, které jsou považovány za závažnou hrozbu, automaticky umístěny do karantény. |
| Unsafe Executable Auto Upload Enabled |
Enabled |
Nastaví, zda se mají do cloudu odesílat závažné hrozby za účelem jejich další kontroly. |
| Abnormal Executable Auto Quarantine With Executable Control Enabled |
Enabled |
To určuje, zda jsou soubory, které jsou považovány za potenciální hrozbu, automaticky umístěny do karantény. |
| Abnormal Executable Auto Upload Enabled |
Enabled |
Nastaví, zda se mají do cloudu odesílat potenciální hrozby za účelem jejich další kontroly. |
| Allow Execution of Files in Exclude Folders |
Enabled |
To platí pro zásady Exclude Specific Folders v rámci skupiny zásad Protection Settings. To umožňuje spuštění spustitelných souborů ve vyloučených složkách, i když jsou automaticky umístěny do karantény. |
| Auto Delete |
Enabled |
Tím se povolí časovač ve dnech do odstranění zásady, to platí i pro položky v karanténě. Po uplynutí dnů, než uplyne odstranění, budou všechny hrozby ve složce karantény automaticky odebrány, pokud je tato zásada povolena. |
| Days Until Deleted |
14 |
U každé hrozby určuje počet dní, po které položka zůstane ve složce místní karantény. |
| Akce paměti |
||
| Memory Protection Enabled |
Enabled |
To umožňuje funkci Ochrana paměti. Modul ochrany paměti analyzuje a interpretuje záměry spuštěných aplikací sledováním interakcí mezi aplikacemi a operačním systémem v paměti. |
| Enable Exclude executable files |
Enabled |
To umožňuje vyloučit určité spustitelné soubory z ochrany paměti. |
| Exclude executable files |
Liší se v závislosti na prostředí |
Všechny přidané výjimky musí být zadány pomocí relativní cesty k danému spustitelnému souboru (vynechte z cesty písmeno jednotky). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Exploitation: Stack Pivot |
Terminate |
Stoh byl u vlákna nahrazen jiným stohem. Obecně počítač přiděluje na jedno vlákno pouze jeden stoh. Útočník může použít ke kontrole spuštění jiný stoh takovým způsobem, že jej funkce zabránění spuštění dat (DEP) nedokáže zablokovat. Platí pro: Windows, Mac |
| Exploitation: Stack Protect |
Terminate |
Ochrana paměti stohu vlákna byla upravena tak, aby povolila oprávnění ke spuštění. Paměť stohu by neměla být spustitelná, takže to obvykle znamená, že útočník se v rámci útoku připravuje na spuštění škodlivého kódu uloženého v paměti stohu, který by funkce zabránění spuštění dat (DEP) nedokázala zablokovat. Platí pro: Windows, Mac |
| Exploitation: Overwrite Code |
Terminate |
Kód uložený v paměti procesu byl upraven pomocí techniky, což může signalizovat pokus o obejití funkce zabránění spuštění dat (DEP). Platí pro: Windows |
| Exploitation: Scanner Memory Search |
Terminate |
Proces se snaží číst platná data stopy magnetického proužku z jiného procesu, to obvykle souvisí s počítači na prodejním místě (POS). Platí pro: Windows |
| Exploitation: Malicious Payload |
Terminate |
Byl zjištěn obecný kód prostředí a datová část spojené s útokem. Platí pro: Windows |
| Process Injection: Remote Allocation of Memory |
Terminate |
Proces přidělil paměť v jiném procesu. Většina přidělování probíhá pouze v rámci stejného procesu. To zpravidla značí pokus o vložení kódu nebo dat do jiného procesu, což může představovat první krok k odstranění přítomnosti škodlivého činitele v počítači. Platí pro: Windows, Mac |
| Process Injection: Remote Mapping of Memory |
Terminate |
Proces zavedl kód nebo data do jiného procesu. To může značit pokus o zahájení spuštění kódu v jiném procesu a posílení škodlivého činitele. Platí pro: Windows, Mac |
| Process Injection: Remote Write to Memory |
Terminate |
Proces upravil paměť v jiném procesu. Obvykle se jedná o pokus o uložení kódu nebo dat do dříve přidělené paměti (viz OutOfProcessAllocation), je však možné, že se útočník pokouší přepsat stávající paměť, aby mohl odklonit její spuštění se škodlivým záměrem. Platí pro: Windows, Mac |
| Process Injection: Remote Write PE to Memory |
Terminate |
Proces upravil paměť v jiném procesu, aby obsahoval spustitelnou bitovou kopii. Obecně to znamená že se útočník pokouší spustit kód bez jeho dřívějšího zápisu na disk. Platí pro: Windows, Mac |
| Process Injection: Remote Overwrite Code |
Terminate |
Proces upravil spustitelnou paměť v jiném procesu. Za normálních podmínek k úpravě spustitelné paměti nedojde, zejména ze strany jiného procesu. To obvykle značí pokus o odklonění spuštění v jiném procesu. Platí pro: Windows, Mac |
| Process Injection: Remote Unmap of Memory |
Terminate |
Proces odstranil spustitelný soubor systému Windows z paměti jiného procesu. To může značit snahu o náhradu spustitelné bitové kopie pomocí upravené bitové kopie za účelem odklonění spuštění. Platí pro: Windows, Mac |
| Process Injection: Remote Thread Creation |
Terminate |
Proces vytvořil vlákno v jiném procesu. Útočník tuto skutečnost používá k aktivaci škodlivého činitele, který vpravil do jiného procesu. Platí pro: Windows, Mac |
| Process Injection: Remote APC Scheduled |
Terminate |
Proces odklonil spuštění vlákna jiného procesu. Útočník tuto skutečnost používá k aktivaci škodlivého činitele, který vpravil do jiného procesu. Platí pro: Windows |
| Process Injection: DYLD Injection (pouze Mac OS X) |
Terminate |
Byla nastavena proměnná prostředí, která způsobí vložení sdílené knihovny do spuštěného procesu. Útoky mohou upravit seznam vlastností aplikací, jako je Safari, nebo nahradit aplikace pomocí skriptů bash, které způsobí automatické načtení jejich modulů při spuštění aplikace. Platí pro: Mac |
| Escalation: LSASS Read |
Terminate |
Paměť náležející k procesu místního zabezpečení systému Windows byla zpřístupněna způsobem, který signalizuje pokus o získání hesel uživatelů. Platí pro: Windows |
| Escalation: Zero Allocate |
Terminate |
Byla přidělena nulová stránka. Oblast paměti je obvykle vyhrazena, ale za určitých okolností ji lze přidělit. Útočníci mohou tuto skutečnost využít k eskalaci oprávnění a využít některé známé chyby při vyhledávání nulových hodnot, obvykle v jádru. Platí pro: Windows, Mac |
| Execution Control |
||
| Prevent Service Shutdown from Device |
Enabled |
Je-li tato zásada nastavena na hodnotu Enabled, není možné zastavit službu ATP, a to ani z počítače. Nelze také odinstalovat aplikace. |
| Kill Unsafe Running Process and Sub-Processes |
Enabled |
Povolení této funkce umožňuje zjistit a ukončit jakékoli hrozby na bázi paměti, které vytváří dílčí procesy. |
| Background Threat Detection |
Run Once |
Tato hodnota určuje, zda má být v zařízení spuštěna kontrola stávajících souborů. To lze nastavit na Zakázáno, Spustit jednou nebo Spustit opakovaně. Pokud je povolena funkce Watch for New Files, doporučuje se nakonfigurovat funkci Background Threat Detection na hodnotu Run Once. Pokud sledujete nové a aktualizované soubory, stávající soubory je nutné zkontrolovat pouze jednou. |
| Watch for New Files |
Enabled |
Nastavení zásady na hodnotu Enabled umožňuje zjistit a analyzovat všechny soubory, které byly nově zapsány do zařízení nebo změněny.
Poznámka: Doporučuje se zakázat funkci Watch for New Files na zařízeních s vysokým provozem (jako jsou soubory nebo aplikační servery), protože by to mohlo způsobit neočekávané zvýšení latence disku, protože by bylo nutné analyzovat každý soubor při zápisu na disk. Tento problém je zmírněn ve výchozím nastavení, protože veškeré přenosné spustitelné soubory, u kterých proběhne pokus o spuštění, jsou analyzovány. Problém lze dále zmírnit povolením funkce Background Threat Detection a jejím nastavením na hodnotu Run Recurring.
|
| Set Maximum Archive File Size to Scan |
150 |
Konfiguruje maximální velikost dekomprimovaného archivu, kterou lze analyzovat. Velikost je v megabajtech. |
| Protection Settings | ||
| Enable Exclude Specific Folders (includes subfolders) | Enabled | To umožňuje definovat složky v Application Watcher a řízení spouštění na základě zásad Povolit spouštění souborů ve složkách vyloučení, které nejsou monitorovány. |
| Exclude Specific Folders (includes subfolders) | Liší se v závislosti na prostředí | Tím se definuje seznam složek v Application Watcher, které nejsou monitorované. Tato zásada možnosti Povolit spouštění souborů ve vyloučených složkách zabraňuje karanténě všech souborů spouštěných z těchto adresářů. Tato zásada zabraňuje skenování těchto adresářů pomocí funkce Watch for New Files nebo Background Threat Detection. Všechny přidané výjimky musí být zadány pomocí absolutní cesty k danému spustitelnému souboru (zahrňte do cesty písmeno jednotky). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Application Control | ||
| Application Control | Disabled | To umožňuje omezit změny na základě aplikací v zařízení. Nelze přidávat nové aplikace, odebírat aplikace a upravovat ani aktualizovat. |
| Složky povolené funkcí Application Control | Prázdné | Tím se definuje seznam složek v řízení aplikací, které nejsou monitorovány. Všechny přidané výjimky musí být zadány pomocí absolutní cesty k danému spustitelnému souboru (zahrňte do cesty písmeno jednotky). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Enable Change Window | Disabled | Je-li tato zásada povolena, dočasně se zakáže funkce Application Control, což umožňuje provádět úpravy v prostředí. |
| Script Control | ||
| Script Control | Enabled | Povolí použití správy skriptů. Funkce Script Control sleduje aplikace a služby, které mohou spouštět akce v rámci operačního systému. Tyto aplikace se běžně nazývají překladači. Služba ATP sleduje tyto aplikace a služby u všech skriptů, u kterých proběhne pokus o spuštění, a na základě zásad buď upozorní, že byly provedeny jejich akce, nebo zablokuje probíhající akce. Tato rozhodnutí se provádějí na základě názvu skriptu a relativní cesty k umístění, ze kterého byl skript spuštěn. |
| Script Control Mode | Block | Je-li zásada nastavena na hodnotu Block nespustí se žádné položky založené na skriptech. To zahrnuje jakýkoli aktivní skript, skript založený na makrech nebo skript založený na prostředí PowerShell. V novějších verzích jsou tyto skripty rozděleny do svých vlastních zásad. Platí pro: verzi 1.2.1371 a starší sestavení sady ESSE |
| Active Script | Block | Je-li tato zásada nastavena na hodnotu Block, nebude možné spouštět skripty JavaScript, VBscript, dávkové skripty, sktipry Python, Perl, PHP, Ruby a mnoho dalších. Platí pro: verzi 1.2.1391 a novější sestavení sady ESSE. |
| Macros | Block | Nastavení této zásady na hodnotu Alert umožňuje analyzovat makra v dokumentech za účelem zjištění, zda spouští potenciálně škodlivé příkazy. Pokud je zachycena hrozba, nastavení Block zabrání spuštění makra. Makra spuštěná při spuštění systému mohou zabránit načtení aplikace. Platí pro: verzi 1.2.1391 a novější sestavení sady ESSE. |
| Powershell | Block | Je-li tato zásada nastavena na hodnotu Block zabrání spuštění všech skriptů založených na prostředí PowerShell v prostředí. Platí pro: verzi 1.2.1391 a novější sestavení sady ESSE. |
| Powershell Console | Allow | Je-li tato zásada nastavena na hodnotu Block spuštění konzole PowerShell V3 a softwaru ISE. Platí pro: verzi 1.2.1391 a novější sestavení sady ESSE. |
| Enable Approve Scripts in Folders (and Subfolders) | Enabled | To umožňuje vyloučit umístění ze správy skriptů z analýzy. |
| Approve Scripts in Folders (and Subfolders) | Liší se v závislosti na prostředí | Tato část podrobně popisuje složky ve funkci Script Control, které nejsou sledovány.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Global Allow | Liší se v závislosti na prostředí | Tato zásada používá pro sadu ESSE režim odpojení. To umožňuje zákazníkům prostředí zcela izolovat od internetu. Tato zásada určuje konkrétní cesty k hrozbám a které certifikáty by měly být v prostředí povoleny. |
| Quarantine List | Liší se v závislosti na prostředí | Tato zásada používá pro sadu ESSE režim odpojení. To umožňuje zákazníkům prostředí zcela izolovat od internetu. Jedná se o definovaný seznam známých chybných hashů, které se v agentovi automaticky umístí do karantény. |
| Safe List | Liší se v závislosti na prostředí | Tato zásada používá pro sadu ESSE režim odpojení. To umožňuje zákazníkům prostředí zcela izolovat od internetu. Tato zásada určuje konkrétní podezřelé hashe, které by měly být v prostředí povoleny. |
| Agent Settings | ||
| Suppress Popup Notifications | Disabled | Tím povolíte nebo zakážete možnost ESSE zobrazit dialogové okno toustovače. |
| Minimum Popup Notification Level | Vysoká | To definuje, co bude upozorněno koncovému uživateli, pokud je zakázána zásada Potlačit vyskakovací oznámení. Vysoká
Střední
Nízké
|
| Enable BIOS Assurance | Enabled | Provádění kontroly integrity systému BIOS na podporovaných počítačích Dell (počítače 2016 a novější podnikové třídy) |
| Enable Auto-upload of Log Files | Enabled | To umožňuje agentům automaticky odesílat soubory protokolu pro doplněk ATP do cloudu každý den o půlnoci nebo rychlostí 100 MB, podle toho, co nastane dříve. |
| Enable Standard UI | Enabled | To umožňuje další možnost pomocí konzole Dell Data Security na koncovém bodě. To místním uživatelům umožňuje zjistit, jaké hrozby, události paměti nebo skripty byly na místním koncovém bodě zjištěny. Tato možnost se nachází v nabídce po kliknutí pravým tlačítkem myši na koncovém bodě nebo pomocí ozubeného kolečka nastavení v konzoli Dell Data Security v možnosti s názvem Advanced Threat Prevention. Po výběru této možnosti jsou k dispozici další přepínače, které zobrazují nebo skrývají hrozby, události v paměti nebo skripty zjištěné v daném počítači. Tato zásada vyžaduje, aby byl nástroj Dell Encryption Management Agent ve verzi 8.18.0 nebo novější. |
Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.
Dell Endpoint Security Suite Enterprise
04 Mar 2024
10
Solution