Article Number: 000124588
Program Dell Threat Defense używa zasad w celu:
Dotyczy produktów:
Dell Threat Defense
Nie dotyczy.
Kliknij Zalecane zasady lub Definicje zasad, aby uzyskać więcej informacji.
Zaleca się skonfigurowanie zasad w Trybie uczenia lub w Trybie chronionym. Tryb uczenia jest zalecany przez firmę Dell do testowania oprogramowania Dell Threat Defense w środowisku. Najbardziej efektywnym rozwiązaniem jest wdrożenie oprogramowania Dell Threat Defense na punktach końcowych przy użyciu standardowego obrazu dla danej firmy.
W przypadku serwerów aplikacji mogą być wymagane dodatkowe zmiany ze względu na większą niż normalnie liczbę operacji we/wy na dyskach.
Po rozwiązaniu przez administratora wszystkich alertów w konsoli administracyjnej programu Dell Threat Defense firma Dell zaleca przełączenie się do zalecanych zasad Trybu chronionego. Przed przełączeniem na zasady Trybu chronionego firma Dell zaleca kilkutygodniowe testowanie oprogramowania w Trybie uczenia.
Aby uzyskać więcej informacji, kliknij opcję Zalecenia dotyczące serwera aplikacji, Tryb uczenia lub Tryb chroniony.
W obu trybach: uczenia oraz chronionym serwery aplikacji mogą być dodatkowo obciążone w sposób różniący się od systemów operacyjnych klienta. W rzadkich przypadkach funkcja automatycznej kwarantanny (AQT) uniemożliwia uruchamianie niektórych plików do czasu obliczenia wyniku. Występuje to w przypadku, gdy aplikacja wykryje blokowanie plików jako manipulację lub gdy proces nie może zakończyć się w oczekiwanym czasie.
Jeśli opcja „Obserwuj nowe pliki” jest włączona, może to spowodować spowolnienie działania urządzenia. Po wygenerowaniu nowego pliku jest on analizowany. Chociaż ten proces powoduje niewielkie obciążenie, duża liczba plików naraz może spowodować pogorszenie wydajności.
Sugerowane zmiany zasad dla systemów operacyjnych Windows Server:
W przypadku tych zaleceń zazwyczaj sugeruje się także, aby wydzielić urządzenia z serwerowymi systemami operacyjnymi w oddzielnych strefach. Aby uzyskać informacje na temat generowania stref, przeczytaj artykuł Zarządzanie strefami w programie Dell Threat Defense.
| Zasada | Zalecane ustawienie |
|---|---|
| Operacje na plikach | |
| Automatyczna kwarantanna z kontrolą wykonania dla niebezpiecznych | Disabled |
| Automatyczna kwarantanna z kontrolą wykonania dla nietypowych | Disabled |
| Włącz automatyczne usuwanie plików poddanych kwarantannie | Disabled |
| Automatyczne przesyłanie | Enabled |
| Lista bezpiecznych dla zasady | Zależne od środowiska |
| Ustawienia ochrony | |
| Zapobiegaj zamknięciu usługi z urządzenia | Disabled |
| Zamykaj niebezpieczne uruchomione procesy i ich procesy podrzędne | Disabled |
| Wykrywanie zagrożeń w tle | Disabled |
| Uruchom jednorazowo / Uruchom cyklicznie | Niedostępne, gdy opcja Ochrona przed zagrożeniami w tle jest wyłączona |
| Obserwuj nowe pliki | Disabled |
| Kopiuj przykładowe pliki | Zależne od środowiska |
| Ustawienia agenta | |
| Włącz automatyczne przesyłanie plików dziennika | Zależne od środowiska |
| Włącz powiadomienia na pulpicie | Zależne od środowiska |
| Kontrola skryptu | |
| Kontrola skryptu | Enabled |
| 1370 i poniżej Aktywny skrypt i PowerShell | Alert |
| 1380 i powyżej Aktywny skrypt | Alert |
| 1380 i powyżej PowerShell | Alert |
| Zablokuj korzystanie z konsoli PowerShell | Niedostępne, gdy program PowerShell jest ustawiony na Alert |
| 1380 i powyżej Makra | Alert |
| Wyłącz opcję sterowania skryptami funkcji Aktywny skrypt | Disabled |
| Wyłącz opcję sterowania skryptami programu PowerShell | Disabled |
| Wyłącz opcję sterowania skryptami funkcji Makra | Disabled |
| Wykluczenia folderów (wraz z podfolderami) | Zależne od środowiska |
| Zasada | Zalecane ustawienie |
|---|---|
| Operacje na plikach | |
| Automatyczna kwarantanna z kontrolą wykonania dla niebezpiecznych | Enabled |
| Automatyczna kwarantanna z kontrolą wykonania dla nietypowych | Enabled |
| Włącz automatyczne usuwanie plików poddanych kwarantannie | Zależne od środowiska |
| Automatyczne przesyłanie | Zależne od środowiska |
| Lista bezpiecznych dla zasady | Zależne od środowiska |
| Ustawienia ochrony | |
| Zapobiegaj zamknięciu usługi z urządzenia | Enabled |
| Zamykaj niebezpieczne uruchomione procesy i ich procesy podrzędne | Enabled |
| Wykrywanie zagrożeń w tle | Enabled |
| Uruchom jednorazowo / Uruchom cyklicznie | Uruchom jednorazowo |
| Obserwuj nowe pliki | Enabled |
| Kopiuj przykładowe pliki | Zależne od środowiska |
| Ustawienia agenta | |
| Włącz automatyczne przesyłanie plików dziennika | Zależne od środowiska |
| Włącz powiadomienia na pulpicie | Zależne od środowiska |
| Kontrola skryptu | |
| Kontrola skryptu | Enabled |
| 1370 i poniżej Aktywny skrypt i PowerShell | Blokuj |
| 1380 i powyżej Aktywny skrypt | Blokuj |
| 1380 i powyżej PowerShell | Blokuj |
| Zablokuj korzystanie z konsoli PowerShell | Blokuj |
| 1380 i powyżej Makra | Blokuj |
| Wyłącz opcję sterowania skryptami funkcji Aktywny skrypt | Disabled |
| Wyłącz opcję sterowania skryptami programu PowerShell | Disabled |
| Wyłącz opcję sterowania skryptami funkcji Makra | Disabled |
| Wykluczenia folderów (wraz z podfolderami) | Zależne od środowiska |
Ta zasada określa sposób postępowania z plikami wykrytymi podczas ich działania. Domyślnie, nawet jeśli niebezpieczny plik zostanie wykryty w trakcie działania, zagrożenie zostaje zablokowane. Pliki niebezpieczne to pliki o łącznym wyniku dla przenośnego pliku wykonywalnego powyżej 60 w ramach systemu oceny programu Advanced Threat Prevention opartego na wskaźnikach zagrożeń, które zostały ocenione.
Ta zasada określa sposób postępowania z plikami wykrytymi podczas ich działania. Domyślnie, nawet jeśli nietypowy plik zostanie wykryty w trakcie działania, zagrożenie zostaje zablokowane. Pliki nietypowe to pliki o łącznym wyniku dla przenośnego pliku wykonywalnego powyżej 0, ale poniżej 60 w ramach systemu oceny programu Advanced Threat Prevention opartego na wskaźnikach zagrożeń, które zostały ocenione.
Gdy pliki niebezpieczne lub nietypowe zostają poddane kwarantannie na podstawie ustawień kwarantanny na poziomie urządzenia, globalnych list kwarantanny lub przez zasady automatycznej kwarantanny, są one przechowywane w lokalnej pamięci podręcznej kwarantanny w urządzeniu lokalnym. W przypadku włączenia automatycznego usuwania plików z kwarantanny opcja ta oznacza liczbę dni (minimalnie 14 dni, maksymalnie 365 dni), przez które pliki będą przechowywane w urządzeniu lokalnym przed ich trwałym usunięciem. Gdy ta opcja jest włączona, można zmodyfikować liczbę dni.
Oznacza zagrożenia, które nie były dostępne dla środowiska Threat Defense SaaS (oprogramowanie jako usługa) do dalszej analizy. Po oznaczeniu pliku jako potencjalnego zagrożenia przez model lokalny wykonywany jest skrót SHA256 dla przenośnego pliku wykonywalnego, który jest wysyłany do SaaS. Jeśli wysłany skrót SHA256 nie pasuje do zagrożenia i funkcja automatycznego przesyłania jest włączona, umożliwia to bezpieczne przesłanie zagrożenia do SaaS w celu dokonania oceny. Dane te są przechowywane bezpiecznie i nie są dostępne dla firmy Dell ani jej partnerów.
Lista bezpiecznych dla zasady zawiera pliki, które zostały uznane za bezpieczne w środowisku i zostały ręcznie uchylone poprzez przesłanie ich skrótów SHA256 i dodatkowych informacji do tej listy. Gdy na liście zostanie umieszczony skrót SHA256, po uruchomieniu pliku nie jest on oceniany przez lokalny model zagrożeń ani model zagrożeń w chmurze. Są to „bezwzględne” ścieżki plików.
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Kiedy funkcja Zamykaj niebezpieczne uruchomione procesy i ich procesy podrzędne jest włączona, określa, czy zagrożenie generuje procesy podrzędne, czy też aplikacja została przejęta przez inne procesy, które są aktualnie uruchomione w pamięci. Jeśli istnieje podejrzenie, że proces został przejęty przez zagrożenie, pierwotne zagrożenie i wszystkie procesy, które zostały wygenerowane przez ten proces lub aktualnie należące do tego procesu, zostają natychmiast przerwane.
Kiedy opcja Wykrywanie zagrożeń w tle jest włączona, całe urządzenie jest skanowane w poszukiwaniu przenośnych plików wykonywalnych, a następnie wykonywana jest ocena tych plików przy użyciu lokalnego modelu zagrożeń i wysyłane jest żądanie potwierdzenia oceny pliku wykonywalnego przy życiu systemu SaaS w chmurze na podstawie wskaźników zagrożeń plików wykonywalnych. W przypadku wykrywania zagrożeń w tle dostępne są dwie opcje: Uruchom jednorazowo i Uruchom cyklicznie. Uruchamianie jednorazowe powoduje przeskanowanie w tle wszystkich fizycznych dysków podłączonych do urządzenia zaraz po zainstalowaniu i aktywowaniu programu Threat Defense. Uruchamianie cykliczne powoduje skanowanie w tle wszystkich urządzeń podłączonych do urządzenia w momencie zainstalowania i aktywowania programu Threat Defense, a następnie cyklicznie co dziewięć dni (ta wartość nie jest konfigurowalna).
Gdy funkcja Obserwuj nowe pliki jest włączona, wszystkie przenośne pliki wykonywalne wprowadzone do urządzenia zostają natychmiast ocenione na podstawie wskaźników zagrożeń wyświetlanych przez model lokalny, a ocena zostaje potwierdzona względem SaaS w chmurze.
Opcja Kopiuj przykładowe pliki umożliwia przekazywanie ewentualnych zagrożeń wykrytych w urządzeniu do określonego repozytorium na podstawie ścieżki UNC. Jest to zalecane tylko w przypadku wewnętrznego badania zagrożeń lub utrzymywania zabezpieczonego repozytorium zagrożeń w danym środowisku. Wszystkie pliki zapisane przez opcję Kopiuj przykładowe pliki są spakowane z hasłem infected.
Opcja Włącz automatyczne przesyłanie plików dziennika umożliwia punktom końcowym przesyłanie ich plików dzienników Dell Threat Defense o północy, a także wtedy, gdy plik osiągnie wielkość 100 MB. Dzienniki są przesyłane w porze nocnej niezależnie od rozmiaru pliku. Wszystkie przesyłane dzienniki zostają skompresowane przed przesłaniem do sieci.
Opcja Włącz powiadomienia na pulpicie umożliwia użytkownikom urządzeń zezwalanie na wyświetlanie monitów w urządzeniu, jeśli plik jest oflagowany jako nietypowy lub niebezpieczny. Ta opcja jest dostępna w menu rozwijanym po kliknięciu prawym przyciskiem myszy ikony zasobnika Dell Threat Defense w punktach końcowych z włączoną tą zasadą.
Funkcja Kontrola skryptu działa za pośrednictwem rozwiązania opartego na filtrze pamięci w celu identyfikacji skryptów uruchamianych w urządzeniu i zapobieganiu ich działaniu, jeśli zasada jest ustawiona na wartość Blokuj dla danego typu skryptu. Ustawienia alertów dla tych zasad zawierają tylko skrypty, które zostałyby zablokowane w dziennikach i konsoli Dell Threat Defense.
Zasady te mają zastosowanie do klientów starszych niż 1370, które były dostępne przed czerwcem 2016 roku. W przypadku tych wersji obsługiwane są tylko skrypty aktywne i skrypty PowerShell.
Zasady te mają zastosowanie do klientów nowszych niż 1370, które były dostępne po czerwcu 2016 roku.
Aktywne skrypty obejmują wszelkie skrypty rozpoznawane przez hosta skryptów Windows, w tym JavaScript, VBScript, pliki wsadowe i wiele innych.
Skrypty programu PowerShell obejmują skrypty wielowierszowe uruchamiane jako pojedyncze polecenie. (Ustawienie domyślne — Alert)
W programie PowerShell w wersji 3 (wprowadzonej w systemie Windows 8.1) i nowszych większość skryptów programu PowerShell jest uruchamiana jako polecenia jednowierszowe, chociaż mogą one zawierać wiele wierszy, które są uruchamiane kolejno. Może to spowodować pominięcie interpretera skryptu programu PowerShell. Zablokowanie konsoli PowerShell to obejście tego problemu poprzez uniemożliwienie uruchamiania dowolnej aplikacji przy użyciu konsoli programu PowerShell. Zasada ta nie wpływa na środowisko Integrated Scripting Environment (ISE).
Ustawienie Makro umożliwia interpretowanie makr znajdujących się w dokumentach pakietu Office i plikach PDF oraz blokowanie złośliwych makr, które mogą próbować pobierać zagrożenia.
Te zasady umożliwiają całkowite wyłączenie alertu dla typu skryptu zdefiniowanego w ramach każdej zasady. Kiedy ta opcja jest wyłączona, nie są gromadzone żadne dane i nie będą podejmowane żadne próby wykrycia ani blokowania potencjalnych zagrożeń.
Jeśli to pole wyboru jest zaznaczone, zapobiega gromadzeniu dzienników i blokuje wszystkie potencjalne zagrożenia oparte na aktywnych skryptach. Aktywne skrypty obejmują wszelkie skrypty rozpoznawane przez hosta skryptów Windows, w tym JavaScript, VBScript, pliki wsadowe i wiele innych.
Jeśli to pole wyboru jest zaznaczone, zapobiega gromadzeniu dzienników i blokuje wszystkie potencjalne zagrożenia oparte na skryptach PowerShell. Skrypty programu PowerShell obejmują skrypty wielowierszowe uruchamiane jako pojedyncze polecenie.
Jeśli to pole wyboru jest zaznaczone, zapobiega gromadzeniu dzienników i blokuje wszystkie potencjalne zagrożenia oparte na makrach. Ustawienie Makro umożliwia interpretowanie makr znajdujących się w dokumentach pakietu Office i plikach PDF oraz blokowanie złośliwych makr, które mogą próbować pobierać zagrożenia.
Wykluczenia folderów umożliwiają określenie folderów, w których można uruchamiać skrypty. W tej sekcji należy określić wykluczenia w formacie ścieżki względnej.
/windows/system*/./windows/system32/*//windows/system32/*/folder/*/script.vbs odpowiada zapisowi \folder\test\script.vbs lub \folder\exclude\script.vbs, ale nie odpowiada zapisowi \folder\test\001\script.vbs. Wymaga to zapisu /folder/*/001/script.vbs lub /folder/*/*/script.vbs./folder/*/script.vbs/folder/test*/script.vbs//*/login/application//abc*/logon/applicationPrawidłowa (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Prawidłowa (system Windows): \Cases\ScriptsAllowed
Niepoprawnie: C:\Application\SubFolder\application.vbs
Niepoprawnie: \Program Files\Dell\application.vbs
Przykłady symboli wieloznacznych:
/users/*/temp obejmuje:
\users\john\temp\users\jane\temp/program files*/app/script*.vbs obejmuje:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbsprogram files(x64)\app\script3.vbsAby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.
Dell Threat Defense
20 Dec 2022
11
Solution