Article Number: 000124588
Dell Threat Defense bruger politikker til at:
Berørte produkter:
Dell Threat Defense
Ikke relevant.
Klik på Anbefalede politikker eller politikdefinitioner for at få flere oplysninger.
Det anbefales at konfigurere politikker i Learning Mode (Læringstilstand) eller Protect Mode (Beskyttelsestilstand). Learning Mode (Læringstilstand) er, hvordan Dell anbefaler at teste Dell Threat Defense i et miljø. Dette er mest effektivt, når Dell Threat Defense er implementeret på slutpunkter med standardfirmabilledet.
Flere ændringer kan være påkrævet for programservere på grund af en disk-I/O, der er højere end normalt.
Når alle beskeder er blevet adresseret i Dell Threat Defense-administrationskonsollen af administratoren, anbefaler Dell at skifte til politikanbefalingerne for Protect Mode (Beskyttelsestilstand). Dell anbefaler et par uger eller mere med test i læringstilstand, før der skiftes til politikker i beskyttelsestilstand.
Klik på Anbefalinger til programserver, Læringstilstand eller Beskyttelsestilstand for at få flere oplysninger.
I både lærings- og beskyttelsestilstand kan der i programservere forekomme ekstra omkostninger og anderledes adfærd i klientoperativsystemer. Auto Quarantine (AQT) (Automatisk karantæne) har i sjældne tilfælde forhindret visse filer i at køre, indtil en score kan beregnes. Dette er observeret, når et program registrerer låsning af dets filer som manipulation, eller en proces muligvis ikke fuldføres korrekt inden for en forventet tidsramme.
Hvis "Watch For New Files" (Hold øje med nye filer) er aktiveret, kan det gøre enhedens drift langsommere. Når der genereres en ny fil, analyseres den. Selvom denne proces er let, kan en stor mængde filer på én gang forårsage en påvirkning af ydeevnen.
Foreslåede politikændringer til Windows Server-operativsystemer:
Med disse anbefalinger foreslås det typisk også at indeholde enheder, der kører serveroperativsystemer i separate zoner. Du kan få oplysninger om oprettelse af zoner under Sådan administrerer du zoner i Dell Threat Defense.
| Politik | Anbefalet indstilling |
|---|---|
| Filhandlinger | |
| Automatisk karantæne med udførselskontrol for Usikker | Disabled |
| Automatisk karantæne med udførselskontrol for Unormal | Disabled |
| Aktivér automatisk sletning for filer, der er sat i karantæne | Disabled |
| Upload automatisk | Aktiveret |
| Liste over sikre politikker | Miljøafhængigt |
| Indstillinger for beskyttelse | |
| Undgå lukning af service fra enhed | Disabled |
| Afbryd usikre kørende processer og deres underprocesser | Disabled |
| Background Threat Detection | Disabled |
| Kør en gang/kør tilbagevendende | Gælder ikke, hvis Background Threat Protection er indstillet til deaktiveret |
| Hold øje med nye filer | Disabled |
| Kopiér fileksempler | Miljøafhængigt |
| Agentindstillinger | |
| Aktivér automatisk upload af logfiler | Miljøafhængigt |
| Aktivér skrivebordsmeddelelser | Miljøafhængigt |
| Script-styring | |
| Script-styring | Aktiveret |
| 1370 og under Aktivt script og PowerShell | Alert |
| 1380 og derover Aktivt script | Alert |
| 1380 og derover PowerShell | Alert |
| Bloker brug af PowerShell-konsol | Gælder ikke, hvis PowerShell er indstillet til Alarm |
| 1380 og derover Makroer | Alert |
| Deaktiver script-styring Aktivt script | Disabled |
| Deaktiver script-styring PowerShell | Disabled |
| Deaktiver script-styring Makroer | Disabled |
| Mappeundtagelser (omfatter undermapper) | Miljøafhængigt |
| Politik | Anbefalet indstilling |
|---|---|
| Filhandlinger | |
| Automatisk karantæne med udførselskontrol for Usikker | Aktiveret |
| Automatisk karantæne med udførselskontrol for Unormal | Aktiveret |
| Aktivér automatisk sletning for filer, der er sat i karantæne | Miljøafhængigt |
| Upload automatisk | Miljøafhængigt |
| Liste over sikre politikker | Miljøafhængigt |
| Indstillinger for beskyttelse | |
| Undgå lukning af service fra enhed | Aktiveret |
| Afbryd usikre kørende processer og deres underprocesser | Aktiveret |
| Background Threat Detection | Aktiveret |
| Kør en gang/kør tilbagevendende | Kør en gang |
| Hold øje med nye filer | Aktiveret |
| Kopiér fileksempler | Miljøafhængigt |
| Agentindstillinger | |
| Aktivér automatisk upload af logfiler | Miljøafhængigt |
| Aktivér skrivebordsmeddelelser | Miljøafhængigt |
| Script-styring | |
| Script-styring | Aktiveret |
| 1370 og under Aktivt script og PowerShell | Bloker |
| 1380 og derover Aktivt script | Bloker |
| 1380 og derover PowerShell | Bloker |
| Bloker brug af PowerShell-konsol | Bloker |
| 1380 og derover Makroer | Bloker |
| Deaktiver script-styring Aktivt script | Disabled |
| Deaktiver script-styring PowerShell | Disabled |
| Deaktiver script-styring Makroer | Disabled |
| Mappeundtagelser (omfatter undermapper) | Miljøafhængigt |
Denne politik bestemmer, hvad der sker med de filer, der detekteres, mens de eksekveres. Som standard er truslen blokeret, selv når en usikker fil detekteres som værende kørende. Usikker er karakteriseret ved en samlet score for den flytbare, eksekverbare fil, der overstiger 60 i Advanced Threat Preventions scoresystem, der er baseret på trusselsindikatorer, der er blevet evalueret.
Denne politik bestemmer, hvad der sker med de filer, der detekteres, mens de eksekveres. Som standard blokeres truslen, selv når en unormal fil detekteres som værende kørende. Unormal er karakteriseret ved en samlet score for den flytbare, eksekverbare fil, der overstiger 0, men ikke overstiger 60, i Advanced Threat Preventions scoresystem, der er baseret på trusselsindikatorer, der er blevet evalueret.
Når usikre eller unormale filer er sat i karantæne baseret på karantæner på enhedsniveau, globale karantænelister eller i henhold til automatiske karantænepolitikker, holdes de i en lokal sandkassebaseret karantænecache på den lokale enhed. Når Aktivér automatisk sletning for filer i karantæne er aktiveret, angiver det antallet af dage (mindst 14 dage, maks. 365 dage), hvor filen opbevares på den lokale enhed, før filen slettes permanent. Når denne er aktiveret, bliver det muligt at ændre antallet af dage.
Markerer trusler, der ikke blev registreret af Threat Defense SaaS-miljøet (software as a Service), til yderligere analyse. Når en fil markeres som en potentiel trussel for den lokale model, tages der en SHA256-hash ud af den flytbare, eksekverbare fil, og den sendes til SaaS. Hvis SHA256-hashen, der blev sendt, ikke kan matches med en trussel, og automatisk upload er aktiveret, kan truslen sikkert uploades til SaaS til evaluering. Disse data gemmes på en sikker måde og er ikke tilgængelig for Dell eller dennes partnere.
Listen over sikre politikker er en liste over filer, der er fastlagt til at være sikre i miljøet, og som er manuelt blevet set bort fra ved at sende deres SHA256-hash og alle yderligere oplysninger til denne liste. Når en SHA256-hash placeres på denne liste, når filen køres, evalueres den ikke af den lokale eller cloud-trusselsmodellerne. Disse er "absolutte" filstier.
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Når du afbryder usikre kørende processer, og deres underprocesser er aktiveret, bestemmer dette, om en trussel genererer underordnede processer, eller om programmet har overtaget andre processer, der aktuelt kører i hukommelsen. Hvis det menes, at en proces er blevet overtaget af en trussel, afsluttes den primære trussel og eventuelle processer, som den har genereret eller i øjeblikket ejer.
Når Background Threat Detection (Registrering af baggrundstrusler) er aktiveret, scanner den hele enheden for alle flytbare, eksekverbare filer og evaluerer derefter den eksekverbare fil med den lokale trusselsmodel og anmoder om bekræftelse af scoren for den eksekverbare fil med den cloud-baserede SaaS baseret på den eksekverbare fils trusselsindikatorer. Der er to muligheder med Background Threat Detection: Kør én gang, og kør tilbagevendende. Run Once (Kør en gang) udfører en baggrundsscanning af alle fysiske drev, der er tilsluttet enheden i det øjeblik Threat Defense installeres og aktiveres. Run Recurring (Kør tilbagevendende) udfører en baggrundsscanning af alle tilsluttede enheder til enheden, i det øjeblik Threat Defense installeres og aktiveres, og gentager scanningen hver niende dag (kan ikke konfigureres).
Når Watch for New Files (Hold øje med nye filer) aktiveres, evalueres alle flytbare, eksekverbare filer, der introduceres til enheden, med det samme med de trusselsindikatorer, der vises ved hjælp af den lokale model, og denne score bekræftes i forhold til den cloud-hostede SaaS.
Copy File Samples (Kopiér fileeksempler) giver mulighed for, at trusler, der findes på enheden, automatisk placeres i et defineret lager baseret på UNC Path. Dette anbefales kun til interne trusselsundersøgelser eller til at have et sikkert lager med pakkede trusler i miljøet. Alle filer, der gemmes af Copy File Samples (Kopiér fileeksempler), pakkes infectedmed adgangskoden .
Aktivér automatisk upload af logfiler giver slutpunkter mulighed for at overføre deres logfiler til Dell Threat Defense hver nat ved midnight, eller når filen når 100 MB. Logfiler uploades hver nat, uanset filstørrelsen. Alle logfiler, der overføres, komprimeres, før de kommer ud af netværket.
Enable Desktop Notification (Aktivér skrivebordsmeddelelser) gør det muligt for enhedsbrugere at tillade meddelelser på deres enhed, hvis en fil er markeret som unormal eller usikker. Dette er en indstilling i højrekliksmenuen på Dell Threat Defense-bakkeikonet på slutpunkter med denne politik aktiveret.
Scriptstyring fungerer gennem en hukommelsesfilter-baseret løsning for at identificere scripts, der kører på enheden, og forhindre dem, hvis politikken er indstillet til at blokere for den pågældende scripttype. Advarselsindstillinger på disse politikker noterer sig kun scripts, der ville være blevet blokeret i logfiler og på Dell Threat Defense-konsollen.
Disse politikker gælder for klienter før 1370, som var tilgængelige før juni 2016. Kun aktive scripts og PowerShell-baserede scripts handles på med disse versioner.
Disse politikker gælder for klienter efter 1370, som var tilgængelige efter juni 2016.
Aktive scripts omfatter ethvert script, der fortolkes af Windows Script Host, herunder JavaScript, VBScript, batchfiler og mange andre.
PowerShell-scripts omfatter alle flerlinjede scripts, der køres som en enkelt kommando. (Standardindstilling – Advarsel)
I PowerShell v3 (introduceret i Windows 8.1) og nyere køres de fleste PowerShell-scripts som en enkeltlinjekommando. selvom de kan indeholde flere linjer, køres de i rækkefølge. Dette kan omgås af PowerShell-scriptfortolkeren. Bloker PowerShell-konsollen løser dette ved at deaktivere muligheden for at starte programmer i PowerShell-konsollen. ISE (Integrated Scripting Environment) er ikke berørt af denne politik.
Makroindstillingen fortolker makroer, der findes i Office-dokumenter og PDF-filer og blokerer ondsindede makroer, der kan forsøge at downloade trusler.
Disse politikker deaktiverer muligheden for endda at advare den scripttype, der er defineret inden for hver politik. Når den er deaktiveret, indsamles der ingen logfiler, og det er ikke muligt at detektere eller blokere potentielle trusler.
Når den er markeret, forhindrer du indsamling af logfiler og blokerer alle potentielle aktive scriptbaserede trusler. Aktive scripts omfatter ethvert script, der fortolkes af Windows Script Host, herunder JavaScript, VBScript, batchfiler og mange andre.
Når den er markeret, forhindrer du indsamling af logfiler og blokerer alle potentielle PowerShell-baserede trusler. PowerShell-scripts omfatter alle flerlinjede scripts, der køres som en enkelt kommando.
Når den er markeret, forhindres indsamling af logfiler og blokerer alle potentielle makrobaserede trusler. Makroindstillingen fortolker makroer, der findes i Office-dokumenter og PDF-filer, og blokerer ondsindede makroer, der kan forsøge at downloade trusler.
Mappeundtagelser gør det muligt at definere mapper, som scripts kan køre i og som kan udelukkes. Dette afsnit anmoder om udelukkelser i et relativ sti-format.
/windows/system*/./windows/system32/*//windows/system32/*/folder/*/script.vbs\folder\test\script.vbs eller \folder\exclude\script.vbs men virker ikke for \folder\test\001\script.vbs. Dette ville kræve enten /folder/*/001/script.vbs eller /folder/*/*/script.vbs./folder/*/script.vbs/folder/test*/script.vbs//*/login/application//abc*/logon/applicationKorrekt (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Korrekt (Windows): \Cases\ScriptsAllowed
Forkert: C:\Application\SubFolder\application.vbs
Forkert: \Program Files\Dell\application.vbs
Eksempler på wildcards:
/users/*/temp ville omfatte:
\users\john\temp\users\jane\temp/program files*/app/script*.vbs ville omfatte:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbsprogram files(x64)\app\script3.vbsFor at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.
Dell Threat Defense
20 Dec 2022
11
Solution