En este artículo se explican las diferencias entre Período modo y Actualizaciones modo en McAfee Application Control (MAC).
MAC utiliza funciones de lista blanca y protección de la memoria para asegurarse de que solo se ejecutan en el sistema las aplicaciones y los archivos autorizados, legítimos y en lista blanca.
Después de realizar la refuerzo del sistema inicial, se crea una lista blanca para todas las aplicaciones y los archivos compatibles. Esta lista blanca se valida con la ejecución de todos los archivos admitidos. Este proceso bloquea el sistema para evitar que:
- Ejecución y ejecución de cualquier archivo compatible fuera de la lista blanca
- Cambios en cualquier archivo compatible de la lista blanca
¿Qué es el modo actualizar?
MAC proporciona los siguientes canales para modificar o actualizar un sistema bloqueado:
- Proceso del actualizador: Un proceso es cualquier programa en ejecución. Un ejecutable o script en lista blanca se pueden configurar como actualizador. Si se configura como actualizador, podrá modificar o ejecutar cualquier archivo compatible, independientemente de su estado en el inventario (lista blanca). Los cambios realizados por un proceso de actualizador se reflejan de forma dinámica en el inventario (lista blanca).
- Usuario como actualizador o usuario de confianza: Puede configurar las personas para que sean usuarios de confianza de MAC. Todos los cambios realizados por el usuario configurado se permiten en un sistema bloqueado. Los cambios realizados por un actualizador o usuario de confianza se reflejan dinámicamente en el inventario (lista blanca).
- Modo actualizar: El modo actualizar es un modo de mantenimiento de todo el mismo. En el modo actualizar, se permiten todos los cambios realizados por cualquier proceso o usuario. Los cambios realizados cuando el sistema está en modo actualizar se reflejan de forma dinámica en el inventario (lista blanca).
NOTA:
- La protección de la memoria está activada y es efectiva si el sistema se actualiza mediante cualquiera de los canales anteriores.
- MAC puede bloquear las operaciones en modo actualizar si se ha activado la reputación en la Directiva opciones de Application control.
¿Qué es el modo de observación?
Un sistema en modo de observación permite cualquier cambio o ejecución de archivos. El modo de observación está disponible en el sistema operativo Windows y en MAC para Linux 6.2.0-187 y posteriores.
NOTAS:
- Se ha agregado la función de modo de observación para Linux en MAC para Linux 6.2.0-187 y posteriores. Ve PD27665 para obtener detalles sobre esta versión.
- La función de modo de observación para Linux no actualiza automáticamente el inventario de archivos en lista blanca de MAC como lo hace el sistema operativo Windows. Ve KB79576 -Sección de funcionalidad: "Qué eventos se generan con 6.2.0 (Linux) en modo de evaluación y modo de activación? "para obtener más información.
Una ventaja del modo de observación es que MAC genera eventos y notificaciones para ejecuciones de archivos o prevención de cambios sin impedir realmente las ejecuciones o los cambios. Los eventos y las notificaciones se notifican a ePO con una sugerencia sobre los cambios de configuración necesarios para permitir la ejecución y los cambios en Modo de activación. Una vez que se confirma el cambio como legítimo, se pueden aplicar cambios sugeridos de configuración para permitir la ejecución o el cambio en el estado activar o bloqueado.
NOTA:
- McAfee recomienda colocar el 10% de los sistemas similares o que coincidan en el modo de observación. Una vez que haya identificado los cambios de configuración necesarios, puede aplicar esos cambios a todos los hosts con una configuración de software similar o coincidente.
- MAC puede bloquear las operaciones en el modo de evaluación si se ha activado la reputación en la Directiva opciones de Application control.
Si se permiten cambios en el modo actualizar, ¿por qué se necesita el modo de observación?
MAC se suministra con una directiva predeterminada que incluye reglas identificadas internamente para hacer que las aplicaciones conocidas más comunes funcionen de forma transparente en un entorno activado para MAC. Sin embargo, muchos entornos tienen aplicaciones o versiones que aún no han sido probadas por McAfee. Si estas aplicaciones crean y ejecutan nuevos archivos o modifican los archivos en lista blanca, MAC bloquea la acción. Este bloqueo puede provocar problemas de aplicación o pérdidas de funcionalidad.
No es factible colocar un sistema en modo actualizar cada vez que una aplicación necesita ejecutar o modificar archivos, o permitir que la aplicación realice cambios sin que se produzca ningún tipo de supervisión. El modo de observación permite minimizar los errores de la aplicación en estado activado o bloqueado. Determina qué cambios de configuración son necesarios para permitir que las aplicaciones funcionen correctamente al crear la menor cantidad de riesgo de seguridad.
Modo actualizar y modo de observación
Si Actualizaciones así Período el modo es distinto en principio y uso, para que algunos de ellos puedan parecer similares, ya que ambos permiten realizar cambios en el sistema. Para clasificar aún más, en la siguiente lista se explican las diferencias en cuanto a la naturaleza y uso del modo de actualización y observación:
- El modo actualizar solo permite los cambios mientras el sistema está en modo de mantenimiento (actualización). El modo de observación permite los cambios, pero sugiere la configuración necesaria para realizar correctamente un cambio similar la próxima vez sin cambiar al modo actualizar.
- El modo actualizar es útil para un único cambio o actualización de un sistema una vez que se ha reforzado y bloqueado. El modo de observación es un educador que le ayuda a identificar la configuración necesaria para que el sistema bloqueado no funcione de forma transparente.
- El modo actualizar se puede iniciar siempre que se necesite una emergencia o un cambio significativo o una actualización. El modo de observación se inicia una vez para identificar las configuraciones específicas de MAC antes de que el sistema se bloquee por fin.
- Los cambios realizados en el modo actualizar se actualizan de forma dinámica en el inventario (lista blanca). Cualquier cambio realizado en el modo de observación se actualiza en el inventario (lista blanca) a discreción del usuario.
- Puede poner el sistema en modo actualizar sin refuerzo ni la lista blanca inicial. Refuerzo o la creación de listas blancas iniciales es un mandato/requisito previo para cambiar al modo de observación.
- El modo actualizar permite que los archivos se ejecuten o modifiquen una vez. La configuración identificada en el modo de observación permite que los archivos se ejecuten siempre sin problemas.
¿Por qué veo el bloqueo en el modo de evaluación?
Si la reputación está activada en la Directiva de opciones de Application control, el MAC sigue impidiendo la ejecución de archivos potencialmente maliciosos en el modo actualizar/observar. Se recomienda confiar en las aplicaciones que son necesarias en el entorno, pero que aún han dado una calificación de reputación baja en la página reputaciones de TIE. Si la reputación es de GTI, abra una solicitud de servicio con Soporte técnico para analizar y suprimir la detección.