Ikke relevant
Som standard anbefales det, at Advanced Threat Prevention (ATP) først kører i indlæringstilstand. Alle trusselsoplysninger indsamles for at give administratorer fleksibilitet til at administrere trusler og potentielt uønskede programmer (PUP'er) i deres miljø og til at tillade missionskritiske apps.
Du kan finde flere oplysninger om ændring af politikker i Dell Endpoint Security Suite Enterprise i Sådan ændrer du politikker på Dell Data Protection-serveren.
Du kan finde flere oplysninger og regler for oprettelse af undtagelser i Dell Endpoint Security Suite Enterprise i Sådan tilføjer du undtagelser i Dell Endpoint Security Suite Enterprise.
| Politikkens værdi | Foreslået værdi | Beskrivelse af politikken |
|---|---|---|
| Avanceret trusselsforebyggelse (primær switch) |
Tændt |
Denne politikværdi bestemmer, om klienterne kan bruge politikker til avanceret trusselsforebyggelse. Dette muliggør også filhandlinger og udførelseskontrol, som ikke kan deaktiveres. Udførelseskontrol omfatter trusselsregistrering i baggrunden og File Watcher. Dette modul inden for ATP analyserer og abstraherer intentionerne om en bærbar eksekverbar (PE) baseret på dens tilsigtede handlinger og adfærd. Alle filer, der registreres af Execution Control og sammen med BTD og File Watcher, behandles baseret på de politikker, der svarer til automatisk karantæne. Disse handlinger udføres baseret på den bærbare eksekverbare fils absolutte stiplacering. |
| Filhandlinger: |
|
|
| Usikker automatisk karantæne for eksekverbar fil med eksekverbar kontrol aktiveret |
Disabled | Dette bestemmer, om filer, der betragtes som en alvorlig trussel, automatisk sættes i karantæne. |
| Usikker eksekverbar automatisk upload aktiveret |
Aktiveret |
Indstiller, om alvorlige trusler uploades til cloudmiljøet for at udføre en second opinion-kontrol af disse trusler. |
| Unormal automatisk karantæne for eksekverbar fil med eksekverbar kontrol aktiveret |
Disabled |
Dette bestemmer, om filer, der betragtes som en potentiel trussel, automatisk sættes i karantæne. |
| Unormal eksekverbar automatisk overførsel aktiveret |
Aktiveret |
Indstiller, om potentielle trusler uploades til cloudmiljøet for at udføre en second opinion-kontrol af disse trusler. |
| Tillad udførelse af filer i ekskluderede mapper |
Aktiveret |
Dette gælder for politikekskludering af bestemte mapper i politikgruppen Beskyttelsesindstillinger. Dette gør det muligt for eksekverbare filer i de udeladte mapper at køre, selvom de automatisk sættes i karantæne. |
| Automatisk sletning |
Disabled |
Dette aktiverer timeren på politikken Dage indtil slettet. Dette gælder for elementer i karantæne. Når dagene indtil slettet er gået, fjernes eventuelle trusler i en karantænemappe automatisk, hvis denne politik er aktiveret. |
| Dage indtil slettet |
14 |
Dette bestemmer antallet af dage pr. trussel, som et element forbliver i den lokale karantænemappe. |
| Hukommelseshandlinger |
||
| Hukommelsesbeskyttelse aktiveret |
Aktiveret |
Dette gør det muligt for hukommelsesbeskyttelsesfunktionaliteten Hukommelsesbeskyttelsesmodulet analyserer og fortolker intentionerne med at køre applikationer ved at overvåge interaktionerne mellem applikationer og operativsystemet i hukommelsen. |
| Aktivér Udeluk eksekverbare filer |
Aktiveret |
Dette gør det muligt at udelukke specifikke eksekverbare filer fra hukommelsesbeskyttelse. |
| Udelad eksekverbare filer |
Tom |
Alle tilføjede udelukkelser skal angives ved brug af stien til den eksekverbare fil (udelad drevbogstavet fra stien). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Udnyttelse: Stakkens rotation |
Alert |
Stakken til en tråd er blevet erstattet med en anden stak. Generelt tildeler computeren en enkelt stak til en tråd. En hacker ville bruge en anden stak til at styre udførelsen på en måde, som Forhindring af datakørsel (DEP) ikke kan blokere. Gælder for: Windows, valmue |
| Udnyttelse: Stakbeskyttelse |
Alert |
Hukommelsesbeskyttelsen af en tråds stak er blevet ændret for at aktivere udførelsestilladelse. Stack-hukommelse bør ikke være eksekverbar, så det betyder normalt, at en hacker forbereder sig på at køre ondsindet kode, der er gemt i stack-hukommelsen som en del af en udnyttelse, et forsøg, som Data Execution Prevention (DEP) ellers ville blokere. Gælder for: Windows, valmue |
| Udnyttelse: Overskriv kode |
Alert |
Kode i en proces' hukommelse er blevet ændret ved hjælp af en teknik, der kan indikere et forsøg på at omgå forhindring af datakørsel (DEP). Gælder for: Windows |
| Udnyttelse: Søg efter scannerhukommelse |
Alert |
En proces forsøger at læse gyldige magnetstribespordata fra en anden proces. Typisk relateret til POS-computere (POS) Gælder for: Windows |
| Udnyttelse: Ondsindet nyttelast |
Alert |
En proces forsøger at læse gyldige magnetstribespordata fra en anden proces. Typisk relateret til POS-computere (POS) Gælder for: Windows |
| Udnyttelse: Ondsindet nyttelast |
Alert |
Der er registreret en generisk shellcode og dataregistrering, der er knyttet til udnyttelsen. Gælder for: Windows |
| Proces injektion: Fjernallokering af hukommelse |
Alert |
En proces har tildelt hukommelse i en anden proces. De fleste tildelinger sker kun inden for samme proces. Dette indikerer generelt et forsøg på at injicere kode eller data i en anden proces, hvilket kan være et første skridt i at forstærke en ondsindet tilstedeværelse på en computer. Gælder for: Windows, valmue |
| Proces injektion: Fjerntilknytning af hukommelse |
Alert |
En proces har introduceret kode eller data i en anden proces. Dette kan indikere et forsøg på at begynde at køre kode i en anden proces og forstærke en ondsindet tilstedeværelse. Gælder for: Windows, valmue |
| Proces injektion: Fjernskrivning til hukommelse |
Alert |
En proces har ændret hukommelsen i en anden proces. Dette er normalt et forsøg på at gemme kode eller data i tidligere allokeret hukommelse (se OutofProcessAllocation), men det er muligt, at en hacker forsøger at overskrive eksisterende hukommelse for at omdirigere udførelsen til et skadeligt formål. Gælder for: Windows, valmue |
| Proces injektion: Fjernskrivning af PE til hukommelse |
Alert |
En proces har ændret hukommelsen i en anden proces til at indeholde et eksekverbart billede. Generelt indikerer dette, at en hacker forsøger at køre kode uden først at skrive koden til disken. Gælder for: Windows, valmue |
| Proces injektion: Fjernoverskrivningskode |
Alert |
En proces har ændret eksekverbar hukommelse i en anden proces. Under normale forhold ændres eksekverbar hukommelse ikke, især ikke ved en anden proces. Dette indikerer normalt et forsøg på at omdirigere udførelsen i en anden proces. Gælder for: Windows, valmue |
| Proces injektion: Fjernafbildning af hukommelse |
Alert |
En proces har fjernet en eksekverbar Windows-fil fra hukommelsen i en anden proces. Dette kan indikere en hensigt om at erstatte det eksekverbare billede med en ændret kopi for at omdirigere udførelsen. Gælder for: Windows, valmue |
| Proces injektion: Oprettelse af fjerntråd |
Alert |
En proces har skabt en tråd i en anden proces. En hacker bruger dette til at aktivere en ondsindet tilstedeværelse, der er blevet injiceret i en anden proces. Gælder for: Windows, valmue |
| Proces injektion: Planlagt ekstern APC |
Alert |
En proces har omdirigeret udførelsen af en anden proces' tråd. En hacker bruger dette til at aktivere en ondsindet tilstedeværelse, der er blevet injiceret i en anden proces. Gælder for: Windows |
| Proces injektion: DYLD-injektion (kun Mac OS X) |
Alert |
Der er angivet en miljøvariabel, der får et delt bibliotek til at blive injiceret i en startet proces. Angreb kan ændre listen over applikationer som Safari eller erstatte applikationer med bash-scripts, der får deres moduler til at blive indlæst automatisk, når en applikation starter. Gælder for: Mac |
| Eskalering: LSASS Læs |
Alert |
Hukommelse, der hører til Windows Local Security Authority-processen, er blevet åbnet på en måde, der indikerer et forsøg på at få fat i brugernes adgangskoder. Gælder for: Windows |
| Eskalering: Nul allokering |
Alert |
Der er tildelt en null-side. Hukommelsesområdet er typisk reserveret, men under visse omstændigheder kan det tildeles. Angreb kan bruge dette til at opsætte eskalering af rettigheder ved at udnytte nogle kendte null-dereference-udnyttelser, typisk i kernen. Gælder for: Windows, valmue |
| Udførelseskontrol |
||
| Undgå lukning af service fra enhed |
Disabled |
Når aktiveret forhindrer muligheden for at stoppe ATP-tjenesten. Dette forhindrer også, at programmet afinstalleres. |
| Dræb usikker kørende proces og underprocesser |
Disabled |
Aktivering af denne funktion gør det muligt at registrere og afslutte enhver hukommelsesbaseret trussel, der afføder underprocesser. |
| Background Threat Detection |
Kør en gang |
Dette bestemmer, om der køres en scanning af eksisterende filer på enheden. Dette kan indstilles til Deaktiveret, Kør én gang eller Kør tilbagevendende. Hvis Se efter nye filer er aktiveret, anbefales det at konfigurere registrering af trusler i baggrunden til at køre én gang. Du skal kun kontrollere eksisterende filer én gang, hvis du også holder øje med nye og opdaterede filer. |
| Se efter nye filer |
Aktiveret |
Hvis du indstiller dette til Aktiveret, kan du registrere og analysere alle filer, der er nyskrevet til enheden, eller som ændres.
Bemærk: Det foreslås at have Se efter nye filer deaktiveret på enheder med høj trafik (såsom filer eller applikationsservere), da dette kan medføre uventede stigninger i disklatenstid, da hver fil skal analyseres, mens den skrives til disken. Dette afhjælpes som standard, da alle bærbare eksekverbare filer, der forsøger at køre, analyseres, mens de forsøger at køre. Dette kan afhjælpes yderligere ved at aktivere og indstille registrering af trusler i baggrunden til at køre tilbagevendende.
|
| Indstil maksimal arkivfilstørrelse til scanning |
150 |
Konfigurerer den maksimale dekomprimerede arkivstørrelse, der kan analyseres Størrelsen er i megabyte. |
| Indstillinger for beskyttelse | ||
| Aktivér Udeluk specifikke mapper (omfatter undermapper) | Aktiveret | Dette gør det muligt at definere mapper i File Watcher og Execution Control baseret på politikken og tillade udførelse af filer i udeladelsesmapper , der ikke overvåges. |
| Udelad specifikke mapper (omfatter undermapper) | -Tom- | Definerer en liste over mapper i File Watcher, der ikke overvåges, politikken Tillad udførelse af filer i ekskluderede mapper forhindrer karantæne af filer, der køres fra disse mapper. Denne politik forhindrer scanning af disse mapper af Watch for New Files eller Background Threat Detection. Alle tilføjede undtagelser skal angives ved hjælp af den absolutte sti til den eksekverbare fil (inkluder drevbogstavet fra stien). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Programstyring | ||
| Programstyring | Disabled | Dette gør det muligt at begrænse programbaserede ændringer på enheden, ingen nye applikationer kan tilføjes, ingen applikationer kan fjernes, og ingen applikationer kan ændres eller opdateres. |
| Programkontrol Tilladte mapper | -Tom- | Dette definerer en liste over mapper i programstyringen, der ikke overvåges. Alle tilføjede undtagelser skal angives ved hjælp af den absolutte sti til den eksekverbare fil (inkluder drevbogstavet fra stien). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Aktivér ændringsvindue | Disabled | Når denne indstilling er aktiveret, deaktiveres programstyring midlertidigt, så der kan foretages ændringer i miljøet. |
| Script-styring | ||
| Script-styring | Aktiveret | Aktiverer brugen af scriptstyring Scriptstyring overvåger programmer og tjenester, der kan køre handlinger i operativsystemet. Disse applikationer kaldes almindeligvis tolke. ATP overvåger disse programmer og tjenester for eventuelle scripts, der forsøger at køre, og baseret på politikker giver de enten besked om, at deres handling er blevet udført, eller blokerer handlingerne fra at forekomme. Disse beslutninger træffes baseret på scriptnavnet og den relative sti, hvor scriptet blev kørt. |
| Scriptstyringstilstand | Alert | Når indstillingen er indstillet til Bloker, køres der ingen scriptbaserede elementer. Dette omfatter ethvert aktivt script, makrobaseret script eller PowerShell-baseret script. I senere versioner er disse opdelt i deres egne politikker. Gælder for: 1.2.1371 og tidligere builds af ESSE |
| Aktivt script | Alert | Når indstillingen er indstillet til Bloker, deaktiverer dette muligheden for at køre JavaScript, VBscript, batch, Python, Perl, PHP, Ruby og mange andre scripts. Gælder for: 1.2.1391 og senere builds af ESSE. |
| Makroer | Alert | Hvis du indstiller dette til Advarsel, kan du analysere makroer i dokumenter for at afgøre, om de kører potentielt skadelige kommandoer. Hvis der opfattes en trussel, forhindrer indstillingen Bloker makroen i at køre. Makroer, der kører ved start, kan forhindre programmet i at blive indlæst. Gælder for: 1.2.1391 og senere builds af ESSE. |
| PowerShell | Alert | Når indstillingen er angivet til Bloker, forhindrer dette PowerShell-baserede scripts i at køre i miljøet. Gælder for: 1.2.1391 og senere builds af ESSE. |
| Powershell-konsol | Allow (Tillad) | Når indstillingen er indstillet til Bloker, forhindrer dette PowerShell V3-konsollen og ISE i at starte. Gælder for: 1.2.1391 og senere builds af ESSE. |
| Aktivér Godkend scripts i mapper (og undermapper) | Aktiveret | Dette gør det muligt at udelukke placeringer i Scriptstyring fra at blive analyseret. |
| Godkend scripts i mapper (og undermapper) | -Tom- | I dette afsnit beskrives de mapper i Scriptstyring, der ikke overvåges.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Global tilladelse | -Tom- | Denne politik udnyttes af afbrudt tilstand for ESSE. Dette giver kunderne mulighed for at have et miljø, der er helt adskilt fra internettet. Denne politik bestemmer specifikke trusselsveje og certifikater, der skal tillades i miljøet. |
| Karantæneliste | -Tom- | Denne politik udnyttes af afbrudt tilstand for ESSE. Dette giver kunderne mulighed for at have et miljø, der er helt adskilt fra internettet. Dette er en defineret liste over kendte beskadigede hashværdier, der automatisk sættes i karantæne, når agenten støder på dem. |
| Liste over sikre | -Tom- | Denne politik udnyttes af afbrudt tilstand for ESSE. Dette giver kunderne mulighed for at have et miljø, der er helt adskilt fra internettet. Denne politik bestemmer specifikke trusselhashes, der skal tillades i miljøet. |
| Agentindstillinger | ||
| Undertryk pop op-meddelelser | Aktiveret | Dette aktiverer eller deaktiverer ESSE's mulighed for at vise en brødristerdialog. |
| Minimum popup-meddelelsesniveau | Høj | Heri defineres, hvad slutbrugeren får besked om, hvis politikken Undertryk pop op-meddelelser er deaktiveret. Høj
Mellem
Lav
|
| Aktivér BIOS-sikkerhed | Aktiveret | Udfører BIOS-integritetskontrol på understøttede Dell-computere (2016-computere og nyere computere i virksomhedsklassen) |
| Aktivér automatisk upload af logfiler | Aktiveret | Dette gør det muligt for helpdesk-medarbejdere at uploade deres logfiler til ATP-plug-in'en automatisk til skyen hver dag ved midnat eller ved 100 MB, alt efter hvad der sker først. |
| Politikkens værdi | Foreslået værdi | Beskrivelse af politikken |
|---|---|---|
| Avanceret trusselsforebyggelse (primær switch) |
Tændt |
Denne politikværdi bestemmer, om klienterne kan bruge politikker til avanceret trusselsforebyggelse. Dette aktiverer også filhandlinger og udførelseskontrol, som ikke kan deaktiveres. Udførelseskontrol omfatter registrering af trusler i baggrunden og File Watcher. Dette modul inden for ATP analyserer og abstraherer intentionerne om en bærbar eksekverbar (PE) baseret på dens tilsigtede handlinger og adfærd. Alle filer, der registreres af Execution Control og BTD og File Watcher, behandles baseret på de politikker, der svarer til automatisk karantæne. Disse handlinger udføres baseret på den bærbare eksekverbare fils absolutte stiplacering. |
| Filhandlinger: |
|
|
| Usikker automatisk karantæne for eksekverbar fil med eksekverbar kontrol aktiveret |
Aktiveret | Dette bestemmer, om filer, der betragtes som en alvorlig trussel, automatisk sættes i karantæne. |
| Usikker eksekverbar automatisk upload aktiveret |
Aktiveret |
Indstiller, om alvorlige trusler uploades til cloudmiljøet for at udføre en second opinion-kontrol af disse trusler. |
| Unormal automatisk karantæne for eksekverbar fil med eksekverbar kontrol aktiveret |
Aktiveret |
Dette bestemmer, om filer, der betragtes som en potentiel trussel, automatisk sættes i karantæne. |
| Unormal eksekverbar automatisk overførsel aktiveret |
Aktiveret |
Indstiller, om potentielle trusler uploades til cloudmiljøet for at udføre en second opinion-kontrol af disse trusler. |
| Tillad udførelse af filer i ekskluderede mapper |
Aktiveret |
Dette gælder for politikken Udelad bestemte mapper i politikgruppen Beskyttelsesindstillinger. Dette gør det muligt for eksekverbare filer i de udeladte mapper at køre, selvom de automatisk sættes i karantæne. |
| Automatisk sletning |
Aktiveret |
Dette aktiverer timeren på politikken dage indtil slettet. Dette gælder også for elementer, der er sat i karantæne. Når dagene, indtil slettet er gået, fjernes eventuelle trusler i en karantænemappe automatisk, hvis denne politik er aktiveret. |
| Dage indtil slettet |
14 |
Bestemmer antallet af dage pr. trussel, som et element forbliver i den lokale karantænemappe. |
| Hukommelseshandlinger |
||
| Hukommelsesbeskyttelse aktiveret |
Aktiveret |
Dette aktiverer hukommelsesbeskyttelsesfunktionaliteten, hukommelsesbeskyttelsens modulanalyser og fortolker intentionerne med at køre applikationer ved at overvåge interaktionerne mellem applikationer og operativsystemet i hukommelsen. |
| Aktivér Udeluk eksekverbare filer |
Aktiveret |
Dette gør det muligt at udelukke specifikke eksekverbare filer fra hukommelsesbeskyttelse. |
| Udelad eksekverbare filer |
Varierer afhængigt af miljøet |
Alle tilføjede udelukkelser skal angives ved brug af stien til den eksekverbare fil (udelad drevbogstavet fra stien). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Udnyttelse: Stakkens rotation |
Opsige |
Stakken til en tråd er blevet erstattet med en anden stak. Generelt tildeler computeren kun en enkelt stak til en tråd. En hacker ville bruge en anden stak til at styre udførelsen på en måde, som Forhindring af datakørsel (DEP) ikke blokerer. Gælder for: Windows, valmue |
| Udnyttelse: Stakbeskyttelse |
Opsige |
Hukommelsesbeskyttelsen af en tråds stak er blevet ændret for at aktivere udførelsestilladelse. Stack-hukommelse bør ikke være eksekverbar, så det betyder normalt, at en hacker forbereder sig på at køre ondsindet kode, der er gemt i stack-hukommelsen som en del af en udnyttelse, et forsøg, som Data Execution Prevention (DEP) ellers ikke ville blokere. Gælder for: Windows, valmue |
| Udnyttelse: Overskriv kode |
Opsige |
Kode i en proces' hukommelse er blevet ændret ved hjælp af en teknik, der kan indikere et forsøg på at omgå forhindring af datakørsel (DEP). Gælder for: Windows |
| Udnyttelse: Søg efter scannerhukommelse |
Opsige |
En proces forsøger at læse gyldige magnetstribespordata fra en anden proces, typisk relateret til POS-computere (POS). Gælder for: Windows |
| Udnyttelse: Ondsindet nyttelast |
Opsige |
Der er registreret en generisk shellcode og dataregistrering, der er knyttet til udnyttelsen. Gælder for: Windows |
| Proces injektion: Fjernallokering af hukommelse |
Opsige |
En proces har tildelt hukommelse i en anden proces. De fleste tildelinger sker kun inden for samme proces. Dette indikerer generelt et forsøg på at injicere kode eller data i en anden proces, hvilket kan være et første skridt i at forstærke en ondsindet tilstedeværelse på en computer. Gælder for: Windows, valmue |
| Proces injektion: Fjerntilknytning af hukommelse |
Opsige |
En proces har introduceret kode eller data i en anden proces. Dette kan indikere et forsøg på at begynde at køre kode i en anden proces og forstærke en ondsindet tilstedeværelse. Gælder for: Windows, valmue |
| Proces injektion: Fjernskrivning til hukommelse |
Opsige |
En proces har ændret hukommelsen i en anden proces. Dette er normalt et forsøg på at gemme kode eller data i tidligere allokeret hukommelse (se OutOfProcessAllocation), men det er muligt, at en hacker forsøger at overskrive eksisterende hukommelse for at omdirigere udførelsen til et skadeligt formål. Gælder for: Windows, valmue |
| Proces injektion: Fjernskrivning af PE til hukommelse |
Opsige |
En proces har ændret hukommelsen i en anden proces til at indeholde et eksekverbart billede. Generelt indikerer dette, at en hacker forsøger at køre kode uden først at skrive koden til disken. Gælder for: Windows, valmue |
| Proces injektion: Fjernoverskrivningskode |
Opsige |
En proces har ændret eksekverbar hukommelse i en anden proces. Under normale forhold ændres eksekverbar hukommelse ikke, især ikke ved en anden proces. Dette indikerer normalt et forsøg på at omdirigere udførelsen i en anden proces. Gælder for: Windows, valmue |
| Proces injektion: Fjernafbildning af hukommelse |
Opsige |
En proces har fjernet en eksekverbar Windows-fil fra hukommelsen i en anden proces. Dette kan indikere en hensigt om at erstatte det eksekverbare billede med en ændret kopi for at omdirigere udførelsen. Gælder for: Windows, valmue |
| Proces injektion: Oprettelse af fjerntråd |
Opsige |
En proces har skabt en tråd i en anden proces. En hacker bruger dette til at aktivere en ondsindet tilstedeværelse, der er blevet injiceret i en anden proces. Gælder for: Windows, valmue |
| Proces injektion: Planlagt ekstern APC |
Opsige |
En proces har omdirigeret udførelsen af en anden proces' tråd. En hacker bruger dette til at aktivere en ondsindet tilstedeværelse, der er blevet injiceret i en anden proces. Gælder for: Windows |
| Proces injektion: DYLD-injektion (kun Mac OS X) |
Opsige |
Der er angivet en miljøvariabel, der får et delt bibliotek til at blive injiceret i en startet proces. Angreb kan ændre listen over applikationer som Safari eller erstatte applikationer med bash-scripts, der får deres moduler til at blive indlæst automatisk, når en applikation starter. Gælder for: Mac |
| Eskalering: LSASS Læs |
Opsige |
Hukommelse, der hører til Windows Local Security Authority-processen, er blevet åbnet på en måde, der indikerer et forsøg på at få fat i brugernes adgangskoder. Gælder for: Windows |
| Eskalering: Nul allokering |
Opsige |
Der er tildelt en null-side. Hukommelsesområdet er typisk reserveret, men under visse omstændigheder kan det tildeles. Angreb kan bruge dette til at oprette eskalering af privilegier ved at drage fordel af nogle kendte null-dereference-udnyttelser, typisk i kernen. Gælder for: Windows, valmue |
| Udførelseskontrol |
||
| Undgå lukning af service fra enhed |
Aktiveret |
Når aktiveret forhindres muligheden for at stoppe ATP-tjenesten, selv som computer. Dette forhindrer også, at programmet afinstalleres. |
| Dræb usikker kørende proces og underprocesser |
Aktiveret |
Aktivering af denne funktion gør det muligt at registrere og afslutte enhver hukommelsesbaseret trussel, der afføder underprocesser. |
| Background Threat Detection |
Kør en gang |
Dette bestemmer, om der køres en scanning af eksisterende filer på enheden. Dette kan indstilles til Deaktiveret, Kør én gang eller Kør tilbagevendende. Hvis Se efter nye filer er aktiveret, anbefales det at konfigurere registrering af trusler i baggrunden til at køre én gang. Du skal kun kontrollere eksisterende filer én gang, hvis du også holder øje med nye og opdaterede filer. |
| Se efter nye filer |
Aktiveret |
Hvis du indstiller dette til Aktiveret, kan du registrere og analysere alle filer, der er nyskrevet til enheden, eller som ændres.
Bemærk: Det foreslås at have Se efter nye filer deaktiveret på enheder med høj trafik (såsom filer eller applikationsservere), da dette kan medføre uventede stigninger i disklatenstid, da hver fil skal analyseres, mens den skrives til disken. Dette afhjælpes som standard, da alle bærbare eksekverbare filer, der forsøger at køre, analyseres, mens de forsøger at køre. Dette kan afhjælpes yderligere ved at aktivere og indstille registrering af trusler i baggrunden til at køre tilbagevendende.
|
| Indstil maksimal arkivfilstørrelse til scanning |
150 |
Konfigurerer den maksimale dekomprimerede arkivstørrelse, der kan analyseres Størrelsen er i megabyte. |
| Indstillinger for beskyttelse | ||
| Aktivér Udeluk specifikke mapper (omfatter undermapper) | Aktiveret | Dette gør det muligt at definere mapper i File Watcher og Execution Control baseret på politikken Tillad kørsel af filer i udeladte mapper, der ikke overvåges. |
| Udelad specifikke mapper (omfatter undermapper) | Varierer afhængigt af miljøet | Dette definerer en liste over mapper i File Watcher, der ikke overvåges. Denne politik Tillad kørsel af filer i udeladelsesmapper forhindrer karantæne af filer, der køres fra disse mapper. Denne politik forhindrer scanning af disse mapper af Watch for New Files eller Background Threat Detection. Alle tilføjede undtagelser skal angives ved hjælp af den eksekverbare fils absolutte sti (inkluder drevbogstavet fra stien). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Programstyring | ||
| Programstyring | Disabled | Dette aktiverer muligheden for at begrænse applikationsbaserede ændringer på enheden. Ingen nye programmer kan tilføjes, ingen programmer kan fjernes, og ingen programmer kan ændres eller opdateres. |
| Programkontrol Tilladte mapper | -Tom- | Dette definerer en liste over mapper i programstyringen, der ikke overvåges. Alle tilføjede undtagelser skal angives ved hjælp af den eksekverbare fils absolutte sti (inkluder drevbogstavet fra stien). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Aktivér ændringsvindue | Disabled | Når denne indstilling er aktiveret, deaktiveres programstyring midlertidigt, så der kan foretages ændringer i miljøet. |
| Script-styring | ||
| Script-styring | Aktiveret | Aktiverer brugen af scriptstyring Scriptstyring overvåger programmer og tjenester, der kan køre handlinger i operativsystemet. Disse applikationer kaldes almindeligvis tolke. ATP overvåger disse programmer og tjenester for eventuelle scripts, der forsøger at køre, og baseret på politikker giver det enten besked om, at de er udført, eller blokerer handlingerne fra at finde sted. Disse beslutninger træffes baseret på scriptnavnet og den relative sti, hvorfra scriptet blev kørt. |
| Scriptstyringstilstand | Bloker | Når indstillingen er indstillet til Bloker, køres ingen scriptbaserede elementer. Dette omfatter ethvert aktivt script, makrobaseret script eller PowerShell-baseret script. I senere versioner er disse opdelt i deres egne politikker. Gælder for: 1.2.1371 og tidligere builds af ESSE |
| Aktivt script | Bloker | Når indstillingen er indstillet til Bloker, deaktiverer dette muligheden for at køre JavaScript, VBscript, batch, Python, Perl, PHP, Ruby og mange andre scripts. Gælder for: 1.2.1391 og senere builds af ESSE. |
| Makroer | Bloker | Hvis du indstiller dette til Advarsel, kan du analysere makroer i dokumenter for at afgøre, om de kører potentielt skadelige kommandoer. Hvis der opfattes en trussel, forhindrer indstillingen "Bloker" makroen i at køre. Makroer, der kører ved start, kan forhindre programmet i at blive indlæst. Gælder for: 1.2.1391 og senere builds af ESSE. |
| PowerShell | Bloker | Når indstillingen er angivet til Bloker, forhindrer dette PowerShell-baserede scripts i at køre i miljøet. Gælder for: 1.2.1391 og senere builds af ESSE. |
| Powershell-konsol | Allow (Tillad) | Når indstillingen er indstillet til Blokering, starter PowerShell V3-konsollen og ISE igen. Gælder for: 1.2.1391 og senere builds af ESSE. |
| Aktivér Godkend scripts i mapper (og undermapper) | Aktiveret | Dette gør det muligt at udelukke placeringer fra scriptstyring fra at blive analyseret. |
| Godkend scripts i mapper (og undermapper) | Varierer afhængigt af miljøet | I dette afsnit beskrives de mapper i Scriptstyring, der ikke overvåges.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Global tilladelse | Varierer afhængigt af miljøet | Denne politik udnyttes af afbrudt tilstand til ESSE. Dette giver kunderne mulighed for at have et miljø, der er helt adskilt fra internettet. Denne politik bestemmer specifikke trusselsveje og certifikater, der skal tillades i miljøet. |
| Karantæneliste | Varierer afhængigt af miljøet | Denne politik udnyttes af afbrudt tilstand til ESSE. Dette giver kunderne mulighed for at have et miljø, der er helt adskilt fra internettet. Dette er en defineret liste over kendte hashes, der automatisk sættes i karantæne, når agenten støder på dem. |
| Liste over sikre | Varierer afhængigt af miljøet | Denne politik udnyttes af afbrudt tilstand til ESSE. Dette giver kunderne mulighed for at have et miljø, der er helt adskilt fra internettet. Denne politik bestemmer specifikke trusselhashes, der skal tillades i miljøet. |
| Agentindstillinger | ||
| Undertryk pop op-meddelelser | Disabled | Dette aktiverer eller deaktiverer ESSE's mulighed for at vise en brødristerdialog. |
| Minimum popup-meddelelsesniveau | Høj | Heri defineres, hvad slutbrugeren får besked om, hvis politikken Undertryk pop op-meddelelser er deaktiveret. Høj
Mellem
Lav
|
| Aktivér BIOS-sikkerhed | Aktiveret | Udfører BIOS-integritetskontrol på understøttede Dell-computere (2016-computere og nyere computere i virksomhedsklassen) |
| Aktivér automatisk upload af logfiler | Aktiveret | Dette gør det muligt for helpdesk-medarbejdere at uploade deres logfiler til ATP-plug-in'en automatisk til skyen hver dag ved midnat eller ved 100 MB, alt efter hvad der sker først. |
| Aktivér standardbrugergrænsefladen | Aktiveret | Dette giver mulighed for en ekstra mulighed ved hjælp af Dell Data Security Console på et slutpunkt. Dette gør det muligt for lokale brugere at se, hvilke trusler, hukommelseshændelser eller scripts, der er blevet registreret på det lokale slutpunkt. Denne indstilling findes ved hjælp af højreklikmenuen på slutpunktet eller ved hjælp af indstillingstandhjulet i Dell Data Security Console i en indstilling med titlen Advanced Threat Prevention. Når denne indstilling er valgt, er der flere tilgængelige kontakter, som viser eller skjuler trusler, hukommelseshændelser eller scripts, der er blevet opdaget på den pågældende computer. Denne politik kræver, at Dell Encryption Management Agent er version 8.18.0 eller nyere. |
For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.