Article Number: 000126118
Gäller ej
Som standard rekommenderas Advanced Threat Prevention (ATP) att köras i ett inlärningsläge till en början. All hotinformation samlas in för att ge administratörer flexibilitet att hantera hot och potentiellt oönskade program (PUP) i sin miljö och för att tillåta verksamhetskritiska appar.
Mer information om hur du ändrar policyer i Dell Endpoint Security Suite Enterprise finns i Ändra policyer på Dell Data Protection Server.
Mer information och regler om hur du skapar undantag i Dell Endpoint Security Suite Enterprise finns i Lägga till undantag i Dell Endpoint Security Suite Enterprise.
| Policyvärde | Föreslaget värde | Policybeskrivning |
|---|---|---|
| Avancerat hotskydd (primärswitch) |
På |
Det här principvärdet avgör om klienterna kan använda principer för Advanced Threat Prevention. Detta aktiverar även filåtgärder och körningskontroll, som inte kan inaktiveras. Körningskontrollen omfattar hotidentifiering i bakgrunden och File Watcher. Denna modul inom ATP analyserar och abstraherar avsikterna med en bärbar körbar fil (PE) baserat på dess avsedda åtgärder och beteende. Alla filer som identifieras av körningskontroll, och tillsammans med BTD och File Watcher, bearbetas baserat på de principer som korrelerar med automatisk karantän. Dessa åtgärder utförs baserat på den absoluta sökvägen för den portabla körbara filen. |
| Filåtgärder: |
|
|
| Osäker körbar automatisk karantän med körbar kontroll aktiverad |
Disabled (avaktiverad) | Detta avgör om filer som anses vara ett allvarligt hot automatiskt sätts i karantän. |
| Osäker körbar automatisk uppladdning aktiverad |
Aktiverad |
Anger om allvarliga hot laddas upp till molnet för att utföra en second opinion-kontroll av dessa hot. |
| Onormal körbar automatisk karantän med körbar kontroll aktiverad |
Disabled (avaktiverad) |
Detta avgör om filer som anses vara ett potentiellt hot automatiskt sätts i karantän. |
| Onormal körbar automatisk uppladdning aktiverad |
Aktiverad |
Anger om potentiella hot laddas upp till molnet för att utföra en second opinion-kontroll av dessa hot. |
| Tillåt körning av filer i exkluderade mappar |
Aktiverad |
Detta gäller principen för att exkludera specifika mappar i principgruppen Skyddsinställningar. Detta gör att körbara filer i de undantagna mapparna kan köras även om de sätts i karantän automatiskt. |
| Radera automatiskt |
Disabled (avaktiverad) |
Detta aktiverar timern på principen Dagar tills borttagen. Detta gäller för objekt i karantän, när dagarna tills borttagen har förflutit tas alla hot i en karantänmapp bort automatiskt om den här principen är aktiverad. |
| Dagar till borttaget |
14 |
Detta avgör hur många dagar, per hot, som ett objekt finns kvar i den lokala karantänmappen. |
| Minnesåtgärder |
||
| Minnesskydd aktiverat |
Aktiverad |
Detta möjliggör Memory Protection-funktionaliteten Memory protections modul analyserar och tolkar avsikterna med att köra program genom att övervaka interaktionerna mellan program och operativsystemet i minnet. |
| Aktivera Uteslut körbara filer |
Aktiverad |
Detta gör att specifika körbara filer kan undantas från Memory Protection. |
| Exkludera körbara filer |
Tom |
Alla undantag som läggs till måste anges med den relativa sökvägen för den körbara filen (utelämna enhetsbeteckningen från sökvägen). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Utnyttjande: Pivotering av stacken |
Varning |
Stapeln för en tråd har ersatts med en annan stapel. I allmänhet allokerar datorn en enda stack för en tråd. En angripare skulle använda en annan stack för att styra körningen på ett sätt som dataexekveringsskydd (DEP) inte kan blockera. Gäller: Windows, Mac |
| Utnyttjande: Skydda stacken |
Varning |
Minnesskyddet för en tråds stack har ändrats för att möjliggöra körningsbehörighet. Stackminnet ska inte vara körbart, så vanligtvis innebär det att en angripare förbereder sig för att köra skadlig kod som lagras i stackminnet som en del av en sårbarhet, ett försök som dataexekveringsskydd (DEP) annars skulle blockera. Gäller: Windows, Mac |
| Utnyttjande: Skriv över kod |
Varning |
Kod som finns i en processs minne har ändrats med hjälp av en teknik som kan tyda på ett försök att kringgå dataexekveringsskyddet (DEP). Gäller: Windows |
| Utnyttjande: Sökning av skannerminne |
Varning |
En process försöker läsa giltiga spårdata för magnetremsor från en annan process. Vanligtvis relaterat till datorer på försäljningsställen (POS) Gäller: Windows |
| Utnyttjande: Skadlig nyttolast |
Varning |
En process försöker läsa giltiga spårdata för magnetremsor från en annan process. Vanligtvis relaterat till datorer på försäljningsställen (POS) Gäller: Windows |
| Utnyttjande: Skadlig nyttolast |
Varning |
En allmän skalkod och nyttolastidentifiering som är associerad med exploatering har identifierats. Gäller: Windows |
| Processinjektion: Fjärrallokering av minne |
Varning |
En process har allokerat minne i en annan process. De flesta allokeringar sker bara inom samma process. Detta indikerar vanligtvis ett försök att injicera kod eller data i en annan process, vilket kan vara ett första steg för att förstärka en skadlig närvaro på en dator. Gäller: Windows, Mac |
| Processinjektion: Fjärrmappning av minne |
Varning |
En process har introducerat kod eller data i en annan process. Detta kan tyda på ett försök att börja köra kod i en annan process och förstärka en skadlig närvaro. Gäller: Windows, Mac |
| Processinjektion: Fjärrskrivning till minnet |
Varning |
En process har modifierat minnet i en annan process. Detta är vanligtvis ett försök att lagra kod eller data i tidigare allokerat minne (se OutofProcessAllocation), men det är möjligt att en angripare försöker skriva över befintligt minne för att omdirigera körningen i ett skadligt syfte. Gäller: Windows, Mac |
| Processinjektion: Fjärrskrivning PE till minnet |
Varning |
En process har modifierat minnet i en annan process så att det innehåller en körbar avbildning. I allmänhet indikerar detta att en angripare försöker köra kod utan att först skriva koden till disken. Gäller: Windows, Mac |
| Processinjektion: Kod för fjärröverskrivning |
Varning |
En process har modifierat det körbara minnet i en annan process. Under normala förhållanden ändras inte det körbara minnet, särskilt inte genom en annan process. Detta indikerar vanligtvis ett försök att avleda körningen i en annan process. Gäller: Windows, Mac |
| Processinjektion: Fjärravkarta över minne |
Varning |
En process har tagit bort en körbar Windows-fil från minnet för en annan process. Detta kan tyda på en avsikt att ersätta den körbara avbildningen med en modifierad kopia för att omdirigera körningen. Gäller: Windows, Mac |
| Processinjektion: Skapa trådar på distans |
Varning |
En process har skapat en tråd i en annan process. En angripare använder detta för att aktivera en skadlig närvaro som har injicerats i en annan process. Gäller: Windows, Mac |
| Processinjektion: Fjärr-APC, schemalagd |
Varning |
En process har avlett körningen av en annan processs tråd. En angripare använder detta för att aktivera en skadlig närvaro som har injicerats i en annan process. Gäller: Windows |
| Processinjektion: DYLD-injektion (endast Mac OS X) |
Varning |
En miljövariabel har angetts som gör att ett delat bibliotek injiceras i en startad process. Attacker kan ändra plist för program som Safari eller ersätta program med bash-skript som gör att deras moduler läses in automatiskt när ett program startas. Gäller: Mac |
| Upptrappning: LSASS Läs |
Varning |
Åtkomst har skett till minne som tillhör Windows lokala säkerhetsutfärdare på ett sätt som tyder på ett försök att komma åt användarnas lösenord. Gäller: Windows |
| Upptrappning: Noll allokering |
Varning |
En null-sida har tilldelats. Minnesregionen är vanligtvis reserverad, men under vissa omständigheter kan den allokeras. Attacker kan använda detta för att ställa in privilegieeskalering genom att dra fördel av vissa kända sårbarheter för null-avreferering, vanligtvis i kärnan. Gäller: Windows, Mac |
| Körningskontroll |
||
| Förhindra att tjänsten stängs av från enheten |
Disabled (avaktiverad) |
När aktiverad förhindrar möjligheten att stoppa ATP-tjänsten. Detta förhindrar också att programmet avinstalleras. |
| Eliminera osäker körprocess och delprocesser |
Disabled (avaktiverad) |
Genom att aktivera den här funktionen kan du upptäcka och avsluta alla minnesbaserade hot som skapar underprocesser. |
| Bakgrundsidentifiering av hot |
Kör en gång |
Detta avgör om en genomsökning av befintliga filer körs på enheten. Detta kan ställas in på Inaktiverad, Kör en gång eller Kör återkommande. Om Håll utkik efter nya filer är aktiverat rekommenderar vi att du konfigurerar Background Threat Detection så att det körs en gång. Du behöver bara kontrollera befintliga filer en gång om du också letar efter nya och uppdaterade filer. |
| Håll utkik efter nya filer |
Aktiverad |
Om du ställer in detta på Aktiverad kan du identifiera och analysera alla filer som nyligen har skrivits till enheten eller som har ändrats.
Obs! Vi rekommenderar att du inaktiverar Håll utkik efter nya filer på enheter med hög trafik (t.ex. filer eller programservrar), eftersom detta kan orsaka oväntade ökningar av diskfördröjningen eftersom varje fil måste analyseras när den skrivs till disken. Detta minimeras som standard eftersom alla portabla körbara filer som försöker köras analyseras när de försöker köras. Detta kan minskas ytterligare genom att aktivera och ställa in Hotidentifiering i bakgrunden så att den körs återkommande.
|
| Ange maximal arkivfilstorlek som ska genomsökas |
150 |
Konfigurerar den maximala dekomprimerade arkivstorleken som kan analyseras Storleken är i megabyte. |
| Skyddsinställningar | ||
| Aktivera exkludera specifika mappar (inkluderar undermappar) | Aktiverad | Detta gör det möjligt att definiera mappar i File Watcher och Execution Control baserat på policyn och tillåta körning av filer i Exkludera mappar som inte övervakas. |
| Exkludera specifika mappar (inkluderar undermappar) | -Tom- | Definierar en lista över mappar i File Watcher som inte övervakas, principen för Tillåt körning av filer i Exkludera mappar förhindrar karantän för filer som körs från dessa kataloger. Den här principen förhindrar att dessa kataloger genomsöks av Titta efter nya filer eller identifiering av hot i bakgrunden. Alla undantag som läggs till måste anges med den absoluta sökvägen till den körbara filen (inkludera enhetsbokstaven från sökvägen). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Programkontroll | ||
| Programkontroll | Disabled (avaktiverad) | Detta gör det möjligt att begränsa programbaserade ändringar på enheten, inga nya program kan läggas till, inga program kan tas bort och inga program kan ändras eller uppdateras. |
| Tillåtna mappar för programkontroll | -Tom- | Detta definierar en lista över mappar i programkontrollen som inte övervakas. Alla undantag som läggs till måste anges med den absoluta sökvägen till den körbara filen (inkludera enhetsbokstaven från sökvägen). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Aktivera ändringsfönster | Disabled (avaktiverad) | När det här alternativet är aktiverat inaktiveras programkontroll tillfälligt, vilket gör att ändringar kan göras i miljön. |
| Skriptkontroll | ||
| Skriptkontroll | Aktiverad | Aktiverar användning av skriptkontroll Skriptkontroll övervakar program och tjänster som kan köra åtgärder i operativsystemet. Dessa applikationer kallas vanligtvis tolkar. ATP övervakar dessa program och tjänster för alla skript som försöker köras och, baserat på principer, antingen meddelar om att deras åtgärd har vidtagits eller blockerar åtgärderna från att inträffa. Dessa beslut fattas baserat på skriptnamnet och den relativa sökvägen där skriptet kördes. |
| Skriptkontrollläge | Varning | När värdet är Blockera körs inga skriptbaserade objekt. Detta inkluderar alla aktiva skript, makrobaserade skript eller PowerShell-baserade skript. I senare versioner är dessa uppdelade i egna principer. Gäller: 1.2.1371 och tidigare versioner av ESSE |
| Aktivt skript | Varning | När det är inställt på Blockera inaktiverar detta möjligheten att köra JavaScript, VBscript, batch, Python, Perl, PHP, Ruby och många andra skript. Gäller: 1.2.1391 och senare versioner av ESSE. |
| Makron | Varning | Om du ställer in detta på Avisering kan du analysera makron i dokument för att avgöra om de kör potentiellt skadliga kommandon. Om ett hot upptäcks förhindrar inställningen Blockera makrot från att köras. Makron som körs vid start kan förhindra att programmet läses in. Gäller: 1.2.1391 och senare versioner av ESSE. |
| Powershell | Varning | När det är inställt på Blockera förhindrar detta att PowerShell-baserade skript körs i miljön. Gäller: 1.2.1391 och senare versioner av ESSE. |
| PowerShell-konsol | Allow (tillåt) | När det är inställt på Blockera förhindrar detta att PowerShell V3-konsolen och ISE startas. Gäller: 1.2.1391 och senare versioner av ESSE. |
| Aktivera Godkänn skript i mappar (och undermappar) | Aktiverad | Detta gör det möjligt att utesluta platser i Script Control från att analyseras. |
| Godkänn skript i mappar (och undermappar) | -Tom- | I det här avsnittet beskrivs de mappar i Skriptkontroll som inte övervakas.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Globalt tillåt | -Tom- | Den här principen utnyttjar frånkopplat läge för ESSE. Detta gör det möjligt för kunderna att ha en miljö som är helt separerad från internet. Den här principen avgör specifika hotsökvägar och certifikat som ska tillåtas i miljön. |
| Karantänlista | -Tom- | Den här principen utnyttjar frånkopplat läge för ESSE. Detta gör det möjligt för kunderna att ha en miljö som är helt separerad från internet. Det här är en definierad lista över kända felaktiga hashvärden som automatiskt sätts i karantän när agenten stöter på dem. |
| Säker lista | -Tom- | Den här principen utnyttjar frånkopplat läge för ESSE. Detta gör det möjligt för kunderna att ha en miljö som är helt separerad från internet. Den här principen avgör specifika hothashvärden som ska tillåtas i miljön. |
| Agentinställningar | ||
| Ignorera popup-aviseringar | Aktiverad | Detta aktiverar eller inaktiverar möjligheten för ESSE att visa en brödrostdialogruta. |
| Lägsta nivå för popup-meddelanden | Hög | Detta definierar vad som meddelas slutanvändaren om principen Suppress Popup Notifications är inaktiverad. Hög
Medel
Låg
|
| Aktivera BIOS Assurance | Aktiverad | Utför BIOS-integritetskontroller på Dell-datorer som stöds (2016 och senare datorer i företagsklass) |
| Aktivera automatisk uppladdning av loggfiler | Aktiverad | Detta gör det möjligt för agenter att automatiskt ladda upp sina loggfiler för ATP-plugin-programmet till molnet varje dag vid midnatt eller vid 100 MB, beroende på vilket som inträffar först. |
| Policyvärde | Föreslaget värde | Policybeskrivning |
|---|---|---|
| Avancerat hotskydd (primärswitch) |
På |
Det här principvärdet avgör om klienterna kan använda principer för Advanced Threat Prevention. Detta aktiverar även filåtgärder och körningskontroll, som inte kan inaktiveras. Körningskontrollen omfattar identifiering av bakgrundshot och filvakt. Denna modul inom ATP analyserar och abstraherar avsikterna med en bärbar körbar fil (PE) baserat på dess avsedda åtgärder och beteende. Alla filer som identifieras av körningskontroll, BTD och File Watcher bearbetas baserat på de principer som korrelerar med automatisk karantän. Dessa åtgärder utförs baserat på den absoluta sökvägen för den portabla körbara filen. |
| Filåtgärder: |
|
|
| Osäker körbar automatisk karantän med körbar kontroll aktiverad |
Aktiverad | Detta avgör om filer som anses vara ett allvarligt hot automatiskt sätts i karantän. |
| Osäker körbar automatisk uppladdning aktiverad |
Aktiverad |
Anger om allvarliga hot laddas upp till molnet för att utföra en second opinion-kontroll av dessa hot. |
| Onormal körbar automatisk karantän med körbar kontroll aktiverad |
Aktiverad |
Detta avgör om filer som anses vara ett potentiellt hot automatiskt sätts i karantän. |
| Onormal körbar automatisk uppladdning aktiverad |
Aktiverad |
Anger om potentiella hot laddas upp till molnet för att utföra en second opinion-kontroll av dessa hot. |
| Tillåt körning av filer i exkluderade mappar |
Aktiverad |
Detta gäller policyn Exkludera specifika mappar i principgruppen Skyddsinställningar. Detta gör att körbara filer i de undantagna mapparna kan köras även om de sätts i karantän automatiskt. |
| Radera automatiskt |
Aktiverad |
Detta aktiverar timern för dagarna tills den borttagna principen, detta gäller även för objekt i karantän. När dagarna tills borttagningen har gått tas alla hot i en karantänmapp bort automatiskt om den här principen är aktiverad. |
| Dagar till borttaget |
14 |
Avgör hur många dagar, per hot, som ett objekt finns kvar i den lokala karantänmappen. |
| Minnesåtgärder |
||
| Minnesskydd aktiverat |
Aktiverad |
Detta aktiverar Memory Protection-funktionen, minnesskyddets modul analyserar och tolkar avsikterna med att köra program genom att övervaka interaktionen mellan program och operativsystemet i minnet. |
| Aktivera Uteslut körbara filer |
Aktiverad |
Detta gör att specifika körbara filer kan undantas från Memory Protection. |
| Exkludera körbara filer |
Varierar beroende på miljö |
Alla undantag som läggs till måste anges med den relativa sökvägen för den körbara filen (utelämna enhetsbeteckningen från sökvägen). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Utnyttjande: Pivotering av stacken |
Avsluta |
Stapeln för en tråd har ersatts med en annan stapel. I allmänhet allokerar datorn bara en enda stack för en tråd. En angripare skulle använda en annan stack för att styra körningen på ett sätt som dataexekveringsskydd (DEP) inte blockerar. Gäller: Windows, Mac |
| Utnyttjande: Skydda stacken |
Avsluta |
Minnesskyddet för en tråds stack har ändrats för att möjliggöra körningsbehörighet. Stackminnet ska inte vara körbart, så vanligtvis innebär det att en angripare förbereder sig för att köra skadlig kod som lagras i stackminnet som en del av en sårbarhet, ett försök som dataexekveringsskydd (DEP) annars inte skulle blockera. Gäller: Windows, Mac |
| Utnyttjande: Skriv över kod |
Avsluta |
Kod som finns i en processs minne har ändrats med hjälp av en teknik som kan tyda på ett försök att kringgå dataexekveringsskyddet (DEP). Gäller: Windows |
| Utnyttjande: Sökning av skannerminne |
Avsluta |
En process försöker läsa giltiga spårningsdata för magnetremsor från en annan process, vanligtvis relaterade till kassadatorer (POS). Gäller: Windows |
| Utnyttjande: Skadlig nyttolast |
Avsluta |
En allmän skalkod och nyttolastidentifiering som är associerad med exploatering har identifierats. Gäller: Windows |
| Processinjektion: Fjärrallokering av minne |
Avsluta |
En process har allokerat minne i en annan process. De flesta allokeringar sker bara inom samma process. Detta indikerar vanligtvis ett försök att injicera kod eller data i en annan process, vilket kan vara ett första steg för att förstärka en skadlig närvaro på en dator. Gäller: Windows, Mac |
| Processinjektion: Fjärrmappning av minne |
Avsluta |
En process har introducerat kod eller data i en annan process. Detta kan tyda på ett försök att börja köra kod i en annan process och förstärka en skadlig närvaro. Gäller: Windows, Mac |
| Processinjektion: Fjärrskrivning till minnet |
Avsluta |
En process har modifierat minnet i en annan process. Detta är vanligtvis ett försök att lagra kod eller data i tidigare allokerat minne (se OutOfProcessAllocation), men det är möjligt att en angripare försöker skriva över befintligt minne för att omdirigera körningen i ett skadligt syfte. Gäller: Windows, Mac |
| Processinjektion: Fjärrskrivning PE till minnet |
Avsluta |
En process har modifierat minnet i en annan process så att det innehåller en körbar avbildning. I allmänhet indikerar detta att en angripare försöker köra kod utan att först skriva koden till disken. Gäller: Windows, Mac |
| Processinjektion: Kod för fjärröverskrivning |
Avsluta |
En process har modifierat det körbara minnet i en annan process. Under normala förhållanden ändras inte det körbara minnet, särskilt inte genom en annan process. Detta indikerar vanligtvis ett försök att avleda körningen i en annan process. Gäller: Windows, Mac |
| Processinjektion: Fjärravkarta över minne |
Avsluta |
En process har tagit bort en körbar Windows-fil från minnet för en annan process. Detta kan tyda på en avsikt att ersätta den körbara avbildningen med en modifierad kopia för att omdirigera körningen. Gäller: Windows, Mac |
| Processinjektion: Skapa trådar på distans |
Avsluta |
En process har skapat en tråd i en annan process. En angripare använder detta för att aktivera en skadlig närvaro som har injicerats i en annan process. Gäller: Windows, Mac |
| Processinjektion: Fjärr-APC, schemalagd |
Avsluta |
En process har avlett körningen av en annan processs tråd. En angripare använder detta för att aktivera en skadlig närvaro som har injicerats i en annan process. Gäller: Windows |
| Processinjektion: DYLD-injektion (endast Mac OS X) |
Avsluta |
En miljövariabel har angetts som gör att ett delat bibliotek injiceras i en startad process. Attacker kan ändra plist för program som Safari eller ersätta program med bash-skript som gör att deras moduler läses in automatiskt när ett program startas. Gäller: Mac |
| Upptrappning: LSASS Läs |
Avsluta |
Åtkomst har skett till minne som tillhör Windows lokala säkerhetsutfärdare på ett sätt som tyder på ett försök att komma åt användarnas lösenord. Gäller: Windows |
| Upptrappning: Noll allokering |
Avsluta |
En null-sida har tilldelats. Minnesregionen är vanligtvis reserverad, men under vissa omständigheter kan den allokeras. Attacker kan använda detta för att ställa in privilegieeskalering genom att dra fördel av vissa kända sårbarheter för null-avreferering, vanligtvis i kärnan. Gäller: Windows, Mac |
| Körningskontroll |
||
| Förhindra att tjänsten stängs av från enheten |
Aktiverad |
När aktiverad förhindrar möjligheten att stoppa ATP-tjänsten, även som dator. Detta förhindrar också att programmet avinstalleras. |
| Eliminera osäker körprocess och delprocesser |
Aktiverad |
Genom att aktivera den här funktionen kan du upptäcka och avsluta alla minnesbaserade hot som skapar underprocesser. |
| Bakgrundsidentifiering av hot |
Kör en gång |
Detta avgör om en genomsökning av befintliga filer körs på enheten. Detta kan ställas in på Inaktiverad, Kör en gång eller Kör återkommande. Om Håll utkik efter nya filer är aktiverat rekommenderar vi att du konfigurerar Background Threat Detection så att det körs en gång. Du behöver bara kontrollera befintliga filer en gång om du också letar efter nya och uppdaterade filer. |
| Håll utkik efter nya filer |
Aktiverad |
Om du ställer in detta på Aktiverad kan du identifiera och analysera alla filer som nyligen har skrivits till enheten eller som har ändrats.
Obs! Vi rekommenderar att du inaktiverar Håll utkik efter nya filer på enheter med hög trafik (t.ex. filer eller programservrar), eftersom detta kan orsaka oväntade ökningar av diskfördröjningen eftersom varje fil måste analyseras när den skrivs till disken. Detta minimeras som standard eftersom alla portabla körbara filer som försöker köras analyseras när de försöker köras. Detta kan minskas ytterligare genom att aktivera och ställa in Hotidentifiering i bakgrunden så att den körs återkommande.
|
| Ange maximal arkivfilstorlek som ska genomsökas |
150 |
Konfigurerar den maximala dekomprimerade arkivstorleken som kan analyseras Storleken är i megabyte. |
| Skyddsinställningar | ||
| Aktivera exkludera specifika mappar (inkluderar undermappar) | Aktiverad | Detta möjliggör möjligheten att definiera mappar i File Watcher och Execution Control baserat på policyn Tillåt körning av filer i Exkludera mappar som inte övervakas. |
| Exkludera specifika mappar (inkluderar undermappar) | Varierar beroende på miljö | Detta definierar en lista över mappar i File Watcher som inte övervakas. Den här principen för att tillåta körning av filer i exkluderade mappar förhindrar karantän för filer som körs från dessa kataloger. Den här principen förhindrar att dessa kataloger genomsöks av Titta efter nya filer eller identifiering av hot i bakgrunden. Alla undantag som läggs till måste anges med den absoluta sökvägen till den körbara filen (inkludera enhetsbokstaven från sökvägen). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Programkontroll | ||
| Programkontroll | Disabled (avaktiverad) | Det gör det möjligt att begränsa programbaserade ändringar på enheten. Inga nya program kan läggas till, inga program kan tas bort och inga program kan ändras eller uppdateras. |
| Tillåtna mappar för programkontroll | -Tom- | Detta definierar en lista över mappar i programkontrollen som inte övervakas. Alla undantag som läggs till måste anges med den absoluta sökvägen till den körbara filen (inkludera enhetsbokstaven från sökvägen). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Aktivera ändringsfönster | Disabled (avaktiverad) | När det här alternativet är aktiverat inaktiveras programkontroll tillfälligt, vilket gör att ändringar kan göras i miljön. |
| Skriptkontroll | ||
| Skriptkontroll | Aktiverad | Aktiverar användning av skriptkontroll Skriptkontroll övervakar program och tjänster som kan köra åtgärder i operativsystemet. Dessa applikationer kallas vanligtvis tolkar. ATP övervakar dessa program och tjänster för alla skript som försöker köras och baserat på principer, antingen meddelar om att deras åtgärd har vidtagits eller blockerar åtgärderna från att inträffa. Dessa beslut fattas baserat på skriptnamnet och den relativa sökvägen där skriptet kördes från. |
| Skriptkontrollläge | Blockera | När det är inställt på Blockera körs inga skriptbaserade objekt. Detta inkluderar alla aktiva skript, makrobaserade skript eller PowerShell-baserade skript. I senare versioner är dessa uppdelade i egna principer. Gäller: 1.2.1371 och tidigare versioner av ESSE |
| Aktivt skript | Blockera | När detta är inställt på Blockera inaktiveras möjligheten att köra JavaScript, VBscript, batch, Python, Perl, PHP, Ruby och många andra skript. Gäller: 1.2.1391 och senare versioner av ESSE. |
| Makron | Blockera | Om du ställer in detta på Avisering kan du analysera makron i dokument för att avgöra om de kör potentiellt skadliga kommandon. Om ett hot uppfattas förhindrar inställningen "Block" att makrot körs. Makron som körs vid start kan förhindra att programmet läses in. Gäller: 1.2.1391 och senare versioner av ESSE. |
| Powershell | Blockera | När detta är inställt på Blockera förhindrar detta att PowerShell-baserade skript körs i miljön. Gäller: 1.2.1391 och senare versioner av ESSE. |
| PowerShell-konsol | Allow (tillåt) | När det är inställt på Blockera förhindrar PowerShell V3-konsolen och ISE från att starta. Gäller: 1.2.1391 och senare versioner av ESSE. |
| Aktivera Godkänn skript i mappar (och undermappar) | Aktiverad | Detta gör det möjligt att undanta platser från Script Control från att analyseras. |
| Godkänn skript i mappar (och undermappar) | Varierar beroende på miljö | I det här avsnittet beskrivs de mappar i Skriptkontroll som inte övervakas.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Globalt tillåt | Varierar beroende på miljö | Den här principen utnyttjar frånkopplat läge för ESSE. På så sätt kan kunderna ha en miljö som är helt separerad från internet. Den här principen avgör specifika hotsökvägar och certifikat som ska tillåtas i miljön. |
| Karantänlista | Varierar beroende på miljö | Den här principen utnyttjar frånkopplat läge för ESSE. På så sätt kan kunderna ha en miljö som är helt separerad från internet. Det här är en definierad lista över kända felaktiga hashvärden som automatiskt sätts i karantän när agenten stöter på dem. |
| Säker lista | Varierar beroende på miljö | Den här principen utnyttjar frånkopplat läge för ESSE. På så sätt kan kunderna ha en miljö som är helt separerad från internet. Den här principen avgör specifika hothashvärden som ska tillåtas i miljön. |
| Agentinställningar | ||
| Ignorera popup-aviseringar | Disabled (avaktiverad) | Detta aktiverar eller inaktiverar möjligheten för ESSE att visa en brödrostdialogruta. |
| Lägsta nivå för popup-meddelanden | Hög | Detta definierar vad som meddelas slutanvändaren om principen Suppress Popup Notifications är inaktiverad. Hög
Medel
Låg
|
| Aktivera BIOS Assurance | Aktiverad | Utför BIOS-integritetskontroller på Dell-datorer som stöds (2016 och senare datorer i företagsklass) |
| Aktivera automatisk uppladdning av loggfiler | Aktiverad | Detta gör det möjligt för agenter att automatiskt ladda upp sina loggfiler för ATP-plugin-programmet till molnet varje dag vid midnatt eller vid 100 MB, beroende på vilket som inträffar först. |
| Aktivera standardgränssnitt | Aktiverad | Detta aktiverar ytterligare ett alternativ med hjälp av Dell Data Security-konsolen på en slutpunkt. Detta gör det möjligt för lokala användare att se vilka hot, minneshändelser eller skript som har identifierats på den lokala slutpunkten. Du hittar det här alternativet på högerklicksmenyn på slutpunkten eller med kugghjulet för inställningar i Dell Data Security Console i ett alternativ som heter Advanced Threat Prevention. När det här alternativet är markerat finns ytterligare växlingsknappar tillgängliga som visar eller döljer hot, minneshändelser eller skript som har upptäckts på den datorn. Den här policyn kräver att Dell Encryption Management Agent är version 8.18.0 eller senare. |
Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.
Dell Endpoint Security Suite Enterprise
04 Mar 2024
10
Solution