- Phishing : questa tecnica utilizza spam, Instant Messaging o testo per ingannare le persone nella divulgazione di informazioni personali. Ad esempio, numeri di carte di credito, informazioni sul conto bancario, numeri di previdenza sociale, password o altre informazioni riservate. I truffatori Internet utilizzano email esca per "phishing" per le password e i dati finanziari degli utenti di Internet. Esempi: Google le campagne di phishing doc e DocuSign, il phishing Spear, la voce e il phishing SMS e le campagne di phishing ransomware.
- Spam : messaggio elettronico indesiderato, email di massa più comunemente non richiesto. In genere, spam viene inviato a più destinatari che non hanno richiesto di riceverlo. I tipi includono email spam, spam di messaggistica immediata, spam del motore di ricerca Web, spam nei Blog e spam di messaggistica cellulare. Lo spam comprende pubblicità legittima, pubblicità ingannevole, tentativi di estorsione e messaggi di phishing creati per ingannare i destinatari nell'abbandonare le informazioni personali e finanziarie. Esempi: campagne ransomware spam, un meccanismo di recapito exploit MIME e JS\Nemucod.
- Link fasulli/malevoli -email malevole che contengono link a malware download o a un sito Web che simula il sito di un'azienda reale. Le email si rivolgono principalmente a siti finanziari, per sottrarre informazioni private (password, numeri di conto e numeri di previdenza sociale). Esempi: siti Web contraffatti e Downloader.
- Allegati malevoli : allegati dannosi inviati elettronicamente, generalmente da una fonte sconosciuta. Esempi: exploit e download di DOC, PDF, JS, EXE e XLS.
- Spoofing -creazione di email inviate per ingannare il destinatario, consegnando email da un indirizzo email falsificato/falso. Esempi: tutti email vettori.
Contromisure per le minacce vettoriali di ingresso
Articoli tecnici ID:
KB91836
Ultima modifica: 2023-02-27 20:53:45 Etc/GMT
Ultima modifica: 2023-02-27 20:53:45 Etc/GMT
Ambiente
Endpoint Security (ENS) 10.7 , 10.6
Host Intrusion Prevention (host IPS) 8.0
Sicurezza per Microsoft Exchange (MSME) 8.x
VirusScan Enterprise (VSE) 8.8
Host Intrusion Prevention (host IPS) 8.0
Sicurezza per Microsoft Exchange (MSME) 8.x
VirusScan Enterprise (VSE) 8.8
Riepilogo
I prodotti Endpoint Protection offrono una serie di funzioni che è possibile utilizzare per arrestare malware. Le funzionalità smettono di malware in base alle caratteristiche comportamentali, piuttosto che affidarsi esclusivamente ai dat. Downloader, contagocce e phishing sono in genere la prima fase di altri malware. La prevenzione delle minacce vettoriali all'ingresso, a sua volta, impedisce la seconda fase e oltre le minacce di entrare nel vostro ambiente.
Nota: Prima di implementare le raccomandazioni riportate di seguito, è necessario verificare accuratamente le regole. Test accurati garantiscono l'integrità della regola. Garantisce inoltre che nessuna applicazione legittima, internamente sviluppata o in altro modo, sia considerata dannosa e impedita di funzionare nell'ambiente di produzione. Le regole consigliate possono essere impostate in modalità solo rapporto a scopo di test per verificare se causano conflitti nell'ambiente. Dopo aver stabilito che le regole non bloccano alcuna attività da applicazioni legittime, è possibile impostare le regole per bloccare e applicare queste impostazioni a tutti i sistemi rilevanti.
Soluzione
Di seguito sono riportati i vettori di ingresso comuni. Fare clic sulle frecce per espandere la sezione che si desidera visualizzare:
Di seguito sono riportate le contromisure. Fare clic per passare alla sezione che si desidera visualizzare:
Protezione adattiva dalle minacce ENS (ATP)
Attivare o disattivare le impostazioni per le regole riportate di seguito all'interno delle impostazioni del server di ePolicy Orchestrator (ePO) in Protezione adattiva dalle minacce. Sono disponibili tre diverse configurazioni: produttività, bilanciamento e sicurezza. Le modifiche apportate all'interno delle impostazioni del server si applicano alle assegnazioni dei gruppi di regole nelle opzioni di ATP policy.
Torna all'inizio
Contenimento dinamico delle applicazioni ENS (DAC)
Il DAC viene attivato solo se la reputazione del processo soddisfa i criteri di reputazione definiti nelle opzioni di ATP policy. Quando un processo è contenuto da DAC, è soggetto al monitoraggio post esecuzione e a tutte le regole attivate nella policy DAC.
Torna all'inizio
Interfaccia di scansione ENS prevenzione delle minacce antimalware (AMSI)
Attiva integrazione con AMSI. AMSI fornisce una scansione script avanzata. AMSI è uno standard di interfaccia generico che consente ad applicazioni e servizi di integrarsi con Prevenzione delle minacce per offrire una protezione superiore contro il malware. Microsoft fornisce AMSI. AMSI è supportato sui sistemi Windows 10 e Windows Server 2016 (e versioni successive). Utilizzare AMSI per migliorare la scansione delle minacce negli script non basati su browser, ad esempio PowerShell,WScript e CScript .
Torna all'inizio
Prevenzione exploit di ENS
Tutte le firme di seguito sono disattivate per impostazione predefinita.
Regole degli esperti per la prevenzione exploit di ENS
Di seguito è riportata una regola avanzata a livello di esperti per la prevenzione exploit ID 6107 "MS Word cercando di eseguire programmi indesiderati" con una protezione aggiuntiva per le minacce che eseguono altri programmi.
Se si implementa questa regola di esperti, disattivare la firma di prevenzione exploit 6107.
Rule Name: "Prevent MS Office from executing unwanted programs (enhanced)"
Rule {
Process {
Include OBJECT_NAME { -v excel.exe }
Include OBJECT_NAME { -v powerpnt.exe }
Include OBJECT_NAME { -v winword.exe }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v ** }
Exclude OBJECT_NAME { -v "excel.exe" }
Exclude OBJECT_NAME { -v "powerpnt.exe" }
Exclude OBJECT_NAME { -v "winword.exe" }
Exclude OBJECT_NAME { -v "splwow64.exe" }
Include -access "CREATE"
}
Match PROCESS {
Include OBJECT_NAME { -v ** }
Exclude OBJECT_NAME { -v "excel.exe" }
Exclude OBJECT_NAME { -v "powerpnt.exe" }
Exclude OBJECT_NAME { -v "winword.exe" }
Exclude OBJECT_NAME { -v "splwow64.exe" }
#PROCESS_VM_WRITE
Include -nt_access "!0x0020"
}
}
}
Torna all'inizio
Regole predefinite per la protezione dell'accesso ENS
Tutte le regole di seguito sono disattivate per impostazione predefinita.
Regole personalizzate per la protezione dell'accesso ENS
Di seguito sono riportati i dettagli di quattro regole personalizzate.
Rule1 personalizzati:
Executable1:
inclusione: Includi
Nome file o percorso:winword.exe
Executable2:
inclusione: Includi
Nome file o percorso:excel.exe
Executable3:
inclusione: Includi
Nome file o percorso:eqnedt32.exe
SubRule1:
SubRule tipo: file
Operazioni: Eseguire
Target1:
inclusione: Includi
File, nome cartella o percorso file:cmd.exe
SubRule2:
SubRule tipo: file
Operazioni: Eseguire
Target2:
inclusione: Includi
File, nome cartella o percorso file:mshta.exe
SubRule3:
SubRule tipo: file
Operazioni: Eseguire
Target3:
inclusione: Includi
File, nome cartella o percorso file:powershell.exe
Rule2 personalizzati:
Executable1:
inclusione: Includi
Nome file o percorso:powershell.exe
Executable2:
inclusione: Includi
Nome file o percorso:cmd.exe
SubRule1:
SubRule tipo: file
Operazioni: Eseguire
Target1:
inclusione: Includi
File, nome cartella o percorso file:SchTasks.exe
Rule3 personalizzati:
Executable1:
inclusione: Includi
Nome o percorso file:?script.exe
SubRule1:
SubRule tipo: file
Operazioni: Eseguire
Target1:
inclusione: Includi
File, nome cartella o percorso file:powershell.exe
Nota: è possibile modificare facoltativamente Rule3 personalizzati per aggiungere vbs, dll, bat, js, PS1, SCT e doc. I seguenti percorsi di destinazione sono per un approccio leggermente aggressivo:
Rule4 personalizzati:
Executable1:
inclusione: Includi
Nome file o percorso:winword.exe (un approccio più aggressivo consiste nell'utilizzare * come singolo eseguibile, rendendo inutili gli eseguibili 2 – 4).
Executable2:
inclusione: Includi
Nome file o percorso:excel.exe
Executable3:
inclusione: Includi
Nome file o percorso:?script.exe
Executable4:
inclusione: Includi
Nome file o percorso:powershell.exe
SubRule1:
SubRule tipo: file
Operazioni: Crea ed Esegui
Target1:
inclusione: Includi
File, nome cartella o percorso file:?:\users\*\*.exe
Nota: la regola di esempio descrive l'approccio più aggressivo.
Regola personalizzata 5: Impedisci l'esecuzione dipowershell.exe da
wmiprvse.exe
Nota: questa regola impedisce l'esecuzione di ePO Mer. È necessario disattivare questa regola nel sistema di destinazione quando si tenta di eseguire ePO MER.
Executable1:
inclusione: Includi
Nome o percorso file:wmiprvse.exe
SubRule1:
SubRule tipo: file
Operazioni: Eseguire
Target1:
inclusione: Includi
File, nome cartella o percorso file:powershell.exe
Torna all'inizio
Regole firewall ENS
Di seguito sono riportati i dettagli delle regole del firewall.
Nota: Ilexcel.exe processo è stato anche aggiunto, ma non può essere visualizzato senza scorrere verso il basso.
È inoltre necessario creare elenchi consentiti appropriati in base al traffico legittimo generato da queste applicazioni. Ad esempio, se si utilizza Office 365 e si impedisce ai computer della rete di connettersi a Internet, includere gli endpoint negli elenchi consentiti in uscita. L'inclusione negli elenchi Consenti in uscita garantisce che i computer siano in grado di utilizzare correttamente Office 365. Gli endpoint sono nomi di dominio completi, porte, URL, intervalli di indirizzi IPv4 e intervalli di indirizzi IPv6. Sono descritte in questo articolo sugli URL di Office 365 e sugli intervalli di indirizzi IP.
Torna all'inizio
Regole predefinite di protezione dell'accesso di VSE
Tutte le regole riportate di seguito sono disattivate o impostate su segnala solo per impostazione predefinita.
Regole personalizzate
per la protezione dell'accesso di VSE Di seguito sono riportati i dettagli di sei regole personalizzate.
Tipo di regola: Regola di blocco di file/cartelle
Processo da includere:winword.exe , excel.exe ,
eqnedt32.exe
Nome file o cartella da bloccare:cmd.exe
azioni file da impedire: esecuzione
Tipo di regola: Regola di blocco di file/cartelle
Processo da includere:winword.exe , excel.exe ,
eqnedt32.exe
Nome file o cartella da bloccare:mshta.exe
azioni file da impedire: esecuzione
Tipo di regola: Regola di blocco di file/cartelle
Processo da includere:winword.exe , excel.exe ,
eqnedt32.exe
Nome file o cartella da bloccare:powershell.exe
azioni file da impedire: esecuzione
Tipo di regola: Regola di blocco di file/cartelle
Processo da includere:powershell.exe ,
cmd.exe
Nome file o cartella da bloccare:SchTasks.exe
azioni file da impedire: esecuzione
Tipo di regola: Regola di blocco di file/cartelle
Processo per includere:?script.exe
nome del file o della cartella da bloccare:powershell.exe
azioni file da impedire: esecuzione
Tipo di regola: Regola di blocco di file/cartelle
Processo da includere:winword.exe , excel.exe ?script.exe ,, powershell.exe (un approccio più aggressivo consiste nell'utilizzare *.)
Nome file o cartella da bloccare: *\users\*\*.exe
azioni file da impedire: creazione ed esecuzione
Nota: è possibile modificare facoltativamente le regole personalizzate per aggiungere vbs, dll, bat, js, PS1, SCT e doc. I seguenti percorsi di destinazione sono per un approccio leggermente aggressivo:
Processo per includere:wmiprvse.exe
nome del file o della cartella da bloccare:powershell.exe
azioni file da impedire: esecuzione
Nota: questa regola impedisce l'esecuzione di ePO Mer. È necessario disattivare questa regola nel sistema di destinazione quando si tenta di eseguire ePO MER.
Torna all'inizio
Firme host IPS
Per impostazione predefinita, tutte le firme riportate di seguito sono disattivate o impostate su una gravità che non blocca. Potrebbe essere necessario sintonizzare la gravità della firma o la policy di protezione IPS appropriata.
MSME antispam e policy di scansione all'accesso
Utilizzare le seguenti policy antispam e scansione all'accesso.
Torna all'inizio
Ulteriori suggerimenti per l'utente
- Exploit del browser -codice malware che sfrutta un difetto o una vulnerabilità attraverso il browser Web della vittima, per eseguire una qualche forma di intento doloso. Esempi: Chrome Zero-Day, jailbreak nelle iOS di Apple, download drive-by, kit exploit e iniezioni I-frame.
- Reindirizzamento browser/DNS : metodo utilizzato per indirizzare qualcuno o qualcosa in un luogo diverso da quello previsto. I criminali informatici possono indirizzare il traffico di un sito Web legittimo su un sito contraffatto Esempi: JS\Redirectors, DNS\Changer e hijacker del browser.
- Siti Web che ospitano malware : siti Web dannosi che tentano di installare malware o altri programmi indesiderati nel sistema. Questi siti Web sono considerati pericolosi perché exploit vulnerabilità del browser o inviano spyware e altri software indesiderati agli utenti. Esempi:
Malvertising , botnet reti eBlacole . - Accesso diretto, dispositivi infetti per supporti rimovibili -malware che ha efficacemente utilizzato supporti rimovibili per eliminare il divario fisico tra Internet e le reti interne. Esempi:
Stuxnet , BadUSB e autoruns.
- Social Engineering -l'atto di manipolare le persone per eseguire azioni o divulgare informazioni riservate. Si basa sulle interazioni umane, come cercare di ottenere la fiducia di qualcuno attraverso inganno o inganno per raccogliere informazioni, frodi o accedere a sistemi di computer. Può assumere molte forme, sia online che offline. Le tecniche di social engineering, comunemente trasversali in altri vettori come il phishing (email), i reindirizzamenti (Web) e
vishing (telefono/altro). Esempi: phishing Spear,quid pro quo e pretexting. - Rogue hacking : una persona o un gruppo provocatorio che utilizza i computer per ottenere l'accesso non autorizzato ai dati o alle reti per commettere atti illegali. Rogue hacking comprende la maggior parte dei vettori per hacktivism, notorietà o guadagno finanziario.
- Protezione adattiva dalle minacce ENS (ATP)
- Contenimento dinamico delle applicazioni ENS (DAC)
- Interfaccia di scansione ENS Prevenzione delle minacce antimalware (AMSI)
- Prevenzione exploit di ENS
- Regole degli esperti per la prevenzione exploit di ENS
- Regole predefinite per la protezione dell'accesso ENS
- Regole personalizzate per la protezione dell'accesso ENS
- Regole firewall ENS
- Regole predefinite di protezione dell'accesso di VSE
- Regole personalizzate per la protezione dell'accesso di VSE
- Firme host IPS
- MSME antispam e policy di scansione all'accesso
- Ulteriori suggerimenti per l'utente
Protezione adattiva dalle minacce ENS (ATP)
Attivare o disattivare le impostazioni per le regole riportate di seguito all'interno delle impostazioni del server di ePolicy Orchestrator (ePO) in Protezione adattiva dalle minacce. Sono disponibili tre diverse configurazioni: produttività, bilanciamento e sicurezza. Le modifiche apportate all'interno delle impostazioni del server si applicano alle assegnazioni dei gruppi di regole nelle opzioni di ATP policy.
Nome regola | Numero ID regola | Stato predefinito |
Usa reputazione file Enteprise per identificare i file affidabili o dannosi | ID regola 2 | Attivata per impostazione predefinita |
Usa reputazione file GTI per identificare i file affidabili o dannosi | ID regola 4 | Attivata per impostazione predefinita |
Identifica file sospetti eseguiti dalla cartella di roaming | ID regola 208 | Attivata per impostazione predefinita |
Identifica esecuzione sospetta di parametri comando | ID regola 239 | Attivata per impostazione predefinita |
Impedisci alle applicazioni di Office di avviare processi figlio che possono eseguire comandi script | ID regola 300 | Attivata per impostazione predefinita |
Blocca in modo aggressivo i processi con reputazioni sconosciute generati da applicazioni Office | ID regola 301 | Osserva per impostazione predefinita |
Identifica i payload sospetti che mirano a servizi o applicazioni correlati alla rete | ID regola 307 | Osserva per impostazione predefinita |
Blocca i processi che tentano di iniziare dalle applicazioni di Office | ID regola 309 | Attivata solo in Policy di sicurezza elevate |
Impedisci |
ID regola 322 | Attivata per impostazione predefinita |
Torna all'inizio
Contenimento dinamico delle applicazioni ENS (DAC)
Il DAC viene attivato solo se la reputazione del processo soddisfa i criteri di reputazione definiti nelle opzioni di ATP policy. Quando un processo è contenuto da DAC, è soggetto al monitoraggio post esecuzione e a tutte le regole attivate nella policy DAC.
- Regola: allocare memoria in un altro processo
- Regola: creazione di un thread in un altro processo
- Regola: creazione di file con .bat estensione
- Regola: creazione di file con
.exe estensione - Regola: creazione di file con
.job estensione - Regola: creazione di file con
.vbs estensione - Regola: eliminazione di file comunemente presi di mira da ransomware di classe malware
- Regola: esecuzione di qualsiasi processo figlio
- Regola: modifica di file eseguibili portatili
- Regola: modifica del bit di attributo nascosto
- Regola: modifica del percorso del registro dei servizi
- Regola: modifica delle policy utente
- Regola: modifica delle posizioni del registro di avvio
- Regola: lettura dalla memoria di un altro processo
- Regola: sospensione di un processo
- Regola: interruzione di un altro processo
- Regola: scrittura in memoria di un altro processo
- Regola: scrittura nei file comunemente presi di mira da malware di classe ransomware
Torna all'inizio
Interfaccia di scansione ENS prevenzione delle minacce antimalware (AMSI)
Attiva integrazione con AMSI. AMSI fornisce una scansione script avanzata. AMSI è uno standard di interfaccia generico che consente ad applicazioni e servizi di integrarsi con Prevenzione delle minacce per offrire una protezione superiore contro il malware. Microsoft fornisce AMSI. AMSI è supportato sui sistemi Windows 10 e Windows Server 2016 (e versioni successive). Utilizzare AMSI per migliorare la scansione delle minacce negli script non basati su browser, ad esempio PowerShell,
Torna all'inizio
Prevenzione exploit di ENS
Tutte le firme di seguito sono disattivate per impostazione predefinita.
- 344: nuova creazione del programma di avvio
- 2844: Microsoft Word vulnerabilità di overflow del buffer del modulo convertitore WordPerfect5
- 6073: esclusione Policy di esecuzione in PowerShell
- 6075: esecuzione remota script per Core Utility Windows
- 6087: restrizione comando di PowerShell-EncodedCommand
- 6105: Windows restrizione comando script-modalità batch
- 6107:
MS Word tentativo di esecuzione di programmi indesiderati - 6108: PowerShell-esecuzione di stringhe di download sospette script
- 6109: PowerShell-esecuzione script WMI sospetta
- 6113: minaccia senza file: self Injection riflettente
- 6121: minaccia senza file: codice Shell self Injection
- 6131: infezione dell'oggetto OLE con le armi tramite WMI
- 6153: comportamento del malware:
Ryuk attività di ransomware rilevata
Regole degli esperti per la prevenzione exploit di ENS
Di seguito è riportata una regola avanzata a livello di esperti per la prevenzione exploit ID 6107 "
Process {
Include OBJECT_NAME { -v excel.exe }
Include OBJECT_NAME { -v powerpnt.exe }
Include OBJECT_NAME { -v winword.exe }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v ** }
Exclude OBJECT_NAME { -v "excel.exe" }
Exclude OBJECT_NAME { -v "powerpnt.exe" }
Exclude OBJECT_NAME { -v "winword.exe" }
Exclude OBJECT_NAME { -v "splwow64.exe" }
Include -access "CREATE"
}
Match PROCESS {
Include OBJECT_NAME { -v ** }
Exclude OBJECT_NAME { -v "excel.exe" }
Exclude OBJECT_NAME { -v "powerpnt.exe" }
Exclude OBJECT_NAME { -v "winword.exe" }
Exclude OBJECT_NAME { -v "splwow64.exe" }
#PROCESS_VM_WRITE
Include -nt_access "!0x0020"
}
}
}
Torna all'inizio
Regole predefinite per la protezione dell'accesso ENS
Tutte le regole di seguito sono disattivate per impostazione predefinita.
- Regola: creazione di nuovi file eseguibili nella cartella Windows
- Regola: Impedisci
CScript.exe oWScript.exe dalla creazione di file in Windows directory temporanea, nelle relative sottocartelle e nella cartella comune degli utenti - Regola: registrazione dei programmi in esecuzione automatica
Regole personalizzate per la protezione dell'accesso ENS
Di seguito sono riportati i dettagli di quattro regole personalizzate.
Rule1 personalizzati:
Executable1:
inclusione: Includi
Nome file o percorso:
Executable2:
inclusione: Includi
Nome file o percorso:
Executable3:
inclusione: Includi
Nome file o percorso:
SubRule1:
Operazioni: Eseguire
Target1:
inclusione: Includi
File, nome cartella o percorso file:
SubRule2:
Operazioni: Eseguire
Target2:
inclusione: Includi
File, nome cartella o percorso file:
SubRule3:
Operazioni: Eseguire
Target3:
inclusione: Includi
File, nome cartella o percorso file:
Rule2 personalizzati:
Executable1:
inclusione: Includi
Nome file o percorso:
Executable2:
inclusione: Includi
Nome file o percorso:
SubRule1:
Operazioni: Eseguire
Target1:
inclusione: Includi
File, nome cartella o percorso file:
Rule3 personalizzati:
Executable1:
inclusione: Includi
Nome o percorso file:
SubRule1:
Operazioni: Eseguire
Target1:
inclusione: Includi
File, nome cartella o percorso file:
Nota: è possibile modificare facoltativamente Rule3 personalizzati per aggiungere vbs, dll, bat, js, PS1, SCT e doc. I seguenti percorsi di destinazione sono per un approccio leggermente aggressivo:
?:\programdata\*\*.exe ?:\users\Public\*.exe ?:\users\*\appdata\local\temp\*\*.exe ?:\users\*\appdata\roaming\*.exe
Rule4 personalizzati:
Executable1:
inclusione: Includi
Nome file o percorso:
Executable2:
inclusione: Includi
Nome file o percorso:
Executable3:
inclusione: Includi
Nome file o percorso:
Executable4:
inclusione: Includi
Nome file o percorso:
SubRule1:
Operazioni: Crea ed Esegui
Target1:
inclusione: Includi
File, nome cartella o percorso file:
Nota: la regola di esempio descrive l'approccio più aggressivo.
Regola personalizzata 5: Impedisci l'esecuzione di
Nota: questa regola impedisce l'esecuzione di ePO Mer. È necessario disattivare questa regola nel sistema di destinazione quando si tenta di eseguire ePO MER.
Executable1:
inclusione: Includi
Nome o percorso file:
SubRule1:
Operazioni: Eseguire
Target1:
inclusione: Includi
File, nome cartella o percorso file:
Torna all'inizio
Regole firewall ENS
Di seguito sono riportati i dettagli delle regole del firewall.
- Executable1:
powershell.exe - Executable2:
?script.exe - Executable3:
winword.exe - Executable4:
excel.exe
Nota: Il
È inoltre necessario creare elenchi consentiti appropriati in base al traffico legittimo generato da queste applicazioni. Ad esempio, se si utilizza Office 365 e si impedisce ai computer della rete di connettersi a Internet, includere gli endpoint negli elenchi consentiti in uscita. L'inclusione negli elenchi Consenti in uscita garantisce che i computer siano in grado di utilizzare correttamente Office 365. Gli endpoint sono nomi di dominio completi, porte, URL, intervalli di indirizzi IPv4 e intervalli di indirizzi IPv6. Sono descritte in questo articolo sugli URL di Office 365 e sugli intervalli di indirizzi IP.
Torna all'inizio
Regole predefinite di protezione dell'accesso di VSE
Tutte le regole riportate di seguito sono disattivate o impostate su segnala solo per impostazione predefinita.
- Regola:
Anti-spyware protezione massima: impedisce l'esecuzione di script dalla cartella Temp - Regola:
antivirus protezione massima: Impediscisvchost l'esecuzione di eseguibili non Windows - Regola: In comune protezione massima: impedisce la creazione di nuovi file eseguibili nella cartella Windows
- Regola: In comune protezione massima: Impedisci la registrazione di programmi come servizio
Regole personalizzate
per la protezione dell'accesso di VSE Di seguito sono riportati i dettagli di sei regole personalizzate.
Tipo di regola: Regola di blocco di file/cartelle
Processo da includere:
Nome file o cartella da bloccare:
azioni file da impedire: esecuzione
Tipo di regola: Regola di blocco di file/cartelle
Processo da includere:
Nome file o cartella da bloccare:
azioni file da impedire: esecuzione
Tipo di regola: Regola di blocco di file/cartelle
Processo da includere:
Nome file o cartella da bloccare:
azioni file da impedire: esecuzione
Tipo di regola: Regola di blocco di file/cartelle
Processo da includere:
Nome file o cartella da bloccare:
azioni file da impedire: esecuzione
Tipo di regola: Regola di blocco di file/cartelle
Processo per includere:
nome del file o della cartella da bloccare:
azioni file da impedire: esecuzione
Tipo di regola: Regola di blocco di file/cartelle
Processo da includere:
Nome file o cartella da bloccare:
azioni file da impedire: creazione ed esecuzione
Nota: è possibile modificare facoltativamente le regole personalizzate per aggiungere vbs, dll, bat, js, PS1, SCT e doc. I seguenti percorsi di destinazione sono per un approccio leggermente aggressivo:
?:\programdata\*\*.exe ?:\users\Public\*.exe ?:\users\*\appdata\local\temp\*\*.exe ?:\users\*\appdata\roaming\*.exe
Processo per includere:
nome del file o della cartella da bloccare:
azioni file da impedire: esecuzione
Nota: questa regola impedisce l'esecuzione di ePO Mer. È necessario disattivare questa regola nel sistema di destinazione quando si tenta di eseguire ePO MER.
Torna all'inizio
Firme host IPS
Per impostazione predefinita, tutte le firme riportate di seguito sono disattivate o impostate su una gravità che non blocca. Potrebbe essere necessario sintonizzare la gravità della firma o la policy di protezione IPS appropriata.
- 344: nuova creazione del programma di avvio
- 933: modifica eseguibile dell'unità di sistema
- 3814: Microsoft Word l'inviluppo-creazione di file Contenuti illegali
- 6073: esclusione Policy di esecuzione in PowerShell
- 6075: esecuzione remota script per Core Utility Windows
- 6087: restrizione comando di PowerShell-EncodedCommand
- 6105: Windows restrizione comando script-modalità batch
- 6107:
MS Word tentativo di esecuzione di programmi indesiderati - 6108: PowerShell-esecuzione di stringhe di download sospette script
- 6109: PowerShell-esecuzione script WMI sospetta
- 6113: minaccia senza file: self Injection riflettente
- 6121: minaccia senza file: codice Shell self Injection
- 6131: infezione dell'oggetto OLE con le armi tramite WMI
MSME antispam e policy di scansione all'accesso
Utilizzare le seguenti policy antispam e scansione all'accesso.
Torna all'inizio
Ulteriori suggerimenti per l'utente
- Sensibilizzazione e training sulla sicurezza:
- Simulate una campagna di phishing e spam per portare la consapevolezza della sicurezza a quegli individui che cadono per gli attacchi di social engineering.
- Non aprire i file allegati o avviare collegamenti sospetti, a meno che non venga richiesto dal mittente. Visualizzare l'intestazione email o inviare un email separato per convalidare il mittente prima di aprire gli allegati.
- Segnala email sospetti al centro operativo di sicurezza dell'organizzazione. Ricorda ai tuoi dipendenti come e dove inviare email sospetti in modo sicuro.
- Utilizzare i prodotti gateway email e Web che identificano i collegamenti dannosi, bloccano le email con collegamenti o allegati o entrambi.
- Utilizzare il filtraggio spam.
- Utilizza Controllo Web ENS, che visualizza le classificazioni di sicurezza e i rapporti per i siti Web durante la navigazione e la ricerca online. ENS Controllo Web consente all'amministratore del sito di bloccare l'accesso ai siti Web in base alla classificazione di sicurezza o al contenuto.
- Impedisce l'esecuzione di PowerShell nei sistemi in cui PowerShell non è stato progettato per essere eseguito.
- Assicurarsi che Microsoft Office le policy di sicurezza per le macro siano impostate su elevata o molto elevata.
- Blocca
e allegati simili a email o Web Gateway o a entrambi..EXE ,.RAR ,.SCR ,.CAB ,.VBS ,.BAT ,.WSF ,.JS ,.PS1 ,.IQY ,.SCT
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessati
Lingue:
Questo articolo è disponibile nelle seguenti lingue: