Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Рекомендованные Dell политики для Dell Endpoint Security Suite Enterprise Advanced Threat Protection and Prevention

Summary: Пакет Dell Endpoint Security Suite Enterprise обеспечивает защиту от самых последних и наиболее разрушительных угроз.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Примечание.

Затронутые продукты:

  • Dell Endpoint Security Suite Enterprise

Cause

Неприменимо

Resolution

По умолчанию рекомендуется сначала запустить Advanced Threat Prevention (ATP) в режиме обучения. Вся информация об угрозах собирается для обеспечения администраторам гибкости в управлении угрозами и потенциально нежелательными программами (PUP) в инфраструктуре, а также для получения списка критически важных приложений.

Дополнительные сведения об изменении политик в Dell Endpoint Security Suite Enterprise см. в разделе Как изменить политики на сервере Dell Data Protection Server.

Дополнительные сведения и правила создания исключений в Dell Endpoint Security Suite Enterprise см. в разделе Добавление исключений в Dell Endpoint Security Suite Enterprise.

Примечание.: Для серверов приложений и файловых серверов должны быть особые рекомендации по фоновому обнаружению угроз и отслеживанию новых файлов. Они определены ниже. Эти устройства разделяются по группе конечных точек на сервере Dell Security Management Server, чтобы позволить им иметь политики, отличные от остальных устройств в инфраструктуре.
Примечание.: Эти политики соответствуют Dell Security Management Server 10.2.3.
Значение политики Рекомендуемое значение Описание политики

Advanced Threat Prevention (основной коммутатор)

On

Это значение политики определяет, могут ли клиенты использовать политики Advanced Threat Prevention.

Оно также включает File Actions и Execution Control, которые невозможно отключить.

Execution Control включает в себя «Background Threat Detection» и «File Watcher». Этот модуль в рамках ATP анализирует и аннотирует намерения портативного исполняемого файла (PE) на основе его предполагаемых действий и поведения. Все файлы, обнаруженные Execution Control, а также BTD и File Watcher, обрабатываются на основе политик, коррелирующих с «Auto-Quarantine». Эти действия выполняются на основе абсолютного пути к портативному исполняемому файлу.

Действия с файлами.

 

 

Unsafe Executable Auto Quarantine With Executable Control Enabled

Disabled Этот параметр определяет, будут ли файлы, которые считаются серьезными угрозами, автоматически помещаться в карантин.

Unsafe Executable Auto Upload Enabled

Enabled

Определяет, загружены ли в облако серьезные угрозы для выполнения дополнительной проверки.

Abnormal Executable Auto Quarantine With Executable Control Enabled

Disabled

Этот параметр определяет, будут ли файлы, которые считаются потенциальной угрозой, автоматически помещаться в карантин.

Abnormal Executable Auto Upload Enabled

Enabled

Определяет, будут ли потенциальные угрозы загружаться в облако для выполнения дополнительной проверки.

Allow Execution of Files in Exclude Folders

Enabled

Это относится к политике «Exclude Specific Folders» в группе политик «Protection Settings». Позволяет запускать исполняемые файлы в исключенных папках, даже если они автоматически помещены в карантин.

Auto Delete

Disabled

Это включает таймер для политики «Days until Deleted». Это относится к помещенным в карантин элементам. По истечении таймера «Days until Deleted» все угрозы в папке карантина автоматически удаляются, если эта политика включена.

Days until Deleted

14

Определяет количество дней для каждой угрозы, в течение которых элемент остается в локальной папке карантина.

Memory Actions

   

Memory Protection Enabled

Enabled

Модуль защиты памяти анализирует и интерпретирует намерения запуска приложений, отслеживая взаимодействие между приложениями и операционной системой в памяти.

Enable Exclude executable files

Enabled

Это позволяет исключить определенные исполняемые файлы из «Memory Protection».

Exclude executable files

Пустой

Все добавленные исключения должны быть указаны с использованием относительного пути к исполняемому файлу (исключая букву диска из пути).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Exploitation: Stack Pivot

Alert

Стек для потока был заменен другим стеком. Как правило, компьютер выделяет один стек для потока. Злоумышленник может использовать другой стек для управления исполнением таким образом, чтобы функция предотвращения выполнения данных (DEP) не могла блокировать его.

Применяется к: Windows, Mac

Exploitation: Stack Protect

Alert

Защита памяти стека потока была изменена, чтобы включить разрешение на исполнение. Память стека не должна быть исполняемой, поэтому обычно это означает, что злоумышленник готовится запустить вредоносный код, хранящийся в памяти стека как часть уязвимости. В противном случае функция предотвращения выполнения данных (DEP) заблокировала бы эту попытку.

Применяется к: Windows, Mac

Exploitation: Overwrite Code

Alert

Код, хранящийся в памяти процесса, был изменен с помощью метода, который может указывать на попытку обойти функцию предотвращения выполнения данных (DEP).

Применяется к: Windows

Exploitation: Scanner Memory Search

Alert

Процесс пытается считать действительные данные магнитной полосы из другого процесса. Обычно связаны с POS-терминалами

Применяется к: Windows

Exploitation: Malicious Payload

Alert

Процесс пытается считать действительные данные магнитной полосы из другого процесса. Обычно связаны с POS-терминалами

Применяется к: Windows

Exploitation: Malicious Payload

Alert

Обнаружен общий код оболочки и полезная нагрузка, связанные с эксплойтом.

Применяется к: Windows

Process Injection: Remote Allocation of Memory

Alert

Процесс выделил память в другом процессе. Большинство выделений происходит только в рамках одного процесса. Обычно это указывает на попытку ввести код или данные в другой процесс, что может стать первым шагом в укреплении вредоносного присутствия на компьютере.

Применяется к: Windows, Mac

Process Injection: Remote Mapping of Memory

Alert

Процесс ввел код или данные в другой процесс. Это может указывать на попытку запуска кода в другом процессе и укрепления вредоносного присутствия.

Применяется к: Windows, Mac

Process Injection: Remote Write to Memory

Alert

Процесс изменил память в другом процессе. Обычно это попытка сохранить код или данные в ранее выделенной памяти (см. OutofProcessAllocation), но злоумышленник может попытаться перезаписать существующую память для вредоносной переадресации исполнения.

Применяется к: Windows, Mac

Process Injection: Remote Write PE to Memory

Alert

Процесс изменил память в другом процессе, чтобы она содержала исполняемый образ. Обычно это указывает на то, что злоумышленник пытается выполнить код, не записывая его на диск.

Применяется к: Windows, Mac

Process Injection: Remote Overwrite Code

Alert

Процесс изменил исполняемую память в другом процессе. В нормальных условиях исполняемая память не изменяется, особенно другим процессом. Обычно это указывает на попытку переадресации исполнения в другой процесс.

Применяется к: Windows, Mac

Process Injection: Remote Unmap of Memory

Alert

Процесс удалил исполняемый файл Windows из памяти другого процесса. Это может указывать на намерение заменить исполняемый образ на измененную копию для переадресации исполнения.

Применяется к: Windows, Mac

Process Injection: Remote Thread Creation

Alert

Процесс создал поток в другом процессе. Злоумышленник выполняет это действие для активации вредоносного присутствия, которое было введено в другой процесс.

Применяется к: Windows, Mac

Process Injection: Remote APC Scheduled

Alert

Процесс перенаправил исполнение потока другого процесса. Злоумышленник выполняет это действие для активации вредоносного присутствия, которое было введено в другой процесс.

Применяется к: Windows

Process Injection: DYLD Injection (только для Mac OS X)

Alert

Была установлена переменная среды, которая приводит к тому, что в запущенный процесс вводится общая библиотека. Атаки могут изменить список свойств приложений, таких как Safari, или заменить приложения на сценарии bash, которые приводят к автоматической загрузке модулей при запуске приложения.

Применяется к: Mac

Escalation: LSASS Read

Alert

Доступ к памяти, принадлежащей процессу Windows Local Security Authority, был осуществлен способом, указывающим на попытку получения паролей пользователей.

Применяется к: Windows

Escalation: Zero Allocate

Alert

Выделена пустая страница. Область памяти обычно резервируется, но в определенных обстоятельствах она может быть выделена. Атаки могут использовать эту функцию для настройки эскалации прав доступа, используя некоторые известные неопределенные эксплойты, обычно в ядре.

Применяется к: Windows, Mac

Execution Control

   

Prevent Service Shutdown from Device

Disabled

Если установлено значение «Enabled», невозможно остановить службу ATP. Это также предотвращает удаление приложения.

Kill Unsafe Running Process and Sub-Processes

Disabled

Включение этой функции позволяет обнаруживать и удалять любые угрозы на основе памяти, которые порождают подпроцессы.

Background Threat Detection

Run Once

Определяет, выполняется ли сканирование существующих файлов на устройстве. Для этого параметра можно установить значение Отключено, Запустить один раз или Запустить повторно.

Если включена политика «Watch For New Files», рекомендуется настроить для «Background Threat Detection» значение «Run Once». Необходимо проверять существующие файлы только один раз, если вы также просматриваете новые и обновленные файлы.

Watch For New Files

Enabled

Установка значения «Enabled» позволяет обнаруживать и анализировать любые файлы, которые были недавно записаны на устройство или изменены.

 
Примечание.: Рекомендуется отключить отслеживание новых файлов на устройствах с интенсивным трафиком (таких как файлы или серверы приложений), так как это может привести к непредвиденному увеличению задержки диска, так как каждый файл придется анализировать при записи на диск. По умолчанию этот эффект снижается, так как все портативные исполняемые файлы, которые пытаются запуститься, анализируются. Его можно дополнительно снизить, включив и установив для политики Background Threat Detection значение Run Recurring.

Set Maximum Archive File Size to Scan

150

Настройка максимального размера распакованного архива, который можно проанализировать Размер в мегабайтах.

Protection Settings    
Enable Exclude Specific Folders (включает подпапки) Enabled Это позволяет определять папки в File Watcher и Execution Control на основе политики, а также разрешать выполнение файлов в папках исключений , которые не отслеживаются.
Exclude Specific Folders (включает подпапки) -Пустой-

Определяет список неотслеживаемых папок в File Watcher. Политика «Разрешить выполнение файлов в папках исключений» запрещает помещать в карантин любые файлы, запущенные из этих каталогов. Эта политика запрещает сканирование этих каталогов для «Watch for New Files» или «Background Threat Detection».

Все добавленные исключения должны быть указаны с использованием абсолютного пути к исполняемому файлу (включая букву диска из пути).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Application Control    
Application Control Disabled Это позволяет ограничить изменения приложений на устройстве, при этом нельзя добавлять новые приложения, нельзя удалять приложения, а также изменять или обновлять приложения.
Application Control Allowed Folders -Пустой-

Определяет список неотслеживаемых папок в Application Control.

Все добавленные исключения должны быть указаны с использованием абсолютного пути к исполняемому файлу (включая букву диска из пути).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Enable Change Window Disabled Если установлено значение «Enabled», временно отключает Application Control, позволяя вносить изменения в инфраструктуру.
Script Control    
Script Control Enabled

Включает использование «Script Control»

«Script Control» отслеживает приложения и службы, которые могут выполнять действия в операционной системе. Эти приложения обычно называются интерпретаторами. ATP отслеживает эти приложения и службы на наличие сценариев, которые пытаются выполниться, и на основе политик уведомляет о предпринятых действиях или блокирует их выполнение. Эти решения принимаются на основе имени сценария и относительного пути выполнения сценария.

Script Control Mode Alert

Если задано значение «Block», элементы на основе сценариев не выполняются. Это относится к любому активному сценарию, сценарию на основе макросов или сценарию на основе PowerShell. В более поздних версиях они разделены на собственные политики.

Применяется к: 1.2.1371 и более ранние сборки ESSE

Active Script Alert

Если задано значение «Block», отключает возможность запуска JavaScript, VBScript, batch, Python, Perl, PHP, Ruby и многих других сценариев.

Применяется к: 1.2.1391 и более поздние сборки ESSE.

Macros Alert

Если установлено значение «Alert», позволяет анализировать макросы в документах, чтобы определить, выполняются ли в них потенциально вредоносные команды. Если обнаружена угроза, настройка «Block» запрещает запуск макроса. Макросы, запускаемые при запуске системы, могут препятствовать загрузке приложения.

Применяется к: 1.2.1391 и более поздние сборки ESSE.

PowerShell Alert

Если задано значение «Block», предотвращает выполнение сценариев на основе PowerShell в инфраструктуре.

Применяется к: 1.2.1391 и более поздние сборки ESSE.

Powershell Console Allow

Если задано значение «Block», консоль PowerShell v3 и ISE не будут запускаться.

Применяется к: 1.2.1391 и более поздние сборки ESSE.

Enable Approve Scripts in Folders (and Subfolders) Enabled Это позволяет исключить из анализа местоположения в «Script Control».
Approve Scripts in Folders (and Subfolders) -Пустой-

Здесь указываются неотслеживаемые папки в «Script Control».

  • Пути к папкам могут быть на локальных дисках, подключенных сетевых дисках или являться универсальным путем именования (UNC).
  • Исключения папок сценариев должны указывать относительный путь к папке или подпапке.
  • Любой указанный путь к папке также включает любые подпапки.
  • Подстановочные знаки не поддерживаются.
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
Global Allow -Пустой-

Эта политика использует отключенный режим для ESSE. Это позволяет заказчикам полностью отделить инфраструктуру от Интернета.

Эта политика определяет конкретные пути угроз и сертификаты, которые должны быть разрешены в инфраструктуре.

Quarantine List -Пустой-

Эта политика использует отключенный режим для ESSE. Это позволяет заказчикам полностью отделить инфраструктуру от Интернета.

Это определенный список известных поврежденных хэшей, которые автоматически помещаются в карантин при обнаружении агентом.

Safe List -Пустой-

Эта политика использует отключенный режим для ESSE. Это позволяет заказчикам полностью отделить инфраструктуру от Интернета.

Эта политика определяет конкретные хэши угроз, которые должны быть разрешены в инфраструктуре.

Agent Settings    
Suppress Popup Notifications Enabled Включение или отключение возможности отображения всплывающего диалогового окна для ESSE.
Minimum Popup Notification Level Высокий

Определяет, что будет сообщено конечному пользователю, если политика «Suppress Popup Notifications» отключена.

Высокий

  • Состояние защиты изменилось. (Значение «Protected» означает, что служба Advanced Threat Prevention запущена, защищает компьютер и не требует вмешательства пользователя или администратора.)
  • Обнаружена угроза, и политика не настроена на автоматическое устранение угрозы.

Medium

  • Execution Control заблокировал запуск процесса, так как он был определен как угроза.
  • Обнаружена угроза, связанная со смягчением последствий (например, угроза была помещена в карантин вручную), поэтому процесс был удален.
  • Процесс заблокирован или удален из-за нарушения памяти.
  • Обнаружено нарушение памяти, и для этого типа нарушения не действует политика автоматического смягчения последствий.

Low

  • Файл, определенный как угроза, был добавлен в глобальный безопасный список или удален из файловой системы.
  • Угроза обнаружена и автоматически помещена в карантин.
  • Файл был определен как угроза, но отклонен на компьютере.
  • Состояние текущей угрозы изменилось. Например, с «Threat» на «Quarantined», с «Quarantined» на «Waived», или с «Waived» на «Quarantined».
Enable BIOS Assurance Enabled Выполняет проверку целостности BIOS на поддерживаемых компьютерах Dell (компьютеры корпоративного класса 2016 года и более новые).
Enable Auto-upload of Log Files Enabled Это позволяет агентам автоматически загружать файлы журнала для подключаемого модуля ATP в облако каждый день в полночь или по достижении 100 Мбайт, в зависимости от того, что наступит раньше.
Примечание.: Эти политики соответствуют Dell Security Management Server 10.2.3.
Значение политики Рекомендуемое значение Описание политики

Advanced Threat Prevention (основной коммутатор)

On

Это значение политики определяет, могут ли клиенты использовать политики Advanced Threat Prevention.

Оно также включает File Actions и Execution Control, которые невозможно отключить.

Execution Control включает в себя «Background Threat Detection» и «File Watcher». Этот модуль в рамках ATP анализирует и аннотирует намерения портативного исполняемого файла (PE) на основе его предполагаемых действий и поведения. Все файлы, обнаруженные Execution Control, BTD и File Watcher, обрабатываются на основе политик, коррелирующих с «Auto-Quarantine». Эти действия выполняются на основе абсолютного пути к портативному исполняемому файлу.

Действия с файлами.

 

 

Unsafe Executable Auto Quarantine With Executable Control Enabled

Enabled Этот параметр определяет, будут ли файлы, которые считаются серьезными угрозами, автоматически помещаться в карантин.

Unsafe Executable Auto Upload Enabled

Enabled

Определяет, загружены ли в облако серьезные угрозы для выполнения дополнительной проверки.

Abnormal Executable Auto Quarantine With Executable Control Enabled

Enabled

Этот параметр определяет, будут ли файлы, которые считаются потенциальной угрозой, автоматически помещаться в карантин.

Abnormal Executable Auto Upload Enabled

Enabled

Определяет, будут ли потенциальные угрозы загружаться в облако для выполнения дополнительной проверки.

Allow Execution of Files in Exclude Folders

Enabled

Это относится к политике «Exclude Specific Folders» в группе политик «Protection Settings». Позволяет запускать исполняемые файлы в исключенных папках, даже если они автоматически помещены в карантин.

Auto Delete

Enabled

Это включает таймер дней до удаления политики, это также относится к помещенным в карантин элементам. По истечении таймера времени до удаления все угрозы в папке карантина автоматически удаляются, если эта политика включена.

Days until Deleted

14

Определяет количество дней для каждой угрозы, в течение которых элемент остается в локальной папке карантина.

Memory Actions

   

Memory Protection Enabled

Enabled

Это обеспечивает функциональность защиты памяти, модуль защиты памяти анализирует и интерпретирует намерения запуска приложений, отслеживая взаимодействие между приложениями и операционной системой в памяти.

Enable Exclude executable files

Enabled

Это позволяет исключить определенные исполняемые файлы из «Memory Protection».

Exclude executable files

Зависит от среды.

Все добавленные исключения должны быть указаны с использованием относительного пути к исполняемому файлу (исключая букву диска из пути).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Exploitation: Stack Pivot

Terminate

Стек для потока был заменен другим стеком. Как правило, компьютер выделяет только один стек для потока. Злоумышленник может использовать другой стек для управления исполнением таким образом, чтобы функция предотвращения выполнения данных (DEP) не блокировала его.

Применяется к: Windows, Mac

Exploitation: Stack Protect

Terminate

Защита памяти стека потока была изменена, чтобы включить разрешение на исполнение. Память стека не должна быть исполняемой, поэтому обычно это означает, что злоумышленник готовится запустить вредоносный код, хранящийся в памяти стека как часть уязвимости. В противном случае функция предотвращения выполнения данных (DEP) не заблокировала бы эту попытку.

Применяется к: Windows, Mac

Exploitation: Overwrite Code

Terminate

Код, хранящийся в памяти процесса, был изменен с помощью метода, который может указывать на попытку обойти функцию предотвращения выполнения данных (DEP).

Применяется к: Windows

Exploitation: Scanner Memory Search

Terminate

Процесс пытается прочитать действительные данные магнитной полосы из другого процесса, обычно связанные с POS-терминалами.

Применяется к: Windows

Exploitation: Malicious Payload

Terminate

Обнаружен общий код оболочки и полезная нагрузка, связанные с эксплойтом.

Применяется к: Windows

Process Injection: Remote Allocation of Memory

Terminate

Процесс выделил память в другом процессе. Большинство выделений происходит только в рамках одного процесса. Обычно это указывает на попытку ввести код или данные в другой процесс, что может стать первым шагом в укреплении вредоносного присутствия на компьютере.

Применяется к: Windows, Mac

Process Injection: Remote Mapping of Memory

Terminate

Процесс ввел код или данные в другой процесс. Это может указывать на попытку запуска кода в другом процессе и укрепления вредоносного присутствия.

Применяется к: Windows, Mac

Process Injection: Remote Write to Memory

Terminate

Процесс изменил память в другом процессе. Обычно это попытка сохранить код или данные в ранее выделенной памяти (см. OutOfProcessAllocation), но злоумышленник может попытаться перезаписать существующую память для вредоносной переадресации исполнения.

Применяется к: Windows, Mac

Process Injection: Remote Write PE to Memory

Terminate

Процесс изменил память в другом процессе, чтобы она содержала исполняемый образ. Обычно это указывает на то, что злоумышленник пытается выполнить код, не записывая его на диск.

Применяется к: Windows, Mac

Process Injection: Remote Overwrite Code

Terminate

Процесс изменил исполняемую память в другом процессе. В нормальных условиях исполняемая память не изменяется, особенно другим процессом. Обычно это указывает на попытку переадресации исполнения в другой процесс.

Применяется к: Windows, Mac

Process Injection: Remote Unmap of Memory

Terminate

Процесс удалил исполняемый файл Windows из памяти другого процесса. Это может указывать на намерение заменить исполняемый образ на измененную копию для переадресации исполнения.

Применяется к: Windows, Mac

Process Injection: Remote Thread Creation

Terminate

Процесс создал поток в другом процессе. Злоумышленник выполняет это действие для активации вредоносного присутствия, которое было введено в другой процесс.

Применяется к: Windows, Mac

Process Injection: Remote APC Scheduled

Terminate

Процесс перенаправил исполнение потока другого процесса. Злоумышленник выполняет это действие для активации вредоносного присутствия, которое было введено в другой процесс.

Применяется к: Windows

Process Injection: DYLD Injection (только для Mac OS X)

Terminate

Была установлена переменная среды, которая приводит к тому, что в запущенный процесс вводится общая библиотека. Атаки могут изменить список свойств приложений, таких как Safari, или заменить приложения на сценарии bash, которые приводят к автоматической загрузке модулей при запуске приложения.

Применяется к: Mac

Escalation: LSASS Read

Terminate

Доступ к памяти, принадлежащей процессу Windows Local Security Authority, был осуществлен способом, указывающим на попытку получения паролей пользователей.

Применяется к: Windows

Escalation: Zero Allocate

Terminate

Выделена пустая страница. Область памяти обычно резервируется, но в определенных обстоятельствах она может быть выделена. Атаки могут использовать эту функцию для настройки эскалации прав доступа, используя некоторые известные неопределенные эксплойты, обычно в ядре.

Применяется к: Windows, Mac

Execution Control

   

Prevent Service Shutdown from Device

Enabled

Если установлено значение «Enabled», невозможно остановить службу ATP, даже как компьютер. Это также предотвращает удаление приложения.

Kill Unsafe Running Process and Sub-Processes

Enabled

Включение этой функции позволяет обнаруживать и удалять любые угрозы на основе памяти, которые порождают подпроцессы.

Background Threat Detection

Run Once

Определяет, выполняется ли сканирование существующих файлов на устройстве. Для этого параметра можно установить значение Отключено, Запустить один раз или Запустить повторно.

Если включена политика «Watch For New Files», рекомендуется настроить для «Background Threat Detection» значение «Run Once». Необходимо проверять существующие файлы только один раз, если вы также просматриваете новые и обновленные файлы.

Watch For New Files

Enabled

Установка значения «Enabled» позволяет обнаруживать и анализировать любые файлы, которые были недавно записаны на устройство или изменены.

 
Примечание.: Рекомендуется отключить отслеживание новых файлов на устройствах с интенсивным трафиком (таких как файлы или серверы приложений), так как это может привести к непредвиденному увеличению задержки диска, так как каждый файл придется анализировать при записи на диск. По умолчанию этот эффект снижается, так как все портативные исполняемые файлы, которые пытаются запуститься, анализируются. Его можно дополнительно снизить, включив и установив для политики Background Threat Detection значение Run Recurring.

Set Maximum Archive File Size to Scan

150

Настройка максимального размера распакованного архива, который можно проанализировать Размер в мегабайтах.

Protection Settings    
Enable Exclude Specific Folders (включает подпапки) Enabled Это позволяет определять папки в File Watcher и Execution Control на основе политики «Разрешить выполнение файлов в папках исключений, которые не отслеживаются».
Exclude Specific Folders (включает подпапки) Зависит от среды.

Это определяет список неотслеживаемых папок в File Watcher. Эта политика «Разрешить выполнение файлов в папках исключений» предотвращает помещение в карантин любых файлов, запущенных из этих каталогов. Эта политика запрещает сканирование этих каталогов для «Watch for New Files» или «Background Threat Detection».

Все добавленные исключения должны быть указаны с использованием абсолютного пути к исполняемому файлу (включая букву диска из пути).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Application Control    
Application Control Disabled Это позволяет ограничить изменения приложений на устройстве. Нельзя добавлять новые приложения, нельзя удалять приложения, нельзя изменять или обновлять приложения.
Application Control Allowed Folders -Пустой-

Определяет список неотслеживаемых папок в Application Control.

Все добавленные исключения должны быть указаны с использованием абсолютного пути к исполняемому файлу (включая букву диска из пути).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Enable Change Window Disabled Если установлено значение «Enabled», временно отключает Application Control, позволяя вносить изменения в инфраструктуру.
Script Control    
Script Control Enabled

Включает использование «Script Control»

«Script Control» отслеживает приложения и службы, которые могут выполнять действия в операционной системе. Эти приложения обычно называются интерпретаторами. ATP отслеживает эти приложения и службы на наличие сценариев, которые пытаются выполниться, и на основе политик уведомляет о предпринятых действиях или блокирует их выполнение. Эти решения принимаются на основе имени сценария и относительного пути выполнения сценария.

Script Control Mode Заблокировать

Если задано значение «Block», элементы на основе сценариев не выполняются. Это относится к любому активному сценарию, сценарию на основе макросов или сценарию на основе PowerShell. В более поздних версиях они разделены на собственные политики.

Применяется к: 1.2.1371 и более ранние сборки ESSE

Active Script Заблокировать

Если задано значение «Block», отключает возможность запуска JavaScript, VBScript, batch, Python, Perl, PHP, Ruby и многих других сценариев.

Применяется к: 1.2.1391 и более поздние сборки ESSE.

Macros Заблокировать

Если установлено значение «Alert», позволяет анализировать макросы в документах, чтобы определить, выполняются ли в них потенциально вредоносные команды. Если обнаружена угроза, настройка «Block» запрещает запуск макроса. Макросы, запускаемые при запуске системы, могут препятствовать загрузке приложения.

Применяется к: 1.2.1391 и более поздние сборки ESSE.

PowerShell Заблокировать

Если задано значение «Block», предотвращает выполнение сценариев на основе PowerShell в инфраструктуре.

Применяется к: 1.2.1391 и более поздние сборки ESSE.

Powershell Console Allow

Если задано значение «Block», консоль PowerShell v3 и ISE не будут запускаться.

Применяется к: 1.2.1391 и более поздние сборки ESSE.

Enable Approve Scripts in Folders (and Subfolders) Enabled Это позволяет исключить из анализа местоположения из управления сценариями.
Approve Scripts in Folders (and Subfolders) Зависит от среды.

Здесь указываются неотслеживаемые папки в «Script Control».

  • Пути к папкам могут быть на локальных дисках, подключенных сетевых дисках или являться универсальным путем именования (UNC).
  • Исключения папок сценариев должны указывать относительный путь к папке или подпапке.
  • Любой указанный путь к папке также включает любые подпапки.
  • Подстановочные знаки не поддерживаются.
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
Global Allow Зависит от среды.

Эта политика использует отключенный режим для ESSE. Это позволяет заказчикам полностью отделить инфраструктуру от Интернета.

Эта политика определяет конкретные пути угроз и сертификаты, которые должны быть разрешены в инфраструктуре.

Quarantine List Зависит от среды.

Эта политика использует отключенный режим для ESSE. Это позволяет заказчикам полностью отделить инфраструктуру от Интернета.

Это определенный список известных поврежденных хэшей, которые автоматически помещаются в карантин при обнаружении агентом.

Safe List Зависит от среды.

Эта политика использует отключенный режим для ESSE. Это позволяет заказчикам полностью отделить инфраструктуру от Интернета.

Эта политика определяет конкретные хэши угроз, которые должны быть разрешены в инфраструктуре.

Agent Settings    
Suppress Popup Notifications Disabled Включение или отключение возможности отображения всплывающего диалогового окна для ESSE.
Minimum Popup Notification Level Высокий

Определяет, что будет сообщено конечному пользователю, если политика «Suppress Popup Notifications» отключена.

Высокий

  • Состояние защиты изменилось. (Значение «Protected» означает, что служба Advanced Threat Prevention запущена, защищает компьютер и не требует вмешательства пользователя или администратора.)
  • Обнаружена угроза, и политика не настроена на автоматическое устранение угрозы.

Medium

  • Execution Control заблокировал запуск процесса, так как он был определен как угроза.
  • Обнаружена угроза, связанная со смягчением последствий (например, угроза была помещена в карантин вручную), поэтому процесс был удален.
  • Процесс заблокирован или удален из-за нарушения памяти.
  • Обнаружено нарушение памяти, и для этого типа нарушения не действует политика автоматического смягчения последствий.

Low

  • Файл, определенный как угроза, был добавлен в глобальный безопасный список или удален из файловой системы.
  • Угроза обнаружена и автоматически помещена в карантин.
  • Файл был определен как угроза, но отклонен на компьютере.
  • Состояние текущей угрозы изменилось (например, с «Threat» на «Quarantined», с «Quarantined» на «Waived», или с «Waived» на «Quarantined»).
Enable BIOS Assurance Enabled Выполняет проверку целостности BIOS на поддерживаемых компьютерах Dell (компьютеры корпоративного класса 2016 года и более новые).
Enable Auto-upload of Log Files Enabled Это позволяет агентам автоматически загружать файлы журнала для подключаемого модуля ATP в облако каждый день в полночь или по достижении 100 Мбайт, в зависимости от того, что наступит раньше.
Enable Standard UI Enabled Это включает дополнительный параметр с помощью консоли Dell Data Security Console на конечной точке. Это позволяет локальным пользователям видеть, какие угрозы, события памяти или сценарии были обнаружены на локальной конечной точке. Этот параметр доступен в контекстном меню конечной точки или с помощью шестеренки Settings в консоли Dell Data Security Console в разделе Advanced Threat Prevention.

После выбора этого параметра становятся доступными дополнительные переключатели, которые показывают или скрывают угрозы, события памяти или сценарии, обнаруженные на этом компьютере.

Для этой политики требуется Dell Encryption Management Agent версии 8.18.0 или более поздней.

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

Additional Information

 

Videos

 

Affected Products

Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000126118
Article Type: Solution
Last Modified: 04 Mar 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.