Software Dell Threat Defense využívá zásady k:
Další informace získáte po kliknutí na možnost Doporučené zásady nebo Definice zásad.
Zásady doporučujeme nastavit v režimu učení či v režimu ochrany. Režim učení představuje způsob, jakým společnost Dell Technologies doporučuje testovat software Dell Threat Defense v určitém prostředí. Ten je nejúčinnější, pokud je software Dell Threat Defense nasazen na koncové body pomocí standardní bitové kopie společnosti.
U aplikačních serverů mohou být vyžadovány další změny, jelikož zatížení I/O disku je vyšší než je běžné.
Jakmile správce v konzoli pro správu Dell Threat Defense vyřeší všechny výstrahy, společnost Dell Technologies doporučuje přepnout na doporučený režim ochrany. Společnost Dell Technologies doporučuje před přepnutím na zásady režimu ochrany provést několik týdnů nebo déle testování v režimu učení.
Další informace získáte kliknutím na možnost Application Server Recommendations, Learning Mode nebo Protect Mode .
V režimech učení a ochrany mohou aplikační servery v operačních systémech klienta zaznamenat vyšší zátěž a odlišné chování. Automatická karanténa (AQT) ve vzácných případech brání spuštění některých souborů, dokud není možné vypočítat skóre. K tomu dochází, když aplikace detekuje uzamčení souborů jako neoprávněnou manipulaci nebo když se proces nepodaří úspěšně dokončit v očekávaném časovém rámci.
Pokud je povolena funkce Watch For New Files , může zpomalit provoz zařízení. Po vytvoření bude nový soubor analyzován. I když se jedná o nenáročný proces, velký objem souborů najednou může mít vliv na výkon.
Doporučené změny zásad pro operační systémy Windows Server:
Společně s těmito doporučeními je obvykle doporučováno, aby zařízení se serverovými operačními systémy běžela v oddělených zónách. Informace o generování zón naleznete v článku Jak spravovat zóny v softwaru Dell Threat Defense.
Zásada | Doporučené nastavení |
---|---|
Auto Quarantine with Execution Control for Unsafe | Disabled |
Auto Quarantine with Execution Control for Abnormal | Disabled |
Enable auto-delete for quarantined files | Disabled |
Auto-Upload | Enabled |
Policy Safe List | Závisí na prostředí |
Zásada | Doporučené nastavení |
---|---|
Prevent Service Shutdown from Device | Disabled |
Kill unsafe running processes and their sub processes | Disabled |
Background Threat Detection | Disabled |
Run Once/Run Recurring | Neplatí, pokud je funkce Ochrana před hrozbami na pozadí nastavena na hodnotu Zakázáno. |
Watch for New Files | Disabled |
Copy File Samples | Závisí na prostředí |
Zásada | Doporučené nastavení |
---|---|
Enable Auto-Upload of log files | Závisí na prostředí |
Enable Desktop Notification | Závisí na prostředí |
Zásada | Doporučené nastavení |
---|---|
Script Control | Enabled |
1370 and below Active Script and PowerShell | Alert |
1380 and above Active Script | Alert |
1380 and above PowerShell | Alert |
Block PowerShell Console Usage | Nevztahuje se, pokud je PowerShell nastavený na výstrahu. |
1380 and above Macros | Alert |
Disable Script Control Active Script | Disabled |
Disable Script Control PowerShell | Disabled |
Disable Script Control Macros | Disabled |
Folder Exclusions (includes subfolders) | Závisí na prostředí |
Zásada | Doporučené nastavení |
---|---|
Auto Quarantine with Execution Control for Unsafe | Enabled |
Auto Quarantine with Execution Control for Abnormal | Enabled |
Enable auto-delete for quarantined files | Závisí na prostředí |
Auto-Upload | Závisí na prostředí |
Policy Safe List | Závisí na prostředí |
Zásada | Doporučené nastavení |
---|---|
Prevent Service Shutdown from Device | Enabled |
Kill unsafe running processes and their sub processes | Enabled |
Background Threat Detection | Enabled |
Run Once/Run Recurring | Run Once |
Watch for New Files | Enabled |
Copy File Samples | Závisí na prostředí |
Zásada | Doporučené nastavení |
---|---|
Enable Auto-Upload of log files | Závisí na prostředí |
Enable Desktop Notification | Závisí na prostředí |
Zásada | Doporučené nastavení |
---|---|
Script Control | Enabled |
1370 and below Active Script and PowerShell | Block |
1380 and above Active Script | Block |
1380 and above PowerShell | Block |
Block PowerShell Console Usage | Block |
1380 and above Macros | Block |
Disable Script Control Active Script | Disabled |
Disable Script Control PowerShell | Disabled |
Disable Script Control Macros | Disabled |
Folder Exclusions (includes subfolders) | Závisí na prostředí |
Tato zásada určuje, co se stane se zjištěnými soubory při jejich spuštění. Ve výchozím nastavení je hrozba zablokována, i v případě, že je nebezpečný soubor zjištěn jako spuštěný. Nebezpečný je charakterizován kumulativním skóre přenosného spustitelného souboru, které přesahuje 60 v rámci systému hodnocení Advanced Threat Prevention a je založen na vyhodnocených indikátorech hrozeb.
Tato zásada určuje, co se stane se zjištěnými soubory při jejich spuštění. Ve výchozím nastavení je hrozba zablokována, i v případě, že je abnormální soubor zjištěn jako spuštěný. Abnormální je charakterizováno kumulativním skóre přenosného spustitelného souboru, které překračuje 0, ale nepřekračuje 60 v rámci systému hodnocení Advanced Threat Prevention. Bodovací systém je založen na indikátorech hrozeb, které byly vyhodnoceny.
Pokud jsou nebezpečné nebo abnormální soubory umístěny do karantény na základě karantén na úrovni zařízení, globálních seznamů karantén nebo zásad automatické karantény, se uloží do izolované cache v místním zařízení. Když je povolená možnost Povolit automatické mazání souborů v karanténě, označuje počet dní (minimálně 14 dní, maximálně 365 dní), po které se má soubor před jeho trvalým odstraněním uchovávat na místním zařízení. Je-li tato možnost povolena, budete moci změnit počet dní.
Označuje hrozby, které prostředí Threat Defense SaaS (software jako služba) nepodrobilo další analýze. Pokud je soubor označen místním modelem jako potenciální hrozba, dojde k vyjmutí hashe SHA256 z přenosného spustitelného souboru a k jeho odeslání do prostředí SaaS. Pokud nelze odeslaný hash SHA256 spojit s hrozbou a je povolena funkce Auto-Upload, software bezpečně odešle hrozbu do prostředí SaaS k vyhodnocení. Tato data jsou bezpečně uložena a společnost Dell ani její partneři k nim nemají přístup.
Seznam Policy Safe List je seznam souborů, u kterých bylo rozhodnuto, že jsou v prostředí bezpečné a byly ručně vypuštěny odesláním jejich hashe SHA256 a jakýchkoliv dalších informací do tohoto seznamu. Pokud je hash SHA256 do tohoto seznamu umístěn, nebude při spuštění souboru vyhodnocen místními ani cloudovými modely hrozeb. Jedná se o "absolutní" cesty k souborům.
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Pokud je povolena možnost Ukončit nebezpečné spuštěné procesy a jejich podprocesy , určuje, zda hrozba generuje podřízené procesy nebo zda aplikace převzala jiné procesy, které jsou aktuálně spuštěny v paměti. Pokud existuje přesvědčení, že proces byl převzat hrozbou, primární hrozba a všechny procesy, které vygenerovala nebo aktuálně vlastní, jsou okamžitě ukončeny.
Pokud je detekce hrozeb na pozadí povolená, vyhledá v celém zařízení přenosný spustitelný soubor a pak tento spustitelný soubor vyhodnotí pomocí místního modelu hrozeb a vyžádá si potvrzení vyhodnocení spustitelného souboru pomocí cloudového SaaS na základě indikátorů hrozeb spustitelného souboru. Při použití detekce hrozeb na pozadí jsou možné dvě možnosti: Spustit jednou a spustit opakovaně. Nástroj Run Once provede kontrolu všech fyzických jednotek připojených k zařízení na pozadí v okamžiku, kdy je nainstalována a aktivována služba Threat Defense. Možnost Run Recurring provádí kontrolu na pozadí všech zařízení připojených k zařízení v okamžiku, kdy je nainstalována a aktivována služba Threat Defense. Kontrola se opakuje každých 9 dní (nelze ji konfigurovat).
Pokud je povolená funkce Watch for New Files , každý přenosný spustitelný soubor, který je zavedený do zařízení, se okamžitě vyhodnotí pomocí indikátorů hrozeb, které se zobrazí pomocí místního modelu, a toto skóre se potvrdí proti SaaS hostovanému v cloudu.
Funkce Copy File Samples umožňuje automatické escenci všech hrozeb nalezených v zařízení do definovaného úložiště na základě cesty UNC. To se doporučuje pouze pro interní výzkum hrozeb nebo pro bezpečné uložení zabalených hrozeb v prostředí. Všechny soubory, které jsou uloženy pomocí příkazu Copy File Samples , jsou komprimovány s heslem infected
.
Povolení automatického odesílání souborů protokolu umožňuje koncovým bodům odesílat své soubory protokolu pro službu Dell Threat Defense každou noc o půlnoci nebo když velikost souboru dosáhne 100 MB. Protokoly se odesílají každou noc bez ohledu na velikost souboru. Všechny přenesené protokoly se před výstupem ze sítě zkomprimují.
Povolit oznámení na ploše umožňuje uživatelům zařízení povolit na svém zařízení výzvy, když je soubor označen jako neobvyklý nebo nebezpečný. Jedná se o možnost v nabídce po kliknutí pravým tlačítkem na ikonu softwaru Dell Threat Defense v hlavním panelu na koncových bodech, pokud je tato zásada povolena.
Správa skriptů funguje prostřednictvím řešení založeného na filtru paměti, aby identifikovala skripty, které jsou spuštěné na zařízení, a zabránila jim, pokud je zásada pro tento typ skriptu nastavená na Blokovat. Nastavení Alert v těchto zásadách se týká pouze skriptů, které by byly zablokovány v protokolech a v konzoli Dell Threat Defense.
Tyto zásady platí pro klienty s verzemi staršími než 1370, které byly k dispozici před červnem 2016. V těchto verzích se používají pouze skripty Active Scripts a PowerShell.
Tyto zásady platí pro klienty s verzemi vyššími než 1370, které byly k dispozici po červnu 2016.
Nastavení Active Script zahrnuje libovolné skripty, které jsou interpretovány modulem Windows Script Host, včetně skriptů JavaScript, VBScript, dávkových souborů a mnoha dalších.
Skripty PowerShell obsahují libovolný víceřádkový skript, který se spouští jako jeden příkaz. (Výchozí nastavení – Alert)
V prostředí PowerShell v3 (zavedeném v systému Windows 8.1) a novějších se většina skriptů prostředí PowerShell spustí jako jednořádkový příkaz. Ačkoliv mohou obsahovat více řádků, spustí se v pořadí. Tak lze obejít překladač skriptů prostředí PowerShell. Funkce Block PowerShell Console situaci řeší tak, že v konzoli PowerShell zakáže možnost spuštění libovolné aplikace. Prostředí ISE (Integrated Scripting Environment) není touto zásadou nijak ovlivněno.
Nastavení maker interpretuje makra obsažená v dokumentech sady Office a v souborech PDF a blokuje škodlivá makra která by se mohla pokusit stáhnout hrozby.
Tyto zásady zcela zakážou možnost upozornit na typ skriptu, který je definovaný v rámci jednotlivých zásad. Je-li tato funkce zakázaná, neshromažďují se žádné protokoly a není proveden žádný pokus o detekci nebo blokování potenciálních hrozeb.
Je-li zaškrtnuto, zabraňuje shromažďování protokolů a blokuje všechny potenciální hrozby založené na aktivních skriptech. Nastavení Active Script zahrnuje libovolné skripty, které jsou interpretovány modulem Windows Script Host, včetně skriptů JavaScript, VBScript, dávkových souborů a mnoha dalších.
Pokud je zaškrtnuté, zabrání shromažďování protokolů a zablokuje všechny potenciální hrozby založené na PowerShellu. Skripty PowerShell obsahují libovolný víceřádkový skript, který se spouští jako jeden příkaz.
Je-li tato možnost zaškrtnutá, zabrání shromažďování protokolů a zablokuje všechny potenciální hrozby založené na makrech. Nastavení maker interpretuje makra obsažená v dokumentech sady Office a v souborech PDF a blokuje škodlivá makra která by se mohla pokusit stáhnout hrozby.
Vyloučení složek umožňuje definovat složky, ve kterých mohou být spuštěny skripty a které lze vyloučit. V této části je nutné vyloučení zadat ve formátu relativní cesty.
/windows/system*/
./windows/system32/*/
/windows/system32/*
/folder/*/script.vbs
zápasy \folder\test\script.vbs
nebo \folder\exclude\script.vbs
ale nefunguje pro \folder\test\001\script.vbs
. To by vyžadovalo buď /folder/*/001/script.vbs
nebo /folder/*/*/script.vbs
./folder/*/script.vbs
/folder/test*/script.vbs
//*/login/application
//abc*/logon/application
Správně (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Správně (Windows): \Cases\ScriptsAllowed
Špatně: C:\Application\SubFolder\application.vbs
Špatně: \Program Files\Dell\application.vbs
Příklady zástupných znaků:
/users/*/temp
by zahrnovalo:
\users\john\temp
\users\jane\temp
/program files*/app/script*.vbs
by zahrnovalo:
\program files(x86)\app\script1.vbs
\program files(x64)\app\script2.vbs
program files(x64)\app\script3.vbs
Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.