Ikke aktuelt
Advanced Threat Prevention (ATP) anbefales som standard å kjøre i læringsmodus i starten. All trusselinformasjon samles inn for å gi administratorer fleksibilitet til å administrere trusler og potensielt uønskede programmer (PUP-er) i miljøet og til å godkjenne driftskritiske apper.
Hvis du vil ha mer informasjon om hvordan du endrer policyer i Dell Endpoint Security Suite Enterprise, kan du se Slik endrer du policyer på Dell Data Protection Server.
Hvis du vil ha mer informasjon og regler for hvordan du oppretter utelatelser i Dell Endpoint Security Suite Enterprise, kan du se Slik legger du til utelatelser i Dell Endpoint Security Suite Enterprise.
| Policyverdi | Foreslått verdi | Beskrivelse av retningslinjene |
|---|---|---|
| Advanced Threat Prevention (primærsvitsj) |
På |
Denne policyverdien avgjør om klientene kan bruke policyer for avansert trusselforhindring. Dette aktiverer også filhandlinger og kjøringskontroll, som ikke kan deaktiveres. Utførelseskontroll omfatter bakgrunnstrusseldeteksjon og filovervåking. Denne modulen i ATP analyserer og abstraherer intensjonene til en bærbar kjørbar (PE) basert på dens tiltenkte handlinger og oppførsel. Alle filer som oppdages av Execution Control, og sammen med BTD og File Watcher, behandles basert på retningslinjene som korrelerer med automatisk karantene. Disse handlingene utføres basert på den absolutte baneplasseringen til den kjørbare Portable Executable-filen. |
| Filhandlinger: |
|
|
| Usikker kjørbar automatisk karantene med kjørbar kontroll aktivert |
Deaktivert | Dette avgjør om filer som anses som en alvorlig trussel, automatisk settes i karantene. |
| Usikker kjørbar automatisk opplasting aktivert |
Enabled (Aktivert) |
Angir om alvorlige trusler skal lastes opp til skyen for å utføre en second opinion-kontroll av disse truslene. |
| Unormal kjørbar automatisk karantene med kjørbar kontroll aktivert |
Deaktivert |
Dette avgjør om filer som anses som en potensiell trussel, automatisk settes i karantene. |
| Unormal kjørbar automatisk opplasting aktivert |
Enabled (Aktivert) |
Angir om potensielle trusler skal lastes opp til skyen for å utføre en second opinion-kontroll av disse truslene. |
| Tillat kjøring av filer i Utelat mapper |
Enabled (Aktivert) |
Dette gjelder policyen Utelat bestemte mapper i policygruppen Beskyttelsesinnstillinger. Dette gjør at kjørbare filer i de utelatte mappene kan kjøres selv om de automatisk settes i karantene. |
| Automatisk sletting |
Deaktivert |
Dette aktiverer tidtakeren på policyen Dager til sletting. Dette gjelder elementer i karantene. Når dagene til slettet utløper, fjernes eventuelle trusler i en karantenemappe automatisk hvis denne policyen er aktivert. |
| Dager til sletting |
14 |
Dette bestemmer hvor mange dager, per trussel, at et element forblir i den lokale karantenemappen. |
| Minnehandlinger |
||
| Minnebeskyttelse aktivert |
Enabled (Aktivert) |
Dette aktiverer Memory Protection-funksjonaliteten Memory Protection-modulen analyserer og tolker intensjonene med å kjøre applikasjoner ved å overvåke samhandlingen mellom programmer og operativsystemet i minnet. |
| Aktiver Utelat kjørbare filer |
Enabled (Aktivert) |
Dette gjør det mulig å utelate bestemte kjørbare filer fra minnebeskyttelsen. |
| Utelat kjørbare filer |
Tom |
Alle utelatelser som er lagt til, må angis ved hjelp av den relative banen til den kjørbare filen (utelate stasjonsbokstaven fra banen). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Utnyttelse: Stack Pivot |
Varsel |
Stabelen for en tråd er erstattet med en annen stabel. Vanligvis tildeler datamaskinen en enkelt stabel for en tråd. En angriper vil bruke en annen stabel til å kontrollere kjøringen på en måte som Data Execution Prevention (DEP) ikke kan blokkere. Gjelder for: Windows, Mac |
| Utnyttelse: Stack Protect |
Varsel |
Minnebeskyttelsen for stabelen i en tråd er endret for å aktivere tillatelse til kjøring. Stakkminne skal ikke være kjørbart, så vanligvis betyr dette at en angriper forbereder seg på å kjøre ondsinnet kode som er lagret i stakkminnet som en del av en utnyttelse, et forsøk som Data Execution Prevention (DEP) ellers ville blokkert. Gjelder for: Windows, Mac |
| Utnyttelse: Overskriv kode |
Varsel |
Kode som ligger i prosessminnet, er endret ved hjelp av en teknikk som kan angi forsøk på å omgå Data Execution Prevention (DEP). Gjelder for: Windows |
| Utnyttelse: Søk etter skannerminne |
Varsel |
En prosess prøver å lese gyldige spordata med magnetstripe fra en annen prosess. Vanligvis relatert til salgsstedsdatamaskiner (POS) Gjelder for: Windows |
| Utnyttelse: Skadelig nyttelast |
Varsel |
En prosess prøver å lese gyldige spordata med magnetstripe fra en annen prosess. Vanligvis relatert til salgsstedsdatamaskiner (POS) Gjelder for: Windows |
| Utnyttelse: Skadelig nyttelast |
Varsel |
Det er oppdaget en generisk skallkode og nyttelastdeteksjon som er knyttet til utnyttelse. Gjelder for: Windows |
| Prosess injeksjon: Ekstern tildeling av minne |
Varsel |
En prosess har tildelt minne i en annen prosess. De fleste tildelinger skjer bare innenfor samme prosess. Dette indikerer vanligvis et forsøk på å injisere kode eller data i en annen prosess, noe som kan være et første skritt i å forsterke en ondsinnet tilstedeværelse på en datamaskin. Gjelder for: Windows, Mac |
| Prosess injeksjon: Ekstern tilordning av minne |
Varsel |
En prosess har introdusert kode eller data i en annen prosess. Dette kan indikere et forsøk på å begynne å kjøre kode i en annen prosess og forsterke en ondsinnet tilstedeværelse. Gjelder for: Windows, Mac |
| Prosess injeksjon: Ekstern skriving til minne |
Varsel |
En prosess har endret minnet i en annen prosess. Dette er vanligvis et forsøk på å lagre kode eller data i tidligere tildelt minne (se OutofProcessAllocation), men det er mulig at en angriper prøver å overskrive eksisterende minne for å avlede kjøring for et skadelig formål. Gjelder for: Windows, Mac |
| Prosess injeksjon: Ekstern PE til minne |
Varsel |
En prosess har endret minnet i en annen prosess til å inneholde et kjørbart bilde. Vanligvis indikerer dette at en angriper prøver å kjøre kode uten først å skrive koden til disken. Gjelder for: Windows, Mac |
| Prosess injeksjon: Ekstern overskrivingskode |
Varsel |
En prosess har endret kjørbart minne i en annen prosess. Under normale forhold endres ikke kjørbart minne, spesielt ikke av en annen prosess. Dette indikerer vanligvis et forsøk på å avlede utførelse i en annen prosess. Gjelder for: Windows, Mac |
| Prosess injeksjon: Ekstern tilknytning til minnet |
Varsel |
En prosess har fjernet en kjørbar Windows-fil fra minnet til en annen prosess. Dette kan tyde på en intensjon om å erstatte det kjørbare bildet med en endret kopi for å avlede utførelsen. Gjelder for: Windows, Mac |
| Prosess injeksjon: Ekstern trådoppretting |
Varsel |
En prosess har opprettet en tråd i en annen prosess. En angriper bruker dette til å aktivere en ondsinnet tilstedeværelse som har blitt injisert i en annen prosess. Gjelder for: Windows, Mac |
| Prosess injeksjon: Ekstern APC planlagt |
Varsel |
En prosess har avledet utførelsen av en annen prosesstråd. En angriper bruker dette til å aktivere en ondsinnet tilstedeværelse som har blitt injisert i en annen prosess. Gjelder for: Windows |
| Prosess injeksjon: DYLD-injeksjon (kun Mac OS X) |
Varsel |
Det er angitt en miljøvariabel som fører til at et delt bibliotek settes inn i en startet prosess. Angrep kan endre listen over applikasjoner som Safari eller erstatte applikasjoner med bash-skript som gjør at modulene deres lastes automatisk når et program starter. Gjelder for: Mac |
| Opptrapping: LSASS Les |
Varsel |
Du har fått tilgang til minnet som tilhører prosessen Windows Local Security Authority, på en måte som angir forsøk på å hente brukernes passord. Gjelder for: Windows |
| Opptrapping: Null tildeling |
Varsel |
En nullside er tildelt. Minneområdet er vanligvis reservert, men under visse omstendigheter kan det tildeles. Angrep kan bruke dette til å sette opp eskalering av privilegier ved å dra nytte av noen kjente null-referanseutnyttelser, vanligvis i kjernen. Gjelder for: Windows, Mac |
| Iverksettingskontroll |
||
| Forhindre tjenesteavslutning fra enhet |
Deaktivert |
Når aktivert hindrer muligheten til å stoppe ATP-tjenesten. Dette forhindrer også at applikasjonen blir avinstallert. |
| Drep usikre prosesser og delprosesser |
Deaktivert |
Aktivering av denne funksjonen gjør det mulig å oppdage og avslutte eventuelle minnebaserte trusler som gyter delprosesser. |
| Trusseloppdagelse i bakgrunnen |
Kjør én gang |
Dette fastslår om en skanning av eksisterende filer kjøres på enheten. Dette kan settes til deaktivert, kjør én gang eller kjør regelmessig. Hvis Se etter nye filer er aktivert, anbefales det å konfigurere Oppdagelse av bakgrunnstrusler til å kjøre én gang. Du må bare sjekke eksisterende filer én gang hvis du også ser etter nye og oppdaterte filer. |
| Se etter nye filer |
Enabled (Aktivert) |
Hvis du setter dette til Aktivert, kan du oppdage og analysere filer som nylig er skrevet til enheten, eller som er endret.
Merk: Det anbefales å ha Se etter nye filer deaktivert på enheter med høy trafikk (for eksempel filer eller applikasjonsservere), da dette kan føre til uventede økninger i diskventetid ettersom hver fil må analyseres mens den skrives til disk. Dette reduseres som standard ettersom alle bærbare kjørbare filer som prøver å kjøre, analyseres mens de prøver å kjøre. Dette kan reduseres ytterligere ved å aktivere og angi Oppdagelse av bakgrunnstrusler til Kjør regelmessig.
|
| Angi maksimal filstørrelse for arkiv til skanning |
150 |
Konfigurerer maksimal dekomprimert arkivstørrelse som kan analyseres Størrelsen er på megabyte. |
| Beskyttelsesinnstillinger | ||
| Aktiver ekskludering av bestemte mapper (inkluderer undermapper) | Enabled (Aktivert) | Dette gjør det mulig å definere mapper i Filovervåking og Kjøringskontroll basert på policyen og tillate kjøring av filer i Ekskluder mapper som ikke overvåkes. |
| Utelat bestemte mapper (inkluderer undermapper) | -Tom- | Definerer en liste over mapper i Filvisning som ikke overvåkes. Policyen Tillat kjøring av filer i Utelat mapper forhindrer karantene av filer som kjøres fra disse katalogene. Denne policyen forhindrer skanning av disse katalogene etter Se etter nye filer eller Oppdagelse av bakgrunnstrusler. Alle utelatelser som legges til, må spesifiseres ved hjelp av den absolutte banen til den kjørbare filen (inkluder stasjonsbokstaven fra banen). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Application Control (Applikasjonskontroll) | ||
| Application Control (Applikasjonskontroll) | Deaktivert | Dette gjør det mulig å begrense applikasjonsbaserte endringer på enheten, ingen nye applikasjoner kan legges til, ingen applikasjoner kan fjernes, og ingen applikasjoner kan endres eller oppdateres. |
| Programkontroll tillatte mapper | -Tom- | Dette definerer en liste over mapper i programkontroll som ikke overvåkes. Alle utelatelser som legges til, må spesifiseres ved hjelp av den absolutte banen til den kjørbare filen (inkluder stasjonsbokstaven fra banen). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Aktiver Endre vindu | Deaktivert | Når dette alternativet er aktivert, deaktiveres Programkontroll midlertidig, slik at endringer kan utføres i miljøet. |
| Script Control (Skriptkontroll) | ||
| Script Control (Skriptkontroll) | Enabled (Aktivert) | Aktiverer bruk av skriptkontroll Skriptkontroll overvåker programmer og tjenester som kan kjøre handlinger i operativsystemet. Disse applikasjonene kalles ofte tolker. ATP overvåker disse programmene og tjenestene for skript som forsøker å kjøre, og basert på policyer varsler de enten om at de er utført eller blokkerer handlingene fra å oppstå. Disse avgjørelsene tas basert på skriptnavnet og den relative banen der skriptet ble kjørt. |
| Skriptkontrollmodus | Varsel | Når dette alternativet er angitt til Blokker, kjøres ingen skriptbaserte elementer. Dette inkluderer alle aktive skript, makrobaserte skript eller PowerShell-baserte skript. I senere versjoner er disse skilt ut i egne retningslinjer. Gjelder for: 1.2.1371 og tidligere versjoner av ESSE |
| Aktivt skript | Varsel | Når dette er satt til Blokker, deaktiverer dette muligheten til å kjøre JavaScript, VBscript, batch, Python, Perl, PHP, Ruby og mange andre skript. Gjelder for: 1.2.1391 og senere versjoner av ESSE. |
| Makroer | Varsel | Hvis du setter dette til Varsel, kan du analysere makroer i dokumenter for å avgjøre om de kjører potensielt skadelige kommandoer. Hvis det oppfattes en trussel, hindrer innstillingen Blokker makroen i å kjøre. Makroer som kjører ved oppstart, kan hindre at programmet lastes inn. Gjelder for: 1.2.1391 og senere versjoner av ESSE. |
| Powershell | Varsel | Når dette alternativet er angitt til Blokker, forhindrer dette at PowerShell-baserte skript kjører i miljøet. Gjelder for: 1.2.1391 og senere versjoner av ESSE. |
| Powershell-konsoll | Allow (Tillat) | Når dette alternativet er angitt til Blokker, forhindrer dette at PowerShell V3-konsollen og ISE starter. Gjelder for: 1.2.1391 og senere versjoner av ESSE. |
| Aktiver Godkjenn skript i mapper (og undermapper) | Enabled (Aktivert) | Dette gjør det mulig å utelate plasseringer i skriptkontrollen fra å bli analysert. |
| Godkjenn skript i mapper (og undermapper) | -Tom- | Denne delen inneholder detaljer om mappene i skriptkontrollen som ikke overvåkes.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Global tillatelse | -Tom- | Denne policyen utnyttes ved frakoblet modus for ESSE. Dette gjør at kundene kan ha et miljø helt atskilt fra internett. Denne policyen bestemmer bestemte trusselbaner og sertifikater som skal tillates i miljøet. |
| Karanteneliste | -Tom- | Denne policyen utnyttes ved frakoblet modus for ESSE. Dette gjør at kundene kan ha et miljø helt atskilt fra internett. Dette er en definert liste over kjente, ugyldige hasher som automatisk settes i karantene når agenten møter den. |
| Sikker liste | -Tom- | Denne policyen utnyttes ved frakoblet modus for ESSE. Dette gjør at kundene kan ha et miljø helt atskilt fra internett. Denne policyen bestemmer bestemte trusselhasher som skal tillates i miljøet. |
| Agentinnstillinger | ||
| Undertrykk popup-varsler | Enabled (Aktivert) | Dette aktiverer eller deaktiverer muligheten for ESSE til å vise en brødristerdialogboks. |
| Minimum popup-varslingsnivå | Høy | Dette definerer hva som varsles til sluttbrukeren hvis policyen Undertrykk popup-varsler er deaktivert. Høy
Middels
Lav
|
| Aktiver BIOS-forsikring | Enabled (Aktivert) | Utfører BIOS-integritetskontroller på støttede Dell-datamaskiner (2016 og nyere datamaskiner i virksomhetsklassen) |
| Aktiver automatisk opplasting av loggfiler | Enabled (Aktivert) | Dette gjør det mulig for agenter å automatisk laste opp loggfilene for ATP-plugin-modulen til skyen hver dag ved midnatt, eller ved 100 MB, avhengig av hva som skjer først. |
| Policyverdi | Foreslått verdi | Beskrivelse av retningslinjene |
|---|---|---|
| Advanced Threat Prevention (primærsvitsj) |
På |
Denne policyverdien avgjør om klientene kan bruke policyer for avansert trusselforhindring. Dette aktiverer også filhandlinger og kjøringskontroll, som ikke kan deaktiveres. Utførelseskontroll omfatter Background Threat Detection og File Watcher. Denne modulen i ATP analyserer og abstraherer intensjonene til en bærbar kjørbar (PE) basert på dens tiltenkte handlinger og oppførsel. Alle filer som oppdages av Execution Control og BTD og File Watcher, behandles basert på policyene som korrelerer med automatisk karantene. Disse handlingene utføres basert på den absolutte baneplasseringen til den kjørbare Portable Executable-filen. |
| Filhandlinger: |
|
|
| Usikker kjørbar automatisk karantene med kjørbar kontroll aktivert |
Enabled (Aktivert) | Dette avgjør om filer som anses som en alvorlig trussel, automatisk settes i karantene. |
| Usikker kjørbar automatisk opplasting aktivert |
Enabled (Aktivert) |
Angir om alvorlige trusler skal lastes opp til skyen for å utføre en second opinion-kontroll av disse truslene. |
| Unormal kjørbar automatisk karantene med kjørbar kontroll aktivert |
Enabled (Aktivert) |
Dette avgjør om filer som anses som en potensiell trussel, automatisk settes i karantene. |
| Unormal kjørbar automatisk opplasting aktivert |
Enabled (Aktivert) |
Angir om potensielle trusler skal lastes opp til skyen for å utføre en second opinion-kontroll av disse truslene. |
| Tillat kjøring av filer i Utelat mapper |
Enabled (Aktivert) |
Dette gjelder policyen Utelat bestemte mapper i policygruppen Beskyttelsesinnstillinger. Dette gjør at kjørbare filer i de utelatte mappene kan kjøres selv om de automatisk settes i karantene. |
| Automatisk sletting |
Enabled (Aktivert) |
Dette aktiverer tidtakeren på dagene til slettet policy, dette gjelder også for karantene elementer. Når dagene til sletten er utløpt, fjernes eventuelle trusler i en karantenemappe automatisk hvis denne policyen er aktivert. |
| Dager til sletting |
14 |
Bestemmer antall dager, per trussel, at et element forblir i den lokale karantenemappen. |
| Minnehandlinger |
||
| Minnebeskyttelse aktivert |
Enabled (Aktivert) |
Dette aktiverer Memory Protection-funksjonaliteten, minnebeskyttelsesmodulen analyserer og tolker intensjonene med å kjøre applikasjoner ved å overvåke samhandlingen mellom programmer og operativsystemet i minnet. |
| Aktiver Utelat kjørbare filer |
Enabled (Aktivert) |
Dette gjør det mulig å utelate bestemte kjørbare filer fra minnebeskyttelsen. |
| Utelat kjørbare filer |
Varierer basert på miljøet |
Alle utelatelser som er lagt til, må angis ved hjelp av den relative banen til den kjørbare filen (utelate stasjonsbokstaven fra banen). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Utnyttelse: Stack Pivot |
Avslutte |
Stabelen for en tråd er erstattet med en annen stabel. Vanligvis tildeler datamaskinen bare en enkelt stabel for en tråd. En angriper vil bruke en annen stabel til å kontrollere kjøringen på en måte som Data Execution Prevention (DEP) ikke blokkerer. Gjelder for: Windows, Mac |
| Utnyttelse: Stack Protect |
Avslutte |
Minnebeskyttelsen for stabelen i en tråd er endret for å aktivere tillatelse til kjøring. Stakkminne skal ikke være kjørbart, så vanligvis betyr dette at en angriper forbereder seg på å kjøre ondsinnet kode som er lagret i stakkminnet som en del av en utnyttelse, et forsøk som Data Execution Prevention (DEP) ellers ikke ville blokkere. Gjelder for: Windows, Mac |
| Utnyttelse: Overskriv kode |
Avslutte |
Kode som ligger i prosessminnet, er endret ved hjelp av en teknikk som kan angi forsøk på å omgå Data Execution Prevention (DEP). Gjelder for: Windows |
| Utnyttelse: Søk etter skannerminne |
Avslutte |
En prosess prøver å lese gyldige spordata med magnetstripe fra en annen prosess, vanligvis relatert til salgsstedsdatamaskiner (POS). Gjelder for: Windows |
| Utnyttelse: Skadelig nyttelast |
Avslutte |
Det er oppdaget en generisk skallkode og nyttelastdeteksjon som er knyttet til utnyttelse. Gjelder for: Windows |
| Prosess injeksjon: Ekstern tildeling av minne |
Avslutte |
En prosess har tildelt minne i en annen prosess. De fleste tildelinger skjer bare innenfor samme prosess. Dette indikerer vanligvis et forsøk på å injisere kode eller data i en annen prosess, noe som kan være et første skritt i å forsterke en ondsinnet tilstedeværelse på en datamaskin. Gjelder for: Windows, Mac |
| Prosess injeksjon: Ekstern tilordning av minne |
Avslutte |
En prosess har introdusert kode eller data i en annen prosess. Dette kan indikere et forsøk på å begynne å kjøre kode i en annen prosess og forsterke en ondsinnet tilstedeværelse. Gjelder for: Windows, Mac |
| Prosess injeksjon: Ekstern skriving til minne |
Avslutte |
En prosess har endret minnet i en annen prosess. Dette er vanligvis et forsøk på å lagre kode eller data i tidligere tildelt minne (se OutOfProcessAllocation), men det er mulig at en angriper prøver å overskrive eksisterende minne for å avlede kjøring for et skadelig formål. Gjelder for: Windows, Mac |
| Prosess injeksjon: Ekstern PE til minne |
Avslutte |
En prosess har endret minnet i en annen prosess til å inneholde et kjørbart bilde. Vanligvis betyr dette at en angriper prøver å kjøre kode uten først å skrive koden til disken. Gjelder for: Windows, Mac |
| Prosess injeksjon: Ekstern overskrivingskode |
Avslutte |
En prosess har endret kjørbart minne i en annen prosess. Under normale forhold endres ikke kjørbart minne, spesielt ikke av en annen prosess. Dette indikerer vanligvis et forsøk på å avlede utførelse i en annen prosess. Gjelder for: Windows, Mac |
| Prosess injeksjon: Ekstern tilknytning til minnet |
Avslutte |
En prosess har fjernet en kjørbar Windows-fil fra minnet til en annen prosess. Dette kan tyde på en intensjon om å erstatte det kjørbare bildet med en endret kopi for å avlede utførelsen. Gjelder for: Windows, Mac |
| Prosess injeksjon: Ekstern trådoppretting |
Avslutte |
En prosess har opprettet en tråd i en annen prosess. En angriper bruker dette til å aktivere en ondsinnet tilstedeværelse som har blitt injisert i en annen prosess. Gjelder for: Windows, Mac |
| Prosess injeksjon: Ekstern APC planlagt |
Avslutte |
En prosess har avledet utførelsen av en annen prosesstråd. En angriper bruker dette til å aktivere en ondsinnet tilstedeværelse som har blitt injisert i en annen prosess. Gjelder for: Windows |
| Prosess injeksjon: DYLD-injeksjon (kun Mac OS X) |
Avslutte |
Det er angitt en miljøvariabel som fører til at et delt bibliotek settes inn i en startet prosess. Angrep kan endre listen over applikasjoner som Safari eller erstatte applikasjoner med bash-skript som gjør at modulene deres lastes automatisk når et program starter. Gjelder for: Mac |
| Opptrapping: LSASS Les |
Avslutte |
Du har fått tilgang til minnet som tilhører prosessen Windows Local Security Authority, på en måte som angir forsøk på å hente brukernes passord. Gjelder for: Windows |
| Opptrapping: Null tildeling |
Avslutte |
En nullside er tildelt. Minneområdet er vanligvis reservert, men under visse omstendigheter kan det tildeles. Angrep kan bruke dette til å konfigurere eskalering av privilegier ved å dra nytte av noen kjente null-referanseutnyttelser, vanligvis i kjernen. Gjelder for: Windows, Mac |
| Iverksettingskontroll |
||
| Forhindre tjenesteavslutning fra enhet |
Enabled (Aktivert) |
Når aktivert hindrer muligheten til å stoppe ATP-tjenesten, selv som datamaskin. Dette forhindrer også at applikasjonen blir avinstallert. |
| Drep usikre prosesser og delprosesser |
Enabled (Aktivert) |
Aktivering av denne funksjonen gjør det mulig å oppdage og avslutte eventuelle minnebaserte trusler som gyter delprosesser. |
| Trusseloppdagelse i bakgrunnen |
Kjør én gang |
Dette fastslår om en skanning av eksisterende filer kjøres på enheten. Dette kan settes til deaktivert, kjør én gang eller kjør regelmessig. Hvis Se etter nye filer er aktivert, anbefales det å konfigurere Oppdagelse av bakgrunnstrusler til å kjøre én gang. Du må bare sjekke eksisterende filer én gang hvis du også ser etter nye og oppdaterte filer. |
| Se etter nye filer |
Enabled (Aktivert) |
Hvis du setter dette til Aktivert, kan du oppdage og analysere filer som nylig er skrevet til enheten, eller som er endret.
Merk: Det anbefales å ha Se etter nye filer deaktivert på enheter med høy trafikk (for eksempel filer eller applikasjonsservere), da dette kan føre til uventede økninger i diskventetid ettersom hver fil må analyseres mens den skrives til disk. Dette reduseres som standard ettersom alle bærbare kjørbare filer som prøver å kjøre, analyseres mens de prøver å kjøre. Dette kan reduseres ytterligere ved å aktivere og angi Oppdagelse av bakgrunnstrusler til Kjør regelmessig.
|
| Angi maksimal filstørrelse for arkiv til skanning |
150 |
Konfigurerer maksimal dekomprimert arkivstørrelse som kan analyseres Størrelsen er på megabyte. |
| Beskyttelsesinnstillinger | ||
| Aktiver ekskludering av bestemte mapper (inkluderer undermapper) | Enabled (Aktivert) | Dette gjør det mulig å definere mapper i Filovervåking og Execution Control basert på policyen Tillat kjøring av filer i Ekskluder mapper som ikke overvåkes. |
| Utelat bestemte mapper (inkluderer undermapper) | Varierer basert på miljøet | Dette definerer en liste over mapper i File Watcher som ikke overvåkes. Denne policyen for Tillat kjøring av filer i utelat mapper forhindrer at filer som kjøres fra disse mappene, settes i karantene. Denne policyen forhindrer skanning av disse katalogene etter Se etter nye filer eller Oppdagelse av bakgrunnstrusler. Alle utelatelser som legges til, må spesifiseres ved hjelp av den absolutte banen til den kjørbare filen (inkluder stasjonsbokstaven fra banen). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Application Control (Applikasjonskontroll) | ||
| Application Control (Applikasjonskontroll) | Deaktivert | Dette gjør det mulig å begrense applikasjonsbaserte endringer på enheten. Ingen nye applikasjoner kan legges til, ingen applikasjoner kan fjernes, og ingen applikasjoner kan endres eller oppdateres. |
| Programkontroll tillatte mapper | -Tom- | Dette definerer en liste over mapper i programkontroll som ikke overvåkes. Alle utelatelser som legges til, må spesifiseres ved hjelp av den absolutte banen til den kjørbare filen (inkluder stasjonsbokstaven fra banen). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Aktiver Endre vindu | Deaktivert | Når dette alternativet er aktivert, deaktiveres Programkontroll midlertidig, slik at endringer kan utføres i miljøet. |
| Script Control (Skriptkontroll) | ||
| Script Control (Skriptkontroll) | Enabled (Aktivert) | Aktiverer bruk av skriptkontroll Skriptkontroll overvåker programmer og tjenester som kan kjøre handlinger i operativsystemet. Disse applikasjonene kalles ofte tolker. ATP overvåker disse programmene og tjenestene for alle skript som forsøker å kjøre og basert på policyer, enten varsler om at de er utført, eller blokkerer handlingene fra å forekomme. Disse avgjørelsene tas basert på skriptnavnet og den relative banen der skriptet ble kjørt fra. |
| Skriptkontrollmodus | Blokk | Når dette er angitt til Blokker, kjøres ingen skriptbaserte elementer. Dette inkluderer alle aktive skript, makrobaserte skript eller PowerShell-baserte skript. I senere versjoner er disse skilt ut i egne retningslinjer. Gjelder for: 1.2.1371 og tidligere versjoner av ESSE |
| Aktivt skript | Blokk | Når dette er satt til Blokker, deaktiveres muligheten til å kjøre JavaScript, VBscript, batch, Python, Perl, PHP, Ruby og mange andre skript. Gjelder for: 1.2.1391 og senere versjoner av ESSE. |
| Makroer | Blokk | Hvis du setter dette til Varsel, kan du analysere makroer i dokumenter for å avgjøre om de kjører potensielt skadelige kommandoer. Hvis det oppfattes en trussel, hindrer innstillingen "Blokker" makroen i å kjøre. Makroer som kjører ved oppstart, kan hindre at programmet lastes inn. Gjelder for: 1.2.1391 og senere versjoner av ESSE. |
| Powershell | Blokk | Når dette er angitt til Blokker, forhindrer dette at PowerShell-baserte skript kjører i miljøet. Gjelder for: 1.2.1391 og senere versjoner av ESSE. |
| Powershell-konsoll | Allow (Tillat) | Når dette er angitt til Blokker, hindres PowerShell V3-konsollen og ISE i å starte. Gjelder for: 1.2.1391 og senere versjoner av ESSE. |
| Aktiver Godkjenn skript i mapper (og undermapper) | Enabled (Aktivert) | Dette gjør det mulig å utelate plasseringer fra skriptkontroll fra å bli analysert. |
| Godkjenn skript i mapper (og undermapper) | Varierer basert på miljøet | Denne delen inneholder detaljer om mappene i skriptkontrollen som ikke overvåkes.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Global tillatelse | Varierer basert på miljøet | Denne policyen bruker frakoblet modus for ESSE. Dette gjør det mulig for kundene å ha et miljø helt atskilt fra internett. Denne policyen bestemmer bestemte trusselbaner og sertifikater som skal tillates i miljøet. |
| Karanteneliste | Varierer basert på miljøet | Denne policyen bruker frakoblet modus for ESSE. Dette gjør det mulig for kundene å ha et miljø helt atskilt fra internett. Dette er en definert liste over kjent-skadede hash-koder som automatisk settes i karantene når agenten møter dem. |
| Sikker liste | Varierer basert på miljøet | Denne policyen bruker frakoblet modus for ESSE. Dette gjør det mulig for kundene å ha et miljø helt atskilt fra internett. Denne policyen bestemmer bestemte trusselhasher som skal tillates i miljøet. |
| Agentinnstillinger | ||
| Undertrykk popup-varsler | Deaktivert | Dette aktiverer eller deaktiverer muligheten for ESSE til å vise en brødristerdialogboks. |
| Minimum popup-varslingsnivå | Høy | Dette definerer hva som varsles til sluttbrukeren hvis policyen Undertrykk popup-varsler er deaktivert. Høy
Middels
Lav
|
| Aktiver BIOS-forsikring | Enabled (Aktivert) | Utfører BIOS-integritetskontroller på støttede Dell-datamaskiner (2016 og nyere datamaskiner i virksomhetsklassen) |
| Aktiver automatisk opplasting av loggfiler | Enabled (Aktivert) | Dette gjør det mulig for agenter å automatisk laste opp loggfilene for ATP-plugin-modulen til skyen hver dag ved midnatt, eller ved 100 MB, avhengig av hva som skjer først. |
| Aktiver standard brukergrensesnitt | Enabled (Aktivert) | Dette aktiverer et ekstra alternativ ved hjelp av Dell Data Security-konsollen på et endepunkt. Dette gjør det mulig for lokale brukere å se hvilke trusler, minnehendelser eller skript som er oppdaget på det lokale endepunktet. Dette alternativet vises ved hjelp av høyreklikkmenyen på endepunktet eller ved hjelp av tannhjulet for innstillinger i Dell Data Security-konsollen i et alternativ med tittelen Avansert trusselforhindring. Når dette alternativet er valgt, er flere brytere tilgjengelige som viser eller skjuler truslene, minnehendelsene eller skriptene som har blitt oppdaget på den datamaskinen. Denne policyen krever at Dell Encryption Management Agent er versjon 8.18.0 eller nyere. |
Når du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.