Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Dellin suosittelemat käytännöt Dell Endpoint Security Suite Enterprisen kehittyneelle uhkien torjunnalle ja -estolle

Summary: Dell Endpoint Security Suite Enterprise tarjoaa ennaltaehkäisyä ja suojausta nykypäivän uusimpia ja tuhoisimpia uhkia vastaan.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Huomautus:

Tuotteet, joita asia koskee:

  • Dell Endpoint Security Suite Enterprise

Cause

Ei sovellettavissa

Resolution

Advanced Threat Prevention (ATP) -toimintoa suositellaan oletusarvoisesti suoritettavaksi aluksi oppimistilassa. Kaikki uhkatiedot kerätään, jotta järjestelmänvalvojat voivat hallita uhkia ja mahdollisesti ei-toivottuja ohjelmia (PUP) joustavasti ympäristössään ja sallia tärkeät sovellukset.

Lisätietoja käytäntöjen muokkaamisesta Dell Endpoint Security Suite Enterprisessa on artikkelissa Dell Data Protection -palvelimen käytäntöjen muokkaaminen.

Lisätietoja ja säännöt poikkeusten luomisesta Dell Endpoint Security Suite Enterprisessa ovat artikkelissa Poikkeusten lisääminen Dell Endpoint Security Suite Enterprisessa.

Huomautus: Sovellus- ja tiedostopalvelimilla on oltava erityistä huomiota taustauhkien havaitsemiseen ja uusien tiedostojen tarkkailuun. Nämä määritellään jäljempänä. Dell Security Management Serverin päätepisteryhmä erottaa nämä laitteet toisistaan, jotta näiden laitteiden käytännöt voivat poiketa ympäristön muista laitteista.
Huomautus: Nämä käytännöt vastaavat Dell Security Management Serverin versiota 10.2.3.
Käytännön arvo Ehdotettu arvo Käytännön kuvaus

Advanced Threat Prevention (ensisijainen kytkin)

Palaa

Tämä käytännön arvo määrittää, voivatko asiakkaat käyttää Advanced Threat Prevention -käytäntöjä.

Tämä mahdollistaa myös tiedostotoiminnot ja suorituksenhallinnan, joita ei voi poistaa käytöstä.

Suorituksen hallinta kattaa taustauhkien havaitsemisen ja tiedostojen tarkkailun. Tämä ATP: n moduuli analysoi ja abstrahoi kannettavan suoritettavan tiedoston (PE) aikomukset sen aiottujen toimien ja käyttäytymisen perusteella. Kaikki Execution Control sekä BTD ja File Watcher havaitsevat tiedostot käsitellään automaattista karanteenia vastaavien käytäntöjen perusteella. Nämä toimet suoritetaan kannettavan suoritettavan tiedoston absoluuttisen polun sijainnin perusteella.

Tiedostotoiminnot:

 

 

Vaarallinen suoritettava automaattinen karanteeni, kun suoritettava hallinta on käytössä

Ei käytössä Tämä määrittää, asetetaanko vakavana uhkana pidetyt tiedostot automaattisesti karanteeniin.

Vaarallinen suoritettava automaattinen lataus käytössä

Käytössä

Määrittää, ladataanko vakavat uhat pilvipalveluun, jotta nämä uhat voidaan tarkistaa toisen mielipiteen perusteella.

Epänormaali suoritettava automaattinen karanteeni, kun suoritettava hallinta on käytössä

Ei käytössä

Tämä määrittää, asetetaanko mahdollisena uhkana pidetyt tiedostot automaattisesti karanteeniin.

Epänormaalin suoritettavan tiedoston automaattinen lataus käytössä

Käytössä

Määrittää, ladataanko mahdolliset uhat pilvipalveluun, jotta nämä uhat voidaan tarkistaa toisen mielipiteen perusteella.

Salli tiedostojen suorittaminen Exclude Folders -kohdassa

Käytössä

Tämä koskee käytäntöä Jätä pois tiettyjä kansioita suojausasetukset-käytäntöryhmässä. Tämä sallii poissuljetuissa kansioissa olevien suoritettavien tiedostojen suorittamisen, vaikka ne asetettaisiin automaattisesti karanteeniin.

Automaattinen poisto

Ei käytössä

Tämä ottaa ajastimen käyttöön Päiviä ennen poistoa -käytännölle. Tämä koskee karanteeniin asetettuja kohteita, kun Päiviä poistettuun -aika on kulunut, kaikki karanteenikansiossa olevat uhat poistetaan automaattisesti, jos tämä käytäntö on käytössä.

Päiviä poistamiseen

14

Tämä määrittää, kuinka monta päivää kohde pysyy uhkakohtaisesti paikallisessa karanteenikansiossa.

Muistitoiminnot

   

Muistisuojaus käytössä

Käytössä

Tämä mahdollistaa muistisuojaustoiminnon Memory Protection -moduuli analysoi ja tulkitsee sovellusten suorittamisen tarkoituksen valvomalla sovellusten ja muistissa olevan käyttöjärjestelmän vuorovaikutusta.

Ota käyttöön Ohita suoritettavat tiedostot

Käytössä

Tämän ansiosta tietyt suoritettavat tiedostot voidaan jättää muistisuojauksen ulkopuolelle.

Sulje pois suoritettavat tiedostot

Tyhjä

Kaikki poikkeukset on määritettävä käyttämällä suoritettavan tiedoston suhteellista polkua (ilman asemakirjainta).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Hyväksikäyttö: Pinon kierto

Hälytys

Langan pino on korvattu toisella pinolla. Yleensä tietokone varaa yhden pinon säikeelle. Hyökkääjä käyttää eri pinoa suorituksen hallintaan tavalla, jota tietojen suorittamisen estäminen (DEP) ei voi estää.

Koskee seuraavia: Windows, Mac

Hyväksikäyttö: Pinon suojaus

Hälytys

Säikepinon muistisuojausta on muutettu niin, että se mahdollistaa suoritusoikeuden. Pinomuistin ei pitäisi olla suoritettavaa, joten yleensä tämä tarkoittaa, että hyökkääjä valmistautuu suorittamaan haitallista koodia, joka on tallennettu pinon muistiin osana hyväksikäyttöä, minkä tietojen suorittamisen estäminen (DEP) estäisi muuten.

Koskee seuraavia: Windows, Mac

Hyväksikäyttö: Korvauskoodi

Hälytys

Prosessin muistissa olevaa koodia on muokattu tekniikalla, joka saattaa viitata yritykseen ohittaa tietojen suorittamisen esto (DEP).

Koskee seuraavia: Windows

Hyväksikäyttö: Skannerin muistihaku

Hälytys

Prosessi yrittää lukea kelvollisia magneettijuovan tietoja toisesta prosessista. Liittyy tyypillisesti myyntipistetietokoneisiin

Koskee seuraavia: Windows

Hyväksikäyttö: Haitallinen tietosisältö

Hälytys

Prosessi yrittää lukea kelvollisia magneettijuovan tietoja toisesta prosessista. Liittyy tyypillisesti myyntipistetietokoneisiin

Koskee seuraavia: Windows

Hyväksikäyttö: Haitallinen tietosisältö

Hälytys

Yleinen liittymäkoodin ja hyötykuorman tunnistus, joka liittyy hyväksikäyttöön, on havaittu.

Koskee seuraavia: Windows

Prosessin ruiskutus: Muistin etävaraus

Hälytys

Prosessi on varannut muistin toiseen prosessiin. Useimmat kohdistukset tapahtuvat vain samassa prosessissa. Tämä tarkoittaa yleensä yritystä lisätä koodia tai tietoja toiseen prosessiin, mikä voi olla ensimmäinen askel haitallisen läsnäolon vahvistamisessa tietokoneessa.

Koskee seuraavia: Windows, Mac

Prosessin ruiskutus: Muistin etäkartoitus

Hälytys

Prosessi on lisännyt koodin tai tietoja toiseen prosessiin. Tämä voi olla merkki yrityksestä aloittaa koodin suorittaminen toisessa prosessissa ja vahvistaa haitallista läsnäoloa.

Koskee seuraavia: Windows, Mac

Prosessin ruiskutus: Etäkirjoitus muistiin

Hälytys

Prosessi on muokannut muistia toisessa prosessissa. Tämä on yleensä yritys tallentaa koodi tai tiedot aiemmin varattuun muistiin (katso OutofProcessAllocation), mutta on mahdollista, että hyökkääjä yrittää korvata olemassa olevan muistin ohjatakseen suorituksen haitalliseen tarkoitukseen.

Koskee seuraavia: Windows, Mac

Prosessin ruiskutus: PE:n etäkirjoitus muistiin

Hälytys

Prosessi on muokannut toisen prosessin muistia sisältämään suoritettavan näköistiedoston. Yleensä tämä tarkoittaa, että hyökkääjä yrittää suorittaa koodia kirjoittamatta koodia ensin levylle.

Koskee seuraavia: Windows, Mac

Prosessin ruiskutus: Etäkorvauskoodi

Hälytys

Prosessi on muokannut suoritettavaa muistia toisessa prosessissa. Normaaleissa olosuhteissa suoritettavaa muistia ei muuteta, erityisesti toisella prosessilla. Tämä tarkoittaa yleensä yritystä ohjata suoritusta toisessa prosessissa.

Koskee seuraavia: Windows, Mac

Prosessin ruiskutus: Muistin etäpoisto

Hälytys

Prosessi on poistanut suoritettavan Windows-tiedoston toisen prosessin muistista. Tämä saattaa viitata aikomukseen korvata suoritettava kuva muokatulla kopiolla suorituksen ohjaamiseksi muualle.

Koskee seuraavia: Windows, Mac

Prosessin ruiskutus: Säikeen etäluonti

Hälytys

Prosessi on luonut säikeen toisessa prosessissa. Hyökkääjä aktivoi tämän avulla haitallisen läsnäolon, joka on lisätty toiseen prosessiin.

Koskee seuraavia: Windows, Mac

Prosessin ruiskutus: Etä-APC ajoitettu

Hälytys

Prosessi on ohjannut toisen prosessin säikeen suorittamisen. Hyökkääjä aktivoi tämän avulla haitallisen läsnäolon, joka on lisätty toiseen prosessiin.

Koskee seuraavia: Windows

Prosessin ruiskutus: DYLD-injektio (vain Mac OS X)

Hälytys

On määritetty ympäristömuuttuja, joka aiheuttaa jaetun kirjaston lisäämisen käynnistettyyn prosessiin. Hyökkäykset voivat muokata ohjelmien luetteloa, kuten Safaria, tai korvata ohjelmia bash-skripteillä, jotka aiheuttavat niiden moduulien lataamisen automaattisesti, kun ohjelma käynnistyy.

Koskee seuraavia: Mac

Laajeneminen: LSASS:n luku

Hälytys

Windowsin paikallisen suojausviranomaisen prosessille kuuluvaa muistia on käytetty tavalla, joka viittaa käyttäjän salasanan hankintayritykseen.

Koskee seuraavia: Windows

Laajeneminen: Nollavaraus

Hälytys

Tyhjäsivu on varattu. Muistialue on yleensä varattu, mutta tietyissä olosuhteissa se voidaan varata. Hyökkäykset voivat käyttää tätä etuoikeuksien laajentamisen määrittämiseen hyödyntämällä joitakin tunnettuja null de-reference -heikkouksia, jotka ovat yleensä ytimessä.

Koskee seuraavia: Windows, Mac

Suorittamisen hallinta

   

Estä palvelun pysäytys laitteesta

Ei käytössä

Kun käytössä on estää ATP-palvelun pysäyttämisen. Tämä estää myös sovelluksen asennuksen poistamisen.

Lopeta vaaralliset käynnissä olevat prosessit ja aliprosessit

Ei käytössä

Tämän ominaisuuden avulla voidaan havaita ja lopettaa kaikki muistipohjaiset uhat, jotka synnyttävät aliprosesseja.

Uhkien taustatarkistus

Suorita kerran

Tämä määrittää, suoritetaanko laitteessa olemassa olevien tiedostojen tarkistus. Asetuksena voidaan olla Disabled, Run Once tai Run Recurring.

Jos Watch For New Files on käytössä, on suositeltavaa määrittää taustauhkien tunnistus suoritettavaksi kerran. Sinun on tarkistettava olemassa olevat tiedostot kerran vain, jos tarkkailet myös uusia ja päivitettyjä tiedostoja.

Varo uusia tiedostoja

Käytössä

Kun tämä asetus on käytössä, laitteeseen juuri kirjoitetut tai muuttuneet tiedostot voidaan tunnistaa ja analysoida.

 
Huomautus: On suositeltavaa, että Watch for New Files poistetaan käytöstä suuren liikenteen laitteissa (kuten tiedostoissa tai sovelluspalvelimissa), koska se voi lisätä levyn viivettä odottamatta, koska jokainen tiedosto on analysoitava, kun se kirjoitetaan levylle. Tämä lieventyy oletusarvoisesti, koska kaikki suoritettavat kannettavat suoritettavat tiedostot analysoidaan niiden yrittäessä suorittaa. Tätä voidaan lieventää entisestään ottamalla käyttöön ja määrittämällä taustauhkien tunnistus suoritettavaksi toistuvasti.

Aseta tarkistettavan arkistotiedoston enimmäiskoko

150

Määrittää suurimman analysoitavan puretun arkiston koon. Koko on megatavuina.

Suojausasetukset    
Ota käyttöön Sulje pois tietyt kansiot (sisältää alikansiot) Käytössä Tämä mahdollistaa kansioiden määrittämisen File Watcherissa ja suorituksenhallinnassa käytännön perusteella ja Salli tiedostojen suorittaminen Jätä pois kansioista , joita ei valvota.
Sulje pois tietyt kansiot (mukaan lukien alikansiot) -Tyhjä-

Määrittää luettelon kansioista, joita ei valvota File Watcherissa. Salli tiedostojen suorittaminen Jätä pois kansiot -käytäntö estää näistä hakemistoista suoritettavien tiedostojen karanteenin. Tämä käytäntö estää kyseisten hakemistojen tarkistamisen uusien tiedostojen varalta tai taustauhkien tunnistuksen.

Kaikki lisätyt poikkeukset on määritettävä käyttämällä kyseisen suoritettavan tiedoston absoluuttista polkua (mukaan lukien polun asemakirjain).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Sovellusten hallinta    
Sovellusten hallinta Ei käytössä Tämä mahdollistaa sovelluspohjaisten muutosten rajoittamisen laitteessa, uusia sovelluksia ei voi lisätä, sovelluksia ei voi poistaa eikä sovelluksia voi muokata tai päivittää.
Sovellusten hallinnan sallitut kansiot -Tyhjä-

Tämä määrittää luettelon sovelluksen hallinnan kansioista, joita ei valvota.

Kaikki lisätyt poikkeukset on määritettävä käyttämällä kyseisen suoritettavan tiedoston absoluuttista polkua (mukaan lukien polun asemakirjain).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Ota muutosikkuna käyttöön Ei käytössä Kun tämä on käytössä, sovellusten hallinta poistetaan tilapäisesti käytöstä, jolloin muutoksia voi tapahtua ympäristössä.
Komentosarjojen hallinta    
Komentosarjojen hallinta Käytössä

Ottaa komentosarjahallinnan käyttöön

Script Control valvoo sovelluksia ja palveluita, jotka voivat suorittaa toimintoja käyttöjärjestelmässä. Näitä sovelluksia kutsutaan yleisesti tulkeiksi. ATP tarkkailee näitä sovelluksia ja palveluita mahdollisten komentosarjojen varalta ja käytäntöjen perusteella joko ilmoittaa niiden suoritetusta toimesta tai estää toimintojen suorittamisen. Nämä päätökset tehdään komentosarjan nimen ja suhteellisen reitin perusteella, jossa komentosarja suoritettiin.

Komentosarjan hallintatila Hälytys

Kun asetus on Estä, komentosarjapohjaisia kohteita ei suoriteta. Tämä sisältää kaikki aktiiviset komentosarjat, makropohjaiset komentosarjat ja PowerShell-pohjaiset komentosarjat. Myöhemmissä versioissa nämä on jaettu omiin käytäntöihinsä.

Koskee seuraavia: 1.2.1371 ja aikaisemmat ESSE-koontiversiot

Aktiiviset komentosarjat Hälytys

Kun asetuksena on Block, tämä poistaa käytöstä mahdollisuuden suorittaa JavaScriptiä, VBscriptiä, eräajoja, Pythonia, Perliä, PHP: tä, Rubya ja monia muita komentosarjoja.

Koskee seuraavia: 1.2.1391 ja sitä uudemmat ESSE-versiot.

Makrot Hälytys

Kun asetuksena on Hälytys, asiakirjoissa olevia makroja voidaan analysoida, jotta voidaan määrittää, suorittavatko ne mahdollisesti haitallisia komentoja. Jos uhka havaitaan, Estä-asetus estää makron suorittamisen. Käynnistettäessä suoritettavat makrot saattavat estää sovelluksen latautumisen.

Koskee seuraavia: 1.2.1391 ja sitä uudemmat ESSE-versiot.

PowerShell Hälytys

Kun asetus on Block, PowerShell-pohjaisten komentosarjojen suorittaminen ympäristössä estetään.

Koskee seuraavia: 1.2.1391 ja sitä uudemmat ESSE-versiot.

Powershell-konsoli Allow

Kun asetus on Block, PowerShell V3 -konsoli ja ISE eivät käynnisty.

Koskee seuraavia: 1.2.1391 ja sitä uudemmat ESSE-versiot.

Ota käyttöön Hyväksy komentosarjat kansioissa (ja alikansioissa) Käytössä Tämä mahdollistaa sen, että komentosarjojen ohjausobjektin sijaintien analysointi voidaan sulkea pois.
Kansioiden (ja alikansioiden) skriptien hyväksyminen -Tyhjä-

Tässä osassa kerrotaan Script Control -ohjelman kansioista, joita ei valvota.

  • Polut voivat olla paikallisia asemapolkuja, verkkoasemapolkuja tai UNC-polkuja.
  • Komentosarjojen kansiopoikkeuksissa on määritettävä kansion tai alikansion suhteellinen polku.
  • Valittu polku sisältää myös mahdolliset alikansiot.
  • Yleismerkkejä ei tueta.
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
Maailmanlaajuinen salli -Tyhjä-

Tätä käytäntöä hyödynnetään ESSE:ssä katkaisutilassa. Näin asiakkailla on ympäristö, joka on täysin erillään Internetistä.

Tämä käytäntö määrittää tietyt uhkapolut ja sertifikaatit, jotka on sallittava ympäristössä.

Karanteeniin asetettujen luettelo -Tyhjä-

Tätä käytäntöä hyödynnetään ESSE:ssä katkaisutilassa. Näin asiakkailla on ympäristö, joka on täysin erillään Internetistä.

Tämä on määritetty luettelo tunnetuista virheellisistä hajautusarvoista, jotka asetetaan automaattisesti karanteeniin, kun agentti havaitsee niitä.

Turvallisten luettelo -Tyhjä-

Tätä käytäntöä hyödynnetään ESSE:ssä katkaisutilassa. Näin asiakkailla on ympäristö, joka on täysin erillään Internetistä.

Tämä käytäntö määrittää tietyt uhkahajautukset, jotka on sallittava ympäristössä.

Sovelluksen asetukset    
Estä ponnahdusilmoitukset Käytössä Tämä sallii tai estää ESSE:tä näyttämästä leivänpaahdinvalintaikkunaa.
Ponnahdusikkunoiden vähimmäisilmoitustaso High

Määrittää, mitä loppukäyttäjälle ilmoitetaan, jos Popup-ilmoitusten estokäytäntö poistetaan käytöstä.

High

  • Suojaustila on muuttunut. (Suojattu tarkoittaa, että Advanced Threat Prevention -palvelu on käynnissä ja suojaa tietokonetta eikä edellytä käyttäjän tai järjestelmänvalvojan toimia.)
  • Uhka havaitaan, eikä käytäntöä ole määritetty käsittelemään uhkaa automaattisesti.

Keskitaso

  • Suorituksenvalvonta esti prosessin käynnistymisen, koska se tunnistettiin uhaksi.
  • Havaitaan uhka, johon liittyy lievennys (uhka on esimerkiksi asetettu manuaalisesti karanteeniin), joten prosessi on lopetettu.
  • Prosessi estettiin tai lopetettiin muistirikkomuksen vuoksi.
  • Muistirikkomus havaittiin, eikä kyseiselle rikkomustyypille ole voimassa automaattista korjauskäytäntöä.

Low

  • Tiedosto, joka tunnistettiin uhaksi, on lisätty yleiseen turvallisten luetteloon tai poistettu tiedostojärjestelmästä.
  • Uhka on havaittu ja asetettu automaattisesti karanteeniin.
  • Tiedosto on tunnistettu uhaksi, mutta siitä on luovuttu tietokoneessa.
  • Nykyisen uhan tila on muuttunut. Esimerkiksi uhka karanteeniin, karanteeniin asetettu luopumiseen tai luopuminen karanteeniin.
Ota BIOS-varmuus käyttöön Käytössä Suorittaa BIOS-eheystarkistuksia tuetuille Dell-tietokoneille (2016 ja uudemmat yritysluokan tietokoneet)
Ota lokitiedostojen automaattinen lataus käyttöön Käytössä Näin asiakaspalvelijat voivat ladata ATP-laajennuksen lokitiedostot automaattisesti pilveen joka päivä keskiyöllä tai 100 megatavun kokoisena sen mukaan, kumpi tapahtuu ensin.
Huomautus: Nämä käytännöt vastaavat Dell Security Management Serverin versiota 10.2.3.
Käytännön arvo Ehdotettu arvo Käytännön kuvaus

Advanced Threat Prevention (ensisijainen kytkin)

Palaa

Tämä käytännön arvo määrittää, voivatko asiakkaat käyttää Advanced Threat Prevention -käytäntöjä.

Tämä ottaa käyttöön myös tiedostotoiminnot ja suorituksenhallinnan, joita ei voi poistaa käytöstä.

Suorituksen hallinta kattaa taustauhkien havaitsemisen ja tiedostojen tarkkailun. Tämä ATP: n moduuli analysoi ja abstrahoi kannettavan suoritettavan tiedoston (PE) aikomukset sen aiottujen toimien ja käyttäytymisen perusteella. Kaikki Execution Controlin, BTD:n ja File Watcherin havaitsemat tiedostot käsitellään automaattista karanteeniin asettamista vastaavien käytäntöjen mukaisesti. Nämä toimet suoritetaan kannettavan suoritettavan tiedoston absoluuttisen polun sijainnin perusteella.

Tiedostotoiminnot:

 

 

Vaarallinen suoritettava automaattinen karanteeni, kun suoritettava hallinta on käytössä

Käytössä Tämä määrittää, asetetaanko vakavana uhkana pidetyt tiedostot automaattisesti karanteeniin.

Vaarallinen suoritettava automaattinen lataus käytössä

Käytössä

Määrittää, ladataanko vakavat uhat pilvipalveluun, jotta nämä uhat voidaan tarkistaa toisen mielipiteen perusteella.

Epänormaali suoritettava automaattinen karanteeni, kun suoritettava hallinta on käytössä

Käytössä

Tämä määrittää, asetetaanko mahdollisena uhkana pidetyt tiedostot automaattisesti karanteeniin.

Epänormaalin suoritettavan tiedoston automaattinen lataus käytössä

Käytössä

Määrittää, ladataanko mahdolliset uhat pilvipalveluun, jotta nämä uhat voidaan tarkistaa toisen mielipiteen perusteella.

Salli tiedostojen suorittaminen Exclude Folders -kohdassa

Käytössä

Tämä koskee käytäntöä Jätä pois tietyt kansiot Suojausasetukset-käytäntöryhmässä. Tämä sallii poissuljetuissa kansioissa olevien suoritettavien tiedostojen suorittamisen, vaikka ne asetettaisiin automaattisesti karanteeniin.

Automaattinen poisto

Käytössä

Tämä ottaa ajastimen käyttöön päivinä poistoon asti, tämä koskee myös karanteeniin asetettuja kohteita. Kun poistamiseen on kulunut päiviä, karanteenikansiossa olevat uhat poistetaan automaattisesti, jos tämä käytäntö on otettu käyttöön.

Päiviä poistamiseen

14

Määrittää, kuinka monta päivää kohde pysyy uhkakohtaisesti paikallisessa karanteenikansiossa.

Muistitoiminnot

   

Muistisuojaus käytössä

Käytössä

Tämä mahdollistaa muistisuojaustoiminnon, muistisuojausmoduuli analysoi ja tulkitsee sovellusten suorittamistarkoitukset valvomalla sovellusten ja muistissa olevan käyttöjärjestelmän välistä vuorovaikutusta.

Ota käyttöön Ohita suoritettavat tiedostot

Käytössä

Tämän ansiosta tietyt suoritettavat tiedostot voidaan jättää muistisuojauksen ulkopuolelle.

Sulje pois suoritettavat tiedostot

Vaihtelee ympäristön mukaan

Kaikki poikkeukset on määritettävä käyttämällä suoritettavan tiedoston suhteellista polkua (ilman asemakirjainta).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Hyväksikäyttö: Pinon kierto

Lopettaa

Langan pino on korvattu toisella pinolla. Yleensä tietokone varaa säikeelle vain yhden pinon. Hyökkääjä käyttää eri pinoa suorituksen hallintaan tavalla, jota tietojen suorittamisen estäminen (DEP) ei estä.

Koskee seuraavia: Windows, Mac

Hyväksikäyttö: Pinon suojaus

Lopettaa

Säikepinon muistisuojausta on muutettu niin, että se mahdollistaa suoritusoikeuden. Pinomuistin ei pitäisi olla suoritettavaa, joten yleensä tämä tarkoittaa, että hyökkääjä valmistautuu suorittamaan pinomuistiin tallennettua haitallista koodia osana hyväksikäyttöä, mitä tietojen suorittamisen estäminen (DEP) ei muuten estäisi.

Koskee seuraavia: Windows, Mac

Hyväksikäyttö: Korvauskoodi

Lopettaa

Prosessin muistissa olevaa koodia on muokattu tekniikalla, joka saattaa viitata yritykseen ohittaa tietojen suorittamisen esto (DEP).

Koskee seuraavia: Windows

Hyväksikäyttö: Skannerin muistihaku

Lopettaa

Prosessi yrittää lukea kelvollisia magneettijuovan jälkitietoja toisesta prosessista, joka liittyy yleensä myyntipistetietokoneisiin.

Koskee seuraavia: Windows

Hyväksikäyttö: Haitallinen tietosisältö

Lopettaa

Yleinen liittymäkoodin ja hyötykuorman tunnistus, joka liittyy hyväksikäyttöön, on havaittu.

Koskee seuraavia: Windows

Prosessin ruiskutus: Muistin etävaraus

Lopettaa

Prosessi on varannut muistin toiseen prosessiin. Useimmat kohdistukset tapahtuvat vain samassa prosessissa. Tämä tarkoittaa yleensä yritystä lisätä koodia tai tietoja toiseen prosessiin, mikä voi olla ensimmäinen askel haitallisen läsnäolon vahvistamisessa tietokoneessa.

Koskee seuraavia: Windows, Mac

Prosessin ruiskutus: Muistin etäkartoitus

Lopettaa

Prosessi on lisännyt koodin tai tietoja toiseen prosessiin. Tämä voi olla merkki yrityksestä aloittaa koodin suorittaminen toisessa prosessissa ja vahvistaa haitallista läsnäoloa.

Koskee seuraavia: Windows, Mac

Prosessin ruiskutus: Etäkirjoitus muistiin

Lopettaa

Prosessi on muokannut muistia toisessa prosessissa. Tällä yritetään tavallisesti tallentaa koodia tai tietoja aiemmin varattuun muistiin (katso OutOfProcessAllocation), mutta hyökkääjä saattaa yrittää korvata olemassa olevan muistin ohjatakseen suorituksen haitalliseen tarkoitukseen.

Koskee seuraavia: Windows, Mac

Prosessin ruiskutus: PE:n etäkirjoitus muistiin

Lopettaa

Prosessi on muokannut toisen prosessin muistia sisältämään suoritettavan näköistiedoston. Yleensä tämä tarkoittaa, että hyökkääjä yrittää suorittaa koodia kirjoittamatta koodia ensin levylle.

Koskee seuraavia: Windows, Mac

Prosessin ruiskutus: Etäkorvauskoodi

Lopettaa

Prosessi on muokannut suoritettavaa muistia toisessa prosessissa. Normaaleissa olosuhteissa suoritettavaa muistia ei muuteta, erityisesti toisella prosessilla. Tämä tarkoittaa yleensä yritystä ohjata suoritusta toisessa prosessissa.

Koskee seuraavia: Windows, Mac

Prosessin ruiskutus: Muistin etäpoisto

Lopettaa

Prosessi on poistanut suoritettavan Windows-tiedoston toisen prosessin muistista. Tämä saattaa viitata aikomukseen korvata suoritettava kuva muokatulla kopiolla suorituksen ohjaamiseksi muualle.

Koskee seuraavia: Windows, Mac

Prosessin ruiskutus: Säikeen etäluonti

Lopettaa

Prosessi on luonut säikeen toisessa prosessissa. Hyökkääjä aktivoi tämän avulla haitallisen läsnäolon, joka on lisätty toiseen prosessiin.

Koskee seuraavia: Windows, Mac

Prosessin ruiskutus: Etä-APC ajoitettu

Lopettaa

Prosessi on ohjannut toisen prosessin säikeen suorittamisen. Hyökkääjä aktivoi tämän avulla haitallisen läsnäolon, joka on lisätty toiseen prosessiin.

Koskee seuraavia: Windows

Prosessin ruiskutus: DYLD-injektio (vain Mac OS X)

Lopettaa

On määritetty ympäristömuuttuja, joka aiheuttaa jaetun kirjaston lisäämisen käynnistettyyn prosessiin. Hyökkäykset voivat muokata ohjelmien luetteloa, kuten Safaria, tai korvata ohjelmia bash-skripteillä, jotka aiheuttavat niiden moduulien lataamisen automaattisesti, kun ohjelma käynnistyy.

Koskee seuraavia: Mac

Laajeneminen: LSASS:n luku

Lopettaa

Windowsin paikallisen suojausviranomaisen prosessille kuuluvaa muistia on käytetty tavalla, joka viittaa käyttäjän salasanan hankintayritykseen.

Koskee seuraavia: Windows

Laajeneminen: Nollavaraus

Lopettaa

Tyhjäsivu on varattu. Muistialue on yleensä varattu, mutta tietyissä olosuhteissa se voidaan varata. Hyökkäykset voivat käyttää tätä etuoikeuksien laajentamiseen hyödyntämällä joitakin tunnettuja null de-reference -haavoittuvuuksia, jotka ovat yleensä ytimessä.

Koskee seuraavia: Windows, Mac

Suorittamisen hallinta

   

Estä palvelun pysäytys laitteesta

Käytössä

Kun asetus on käytössä, ATP-palvelua ei voida pysäyttää edes tietokoneena. Tämä estää myös sovelluksen asennuksen poistamisen.

Lopeta vaaralliset käynnissä olevat prosessit ja aliprosessit

Käytössä

Tämän ominaisuuden avulla voidaan havaita ja lopettaa kaikki muistipohjaiset uhat, jotka synnyttävät aliprosesseja.

Uhkien taustatarkistus

Suorita kerran

Tämä määrittää, suoritetaanko laitteessa olemassa olevien tiedostojen tarkistus. Asetuksena voidaan olla Disabled, Run Once tai Run Recurring.

Jos Watch For New Files on käytössä, on suositeltavaa määrittää taustauhkien tunnistus suoritettavaksi kerran. Sinun on tarkistettava olemassa olevat tiedostot kerran vain, jos tarkkailet myös uusia ja päivitettyjä tiedostoja.

Varo uusia tiedostoja

Käytössä

Kun tämä asetus on käytössä, laitteeseen juuri kirjoitetut tai muuttuneet tiedostot voidaan tunnistaa ja analysoida.

 
Huomautus: On suositeltavaa, että Watch for New Files poistetaan käytöstä suuren liikenteen laitteissa (kuten tiedostoissa tai sovelluspalvelimissa), koska se voi lisätä levyn viivettä odottamatta, koska jokainen tiedosto on analysoitava, kun se kirjoitetaan levylle. Tätä lieventää oletusarvoisesti se, että kaikki suoritettavat kannettavat suoritettavat tiedostot analysoidaan niiden suorittamisen aikana. Tätä voidaan lieventää entisestään ottamalla käyttöön ja määrittämällä taustauhkien tunnistus suoritettavaksi toistuvasti.

Aseta tarkistettavan arkistotiedoston enimmäiskoko

150

Määrittää suurimman analysoitavan puretun arkiston koon. Koko on megatavuina.

Suojausasetukset    
Ota käyttöön Sulje pois tietyt kansiot (sisältää alikansiot) Käytössä Tämä mahdollistaa kansioiden määrittämisen File Watcherissa ja Execution Control -toiminnossa Salli tiedostojen suorittaminen valvomattomien kansioiden poissulkemiskansioissa -käytännön perusteella.
Sulje pois tietyt kansiot (mukaan lukien alikansiot) Vaihtelee ympäristön mukaan

Tämä määrittää luettelon File Watcherin kansioista, joita ei valvota. Tämä Salli tiedostojen suorittaminen Jätä pois kansiot -käytäntö estää näistä hakemistoista suoritettavien tiedostojen asettamisen karanteeniin. Tämä käytäntö estää kyseisten hakemistojen tarkistamisen uusien tiedostojen varalta tai taustauhkien tunnistuksen.

Kaikki lisätyt poikkeukset on määritettävä käyttämällä kyseisen suoritettavan tiedoston absoluuttista polkua (mukaan lukien polun asemakirjain).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Sovellusten hallinta    
Sovellusten hallinta Ei käytössä Tämä mahdollistaa laitekohtaisten muutosten rajoittamisen. Uusia sovelluksia ei voi lisätä, poistaa eikä sovelluksia voi muokata tai päivittää.
Sovellusten hallinnan sallitut kansiot -Tyhjä-

Tämä määrittää luettelon sovelluksen hallinnan kansioista, joita ei valvota.

Kaikki lisätyt poikkeukset on määritettävä käyttämällä kyseisen suoritettavan tiedoston absoluuttista polkua (mukaan lukien polun asemakirjain).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Ota muutosikkuna käyttöön Ei käytössä Kun tämä on käytössä, sovellusten hallinta poistetaan tilapäisesti käytöstä, jolloin muutoksia voi tapahtua ympäristössä.
Komentosarjojen hallinta    
Komentosarjojen hallinta Käytössä

Ottaa komentosarjojen hallinnan käyttöön

Script Control valvoo sovelluksia ja palveluita, jotka voivat suorittaa toimintoja käyttöjärjestelmässä. Näitä sovelluksia kutsutaan yleisesti tulkeiksi. ATP valvoo näitä sovelluksia ja palveluita sellaisten komentosarjojen varalta, jotka yrittävät suorittaa ja perustuvat käytäntöihin, joko ilmoittaa niiden toimista tai estää toimintojen suorittamisen. Nämä päätökset tehdään komentosarjan nimen ja suhteellisen polun perusteella, josta komentosarja suoritettiin.

Komentosarjan hallintatila Lohko

Kun asetuksena on Estä, komentosarjapohjaisia kohteita ei suoriteta. Tämä sisältää kaikki aktiiviset komentosarjat, makropohjaiset komentosarjat ja PowerShell-pohjaiset komentosarjat. Myöhemmissä versioissa nämä on jaettu omiin käytäntöihinsä.

Koskee seuraavia: 1.2.1371 ja aikaisemmat ESSE-koontiversiot

Aktiiviset komentosarjat Lohko

Kun asetus on Estä, tämä poistaa käytöstä JavaScriptin, VBscriptin, erän, Pythonin, Perlin, PHP:n, Rubyn ja monien muiden komentosarjojen suorittamisen.

Koskee seuraavia: 1.2.1391 ja sitä uudemmat ESSE-versiot.

Makrot Lohko

Kun asetuksena on Hälytys, asiakirjoissa olevia makroja voidaan analysoida, jotta voidaan määrittää, suorittavatko ne mahdollisesti haitallisia komentoja. Jos uhka havaitaan, "Estä" -asetus estää makron suorittamisen. Käynnistettäessä suoritettavat makrot saattavat estää sovelluksen latautumisen.

Koskee seuraavia: 1.2.1391 ja sitä uudemmat ESSE-versiot.

PowerShell Lohko

Kun asetuksena on Block, PowerShell-pohjaisten komentosarjojen suorittaminen ympäristössä estetään.

Koskee seuraavia: 1.2.1391 ja sitä uudemmat ESSE-versiot.

Powershell-konsoli Allow

Kun asetus on Block, estää PowerShell V3 -konsolin ja ISE:n käynnistymisen.

Koskee seuraavia: 1.2.1391 ja sitä uudemmat ESSE-versiot.

Ota käyttöön Hyväksy komentosarjat kansioissa (ja alikansioissa) Käytössä Tämä mahdollistaa sijaintien ohittamisen komentosarjojen ohjausobjektien analysoinnista.
Kansioiden (ja alikansioiden) skriptien hyväksyminen Vaihtelee ympäristön mukaan

Tässä osassa kerrotaan Script Control -ohjelman kansioista, joita ei valvota.

  • Polut voivat olla paikallisia asemapolkuja, verkkoasemapolkuja tai UNC-polkuja.
  • Komentosarjojen kansiopoikkeuksissa on määritettävä kansion tai alikansion suhteellinen polku.
  • Valittu polku sisältää myös mahdolliset alikansiot.
  • Yleismerkkejä ei tueta.
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
Maailmanlaajuinen salli Vaihtelee ympäristön mukaan

Tätä käytäntöä hyödynnetään ESSE:ssä Disconnected mode -tilassa. Tämä mahdollistaa sen, että asiakkailla on ympäristö, joka on täysin erillään Internetistä.

Tämä käytäntö määrittää tietyt uhkapolut ja sertifikaatit, jotka on sallittava ympäristössä.

Karanteeniin asetettujen luettelo Vaihtelee ympäristön mukaan

Tätä käytäntöä hyödynnetään ESSE:ssä Disconnected mode -tilassa. Tämä mahdollistaa sen, että asiakkailla on ympäristö, joka on täysin erillään Internetistä.

Tämä on määritetty luettelo tunnetusti virheellisistä hajautusarvoista, jotka asetetaan automaattisesti karanteeniin, kun agentti havaitsee niitä.

Turvallisten luettelo Vaihtelee ympäristön mukaan

Tätä käytäntöä hyödynnetään ESSE:ssä Disconnected mode -tilassa. Tämä mahdollistaa sen, että asiakkailla on ympäristö, joka on täysin erillään Internetistä.

Tämä käytäntö määrittää tietyt uhkahajautukset, jotka on sallittava ympäristössä.

Sovelluksen asetukset    
Estä ponnahdusilmoitukset Ei käytössä Tämä sallii tai estää ESSE:tä näyttämästä leivänpaahdinvalintaikkunaa.
Ponnahdusikkunoiden vähimmäisilmoitustaso High

Määrittää, mitä loppukäyttäjälle ilmoitetaan, jos Piilota ponnahdusikkunat -käytäntö poistetaan käytöstä.

High

  • Suojaustila on muuttunut. (Suojattu tarkoittaa, että Advanced Threat Prevention -palvelu on käynnissä ja suojaa tietokonetta eikä edellytä käyttäjän tai järjestelmänvalvojan toimia.)
  • Uhka havaitaan, eikä käytäntöä ole määritetty käsittelemään uhkaa automaattisesti.

Keskitaso

  • Suorituksenvalvonta esti prosessin käynnistymisen, koska se tunnistettiin uhaksi.
  • Havaitaan uhka, johon liittyy lievennys (uhka on esimerkiksi asetettu manuaalisesti karanteeniin), joten prosessi on lopetettu.
  • Prosessi estettiin tai lopetettiin muistirikkomuksen vuoksi.
  • Muistirikkomus havaittiin, eikä kyseiselle rikkomustyypille ole voimassa automaattista korjauskäytäntöä.

Low

  • Uhaksi tunnistettu tiedosto on lisätty yleiseen turvallisten luetteloon tai poistettu tiedostojärjestelmästä.
  • Uhka on havaittu ja asetettu automaattisesti karanteeniin.
  • Tiedosto on tunnistettu uhaksi, mutta siitä on luovuttu tietokoneessa.
  • Nykyisen uhan tila on muuttunut (esimerkiksi Uhka karanteeniin, Karanteenissa olevasta luovuttu tai Luopumisesta karanteeniin asetettuna).
Ota BIOS-varmuus käyttöön Käytössä Suorittaa BIOS-eheystarkistuksia tuetuille Dell-tietokoneille (2016 ja uudemmat yritysluokan tietokoneet)
Ota lokitiedostojen automaattinen lataus käyttöön Käytössä Näin asiakaspalvelijat voivat ladata ATP-laajennuksen lokitiedostot automaattisesti pilveen joka päivä keskiyöllä tai 100 megatavun kokoisena sen mukaan, kumpi tapahtuu ensin.
Ota vakiokäyttöliittymä käyttöön Käytössä Tämä ottaa käyttöön lisävaihtoehdon Dell Data Security Consolen käyttämiseksi päätepisteessä. Näin paikalliset käyttäjät näkevät, mitä uhkia, muistitapahtumia tai komentosarjoja paikallisessa päätepisteessä on havaittu. Tämä vaihtoehto on käytettävissä päätepisteen hiiren kakkospainikkeella avattavasta valikosta tai Dell Data Security Consolen asetusrattaasta vaihtoehdossa, jonka nimi on Advanced Threat Prevention.

Kun tämä asetus on valittu, käytettävissä on lisävalitsimia, jotka näyttävät tai piilottavat kyseisestä tietokoneesta löydetyt uhat, muistitapahtumat tai komentosarjat.

Tämä käytäntö edellyttää, että Dell Encryption Management Agentin versio on vähintään 8.18.0.

Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.

Additional Information

 

Videos

 

Affected Products

Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000126118
Article Type: Solution
Last Modified: 04 Mar 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.