Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

適用於 Dell Endpoint Security Suite Enterprise Advanced Threat Protection 與Prevention 的 Dell 建議原則

Summary: Dell Endpoint Security Suite Enterprise 針對現今最新且最具破壞性的威脅提供預防與保護。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

注意:

受影響的產品:

  • Dell Endpoint Security Suite Enterprise

Cause

不適用

Resolution

根據預設,建議先以學習模式開始執行 Advanced Threat Prevention (ATP)。系統會收集所有威脅資訊,讓系統管理員能夠彈性地管理環境中的威脅和可能不需要的程式 (PUP),並將關鍵任務應用程式加入允許清單。

如需更多有關在 Dell Endpoint Security Suite Enterprise 中修改原則的資訊,請參閱如何 修改 Dell Data Protection Server 上的原則

如需更多有關在 Dell Endpoint Security Suite Enterprise 中建立排除項目的資訊和規則,請參閱 如何在 Dell Endpoint Security Suite Enterprise 中新增排除項目

注意:應用程式和檔案伺服器應特別注意背景威脅偵測,以及觀察新檔案。以下列出其定義。這些裝置會由 Dell Security Management Server 內的端點群組分隔,允許這些裝置擁有與環境中其餘裝置不同的原則。
注意:這些原則反映 10.2.3 的 Dell Security Management Server。
原則值 建議值 原則說明

Advanced Threat Prevention (主交換器)

開啟

此原則值可決定用戶端是否可使用 Advanced Threat Prevention 的原則。

這也會啟用「檔案動作」和「執行控制」,且無法停用。

執行控制包含「背景威脅偵測」和「檔案觀察」。ATP 內的模組會根據可攜式可執行檔 (PE) 的預期動作和行為,分析並抽象化其目的。由執行控制偵測到的所有檔案,加上 BTD 和檔案觀察,都會根據與自動隔離相關的原則進行處理。這些動作是根據可攜式可執行檔的絕對路徑位置執行。

檔案動作:

 

 

啟用可執行檔控制時,自動隔離不安全的可執行檔

已停用 這可決定是否自動隔離視為嚴重威脅的檔案。

啟用自動上傳不安全的可執行檔

已啟用

設定是否將嚴重威脅上傳到雲端,以對這些威脅執行第二次檢查。

啟用可執行檔控制時,自動隔離異常的可執行檔

已停用

這可決定是否自動隔離視為潛在威脅的檔案。

啟用自動上傳異常的可執行檔

已啟用

設定是否將潛在威脅上傳到雲端,以對這些威脅執行第二次檢查。

允許在排除資料夾中執行檔案

已啟用

這會套用至保護設定原則群組中的「原則排除特定資料夾」。這可允許執行排除資料夾內的可執行檔,即使這些檔案被自動隔離。

自動刪除

已停用

這會啟用「刪除前的天數」計時器。這適用於隔離的項目,若啟用此原則,隔離資料夾內的任何威脅都會在超過「刪除前的天數後」自動移除。

刪除前的天數

14

這可決定每個威脅項目會保留在本機隔離資料夾中的天數。

記憶體動作

   

啟用記憶體保護

已啟用

記憶體保護模組會監控應用程式與記憶體作業系統之間的互動,以分析和解譯執行中應用程式的目的。

啟用排除可執行檔

已啟用

這可讓您從「記憶體保護」中排除特定可執行檔。

排除可執行檔

空白

所有新增的排除項目都必須使用該可執行檔的相對路徑指定 (排除路徑中的磁碟機代號)。

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

惡意探索:堆疊轉動

警示

執行緒堆疊已更換為不同堆疊。一般來說,電腦會為執行緒分配單一堆疊。攻擊者會使用不同的堆疊,以預防資料執行 (DEP) 無法封鎖的方式控制執行。

適用於:Windows,Mac

惡意探索:堆疊保護

警示

執行緒堆疊的記憶體保護經過修改,以啟用執行權限。堆疊記憶體不應為可執行,因此這通常表示攻擊者準備執行儲存在堆疊記憶體中的惡意程式碼,預防資料執行 (DEP) 會封鎖這樣的嘗試。

適用於:Windows,Mac

惡意探索:覆寫程式碼

警示

程式記憶體中的程式碼已遭到可能代表嘗試略過預防資料執行 (DEP) 的技術修改。

適用於:Windows

惡意探索:掃描器記憶體搜尋

警示

一個程序正在嘗試從另一個程序讀取有效的磁性等量分配通路資料。通常與銷售點電腦 (POS) 有關

適用於:Windows

惡意探索:惡意裝載

警示

一個程序正在嘗試從另一個程序讀取有效的磁性等量分配通路資料。通常與銷售點電腦 (POS) 有關

適用於:Windows

惡意探索:惡意裝載

警示

偵測到與開發相關的一般 Shellcode 和裝載偵測。

適用於:Windows

程序注入:遠端配置記憶體

警示

程序已在另一個程序中配置記憶體。大部分的分配僅會在相同的程序中進行。這通常表示嘗試將程式碼或資料注入另一個程序,這可能是在電腦內強化惡意軟體的第一個步驟。

適用於:Windows,Mac

程序注入:遠端對應記憶體

警示

一個程序已將程式碼或資料導入另一個程序。這可能表示嘗試在另一個程序中開始執行程式碼,並強化其中的惡意軟體。

適用於:Windows,Mac

程序注入:遠端寫入至記憶體

警示

程序已在另一個程序中修改了記憶體。這通常是嘗試將程式碼或資料儲存在先前分配的記憶體中 (請參閱 OutofProcessAllocation),但也可能是攻擊者正在嘗試覆寫現有的記憶體,以轉移執行惡意軟體的目的。

適用於:Windows,Mac

程序注入:遠端寫入 PE 至記憶體

警示

程序已在另一個程序中修改了記憶體,以包含可執行檔映像。通常這表示攻擊者在並未將程式碼寫入磁碟的情況下,正在嘗試執行程式碼。

適用於:Windows,Mac

程序注入:遠端覆寫程式碼

警示

程序已在另一個程序中修改了可執行檔記憶體。在正常情況下無法修改可執行檔記憶體,特別是透過另一個程序。這通常表示正在嘗試在另一個程序中轉移執行。

適用於:Windows,Mac

程序注入:遠端取消對應記憶體

警示

程序已從另一個程序的記憶體中移除一個 Windows 可執行檔。這可能表示將可執行檔映像替換為修改後複本,以轉移執行的意圖。

適用於:Windows,Mac

程序注入:遠端建立執行緒

警示

程序已在另一個程序中建立執行緒。攻擊者會使用此功能,啟用注入另一個程序的惡意軟體。

適用於:Windows,Mac

程序注入:遠端排程 APC

警示

程序已轉移執行其他程序的執行緒。攻擊者會使用此功能,啟用注入另一個程序的惡意軟體。

適用於:Windows

程序注入:DYLD 注入 (僅限 Mac OS X)

警示

已設定環境變數,導致共用程式庫注入至已啟動的程序中。攻擊可能會修改 Safari 等應用程式的 plist,或將應用程式替換為 bash 指令檔,導致在應用程式啟動時自動載入其模組。

適用於:Mac

呈報:LSASS 讀取

警示

Windows Local Security Authority 程序的記憶體遭到存取,表示有人正在嘗試取得使用者密碼。

適用於:Windows

呈報:零分配

警示

已分配一個 null 頁面。記憶體區域通常會保留,但在某些情況下可進行分配。攻擊可利用一些通常位於核心內的已知 null 反參照漏洞,來設定權限提升。

適用於:Windows,Mac

執行控制

   

防止服務從裝置關機

已停用

啟用時,會導致無法阻止 ATP 服務。這也可避免應用程式遭到解除安裝。

終止不安全的執行程序及其副程序

已停用

啟用此功能可偵測和終止會產生子程序的任何記憶體式威脅。

背景威脅偵測

執行一次

這可判斷裝置上是否針對現有檔案執行了掃描。這可以設為停用、執行一次或循環執行。

如果已啟用「觀察新檔案」,建議您將「背景威脅偵測」設定為「執行一次」。如果您同時在觀察新檔案與更新檔案,您必須僅檢查現有檔案一次。

觀察新檔案

已啟用

將此設定設為「啟用」時,可偵測和分析新寫入至裝置或已變更的任何檔案。

 
注意:建議您在高流量裝置 (例如檔案或應用程式伺服器) 上停用「觀察新檔案」,因為這可能會導致磁碟延遲意外增加,因為在寫入磁碟時,每個檔案都必須進行分析。由於會在任何可攜式可執行檔嘗試執行時進行分析,因此預設可緩解此問題。啟用並將背景威脅偵測設定為循環執行可進一步緩解此情況。

設定要掃描的最大歸檔檔案大小

150

設定可分析的最大解壓縮歸檔大小,以 MB 為單位。

保護設定    
啟用排除特定資料夾 (包含子資料夾) 已啟用 這可讓您根據原則在 「檔案觀察 」和 「執行控制 」中定義資料夾,並允許在排除未監控的資料夾中執行檔案
排除特定資料夾 (包含子資料夾) -空白-

定義「檔案觀察」中未監控的資料夾清單,「允許在排除資料夾中執行檔案」原則可避免隔離從這些目錄執行的任何檔案。此原則可防止「觀察新檔案」或「背景威脅偵測」掃描這些目錄。

所有新增的排除項目都必須使用該可執行檔的絕對路徑指定 (包括路徑中的磁碟機代號)。

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
應用程式控制    
應用程式控制 已停用 這使您能夠限制設備上基於應用程式的更改,無法添加新應用程式,無法刪除任何應用程式,也無法修改或更新任何應用程式。
應用程式控制允許的資料夾 -空白-

這將定義應用程式控制中未監控的資料夾清單。

所有新增的排除項目都必須使用該可執行檔的絕對路徑指定 (包括路徑中的磁碟機代號)。

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
啟用變更視窗 已停用 啟用後,此功能會暫時停用「應用程式控制」,以允許在環境中進行修改。
指令檔控制    
指令檔控制 已啟用

啟用「指令檔控制」

「指令檔控制」會監控可在作業系統內執行動作的應用程式和服務。這些應用程式通常稱為解譯器。ATP 會監控這些應用程式和服務中嘗試執行的指令檔,並根據原則在採取行動時通報,或是阻止動作執行。這些決策是根據指令檔名稱和執行指令檔的相對路徑進行。

指令檔控制模式 警示

設為「封鎖」時,不會執行以指令檔為基礎的項目。這包括所有作用中的指令檔、巨集式指令檔,或 PowerShell 型指令檔。在較新的版本中,這些分為各自的原則。

適用於:1.2.1371 和較早組建的 ESSE

使用中的指令檔 警示

設為「封鎖」時,這會停用執行 JavaScript、VBscript、batch、Python、Perl、PHP、Ruby 和其他多種指令檔的功能。

適用於:1.2.1391 和較新組建的 ESSE。

巨集 警示

將此設定為「警示」可讓您分析文件中的聚集,以判斷其是否會執行潛在的惡意命令。如果偵測到威脅,「封鎖」設定會阻止巨集執行。在啟動時執行的巨集可能會導致應用程式無法載入。

適用於:1.2.1391 和較新組建的 ESSE。

Powershell 警示

設為「封鎖」時,這可避免在環境中執行所有以 PowerShell 為基礎的指令檔。

適用於:1.2.1391 和較新組建的 ESSE。

Powershell 主控台 Allow

設為「封鎖」時,可避免啟動 PowerShell V3 主控台和 ISE。

適用於:1.2.1391 和較新組建的 ESSE。

啟用資料夾 (和子資料夾) 中的核准指令檔 已啟用 這可讓您排除「指令檔控制」中的位置,而不進行分析。
資料夾 (和子資料夾) 中的核准指令檔 -空白-

本節詳細說明「指令檔控制」中的未監控資料夾。

  • 資料夾路徑可以是至本機磁碟機、對應的網路磁碟機,或通用命名慣例 (UNC) 路徑。
  • 指令檔資料夾排除必須指定資料夾或子資料夾的相對路徑。
  • 任何指定的資料夾路徑也包含任何子資料夾。
  • 不支援萬用字元。
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
全域允許 -空白-

此原則由 ESSE 的「中斷連線」模式使用。這可讓客戶擁有與網際網路完全分離的環境。

此原則可決定環境中應允許的特定威脅路徑和憑證。

隔離清單 -空白-

此原則由 ESSE 的「中斷連線」模式使用。這可讓客戶擁有與網際網路完全分離的環境。

這是代理程式在遇到時會自動隔離的已知故障雜湊定義清單。

安全清單 -空白-

此原則由 ESSE 的「中斷連線」模式使用。這可讓客戶擁有與網際網路完全分離的環境。

此原則可決定環境中應允許的特定威脅雜湊。

代理程式設定    
隱藏快顯通知 已啟用 這會啟用或停用 ESSE 顯示 Toaster 對話方塊的功能。
最小快顯通知層級 High

這定義當停用「隱藏快顯通知」原則時,會向終端使用者通知哪些內容。

High

  • 保護狀態已變更。(受保護代表 Advanced Threat Prevention 正在執行並保護電腦,不需要使用者或系統管理員介入。)
  • 偵測到威脅,且並未設定原則以自動處理威脅。

  • 「執行控制」偵測到威脅,且封鎖程序啟動。
  • 偵測到具有相關緩解措施的威脅 (例如手動隔離威脅),因此程序已終止。
  • 由於記憶體違規,程式遭到封鎖或終止。
  • 偵測到記憶體違規,且該違規類型沒有自動緩解原則。

  • 將識別為威脅的檔案新增至全域安全清單,或從檔案系統刪除。
  • 已偵測到威脅並自動隔離。
  • 已將檔案識別為威脅,但在電腦上棄權。
  • 目前威脅的狀態已變更。例如:要隔離的威脅、隔離至棄權,或棄權至隔離。
啟用 BIOS 保證 已啟用 對支援的 Dell 電腦 (2016 及更新的企業級電腦) 執行 BIOS 完整性檢查
啟用記錄檔自動上傳 已啟用 這使代理能夠在每天午夜或 100 MB 時自動將其 ATP 外掛程式的日誌檔上傳到雲,以先發生者為准。
注意:這些原則反映 10.2.3 的 Dell Security Management Server。
原則值 建議值 原則說明

Advanced Threat Prevention (主交換器)

開啟

此原則值可決定用戶端是否可使用 Advanced Threat Prevention 的原則。

這也會啟用「檔案動作」和「執行控制」,且無法停用。

執行控制包含「背景威脅偵測」和「檔案觀察」。ATP 內的模組會根據可攜式可執行檔 (PE) 的預期動作和行為,分析並抽象化其目的。由執行控制、BTD 和檔案觀察偵測到的所有檔案,都會根據與自動隔離相關的原則進行處理。這些動作是根據可攜式可執行檔的絕對路徑位置執行。

檔案動作:

 

 

啟用可執行檔控制時,自動隔離不安全的可執行檔

已啟用 這可決定是否自動隔離視為嚴重威脅的檔案。

啟用自動上傳不安全的可執行檔

已啟用

設定是否將嚴重威脅上傳到雲端,以對這些威脅執行第二次檢查。

啟用可執行檔控制時,自動隔離異常的可執行檔

已啟用

這可決定是否自動隔離視為潛在威脅的檔案。

啟用自動上傳異常的可執行檔

已啟用

設定是否將潛在威脅上傳到雲端,以對這些威脅執行第二次檢查。

允許在排除資料夾中執行檔案

已啟用

這會套用至保護設定原則群組中的「原則排除特定資料夾」。這可允許執行排除資料夾內的可執行檔,即使這些檔案被自動隔離。

自動刪除

已啟用

這會啟用「刪除前的天數」計時器原則,這也適用於隔離的項目。如果啟用此原則,隔離資料夾內的任何威脅都會在超過刪除前的天數後自動移除。

刪除前的天數

14

決定每個威脅項目會保留在本機隔離資料夾中的天數。

記憶體動作

   

啟用記憶體保護

已啟用

記憶體保護功能可啟用記憶體保護功能,記憶體保護模組會監控應用程式與記憶體作業系統之間的互動,以分析和解譯執行中應用程式的目的。

啟用排除可執行檔

已啟用

這可讓您從「記憶體保護」中排除特定可執行檔。

排除可執行檔

依環境而有所不同

所有新增的排除項目都必須使用該可執行檔的相對路徑指定 (排除路徑中的磁碟機代號)。

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

惡意探索:堆疊轉動

終止

執行緒堆疊已更換為不同堆疊。一般來說,電腦僅會為執行緒分配單一堆疊。攻擊者會使用不同的堆疊,以預防資料執行 (DEP) 無法封鎖的方式控制執行。

適用於:Windows,Mac

惡意探索:堆疊保護

終止

執行緒堆疊的記憶體保護經過修改,以啟用執行權限。堆疊記憶體不應為可執行,因此這通常表示攻擊者準備執行儲存在堆疊記憶體中的惡意程式碼,預防資料執行 (DEP) 不會封鎖這樣的嘗試。

適用於:Windows,Mac

惡意探索:覆寫程式碼

終止

程式記憶體中的程式碼已遭到可能代表嘗試略過預防資料執行 (DEP) 的技術修改。

適用於:Windows

惡意探索:掃描器記憶體搜尋

終止

一個程序正在嘗試從另一個程序讀取有效的磁性等量分配通路資料,通常與銷售點電腦 (POS) 有關。

適用於:Windows

惡意探索:惡意裝載

終止

偵測到與開發相關的一般 Shellcode 和裝載偵測。

適用於:Windows

程序注入:遠端配置記憶體

終止

程序已在另一個程序中配置記憶體。大部分的分配僅會在相同的程序中進行。這通常表示嘗試將程式碼或資料注入另一個程序,這可能是在電腦內強化惡意軟體的第一個步驟。

適用於:Windows,Mac

程序注入:遠端對應記憶體

終止

一個程序已將程式碼或資料導入另一個程序。這可能表示嘗試在另一個程序中開始執行程式碼,並強化其中的惡意軟體。

適用於:Windows,Mac

程序注入:遠端寫入至記憶體

終止

程序已在另一個程序中修改了記憶體。這通常是嘗試將程式碼或資料儲存在先前分配的記憶體中 (請參閱 OutOfProcessAllocation),但也可能是攻擊者正在嘗試覆寫現有的記憶體,以轉移執行惡意軟體的目的。

適用於:Windows,Mac

程序注入:遠端寫入 PE 至記憶體

終止

程序已在另一個程序中修改了記憶體,以包含可執行檔映像。通常這表示攻擊者在並未將程式碼寫入磁碟的情況下,正在嘗試執行程式碼。

適用於:Windows,Mac

程序注入:遠端覆寫程式碼

終止

程序已在另一個程序中修改了可執行檔記憶體。在正常情況下無法修改可執行檔記憶體,特別是透過另一個程序。這通常表示正在嘗試在另一個程序中轉移執行。

適用於:Windows,Mac

程序注入:遠端取消對應記憶體

終止

程序已從另一個程序的記憶體中移除一個 Windows 可執行檔。這可能表示將可執行檔映像替換為修改後複本,以轉移執行的意圖。

適用於:Windows,Mac

程序注入:遠端建立執行緒

終止

程序已在另一個程序中建立執行緒。攻擊者會使用此功能,啟用注入另一個程序的惡意軟體。

適用於:Windows,Mac

程序注入:遠端排程 APC

終止

程序已轉移執行其他程序的執行緒。攻擊者會使用此功能,啟用注入另一個程序的惡意軟體。

適用於:Windows

程序注入:DYLD 注入 (僅限 Mac OS X)

終止

已設定環境變數,導致共用程式庫注入至已啟動的程序中。攻擊可能會修改 Safari 等應用程式的 plist,或將應用程式替換為 bash 指令檔,導致在應用程式啟動時自動載入其模組。

適用於:Mac

呈報:LSASS 讀取

終止

Windows Local Security Authority 程序的記憶體遭到存取,表示有人正在嘗試取得使用者密碼。

適用於:Windows

呈報:零分配

終止

已分配一個 null 頁面。記憶體區域通常會保留,但在某些情況下可進行分配。攻擊可利用一些通常位於核心內的已知 null 反參照漏洞,來設定權限提升。

適用於:Windows,Mac

執行控制

   

防止服務從裝置關機

已啟用

啟用時,會導致無法阻止 ATP 服務,即使是在電腦上。這也可避免應用程式遭到解除安裝。

終止不安全的執行程序及其副程序

已啟用

啟用此功能可偵測和終止會產生子程序的任何記憶體式威脅。

背景威脅偵測

執行一次

這可判斷裝置上是否針對現有檔案執行了掃描。這可以設為停用、執行一次或循環執行。

如果已啟用「觀察新檔案」,建議您將「背景威脅偵測」設定為「執行一次」。如果您同時在觀察新檔案與更新檔案,您必須僅檢查現有檔案一次。

觀察新檔案

已啟用

將此設定設為「啟用」時,可偵測和分析新寫入至裝置或已變更的任何檔案。

 
注意:建議您在高流量裝置 (例如檔案或應用程式伺服器) 上停用「觀察新檔案」,因為這可能會導致磁碟延遲意外增加,因為在寫入磁碟時,每個檔案都必須進行分析。由於會在任何可攜式可執行檔嘗試執行時進行分析,因此預設可緩解此問題。啟用並將背景威脅偵測設定為循環執行可進一步緩解此情況。

設定要掃描的最大歸檔檔案大小

150

設定可分析的最大解壓縮歸檔大小,以 MB 為單位。

保護設定    
啟用排除特定資料夾 (包含子資料夾) 已啟用 這可讓您根據允許在排除資料夾中執行未監控的檔案原則,定義「檔案觀察」和「執行控制」中的資料夾。
排除特定資料夾 (包含子資料夾) 依環境而有所不同

這將定義「檔案觀察」中未監控的資料夾清單。此「允許在排除資料夾中執行檔案」原則可避免隔離從這些目錄執行的任何檔案。此原則可防止「觀察新檔案」或「背景威脅偵測」掃描這些目錄。

所有新增的排除項目都必須使用該可執行檔的絕對路徑指定 (包括路徑中的磁碟機代號)。

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
應用程式控制    
應用程式控制 已停用 這可讓您限制裝置上基於應用程式的變更。無法新增任何新應用程式、無法移除任何應用程式,也無法修改或更新任何應用程式。
應用程式控制允許的資料夾 -空白-

這將定義應用程式控制中未監控的資料夾清單。

所有新增的排除項目都必須使用該可執行檔的絕對路徑指定 (包括路徑中的磁碟機代號)。

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
啟用變更視窗 已停用 啟用後,此功能會暫時停用「應用程式控制」,以允許在環境中進行修改。
指令檔控制    
指令檔控制 已啟用

啟用「指令檔控制」

「指令檔控制」會監控可在作業系統內執行動作的應用程式和服務。這些應用程式通常稱為解譯器。ATP 會監控這些應用程式和服務中嘗試執行的指令檔,並根據原則在採取行動時通報,或是阻止動作執行。這些決策是根據指令檔名稱和執行指令檔的相對路徑進行。

指令檔控制模式 封鎖

設為「封鎖」時不會執行以指令檔為基礎的項目。這包括所有作用中的指令檔、巨集式指令檔,或 PowerShell 型指令檔。在較新的版本中,這些分為各自的原則。

適用於:1.2.1371 和較早組建的 ESSE

使用中的指令檔 封鎖

設為「封鎖」時,這會停用執行 JavaScript、VBscript、batch、Python、Perl、PHP、Ruby 和其他多種指令檔的功能。

適用於:1.2.1391 和較新組建的 ESSE。

巨集 封鎖

將此設定為「警示」可讓您分析文件中的聚集,以判斷其是否會執行潛在的惡意命令。如果偵測到威脅,「封鎖」設定會阻止巨集執行。在啟動時執行的巨集可能會導致應用程式無法載入。

適用於:1.2.1391 和較新組建的 ESSE。

Powershell 封鎖

設為「封鎖」時,可避免在環境中執行所有以 PowerShell 為基礎的指令檔。

適用於:1.2.1391 和較新組建的 ESSE。

Powershell 主控台 Allow

設為「封鎖」時,可避免啟動 PowerShell V3 主控台和 ISE。

適用於:1.2.1391 和較新組建的 ESSE。

啟用資料夾 (和子資料夾) 中的核准指令檔 已啟用 這可讓您排除「指令檔控制」的位置,而不進行分析。
資料夾 (和子資料夾) 中的核准指令檔 依環境而有所不同

本節詳細說明「指令檔控制」中的未監控資料夾。

  • 資料夾路徑可以是至本機磁碟機、對應的網路磁碟機,或通用命名慣例 (UNC) 路徑。
  • 指令檔資料夾排除必須指定資料夾或子資料夾的相對路徑。
  • 任何指定的資料夾路徑也包含任何子資料夾。
  • 不支援萬用字元。
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
全域允許 依環境而有所不同

此原則由 ESSE 的「中斷連線」模式使用。這可讓客戶擁有與網際網路完全分離的環境。

此原則可決定環境中應允許的特定威脅路徑和憑證。

隔離清單 依環境而有所不同

此原則由 ESSE 的「中斷連線」模式使用。這可讓客戶擁有與網際網路完全分離的環境。

這是代理程式在遇到時會自動隔離的已知故障雜湊定義清單。

安全清單 依環境而有所不同

此原則由 ESSE 的「中斷連線」模式使用。這可讓客戶擁有與網際網路完全分離的環境。

此原則可決定環境中應允許的特定威脅雜湊。

代理程式設定    
隱藏快顯通知 已停用 這會啟用或停用 ESSE 顯示 Toaster 對話方塊的功能。
最小快顯通知層級 High

這定義當停用「隱藏快顯通知」原則時,會向終端使用者通知哪些內容。

High

  • 保護狀態已變更。(受保護代表 Advanced Threat Prevention 正在執行並保護電腦,不需要使用者或系統管理員介入。)
  • 偵測到威脅,且並未設定原則以自動處理威脅。

  • 「執行控制」偵測到威脅,且封鎖程序啟動。
  • 偵測到具有相關緩解措施的威脅 (例如手動隔離威脅),因此程序已終止。
  • 由於記憶體違規,程式遭到封鎖或終止。
  • 偵測到記憶體違規,且該違規類型沒有自動緩解原則。

  • 將識別為威脅的檔案新增至全域安全清單,或從檔案系統刪除。
  • 已偵測到威脅並自動隔離。
  • 已將檔案識別為威脅,但在電腦上棄權。
  • 目前威脅的狀態已變更 (例如:要隔離的威脅、隔離至棄權,或棄權至隔離)。
啟用 BIOS 保證 已啟用 對支援的 Dell 電腦 (2016 及更新的企業級電腦) 執行 BIOS 完整性檢查
啟用記錄檔自動上傳 已啟用 這使代理能夠在每天午夜或 100 MB 時自動將其 ATP 外掛程式的日誌檔上傳到雲,以先發生者為准。
啟用標準 UI 已啟用 如此即可在端點上使用 Dell Data Security Console 使用其他選項。這可讓本機使用者查看在本機端點偵測到哪些威脅、記憶體事件或指令檔。可透過在端點的滑鼠右鍵選單顯示此選項,或在標題為 Advanced Threat Prevention 的選項中使用 Dell Data Security Console 內的設定標籤。

選取此選項後,會提供其他切換開關,顯示或隱藏在該電腦上探索到的威脅、記憶體事件或指令檔。

此原則需要 8.18.0 版或更新版本的 Dell Encryption Management Agent。

如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇

Additional Information

 

Videos

 

Affected Products

Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000126118
Article Type: Solution
Last Modified: 04 Mar 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.