Dynamische Anwendungsbeschränkung in Endpoint Security – Liste der Regeln und bewährte Methoden
Technische Artikel ID:
KB87843
Zuletzt geändert am: 2021-01-27 12:28:00 Etc/GMT
Zuletzt geändert am: 2021-01-27 12:28:00 Etc/GMT
Umgebung
McAfee Endpoint Security (ENS) 10.5.x, 10.2.x
Zusammenfassung
Die in der Richtlinie "McAfee Default" enthaltenen Regeln für die dynamische Anwendungsbeschränkung (Dynamic Application Containment, DAC) sind auf "Nur melden" gesetzt, um die Anzahl von False-Positives niedrig zu halten. Der adaptive Bedrohungsschutz bietet zwei zusätzliche vordefinierte Richtlinien für die dynamische Anwendungsbeschränkung: "McAfee Default – Ausgleich" und "McAfee Default – Sicherheit". Diese Richtlinien setzen bestimmte Regeln ausgehend vom Sicherheitsprofil auf "Blockieren":
Die DAC kann Prozesse anhand des Namen, des MD5-Hashes, der Signaturdaten oder des Pfads ausschließen. Wenn in Ihrem Unternehmen intern bereitgestellte Tools signiert werden, fügen Sie diese Signaturen als Ausschlüsse hinzu, damit sie keine False-Positives auslösen.
DAC-Regeln verfügen über eine Funktion zur Überflutungskontrolle, die die Anzahl der generierten Ereignisse auf einmal pro Stunde, pro Regel und pro Prozess begrenzt. Die DAC-Überflutungskontrolle verfolgt Prozesse anhand der Prozess-ID (PID). Wenn ein Prozess neu gestartet wird, weist das Betriebssystem diesem eine neue PID zu. Damit wird die Überflutungskontrolle zurückgesetzt, obwohl es sich um den gleichen Prozessnamen handelt. Wenn beispielsweise der Prozess A hundert Mal pro Stunde gegen die DAC-Regel A verstößt, empfangen Sie ein Ereignis pro Stunde. Wenn der Prozess A während dieser Stunde neu gestartet wird, wird die Überflutungskontrolle für den Prozess A zurückgesetzt, und Sie empfangen ein weiteres Ereignis, wenn weiterhin gegen die DAC-Regel A verstoßen wird. Wenn der Prozess B gegen die gleiche DAC-Regel A verstößt, erhalten Sie ein zweites Ereignis (mit Details zum Prozess B).
Bewährte Methode: Führen Sie das McAfee GetClean-Tool für die Bereitstellungs-Basis-Images für Ihre Produktionssysteme aus, um sicherzustellen, dass saubere Dateien zur Kategorisierung an Global Threat Intelligence (GTI) gesendet werden. Mit diesem Tool können Sie verhindern, dass GTI falsche Reputationswerte für Ihre Dateien bereitstellt. Weitere Informationen hierzu finden Sie im GetClean Product Guide (Produkthandbuch für GetClean, PD23191).
- McAfee Default "Ausgleich" ist so eingestellt, dass ein grundlegendes Maß an Schutz gegeben ist und bei vielen gängigen nicht signierten Installationsprogrammen und Anwendungen nur eine geringe Anzahl von False-Positives auftritt.
- Im Gegensatz dazu bietet "McAfee Default – Sicherheit" hochgradigen Schutz, erzeugt bei nicht signierten Installationsprogrammen und Anwendungen dafür jedoch auch häufiger False-Positives.
Die DAC kann Prozesse anhand des Namen, des MD5-Hashes, der Signaturdaten oder des Pfads ausschließen. Wenn in Ihrem Unternehmen intern bereitgestellte Tools signiert werden, fügen Sie diese Signaturen als Ausschlüsse hinzu, damit sie keine False-Positives auslösen.
Von McAfee definierte Beschränkungsregel | Beschreibung | In "McAfee Default – Ausgleich" Blockierung empfohlen | In "McAfee Default – Sicherheit" Blockierung empfohlen |
Zugreifen auf unsichere Kennwort-LM-Hashs |
Schützt die SAM-Datei unter %WINDIR%\system32\config. Unter Windows werden in dieser Datei Kennwörter gespeichert. Programme greifen üblicherweise nicht auf diese Datei zu. Bewährte Methode: Setzen Sie diese Regel auf "Nur melden" (Standardeinstellung), um auf potenziell bösartige Programme und nicht autorisierte Zugriffsversuche zu überwachen. |
||
Zugreifen auf die Speicherorte von Benutzer-Cookies | Schützt den Ordner für Internet Explorer-Cookies unter %AppData%\Roaming und %AppData%\Local vor Änderungen. Bewährte Methode: Setzen Sie diese Regel auf "Nur melden" (Standardeinstellung), um den Zugriff eingeschlossener Programme auf Internet Explorer-Cookies zu überwachen. |
||
Belegen von Speicher in einem anderen Prozess | Verhindert, dass eingeschlossene Prozesse den Speicher anderer Prozesse auf dem System ändern. | ✔ | ✔ |
Erstellen eines Threads in einem anderen Prozess | Verhindert, dass eingeschlossene Prozesse einen Thread in anderen Prozessen auf dem System erstellen. |
✔ | ✔ |
Erstellen von Dateien an einem Netzwerkspeicherort | Verhindert, dass eingeschlossene Prozesse Dateien an Netzwerkspeicherorten erstellen. Malware kann diese Speicherorte zur Verbreitung infizierter Dateien verwenden. Bewährte Methode: Setzen Sie diese Regel während eines Ausbruchs auf "Blockieren und melden", um die Infektion zu beenden oder mindestens einzudämmen. |
||
Erstellen von Dateien auf CD-, Disketten- und Wechsellaufwerken | Verhindert, dass eingeschlossene Prozesse Dateien auf Wechsellaufwerken erstellen. Malware kann solche Laufwerke zur Verbreitung verwenden. Bewährte Methode: Setzen Sie diese Regel während eines Ausbruchs auf "Blockieren und melden", um die Infektion zu beenden oder mindestens einzudämmen. |
||
Erstellen von Dateien mit der Erweiterung ".bat" | Verhindert, dass eingeschlossene Prozesse Dateien mit der Erweiterung ".bat" erstellen. Wenn in Ihrem Unternehmen Batch-Dateien für die Systemadministration verwendet werden und Sie diese Regel auf "Blockieren" setzen, kann dies False-Positives verursachen und zudem die Geschäftsabläufe beeinträchtigen. Bewährte Methode: Wenn in Ihrem Unternehmen keine Batch-Dateien für die Systemadministration verwendet werden, sollten Sie diese Regel auf "Blockieren und melden" setzen, um zu verhindern, dass Malware Skripts erstellt, die später von Skript-Modulen ausgeführt werden. |
✔ | |
Erstellen von Dateien mit der Erweiterung ".exe" | Verhindert, dass eingeschlossene Prozesse Dateien mit der Erweiterung ".exe" erstellen. Diese Regel verhindert, dass Malware auf dem System ausführbare Dateien erstellt. Die typischen "falschen Blockierungen", zu denen es aufgrund dieser Regel kommen kann, können WinZip (wenn Benutzer WinZip regelmäßig aktualisieren) sowie einige Installations- und Deinstallationsprogramme betreffen. Führen Sie GetClean aus, bevor Sie die Blockierung aktivieren. Sie können diese Regel mithilfe von globalen DAC-Ausschlüssen weiter anpassen. |
✔ | |
Erstellen von Dateien mit der Erweiterung ".html", ".jpg" oder ".bmp" | Verhindert, dass eingeschlossene Prozesse Dateien mit der Erweiterung ".html", ".jpg" oder ".bmp" erstellen. Malware missbraucht diese Erweiterungen gelegentlich, um Benutzer dazu zu verleiten, die Nutzlast auszuführen. Bewährte Methode: Setzen Sie diese Regel während eines Ausbruchs auf "Blockieren und melden", um die Infektion zu beenden oder mindestens einzudämmen. |
||
Erstellen von Dateien mit der Erweiterung ".job" | Verhindert, dass eingeschlossene Prozesse Tasks auf dem System planen. Geplante Tasks werden von Malware aktiv zur Umgehung von Verhaltens-Scannern missbraucht. | ✔ | ✔ |
Erstellen von Dateien mit der Erweiterung ".vbs" | Verhindert, dass eingeschlossene Prozesse Dateien mit der Erweiterung ".vbs" erstellen. Wenn in Ihrem Unternehmen VBS-Dateien für die Systemadministration verwendet werden und Sie diese Regel auf "Blockieren" setzen, kann dies False-Positives verursachen und zudem die Geschäftsabläufe beeinträchtigen. Bewährte Methode: Wenn in Ihrem Unternehmen keine VBS-Dateien für die Systemadministration verwendet werden, sollten Sie diese Regel auf "Blockieren und melden" setzen, um zu verhindern, dass Malware Skripts erstellt, die später von Skript-Modulen ausgeführt werden. |
||
Erstellen neuer CLSIDs, APPIDs und TYPELIBs | Verhindert, dass eingeschlossene Prozesse Klassen-IDs, App-IDs oder TypeLIBs erstellen. Diese Registrierungsverzeichnisse können dazu verwendet werden, neue Dateitypen zu registrieren und Malware Zugang zum System zu ermöglichen. Bewährte Methode: Setzen Sie diese Regel während eines Ausbruchs auf "Blockieren und melden", um die Infektion zu beenden oder mindestens einzudämmen. |
||
Löschen von Dateien, die häufig von Malware des Typs Ransomware angegriffen werden | Verhindert, dass eingeschlossene Prozesse Dateien löschen, die häufig durch Malware des Typs Ransomware angegriffen werden. Ransomware versucht gelegentlich, Dateien in den Speicher zu lesen, die Dateiinhalte in eine neue Datei zu schreiben, diese zu verschlüsseln und dann das Original zu löschen. Malware des Typs Ransomware versucht normalerweise nicht, die Dateien, die in bösartiger Absicht verschlüsselt werden sollen, direkt zu ändern, sondern verwendet einen bereits auf dem System vorhandenen Prozess wie "explorer.exe" oder "powershell.exe" als Proxy zur Ausführung des Angriffs. Wenn eine bestimmte Anzahl von Versuchen blockiert wurde, versucht die Malware möglicherweise, die Datei direkt zu verschlüsseln. |
✔ | ✔ |
Deaktivieren systemwichtiger ausführbarer Betriebssystemdateien | Verhindert, dass eingeschlossene Prozesse den Registrierungs-Editor oder Task-Manager deaktivieren und damit den Zugriff des Administrators auf diese Tools verhindern. | ✔ | ✔ |
Ausführen eines untergeordneten Prozesses | Verhindert, dass eingeschlossene Prozesse untergeordnete Prozesse auf dem System ausführen. Bewährte Methode: Führen Sie erst GetClean aus, bevor Sie diese Regel auf "Blockieren" setzen. |
✔ | |
Ändern von AppInit DLL-Registrierungseinträgen | Verhindert, dass eingeschlossene Prozesse dem Registrierungsverzeichnis "AppInit" Einträge hinzufügen. Benutzermodusprozesse auf dem System können alle Einträge im Registrierungsverzeichnis "AppInit" laden. Malware kann diese Prozesse daher als Angriffsvektor zur Einschleusung ihrer Nutzlast verwenden. |
✔ | ✔ |
Ändern von Anwendungskompatibilitäts-Shims | Verhindert, dass eingeschlossene Prozesse Anwendungskompatibilitäts-Shims erstellen. Malware kann diese Methode verwenden, um sich die gleichen Rechte wie der Zielprozess zu verschaffen und Shell-Code einzuschleusen. | ✔ | ✔ |
Ändern systemwichtiger Windows-Dateien und -Registrierungsverzeichnisse | Verhindert, dass eingeschlossene Prozesse systemwichtige Dateien und Registrierungsverzeichnisse wie die Datei "hosts", das Registrierungsverzeichnis "WINLOGON", das Registrierungsverzeichnis "Session Manager" usw. ändern. Bewährte Methode: Setzen Sie diese Regel während eines Ausbruchs auf "Blockieren und melden", um die Infektion zu beenden oder mindestens einzudämmen. |
||
Ändern von Desktop-Hintergrundeinstellungen | Verhindert, dass eingeschlossene Prozesse die Einstellungen für den Desktop-Hintergrund bzw. das Desktop-Hintergrundbild ändern. Malware kann diese Methode verwenden, um den Benutzer zu täuschen, Dateien zu verbergen oder dem Benutzer vorzuspiegeln, dass er auf etwas Anderes klickt. Bewährte Methode: Setzen Sie diese Regel während eines Ausbruchs auf "Blockieren und melden", um die Infektion zu beenden oder mindestens einzudämmen. |
||
Ändern von Dateierweiterungszuordnungen | Verhindert, dass eingeschlossene Prozesse Dateierweiterungszuordnungen missbrauchen. Malware kann diese Methode verwenden, um Benutzer dazu zu verleiten, unbekannte Dateitypen auszuführen oder unbekannte Programme zum Ausführen von Dateien zu verwenden. | ✔ | |
Ändern von Dateien mit der Erweiterung ".bat" | Verhindert, dass eingeschlossene Prozesse Dateien mit der Erweiterung ".bat" ändern. Verwenden Sie diese Regel, um eine Infektion von Skriptdateien im Betriebssystem durch Malware zu verhindern. Bewährte Methode: Setzen Sie diese Regel während eines Ausbruchs auf "Blockieren und melden", um die Infektion zu beenden oder mindestens einzudämmen. |
||
Ändern von Dateien mit der Erweiterung ".vbs" | Verhindert, dass eingeschlossene Prozesse Dateien mit der Erweiterung ".vbs" ändern. Verwenden Sie diese Regel, um eine Infektion von Skriptdateien im Betriebssystem durch Malware zu verhindern. Bewährte Methode: Setzen Sie diese Regel während eines Ausbruchs auf "Blockieren und melden", um die Infektion zu beenden oder mindestens einzudämmen. |
||
Ändern von Registrierungseinträgen für die Ausführungsoptionen von Image-Dateien | Verhindert, dass eingeschlossene Prozesse Ausführungsoptionen für Image-Dateien in der Registrierung ändern. Malware kann diese Methode verwenden, um die Prozessausführung zu missbrauchen und die Ausführung von Prozessen zu beenden. | ✔ | ✔ |
Ändern portierbarer ausführbarer Dateien | Verhindert, dass eingeschlossene Prozesse portierbare ausführbare Dateien auf dem System ändern. Portierbare ausführbare Dateien sind Dateien, die unter Windows nativ ausgeführt werden können, z. B. ".exe", ".dll" und ".sys". | ✔ | |
Ändern von Bildschirmschonereinstellungen | Verhindert, dass eingeschlossene Prozesse die Bildschirmschonereinstellungen ändern. Malware kann diese Methode verwenden, um bösartige Nutzlasten in das System einzuschleusen. | ✔ | ✔ |
Ändern von Start-Registrierungsverzeichnissen | Verhindert, dass eingeschlossene Prozesse Start-Registrierungsverzeichnisse in der Windows-Registrierung erstellen oder ändern. Malware schleust häufig Nutzlasten oder Proxys für Nutzlasten in die Start-Registrierungsverzeichnisse der Windows-Registrierung ein, ohne dass der Benutzer diese bemerkt. | ✔ | ✔ |
Ändern des automatischen Debuggers | Verhindert, dass eingeschlossene Prozesse den automatischen Debugger ändern oder hinzufügen. Dieser kann von Malware dazu verwendet werden, die Prozessausführung zu missbrauchen und vertrauliche Informationen zu stehlen. | ||
Ändern des Bits für das Attribut "Ausgeblendet" | Verhindert, dass eingeschlossene Prozesse das Bit für das Attribut "Ausgeblendet" in Dateien auf dem System ändern. | ✔ | ✔ |
Ändern des Bits für das Attribut "Schreibgeschützt" | Verhindert, dass eingeschlossene Prozesse das Bit für das Attribut "Schreibgeschützt" in Dateien auf dem System ändern. | ✔ | ✔ |
Ändern des Registrierungsverzeichnisses "Services" | Verhindert, dass eingeschlossene Prozesse das Verhalten von Diensten auf dem System ändern. | ✔ | |
Ändern der Windows-Firewall-Richtlinie | Verhindert, dass eingeschlossene Prozesse die in der Registrierung gespeicherten Firewall-Richtlinien ändern. Malware kann über die Windows-Firewall Sicherheitsschwachstellen auf dem System erzeugen. Bewährte Methode: Setzen Sie diese Regel während eines Ausbruchs auf "Blockieren und melden", um die Infektion zu beenden oder mindestens einzudämmen. |
||
Ändern des Windows-Ordners "Tasks" | Verhindert, dass eingeschlossene Prozesse im Ordner "Tasks" Prozesse erstellen oder die in diesem Ordner gespeicherten Prozesse ändern. Malware kann Tasks dazu verwenden, ihre Nutzlast in das System einzuschleusen. Bewährte Methode: Setzen Sie diese Regel während eines Ausbruchs auf "Blockieren und melden", um die Infektion zu beenden oder mindestens einzudämmen. |
||
Ändern von Benutzerrichtlinien | Verhindert, dass eingeschlossene Prozesse die Gruppenrichtlinieneinstellungen direkt ändern können. Malware kann diese Methode verwenden, um die Sicherheitsaufstellung zu ändern und damit Schwachstellen im System zu erzeugen. | ✔ | |
Ändern der Datenordner von Benutzern | Verhindert, dass eingeschlossene Prozesse Dateien in den häufig genutzten Datenordnern des Benutzers ändern oder ausführen. Zu den häufig genutzten Datenordnern zählen die Ordner "Desktop", "Downloads", "Dokumente", "Bilder" und weitere Verzeichnisse im Ordner "AppData", auf die Angriffe durch Malware des Typs Ransomware abzielen. Bewährte Methode: Setzen Sie diese Regel während eines Ausbruchs auf "Blockieren und melden", um die Infektion zu beenden oder mindestens einzudämmen. Diese Regel kann zu False-Positives führen, je nachdem, ob das eingeschlossene Programm tatsächlich bösartig ist oder nicht. |
||
Lesen von Dateien, die häufig von Malware des Typs Ransomware angegriffen werden | Verhindert, dass eingeschlossene Prozesse Dateien lesen, die häufig von Malware des Typs Ransomware angegriffen werden. Ransomware versucht gelegentlich, Dateien in den Speicher zu lesen, die Dateiinhalte in eine neue Datei zu schreiben, diese zu verschlüsseln und dann das Original zu löschen. Malware des Typs Ransomware versucht normalerweise nicht, die Dateien, die in bösartiger Absicht verschlüsselt werden sollen, direkt zu ändern, sondern verwendet einen bereits auf dem System vorhandenen Prozess wie "explorer.exe" oder "powershell.exe" als Proxy zur Ausführung des Angriffs. Wenn eine bestimmte Anzahl von Versuchen blockiert wurde, versucht die Malware möglicherweise, die Datei direkt zu verschlüsseln. |
✔ | |
Lesen aus dem Speicher eines anderen Prozesses | Verhindert, dass eingeschlossene Prozesse den Speicher eines anderen Prozesses auf dem System lesen. Mit dieser Regel können Versuche, die in angegriffenen Prozessen enthaltenen Informationen zu stehlen, abgewehrt werden. | ✔ | |
Lesen oder Ändern von Dateien an einem Netzwerkspeicherort | Verhindert, dass eingeschlossene Prozesse Dateien in Netzwerkspeicherorten lesen oder ändern. Malware kann diese Speicherorte zur Verbreitung infizierter Dateien verwenden. Bewährte Methode: Setzen Sie diese Regel während eines Ausbruchs auf "Blockieren und melden", um die Infektion zu beenden oder mindestens einzudämmen. |
||
Lesen oder Ändern von Dateien auf CD-, Disketten- und Wechsellaufwerken | Verhindert, dass eingeschlossene Prozesse die Inhalte von Wechsellaufwerken lesen oder ändern. Malware kann solche Laufwerke zur Verbreitung verwenden. Bewährte Methode: Setzen Sie diese Regel während eines Ausbruchs auf "Blockieren und melden", um die Infektion zu beenden oder mindestens einzudämmen. |
||
Anhalten eines Prozesses | Verhindert, dass eingeschlossene Prozesse andere Prozesse auf dem System anhalten. Einige Arten von Malware versuchen, Prozesse anzuhalten, um sie zu missbrauchen oder für bösartige Zwecke "auszuhöhlen" (dabei wird der ursprüngliche Code des Prozesses entfernt und durch schädlichen Code ersetzt, auch als "Process Hollowing" bezeichnet). | ✔ | ✔ |
Beenden eines anderen Prozesses | Verhindert, dass eingeschlossene Prozesse andere Prozesse auf dem System beenden. | ✔ | ✔ |
Schreiben in den Speicher eines anderen Prozesses | Verhindert, dass eingeschlossene Prozesse in den Speicher eines anderen Prozesses auf dem System schreiben. | ✔ | ✔ |
Schreiben in Dateien, die häufig von Malware des Typs Ransomware angegriffen werden | Verhindert, dass eingeschlossene Prozesse Dateien ändern, die häufig von Malware des Typs Ransomware angegriffen werden. Malware des Typs Ransomware versucht normalerweise nicht, die Dateien, die in bösartiger Absicht verschlüsselt werden sollen, direkt zu ändern, sondern verwendet einen bereits auf dem System vorhandenen Prozess wie "explorer.exe" oder "powershell.exe" als Proxy zur Ausführung des Angriffs. Wenn eine bestimmte Anzahl von Versuchen blockiert wurde, versucht die Malware möglicherweise, die Datei direkt zu verschlüsseln. |
✔ |
Haftungsausschluss
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.
Betroffene Produkte
Sprachen:
Dieser Artikel ist in folgenden Sprachen verfügbar: