Article Number: 000126118
Неприменимо
По умолчанию рекомендуется сначала запустить Advanced Threat Prevention (ATP) в режиме обучения. Вся информация об угрозах собирается для обеспечения администраторам гибкости в управлении угрозами и потенциально нежелательными программами (PUP) в инфраструктуре, а также для получения списка критически важных приложений.
Дополнительные сведения об изменении политик в Dell Endpoint Security Suite Enterprise см. в разделе Как изменить политики на сервере Dell Data Protection Server.
Дополнительные сведения и правила создания исключений в Dell Endpoint Security Suite Enterprise см. в разделе Добавление исключений в Dell Endpoint Security Suite Enterprise.
| Значение политики | Рекомендуемое значение | Описание политики |
|---|---|---|
| Advanced Threat Prevention (основной коммутатор) |
On |
Это значение политики определяет, могут ли клиенты использовать политики Advanced Threat Prevention. Оно также включает File Actions и Execution Control, которые невозможно отключить. Execution Control включает в себя «Background Threat Detection» и «File Watcher». Этот модуль в рамках ATP анализирует и аннотирует намерения портативного исполняемого файла (PE) на основе его предполагаемых действий и поведения. Все файлы, обнаруженные Execution Control, а также BTD и File Watcher, обрабатываются на основе политик, коррелирующих с «Auto-Quarantine». Эти действия выполняются на основе абсолютного пути к портативному исполняемому файлу. |
| Действия с файлами. |
|
|
| Unsafe Executable Auto Quarantine With Executable Control Enabled |
Disabled | Этот параметр определяет, будут ли файлы, которые считаются серьезными угрозами, автоматически помещаться в карантин. |
| Unsafe Executable Auto Upload Enabled |
Enabled |
Определяет, загружены ли в облако серьезные угрозы для выполнения дополнительной проверки. |
| Abnormal Executable Auto Quarantine With Executable Control Enabled |
Disabled |
Этот параметр определяет, будут ли файлы, которые считаются потенциальной угрозой, автоматически помещаться в карантин. |
| Abnormal Executable Auto Upload Enabled |
Enabled |
Определяет, будут ли потенциальные угрозы загружаться в облако для выполнения дополнительной проверки. |
| Allow Execution of Files in Exclude Folders |
Enabled |
Это относится к политике «Exclude Specific Folders» в группе политик «Protection Settings». Позволяет запускать исполняемые файлы в исключенных папках, даже если они автоматически помещены в карантин. |
| Auto Delete |
Disabled |
Это включает таймер для политики «Days until Deleted». Это относится к помещенным в карантин элементам. По истечении таймера «Days until Deleted» все угрозы в папке карантина автоматически удаляются, если эта политика включена. |
| Days until Deleted |
14 |
Определяет количество дней для каждой угрозы, в течение которых элемент остается в локальной папке карантина. |
| Memory Actions |
||
| Memory Protection Enabled |
Enabled |
Модуль защиты памяти анализирует и интерпретирует намерения запуска приложений, отслеживая взаимодействие между приложениями и операционной системой в памяти. |
| Enable Exclude executable files |
Enabled |
Это позволяет исключить определенные исполняемые файлы из «Memory Protection». |
| Exclude executable files |
Пустой |
Все добавленные исключения должны быть указаны с использованием относительного пути к исполняемому файлу (исключая букву диска из пути). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Exploitation: Stack Pivot |
Alert |
Стек для потока был заменен другим стеком. Как правило, компьютер выделяет один стек для потока. Злоумышленник может использовать другой стек для управления исполнением таким образом, чтобы функция предотвращения выполнения данных (DEP) не могла блокировать его. Применяется к: Windows, Mac |
| Exploitation: Stack Protect |
Alert |
Защита памяти стека потока была изменена, чтобы включить разрешение на исполнение. Память стека не должна быть исполняемой, поэтому обычно это означает, что злоумышленник готовится запустить вредоносный код, хранящийся в памяти стека как часть уязвимости. В противном случае функция предотвращения выполнения данных (DEP) заблокировала бы эту попытку. Применяется к: Windows, Mac |
| Exploitation: Overwrite Code |
Alert |
Код, хранящийся в памяти процесса, был изменен с помощью метода, который может указывать на попытку обойти функцию предотвращения выполнения данных (DEP). Применяется к: Windows |
| Exploitation: Scanner Memory Search |
Alert |
Процесс пытается считать действительные данные магнитной полосы из другого процесса. Обычно связаны с POS-терминалами Применяется к: Windows |
| Exploitation: Malicious Payload |
Alert |
Процесс пытается считать действительные данные магнитной полосы из другого процесса. Обычно связаны с POS-терминалами Применяется к: Windows |
| Exploitation: Malicious Payload |
Alert |
Обнаружен общий код оболочки и полезная нагрузка, связанные с эксплойтом. Применяется к: Windows |
| Process Injection: Remote Allocation of Memory |
Alert |
Процесс выделил память в другом процессе. Большинство выделений происходит только в рамках одного процесса. Обычно это указывает на попытку ввести код или данные в другой процесс, что может стать первым шагом в укреплении вредоносного присутствия на компьютере. Применяется к: Windows, Mac |
| Process Injection: Remote Mapping of Memory |
Alert |
Процесс ввел код или данные в другой процесс. Это может указывать на попытку запуска кода в другом процессе и укрепления вредоносного присутствия. Применяется к: Windows, Mac |
| Process Injection: Remote Write to Memory |
Alert |
Процесс изменил память в другом процессе. Обычно это попытка сохранить код или данные в ранее выделенной памяти (см. OutofProcessAllocation), но злоумышленник может попытаться перезаписать существующую память для вредоносной переадресации исполнения. Применяется к: Windows, Mac |
| Process Injection: Remote Write PE to Memory |
Alert |
Процесс изменил память в другом процессе, чтобы она содержала исполняемый образ. Обычно это указывает на то, что злоумышленник пытается выполнить код, не записывая его на диск. Применяется к: Windows, Mac |
| Process Injection: Remote Overwrite Code |
Alert |
Процесс изменил исполняемую память в другом процессе. В нормальных условиях исполняемая память не изменяется, особенно другим процессом. Обычно это указывает на попытку переадресации исполнения в другой процесс. Применяется к: Windows, Mac |
| Process Injection: Remote Unmap of Memory |
Alert |
Процесс удалил исполняемый файл Windows из памяти другого процесса. Это может указывать на намерение заменить исполняемый образ на измененную копию для переадресации исполнения. Применяется к: Windows, Mac |
| Process Injection: Remote Thread Creation |
Alert |
Процесс создал поток в другом процессе. Злоумышленник выполняет это действие для активации вредоносного присутствия, которое было введено в другой процесс. Применяется к: Windows, Mac |
| Process Injection: Remote APC Scheduled |
Alert |
Процесс перенаправил исполнение потока другого процесса. Злоумышленник выполняет это действие для активации вредоносного присутствия, которое было введено в другой процесс. Применяется к: Windows |
| Process Injection: DYLD Injection (только для Mac OS X) |
Alert |
Была установлена переменная среды, которая приводит к тому, что в запущенный процесс вводится общая библиотека. Атаки могут изменить список свойств приложений, таких как Safari, или заменить приложения на сценарии bash, которые приводят к автоматической загрузке модулей при запуске приложения. Применяется к: Mac |
| Escalation: LSASS Read |
Alert |
Доступ к памяти, принадлежащей процессу Windows Local Security Authority, был осуществлен способом, указывающим на попытку получения паролей пользователей. Применяется к: Windows |
| Escalation: Zero Allocate |
Alert |
Выделена пустая страница. Область памяти обычно резервируется, но в определенных обстоятельствах она может быть выделена. Атаки могут использовать эту функцию для настройки эскалации прав доступа, используя некоторые известные неопределенные эксплойты, обычно в ядре. Применяется к: Windows, Mac |
| Execution Control |
||
| Prevent Service Shutdown from Device |
Disabled |
Если установлено значение «Enabled», невозможно остановить службу ATP. Это также предотвращает удаление приложения. |
| Kill Unsafe Running Process and Sub-Processes |
Disabled |
Включение этой функции позволяет обнаруживать и удалять любые угрозы на основе памяти, которые порождают подпроцессы. |
| Background Threat Detection |
Run Once |
Определяет, выполняется ли сканирование существующих файлов на устройстве. Для этого параметра можно установить значение Отключено, Запустить один раз или Запустить повторно. Если включена политика «Watch For New Files», рекомендуется настроить для «Background Threat Detection» значение «Run Once». Необходимо проверять существующие файлы только один раз, если вы также просматриваете новые и обновленные файлы. |
| Watch For New Files |
Enabled |
Установка значения «Enabled» позволяет обнаруживать и анализировать любые файлы, которые были недавно записаны на устройство или изменены.
Примечание.: Рекомендуется отключить отслеживание новых файлов на устройствах с интенсивным трафиком (таких как файлы или серверы приложений), так как это может привести к непредвиденному увеличению задержки диска, так как каждый файл придется анализировать при записи на диск. По умолчанию этот эффект снижается, так как все портативные исполняемые файлы, которые пытаются запуститься, анализируются. Его можно дополнительно снизить, включив и установив для политики Background Threat Detection значение Run Recurring.
|
| Set Maximum Archive File Size to Scan |
150 |
Настройка максимального размера распакованного архива, который можно проанализировать Размер в мегабайтах. |
| Protection Settings | ||
| Enable Exclude Specific Folders (включает подпапки) | Enabled | Это позволяет определять папки в File Watcher и Execution Control на основе политики, а также разрешать выполнение файлов в папках исключений , которые не отслеживаются. |
| Exclude Specific Folders (включает подпапки) | -Пустой- | Определяет список неотслеживаемых папок в File Watcher. Политика «Разрешить выполнение файлов в папках исключений» запрещает помещать в карантин любые файлы, запущенные из этих каталогов. Эта политика запрещает сканирование этих каталогов для «Watch for New Files» или «Background Threat Detection». Все добавленные исключения должны быть указаны с использованием абсолютного пути к исполняемому файлу (включая букву диска из пути). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Application Control | ||
| Application Control | Disabled | Это позволяет ограничить изменения приложений на устройстве, при этом нельзя добавлять новые приложения, нельзя удалять приложения, а также изменять или обновлять приложения. |
| Application Control Allowed Folders | -Пустой- | Определяет список неотслеживаемых папок в Application Control. Все добавленные исключения должны быть указаны с использованием абсолютного пути к исполняемому файлу (включая букву диска из пути). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Enable Change Window | Disabled | Если установлено значение «Enabled», временно отключает Application Control, позволяя вносить изменения в инфраструктуру. |
| Script Control | ||
| Script Control | Enabled | Включает использование «Script Control» «Script Control» отслеживает приложения и службы, которые могут выполнять действия в операционной системе. Эти приложения обычно называются интерпретаторами. ATP отслеживает эти приложения и службы на наличие сценариев, которые пытаются выполниться, и на основе политик уведомляет о предпринятых действиях или блокирует их выполнение. Эти решения принимаются на основе имени сценария и относительного пути выполнения сценария. |
| Script Control Mode | Alert | Если задано значение «Block», элементы на основе сценариев не выполняются. Это относится к любому активному сценарию, сценарию на основе макросов или сценарию на основе PowerShell. В более поздних версиях они разделены на собственные политики. Применяется к: 1.2.1371 и более ранние сборки ESSE |
| Active Script | Alert | Если задано значение «Block», отключает возможность запуска JavaScript, VBScript, batch, Python, Perl, PHP, Ruby и многих других сценариев. Применяется к: 1.2.1391 и более поздние сборки ESSE. |
| Macros | Alert | Если установлено значение «Alert», позволяет анализировать макросы в документах, чтобы определить, выполняются ли в них потенциально вредоносные команды. Если обнаружена угроза, настройка «Block» запрещает запуск макроса. Макросы, запускаемые при запуске системы, могут препятствовать загрузке приложения. Применяется к: 1.2.1391 и более поздние сборки ESSE. |
| PowerShell | Alert | Если задано значение «Block», предотвращает выполнение сценариев на основе PowerShell в инфраструктуре. Применяется к: 1.2.1391 и более поздние сборки ESSE. |
| Powershell Console | Allow | Если задано значение «Block», консоль PowerShell v3 и ISE не будут запускаться. Применяется к: 1.2.1391 и более поздние сборки ESSE. |
| Enable Approve Scripts in Folders (and Subfolders) | Enabled | Это позволяет исключить из анализа местоположения в «Script Control». |
| Approve Scripts in Folders (and Subfolders) | -Пустой- | Здесь указываются неотслеживаемые папки в «Script Control».
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Global Allow | -Пустой- | Эта политика использует отключенный режим для ESSE. Это позволяет заказчикам полностью отделить инфраструктуру от Интернета. Эта политика определяет конкретные пути угроз и сертификаты, которые должны быть разрешены в инфраструктуре. |
| Quarantine List | -Пустой- | Эта политика использует отключенный режим для ESSE. Это позволяет заказчикам полностью отделить инфраструктуру от Интернета. Это определенный список известных поврежденных хэшей, которые автоматически помещаются в карантин при обнаружении агентом. |
| Safe List | -Пустой- | Эта политика использует отключенный режим для ESSE. Это позволяет заказчикам полностью отделить инфраструктуру от Интернета. Эта политика определяет конкретные хэши угроз, которые должны быть разрешены в инфраструктуре. |
| Agent Settings | ||
| Suppress Popup Notifications | Enabled | Включение или отключение возможности отображения всплывающего диалогового окна для ESSE. |
| Minimum Popup Notification Level | Высокий | Определяет, что будет сообщено конечному пользователю, если политика «Suppress Popup Notifications» отключена. Высокий
Medium
Low
|
| Enable BIOS Assurance | Enabled | Выполняет проверку целостности BIOS на поддерживаемых компьютерах Dell (компьютеры корпоративного класса 2016 года и более новые). |
| Enable Auto-upload of Log Files | Enabled | Это позволяет агентам автоматически загружать файлы журнала для подключаемого модуля ATP в облако каждый день в полночь или по достижении 100 Мбайт, в зависимости от того, что наступит раньше. |
| Значение политики | Рекомендуемое значение | Описание политики |
|---|---|---|
| Advanced Threat Prevention (основной коммутатор) |
On |
Это значение политики определяет, могут ли клиенты использовать политики Advanced Threat Prevention. Оно также включает File Actions и Execution Control, которые невозможно отключить. Execution Control включает в себя «Background Threat Detection» и «File Watcher». Этот модуль в рамках ATP анализирует и аннотирует намерения портативного исполняемого файла (PE) на основе его предполагаемых действий и поведения. Все файлы, обнаруженные Execution Control, BTD и File Watcher, обрабатываются на основе политик, коррелирующих с «Auto-Quarantine». Эти действия выполняются на основе абсолютного пути к портативному исполняемому файлу. |
| Действия с файлами. |
|
|
| Unsafe Executable Auto Quarantine With Executable Control Enabled |
Enabled | Этот параметр определяет, будут ли файлы, которые считаются серьезными угрозами, автоматически помещаться в карантин. |
| Unsafe Executable Auto Upload Enabled |
Enabled |
Определяет, загружены ли в облако серьезные угрозы для выполнения дополнительной проверки. |
| Abnormal Executable Auto Quarantine With Executable Control Enabled |
Enabled |
Этот параметр определяет, будут ли файлы, которые считаются потенциальной угрозой, автоматически помещаться в карантин. |
| Abnormal Executable Auto Upload Enabled |
Enabled |
Определяет, будут ли потенциальные угрозы загружаться в облако для выполнения дополнительной проверки. |
| Allow Execution of Files in Exclude Folders |
Enabled |
Это относится к политике «Exclude Specific Folders» в группе политик «Protection Settings». Позволяет запускать исполняемые файлы в исключенных папках, даже если они автоматически помещены в карантин. |
| Auto Delete |
Enabled |
Это включает таймер дней до удаления политики, это также относится к помещенным в карантин элементам. По истечении таймера времени до удаления все угрозы в папке карантина автоматически удаляются, если эта политика включена. |
| Days until Deleted |
14 |
Определяет количество дней для каждой угрозы, в течение которых элемент остается в локальной папке карантина. |
| Memory Actions |
||
| Memory Protection Enabled |
Enabled |
Это обеспечивает функциональность защиты памяти, модуль защиты памяти анализирует и интерпретирует намерения запуска приложений, отслеживая взаимодействие между приложениями и операционной системой в памяти. |
| Enable Exclude executable files |
Enabled |
Это позволяет исключить определенные исполняемые файлы из «Memory Protection». |
| Exclude executable files |
Зависит от среды. |
Все добавленные исключения должны быть указаны с использованием относительного пути к исполняемому файлу (исключая букву диска из пути). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Exploitation: Stack Pivot |
Terminate |
Стек для потока был заменен другим стеком. Как правило, компьютер выделяет только один стек для потока. Злоумышленник может использовать другой стек для управления исполнением таким образом, чтобы функция предотвращения выполнения данных (DEP) не блокировала его. Применяется к: Windows, Mac |
| Exploitation: Stack Protect |
Terminate |
Защита памяти стека потока была изменена, чтобы включить разрешение на исполнение. Память стека не должна быть исполняемой, поэтому обычно это означает, что злоумышленник готовится запустить вредоносный код, хранящийся в памяти стека как часть уязвимости. В противном случае функция предотвращения выполнения данных (DEP) не заблокировала бы эту попытку. Применяется к: Windows, Mac |
| Exploitation: Overwrite Code |
Terminate |
Код, хранящийся в памяти процесса, был изменен с помощью метода, который может указывать на попытку обойти функцию предотвращения выполнения данных (DEP). Применяется к: Windows |
| Exploitation: Scanner Memory Search |
Terminate |
Процесс пытается прочитать действительные данные магнитной полосы из другого процесса, обычно связанные с POS-терминалами. Применяется к: Windows |
| Exploitation: Malicious Payload |
Terminate |
Обнаружен общий код оболочки и полезная нагрузка, связанные с эксплойтом. Применяется к: Windows |
| Process Injection: Remote Allocation of Memory |
Terminate |
Процесс выделил память в другом процессе. Большинство выделений происходит только в рамках одного процесса. Обычно это указывает на попытку ввести код или данные в другой процесс, что может стать первым шагом в укреплении вредоносного присутствия на компьютере. Применяется к: Windows, Mac |
| Process Injection: Remote Mapping of Memory |
Terminate |
Процесс ввел код или данные в другой процесс. Это может указывать на попытку запуска кода в другом процессе и укрепления вредоносного присутствия. Применяется к: Windows, Mac |
| Process Injection: Remote Write to Memory |
Terminate |
Процесс изменил память в другом процессе. Обычно это попытка сохранить код или данные в ранее выделенной памяти (см. OutOfProcessAllocation), но злоумышленник может попытаться перезаписать существующую память для вредоносной переадресации исполнения. Применяется к: Windows, Mac |
| Process Injection: Remote Write PE to Memory |
Terminate |
Процесс изменил память в другом процессе, чтобы она содержала исполняемый образ. Обычно это указывает на то, что злоумышленник пытается выполнить код, не записывая его на диск. Применяется к: Windows, Mac |
| Process Injection: Remote Overwrite Code |
Terminate |
Процесс изменил исполняемую память в другом процессе. В нормальных условиях исполняемая память не изменяется, особенно другим процессом. Обычно это указывает на попытку переадресации исполнения в другой процесс. Применяется к: Windows, Mac |
| Process Injection: Remote Unmap of Memory |
Terminate |
Процесс удалил исполняемый файл Windows из памяти другого процесса. Это может указывать на намерение заменить исполняемый образ на измененную копию для переадресации исполнения. Применяется к: Windows, Mac |
| Process Injection: Remote Thread Creation |
Terminate |
Процесс создал поток в другом процессе. Злоумышленник выполняет это действие для активации вредоносного присутствия, которое было введено в другой процесс. Применяется к: Windows, Mac |
| Process Injection: Remote APC Scheduled |
Terminate |
Процесс перенаправил исполнение потока другого процесса. Злоумышленник выполняет это действие для активации вредоносного присутствия, которое было введено в другой процесс. Применяется к: Windows |
| Process Injection: DYLD Injection (только для Mac OS X) |
Terminate |
Была установлена переменная среды, которая приводит к тому, что в запущенный процесс вводится общая библиотека. Атаки могут изменить список свойств приложений, таких как Safari, или заменить приложения на сценарии bash, которые приводят к автоматической загрузке модулей при запуске приложения. Применяется к: Mac |
| Escalation: LSASS Read |
Terminate |
Доступ к памяти, принадлежащей процессу Windows Local Security Authority, был осуществлен способом, указывающим на попытку получения паролей пользователей. Применяется к: Windows |
| Escalation: Zero Allocate |
Terminate |
Выделена пустая страница. Область памяти обычно резервируется, но в определенных обстоятельствах она может быть выделена. Атаки могут использовать эту функцию для настройки эскалации прав доступа, используя некоторые известные неопределенные эксплойты, обычно в ядре. Применяется к: Windows, Mac |
| Execution Control |
||
| Prevent Service Shutdown from Device |
Enabled |
Если установлено значение «Enabled», невозможно остановить службу ATP, даже как компьютер. Это также предотвращает удаление приложения. |
| Kill Unsafe Running Process and Sub-Processes |
Enabled |
Включение этой функции позволяет обнаруживать и удалять любые угрозы на основе памяти, которые порождают подпроцессы. |
| Background Threat Detection |
Run Once |
Определяет, выполняется ли сканирование существующих файлов на устройстве. Для этого параметра можно установить значение Отключено, Запустить один раз или Запустить повторно. Если включена политика «Watch For New Files», рекомендуется настроить для «Background Threat Detection» значение «Run Once». Необходимо проверять существующие файлы только один раз, если вы также просматриваете новые и обновленные файлы. |
| Watch For New Files |
Enabled |
Установка значения «Enabled» позволяет обнаруживать и анализировать любые файлы, которые были недавно записаны на устройство или изменены.
Примечание.: Рекомендуется отключить отслеживание новых файлов на устройствах с интенсивным трафиком (таких как файлы или серверы приложений), так как это может привести к непредвиденному увеличению задержки диска, так как каждый файл придется анализировать при записи на диск. По умолчанию этот эффект снижается, так как все портативные исполняемые файлы, которые пытаются запуститься, анализируются. Его можно дополнительно снизить, включив и установив для политики Background Threat Detection значение Run Recurring.
|
| Set Maximum Archive File Size to Scan |
150 |
Настройка максимального размера распакованного архива, который можно проанализировать Размер в мегабайтах. |
| Protection Settings | ||
| Enable Exclude Specific Folders (включает подпапки) | Enabled | Это позволяет определять папки в File Watcher и Execution Control на основе политики «Разрешить выполнение файлов в папках исключений, которые не отслеживаются». |
| Exclude Specific Folders (включает подпапки) | Зависит от среды. | Это определяет список неотслеживаемых папок в File Watcher. Эта политика «Разрешить выполнение файлов в папках исключений» предотвращает помещение в карантин любых файлов, запущенных из этих каталогов. Эта политика запрещает сканирование этих каталогов для «Watch for New Files» или «Background Threat Detection». Все добавленные исключения должны быть указаны с использованием абсолютного пути к исполняемому файлу (включая букву диска из пути). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Application Control | ||
| Application Control | Disabled | Это позволяет ограничить изменения приложений на устройстве. Нельзя добавлять новые приложения, нельзя удалять приложения, нельзя изменять или обновлять приложения. |
| Application Control Allowed Folders | -Пустой- | Определяет список неотслеживаемых папок в Application Control. Все добавленные исключения должны быть указаны с использованием абсолютного пути к исполняемому файлу (включая букву диска из пути). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Enable Change Window | Disabled | Если установлено значение «Enabled», временно отключает Application Control, позволяя вносить изменения в инфраструктуру. |
| Script Control | ||
| Script Control | Enabled | Включает использование «Script Control» «Script Control» отслеживает приложения и службы, которые могут выполнять действия в операционной системе. Эти приложения обычно называются интерпретаторами. ATP отслеживает эти приложения и службы на наличие сценариев, которые пытаются выполниться, и на основе политик уведомляет о предпринятых действиях или блокирует их выполнение. Эти решения принимаются на основе имени сценария и относительного пути выполнения сценария. |
| Script Control Mode | Заблокировать | Если задано значение «Block», элементы на основе сценариев не выполняются. Это относится к любому активному сценарию, сценарию на основе макросов или сценарию на основе PowerShell. В более поздних версиях они разделены на собственные политики. Применяется к: 1.2.1371 и более ранние сборки ESSE |
| Active Script | Заблокировать | Если задано значение «Block», отключает возможность запуска JavaScript, VBScript, batch, Python, Perl, PHP, Ruby и многих других сценариев. Применяется к: 1.2.1391 и более поздние сборки ESSE. |
| Macros | Заблокировать | Если установлено значение «Alert», позволяет анализировать макросы в документах, чтобы определить, выполняются ли в них потенциально вредоносные команды. Если обнаружена угроза, настройка «Block» запрещает запуск макроса. Макросы, запускаемые при запуске системы, могут препятствовать загрузке приложения. Применяется к: 1.2.1391 и более поздние сборки ESSE. |
| PowerShell | Заблокировать | Если задано значение «Block», предотвращает выполнение сценариев на основе PowerShell в инфраструктуре. Применяется к: 1.2.1391 и более поздние сборки ESSE. |
| Powershell Console | Allow | Если задано значение «Block», консоль PowerShell v3 и ISE не будут запускаться. Применяется к: 1.2.1391 и более поздние сборки ESSE. |
| Enable Approve Scripts in Folders (and Subfolders) | Enabled | Это позволяет исключить из анализа местоположения из управления сценариями. |
| Approve Scripts in Folders (and Subfolders) | Зависит от среды. | Здесь указываются неотслеживаемые папки в «Script Control».
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Global Allow | Зависит от среды. | Эта политика использует отключенный режим для ESSE. Это позволяет заказчикам полностью отделить инфраструктуру от Интернета. Эта политика определяет конкретные пути угроз и сертификаты, которые должны быть разрешены в инфраструктуре. |
| Quarantine List | Зависит от среды. | Эта политика использует отключенный режим для ESSE. Это позволяет заказчикам полностью отделить инфраструктуру от Интернета. Это определенный список известных поврежденных хэшей, которые автоматически помещаются в карантин при обнаружении агентом. |
| Safe List | Зависит от среды. | Эта политика использует отключенный режим для ESSE. Это позволяет заказчикам полностью отделить инфраструктуру от Интернета. Эта политика определяет конкретные хэши угроз, которые должны быть разрешены в инфраструктуре. |
| Agent Settings | ||
| Suppress Popup Notifications | Disabled | Включение или отключение возможности отображения всплывающего диалогового окна для ESSE. |
| Minimum Popup Notification Level | Высокий | Определяет, что будет сообщено конечному пользователю, если политика «Suppress Popup Notifications» отключена. Высокий
Medium
Low
|
| Enable BIOS Assurance | Enabled | Выполняет проверку целостности BIOS на поддерживаемых компьютерах Dell (компьютеры корпоративного класса 2016 года и более новые). |
| Enable Auto-upload of Log Files | Enabled | Это позволяет агентам автоматически загружать файлы журнала для подключаемого модуля ATP в облако каждый день в полночь или по достижении 100 Мбайт, в зависимости от того, что наступит раньше. |
| Enable Standard UI | Enabled | Это включает дополнительный параметр с помощью консоли Dell Data Security Console на конечной точке. Это позволяет локальным пользователям видеть, какие угрозы, события памяти или сценарии были обнаружены на локальной конечной точке. Этот параметр доступен в контекстном меню конечной точки или с помощью шестеренки Settings в консоли Dell Data Security Console в разделе Advanced Threat Prevention. После выбора этого параметра становятся доступными дополнительные переключатели, которые показывают или скрывают угрозы, события памяти или сценарии, обнаруженные на этом компьютере. Для этой политики требуется Dell Encryption Management Agent версии 8.18.0 или более поздней. |
Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.
Dell Endpoint Security Suite Enterprise
04 Mar 2024
10
Solution