Article Number: 000126118
Nicht zutreffend
Standardmäßig wird empfohlen, Advanced Threat Prevention (ATP) zunächst in einem Lernmodus auszuführen. Es werden alle Bedrohungsinformationen erfasst, um Administratoren die Flexibilität zu geben, Bedrohungen und potenziell unerwünschte Programme (PUPs) in ihrer Umgebung zu managen und geschäftskritische Anwendungen zuzulassen.
Weitere Informationen zum Ändern von Policies in Dell Endpoint Security Suite Enterprise finden Sie unter So ändern Sie Policies auf dem Dell Data Protection Server.
Weitere Informationen und Regeln zum Erstellen von Ausschlüssen in Dell Endpoint Security Suite Enterprise finden Sie unter Hinzufügen von Ausschlüssen in Dell Endpoint Security Suite Enterprise.
| Policy-Wert | Empfohlener Wert | Policybeschreibung |
|---|---|---|
| Advanced Threat Prevention (Primärer Switch) |
Ein |
Dieser Policy-Wert bestimmt, ob die Clients Policies für Advanced Threat Prevention nutzen können. Er ermöglicht zudem Dateiaktionen und Ausführungskontrolle, die nicht deaktiviert werden können. Die Ausführungskontrolle umfasst die Hintergrunderkennung von Bedrohungen und die Dateiüberwachung. Dieses Modul in ATP analysiert und abstrahiert die Absichten einer Portable Executable (PE) basierend auf den beabsichtigten Aktionen und Verhaltensweisen. Alle Dateien, die von der Ausführungskontrolle zusammen mit BTD und der Dateiüberwachung erkannt werden, werden basierend auf den Policies für die automatische Quarantäne verarbeitet. Diese Aktionen werden basierend auf dem absoluten Pfadspeicherort der Portable Executable durchgeführt. |
| Dateiaktionen: |
|
|
| Automatische Quarantäne unsicherer ausführbarer Dateien mit aktivierter Steuerung der ausführbaren Datei |
Deaktiviert | Dadurch wird festgelegt, ob Dateien, die als schwerwiegende Bedrohung eingestuft werden, automatisch unter Quarantäne gestellt werden. |
| Automatisches Hochladen unsicherer ausführbarer Dateien aktiviert |
Enabled |
Legt fest, ob schwerwiegende Bedrohungen in die Cloud hochgeladen werden, um eine Zweite-Meinung-Prüfung dieser Bedrohungen durchzuführen. |
| Automatische Quarantäne abnormer ausführbarer Dateien mit aktivierter Steuerung der ausführbaren Datei |
Deaktiviert |
Dadurch wird festgelegt, ob Dateien, die als potenzielle Bedrohung betrachtet werden, automatisch unter Quarantäne gestellt werden. |
| Automatisches Hochladen abnormer ausführbarer Dateien aktiviert |
Enabled |
Legt fest, ob potenzielle Bedrohungen in die Cloud hochgeladen werden, um eine Zweite-Meinung-Prüfung dieser Bedrohungen durchzuführen. |
| Ausführung von Dateien in Ausschlussordnern zulassen |
Enabled |
Dies gilt für die Policy „Bestimmte Ordner ausschließen“ innerhalb der Policy-Gruppe „Schutzeinstellungen“. Auf diese Weise können ausführbare Dateien in den ausgeschlossenen Ordnern auch dann ausgeführt werden, wenn sie automatisch unter Quarantäne gestellt werden. |
| Automatisches Löschen |
Deaktiviert |
Dadurch wird der Timer für die Policy "Tage bis zum Löschen" aktiviert. Dies gilt für unter Quarantäne gestellte Elemente. Sobald die Tage bis zum Löschen verstrichen sind, werden alle Bedrohungen in einem Quarantäneordner automatisch entfernt, wenn diese Richtlinie aktiviert ist. |
| Tage bis zum Löschen |
14 |
Dadurch wird die Anzahl der Tage pro Bedrohung bestimmt, die ein Element im lokalen Quarantäneordner verbleibt. |
| Arbeitsspeicheraktionen |
||
| Arbeitsspeicherschutz aktiviert |
Enabled |
Dies aktiviert die Speicherschutzfunktion. Das Speicherschutzmodul analysiert und interpretiert die Absichten laufender Anwendungen, indem es die Interaktionen zwischen Anwendungen und dem Betriebssystem im Arbeitsspeicher überwacht. |
| Aktivieren von Ausschließen ausführbarer Dateien |
Enabled |
Auf diese Weise können bestimmte ausführbare Dateien vom Arbeitsspeicherschutz ausgeschlossen werden. |
| Ausschließen von ausführbaren Dateien |
Leer |
Alle hinzugefügten Ausschlüsse müssen mit dem relativen Pfad dieser ausführbaren Datei (Pfad ohne den Laufwerkbuchstaben) angegeben werden. Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Lücken: Stack Pivot |
Warnung |
Der Stapel für einen Thread wurde durch einen anderen Stapel ersetzt. Im Allgemeinen weist der Computer einem Thread einen einzigen Stapel zu. Ein Angreifer würde einen anderen Stapel verwenden, um die Ausführung so zu steuern, dass Data Execution Prevention (DEP) sie nicht blockieren kann. Gilt für: Windows, Mac |
| Lücken: Stack schützen |
Warnung |
Der Arbeitsspeicherschutz eines Thread-Stapels wurde geändert, um die Ausführungsberechtigung zu aktivieren. Stapelarbeitsspeicher sollte nicht ausführbar sein. Dies bedeutet in der Regel, dass ein Angreifer sich darauf vorbereitet, als Teil eines Exploits bösartigen Code auszuführen, der im Stapelarbeitsspeicher gespeichert ist, ein Versuch, den Data Execution Prevention (DEP) andernfalls blockieren würde. Gilt für: Windows, Mac |
| Lücken: Code überschreiben |
Warnung |
Code, der sich im Arbeitsspeicher eines Prozesses befindet, wurde mithilfe einer Technik geändert, die auf einen Versuch hindeuten kann, Data Execution Prevention (DEP) zu umgehen. Gilt für: Windows |
| Lücken: Scannerspeichersuche |
Warnung |
Ein Prozess versucht, gültige Magnetstreifen-Track-Daten von einem anderen Prozess zu lesen. In der Regel im Zusammenhang mit Point-of-Sale-Computern (POS) Gilt für: Windows |
| Lücken: Böswillige Payload |
Warnung |
Ein Prozess versucht, gültige Magnetstreifen-Track-Daten von einem anderen Prozess zu lesen. In der Regel im Zusammenhang mit Point-of-Sale-Computern (POS) Gilt für: Windows |
| Lücken: Böswillige Payload |
Warnung |
Es wurde eine generische Shellcode- und Payload-Erkennung erkannt, die mit einer Ausnutzung verknüpft ist. Gilt für: Windows |
| Prozessinjektion: Remote-Zuordnung des Arbeitsspeichers |
Warnung |
Ein Prozess hat in einem anderen Prozess Arbeitsspeicher zugewiesen. Die meisten Zuweisungen erfolgen nur innerhalb desselben Prozesses. Dies weist in der Regel auf einen Versuch hin, Code oder Daten in einen anderen Prozess zu injizieren. Dies kann ein erster Schritt zur Verstärkung einer bösartigen Präsenz auf einem Computer sein. Gilt für: Windows, Mac |
| Prozessinjektion: Remote-Zuordnung des Arbeitsspeichers |
Warnung |
Ein Prozess hat in einen anderen Prozess Code oder Daten eingefügt. Dies kann auf einen Versuch hindeuten, Code in einem anderen Prozess auszuführen und eine bösartige Präsenz zu verstärken. Gilt für: Windows, Mac |
| Prozessinjektion: Remote-Schreiben in Arbeitsspeicher |
Warnung |
Ein Prozess hat in einem anderen Prozess den Arbeitsspeicher geändert. Dies ist in der Regel ein Versuch, Code oder Daten im zuvor zugewiesenen Arbeitsspeicher zu speichern (siehe OutofProcessAllocation). Es ist jedoch auch möglich, dass ein Angreifer versucht, vorhandenen Arbeitsspeicher zu überschreiben, um die Ausführung für einen bösartigen Zweck umzuleiten. Gilt für: Windows, Mac |
| Prozessinjektion: Remote-Schreiben von PE in Arbeitsspeicher |
Warnung |
Ein Prozess hat in einem anderen Prozess den Arbeitsspeicher geändert, damit dieser ein ausführbares Image enthält. Im Allgemeinen weist dies darauf hin, dass ein Angreifer versucht, Code auszuführen, ohne diesen Code zuerst auf die Festplatte zu schreiben. Gilt für: Windows, Mac |
| Prozessinjektion: Remote-Überschreiben von Code |
Warnung |
Ein Prozess hat in einem anderen Prozess ausführbaren Arbeitsspeicher geändert. Unter normalen Bedingungen wird ausführbarer Arbeitsspeicher nicht geändert, insbesondere nicht durch einen anderen Prozess. Dies weist in der Regel auf einen Versuch hin, die Ausführung in einen anderen Prozess umzulenken. Gilt für: Windows, Mac |
| Prozessinjektion: Remote-Aufheben der Arbeitsspeicherzuordnung |
Warnung |
Ein Prozess hat eine ausführbare Windows-Datei aus dem Arbeitsspeicher eines anderen Prozesses entfernt. Dies kann auf die Absicht hindeuten, das ausführbare Image durch eine geänderte Kopie zu ersetzen, um die Ausführung umzuleiten. Gilt für: Windows, Mac |
| Prozessinjektion: Remote-Thread-Erstellung |
Warnung |
Ein Prozess hat in einem anderen Prozess einen Thread erstellt. Ein Angreifer verwendet dies, um eine bösartige Präsenz zu aktivieren, die in einen anderen Prozess injiziert wurde. Gilt für: Windows, Mac |
| Prozessinjektion: Remote-APC geplant |
Warnung |
Ein Prozess hat die Ausführung eines Threads eines anderen Prozesses umgeleitet. Ein Angreifer verwendet dies, um eine bösartige Präsenz zu aktivieren, die in einen anderen Prozess injiziert wurde. Gilt für: Windows |
| Prozessinjektion: DYLD-Injektion (nur Mac OS X) |
Warnung |
Es wurde eine Umgebungsvariable festgelegt, die dazu führt, dass eine freigegebene Bibliothek in einen gestarteten Prozess injiziert wird. Angreifer können die plist von Anwendungen wie Safari ändern oder Anwendungen durch Bash-Skripte ersetzen, die dazu führen, dass ihre Module automatisch geladen werden, wenn eine Anwendung gestartet wird. Gilt für: Mac |
| Eskalation: LSASS lesen |
Warnung |
Der Arbeitsspeicher, der zum Windows Local Security Authority-Prozess gehört, wurde auf eine Weise aufgerufen, die auf einen Versuch hindeutet, Nutzerkennwörter abzurufen. Gilt für: Windows |
| Eskalation: Nullzuweisung |
Warnung |
Es wurde eine Nullseite zugewiesen. Der Arbeitsspeicherbereich ist in der Regel reserviert, kann aber unter bestimmten Umständen zugewiesen werden. Angreifer können dies verwenden, um eine Berechtigungseskalation einzurichten, indem sie einige bekannte Exploits zur Null-Dereferenzierung nutzen, in der Regel im Kernel. Gilt für: Windows, Mac |
| Ausführungskontrolle |
||
| Herunterfahren des Dienstes vom Gerät verhindern |
Deaktiviert |
Wenn diese Option aktiviert ist, wird verhindert, dass der ATP-Dienst beendet werden kann. Dies verhindert auch, dass die Anwendung deinstalliert wird. |
| Beenden unsicherer laufender Prozesse und Unterprozesse |
Deaktiviert |
Die Aktivierung dieser Funktion ermöglicht die Erkennung und Beendigung von arbeitsspeicherbasierten Bedrohungen, die Unterprozesse erzeugen. |
| Hintergrunderkennung von Bedrohungen |
Einmal ausführen |
Dadurch wird bestimmt, ob auf dem Gerät ein Scan vorhandener Dateien ausgeführt wird. Dies kann auf "Deaktiviert", "Einmal ausführen" oder "Wiederkehrende Ausführung" eingestellt werden. Wenn „Auf neue Dateien überwachen“ aktiviert ist, wird empfohlen, die Hintergrunderkennung von Bedrohungen mit „Einmal ausführen“ zu konfigurieren. Sie dürfen vorhandene Dateien nur einmal überprüfen, wenn Sie auch auf neue und aktualisierte Dateien überwachen. |
| Auf neue Dateien überwachen |
Enabled |
Wenn diese Option aktiviert ist, werden alle Dateien erkannt und analysiert, die neu auf das Gerät geschrieben oder geändert wurden.
Hinweis: Es wird empfohlen, die Option "Nach neuen Dateien suchen" auf Geräten mit hohem Datenverkehr (z. B. Dateien oder Anwendungsservern) zu deaktivieren, da dies zu unerwarteten Anstiegen der Festplattenlatenz führen könnte, da jede Datei analysiert werden müsste, während sie auf die Festplatte geschrieben wird. Dies wird standardmäßig eingedämmt, da alle Portable Executables, die eine Ausführung versuchen, während der versuchten Ausführung analysiert werden. Dies kann weiter eingedämmt werden, indem die Hintergrunderkennung von Bedrohungen aktiviert und auf Wiederkehrende Ausführung gesetzt wird.
|
| Festlegen der maximalen zu scannenden Archivdateigröße |
150 |
Konfiguriert die maximale dekomprimierte Archivgröße, die analysiert werden kann. Die Größe wird in Megabyte angegeben. |
| Schutzeinstellungen | ||
| Aktivieren von Ausschließen bestimmter Ordner (einschließlich Unterordner) | Enabled | Dies ermöglicht das Definieren von Ordnern in der Dateiüberwachung und Ausführungskontrolle basierend auf der Policy und die Option Ausführung von Dateien in Ausschlussordnern zulassen , die nicht überwacht werden. |
| Bestimmte Ordner ausschließen (einschließlich Unterordner) | -Leer- | Definiert eine Liste der Ordner in der Dateiüberwachung, die nicht überwacht werden. Die Policy Ausführung von Dateien in Ausschlussordnern zulassen verhindert die Quarantäne von Dateien, die aus diesen Verzeichnissen ausgeführt werden. Diese Policy verhindert das Scannen dieser Verzeichnisse durch „Auf neue Dateien überwachen“ oder „Hintergrunderkennung von Bedrohungen“. Alle hinzugefügten Ausschlüsse müssen mit dem relativen Pfad dieser ausführbaren Datei (Pfad mit Laufwerksbuchstaben) angegeben werden. Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Anwendungskontrolle | ||
| Anwendungskontrolle | Deaktiviert | Auf diese Weise können anwendungsbasierte Änderungen auf dem Gerät eingeschränkt werden. Es können keine neuen Anwendungen hinzugefügt, keine Anwendungen entfernt und keine Anwendungen geändert oder aktualisiert werden. |
| Zugelassene Ordner der Anwendungskontrolle | -Leer- | Dadurch wird eine Liste der Ordner in der Anwendungssteuerung definiert, die nicht überwacht werden. Alle hinzugefügten Ausschlüsse müssen mit dem relativen Pfad dieser ausführbaren Datei (Pfad mit Laufwerksbuchstaben) angegeben werden. Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Änderungsfenster aktivieren | Deaktiviert | Wenn diese Option aktiviert ist, wird die Anwendungskontrolle vorübergehend deaktiviert, sodass in der Umgebung Änderungen vorgenommen werden können. |
| Skriptkontrolle | ||
| Skriptkontrolle | Enabled | Aktiviert die Verwendung von Script Control Die Skriptkontrolle überwacht Anwendungen und Dienste, die Aktionen innerhalb des Betriebssystems ausführen können. Diese Anwendungen werden häufig als Interpreter bezeichnet. ATP überwacht diese Anwendungen und Dienste auf alle Skripte, die ausgeführt werden sollen, und benachrichtigt, basierend auf Policies, entweder über die durchgeführten Aktionen oder blockiert die Ausführung der Aktionen. Diese Entscheidungen werden basierend auf dem Skriptnamen und dem relativen Pfad getroffen, über den das Skript ausgeführt wurde. |
| Skriptsteuerungsmodus | Warnung | Wenn diese Option auf „Blockieren“ gesetzt ist, werden keine skriptbasierten Elemente ausgeführt. Dazu gehören alle aktiven Skripte, makrobasierten Skripte oder PowerShell-basierten Skripte. In späteren Versionen werden diese in ihre eigenen Policies unterteilt. Gilt für: 1.2.1371 und frühere Builds von ESSE |
| Active Script | Warnung | Bei der Einstellung „Blockieren“ wird die Ausführung von JavaScript, VBscript, Batch, Python, Perl, PHP, Ruby und vielen anderen Skripten deaktiviert. Gilt für: 1.2.1391 und neuere Builds von ESSE |
| Makros | Warnung | Das Festlegen dieser Option auf „Warnung“ ermöglicht die Analyse von Makros in Dokumenten, um festzustellen, ob potenziell schädliche Befehle ausgeführt werden. Wenn eine Bedrohung wahrgenommen wird, verhindert die Einstellung „Blockieren“ die Ausführung des Makros. Makros, die beim Start ausgeführt werden, können verhindern, dass die Anwendung geladen wird. Gilt für: 1.2.1391 und neuere Builds von ESSE |
| PowerShell" gekennzeichnet. | Warnung | Wenn diese Option auf „Blockieren“ gesetzt ist, wird verhindert, dass PowerShell-basierte Skripte in der Umgebung ausgeführt werden. Gilt für: 1.2.1391 und neuere Builds von ESSE |
| PowerShell-Konsole | Zulassen | Wenn diese Option auf „Blockieren“ gesetzt ist, wird verhindert, dass die PowerShell-V3-Konsole und ISE gestartet werden. Gilt für: 1.2.1391 und neuere Builds von ESSE |
| Genehmigen von Skripten in Ordnern (und Unterordnern) aktivieren | Enabled | Dies ermöglicht es, Speicherorte in der Skriptkontrolle von der Analyse auszuschließen. |
| Skripte in Ordnern (und Unterordnern) genehmigen | -Leer- | In diesem Abschnitt werden die Ordner in der Skriptkontrolle aufgeführt, die nicht überwacht werden.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Global zulassen | -Leer- | Diese Policy nutzt den getrennten Modus für ESSE. So können KundInnen Ihre Umgebung vollständig vom Internet trennen. Diese Policy legt bestimmte Bedrohungspfade und Zertifikate fest, die innerhalb der Umgebung zulässig sein sollen. |
| Quarantäneliste | -Leer- | Diese Policy nutzt den getrennten Modus für ESSE. So können KundInnen Ihre Umgebung vollständig vom Internet trennen. Dies ist eine definierte Liste bekannter schlechter Hashes, die automatisch unter Quarantäne gestellt werden, wenn der Agent auf sie stößt. |
| Sichere Liste | -Leer- | Diese Policy nutzt den getrennten Modus für ESSE. So können KundInnen Ihre Umgebung vollständig vom Internet trennen. Diese Policy legt bestimmte Bedrohungs-Hashes fest, die innerhalb der Umgebung zulässig sein sollen. |
| Agent-Einstellungen | ||
| Pop-up-Benachrichtigungen unterdrücken | Enabled | Dadurch wird die Möglichkeit von ESSE aktiviert, ein Toaster-Dialogfeld anzuzeigen. |
| Minimum an Pop-up-Benachrichtigungen | High | Hiermit wird definiert, was an den Endnutzer benachrichtigt wird, wenn die Richtlinie "Pop-up-Benachrichtigungen unterdrücken" deaktiviert ist. High
Mittel
Niedrig
|
| BIOS-Sicherheit aktivieren | Enabled | Führt BIOS-Integritätsprüfungen auf unterstützten Dell Computern (2016 und spätere Computer der Enterprise-Klasse) durch. |
| Automatisches Hochladen von Protokolldateien aktivieren | Enabled | Auf diese Weise können Supportmitarbeiter ihre Protokolldateien für das ATP-Plug-in jeden Tag um Mitternacht oder auf 100 MB in die Cloud hochladen, je nachdem, was zuerst eintritt. |
| Policy-Wert | Empfohlener Wert | Policybeschreibung |
|---|---|---|
| Advanced Threat Prevention (Primärer Switch) |
Ein |
Dieser Policy-Wert bestimmt, ob die Clients Policies für Advanced Threat Prevention nutzen können. Er ermöglicht zudem Dateiaktionen und Ausführungskontrolle, die nicht deaktiviert werden können. Die Ausführungskontrolle umfasst die Hintergrunderkennung von Bedrohungen und die Dateiüberwachung. Dieses Modul in ATP analysiert und abstrahiert die Absichten einer Portable Executable (PE) basierend auf den beabsichtigten Aktionen und Verhaltensweisen. Alle Dateien, die von der Ausführungskontrolle sowie BTD und der Dateiüberwachung erkannt werden, werden basierend auf den Policies für die automatische Quarantäne verarbeitet. Diese Aktionen werden basierend auf dem absoluten Pfadspeicherort der Portable Executable durchgeführt. |
| Dateiaktionen: |
|
|
| Automatische Quarantäne unsicherer ausführbarer Dateien mit aktivierter Steuerung der ausführbaren Datei |
Enabled | Dadurch wird festgelegt, ob Dateien, die als schwerwiegende Bedrohung eingestuft werden, automatisch unter Quarantäne gestellt werden. |
| Automatisches Hochladen unsicherer ausführbarer Dateien aktiviert |
Enabled |
Legt fest, ob schwerwiegende Bedrohungen in die Cloud hochgeladen werden, um eine Zweite-Meinung-Prüfung dieser Bedrohungen durchzuführen. |
| Automatische Quarantäne abnormer ausführbarer Dateien mit aktivierter Steuerung der ausführbaren Datei |
Enabled |
Dadurch wird festgelegt, ob Dateien, die als potenzielle Bedrohung betrachtet werden, automatisch unter Quarantäne gestellt werden. |
| Automatisches Hochladen abnormer ausführbarer Dateien aktiviert |
Enabled |
Legt fest, ob potenzielle Bedrohungen in die Cloud hochgeladen werden, um eine Zweite-Meinung-Prüfung dieser Bedrohungen durchzuführen. |
| Ausführung von Dateien in Ausschlussordnern zulassen |
Enabled |
Dies gilt für die Policy „Bestimmte Ordner ausschließen“ innerhalb der Policy-Gruppe „Schutzeinstellungen“. Auf diese Weise können ausführbare Dateien in den ausgeschlossenen Ordnern auch dann ausgeführt werden, wenn sie automatisch unter Quarantäne gestellt werden. |
| Automatisches Löschen |
Enabled |
Dadurch wird der Timer an den Tagen bis zum Löschen der Richtlinie aktiviert. Dies gilt auch für unter Quarantäne gestellte Elemente. Sobald die Tage bis zum Löschen verstrichen sind, werden alle Bedrohungen in einem Quarantäneordner automatisch entfernt, wenn diese Policy aktiviert ist. |
| Tage bis zum Löschen |
14 |
Bestimmt die Anzahl der Tage pro Bedrohung, die ein Element im lokalen Quarantäneordner verbleibt. |
| Arbeitsspeicheraktionen |
||
| Arbeitsspeicherschutz aktiviert |
Enabled |
Dies ermöglicht die Memory Protection-Funktion. Das Modul von Memory Protection analysiert und interpretiert die Absichten von ausgeführten Anwendungen, indem es die Interaktionen zwischen Anwendungen und dem Betriebssystem im Arbeitsspeicher überwacht. |
| Aktivieren von Ausschließen ausführbarer Dateien |
Enabled |
Auf diese Weise können bestimmte ausführbare Dateien vom Arbeitsspeicherschutz ausgeschlossen werden. |
| Ausschließen von ausführbaren Dateien |
Variiert je nach Umgebung |
Alle hinzugefügten Ausschlüsse müssen mit dem relativen Pfad dieser ausführbaren Datei (Pfad ohne den Laufwerkbuchstaben) angegeben werden. Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Lücken: Stack Pivot |
Beenden |
Der Stapel für einen Thread wurde durch einen anderen Stapel ersetzt. Im Allgemeinen weist der Computer einem Thread nur einen einzigen Stapel zu. Ein Angreifer würde einen anderen Stapel verwenden, um die Ausführung so zu steuern, dass Data Execution Prevention (DEP) sie nicht blockiert. Gilt für: Windows, Mac |
| Lücken: Stack schützen |
Beenden |
Der Arbeitsspeicherschutz eines Thread-Stapels wurde geändert, um die Ausführungsberechtigung zu aktivieren. Stapelarbeitsspeicher sollte nicht ausführbar sein. Dies bedeutet in der Regel, dass ein Angreifer sich darauf vorbereitet, als Teil eines Exploits bösartigen Code auszuführen, der im Stapelarbeitsspeicher gespeichert ist, ein Versuch, den Data Execution Prevention (DEP) andernfalls nicht blockieren würde. Gilt für: Windows, Mac |
| Lücken: Code überschreiben |
Beenden |
Code, der sich im Arbeitsspeicher eines Prozesses befindet, wurde mithilfe einer Technik geändert, die auf einen Versuch hindeuten kann, Data Execution Prevention (DEP) zu umgehen. Gilt für: Windows |
| Lücken: Scannerspeichersuche |
Beenden |
Ein Prozess versucht, gültige Magnetstreifen-Track-Daten von einem anderen Prozess zu lesen. In der Regel betrifft dies Point-of-Sale-Computer (POS). Gilt für: Windows |
| Lücken: Böswillige Payload |
Beenden |
Es wurde eine generische Shellcode- und Payload-Erkennung erkannt, die mit einer Ausnutzung verknüpft ist. Gilt für: Windows |
| Prozessinjektion: Remote-Zuordnung des Arbeitsspeichers |
Beenden |
Ein Prozess hat in einem anderen Prozess Arbeitsspeicher zugewiesen. Die meisten Zuweisungen erfolgen nur innerhalb desselben Prozesses. Dies weist in der Regel auf einen Versuch hin, Code oder Daten in einen anderen Prozess zu injizieren. Dies kann ein erster Schritt zur Verstärkung einer bösartigen Präsenz auf einem Computer sein. Gilt für: Windows, Mac |
| Prozessinjektion: Remote-Zuordnung des Arbeitsspeichers |
Beenden |
Ein Prozess hat in einen anderen Prozess Code oder Daten eingefügt. Dies kann auf einen Versuch hindeuten, Code in einem anderen Prozess auszuführen und eine bösartige Präsenz zu verstärken. Gilt für: Windows, Mac |
| Prozessinjektion: Remote-Schreiben in Arbeitsspeicher |
Beenden |
Ein Prozess hat in einem anderen Prozess den Arbeitsspeicher geändert. Dies ist in der Regel ein Versuch, Code oder Daten im zuvor zugewiesenen Arbeitsspeicher zu speichern (siehe OutofProcessAllocation). Es ist jedoch auch möglich, dass ein Angreifer versucht, vorhandenen Arbeitsspeicher zu überschreiben, um die Ausführung für einen bösartigen Zweck umzuleiten. Gilt für: Windows, Mac |
| Prozessinjektion: Remote-Schreiben von PE in Arbeitsspeicher |
Beenden |
Ein Prozess hat in einem anderen Prozess den Arbeitsspeicher geändert, damit dieser ein ausführbares Image enthält. Im Allgemeinen weist dies darauf hin, dass ein Angreifer versucht, Code auszuführen, ohne diesen Code zuerst auf die Festplatte zu schreiben. Gilt für: Windows, Mac |
| Prozessinjektion: Remote-Überschreiben von Code |
Beenden |
Ein Prozess hat in einem anderen Prozess ausführbaren Arbeitsspeicher geändert. Unter normalen Bedingungen wird ausführbarer Arbeitsspeicher nicht geändert, insbesondere nicht durch einen anderen Prozess. Dies weist in der Regel auf einen Versuch hin, die Ausführung in einen anderen Prozess umzulenken. Gilt für: Windows, Mac |
| Prozessinjektion: Remote-Aufheben der Arbeitsspeicherzuordnung |
Beenden |
Ein Prozess hat eine ausführbare Windows-Datei aus dem Arbeitsspeicher eines anderen Prozesses entfernt. Dies kann auf die Absicht hindeuten, das ausführbare Image durch eine geänderte Kopie zu ersetzen, um die Ausführung umzuleiten. Gilt für: Windows, Mac |
| Prozessinjektion: Remote-Thread-Erstellung |
Beenden |
Ein Prozess hat in einem anderen Prozess einen Thread erstellt. Ein Angreifer verwendet dies, um eine bösartige Präsenz zu aktivieren, die in einen anderen Prozess injiziert wurde. Gilt für: Windows, Mac |
| Prozessinjektion: Remote-APC geplant |
Beenden |
Ein Prozess hat die Ausführung eines Threads eines anderen Prozesses umgeleitet. Ein Angreifer verwendet dies, um eine bösartige Präsenz zu aktivieren, die in einen anderen Prozess injiziert wurde. Gilt für: Windows |
| Prozessinjektion: DYLD-Injektion (nur Mac OS X) |
Beenden |
Es wurde eine Umgebungsvariable festgelegt, die dazu führt, dass eine freigegebene Bibliothek in einen gestarteten Prozess injiziert wird. Angreifer können die plist von Anwendungen wie Safari ändern oder Anwendungen durch Bash-Skripte ersetzen, die dazu führen, dass ihre Module automatisch geladen werden, wenn eine Anwendung gestartet wird. Gilt für: Mac |
| Eskalation: LSASS lesen |
Beenden |
Der Arbeitsspeicher, der zum Windows Local Security Authority-Prozess gehört, wurde auf eine Weise aufgerufen, die auf einen Versuch hindeutet, Nutzerkennwörter abzurufen. Gilt für: Windows |
| Eskalation: Nullzuweisung |
Beenden |
Es wurde eine Nullseite zugewiesen. Der Arbeitsspeicherbereich ist in der Regel reserviert, kann aber unter bestimmten Umständen zugewiesen werden. Angreifer können dies verwenden, um eine Berechtigungseskalation einzurichten, indem sie einige bekannte Exploits zur Null-Dereferenzierung nutzen, in der Regel im Kernel. Gilt für: Windows, Mac |
| Ausführungskontrolle |
||
| Herunterfahren des Dienstes vom Gerät verhindern |
Enabled |
Wenn diese Option aktiviert ist, wird verhindert, dass der ATP-Dienst beendet werden kann, auch wenn es sich um einen Computer handelt. Dies verhindert auch, dass die Anwendung deinstalliert wird. |
| Beenden unsicherer laufender Prozesse und Unterprozesse |
Enabled |
Die Aktivierung dieser Funktion ermöglicht die Erkennung und Beendigung von arbeitsspeicherbasierten Bedrohungen, die Unterprozesse erzeugen. |
| Hintergrunderkennung von Bedrohungen |
Einmal ausführen |
Dadurch wird bestimmt, ob auf dem Gerät ein Scan vorhandener Dateien ausgeführt wird. Dies kann auf "Deaktiviert", "Einmal ausführen" oder "Wiederkehrende Ausführung" eingestellt werden. Wenn „Auf neue Dateien überwachen“ aktiviert ist, wird empfohlen, die Hintergrunderkennung von Bedrohungen mit „Einmal ausführen“ zu konfigurieren. Sie dürfen vorhandene Dateien nur einmal überprüfen, wenn Sie auch auf neue und aktualisierte Dateien überwachen. |
| Auf neue Dateien überwachen |
Enabled |
Wenn diese Option aktiviert ist, werden alle Dateien erkannt und analysiert, die neu auf das Gerät geschrieben oder geändert wurden.
Hinweis: Es wird empfohlen, die Option "Nach neuen Dateien suchen" auf Geräten mit hohem Datenverkehr (z. B. Dateien oder Anwendungsservern) zu deaktivieren, da dies zu unerwarteten Anstiegen der Festplattenlatenz führen könnte, da jede Datei analysiert werden müsste, während sie auf die Festplatte geschrieben wird. Dies wird standardmäßig eingedämmt, da alle Portable Executables, die eine Ausführung versuchen, während der versuchten Ausführung analysiert werden. Dies kann weiter eingedämmt werden, indem die Hintergrunderkennung von Bedrohungen aktiviert und auf Wiederkehrende Ausführung gesetzt wird.
|
| Festlegen der maximalen zu scannenden Archivdateigröße |
150 |
Konfiguriert die maximale dekomprimierte Archivgröße, die analysiert werden kann. Die Größe wird in Megabyte angegeben. |
| Schutzeinstellungen | ||
| Aktivieren von Ausschließen bestimmter Ordner (einschließlich Unterordner) | Enabled | Dies ermöglicht die Definition von Ordnern in der Dateiüberwachung und Ausführungskontrolle basierend auf der Policy Ausführung von Dateien in Ausschlussordnern zulassen, die nicht überwacht werden. |
| Bestimmte Ordner ausschließen (einschließlich Unterordner) | Variiert je nach Umgebung | Dadurch wird eine Liste der Ordner in der Dateiüberwachung definiert, die nicht überwacht werden. Diese Policy "Ausführung von Dateien in Ausschlussordnern zulassen" verhindert die Quarantäne von Dateien, die aus diesen Verzeichnissen ausgeführt werden. Diese Policy verhindert das Scannen dieser Verzeichnisse durch „Auf neue Dateien überwachen“ oder „Hintergrunderkennung von Bedrohungen“. Alle hinzugefügten Ausschlüsse müssen mit dem relativen Pfad dieser ausführbaren Datei (Pfad mit Laufwerksbuchstaben) angegeben werden. Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Anwendungskontrolle | ||
| Anwendungskontrolle | Deaktiviert | Auf diese Weise können anwendungsbasierte Änderungen auf dem Gerät eingeschränkt werden. Es können keine neuen Anwendungen hinzugefügt, keine Anwendungen entfernt und keine Anwendungen geändert oder aktualisiert werden. |
| Zugelassene Ordner der Anwendungskontrolle | -Leer- | Dadurch wird eine Liste der Ordner in der Anwendungssteuerung definiert, die nicht überwacht werden. Alle hinzugefügten Ausschlüsse müssen mit dem relativen Pfad dieser ausführbaren Datei (Pfad mit Laufwerksbuchstaben) angegeben werden. Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Änderungsfenster aktivieren | Deaktiviert | Wenn diese Option aktiviert ist, wird die Anwendungskontrolle vorübergehend deaktiviert, sodass in der Umgebung Änderungen vorgenommen werden können. |
| Skriptkontrolle | ||
| Skriptkontrolle | Enabled | Aktiviert die Verwendung von Script Control Die Skriptkontrolle überwacht Anwendungen und Dienste, die Aktionen innerhalb des Betriebssystems ausführen können. Diese Anwendungen werden häufig als Interpreter bezeichnet. ATP überwacht diese Anwendungen und Dienste auf alle Skripte, die ausgeführt werden sollen, und benachrichtigt, basierend auf Policies, entweder über die durchgeführten Aktionen oder blockiert die Ausführung der Aktionen. Diese Entscheidungen werden basierend auf dem Skriptnamen und dem relativen Pfad getroffen, über den das Skript ausgeführt wurde. |
| Skriptsteuerungsmodus | Sperren | Wenn diese Option auf „Blockieren“ gesetzt ist, werden keine skriptbasierten Elemente ausgeführt. Dazu gehören alle aktiven Skripte, makrobasierten Skripte oder PowerShell-basierten Skripte. In späteren Versionen werden diese in ihre eigenen Policies unterteilt. Gilt für: 1.2.1371 und frühere Builds von ESSE |
| Active Script | Sperren | Bei der Einstellung „Blockieren“ wird die Ausführung von JavaScript, VBscript, Batch, Python, Perl, PHP, Ruby und vielen anderen Skripten deaktiviert. Gilt für: 1.2.1391 und neuere Builds von ESSE |
| Makros | Sperren | Das Festlegen dieser Option auf „Warnung“ ermöglicht die Analyse von Makros in Dokumenten, um festzustellen, ob potenziell schädliche Befehle ausgeführt werden. Wenn eine Bedrohung wahrgenommen wird, verhindert die Einstellung „Blockieren“ die Ausführung des Makros. Makros, die beim Start ausgeführt werden, können verhindern, dass die Anwendung geladen wird. Gilt für: 1.2.1391 und neuere Builds von ESSE |
| PowerShell" gekennzeichnet. | Sperren | Wenn diese Option auf „Blockieren“ gesetzt ist, wird verhindert, dass PowerShell-basierte Skripte in der Umgebung ausgeführt werden. Gilt für: 1.2.1391 und neuere Builds von ESSE |
| PowerShell-Konsole | Zulassen | Wenn diese Option auf „Blockieren“ gesetzt ist, wird verhindert, dass die PowerShell-V3-Konsole und ISE gestartet werden. Gilt für: 1.2.1391 und neuere Builds von ESSE |
| Genehmigen von Skripten in Ordnern (und Unterordnern) aktivieren | Enabled | Dies ermöglicht es, Standorte von der Skriptkontrolle von der Analyse auszuschließen. |
| Skripte in Ordnern (und Unterordnern) genehmigen | Variiert je nach Umgebung | In diesem Abschnitt werden die Ordner in der Skriptkontrolle aufgeführt, die nicht überwacht werden.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Global zulassen | Variiert je nach Umgebung | Diese Policy nutzt den getrennten Modus für ESSE. So können KundInnen Ihre Umgebung vollständig vom Internet trennen. Diese Policy legt bestimmte Bedrohungspfade und Zertifikate fest, die innerhalb der Umgebung zulässig sein sollen. |
| Quarantäneliste | Variiert je nach Umgebung | Diese Policy nutzt den getrennten Modus für ESSE. So können KundInnen Ihre Umgebung vollständig vom Internet trennen. Dies ist eine definierte Liste bekannter schlechter Hashes, die automatisch unter Quarantäne gestellt werden, wenn der Agent auf sie stößt. |
| Sichere Liste | Variiert je nach Umgebung | Diese Policy nutzt den getrennten Modus für ESSE. So können KundInnen Ihre Umgebung vollständig vom Internet trennen. Diese Policy legt bestimmte Bedrohungs-Hashes fest, die innerhalb der Umgebung zulässig sein sollen. |
| Agent-Einstellungen | ||
| Pop-up-Benachrichtigungen unterdrücken | Deaktiviert | Dadurch wird die Möglichkeit von ESSE aktiviert, ein Toaster-Dialogfeld anzuzeigen. |
| Minimum an Pop-up-Benachrichtigungen | High | Hier wird festgelegt, was dem Endnutzer gemeldet wird, wenn die Policy "Pop-up-Benachrichtigungen unterdrücken" deaktiviert ist. High
Mittel
Niedrig
|
| BIOS-Sicherheit aktivieren | Enabled | Führt BIOS-Integritätsprüfungen auf unterstützten Dell Computern (2016 und spätere Computer der Enterprise-Klasse) durch. |
| Automatisches Hochladen von Protokolldateien aktivieren | Enabled | Auf diese Weise können Supportmitarbeiter ihre Protokolldateien für das ATP-Plug-in jeden Tag um Mitternacht oder auf 100 MB in die Cloud hochladen, je nachdem, was zuerst eintritt. |
| Standard-UI aktivieren | Enabled | Dies ermöglicht eine zusätzliche Option zur Verwendung der Dell Data Security-Konsole auf einem Endpunkt. Auf diese Weise können lokale NutzerInnen sehen, welche Bedrohungen, Arbeitsspeicherereignisse oder Skripte auf dem lokalen Endpunkt erkannt wurden. Diese Option kann über das Kontextmenü auf dem Endpunkt oder über das Einstellungs-Zahnrad in der Dell Data Security Console unter der Option Advanced Threat Prevention aufgerufen werden. Sobald diese Option ausgewählt ist, sind zusätzliche Umschalter verfügbar, mit denen die Bedrohungen, Speicherereignisse oder Skripte, die auf diesem Computer erkannt wurden, ein- oder ausgeblendet werden können. Für diese Policy ist der Dell Encryption Management Agent, Version 8.18.0 oder höher, erforderlich. |
Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.
Dell Endpoint Security Suite Enterprise
04 Mar 2024
10
Solution