In questo articolo vengono illustrate le differenze tra Osservazione modalità e Aggiornamento modalità in McAfee Application Control (MAC).
MAC utilizza le funzionalità di whitelist e di protezione della memoria per assicurarsi che solo le applicazioni e i file inseriti nella whitelist, legittimi e autorizzati vengano eseguiti sul sistema.
Dopo aver eseguito la solidificazione del sistema iniziale, viene creato un whitelist per tutte le applicazioni e i file supportati. Questo whitelist viene convalidato rispetto all'esecuzione di tutti i file supportati. Questo processo blocca il sistema in modo da impedire:
- Esecuzione o esecuzione di un file supportato al di fuori del whitelist
- Modifiche a qualsiasi file supportato nel whitelist
Che cos'è la modalità di aggiornamento?
MAC offre i seguenti canali per modificare o aggiornare un sistema bloccato:
- Processo di aggiornamento: Un processo è un programma in esecuzione. È possibile configurare un eseguibile o un script whitelist come programma di aggiornamento. La configurazione come programma di aggiornamento consente di modificare o eseguire qualsiasi file supportato, indipendentemente dal relativo stato nell'inventario (whitelist). Le modifiche eseguite da un processo di aggiornamento vengono riflesse in modo dinamico nell'inventario (whitelist).
- Utente come Updater o utente affidabile: È possibile configurare le persone in modo che siano utenti MAC affidabili. Tutte le modifiche eseguite dall'utente configurato sono consentite su un sistema bloccato. Le modifiche eseguite da un programma di aggiornamento o da un utente affidabile vengono riflesse in modo dinamico nell'inventario (whitelist).
- Modalità di aggiornamento: La modalità di aggiornamento è una modalità di manutenzione systemwide. In modalità di aggiornamento, tutte le modifiche eseguite da qualsiasi processo o utente sono consentite. Le modifiche eseguite quando il sistema è in modalità di aggiornamento vengono riflesse in modo dinamico nell'inventario (whitelist).
NOTA:
- La protezione della memoria è attivata ed efficace se il sistema viene aggiornato utilizzando uno dei canali sopra citati.
- MAC può ancora bloccare le operazioni durante la modalità di aggiornamento se la reputazione è stata attivata nelle opzioni di controllo applicazioni policy.
Che cos'è la modalità di osservazione?
Un sistema in modalità di osservazione consente qualsiasi modifica o esecuzione di file. La modalità di osservazione è disponibile sul sistema operativo Windows e su MAC per Linux 6.2.0-187 e versioni successive.
NOTE:
- La funzione modalità di osservazione per Linux è stata aggiunta in MAC per Linux 6.2.0-187 e versioni successive. Vedere PD27665 per informazioni dettagliate su questa versione.
- La funzione modalità di osservazione per Linux non aggiorna automaticamente l'inventario dei file whitelist di MAC come nel sistema operativo Windows. Vedere KB79576 -Sezione funzionalità: "quali eventi vengono generati con 6.2.0 (Linux) in modalità di osservazione e modalità di attivazione? "per ulteriori informazioni.
Un vantaggio della modalità di osservazione è che MAC genera eventi e notifiche per le esecuzioni dei file o la prevenzione delle modifiche senza prevenirne le esecuzioni o i cambiamenti. Gli eventi e le notifiche vengono segnalati a ePO con un suggerimento relativo alle modifiche di configurazione necessarie per consentire l'esecuzione e le modifiche in Attiva modalità. Una volta che la modifica segnalata viene confermata come legittima, è possibile applicare modifiche alla configurazione consigliata per consentire l'esecuzione o la modifica in modalità di attivazione o stato bloccato.
NOTA:
- McAfee consiglia di collocare il 10% dei sistemi simili o corrispondenti in modalità di osservazione. Dopo aver identificato le modifiche necessarie alla configurazione, è possibile applicare tali modifiche a tutti gli host con una configurazione del software simile o corrispondente.
- MAC può ancora bloccare le operazioni in modalità di osservazione se la reputazione è stata attivata nelle opzioni di controllo applicazioni policy.
Se le modifiche sono consentite in modalità di aggiornamento, perché è necessaria la modalità di osservazione?
MAC viene fornito con una policy predefinito che include le regole identificate in-House per rendere le applicazioni più comuni e note funzionare senza problemi in un ambiente abilitato per MAC. Ma in molti ambienti sono presenti applicazioni o versioni che non sono ancora state testate da McAfee. Se queste applicazioni creano ed eseguono nuovi file o modificano i file inseriti nella whitelist, MAC blocca l'azione. Questo blocco può causare problemi di applicazione o perdita di funzionalità.
Non è possibile collocare un sistema in modalità di aggiornamento ogni volta che un'applicazione deve eseguire/modificare i file o consentire all'applicazione di apportare modifiche senza alcun tipo di monitoraggio. La modalità di osservazione consente di ridurre al minimo gli errori delle applicazioni in uno stato attivato o bloccato. Determina quali modifiche di configurazione sono necessarie per consentire alle applicazioni di funzionare correttamente durante la creazione della minor quantità di rischi per la sicurezza.
Modalità di aggiornamento rispetto alla modalità di osservazione
Se Aggiornamento e Osservazione la modalità è diversa in linea di principio e l'utilizzo, ad alcuni potrebbero sembrare simili in quanto entrambi consentono modifiche al sistema. Per classificare ulteriormente, l'elenco seguente illustra le differenze nella natura e l'utilizzo della modalità di aggiornamento e osservazione:
- La modalità di aggiornamento consente le modifiche solo quando il sistema è in modalità manutenzione (Aggiorna). La modalità di osservazione consente le modifiche, ma suggerisce la configurazione necessaria per eseguire con successo una modifica simile la prossima volta senza passare alla modalità di aggiornamento.
- La modalità di aggiornamento è utile per una modifica o un aggiornamento occasionale di un sistema dopo che è stato solidificato e bloccato. La modalità di osservazione è un educatore che aiuta a identificare la configurazione necessaria per rendere il sistema bloccato perfettamente funzionante.
- La modalità di aggiornamento può essere avviata in qualsiasi momento sia necessaria un'emergenza o una modifica o un aggiornamento significativo. La modalità di osservazione viene avviata una sola volta per identificare le configurazioni specifiche di MAC prima che il sistema venga definitivamente bloccato.
- Qualsiasi modifica eseguita in modalità di aggiornamento viene aggiornata dinamicamente nell'inventario (whitelist). Qualsiasi modifica eseguita in modalità di osservazione viene aggiornata nell'inventario (whitelist) a discrezione dell'utente.
- È possibile inserire il sistema in modalità di aggiornamento senza solidificazione o whitelist iniziale. La solidificazione o la whitelist iniziale è un mandato/pre-requisito per switch alla modalità di osservazione.
- La modalità di aggiornamento consente l'esecuzione o la modifica dei file una sola volta. La configurazione identificata in modalità di osservazione consente ai file di essere eseguiti sempre senza problemi.
Perché viene visualizzato il blocco in modalità di osservazione?
Se la reputazione è attivata nelle opzioni di controllo applicazioni policy, MAC impedisce comunque l'esecuzione di file potenzialmente dannosi durante la modalità di aggiornamento/osservazione. Si consiglia di considerare affidabili le applicazioni che sono necessarie nell'ambiente ma con un punteggio di reputazione basso nella pagina reputazioni TIE. Se la reputazione è di GTI, aprire una richiesta di assistenza con Assistenza tecnica per analizzare ed eliminare il rilevamento.