Рекомендовані політики Dell для розширеного захисту та запобігання загрозам Dell Endpoint Security Suite Enterprise

Розширена профілактика загроз (первинний комутатор)

На

Це значення політики визначає, чи можуть клієнти використовувати політики для розширеного запобігання загрозам.

Це також вмикає дії з файлами та керування виконанням, які не можна вимкнути.

Контроль виконання охоплює фонове виявлення загроз і спостереження за файлами. Цей модуль ATP аналізує та абстрагує наміри портативного виконуваного файлу (PE) на основі його передбачуваних дій та поведінки. Усі файли, виявлені за допомогою Execution Control, а також BTD і File Watcher, обробляються відповідно до політик, які корелюють з автоматичним карантином. Ці дії виконуються на основі абсолютного шляху розташування Portable Executable.

Дії з файлом:

Небезпечний виконуваний автоматичний карантин із увімкненим виконуваним керуванням

Увімкнено автоматичне завантаження небезпечного виконуваного файлу

Включений

Визначає, чи завантажувати серйозні загрози в хмару для повторної перевірки цих загроз.

Аномальний виконуваний автоматичний карантин із увімкненим виконуваним керуванням

Вимкнуто

Від цього залежить, чи будуть файли, які вважаються потенційною загрозою, автоматично поміщатися в карантин.

Увімкнено автоматичне завантаження ненормального виконуваного файлу

Включений

Визначає, чи завантажувати потенційні загрози в хмару для перевірки другої думки щодо цих загроз.

Уможливлено виконання файлів у виключених теках

Включений

Це стосується політики виключення певних папок у групі політик «Параметри захисту». Це дає змогу виконувати виконувані файли в папках «Виключені», навіть якщо їх автоматично поміщено в карантин.

Автоматичне видалення

Вимкнуто

Це вмикає таймер для політики «Дні до видалення». Це стосується елементів, які перебувають у карантині, і після завершення періоду «Дні до видалення» будь-які загрози в папці карантину автоматично видаляються, якщо це правило ввімкнено.

Днів до видалення

14

Цей параметр визначає кількість днів, протягом яких елемент залишається в локальній папці карантину.

Дії на пам'ять

Захист пам'яті ввімкнено

Включений

Це забезпечує функціональність захисту пам'яті Модуль захисту пам'яті аналізує та інтерпретує наміри запущених програм, відстежуючи взаємодію між програмами та операційною системою в пам'яті.

Увімкніть параметр Виключити виконувані файли

Включений

Це дозволяє виключити певні виконувані файли із захисту пам'яті.

Виключення виконуваних файлів

Порожній

Усі додані виключення потрібно вказувати за допомогою відносного шляху до цього виконуваного файлу (виключіть літеру диска зі шляху).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Експлуатації: Стек Pivot

Оповіщення

Стек для потоку замінено на інший стек. Як правило, комп'ютер виділяє один стек для потоку. Зловмисник використовуватиме інший стек для керування виконанням таким чином, що Data Execution Prevention (DEP) не може заблокувати.

Застосовується до: Windows, Mac

Експлуатації: Захист стека

Оповіщення

Захист пам'яті стека потоку було змінено, щоб увімкнути дозвіл на виконання. Стекова пам'ять не повинна бути виконуваною, тому зазвичай це означає, що зловмисник готується запустити шкідливий код, який зберігається в пам'яті стека як частина експлойта, спробу, яку в іншому випадку заблокувала б система запобігання виконанню даних (DEP).

Застосовується до: Windows, Mac

Експлуатації: Перезаписати код

Оповіщення

Код, що знаходиться в пам'яті процесу, був змінений за допомогою методу, який може вказувати на спробу обійти запобігання виконанню даних (DEP).

Застосовується до: Вікна

Експлуатації: Пошук у пам'яті сканера

Оповіщення

Процес намагається зчитати дійсні дані доріжки магнітної смуги з іншого процесу. Зазвичай пов'язані з комп'ютерами в торгових точках (POS)

Застосовується до: Вікна

Експлуатації: Шкідливе корисне навантаження

Оповіщення

Процес намагається зчитати дійсні дані доріжки магнітної смуги з іншого процесу. Зазвичай пов'язані з комп'ютерами в торгових точках (POS)

Застосовується до: Вікна

Експлуатації: Шкідливе корисне навантаження

Оповіщення

Виявлено загальний shellcode і виявлення корисного навантаження, пов'язаного з експлуатацією.

Застосовується до: Вікна

Процес ін'єкції: Віддалений розподіл пам'яті

Оповіщення

Один процес виділив пам'ять в іншому процесі. Більшість розподілів відбувається лише в межах одного процесу. Зазвичай це вказує на спробу впровадити код або дані в інший процес, що може бути першим кроком у посиленні зловмисної присутності на комп'ютері.

Застосовується до: Windows, Mac

Процес ін'єкції: Віддалене відображення пам'яті

Оповіщення

Процес ввів код або дані в інший процес. Це може вказувати на спробу запуску коду в іншому процесі та посилити присутність зловмисників.

Застосовується до: Windows, Mac

Процес ін'єкції: Віддалений запис в пам'ять

Оповіщення

Один процес модифікував пам'ять в іншому процесі. Зазвичай це спроба зберегти код або дані в раніше виділеній пам'яті (див. OutofProcessAllocation), але можливо, що зловмисник намагається перезаписати існуючу пам'ять, щоб перенаправити виконання для зловмисної мети.

Застосовується до: Windows, Mac

Процес ін'єкції: Віддалений запис PE в пам'ять

Оповіщення

Процес змінив пам'ять в іншому процесі, щоб він містив виконуваний образ. Як правило, це вказує на те, що зловмисник намагається запустити код без попереднього запису цього коду на диск.

Застосовується до: Windows, Mac

Процес ін'єкції: Віддалений перезапис коду

Оповіщення

Процес змінив виконувану пам'ять в іншому процесі. У звичайних умовах виконувана пам'ять не модифікується, особливо іншим процесом. Зазвичай це вказує на спробу перенаправити виконання в інший процес.

Застосовується до: Windows, Mac

Процес ін'єкції: Віддалене розблокування карти пам'яті

Оповіщення

Процес видалив виконуваний файл Windows з пам'яті іншого процесу. Це може вказувати на намір замінити виконуваний образ зміненою копією для відволікання виконання.

Застосовується до: Windows, Mac

Процес ін'єкції: Створення віддалених потоків

Оповіщення

Процес створив ланцюжок в іншому процесі. Зловмисник використовує це, щоб активувати шкідливу присутність, яка була впроваджена в інший процес.

Застосовується до: Windows, Mac

Процес ін'єкції: Віддалений APC за розкладом

Оповіщення

Процес відвернув виконання потоку іншого процесу. Зловмисник використовує це, щоб активувати шкідливу присутність, яка була впроваджена в інший процес.

Застосовується до: Вікна

Процес ін'єкції: DYLD-ін'єкція (лише для Mac OS X)

Оповіщення

Встановлено змінну середовища, яка спричиняє впровадження спільної бібліотеки у запущений процес. Атаки можуть змінювати список програм, таких як Safari, або замінювати програми сценаріями bash, які спричиняють автоматичне завантаження їхніх модулів під час запуску програми.

Застосовується до: Комп'ютер Mac

Ескалація: LSASS Читати

Оповіщення

Доступ до пам'яті, що належить до процесу локального центру безпеки Windows, був отриманий у спосіб, що вказує на спробу отримати паролі користувачів.

Застосовується до: Вікна

Ескалація: Нульовий розподіл

Оповіщення

Виділено нульову сторінку. Область пам'яті, як правило, зарезервована, але за певних обставин вона може бути виділена. Атаки можуть використовувати це для налаштування підвищення привілеїв, використовуючи деякі відомі експлойти нульового розіменування, як правило, в ядрі.

Застосовується до: Windows, Mac

Контроль виконання

Запобігти вимкненню служби з пристрою

Вимкнуто

Якщо ввімкнено, це запобігає можливості зупинити службу ATP. Це також запобігає видаленню програми.

Знищення небезпечного запущеного процесу та підпроцесів

Вимкнуто

Увімкнення цієї функції дозволяє виявляти та припиняти будь-яку загрозу на основі пам'яті, яка породжує підпроцеси.

Фонове виявлення загроз

Запустити один раз

Цей параметр визначає, чи виконується сканування наявних файлів на пристрої. Для цього параметра можна встановити значення «Вимкнено», «Запустити один раз» або «Повторюваний запуск».

Якщо ввімкнено функцію «Стежити за новими файлами», рекомендується налаштувати виявлення фонових загроз на одноразовий запуск. Наявні файли потрібно перевіряти один раз, лише якщо ви також стежите за новими та оновленими файлами.

Слідкуйте за новими файлами

Включений

Якщо встановити для цього параметра значення Увімкнено, можна виявляти та аналізувати будь-які файли, які було записано на пристрій або змінено.

Встановіть максимальний розмір файлу архіву для сканування

150

Налаштовує максимальний розмір розпакованого архіву, який можна проаналізувати Розмір вказано у мегабайтах.

Визначає список тек у File Watcher, які не відстежуються, політика Дозволити виконання файлів у Виключення тек запобігає карантину будь-яких файлів, запущених із цих каталогів. Ця політика забороняє сканування цих каталогів за допомогою функції «Стежити за новими файлами» або «Виявлення фонових загроз».

Усі додані виключення потрібно вказувати за абсолютним шляхом до цього виконуваного файлу (включно з літерою диска зі шляху).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe

За допомогою цього пункту можна визначити список тек у елементах керування програмами, за якими не ведеться моніторинг.

Усі додані виключення потрібно вказувати за абсолютним шляхом до цього виконуваного файлу (включно з літерою диска зі шляху).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe

Дозволяє використовувати Script Control

Script Control відстежує програми та служби, які можуть виконувати дії в операційній системі. Ці програми прийнято називати інтерпретаторами. ATP відстежує ці програми та служби на наявність будь-яких скриптів, які намагаються запустити, і, ґрунтуючись на політиках, або повідомляє про вжиті ними дії, або блокує їх виконання. Ці рішення приймаються на основі назви сценарію та відносного шляху, за яким було запущено скрипт.

Якщо встановлено значення Блокувати, жодні елементи на основі скриптів не запускаються. Це стосується будь-якого активного сценарію, сценарію на основі макросів або сценарію на основі PowerShell. У пізніших версіях вони відокремлені у власні правила.

Застосовується до: 1.2.1371 і більш ранні збірки ESSE

Якщо встановлено значення Block, це вимикає можливість запускати JavaScript, VBscript, batch, Python, Perl, PHP, Ruby та багато інших скриптів.

Застосовується до: 1.2.1391 і пізніші збірки ESSE.

Якщо встановити для цього параметра значення Оповіщення, можна аналізувати макроси в документах, щоб визначити, чи не виконують вони потенційно шкідливі команди. Якщо загроза помітна, параметр Блок забороняє виконання макросу. Макроси, які виконуються під час запуску, можуть перешкоджати завантаженню програми.

Застосовується до: 1.2.1391 і пізніші збірки ESSE.

Якщо встановлено значення Блокувати, це запобігає запуску будь-яких сценаріїв на основі PowerShell у середовищі.

Застосовується до: 1.2.1391 і пізніші збірки ESSE.

Якщо встановлено значення Блокувати, це запобігає запуску консолі PowerShell V3 та ISE.

Застосовується до: 1.2.1391 і пізніші збірки ESSE.

У цьому розділі докладно описано папки в Управлінні сценаріями, які не контролюються.

• Шляхи до папок можуть бути до локального диска, зіставленого мережевого диска або шляху до універсальної угоди про іменування (UNC).
• У виключеннях папок сценарію має бути вказано відносний шлях до папки або вкладеної папки.
• Будь-який вказаний шлях до папки також включає будь-які вкладені папки.
• Символи узагальнення не підтримуються.

Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs

Ця політика використовується в режимі відключення для ESSE. Це дозволяє клієнтам мати середовище, повністю відокремлене від Інтернету.

Ця політика визначає конкретні шляхи загроз і сертифікати, які мають бути дозволені в середовищі.

Ця політика використовується в режимі відключення для ESSE. Це дозволяє клієнтам мати середовище, повністю відокремлене від Інтернету.

Це визначений список відомих поганих хешів, який автоматично поміщається в карантин при виявленні агентом.

Ця політика використовується в режимі відключення для ESSE. Це дозволяє клієнтам мати середовище, повністю відокремлене від Інтернету.

Ця політика визначає конкретні хеші загроз, які мають бути дозволені в середовищі.

Цей параметр визначає, що сповіщатиметься кінцевому користувачеві, якщо політику Заборонити спливаючі сповіщення вимкнено.

Високий

• Статус захисту змінився. (Захищено означає, що служба розширеного запобігання загрозам працює та захищає комп'ютер і не потребує взаємодії з користувачем або адміністратором.)
• Загрозу виявлено, і політику не налаштовано на автоматичне реагування на неї.

Середнє

• Контроль виконання заблокував запуск процесу, оскільки він був виявлений як загроза.
• Виявлено загрозу, з якою пов'язане пом'якшення наслідків (наприклад, загрозу було поміщено в карантин вручну), тому процес було припинено.
• Процес було заблоковано або припинено через порушення пам'яті.
• Виявлено порушення в пам'яті, і для цього типу не діє політика автоматичного пом'якшення наслідків.

Низький

• Файл, який було визначено як загрозу, додано до глобального безпечного списку або видалено з файлової системи.
• Загрозу виявлено та автоматично поміщено в карантин.
• Файл визначено як загрозу, але на комп'ютері його видалено.
• Статус поточної загрози змінився. Наприклад, «Загроза карантину», «На карантині – відмова» або «Відмова – на карантині».

Розширена профілактика загроз (первинний комутатор)

На

Це значення політики визначає, чи можуть клієнти використовувати політики для розширеного запобігання загрозам.

Це також вмикає File Actions та Execution Control, які не можна вимкнути.

Контроль виконання охоплює виявлення фонових загроз і спостереження за файлами. Цей модуль ATP аналізує та абстрагує наміри портативного виконуваного файлу (PE) на основі його передбачуваних дій та поведінки. Усі файли, виявлені за допомогою Контролю виконання, BTD і File Watcher, обробляються відповідно до політик, які корелюють з автоматичним карантином. Ці дії виконуються на основі абсолютного шляху розташування Portable Executable.

Дії з файлом:

Небезпечний виконуваний автоматичний карантин із увімкненим виконуваним керуванням

Увімкнено автоматичне завантаження небезпечного виконуваного файлу

Включений

Визначає, чи завантажувати серйозні загрози в хмару для повторної перевірки цих загроз.

Аномальний виконуваний автоматичний карантин із увімкненим виконуваним керуванням

Включений

Від цього залежить, чи будуть файли, які вважаються потенційною загрозою, автоматично поміщатися в карантин.

Увімкнено автоматичне завантаження ненормального виконуваного файлу

Включений

Визначає, чи завантажувати потенційні загрози в хмару для перевірки другої думки щодо цих загроз.

Уможливлено виконання файлів у виключених теках

Включений

Це стосується політики «Виключити певні папки» у групі політик «Параметри захисту». Це дає змогу виконувати виконувані файли в папках «Виключені», навіть якщо їх автоматично поміщено в карантин.

Автоматичне видалення

Включений

Це вмикає таймер на дні до видалення, це також стосується елементів у карантині. Коли мине кілька днів до видалення, будь-які загрози в папці карантину автоматично видаляються, якщо це правило ввімкнено.

Днів до видалення

14

Визначає кількість днів, протягом яких елемент залишається в локальній папці карантину.

Дії на пам'ять

Захист пам'яті ввімкнено

Включений

Це дозволяє використовувати функцію захисту пам'яті, модуль захисту пам'яті аналізує та інтерпретує наміри запущених програм, відстежуючи взаємодію між програмами та операційною системою в пам'яті.

Увімкніть параметр Виключити виконувані файли

Включений

Це дозволяє виключити певні виконувані файли із захисту пам'яті.

Виключення виконуваних файлів

Залежить від навколишнього середовища

Усі додані виключення потрібно вказувати за допомогою відносного шляху до цього виконуваного файлу (виключіть літеру диска зі шляху).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Експлуатації: Стек Pivot

Припинити

Стек для потоку замінено на інший стек. Як правило, комп'ютер виділяє лише один стек для потоку. Зловмисник використовує інший стек для керування виконанням таким чином, щоб Data Execution Prevention (DEP) не блокував.

Застосовується до: Windows, Mac

Експлуатації: Захист стека

Припинити

Захист пам'яті стека потоку було змінено, щоб увімкнути дозвіл на виконання. Стекова пам'ять не повинна бути виконуваною, тому зазвичай це означає, що зловмисник готується запустити шкідливий код, який зберігається в пам'яті стека як частина експлойта, спробу, яку в іншому випадку Data Execution Prevention (DEP) не заблокувала б.

Застосовується до: Windows, Mac

Експлуатації: Перезаписати код

Припинити

Код, що знаходиться в пам'яті процесу, був змінений за допомогою методу, який може вказувати на спробу обійти запобігання виконанню даних (DEP).

Застосовується до: Вікна

Експлуатації: Пошук у пам'яті сканера

Припинити

Процес намагається зчитати дійсні дані доріжок магнітної смуги з іншого процесу, зазвичай пов'язаного з комп'ютерами в точках продажу (POS).

Застосовується до: Вікна

Експлуатації: Шкідливе корисне навантаження

Припинити

Виявлено загальний shellcode і виявлення корисного навантаження, пов'язаного з експлуатацією.

Застосовується до: Вікна

Процес ін'єкції: Віддалений розподіл пам'яті

Припинити

Один процес виділив пам'ять в іншому процесі. Більшість розподілів відбувається лише в межах одного процесу. Зазвичай це вказує на спробу впровадити код або дані в інший процес, що може бути першим кроком у посиленні зловмисної присутності на комп'ютері.

Застосовується до: Windows, Mac

Процес ін'єкції: Віддалене відображення пам'яті

Припинити

Процес ввів код або дані в інший процес. Це може вказувати на спробу запуску коду в іншому процесі та посилити присутність зловмисників.

Застосовується до: Windows, Mac

Процес ін'єкції: Віддалений запис в пам'ять

Припинити

Один процес модифікував пам'ять в іншому процесі. Зазвичай це спроба зберегти код або дані в раніше виділеній пам'яті (див. OutOfProcessAllocation), але можливо, що зловмисник намагається перезаписати існуючу пам'ять, щоб перенаправити виконання для зловмисної мети.

Застосовується до: Windows, Mac

Процес ін'єкції: Віддалений запис PE в пам'ять

Припинити

Процес змінив пам'ять в іншому процесі, щоб він містив виконуваний образ. Як правило, це вказує на те, що зловмисник намагається запустити код без попереднього запису цього коду на диск.

Застосовується до: Windows, Mac

Процес ін'єкції: Віддалений перезапис коду

Припинити

Процес змінив виконувану пам'ять в іншому процесі. У звичайних умовах виконувана пам'ять не модифікується, особливо іншим процесом. Зазвичай це вказує на спробу перенаправити виконання в інший процес.

Застосовується до: Windows, Mac

Процес ін'єкції: Віддалене розблокування карти пам'яті

Припинити

Процес видалив виконуваний файл Windows з пам'яті іншого процесу. Це може вказувати на намір замінити виконуваний образ зміненою копією для відволікання виконання.

Застосовується до: Windows, Mac

Процес ін'єкції: Створення віддалених потоків

Припинити

Процес створив ланцюжок в іншому процесі. Зловмисник використовує це, щоб активувати шкідливу присутність, яка була впроваджена в інший процес.

Застосовується до: Windows, Mac

Процес ін'єкції: Віддалений APC за розкладом

Припинити

Процес відвернув виконання потоку іншого процесу. Зловмисник використовує це, щоб активувати шкідливу присутність, яка була впроваджена в інший процес.

Застосовується до: Вікна

Процес ін'єкції: DYLD-ін'єкція (лише для Mac OS X)

Припинити

Встановлено змінну середовища, яка спричиняє впровадження спільної бібліотеки у запущений процес. Атаки можуть змінювати список програм, таких як Safari, або замінювати програми сценаріями bash, які спричиняють автоматичне завантаження їхніх модулів під час запуску програми.

Застосовується до: Комп'ютер Mac

Ескалація: LSASS Читати

Припинити

Доступ до пам'яті, що належить до процесу локального центру безпеки Windows, був отриманий у спосіб, що вказує на спробу отримати паролі користувачів.

Застосовується до: Вікна

Ескалація: Нульовий розподіл

Припинити

Виділено нульову сторінку. Область пам'яті, як правило, зарезервована, але за певних обставин вона може бути виділена. Атаки можуть використовувати це для налаштування підвищення привілеїв, використовуючи переваги деяких відомих експлойтів нульового розіменування, як правило, в ядрі.

Застосовується до: Windows, Mac

Контроль виконання

Запобігти вимкненню служби з пристрою

Включений

Якщо ввімкнено, це запобігає можливості зупинити службу ATP, навіть якщо це комп'ютер. Це також запобігає видаленню програми.

Знищення небезпечного запущеного процесу та підпроцесів

Включений

Увімкнення цієї функції дозволяє виявляти та припиняти будь-яку загрозу на основі пам'яті, яка породжує підпроцеси.

Фонове виявлення загроз

Запустити один раз

Цей параметр визначає, чи виконується сканування наявних файлів на пристрої. Для цього параметра можна встановити значення «Вимкнено», «Запустити один раз» або «Повторюваний запуск».

Якщо ввімкнено функцію «Стежити за новими файлами», рекомендується налаштувати виявлення фонових загроз на одноразовий запуск. Наявні файли потрібно перевіряти один раз, лише якщо ви також стежите за новими та оновленими файлами.

Слідкуйте за новими файлами

Включений

Якщо встановити для цього параметра значення Увімкнено, можна виявляти та аналізувати будь-які файли, які було записано на пристрій або змінено.

Встановіть максимальний розмір файлу архіву для сканування

150

Налаштовує максимальний розмір розпакованого архіву, який можна проаналізувати Розмір вказано у мегабайтах.

Це визначає список тек у File Watcher, які не контролюються. Ця політика дозволу на виконання файлів у виключенні папок забороняє карантинування будь-яких файлів, запущених із цих каталогів. Ця політика забороняє сканування цих каталогів за допомогою функції «Стежити за новими файлами» або «Виявлення фонових загроз».

Усі додані виключення потрібно вказувати за допомогою параметра Абсолютний шлях до цього виконуваного файлу (включно з літерою диска зі шляху).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe

За допомогою цього пункту можна визначити список тек у елементах керування програмами, за якими не ведеться моніторинг.

Усі додані виключення потрібно вказувати за допомогою параметра Абсолютний шлях до цього виконуваного файлу (включно з літерою диска зі шляху).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe

Уможливлює використання керування сценарієм

Script Control відстежує програми та служби, які можуть виконувати дії в операційній системі. Ці програми прийнято називати інтерпретаторами. ATP відстежує ці програми та служби на наявність будь-яких скриптів, які намагаються запустити, і, ґрунтуючись на політиках, або повідомляє про вжиті ними дії, або блокує виконання дій. Ці рішення приймаються на основі назви скрипту та відносного шляху, з якого було запущено скрипт.

Якщо встановлено значення Блокувати, жодні елементи на основі скриптів не запускатимуться. Це стосується будь-якого активного сценарію, сценарію на основі макросів або сценарію на основі PowerShell. У пізніших версіях вони відокремлені у власні правила.

Застосовується до: 1.2.1371 і більш ранні збірки ESSE

Якщо встановлено значення Block, це вимикає можливість запускати JavaScript, VBscript, batch, Python, Perl, PHP, Ruby та багато інших скриптів.

Застосовується до: 1.2.1391 і пізніші збірки ESSE.

Якщо встановити для цього параметра значення Оповіщення, можна аналізувати макроси в документах, щоб визначити, чи не виконують вони потенційно шкідливі команди. Якщо загроза сприймається, настройка «Блокувати» перешкоджає запуску макросу. Макроси, які виконуються під час запуску, можуть перешкоджати завантаженню програми.

Застосовується до: 1.2.1391 і пізніші збірки ESSE.

Якщо встановлено значення Блокувати, це запобігає запуску будь-яких сценаріїв на основі PowerShell у середовищі.

Застосовується до: 1.2.1391 і пізніші збірки ESSE.

Якщо встановлено значення Блокувати, консоль PowerShell V3 та ISE не запускаються.

Застосовується до: 1.2.1391 і пізніші збірки ESSE.

У цьому розділі докладно описано папки в Управлінні сценаріями, які не контролюються.

• Шляхи до папок можуть бути до локального диска, зіставленого мережевого диска або шляху до універсальної угоди про іменування (UNC).
• У виключеннях папок сценарію має бути вказано відносний шлях до папки або вкладеної папки.
• Будь-який вказаний шлях до папки також включає будь-які вкладені папки.
• Символи узагальнення не підтримуються.

Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs

Ця політика використовується в режимі відключення для ESSE. Це дозволяє клієнтам мати середовище, повністю відокремлене від Інтернету.

Ця політика визначає конкретні шляхи загроз і сертифікати, які мають бути дозволені в середовищі.

Ця політика використовується в режимі відключення для ESSE. Це дозволяє клієнтам мати середовище, повністю відокремлене від Інтернету.

Це визначений список свідомих-поганих хешів, які автоматично поміщаються в карантин при виявленні агентом.

Ця політика використовується в режимі відключення для ESSE. Це дозволяє клієнтам мати середовище, повністю відокремлене від Інтернету.

Ця політика визначає конкретні хеші загроз, які мають бути дозволені в середовищі.

Цей параметр визначає, що сповіщатиметься кінцевому користувачеві, якщо політику «Заборонити спливаючі сповіщення» вимкнено.

Високий

• Статус захисту змінився. (Захищено означає, що служба розширеного запобігання загрозам працює та захищає комп'ютер і не потребує взаємодії з користувачем або адміністратором.)
• Загрозу виявлено, і політику не налаштовано на автоматичне реагування на неї.

Середнє

• Контроль виконання заблокував запуск процесу, оскільки він був виявлений як загроза.
• Виявлено загрозу, з якою пов'язане пом'якшення наслідків (наприклад, загрозу було поміщено в карантин вручну), тому процес було припинено.
• Процес було заблоковано або припинено через порушення пам'яті.
• Виявлено порушення в пам'яті, і для цього типу не діє політика автоматичного пом'якшення наслідків.

Низький

• Файл, визначений як загроза, додано до глобального безпечного списку або видалено з файлової системи.
• Загрозу виявлено та автоматично поміщено в карантин.
• Файл визначено як загрозу, але на комп'ютері його видалено.
• Змінився статус поточної загрози (наприклад, «Загроза карантину», «Карантин» — «Відмовлено» або «Відмовлено — карантин»).