Ga naar hoofdinhoud
Uitloggen

Welkom bij Dell

Mijn account
  • Snel en eenvoudig bestellen
  • Bestellingen en de verzendstatus bekijken
  • Een lijst met producten maken en openen
Inloggen Een account maken Inloggen bij Premier Aanmelden voor partnerprogramma
Contact

Uw Dell.com-winkelwagentjes

Anbefalinger til Dell Threat Defense-politik

Samenvatting: Denne artikel indeholder politikanbefalinger til Dell Threat Defense.

Dit artikel is van toepassing op Dit artikel is niet van toepassing op Dit artikel is niet gebonden aan een specifiek product. Niet alle productversies worden in dit artikel vermeld.
Bekijk andere hulpbronnen

Symptomen

Bemærk:

Dell Threat Defense bruger politikker til at:

  • Definere, hvordan trusler håndteres.
  • Find ud af, hvad der skal ske med filer, der er sat i karantæne.
  • Konfigurere scriptstyring.

Berørte produkter:

Dell Threat Defense

Oorzaak

Ikke relevant.

Oplossing

Klik på Anbefalede politikker eller politikdefinitioner for at få flere oplysninger.

Anbefalede politikker

Det anbefales at konfigurere politikker i Learning Mode (Læringstilstand) eller Protect Mode (Beskyttelsestilstand). Learning Mode (Læringstilstand) er, hvordan Dell anbefaler at teste Dell Threat Defense i et miljø. Dette er mest effektivt, når Dell Threat Defense er implementeret på slutpunkter med standardfirmabilledet.

Flere ændringer kan være påkrævet for programservere på grund af en disk-I/O, der er højere end normalt.

Når alle beskeder er blevet adresseret i Dell Threat Defense-administrationskonsollen af administratoren, anbefaler Dell at skifte til politikanbefalingerne for Protect Mode (Beskyttelsestilstand). Dell anbefaler et par uger eller mere med test i læringstilstand, før der skiftes til politikker i beskyttelsestilstand.

Klik på Anbefalinger til programserver, Læringstilstand eller Beskyttelsestilstand for at få flere oplysninger.

Bemærk: Ikke alle politikanbefalinger passer til alle miljøer.
Anbefalinger til programserver

I både lærings- og beskyttelsestilstand kan der i programservere forekomme ekstra omkostninger og anderledes adfærd i klientoperativsystemer. Auto Quarantine (AQT) (Automatisk karantæne) har i sjældne tilfælde forhindret visse filer i at køre, indtil en score kan beregnes. Dette er observeret, når et program registrerer låsning af dets filer som manipulation, eller en proces muligvis ikke fuldføres korrekt inden for en forventet tidsramme.

Hvis "Watch For New Files" (Hold øje med nye filer) er aktiveret, kan det gøre enhedens drift langsommere. Når der genereres en ny fil, analyseres den. Selvom denne proces er let, kan en stor mængde filer på én gang forårsage en påvirkning af ydeevnen.

Foreslåede politikændringer til Windows Server-operativsystemer:

  • Aktiverer Registrering af baggrundstrusler og få det til at køre én gang.
  • Sørg for, at Execution Control (Udførselskontrol) er aktiveret.
  • Deaktivere Hold øje med nye filer.

Med disse anbefalinger foreslås det typisk også at indeholde enheder, der kører serveroperativsystemer i separate zoner. Du kan få oplysninger om oprettelse af zoner under Sådan administrerer du zoner i Dell Threat Defense.

Læringstilstand
Politik Anbefalet indstilling
Filhandlinger  
Automatisk karantæne med udførselskontrol for Usikker Disabled
Automatisk karantæne med udførselskontrol for Unormal Disabled
Aktivér automatisk sletning for filer, der er sat i karantæne Disabled
Upload automatisk Aktiveret
Liste over sikre politikker Miljøafhængigt
Indstillinger for beskyttelse  
Undgå lukning af service fra enhed Disabled
Afbryd usikre kørende processer og deres underprocesser Disabled
Background Threat Detection Disabled
Kør en gang/kør tilbagevendende Gælder ikke, hvis Background Threat Protection er indstillet til deaktiveret
Hold øje med nye filer Disabled
Kopiér fileksempler Miljøafhængigt
Agentindstillinger  
Aktivér automatisk upload af logfiler Miljøafhængigt
Aktivér skrivebordsmeddelelser Miljøafhængigt
Script-styring  
Script-styring Aktiveret
1370 og under Aktivt script og PowerShell Alert
1380 og derover Aktivt script Alert
1380 og derover PowerShell Alert
Bloker brug af PowerShell-konsol Gælder ikke, hvis PowerShell er indstillet til Alarm
1380 og derover Makroer Alert
Deaktiver script-styring Aktivt script Disabled
Deaktiver script-styring PowerShell Disabled
Deaktiver script-styring Makroer Disabled
Mappeundtagelser (omfatter undermapper) Miljøafhængigt
Beskyttelsestilstand
Politik Anbefalet indstilling
Filhandlinger  
Automatisk karantæne med udførselskontrol for Usikker Aktiveret
Automatisk karantæne med udførselskontrol for Unormal Aktiveret
Aktivér automatisk sletning for filer, der er sat i karantæne Miljøafhængigt
Upload automatisk Miljøafhængigt
Liste over sikre politikker Miljøafhængigt
Indstillinger for beskyttelse  
Undgå lukning af service fra enhed Aktiveret
Afbryd usikre kørende processer og deres underprocesser Aktiveret
Background Threat Detection Aktiveret
Kør en gang/kør tilbagevendende Kør en gang
Hold øje med nye filer Aktiveret
Kopiér fileksempler Miljøafhængigt
Agentindstillinger  
Aktivér automatisk upload af logfiler Miljøafhængigt
Aktivér skrivebordsmeddelelser Miljøafhængigt
Script-styring  
Script-styring Aktiveret
1370 og under Aktivt script og PowerShell Bloker
1380 og derover Aktivt script Bloker
1380 og derover PowerShell Bloker
Bloker brug af PowerShell-konsol Bloker
1380 og derover Makroer Bloker
Deaktiver script-styring Aktivt script Disabled
Deaktiver script-styring PowerShell Disabled
Deaktiver script-styring Makroer Disabled
Mappeundtagelser (omfatter undermapper) Miljøafhængigt
Politikdefinitioner

Politikdefinitioner i Threat Defense:

Filhandlinger

Automatisk karantæne med udførselskontrol for Usikker

Denne politik bestemmer, hvad der sker med de filer, der detekteres, mens de eksekveres. Som standard er truslen blokeret, selv når en usikker fil detekteres som værende kørende. Usikker er karakteriseret ved en samlet score for den flytbare, eksekverbare fil, der overstiger 60 i Advanced Threat Preventions scoresystem, der er baseret på trusselsindikatorer, der er blevet evalueret.

Automatisk karantæne med udførselskontrol for Unormal

Denne politik bestemmer, hvad der sker med de filer, der detekteres, mens de eksekveres. Som standard blokeres truslen, selv når en unormal fil detekteres som værende kørende. Unormal er karakteriseret ved en samlet score for den flytbare, eksekverbare fil, der overstiger 0, men ikke overstiger 60, i Advanced Threat Preventions scoresystem, der er baseret på trusselsindikatorer, der er blevet evalueret.

Aktivér automatisk sletning for filer, der er sat i karantæne

Når usikre eller unormale filer er sat i karantæne baseret på karantæner på enhedsniveau, globale karantænelister eller i henhold til automatiske karantænepolitikker, holdes de i en lokal sandkassebaseret karantænecache på den lokale enhed. Når Aktivér automatisk sletning for filer i karantæne er aktiveret, angiver det antallet af dage (mindst 14 dage, maks. 365 dage), hvor filen opbevares på den lokale enhed, før filen slettes permanent. Når denne er aktiveret, bliver det muligt at ændre antallet af dage.

Upload automatisk

Markerer trusler, der ikke blev registreret af Threat Defense SaaS-miljøet (software as a Service), til yderligere analyse. Når en fil markeres som en potentiel trussel for den lokale model, tages der en SHA256-hash ud af den flytbare, eksekverbare fil, og den sendes til SaaS. Hvis SHA256-hashen, der blev sendt, ikke kan matches med en trussel, og automatisk upload er aktiveret, kan truslen sikkert uploades til SaaS til evaluering. Disse data gemmes på en sikker måde og er ikke tilgængelig for Dell eller dennes partnere.

Liste over sikre politikker

Listen over sikre politikker er en liste over filer, der er fastlagt til at være sikre i miljøet, og som er manuelt blevet set bort fra ved at sende deres SHA256-hash og alle yderligere oplysninger til denne liste. Når en SHA256-hash placeres på denne liste, når filen køres, evalueres den ikke af den lokale eller cloud-trusselsmodellerne. Disse er "absolutte" filstier.

Eksempler på udelukkelse:
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\

Indstillinger for beskyttelse

Afbryd usikre kørende processer og deres underprocesser

Når du afbryder usikre kørende processer, og deres underprocesser er aktiveret, bestemmer dette, om en trussel genererer underordnede processer, eller om programmet har overtaget andre processer, der aktuelt kører i hukommelsen. Hvis det menes, at en proces er blevet overtaget af en trussel, afsluttes den primære trussel og eventuelle processer, som den har genereret eller i øjeblikket ejer.

Background Threat Detection

Når Background Threat Detection (Registrering af baggrundstrusler) er aktiveret, scanner den hele enheden for alle flytbare, eksekverbare filer og evaluerer derefter den eksekverbare fil med den lokale trusselsmodel og anmoder om bekræftelse af scoren for den eksekverbare fil med den cloud-baserede SaaS baseret på den eksekverbare fils trusselsindikatorer. Der er to muligheder med Background Threat Detection: Kør én gang, og kør tilbagevendende. Run Once (Kør en gang) udfører en baggrundsscanning af alle fysiske drev, der er tilsluttet enheden i det øjeblik Threat Defense installeres og aktiveres. Run Recurring (Kør tilbagevendende) udfører en baggrundsscanning af alle tilsluttede enheder til enheden, i det øjeblik Threat Defense installeres og aktiveres, og gentager scanningen hver niende dag (kan ikke konfigureres).

Hold øje med nye filer

Når Watch for New Files (Hold øje med nye filer) aktiveres, evalueres alle flytbare, eksekverbare filer, der introduceres til enheden, med det samme med de trusselsindikatorer, der vises ved hjælp af den lokale model, og denne score bekræftes i forhold til den cloud-hostede SaaS.

Kopiér fileksempler

Copy File Samples (Kopiér fileeksempler) giver mulighed for, at trusler, der findes på enheden, automatisk placeres i et defineret lager baseret på UNC Path. Dette anbefales kun til interne trusselsundersøgelser eller til at have et sikkert lager med pakkede trusler i miljøet. Alle filer, der gemmes af Copy File Samples (Kopiér fileeksempler), pakkes infectedmed adgangskoden .

Agentindstillinger

Aktivér automatisk upload af logfiler

Aktivér automatisk upload af logfiler giver slutpunkter mulighed for at overføre deres logfiler til Dell Threat Defense hver nat ved midnight, eller når filen når 100 MB. Logfiler uploades hver nat, uanset filstørrelsen. Alle logfiler, der overføres, komprimeres, før de kommer ud af netværket.

Aktivér skrivebordsmeddelelser

Enable Desktop Notification (Aktivér skrivebordsmeddelelser) gør det muligt for enhedsbrugere at tillade meddelelser på deres enhed, hvis en fil er markeret som unormal eller usikker. Dette er en indstilling i højrekliksmenuen på Dell Threat Defense-bakkeikonet på slutpunkter med denne politik aktiveret.

Script-styring

Script-styring

Scriptstyring fungerer gennem en hukommelsesfilter-baseret løsning for at identificere scripts, der kører på enheden, og forhindre dem, hvis politikken er indstillet til at blokere for den pågældende scripttype. Advarselsindstillinger på disse politikker noterer sig kun scripts, der ville være blevet blokeret i logfiler og på Dell Threat Defense-konsollen.

1370 og derunder

Disse politikker gælder for klienter før 1370, som var tilgængelige før juni 2016. Kun aktive scripts og PowerShell-baserede scripts handles på med disse versioner.

1380 og derover

Disse politikker gælder for klienter efter 1370, som var tilgængelige efter juni 2016.

Aktivt script

Aktive scripts omfatter ethvert script, der fortolkes af Windows Script Host, herunder JavaScript, VBScript, batchfiler og mange andre.

PowerShell

PowerShell-scripts omfatter alle flerlinjede scripts, der køres som en enkelt kommando. (Standardindstilling – Advarsel)

Bloker brug af PowerShell-konsol – (vises ikke, når PowerShell er indstillet til Advarsel)

I PowerShell v3 (introduceret i Windows 8.1) og nyere køres de fleste PowerShell-scripts som en enkeltlinjekommando. selvom de kan indeholde flere linjer, køres de i rækkefølge. Dette kan omgås af PowerShell-scriptfortolkeren. Bloker PowerShell-konsollen løser dette ved at deaktivere muligheden for at starte programmer i PowerShell-konsollen. ISE (Integrated Scripting Environment) er ikke berørt af denne politik.

Makroer

Makroindstillingen fortolker makroer, der findes i Office-dokumenter og PDF-filer og blokerer ondsindede makroer, der kan forsøge at downloade trusler.

Deaktiver script-styring

Disse politikker deaktiverer muligheden for endda at advare den scripttype, der er defineret inden for hver politik. Når den er deaktiveret, indsamles der ingen logfiler, og det er ikke muligt at detektere eller blokere potentielle trusler.

Aktivt script

Når den er markeret, forhindrer du indsamling af logfiler og blokerer alle potentielle aktive scriptbaserede trusler. Aktive scripts omfatter ethvert script, der fortolkes af Windows Script Host, herunder JavaScript, VBScript, batchfiler og mange andre.

PowerShell

Når den er markeret, forhindrer du indsamling af logfiler og blokerer alle potentielle PowerShell-baserede trusler. PowerShell-scripts omfatter alle flerlinjede scripts, der køres som en enkelt kommando.

Makroer

Når den er markeret, forhindres indsamling af logfiler og blokerer alle potentielle makrobaserede trusler. Makroindstillingen fortolker makroer, der findes i Office-dokumenter og PDF-filer, og blokerer ondsindede makroer, der kan forsøge at downloade trusler.

Mappeundtagelser (omfatter undermapper)

Mappeundtagelser gør det muligt at definere mapper, som scripts kan køre i og som kan udelukkes. Dette afsnit anmoder om udelukkelser i et relativ sti-format.

  • Mappestier kan være til et lokalt drev, et tilknyttet netværksdrev eller en UNC-sti (Universal Naming Convention).
  • Udelukkelser af script-mapper skal angive den relative sti til mappen eller undermappen.
  • Alle angivne mappestier inkluderer også eventuelle undermapper.
  • Udelukkelser af wildcards skal bruge skråstreger i UNIX-stilen på Windows-computere. Eksempel: /windows/system*/.
  • Det eneste tegn, der kan bruges til wildcards, er *.
  • Mappeundtagelser med et wildcards skal have en skråstreg i slutningen af stien for at muliggøre adskillelse mellem en mappe og en fil.
    • Mappeudeladelse: /windows/system32/*/
    • Filudeladelse: /windows/system32/*
  • Der skal tilføjes et wildcard for hvert mappeniveau. Matcher f.eks. /folder/*/script.vbs\folder\test\script.vbs eller \folder\exclude\script.vbs men virker ikke for \folder\test\001\script.vbs. Dette ville kræve enten /folder/*/001/script.vbs eller /folder/*/*/script.vbs.
  • Wildcards understøtter fuld og delvis udelukkelse.
    • Eksempel på fuldt wildcard: /folder/*/script.vbs
    • Eksempel på delvist wildcard: /folder/test*/script.vbs
  • Netværksstier understøttes også med wildcards.
    • //*/login/application
    • //abc*/logon/application

Korrekt (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Korrekt (Windows): \Cases\ScriptsAllowed
Forkert: C:\Application\SubFolder\application.vbs
Forkert: \Program Files\Dell\application.vbs

Eksempler på wildcards:

/users/*/temp ville omfatte:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs ville omfatte:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.

Extra informatie

 

Video's

 

Getroffen producten

Dell Threat Defense
Artikeleigenschappen
Artikelnummer: 000124588
Artikeltype: Solution
Laatst aangepast: 20 dec. 2022
Versie:  11
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.