Dell Threat Defense verwendet Richtlinien für Folgendes:
Klicken Sie auf Empfohlene Policies oder Richtliniendefinitionen , um weitere Informationen zu erhalten.
Es wird empfohlen, dass Richtlinien im Lernmodus oder im Schutzmodus eingerichtet werden. Im Lernmodus empfiehlt Dell Technologies, Dell Threat Defense in einer Umgebung zu testen. Dies ist am effektivsten, wenn Dell Threat Defense auf Endpunkten mit dem standardmäßigen Unternehmens-Image bereitgestellt wird.
Zusätzliche Änderungen sind möglicherweise für Anwendungsserver erforderlich, weil mehr Festplatten-E/A-Daten als gewöhnlich erforderlich sind.
Sobald alle Warnmeldungen in der Verwaltungskonsole von Dell Threat Defense durch den Administrator behoben wurden, empfiehlt Dell Technologies, zu den Richtlinienempfehlungen für den Schutzmodus zu wechseln. Dell Technologies empfiehlt, einige Wochen oder länger im Lernmodus zu testen, bevor zu Schutzmodus-Policies gewechselt wird.
Klicken Sie auf Anwendungsserver-Empfehlungen, Lernmodus oder Schutzmodus , um weitere Informationen zu erhalten.
Sowohl im Lernmodus als auch im Schutzmodus können Anwendungsserver zusätzliche Last erzeugen und abweichendes Verhalten bei Client-Betriebssystemen erfahren. Die automatische Quarantäne (AQT) hat in seltenen Fällen verhindert, dass einige Dateien ausgeführt werden, bis eine Bewertung berechnet werden konnte. Dies trat auf, wenn eine Anwendung die Sperrung ihrer Dateien als Manipulation erkennt oder ein Prozess nicht im erwarteten Zeitrahmen erfolgreich abgeschlossen wurde.
Wenn die Option "Nach neuen Dateien suchen " aktiviert ist, kann dies den Gerätebetrieb verlangsamen. Wenn eine neue Datei erstellt wird, wird sie analysiert. Obwohl dieser Prozess wenig Ressourcen braucht, kann eine hohe Anzahl von Dateien gleichzeitig zu Leistungseinbußen führen.
Vorgeschlagene Richtlinienänderungen für Windows Server-Betriebssysteme:
Mit diesen Empfehlungen wird in der Regel auch vorgeschlagen, Geräte mit Server-Betriebssystemen in separaten Zonen abzuschotten. Weitere Informationen zum Generieren von Zonen finden Sie unter Verwalten von Zonen in Dell Threat Defense.
Policy | Empfohlene Einstellung |
---|---|
Automatische Quarantäne mit Ausführungssteuerung für "unsicher" | Deaktiviert |
Automatische Quarantäne mit Ausführungssteuerung für "ungewöhnlich" | Deaktiviert |
Automatisches Löschen für in Quarantäne gestellte Dateien aktivieren | Deaktiviert |
Automatischer Upload | Enabled |
Sichere Liste der Richtlinie | Umgebungsabhängig |
Policy | Empfohlene Einstellung |
---|---|
Herunterfahren des Dienstes vom Gerät verhindern | Deaktiviert |
Unsichere laufende Prozesse und ihre Unterprozesse beenden | Deaktiviert |
Hintergrunderkennung von Bedrohungen | Deaktiviert |
Einmal ausführen/wiederholt ausführen | Gilt nicht, wenn der Schutz vor Hintergrundbedrohungen auf Deaktiviert eingestellt ist |
Auf neue Dateien überwachen | Deaktiviert |
Dateibeispiele kopieren | Umgebungsabhängig |
Policy | Empfohlene Einstellung |
---|---|
Automatisches Hochladen von Protokolldateien aktivieren | Umgebungsabhängig |
Desktopbenachrichtigung aktivieren | Umgebungsabhängig |
Policy | Empfohlene Einstellung |
---|---|
Skriptkontrolle | Enabled |
1370 und niedriger: Active Script und PowerShell | Warnung |
1380 und höher: Active Script | Warnung |
1380 und höher: PowerShell | Warnung |
PowerShell-Konsolennutzung sperren | Gilt nicht, wenn PowerShell auf Warnung eingestellt ist |
1380 und höher: Makros | Warnung |
Skriptsteuerung mit Active Script deaktivieren | Deaktiviert |
Skriptsteuerung mit PowerShell deaktivieren | Deaktiviert |
Skriptsteuerungsmakros deaktivieren | Deaktiviert |
Ausgeschlossene Ordner (mit Unterordnern) | Umgebungsabhängig |
Policy | Empfohlene Einstellung |
---|---|
Automatische Quarantäne mit Ausführungssteuerung für "unsicher" | Enabled |
Automatische Quarantäne mit Ausführungssteuerung für "ungewöhnlich" | Enabled |
Automatisches Löschen für in Quarantäne gestellte Dateien aktivieren | Umgebungsabhängig |
Automatischer Upload | Umgebungsabhängig |
Sichere Liste der Richtlinie | Umgebungsabhängig |
Policy | Empfohlene Einstellung |
---|---|
Herunterfahren des Dienstes vom Gerät verhindern | Enabled |
Unsichere laufende Prozesse und ihre Unterprozesse beenden | Enabled |
Hintergrunderkennung von Bedrohungen | Enabled |
Einmal ausführen/wiederholt ausführen | Einmal ausführen |
Auf neue Dateien überwachen | Enabled |
Dateibeispiele kopieren | Umgebungsabhängig |
Policy | Empfohlene Einstellung |
---|---|
Automatisches Hochladen von Protokolldateien aktivieren | Umgebungsabhängig |
Desktopbenachrichtigung aktivieren | Umgebungsabhängig |
Policy | Empfohlene Einstellung |
---|---|
Skriptkontrolle | Enabled |
1370 und niedriger: Active Script und PowerShell | Sperren |
1380 und höher: Active Script | Sperren |
1380 und höher: PowerShell | Sperren |
PowerShell-Konsolennutzung sperren | Sperren |
1380 und höher: Makros | Sperren |
Skriptsteuerung mit Active Script deaktivieren | Deaktiviert |
Skriptsteuerung mit PowerShell deaktivieren | Deaktiviert |
Skriptsteuerungsmakros deaktivieren | Deaktiviert |
Ausgeschlossene Ordner (mit Unterordnern) | Umgebungsabhängig |
Diese Richtlinie legt fest, was mit Dateien geschieht, die während der Ausführung erkannt werden. Standardmäßig wird die Bedrohung gesperrt, selbst wenn eine nicht sichere Datei als ausgeführt erkannt wird. "Unsicher" ist gekennzeichnet durch eine kumulative Bewertung für die portable ausführbare Datei von mehr als 60 innerhalb des Bewertungssystems von Advanced Threat Prevention, das auf ausgewerteten Bedrohungsindikatoren basiert.
Diese Richtlinie legt fest, was mit Dateien geschieht, die während der Ausführung erkannt werden. Standardmäßig wird die Bedrohung gesperrt, selbst wenn eine ungewöhnliche Datei als ausgeführt erkannt wird. "Abnormal" ist gekennzeichnet durch eine kumulative Bewertung für die portable ausführbare Datei, die 0, aber 60 innerhalb des Bewertungssystems von Advanced Threat Prevention nicht überschreitet. Das Scoring-System basiert auf ausgewerteten Bedrohungsindikatoren.
Werden unsichere oder ungewöhnliche Dateien auf Geräteebene in Quarantäne verschoben, entweder durch globale Quarantänelisten oder gemäß automatischen Quarantäne-Richtlinien, werden sie in einem Sandbox-Quarantäne-Cache auf dem lokalen Gerät gespeichert. Wenn Automatisches Löschen für isolierte Dateien aktivieren aktiviert ist, gibt dies die Anzahl der Tage (mindestens 14 Tage, maximal 365 Tage) an, um die Datei auf dem lokalen Gerät zu behalten, bevor die Datei endgültig gelöscht wird. Wenn diese Option aktiviert ist, kann die Anzahl der Tage geändert werden.
Markiert Bedrohungen, die von der Threat Defense SaaS-Umgebung (Software-as-a-Service) nicht erkannt wurden, für weitere Analysen. Wenn eine Datei als potenzielle Bedrohung durch das lokale Modell markiert wird, wird ein SHA256-Hash der Portable Executable erstellt und diese wird an die SaaS gesendet. Wenn der SHA256-Hash, der gesendet wurde, nicht einer Bedrohung zugeordnet werden kann und der automatische Upload aktiviert ist, ermöglicht dies das sichere Hochladen der Bedrohung an die SaaS zur Evaluierung. Diese Daten werden sicher gespeichert und können nicht von Dell oder ihren Partnern abgerufen werden.
Die "sichere Liste für Richtlinien" ist eine Liste der Dateien, die in der Umgebung als sicher festgelegt und manuell eingestuft wurden, indem ihr SHA256-Hash und alle zusätzlichen Informationen in diese Liste übermittelt wurden. Wenn ein SHA256-Hash in diese Liste eingefügt wird, wird er, wenn die Datei ausgeführt wird, nicht durch die lokalen oder die Cloud-Bedrohungsmodelle ausgewertet. Hierbei handelt es sich um "absolute" Dateipfade.
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Wenn die Option Unsichere laufende Prozesse und ihre Unterprozesse beenden aktiviert ist, wird ermittelt, ob eine Bedrohung untergeordnete Prozesse erzeugt oder ob die Anwendung andere Prozesse übernommen hat, die derzeit im Arbeitsspeicher ausgeführt werden. Wenn die Annahme besteht, dass ein Prozess von einer Bedrohung übernommen wurde, werden die primäre Bedrohung und alle Prozesse, die sie erzeugt hat oder derzeit besitzt, sofort beendet.
Wenn die Hintergrunderkennung von Bedrohungen aktiviert ist, durchsucht sie das gesamte Gerät nach portablen ausführbaren Dateien, wertet diese ausführbare Datei dann mit dem lokalen Bedrohungsmodell aus und fordert eine Bestätigung für die Bewertung der ausführbaren Datei mit der Cloud-basierten SaaS basierend auf den Bedrohungsindikatoren der ausführbaren Datei an. Bei der Hintergrunderkennung von Bedrohungen sind zwei Optionen möglich: Einmal ausführen und wiederkehrend ausführen. Einmal ausführen führt einen Scan im Hintergrund aller physischen Laufwerke durch, die mit dem Gerät verbunden sind, sobald Threat Defense installiert und aktiviert wird. Wiederkehrend ausführen führt einen Hintergrundscan aller Geräte durch, die mit dem Gerät verbunden sind, sobald Threat Defense installiert und aktiviert ist. Der Scan wird alle neun Tage wiederholt (nicht konfigurierbar).
Wenn "Nach neuen Dateien suchen " aktiviert ist, wird jede portable ausführbare Datei, die auf dem Gerät eingeführt wird, sofort mit den Bedrohungsindikatoren bewertet, die mithilfe des lokalen Modells angezeigt werden, und diese Bewertung wird anhand des in der Cloud gehosteten SaaS bestätigt.
Mit "Copy File Samples " können alle Bedrohungen, die auf dem Gerät gefunden werden, automatisch in einem definierten Repository basierend auf dem UNC-Pfad hinterlegt werden. Dies wird nur für die interne Bedrohungsforschung oder für die Verwaltung eines sicheren Repositorys von gepackten Bedrohungen in der Umgebung empfohlen. Alle Dateien, die von Copy File Samples gespeichert werden, werden mit dem Kennwort infected
.
Die Option Automatischen Upload von Protokolldateien aktivieren ermöglicht es Endpunkten, ihre Protokolldateien für Dell Threat Defense jede Nacht um Mitternacht hochzuladen oder wenn die Datei 100 MB erreicht. Protokolle werden unabhängig von der Dateigröße nächtlich hochgeladen. Alle Protokolle, die übertragen werden, werden komprimiert, bevor sie aus dem Netzwerk versendet werden.
Mit Desktopbenachrichtigungen aktivieren können Gerätenutzer Eingabeaufforderungen auf ihrem Gerät zulassen, wenn eine Datei als anormal oder unsicher markiert ist. Dies ist eine Option im Kontextmenü des Dell Threat Defense Benachrichtigungsfeldsymbols auf Endpunkten, auf denen diese Richtlinie aktiviert ist.
Script Control arbeitet über eine speicherfilterbasierte Lösung, um Skripte zu identifizieren, die auf dem Gerät ausgeführt werden, und sie zu verhindern, wenn die Richtlinie für diesen Skripttyp auf "Blockieren" festgelegt ist. In den Warnmeldungseinstellungen für diese Policys werden nur Skripte aufgelistet, die in den Protokollen und auf der Dell Threat Defense-Konsole gesperrt worden wären.
Diese Policys gelten für Clients vor Version 1370, die vor Juni 2016 verfügbar waren. Nur Active Scripts und PowerShell-basierte Skripte werden mit diesen Versionen verarbeitet.
Diese Richtlinien gelten für Clients nach Version 1370, die ab Juni 2016 verfügbar waren.
Active Scripts umfasst alle Skripts, die vom Windows Skript-Host interpretiert werden, einschließlich JavaScript, VBScript, Batchdateien und vielem mehr.
PowerShell-Skripte umfassen alle mehrzeiligen Skripte, die mit einem einzigen Befehl ausgeführt werden. (Standardeinstellung – Warnmeldung)
In PowerShell Version 3 (unter Windows 8.1 eingeführt) und höher werden die meisten PowerShell-Skripte als einzeiliger Befehl ausgeführt. Obwohl sie mehrere Zeilen enthalten können, werden sie in der angegebenen Reihenfolge ausgeführt. Dies kann den PowerShell-Skript-Interpreter umgehen. Die Konsole zum Sperren von PowerShell funktioniert in diesem Fall, indem verhindert wird, dass eine beliebige Anwendung die PowerShell-Konsole startet. Die integrierte Scripting-Umgebung (Integrated Scripting Environment, ISE) wird von dieser Richtlinie nicht beeinflusst.
Die Makroeinstellung interpretiert Makros, die in Office-Dokumenten und PDF-Dateien vorhanden sind, und sperrt schädliche Makros, die möglicherweise versuchen, Bedrohungen herunterzuladen.
Diese Richtlinien deaktivieren vollständig die Fähigkeit, eine Warnmeldung zu den in jeder Richtlinie definierten Skripttypen zu erstellen. Wenn diese Option deaktiviert ist, werden keine Protokolle erfasst, und es wird kein Versuch unternommen, potenzielle Bedrohungen zu erkennen oder zu sperren.
Wenn diese Option aktiviert ist, wird die Erfassung von Protokollen verhindert und alle potenziellen Active Script-basierten Bedrohungen blockiert. Active Scripts umfasst alle Skripts, die vom Windows Skript-Host interpretiert werden, einschließlich JavaScript, VBScript, Batchdateien und vielem mehr.
Wenn diese Option aktiviert ist, wird die Erfassung von Protokollen verhindert und potenzielle PowerShell-basierte Bedrohungen blockiert. PowerShell-Skripte umfassen alle mehrzeiligen Skripte, die mit einem einzigen Befehl ausgeführt werden.
Wenn diese Option aktiviert ist, wird die Erfassung von Protokollen verhindert und potenzielle makrobasierte Bedrohungen blockiert. Die Makroeinstellung interpretiert Makros, die in Office-Dokumenten und PDF-Dateien vorhanden sind, und sperrt schädliche Makros, die möglicherweise versuchen, Bedrohungen herunterzuladen.
Das Ausschließen von Ordnern ermöglicht das Festlegen von Ordnern, in denen Skripte ausgeführt werden können. In diesem Abschnitt werden Ausnahmen in einem relativen Pfadformat angefordert.
/windows/system*/
./windows/system32/*/
/windows/system32/*
/folder/*/script.vbs
Streichhölzer \folder\test\script.vbs
oder \folder\exclude\script.vbs
funktioniert aber nicht für \folder\test\001\script.vbs
. Dies würde entweder /folder/*/001/script.vbs
oder /folder/*/*/script.vbs
./folder/*/script.vbs
/folder/test*/script.vbs
//*/login/application
//abc*/logon/application
Richtig (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Richtig (Windows): \Cases\ScriptsAllowed
Falsch: C:\Application\SubFolder\application.vbs
Falsch: \Program Files\Dell\application.vbs
Platzhalterbeispiele:
/users/*/temp
Folgendes abdecken würde:
\users\john\temp
\users\jane\temp
/program files*/app/script*.vbs
Folgendes abdecken würde:
\program files(x86)\app\script1.vbs
\program files(x64)\app\script2.vbs
program files(x64)\app\script3.vbs
Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.