Regole Contenimento dinamico delle applicazioni e procedure consigliate
Articoli tecnici ID:
KB87843
Ultima modifica: 2022-09-12 16:54:56 Etc/GMT
Ultima modifica: 2022-09-12 16:54:56 Etc/GMT
Ambiente
Protezione adattiva dalle minacce McAfee Endpoint Security (ENS) (ATP) 10.x
Riepilogo
Le regole di Contenimento dinamico delle applicazioni (DAC) presenti nel McAfee Default policy sono impostate su segnala solo per ridurre i falsi positivi. Protezione adattiva dalle minacce fornisce altre due Policy di applicazione dinamiche predefinite: McAfee Default bilanciato e McAfee Default sicurezza. Queste policy regolano le regole consigliate da bloccare, in base al profilo di sicurezza:
Il DAC può escludere i processi dal contenimento in base al nome, al hash MD5, ai dati delle firme e al percorso. Se l'organizzazione firma strumenti che vengono distribuiti internamente, aggiungere queste firme come esclusioni per ridurre i falsi positivi.
In modalità di osservazione, i rapporti DAC "contengono eventi" ma non "bloccano gli eventi". (Un'applicazione deve essere contenuta prima che ENS determini se bloccarlo.) "Conterrà eventi" non indicano un potenziale blocco. Per sintonizzare correttamente DAC, dopo la disattivazione della modalità di osservazione, modificare le regole di contenimento per segnalare ma non bloccare. Quindi impostare le regole su blocca in base alle esigenze in base alla configurazione predefinita.
Le regole DAC dispongono di controllo Flood, che limita il numero di eventi generati a una volta all'ora, per regola e per processo. Il controllo del flood di Contenimento dinamico delle applicazioni (DAC) rileva i processi in base all'ID di processo (PID). Quando un processo viene riavviato, il sistema operativo assegna a esso un nuovo PID, che reimposta il controllo del flood, anche se il nome del processo resta invariato. Ad esempio, se il Processo A viola la regola DAC A 100 volte all'ora, si riceve un evento all'ora. Se il processo A viene riavviato durante tale ora, il controllo Flood viene reimpostato per il processo A e viene visualizzato un altro evento se continua a violare la regola DAC A. Se il processo B viola la stessa regola DAC A, viene visualizzato un secondo evento (con i dettagli del processo B).
Procedura consigliata: Eseguire lo strumento McAfee getclean sulle immagini di base della distribuzione per i sistemi di produzione. Questo strumento garantisce che i file puliti vengano inviati a Global Threat Intelligence (GTI) per essere categorizzati. Lo strumento consente inoltre di assicurarsi che GTI non fornisca un valore di reputazione errato per i file. Per ulteriori informazioni, consultare la Guida del prodotto getclean, disponibile nel sito di download dei prodotti.
- McAfee Default Bilanciato fornisce un livello di protezione basso mentre minimizza i falsi positivi per molti programmi di installazione e applicazioni comuni senza firma.
- McAfee Default La sicurezza offre una protezione aggressiva, ma potrebbe causare falsi positivi più di frequente sui programmi di installazione e applicazioni senza firma.
Il DAC può escludere i processi dal contenimento in base al nome, al hash MD5, ai dati delle firme e al percorso. Se l'organizzazione firma strumenti che vengono distribuiti internamente, aggiungere queste firme come esclusioni per ridurre i falsi positivi.
In modalità di osservazione, i rapporti DAC "contengono eventi" ma non "bloccano gli eventi". (Un'applicazione deve essere contenuta prima che ENS determini se bloccarlo.) "Conterrà eventi" non indicano un potenziale blocco. Per sintonizzare correttamente DAC, dopo la disattivazione della modalità di osservazione, modificare le regole di contenimento per segnalare ma non bloccare. Quindi impostare le regole su blocca in base alle esigenze in base alla configurazione predefinita.
Regola di contenimento definita da McAfee | Descrizione | McAfee Default Impostazione consigliata bilanciata da bloccare | McAfee Default Impostazione di sicurezza consigliata per il blocco |
Accesso agli hash LM password non sicuri |
Protegge il file SAM in Procedura consigliata: Impostare questa regola su segnala solo (impostazione predefinita) per monitorare i programmi potenzialmente dannosi o i tentativi di accesso non autorizzati. |
||
Accesso a percorsi di cookie dell'utente | Protegge la cartella Internet Explorer cookie in Procedura consigliata: impostare questa regola su Solo segnalazione (predefinita) per monitorare l'accesso ai cookie di Internet Explorer da parte dei programmi contenuti. |
||
Allocazione memoria in un altro processo | Impedisce ai processi contenuti di modificare la memoria in altri processi del sistema. | ✔ | ✔ |
Creazione di thread in un altro processo | Impedisce ai processi contenuti di creare o modificare un thread in altri processi del sistema. |
✔ | ✔ |
Creazione di file in qualsiasi percorso di rete | Impedisce ai processi contenuti di creare file nei percorsi di rete. Il malware può servirsi di questi percorsi per diffondere i file infetti. Procedura consigliata: durante un'epidemia, impostare questa regola su Blocca e segnala per arrestare o rallentare l'infezione. |
||
Creazione di file su unità CD, floppy e rimovibili | Impedisce ai processi contenuti di creare file sui dispositivi mobili. Il malware può servirsi di questi dispositivi per propagarsi.
Procedura consigliata: Durante un'epidemia, impostare questa regola su blocca e segnala per consentire di arrestare o rallentare l'infezione. |
||
Creazione di file con |
Impedisce ai processi contenuti di creare file con Se i file batch vengono utilizzati per scopi amministrativi, l'impostazione di questa regola su blocca potrebbe produrre falsi positivi e influire sulle operazioni di business. Procedura consigliata: Se i file batch non vengono utilizzati per l'amministrazione del sistema, impostare questa regola su blocca e segnala. Questa impostazione impedisce a malware di creare script che i motori di script eseguono in seguito. |
✔ | |
Creazione di file con |
Impedisce ai processi contenuti di creare file con Il tipico "false blocca" che possono verificarsi con questa regola potrebbe includere |
✔ | |
Creazione di file con |
Impedisce ai processi contenuti di creare file con Procedura consigliata: Durante un'epidemia, impostare questa regola su blocca e segnala per consentire di arrestare o rallentare l'infezione. |
||
Creazione di file con |
Impedisce ai processi contenuti di pianificare attività nel sistema. Il malware sfrutta in modo attivo i punti deboli delle attività pianificate per evitare scansioni dei comportamenti. | ✔ | ✔ |
Creazione di file con |
Impedisce ai processi contenuti di creare file con Se Procedura consigliata: Se |
||
Creazione di nuovi |
Impedisce ai processi contenuti di creare Procedura consigliata: durante un'epidemia, impostare questa regola su Blocca e segnala per arrestare o rallentare l'infezione. |
||
Eliminazione di file comunemente presi di mira da malware di classe ransomware | Impedisce ai processi contenuti di eliminare i file comunemente presi di mira dal malware di classe ransomware. Il ransomware talvolta prova a leggere i file in memoria, scrive il contenuto dei file in un nuovo file, ne esegue la crittografia e quindi elimina l'originale. Il malware di classe ransomware in genere non tenta di modificare direttamente i file destinati alla crittografia. Utilizza invece un processo già presente nel sistema, ad esempio |
✔ | ✔ |
Disattivazione di eseguibili critici del sistema operativo | Impedisce ai processi contenuti di disabilitare |
✔ | ✔ |
Esecuzione di qualsiasi processo figlio | Impedisce ai processi contenuti di eseguire qualsiasi processo figlio sul sistema.
Procedura consigliata: Eseguire getclean prima di impostare questa regola su blocca. |
✔ | |
Modifica di voci di registro AppInit DLL | Impedisce ai processi contenuti di aggiungere voci al percorso del registro di I processi in modalità utente nel sistema possono caricare qualsiasi voce nel |
✔ | ✔ |
Modifica di shim di compatibilità delle applicazioni | Impedisce ai processi contenuti di creare shim di compatibilità delle applicazioni. Il malware può utilizzare questa tecnica per ottenere gli stessi diritti del processo di destinazione e inserire il codice shell. | ✔ | ✔ |
Modifica di posizioni del registro e file Windows critici | Impedisce ai processi contenuti di modificare i file critici e le posizioni di registro, ad esempio il file host, Procedura consigliata: Durante un'epidemia, impostare questa regola su blocca e segnala per consentire di arrestare o rallentare l'infezione. |
||
Modifica di impostazioni di sfondo del desktop | Impedisce ai processi contenuti di modificare le impostazioni per lo sfondo del desktop. Il malware può utilizzare questa tecnica per ingannare l'utente, nascondere i file o far credere all'utente che sta facendo clic su qualcos'altro.
Procedura consigliata: Durante un'epidemia, impostare questa regola su blocca e segnala per consentire di arrestare o rallentare l'infezione. |
||
Modifica di associazioni di estensioni di file | Impedisce ai processi contenuti di dirottare le associazioni di estensioni di file. Il malware può utilizzare questa tecnica per indurre l'utente a eseguire tipi di file non noti o a usare programmi non noti per eseguire i file. | ✔ | |
Modifica di file con |
Impedisce ai processi contenuti di modificare i file con l' Procedura consigliata: Durante un'epidemia, impostare questa regola su blocca e segnala per consentire di arrestare o rallentare l'infezione. |
||
Modifica di file con |
Impedisce ai processi contenuti di modificare i file con l' Procedura consigliata: Durante un'epidemia, impostare questa regola su blocca e segnala per consentire di arrestare o rallentare l'infezione. |
||
Modifica di voci di registro di opzioni di esecuzione file immagine | Impedisce ai processi contenuti di modificare le opzioni di esecuzione file immagine nel registro. Il malware può utilizzare questa tecnica per assumere il controllo dell'esecuzione dei processi e impedirla del tutto. | ✔ | ✔ |
Modifica di file eseguibili portabili | Impedisce ai processi contenuti di modificare qualsiasi file eseguibile portatile sul sistema. Gli eseguibili portatili sono file che Windows possono essere eseguiti in |
✔ | |
Modifica di impostazioni di screen saver | Impedisce ai processi contenuti di modificare le impostazioni di screen saver. Il malware può utilizzare questa tecnica per inviare payload dannosi al sistema. | ✔ | ✔ |
Modifica di posizioni del registro di avvio | Impedisce ai processi contenuti di creare o modificare i percorsi di avvio del registro di sistema di Windows. Il malware spesso nasconde i payload, o i proxy dei payload, nei percorsi di avvio del registro di sistema di Windows. | ✔ | ✔ |
Modifica del debugger automatico | Impedisce ai processi contenuti di modificare o aggiungere il debugger automatico, che il malware può utilizzare per assumere il controllo dell'esecuzione dei processi e sottrarre informazioni sensibili. | ||
Modifica del bit di attributo nascosto | Impedisce ai processi contenuti di modificare il bit nascosto nei file del sistema. | ✔ | ✔ |
Modifica del bit di attributo di sola lettura | Impedisce ai processi contenuti di modificare il bit di sola lettura nei file del sistema. | ✔ | ✔ |
Modifica della posizione del registro Servizi | Impedisce ai processi contenuti di modificare il comportamento dei servizi nel sistema. | ✔ | |
Modifica della policy di Windows Firewall | Impedisce ai processi contenuti di modificare le policy Firewall memorizzate nel registro. Il malware può utilizzare Windows Firewall per aprire falle nella sicurezza del sistema. Procedura consigliata: durante un'epidemia, impostare questa regola su Blocca e segnala per arrestare o rallentare l'infezione. |
||
Modifica della cartella Attività di Windows | Impedisce ai processi contenuti di creare o modificare le attività memorizzate nelle cartelle Attività. Il malware può utilizzare queste attività per inviare payload dannosi al sistema.
Procedura consigliata: Durante un'epidemia, impostare questa regola su blocca e segnala per consentire di arrestare o rallentare l'infezione. |
||
Modifica di policy utente | Impedisce ai processi contenuti di modificare direttamente le impostazioni delle policy di gruppo. Il malware può utilizzare questa tecnica per modificare lo stato della sicurezza e aprire vulnerabilità nel sistema. | ✔ | |
Modifica di cartelle di dati di utenti | Impedisce ai processi contenuti di modificare o eseguire file nelle cartelle di dati comuni dell'utente. In comune cartelle di dati includono il desktop, i download, i documenti, le immagini e altri percorsi nella Procedura consigliata: Durante un'epidemia, impostare questa regola su blocca e segnala per consentire di arrestare o rallentare l'infezione. Questa regola può generare falsi positivi, a seconda che il programma contenuto sia o meno realmente dannoso. |
||
Lettura di file comunemente presi di mira da malware di classe ransomware | Impedisce ai processi contenuti di leggere i file comunemente presi di mira dal malware di classe ransomware. Il ransomware talvolta prova a leggere i file in memoria, scrive il contenuto dei file in un nuovo file, ne esegue la crittografia e quindi elimina l'originale. Le malware di classe ransomware in genere non tentano di modificare direttamente i file che vengono utilizzati per la crittografia. Utilizza invece un processo già presente nel sistema, ad esempio |
✔ | |
Lettura dalla memoria di un altro processo | Impedisce ai processi contenuti di leggere la memoria da un altro processo del sistema. Questa regola può aiutare a ostacolare i tentativi di sottrarre le informazioni contenute nei processi presi di mira. | ✔ | |
Lettura o modifica di file in qualsiasi percorso di rete | Impedisce ai processi contenuti di leggere o modificare i file nei percorsi di rete. Il malware può servirsi di questi percorsi per diffondere i file infetti.
Procedura consigliata: Durante un'epidemia, impostare questa regola su blocca e segnala per consentire di arrestare o rallentare l'infezione. |
||
Lettura o modifica di file su unità CD, floppy e rimovibili | Impedisce ai processi contenuti di leggere o modificare il contenuto di dispositivi rimovibili. Il malware può servirsi di questi dispositivi per propagarsi. Procedura consigliata: durante un'epidemia, impostare questa regola su Blocca e segnala per arrestare o rallentare l'infezione. |
||
Sospensione di un processo | Impedisce ai processi contenuti di sospendere altri processi nel sistema. Alcuni tipi di malware provano a sospendere un processo per assumerne il controllo o svuotarlo per scopi malevoli. | ✔ | ✔ |
Interruzione di un altro processo | Impedisce ai processi contenuti di arrestare i processi nel sistema. | ✔ | ✔ |
Scrittura in memoria di un altro processo | Impedisce ai processi contenuti di scrivere nello spazio di memoria di un altro processo del sistema. | ✔ | ✔ |
Scrittura di file comunemente presi di mira da malware di classe ransomware | Impedisce ai processi contenuti di modificare i file comunemente presi di mira dal malware di classe ransomware. Le malware di classe ransomware in genere non tentano di modificare direttamente i file che vengono utilizzati per la crittografia. In alternativa, utilizza un processo già presente nel sistema, ad esempio Explorer .exe o PowerShell. exe, per proxy l'attacco. Dopo un determinato numero di tentativi bloccati, il malware potrebbe rinunciare al tentativo di crittografare il file direttamente. |
✔ |
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessati
Lingue:
Questo articolo è disponibile nelle seguenti lingue: