Confinamento dinâmico de aplicativos regras e práticas recomendadas
Artigos técnicos ID:
KB87843
Última modificação: 2022-09-12 16:54:51 Etc/GMT
Última modificação: 2022-09-12 16:54:51 Etc/GMT
Ambiente
McAfee Endpoint Security (ENS) Proteção adaptável contra ameaças (ATP) 10.x
Resumo
As regras do Confinamento dinâmico de aplicativos (DAC) na McAfee Default política são definidas como relatar somente para reduzir falsos positivos. Proteção adaptável contra ameaças fornece duas outras políticas de aplicativos dinâmicos predefinidas: McAfee Default equilibrado e McAfee Default segurança. Essas políticas definem regras recomendadas para bloquear, com base no perfil de segurança:
O DAC pode excluir processos do confinamento de acordo com o nome, o MD5 hash, os dados de assinatura e o caminho. Se a organização assinar ferramentas que são distribuídas internamente, adicione estas assinaturas como exclusões para reduzir falsos positivos.
Quando no modo de observação, os relatórios de DAC "confinariam" eventos, mas não "bloquearia" eventos. (Um aplicativo deve ser incluído antes que o ENS determine se deve bloqueá-lo.) "Confinaria" eventos indique um possível bloqueio. Para ajustar o DAC corretamente, depois de desativar o modo de observação, modifique as regras de confinamento para relatar, mas não bloquear. Em seguida, defina as regras a serem bloqueadas, conforme necessário, para que correspondam à configuração padrão.
As regras de DAC têm controle de inundação, o que limita o número de eventos gerados a uma vez por hora, por regra e por processo. O controle de inundação do DAC rastreia processos por PID (ID de processo). Quando um processo é reiniciado, o sistema operacional atribui a ele um novo PID, que redefine o controle de inundação, mesmo que o nome do processo seja o mesmo. Por exemplo, se o Processo A violar a regra do DAC A 100 vezes por hora, você receberá um evento por hora. Se o processo A for reiniciado durante essa hora, o controle de inundação será redefinido para o processo A e você receberá outro evento se ele continuar violando A regra de DAC A. Se o processo B violar a mesma regra de DAC A, você receberá um segundo evento (com os detalhes do processo B).
Prática recomendada: Execute a ferramenta McAfee GetClean nas imagens base de distribuição para os sistemas de produção. Essa ferramenta garante que os arquivos limpos sejam enviados para Global Threat Intelligence (GTI) para serem categorizados. A ferramenta também ajuda a certificar-se de que o GTI não fornece um valor de reputação incorreto para os seus arquivos. Para obter mais informações, consulte o Guia de produto do GetClean, disponível no site de downloads de produtos.
- McAfee Default O equilibrado fornece um nível de proteção básico enquanto minimiza falsos positivos para muitos instaladores e aplicativos comuns não assinados.
- McAfee Default A segurança fornece proteção agressiva, mas pode causar falsos positivos com mais frequência em instaladores e aplicativos não assinados.
O DAC pode excluir processos do confinamento de acordo com o nome, o MD5 hash, os dados de assinatura e o caminho. Se a organização assinar ferramentas que são distribuídas internamente, adicione estas assinaturas como exclusões para reduzir falsos positivos.
Quando no modo de observação, os relatórios de DAC "confinariam" eventos, mas não "bloquearia" eventos. (Um aplicativo deve ser incluído antes que o ENS determine se deve bloqueá-lo.) "Confinaria" eventos indique um possível bloqueio. Para ajustar o DAC corretamente, depois de desativar o modo de observação, modifique as regras de confinamento para relatar, mas não bloquear. Em seguida, defina as regras a serem bloqueadas, conforme necessário, para que correspondam à configuração padrão.
Regra de confinamento definida pela McAfee | Descrição | McAfee Default Equilibrado recomendado definido para bloquear | McAfee Default Segurança recomendada definida para bloquear |
Acesso a hashes de LM de senha insegura |
Protege a arquivo do SAM no Prática recomendada: Defina esta regra como somente para relatar (padrão) para monitor de programas potencialmente maliciosos ou tentativas de acesso não autorizadas. |
||
Acesso a locais de cookies do usuário | Protege a pasta Prática recomendada: defina essa regra para relatar somente (padrão) a fim de monitorar o acesso aos cookies do Internet Explorer por programas confinados. |
||
Alocação de memória em outro processo | Impede que processos confinados alterem a memória em outros processos do sistema. | ✔ | ✔ |
Criação de um thread em outro processo | Impede que processos confinados criem ou modifiquem um thread em outros processos no sistema. |
✔ | ✔ |
Criação de arquivos em qualquer local na rede | Impede que processos confinados criem arquivos em locais de rede. O malware pode usar esses locais para espalhar os arquivos infectados. Prática recomendada: durante uma epidemia, defina essa regra para bloquear e relatar, para ajudar a interromper ou desacelerar a infecção. |
||
Criação de arquivos em CDs, disquetes e unidades removíveis | Impede que processos confinados criem arquivos em dispositivos removíveis. O malware pode usar esses dispositivos para se propagar.
Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. |
||
Criação de arquivos com a |
Impede que processos confinados criem qualquer arquivo com a Se os arquivos em lote forem usados para fins administrativos, a definição dessa regra para bloquear pode produzir falsos positivos e impactar as operações de negócios. Prática recomendada: Se os arquivos em lote não forem usados para administrar o sistema, defina essa regra como bloquear e relatar. Essa configuração impede que malware criem scripts que os mecanismos de script executem mais tarde. |
✔ | |
Criação de arquivos com a |
Impede que processos confinados criem qualquer arquivo com a O "falso típico bloqueia" que podem ocorrer com essa regra podem incluir |
✔ | |
Criação de arquivos com a |
Impede que processos confinados criem arquivos com o, Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. |
||
Criação de arquivos com a |
Impede que processos confinados agendem tarefas no sistema. O malware explora ativamente tarefas agendadas para evitar mecanismos de varredura comportamentais. | ✔ | ✔ |
Criação de arquivos com a |
Impede que processos confinados criem arquivos com a Se Prática recomendada: Se |
||
Criação de novos |
Impede que processos confinados criem Prática recomendada: durante uma epidemia, defina essa regra para bloquear e relatar, para ajudar a interromper ou desacelerar a infecção. |
||
Exclusão de arquivos comumente visados por malware da classe ransomware | Impede que processos confinados excluam arquivos comumente visados por malware da classe ransomware. Às vezes, o ransomware tenta ler os arquivos na memória e grava o conteúdo dos arquivos em um novo arquivo, criptografando-o e excluindo o original. O ransomware-malware de classe geralmente não tenta alterar diretamente os arquivos que estão voltados para a criptografia. Em vez disso, ele usa um processo que já está no sistema, como |
✔ | ✔ |
Desativação de executáveis críticos do sistema operacional | Impede que processos confinados desativem |
✔ | ✔ |
Execução de todos os processos filho | Impede que processos confinados executem qualquer processo filho no sistema.
Prática recomendada: Execute GetClean antes de definir esta regra para bloquear. |
✔ | |
Modificação de entradas de Registro de DLL AppInit | Impede que processos confinados adicionem entradas ao local de Os processos do modo de usuário no sistema podem carregar qualquer entrada no |
✔ | ✔ |
Modificação de correções de compatibilidade de aplicativos | Impede que processos confinados criem shims de compatibilidade de aplicativos. O malware pode usar essa técnica para ganhar os mesmos direitos do processo-alvo e injetar o código de shell. | ✔ | ✔ |
Modificação de arquivos críticos do Windows e de locais do Registro | Impede que processos confinados alterem arquivos críticos e locais de registro, como os hosts arquivo, Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. |
||
Modificação de configurações de plano de fundo desktop | Impede que processos confinados alterem as configurações de papel de parede ou plano de fundo da área de trabalho. O malware pode usar essa técnica para enganar o usuário, ocultar arquivos ou fazer com que o usuário ache que está clicando em algo mais.
Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. |
||
Modificação de associações de extensão de arquivos | Impede que processos confinados recapturem arquivo associações de extensão. O malware pode usar essa técnica para levar o usuário a executar tipos de arquivos desconhecidos ou usar programas desconhecidos para executar arquivos. | ✔ | |
Modificação de arquivos com a |
Impede que processos confinados alterem arquivos com a Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. |
||
Modificação de arquivos com a |
Impede que processos confinados alterem arquivos com a Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. |
||
Modificação de entradas de Registro de opções de execução de arquivo de imagem | Impede que processos confinados alterem as Opções de execução de arquivo de imagem no Registro. O malware pode usar essa técnica para sequestrar a execução do processo e interromper totalmente a execução de processos. | ✔ | ✔ |
Modificação de arquivos executáveis portáteis | Impede que processos confinados alterem qualquer arquivo executável portátil no sistema. Os executáveis portáteis são arquivos que Windows podem ser executados de forma nativa, como |
✔ | |
Modificação de configurações da proteção de tela | Impede que processos confinados alterem configurações da proteção de tela. O malware pode usar essa técnica para soltar cargas maliciosas no sistema. | ✔ | ✔ |
Modificação de locais do Registro de inicialização | Impede que processos confinados criem ou alterem os locais de inicialização do Registro do Windows. O malware frequentemente oculta cargas ou proxies para cargas nos locais de inicialização do Registro do Windows. | ✔ | ✔ |
Modificação do depurador automático | Impede que processos confinados alterem ou adicionem o depurador automático, que o malware pode usar para sequestrar a execução do processo e roubar informações confidenciais. | ||
Modificação de bit de atributo oculto | Impede que processos confinados alterem os arquivos de bit ocultos no sistema. | ✔ | ✔ |
Modificação de bit de atributo somente leitura | Impede que processos confinados alterem o bit somente leitura nos arquivos do sistema. | ✔ | ✔ |
Modificação do local do Registro de serviços | Impede que processos confinados alterem o comportamento do serviço no sistema. | ✔ | |
Modificação da política de firewall do Windows | Impede que processos confinados alterem as políticas de Firewall armazenadas no Registro. O malware pode usar o Firewall do Windows para abrir brechas de segurança no sistema. Prática recomendada: durante uma epidemia, defina essa regra para bloquear e relatar, para ajudar a interromper ou desacelerar a infecção. |
||
Modificação da pasta de tarefas do Windows | Impede que processos confinados criem ou alterem tarefas armazenadas nas pastas de tarefas. O malware pode usar tarefas para colocar sua carga no sistema.
Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. |
||
Modificação de políticas de usuário | Impede que processos confinados alterem configurações de política de grupo diretamente. O malware pode usar essa técnica para alterar a postura de segurança e abrir vulnerabilidades no sistema. | ✔ | |
Modificação de pastas de dados de usuários | Impede que processos confinados alterem ou executem arquivos nas pastas de dados comuns do usuário. As pastas de dados do Em Comum incluem área de trabalho, downloads, documentos, imagens e outros locais na Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. Essa regra pode resultar em falsos positivos dependendo fato de o programa confinado ser realmente malicioso ou não. |
||
Leitura de arquivos comumente visados por malware da classe ransomware | Impede que processos confinados leiam arquivos que o malware da classe ransomware geralmente visa. Às vezes, o ransomware tenta ler os arquivos na memória e grava o conteúdo dos arquivos em um novo arquivo, criptografando-o e excluindo o original. A malware de classe ransomware geralmente não tenta alterar diretamente os arquivos para os quais se destina a criptografia. Em vez disso, ele usa um processo que já está no sistema, como |
✔ | |
Leitura a partir de outra memória do processo | Impede que processos confinados leiam a memória de outro processo no sistema. Essa regra pode ajudar a impedir tentativas de roubo de informações contidas nos processos-alvo. | ✔ | |
Leitura ou modificação de arquivos em qualquer local na rede | Impede que processos confinados leiam ou alterem arquivos em locais de rede. O malware pode usar esses locais para espalhar arquivos infectados.
Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. |
||
Leitura ou modificação de arquivos em CDs, disquetes e unidades removíveis | Impede que processos confinados leiam ou alterem o conteúdo de dispositivos removíveis. O malware pode usar esses dispositivos para se propagar. Prática recomendada: durante uma epidemia, defina essa regra para bloquear e relatar, para ajudar a interromper ou desacelerar a infecção. |
||
Suspensão de um processo | Impede que processos confinados suspendam outros processos no sistema. Alguns programas de malware tentam suspender um processo para sequestrá-lo ou vazá-lo para fins maliciosos, o que também é conhecido como vazamento de processo. | ✔ | ✔ |
Término de outro processo | Impede que processos confinados interrompam processos no sistema. | ✔ | ✔ |
Gravação na memória de outro processo | Impede que processos confinados gravem no espaço de memória de outro processo no sistema. | ✔ | ✔ |
Gravação de arquivos comumente visados por malware da classe ransomware | Impede que processos confinados alterem arquivos que o malware da classe ransomware geralmente visa. A malware de classe ransomware geralmente não tenta alterar diretamente os arquivos para os quais se destina a criptografia. Em vez disso, ele usa um processo que já está no sistema, como Explorer .exe ou PowerShell. exe, para proxyr o ataque. Se tentativas suficientes forem bloqueadas, o malware poderá retroceder para tentar criptografar o arquivo diretamente. |
✔ |
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas: