Este artigo explica as diferenças entre Observações modo e Atualizados modo na McAfee Application Control (MAC).
O MAC usa os recursos de lista branca e proteção de memória para garantir que apenas os aplicativos e arquivos autorizados, legítimos, com autorização sejam executados no sistema.
Depois que você executa a solidez inicial do sistema, é criada uma lista branca de todos os aplicativos e arquivos compatíveis. Esta lista branca é validada em relação à execução de todos os arquivos compatíveis. Esse processo bloqueia o sistema para evitar:
- Execução ou execução de qualquer arquivo compatível fora da lista branca
- Alterações em qualquer arquivo compatível na lista branca
O que é o modo de atualização?
O MAC fornece os seguintes canais para modificar ou atualização um sistema bloqueado:
- Processo do atualizador: Um processo é qualquer programa em execução. Um executável ou script na lista branca podem ser configurados como um atualizador. Configurá-lo como um atualizador permite que ele modifique ou execute qualquer arquivo compatível, independentemente de seu estado no inventário (lista branca). As alterações realizadas por um processo do atualizador são dinamicamente refletidas no inventário (na lista branca).
- Usuário como atualizador ou usuário confiável: Você pode configurar indivíduos para usuários confiáveis do MAC. Todas as alterações realizadas pelo usuário configurado são permitidas em um sistema bloqueado. As alterações realizadas por um atualizador ou usuário confiável são refletidas dinamicamente no inventário (na lista branca).
- Modo de atualização: O modo de atualização é um modo de manutenção em todo o seu caso. No modo de atualização, todas as alterações realizadas por qualquer processo ou usuário são permitidas. As alterações realizadas quando o sistema está no modo de atualização são refletidas dinamicamente no inventário (na lista branca).
NOTA:
- A proteção de memória é ativada e eficaz se o sistema for atualizado por meio de qualquer um dos canais acima.
- O MAC ainda pode bloquear operações enquanto estiver no modo atualização se a reputação tiver sido ativada na política de opções do Application Control.
O que é o modo de observação?
Um sistema no modo de observação permite qualquer alteração ou execução de arquivos. O modo de observação está disponível no sistema operacional Windows e no MAC para Linux 6.2.0-187 e versões posteriores.
NOTAS:
- A função de modo de observação para Linux foi adicionada ao MAC para Linux 6.2.0-187 e versões posteriores. Exibidas PD27665 para obter detalhes sobre esta versão.
- A função de modo de observação para o Linux não atualização automaticamente o inventário de arquivo na lista branca do MAC como no sistema operacional do Windows. Exibidas KB79576 -Seção funcionalidade: "quais eventos são gerados com 6.2.0 (Linux) no modo de observação e no modo de Ativar? "para obter mais informações.
Um benefício do modo de observação é que o MAC gera eventos e notificações para arquivo as execuções ou a prevenção de alterações sem, de fato, impedir as execuções ou alterações. Os eventos e as notificações são relatados ao ePO com uma sugestão sobre as alterações de configuração necessárias para permitir a execução e as alterações em Modo de Ativar. Depois que a alteração relatada for confirmada como legítima, as alterações de configuração sugeridas poderão ser aplicadas para permitir a execução ou alteração no modo de Ativar ou no estado bloqueado.
NOTA:
- A McAfee recomenda que você coloque 10% dos sistemas similares ou correspondentes no modo de observação. Depois de identificar as alterações de configuração necessárias, você pode aplicar essas alterações a todos os hosts com uma configuração de software semelhante ou correspondente.
- O MAC ainda pode bloquear operações enquanto estiver no modo de observação se a reputação tiver sido ativada na política de opções do Application Control.
Se as alterações forem permitidas no modo de atualização, por que o modo de observação é necessário?
O MAC é fornecido com uma política padrão que inclui regras identificadas internamente para fazer com que aplicativos mais comuns e conhecidos trabalhem sem problemas em um ambiente com MAC ativado. No entanto, muitos ambientes têm aplicativos ou versões que ainda não foram testados pela McAfee. Se esses aplicativos criarem e executarem novos arquivos ou modificarem os arquivos na lista branca, o MAC bloqueará a ação. Esse bloqueio pode causar problemas de aplicativo ou perda de funcionalidade.
Não é possível colocar um sistema no modo de atualização toda vez que um aplicativo precisar executar/modificar arquivos ou permitir que o aplicativo faça alterações sem qualquer tipo de monitoramento. O modo de observação permite minimizar as falhas do aplicativo em um estado ativado ou bloqueado. Ele determina quais alterações de configuração são necessárias para permitir que os aplicativos funcionem corretamente durante a criação da menor quantidade de risco à segurança.
Modo de atualização x modo de observação
Mesmo Atualizados em Observações os modos são diferentes no princípio e no uso, e alguns deles podem parecer semelhantes, pois ambos permitem alterações no sistema. Para classificar ainda mais, a lista a seguir explica as diferenças na natureza e no uso do modo de atualização e observação:
- O modo de atualização permite as alterações somente enquanto o sistema estiver em modo de manutenção (atualização). O modo de observação permite as alterações, mas sugere a configuração necessária para executar com êxito uma alteração semelhante da próxima vez sem alternar para o modo de atualização.
- O modo de atualização é útil para uma alteração única ou atualização de um sistema depois que ele é resolidificadodo e bloqueado. O modo de observação é um educador que ajuda a identificar a configuração necessária para que o sistema bloqueado funcione perfeitamente.
- O modo de atualização pode ser iniciado sempre que for necessária uma alteração de emergência ou uma necessidade significativa ou uma atualização. O modo de observação é iniciado uma vez para identificar as configurações específicas do MAC antes de o sistema ser finalmente bloqueado.
- Qualquer alteração feita no modo de atualização é atualizada dinamicamente no inventário (na lista branca). Qualquer alteração feita no modo de observação é atualizada no inventário (na lista branca), a critério do usuário.
- Você pode colocar o sistema no modo de atualização sem solidez ou na lista branca inicial. A solidez ou a lista branca inicial é um requisito/pré-requisito para switch no modo de observação.
- O modo de atualização permite que os arquivos sejam executados ou modificados uma vez. A configuração identificada no modo de observação permite que os arquivos sejam executados sempre perfeitamente.
Por que estou vendo bloqueio no modo de observação?
Se a reputação for ativada na política de opções do Application Control, o MAC ainda impedirá a execução de arquivos potencialmente maliciosos durante o modo atualizar/observar. É recomendável que você confie em aplicativos que são necessários no ambiente, ainda que recebam uma pontuação de reputação baixa na página reputações do TIE. Se a reputação for de GTI, abra uma solicitação de serviço com Suporte técnico para analisar e suprimir a detecção.