Article Number: 000126118
不适用
默认情况下,建议最初在学习模式下运行 Advanced Threat Prevention (ATP)。收集所有威胁信息,以便管理员能够灵活地管理环境中的威胁和可能不需要的程序 (PUP),并允许列出任务关键型应用程序。
有关修改 Dell Endpoint Security Suite Enterprise 中的策略的更多信息,请参阅 如何在 Dell Data Protection 服务器上修改策略。
有关在 Dell Endpoint Security Suite Enterprise 中创建排除的更多信息和规则,请参阅 如何在 Dell Endpoint Security Suite Enterprise 中添加排除。
| 策略值 | 建议的值 | 策略描述 |
|---|---|---|
| Advanced Threat Prevention(主切换) |
亮 |
此策略值确定客户端是否可以使用 Advanced Threat Prevention 的策略。 这还支持无法禁用的文件操作和执行控制。 执行控制包括后台威胁检测和文件监视程序。ATP 中的本模块根据可移植可执行 (PE) 文件的预期操作和行为,分析和摘要化其意图。执行控制以及 BTD 和文件监视程序检测到的所有文件将根据与自动隔离关联的策略接受处理。这些操作基于可移植可执行文件的绝对路径位置执行。 |
| 文件操作: |
|
|
| 启用具有可执行文件控制的不安全可执行文件自动隔离 |
Disabled | 这决定了是否自动隔离被视为严重威胁的文件。 |
| 启用不安全的可执行文件自动上传 |
Enabled |
设置是否将严重威胁上传到云,以对这些威胁执行第二意见检查。 |
| 启用具有可执行文件控制的异常可执行文件自动隔离 |
Disabled |
这将确定是否自动隔离被视为潜在威胁的文件。 |
| 启用异常可执行文件自动上传 |
Enabled |
设置是否将潜在威胁上传到云,以对这些威胁执行第二意见检查。 |
| 允许执行排除文件夹中的文件 |
Enabled |
这适用于 Protection Settings 策略组中的策略排除特定文件夹。这允许 Excluded 文件夹中的可执行文件运行,即使它们被自动隔离也是如此。 |
| 自动删除 |
Disabled |
这将启用“删除之前的天数”策略上的计时器。这适用于隔离的项目,一旦“删除前的天数”过去,如果启用此策略,隔离文件夹中的任何威胁都会被自动删除。 |
| 删除之前的天数 |
14 |
这决定了项目在本地隔离文件夹中保留每个威胁的天数。 |
| 内存操作 |
||
| 启用内存保护 |
Enabled |
这支持内存保护功能内存保护模块通过监视内存中应用程序与操作系统之间的交互来分析和解释运行应用程序的意图。 |
| 启用“排除可执行文件” |
Enabled |
这允许从内存保护中排除特定的可执行文件。 |
| 排除可执行文件 |
空白 |
必须使用该可执行文件的相应路径指定添加的所有排除条件(不包括路径中的驱动器号字母)。 Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| 利用:栈转移 |
警报 |
线程的堆栈已替换为不同的堆栈。通常,计算机为线程分配单个堆栈。攻击者将使用不同的堆栈,以数据执行预防 (DEP) 无法阻止的方式控制执行。 适用对象:Windows、Mac |
| 利用:栈保护 |
警报 |
已修改线程堆栈的内存保护,以启用执行权限。堆栈内存不应是可执行的,因此通常这意味着攻击者在利用时准备运行存储在堆栈内存中的恶意代码,否则数据执行预防 (DEP) 会阻止这种尝试。 适用对象:Windows、Mac |
| 利用:覆盖代码 |
警报 |
进程内存中驻留的代码已使用可能指示尝试绕过数据执行预防 (DEP) 的技术进行修改。 适用对象:Windows |
| 利用:扫描程序内存搜索 |
警报 |
进程尝试从另一个进程读取有效的磁条磁道数据。通常与销售点计算机 (POS) 相关 适用对象:Windows |
| 利用:恶意有效负载 |
警报 |
进程尝试从另一个进程读取有效的磁条磁道数据。通常与销售点计算机 (POS) 相关 适用对象:Windows |
| 利用:恶意有效负载 |
警报 |
检测到与利用相关的通用 shellcode 和有效负载检测。 适用对象:Windows |
| 进程注入:远程分配内存 |
警报 |
进程在另一个进程中分配了内存。大多数分配仅在同一过程中进行。这通常表示尝试将代码或数据注入另一个进程,这可能是加强计算机上恶意存在的第一步。 适用对象:Windows、Mac |
| 进程注入:远程映射内存 |
警报 |
一个进程将代码或数据引入到另一个进程中。这可能表示尝试在另一个进程中开始运行代码并加强恶意存在。 适用对象:Windows、Mac |
| 进程注入:远程写入内存 |
警报 |
进程在另一个进程中修改了内存。这通常是尝试将代码或数据存储在以前分配的内存中(请参阅 OutofProcessAllocation),但攻击者可能试图覆盖现有内存,以便出于恶意目的而转移执行。 适用对象:Windows、Mac |
| 进程注入:将 PE 远程写入内存 |
警报 |
进程在另一个进程中修改了内存以包含可执行映像。通常,这表示攻击者尝试运行代码而不先将该代码写入磁盘。 适用对象:Windows、Mac |
| 进程注入:远程覆盖代码 |
警报 |
进程在另一个进程中修改了可执行内存。在正常情况下,可执行内存不会修改,尤其是被其他进程修改。这通常表示尝试在另一个过程中转移执行。 适用对象:Windows、Mac |
| 进程注入:远程取消内存映射 |
警报 |
进程已从另一个进程的内存中删除 Windows 可执行文件。这可能表示意图将可执行映像替换为修改后的拷贝,以转移执行。 适用对象:Windows、Mac |
| 进程注入:远程创建线程 |
警报 |
进程在另一个进程中创建了一个线程。攻击者使用它来激活已注入到另一个进程的恶意存在。 适用对象:Windows、Mac |
| 进程注入:远程计划 APC |
警报 |
进程转移了另一个进程线程的执行。攻击者使用它来激活已注入到另一个进程的恶意存在。 适用对象:Windows |
| 进程注入:DYLD 注入(仅限 Mac OS X) |
警报 |
环境变量已设置,导致共享库注入启动的进程。攻击可以修改 Safari 等应用程序的 plist,或者将应用程序替换为 bash 脚本,导致在应用程序启动时自动加载其模块。 适用对象:Mac |
| 上报:LSASS 读取 |
警报 |
已以指示尝试获取用户密码的方式访问属于 Windows 本地安全机构进程的内存。 适用对象:Windows |
| 上报:零分配 |
警报 |
已分配空页面。内存区域通常保留,但在某些情况下可以分配。攻击可以通过利用一些已知的空废弃漏洞(通常在内核中)来设置权限升级。 适用对象:Windows、Mac |
| 执行控制 |
||
| 防止从设备关闭服务 |
Disabled |
启用时,会阻止停止 ATP 服务。这也可防止卸载应用程序。 |
| 终止正在运行的不安全进程和子进程 |
Disabled |
启用此功能可检测和终止生成子进程的任何基于内存的威胁。 |
| 后台威胁检测 |
运行一次 |
这可确定是否在设备上运行现有文件扫描。这可以设置为 Disabled、Run Once 或 Run Recurring。 如果启用了 Watch For New Files,建议将 Background Threat Detection 配置为 Run Once。仅当您还在监视新文件和更新的文件时,必须检查现有文件一次。 |
| 监视新文件 |
Enabled |
将此设置为 Enabled 可检测和分析新写入设备或已更改的任何文件。
提醒:建议在高流量设备(例如文件或应用程序服务器)上禁用“监视新文件”,因为这可能会导致磁盘延迟意外增加,因为每个文件在写入磁盘时都必须进行分析。默认情况下,这会得到缓解,因为在尝试运行时会分析尝试运行的任何可移植的可执行文件。通过启用 Background Threat Detection 并将其设置为 Run Recurring,可以进一步缓解这种情况。
|
| 将最大归档文件大小设置为扫描 |
150 |
配置可分析的最大解压缩归档大小(大小以 MB 为单位)。 |
| 保护设置 | ||
| 启用“排除特定文件夹(包括子文件夹)” | Enabled | 这样就能够根据策略在 文件监视程序 和 执行控制 中定义文件夹,并允许在未监视的排除文件夹中执行文件 。 |
| 排除特定文件夹(包括子文件夹) | -空白- | 定义文件监视程序中未受监视的文件夹列表,“允许执行排除文件夹中的文件”策略会阻止隔离从这些目录运行的任何文件。此策略可防止通过“监视新文件”或“后台威胁检测”来扫描这些目录。 必须使用该可执行文件的绝对路径指定添加的所有排除条件(包括路径中的驱动器盘符)。 Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| 应用程序控制 | ||
| 应用程序控制 | Disabled | 这样就能够限制设备上基于应用程序的更改,不能添加新应用程序,不能删除任何应用程序,也不能修改或更新任何应用程序。 |
| 应用程序控制允许的文件夹 | -空白- | 这定义了应用程序控制中未受监视的文件夹的列表。 必须使用该可执行文件的绝对路径指定添加的所有排除条件(包括路径中的驱动器盘符)。 Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| 启用更改窗口 | Disabled | 启用时,这将暂时禁用 Application Control,从而允许在环境中进行修改。 |
| 脚本控制 | ||
| 脚本控制 | Enabled | 允许使用 Script Control Script Control 监视可在操作系统内运行操作的应用程序和服务。这些应用程序通常称为解释器。ATP 监视尝试运行的任何脚本的这些应用程序和服务,并根据策略通知其已采取行动或阻止执行操作。这些决策根据脚本名称和运行脚本的相对路径做出。 |
| 脚本控制模式 | 警报 | 当设置为 Block 时,不会运行任何基于脚本的项目。这包括任何活动脚本、基于宏的脚本或基于 PowerShell 的脚本。在更高版本中,这些归入各自的策略。 适用对象:1.2.1371 和更早的 ESSE 内部版本 |
| 活动脚本 | 警报 | 当设置为 Block 时,这将禁止运行 JavaScript、VBscript、batch、Python、Perl、PHP、Ruby 和许多其他脚本。 适用对象:1.2.1391 和更高的 ESSE 内部版本。 |
| 宏 | 警报 | 将此设置为 Alert 可对文档中的宏进行分析,以确定它们是否正在运行潜在的恶意命令。如果察觉到威胁,则 Block 设置会阻止宏运行。启动时运行的宏可能会阻止应用程序加载。 适用对象:1.2.1391 和更高的 ESSE 内部版本。 |
| Powershell | 警报 | 当设置为 Block 时,这将阻止环境中运行任何基于 PowerShell 的脚本。 适用对象:1.2.1391 和更高的 ESSE 内部版本。 |
| Powershell 控制台 | 允许 | 当设置为 Block 时,这会阻止 PowerShell V3 控制台和 ISE 启动。 适用对象:1.2.1391 和更高的 ESSE 内部版本。 |
| 启用 Approve Scripts in Folders (and Subfolders) | Enabled | 这样就能够排除 Script Control 中的位置,而不进行分析。 |
| Approve Scripts in Folders (and Subfolders) | -空白- | 本节详细介绍了“Script Control”中未受监视的文件夹。
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| 全局允许 | -空白- | 此策略通过 ESSE 的断开连接模式进行利用。这使客户能够拥有与互联网完全分离的环境。 此策略确定应允许在环境中使用的特定威胁路径和证书。 |
| 隔离列表 | -空白- | 此策略通过 ESSE 的断开连接模式进行利用。这使客户能够拥有与互联网完全分离的环境。 这是代理遇到时自动隔离的已知坏哈希的定义列表。 |
| 安全列表 | -空白- | 此策略通过 ESSE 的断开连接模式进行利用。这使客户能够拥有与互联网完全分离的环境。 此策略确定应在环境中允许的特定威胁哈希。 |
| 代理程序设置 | ||
| 禁止弹出通知 | Enabled | 这将启用或禁用 ESSE 显示 toaster 对话框的功能。 |
| 最小弹出通知级别 | 高 | 这定义了在禁用“禁止弹出通知”策略时通知终端用户的内容。 高
中
低
|
| 启用 BIOS 保证 | Enabled | 对受支持的戴尔计算机(2016 和更高版本的企业级计算机)执行 BIOS 完整性检查 |
| 启用日志文件自动上传 | Enabled | 这使代理能够在每天午夜或以 100 MB(以先发生者为准)自动将其 ATP 插件日志文件上传到云。 |
| 策略值 | 建议的值 | 策略描述 |
|---|---|---|
| Advanced Threat Prevention(主切换) |
亮 |
此策略值确定客户端是否可以使用 Advanced Threat Prevention 的策略。 这还启用了无法禁用的 File Actions 和 Execution Control。 Execution control 包括 Background Threat Detection 和 File Watcher。ATP 中的本模块根据可移植可执行 (PE) 文件的预期操作和行为,分析和摘要化其意图。执行控制以及 BTD 和文件监视程序检测到的所有文件都将根据与自动隔离关联的策略进行处理。这些操作基于可移植可执行文件的绝对路径位置执行。 |
| 文件操作: |
|
|
| 启用具有可执行文件控制的不安全可执行文件自动隔离 |
Enabled | 这决定了是否自动隔离被视为严重威胁的文件。 |
| 启用不安全的可执行文件自动上传 |
Enabled |
设置是否将严重威胁上传到云,以对这些威胁执行第二意见检查。 |
| 启用具有可执行文件控制的异常可执行文件自动隔离 |
Enabled |
这将确定是否自动隔离被视为潜在威胁的文件。 |
| 启用异常可执行文件自动上传 |
Enabled |
设置是否将潜在威胁上传到云,以对这些威胁执行第二意见检查。 |
| 允许执行排除文件夹中的文件 |
Enabled |
这适用于“保护设置”策略组中的“排除特定文件夹”策略。这允许 Excluded 文件夹中的可执行文件运行,即使它们被自动隔离也是如此。 |
| 自动删除 |
Enabled |
这将启用“删除前天数”策略的计时器,这也适用于隔离的项目。在删除之前的天数过去后,如果启用此策略,隔离文件夹中的任何威胁都会被自动删除。 |
| 删除之前的天数 |
14 |
确定项目保留在本地隔离文件夹中的天数(每个威胁)。 |
| 内存操作 |
||
| 启用内存保护 |
Enabled |
这将启用内存保护功能,内存保护模块通过监视应用程序与内存中操作系统之间的交互来分析和解释运行应用程序的意图。 |
| 启用“排除可执行文件” |
Enabled |
这允许从内存保护中排除特定的可执行文件。 |
| 排除可执行文件 |
因环境而异 |
必须使用该可执行文件的相应路径指定添加的所有排除条件(不包括路径中的驱动器号字母)。 Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| 利用:栈转移 |
终止 |
线程的堆栈已替换为不同的堆栈。通常,计算机仅为线程分配单个堆栈。攻击者将使用不同的堆栈,以数据执行预防 (DEP) 不会阻止的方式控制执行。 适用对象:Windows、Mac |
| 利用:栈保护 |
终止 |
已修改线程堆栈的内存保护,以启用执行权限。堆栈内存不应是可执行的,因此通常这意味着攻击者在利用时准备运行存储在堆栈内存中的恶意代码,否则数据执行预防 (DEP) 会不能阻止这种尝试。 适用对象:Windows、Mac |
| 利用:覆盖代码 |
终止 |
进程内存中驻留的代码已使用可能指示尝试绕过数据执行预防 (DEP) 的技术进行修改。 适用对象:Windows |
| 利用:扫描程序内存搜索 |
终止 |
进程尝试从另一个进程读取有效的磁条磁道数据,通常与销售点计算机 (POS) 相关。 适用对象:Windows |
| 利用:恶意有效负载 |
终止 |
检测到与利用相关的通用 shellcode 和有效负载检测。 适用对象:Windows |
| 进程注入:远程分配内存 |
终止 |
进程在另一个进程中分配了内存。大多数分配仅在同一过程中进行。这通常表示尝试将代码或数据注入另一个进程,这可能是加强计算机上恶意存在的第一步。 适用对象:Windows、Mac |
| 进程注入:远程映射内存 |
终止 |
一个进程将代码或数据引入到另一个进程中。这可能表示尝试在另一个进程中开始运行代码并加强恶意存在。 适用对象:Windows、Mac |
| 进程注入:远程写入内存 |
终止 |
进程在另一个进程中修改了内存。这通常是尝试将代码或数据存储在以前分配的内存中(请参阅 OutOfProcessAllocation),但攻击者可能试图覆盖现有内存,以便出于恶意目的而转移执行。 适用对象:Windows、Mac |
| 进程注入:将 PE 远程写入内存 |
终止 |
进程在另一个进程中修改了内存以包含可执行映像。通常,这表示攻击者尝试运行代码而不先将该代码写入磁盘。 适用对象:Windows、Mac |
| 进程注入:远程覆盖代码 |
终止 |
进程在另一个进程中修改了可执行内存。在正常情况下,可执行内存不会修改,尤其是其他进程。这通常表示尝试在另一个过程中转移执行。 适用对象:Windows、Mac |
| 进程注入:远程取消内存映射 |
终止 |
进程已从另一个进程的内存中删除 Windows 可执行文件。这可能表示意图将可执行映像替换为修改后的拷贝,以转移执行。 适用对象:Windows、Mac |
| 进程注入:远程创建线程 |
终止 |
进程在另一个进程中创建了一个线程。攻击者使用它来激活已注入到另一个进程的恶意存在。 适用对象:Windows、Mac |
| 进程注入:远程计划 APC |
终止 |
进程转移了另一个进程线程的执行。攻击者使用它来激活已注入到另一个进程的恶意存在。 适用对象:Windows |
| 进程注入:DYLD 注入(仅限 Mac OS X) |
终止 |
环境变量已设置,导致共享库注入启动的进程。攻击可以修改 Safari 等应用程序的 plist,或者将应用程序替换为 bash 脚本,导致在应用程序启动时自动加载其模块。 适用对象:Mac |
| 上报:LSASS 读取 |
终止 |
已以指示尝试获取用户密码的方式访问属于 Windows 本地安全机构进程的内存。 适用对象:Windows |
| 上报:零分配 |
终止 |
已分配空页面。内存区域通常保留,但在某些情况下可以分配。攻击可以通过利用一些已知的空引用漏洞(通常在内核中)来设置权限升级。 适用对象:Windows、Mac |
| 执行控制 |
||
| 防止从设备关闭服务 |
Enabled |
启用时,即使计算机无法停止 ATP 服务。这也可防止卸载应用程序。 |
| 终止正在运行的不安全进程和子进程 |
Enabled |
启用此功能可检测和终止生成子进程的任何基于内存的威胁。 |
| 后台威胁检测 |
运行一次 |
这可确定是否在设备上运行现有文件扫描。这可以设置为 Disabled、Run Once 或 Run Recurring。 如果启用了 Watch For New Files,建议将 Background Threat Detection 配置为 Run Once。仅当您还在监视新文件和更新的文件时,必须检查现有文件一次。 |
| 监视新文件 |
Enabled |
将此设置为 Enabled 可检测和分析新写入设备或已更改的任何文件。
提醒:建议在高流量设备(例如文件或应用程序服务器)上禁用“监视新文件”,因为这可能会导致磁盘延迟意外增加,因为每个文件在写入磁盘时都必须进行分析。默认情况下,这会得到缓解,因为在尝试运行时会分析尝试运行的任何可移植的可执行文件。通过启用 Background Threat Detection 并将其设置为 Run Recurring,可以进一步缓解这种情况。
|
| 将最大归档文件大小设置为扫描 |
150 |
配置可分析的最大解压缩归档大小(大小以 MB 为单位)。 |
| 保护设置 | ||
| 启用“排除特定文件夹(包括子文件夹)” | Enabled | 这样就能够根据策略在“File Watcher”和“Execution Control”中定义文件夹,允许在“排除文件夹”中执行未受监视的文件。 |
| 排除特定文件夹(包括子文件夹) | 因环境而异 | 这将定义文件监视程序中未受监视的文件夹的列表。此“允许执行排除文件夹中的文件”策略可防止隔离从这些目录运行的任何文件。此策略可防止通过“监视新文件”或“后台威胁检测”来扫描这些目录。 必须使用该可执行文件的绝对路径指定添加的所有排除条件(包括路径中的驱动器盘符)。 Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| 应用程序控制 | ||
| 应用程序控制 | Disabled | 这样就可以限制设备上基于应用程序的更改。不能添加新应用程序,不能删除任何应用程序,也不能修改或更新任何应用程序。 |
| 应用程序控制允许的文件夹 | -空白- | 这定义了应用程序控制中未受监视的文件夹的列表。 必须使用该可执行文件的绝对路径指定添加的所有排除条件(包括路径中的驱动器盘符)。 Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| 启用更改窗口 | Disabled | 启用时,这将暂时禁用 Application Control,从而允许在环境中进行修改。 |
| 脚本控制 | ||
| 脚本控制 | Enabled | 启用 Script Control 的使用 Script Control 监视可在操作系统内运行操作的应用程序和服务。这些应用程序通常称为解释器。ATP 监视尝试运行的任何脚本的这些应用程序和服务,并根据策略通知其已采取行动或阻止执行操作。这些决策根据脚本名称和运行脚本的相对路径做出。 |
| 脚本控制模式 | 阻止 | 当设置为 Block 时不会运行任何基于脚本的项目。这包括任何活动脚本、基于宏的脚本或基于 PowerShell 的脚本。在更高版本中,这些归入各自的策略。 适用对象:1.2.1371 和更早的 ESSE 内部版本 |
| 活动脚本 | 阻止 | 当设置为 Block 时,这将禁止运行 JavaScript、VBscript、batch、Python、Perl、PHP、Ruby 和许多其他脚本。 适用对象:1.2.1391 和更高的 ESSE 内部版本。 |
| 宏 | 阻止 | 将此设置为 Alert 可对文档中的宏进行分析,以确定它们是否正在运行潜在的恶意命令。如果察觉到威胁,则 "Block 设置"会阻止宏运行。启动时运行的宏可能会阻止应用程序加载。 适用对象:1.2.1391 和更高的 ESSE 内部版本。 |
| Powershell | 阻止 | 当设置为 Block 时这将阻止环境中运行任何基于 PowerShell 的脚本。 适用对象:1.2.1391 和更高的 ESSE 内部版本。 |
| Powershell 控制台 | 允许 | 当设置为 Block 时,这会阻止 PowerShell V3 控制台和 ISE 启动。 适用对象:1.2.1391 和更高的 ESSE 内部版本。 |
| 启用 Approve Scripts in Folders (and Subfolders) | Enabled | 这样就可以排除 Script Control 中的位置,而不进行分析。 |
| Approve Scripts in Folders (and Subfolders) | 因环境而异 | 本节详细介绍了“Script Control”中未受监视的文件夹。
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| 全局允许 | 因环境而异 | 此策略通过 ESSE 的断开连接模式进行利用。这使适用于客户能够拥有与互联网完全分离的环境。 此策略确定应允许在环境中使用的特定威胁路径和证书。 |
| 隔离列表 | 因环境而异 | 此策略通过 ESSE 的断开连接模式进行利用。这使适用于客户能够拥有与互联网完全分离的环境。 这是代理遇到时自动隔离的已知坏哈希的定义列表。 |
| 安全列表 | 因环境而异 | 此策略通过 ESSE 的断开连接模式进行利用。这使适用于客户能够拥有与互联网完全分离的环境。 此策略确定应在环境中允许的特定威胁哈希。 |
| 代理程序设置 | ||
| 禁止弹出通知 | Disabled | 这将启用或禁用 ESSE 显示 toaster 对话框的功能。 |
| 最小弹出通知级别 | 高 | 这定义了在禁用 Suppress Popup Notifications 策略时通知终端用户的内容。 高
中
低
|
| 启用 BIOS 保证 | Enabled | 对受支持的戴尔计算机(2016 和更高版本的企业级计算机)执行 BIOS 完整性检查 |
| 启用日志文件自动上传 | Enabled | 这使代理能够在每天午夜或以 100 MB(以先发生者为准)自动将其 ATP 插件日志文件上传到云。 |
| 启用标准 UI | Enabled | 这将启用在端点上使用 Dell Data Security Console 的附加选项。这使本地用户能够查看在本地端点上检测到的威胁、内存事件或脚本。使用端点上的右键单击菜单或使用 Dell Data Security Console 中名为 Advanced Threat Prevention的选项中的设置齿轮,可以显示此选项。 选择此选项后,将提供其他切换,以显示或隐藏在该计算机上发现的威胁、内存事件或脚本。 此策略要求 Dell Encryption Management Agent 版本为 8.18.0 或更高版本。 |
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。
Dell Endpoint Security Suite Enterprise
04 Mar 2024
10
Solution