Dell Threat Defense bruger politikker til at:
Klik på Anbefalede politikker eller Politikdefinitioner for at få flere oplysninger.
Det anbefales at konfigurere politikker i Learning Mode (Læringstilstand) eller Protect Mode (Beskyttelsestilstand). Læringstilstand er den måde, hvorpå Dell Technologies anbefaler at teste Dell Threat Defense i et miljø. Dette er mest effektivt, når Dell Threat Defense er implementeret på slutpunkter med standardfirmabilledet.
Det kan være nødvendigt med flere ændringer for programservere på grund af højere I/O end normalt.
Når alle advarsler er blevet håndteret i administrationskonsollen til Dell Threat Defense af administratoren, anbefaler Dell Technologies, at du skifter til politikanbefalingerne for beskyttelsestilstand. Dell Technologies anbefaler et par ugers test eller mere i indlæringstilstand, før du skifter til politikker for beskyttet tilstand.
Klik på Application Server Recommendations, Learning Mode eller Protect Mode for at få flere oplysninger.
I tilstandene Learning og Protect kan programservere opleve yderligere faste og ulige adfærd i forhold til klientoperativsystemer. Auto Quarantine (AQT) (Automatisk karantæne) har i sjældne tilfælde forhindret visse filer i at køre, indtil en score kan beregnes. Dette er blevet set, når et program registrerer låsningen af sine filer som manipulation, eller en proces muligvis ikke fuldføres med succes inden for en forventet tidsramme.
Hvis Se efter nye filer er aktiveret, kan det gøre enhedens drift langsommere. Når en ny fil genereres, analyseres den. Selvom denne proces er let, kan en stor mængde filer ad gangen påvirke ydeevnen.
Foreslåede politikændringer til Windows Server-operativsystemer:
Med disse anbefalinger foreslås det typisk også at indeholde enheder, der kører serveroperativsystemer, i separate zoner. Du kan finde oplysninger om generering af zoner i Sådan administrerer du zoner i Dell Threat Defense.
| Politik | Anbefalet indstilling |
|---|---|
| Automatisk karantæne med udførselskontrol for Usikker | Disabled |
| Automatisk karantæne med udførselskontrol for Unormal | Disabled |
| Aktivér automatisk sletning for filer, der er sat i karantæne | Disabled |
| Upload automatisk | Aktiveret |
| Liste over sikre politikker | Miljøafhængigt |
| Politik | Anbefalet indstilling |
|---|---|
| Undgå lukning af service fra enhed | Disabled |
| Afbryd usikre kørende processer og deres underprocesser | Disabled |
| Background Threat Detection | Disabled |
| Kør en gang/kør tilbagevendende | Ikke relevant, når Background Threat Protection er indstillet til Deaktiveret |
| Hold øje med nye filer | Disabled |
| Kopiér fileksempler | Miljøafhængigt |
| Politik | Anbefalet indstilling |
|---|---|
| Aktivér automatisk upload af logfiler | Miljøafhængigt |
| Aktivér skrivebordsmeddelelser | Miljøafhængigt |
| Politik | Anbefalet indstilling |
|---|---|
| Script-styring | Aktiveret |
| 1370 og derunder Active Script og PowerShell | Kvik |
| 1380 og derover Aktivt script | Kvik |
| 1380 og derover PowerShell | Kvik |
| Bloker brugen af PowerShell-konsollen | Ikke relevant, når PowerShell er indstillet til advarsel |
| 1380 og derover Makroer | Kvik |
| Deaktiver script-styring Aktivt script | Disabled |
| Deaktiver scriptstyring PowerShell | Disabled |
| Deaktiver script-styring Makroer | Disabled |
| Mappeundtagelser (omfatter undermapper) | Miljøafhængigt |
| Politik | Anbefalet indstilling |
|---|---|
| Automatisk karantæne med udførselskontrol for Usikker | Aktiveret |
| Automatisk karantæne med udførselskontrol for Unormal | Aktiveret |
| Aktivér automatisk sletning for filer, der er sat i karantæne | Miljøafhængigt |
| Upload automatisk | Miljøafhængigt |
| Liste over sikre politikker | Miljøafhængigt |
| Politik | Anbefalet indstilling |
|---|---|
| Undgå lukning af service fra enhed | Aktiveret |
| Afbryd usikre kørende processer og deres underprocesser | Aktiveret |
| Background Threat Detection | Aktiveret |
| Kør en gang/kør tilbagevendende | Kør en gang |
| Hold øje med nye filer | Aktiveret |
| Kopiér fileksempler | Miljøafhængigt |
| Politik | Anbefalet indstilling |
|---|---|
| Aktivér automatisk upload af logfiler | Miljøafhængigt |
| Aktivér skrivebordsmeddelelser | Miljøafhængigt |
| Politik | Anbefalet indstilling |
|---|---|
| Script-styring | Aktiveret |
| 1370 og derunder Active Script og PowerShell | Bloker |
| 1380 og derover Aktivt script | Bloker |
| 1380 og derover PowerShell | Bloker |
| Bloker brugen af PowerShell-konsollen | Bloker |
| 1380 og derover Makroer | Bloker |
| Deaktiver script-styring Aktivt script | Disabled |
| Deaktiver scriptstyring PowerShell | Disabled |
| Deaktiver script-styring Makroer | Disabled |
| Mappeundtagelser (omfatter undermapper) | Miljøafhængigt |
Denne politik bestemmer, hvad der sker med filer, der registreres, mens de køres. Som standard, selv når en usikker fil registreres som kørende, blokeres truslen. Usikker er kendetegnet ved en kumulativ score for den bærbare eksekverbare fil, der overstiger 60 i Advanced Threat Preventions scoringssystem, der er baseret på trusselsindikatorer, der er blevet evalueret.
Denne politik bestemmer, hvad der sker med filer, der registreres, mens de køres. Som standard, selv når en unormal fil registreres som kørende, blokeres truslen. Unormal er kendetegnet ved en kumulativ score for den bærbare eksekverbare fil, der overstiger 0, men ikke overstiger 60 i Advanced Threat Preventions scoringssystem. Pointsystemet er baseret på trusselsindikatorer, der er blevet evalueret.
Når usikre eller unormale filer sættes i karantæne baseret på karantæner på enhedsniveau, globale karantænelister eller politikker for automatisk karantæne, opbevares de i en lokal karantænecache i sandkassen på den lokale enhed. Når Aktivér automatisk sletning for filer i karantæne er aktiveret, angiver det antallet af dage (mindst 14 dage, maksimalt 365 dage) til at beholde filen på den lokale enhed, før filen slettes permanent. Når dette er aktiveret, bliver det muligt at ændre antallet af dage.
Markerer trusler, der ikke blev registreret af Threat Defense SaaS-miljøet (software as a Service), til yderligere analyse. Når en fil markeres som en potentiel trussel af den lokale model, tages der en SHA256-hash af den bærbare eksekverbare fil, og dette sendes op til SaaS. Hvis SHA256-hashen, der blev sendt, ikke kan matches med en trussel, og automatisk upload er aktiveret, kan truslen sikkert uploades til SaaS til evaluering. Disse data gemmes på en sikker måde og er ikke tilgængelig for Dell eller dennes partnere.
Listen over sikre politikker er en liste over filer, der er fastlagt til at være sikre i miljøet, og som er manuelt blevet set bort fra ved at sende deres SHA256-hash og alle yderligere oplysninger til denne liste. Når en SHA256-hash placeres på denne liste, og filen køres, evalueres den ikke af de lokale trusselsmodeller eller cloud-trusselsmodellerne. Disse er "absolutte" filstier.
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Når Dræb usikre kørende processer og deres underprocesser er aktiveret, bestemmer dette, om en trussel genererer underordnede processer, eller om applikationen har overtaget andre processer, der i øjeblikket kører i hukommelsen. Hvis der er en tro på, at en proces er blevet overtaget af en trussel, afsluttes den primære trussel og eventuelle processer, som den har genereret eller i øjeblikket ejer, straks.
Når registrering af baggrundstrusler er aktiveret, scanner hele enheden for en bærbar eksekverbar fil og evaluerer den derefter eksekverbare fil med den lokale trusselsmodel og anmoder om bekræftelse af scoringen af den eksekverbare fil med den skybaserede SaaS baseret på trusselsindikatorerne for den eksekverbare fil. To muligheder er mulige med registrering af baggrundstrusler: Kør én gang , og kør tilbagevendende. Kør én gang udfører en baggrundsscanning af alle fysiske drev, der er tilsluttet enheden i det øjeblik, Threat Defense installeres og aktiveres. Kør tilbagevendende udfører en baggrundsscanning af alle enheder, der er tilsluttet enheden i det øjeblik, Threat Defense installeres og aktiveres. Den gentager scanningen hver niende dag (kan ikke konfigureres).
Når Se efter nye filer er aktiveret, evalueres enhver bærbar eksekverbar, der introduceres til enheden, straks med de trusselindikatorer, den viser ved hjælp af den lokale model, og denne score bekræftes mod den skyhostede SaaS.
Kopier fileksempler gør det muligt automatisk at deponere alle trusler, der findes på enheden, til et defineret lager baseret på UNC-sti. Dette anbefales kun til interne trusselsundersøgelser eller til at have et sikkert lager med pakkede trusler i miljøet. Alle filer, der gemmes af Copy File Samples , zippes med adgangskoden infected.
Aktivér automatisk upload af logfiler gør det muligt for slutpunkter at uploade deres logfiler til Dell Threat Defense hver nat ved midnat, eller når filen når 100 MB. Logfiler uploades hver nat uanset filstørrelse. Alle logfiler, der overføres, komprimeres, før de forlader netværket.
Aktivér skrivebordsmeddelelse giver enhedsbrugere mulighed for at tillade prompter på deres enhed, hvis en fil er markeret som unormal eller usikker. Dette er en indstilling i højrekliksmenuen på Dell Threat Defense-bakkeikonet på slutpunkter med denne politik aktiveret.
Scriptstyring fungerer via en hukommelsesfilterbaseret løsning til at identificere scripts, der kører på enheden, og forhindre dem, hvis politikken er indstillet til Bloker for den pågældende scripttype. Advarselsindstillinger for disse politikker noterer kun scripts, der ville være blevet blokeret i logfiler og på Dell Threat Defense-konsollen.
Disse politikker gælder for kunder før 1370, som var tilgængelige før juni 2016. Der reageres kun på aktive scripts og PowerShell-baserede scripts med disse versioner.
Disse politikker gælder for klienter efter 1370, som var tilgængelige efter juni 2016.
Aktive scripts omfatter ethvert script, der fortolkes af Windows-scriptværten, herunder JavaScript, VBScript, batchfiler og mange andre.
PowerShell-scripts omfatter ethvert script med flere linjer, der køres som en enkelt kommando. (Standardindstilling - Advarsel)
I PowerShell v3 (introduceret i Windows 8.1) og nyere køres de fleste PowerShell-scripts som en enkeltlinjekommando. Selvom de kan indeholde flere linjer, køres de i rækkefølge. Dette kan omgå PowerShell-scriptfortolkeren. Bloker PowerShell-konsollen omgår dette ved at deaktivere muligheden for at få ethvert program til at starte PowerShell-konsollen. ISE (Integrated Scripting Environment) er ikke berørt af denne politik.
Indstillingen Makro fortolker makroer, der findes i Office-dokumenter og PDF-filer, og blokerer skadelige makroer, der kan forsøge at downloade trusler.
Disse politikker deaktiverer muligheden for endda at advare den scripttype, der er defineret inden for hver politik. Når den er deaktiveret, indsamles der ingen logfiler, og det er ikke muligt at detektere eller blokere potentielle trusler.
Når afkrydsningsfeltet er markeret, forhindrer det indsamling af logfiler og blokerer eventuelle Active Script-baserede trusler. Aktive scripts omfatter ethvert script, der fortolkes af Windows-scriptværten, herunder JavaScript, VBScript, batchfiler og mange andre.
Når afkrydsningsfeltet er markeret, forhindrer det indsamling af logfiler og blokerer eventuelle potentielle PowerShell-baserede trusler. PowerShell-scripts omfatter ethvert script med flere linjer, der køres som en enkelt kommando.
Når afkrydsningsfeltet er markeret, forhindrer det indsamling af logfiler og blokerer eventuelle makrobaserede trusler. Indstillingen Makro fortolker makroer, der findes i Office-dokumenter og PDF-filer, og blokerer skadelige makroer, der kan forsøge at downloade trusler.
Mappeundtagelser gør det muligt at definere mapper, som scripts kan køre i og som kan udelukkes. I dette afsnit anmodes der om udelukkelser i et relativt stiformat.
/windows/system*/./windows/system32/*//windows/system32/*/folder/*/script.vbs Kampe \folder\test\script.vbs eller \folder\exclude\script.vbs men virker ikke for \folder\test\001\script.vbs. Dette ville kræve enten /folder/*/001/script.vbs eller /folder/*/*/script.vbs./folder/*/script.vbs/folder/test*/script.vbs//*/login/application//abc*/logon/applicationKorrekt (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Korrekt (Windows): \Cases\ScriptsAllowed
Ukorrekt: C:\Application\SubFolder\application.vbs
Ukorrekt: \Program Files\Dell\application.vbs
Eksempler på jokertegn:
/users/*/temp vil omfatte:
\users\john\temp\users\jane\temp/program files*/app/script*.vbs vil omfatte:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbsprogram files(x64)\app\script3.vbsFor at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.