Lista de y prácticas recomendadas para reglas de Contención dinámica de aplicaciones de Endpoint Security
Artículos técnicos ID:
KB87843
Última modificación: 27/01/2021
Última modificación: 27/01/2021
Entorno
McAfee Endpoint Security (ENS) 10.7.x, 10.6.x, 10.5.x
Resumen
Contención dinámica de aplicaciones (DAC) reglas en la McAfee Default la Directiva está configurada para informar solo a fin de reducir los falsos positivos. Protección adaptable frente a amenazas proporciona dos directivas de aplicación dinámica predefinidas: McAfee Default Equilibrado y McAfee Default Seguridad. Estas directivas establecen las reglas recomendadas para bloquear según el perfil de seguridad:
DAC puede excluir procesos de la contención según el nombre, la hash MD5, los datos de firma y la ruta. Si su organización firma las herramientas que se implementan de forma interna, agregue estas firmas como exclusiones para reducir los falsos positivos.
En el modo de evaluación, los informes de DAC "podrían contener eventos, pero no" bloquearía los eventos. (La aplicación debe estar contenida antes de que ENS determine si debe bloquearla.) Los eventos "contendrán" no indican un bloque potencial. Para ajustar correctamente DAC, después de desactivar el modo de evaluación, modifique las reglas de contención para informar pero no bloquear. A continuación, establezca las reglas en bloquear según sea necesario para que coincida con la configuración predeterminada.
Las reglas de DAC tienen control de inundación, lo que limita el número de eventos generados a una vez por hora, por regla y por proceso. DAC control de inundación controla los procesos por ID de proceso (PID). Cuando se reinicia un proceso, el sistema operativo le asigna un nuevo PID, que restablece el control de inundación, aunque el nombre del proceso sea el mismo. Por ejemplo, si el proceso A infringe la regla de DAC 100 veces por hora, recibirá un evento por hora. Si el proceso A se reinicia durante esa hora, el control de inundación se restablece para el proceso A y recibe otro evento si sigue infringiendo la regla A de DAC a. Si el proceso B infringe la misma regla de DAC A, recibirá un segundo evento (con detalles del proceso B).
Procedimiento recomendado: Ejecute la herramienta McAfee GetClean en las imágenes de la base de despliegue de sus sistemas de producción. Esta herramienta garantiza que los archivos limpios se envíen a Global Threat Intelligence (GTI) para que se clasifiquen. La herramienta también ayuda a garantizar que GTI no proporcione un valor de reputación incorrecto para sus archivos. Para obtener más información, consulte la Guía del producto de GetClean (KB91942).
- McAfee Default Equilibrado proporciona un nivel básico de protección, mientras que minimiza los falsos positivos de muchos instaladores y aplicaciones comunes sin firmar.
- McAfee Default La seguridad proporciona una protección agresiva, pero puede provocar falsos positivos con más frecuencia en los instaladores y aplicaciones sin firmar.
DAC puede excluir procesos de la contención según el nombre, la hash MD5, los datos de firma y la ruta. Si su organización firma las herramientas que se implementan de forma interna, agregue estas firmas como exclusiones para reducir los falsos positivos.
En el modo de evaluación, los informes de DAC "podrían contener eventos, pero no" bloquearía los eventos. (La aplicación debe estar contenida antes de que ENS determine si debe bloquearla.) Los eventos "contendrán" no indican un bloque potencial. Para ajustar correctamente DAC, después de desactivar el modo de evaluación, modifique las reglas de contención para informar pero no bloquear. A continuación, establezca las reglas en bloquear según sea necesario para que coincida con la configuración predeterminada.
Regla de contención definida por el McAfee | Descripción | McAfee Default Se recomienda el ajuste equilibrio recomendado para bloquear | McAfee Default Recomendado de seguridad configurado como bloquear |
Acceso a hashes de LM de contraseñas inseguras |
Protege el archivo SAM en Procedimiento recomendado: Establezca esta regla como informar solo (valor predeterminado) en monitor para programas potencialmente maliciosos o intentos de acceso no autorizados. |
||
Acceso a ubicaciones de cookie de usuario | Protege la carpeta de cookies de Internet Explorer en Procedimiento recomendado: Establezca esta regla como informar solo (predeterminado) para monitor acceso a Internet Explorer cookies por programas contenidos. |
||
Asignación de memoria en otro proceso | Impide que los procesos contenidos puedan modificar la memoria en otros procesos del sistema. | ✔ | ✔ |
Creación de un subproceso en otro proceso | Impide que los procesos contenidos puedan crear o modificar un subproceso en otros procesos del sistema. |
✔ | ✔ |
Creación de archivos en cualquier ubicación de la red | Impide que los procesos contenidos puedan crear archivos en ubicaciones de red. El malware puede utilizar estas ubicaciones para propagar los archivos infectados. Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Creación de archivos en CD, disquete y unidades extraíbles | Impide que los procesos contenidos puedan crear archivos en dispositivos extraíbles. El malware puede utilizar estos dispositivos para propagarse. Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Creación de archivos con la |
Impide que los procesos contenidos puedan crear cualquier archivo con la Si se utilizan archivos por lotes con fines administrativos, el establecimiento de esta regla en bloquear podría producir falsos positivos y afectar a las operaciones empresariales. Procedimiento recomendado: Si no se utilizan archivos por lotes para administrar el sistema, establezca esta regla como bloquear e informar. Esta configuración impide que malware cree scripts que los motores de scripting se ejecuten más tarde. |
✔ | |
Creación de archivos con la |
Impide que los procesos contenidos puedan crear cualquier archivo con la Los "bloques falsos" típicos que pueden producirse con esta regla pueden incluir |
✔ | |
Creación de archivos con la |
Impide que los procesos contenidos puedan crear archivos con la Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Creación de archivos con la |
Impide que los procesos contenidos programen tareas en el sistema. El malware aprovecha activamente las tareas planificadas para evitar los analizadores de comportamiento. | ✔ | ✔ |
Creación de archivos con la |
Impide que los procesos contenidos puedan crear archivos con la Si Procedimiento recomendado: Si |
||
Creando nuevo |
Impide que los procesos contenidos puedan crear Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Eliminando archivos que suelen ser de ransomware de clase malware | Impide que los procesos contenidos eliminen archivos que ransomware de clase malware destinos habituales. El ransomware a veces intenta leer los archivos en la memoria, escribe el contenido del archivo en un archivo nuevo, lo cifra y, a continuación, elimina el original. El malware de ransomware no suele intentar cambiar directamente los archivos destinados al cifrado. En su lugar, utiliza un proceso que ya está en el sistema, como, por ejemplo, |
✔ | ✔ |
Desactivación de ejecutables críticos del sistema operativo | Impide que los procesos contenidos se desactiven |
✔ | ✔ |
Ejecución de cualquier proceso secundario | Impide que los procesos contenidos ejecuten un proceso secundario en el sistema. Procedimiento recomendado: Ejecute GetClean antes de establecer esta regla en bloquear. |
✔ | |
Modificación de las entradas del registro de Appinit DLL | Impide que los procesos contenidos puedan agregar entradas a la Los procesos de modo de usuario del sistema pueden cargar cualquier entrada en el |
✔ | ✔ |
Modificación de correcciones de compatibilidad de aplicaciones | Impide que los procesos contenidos puedan crear correcciones de compatibilidad de aplicaciones. El malware puede utilizar esta técnica para obtener los mismos derechos que el proceso de destino e inyectar código shell. | ✔ | ✔ |
Modificación de archivos críticos de Windows y ubicaciones de registro | Impide que los procesos contenidos puedan modificar archivos y ubicaciones de registro críticos, como el archivo hosts. Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Modificación de la configuración de fondo de escritorio | Impide que los procesos contenidos puedan cambiar la configuración del papel tapiz o el fondo del escritorio. El malware puede utilizar esta técnica para engañar al usuario, ocultar archivos o hacer que el usuario cree que está haciendo clic en otra cosa. Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Modificación de asociaciones de extensiones de archivos | Impide que los procesos contenidos puedan secuestrar asociaciones de extensiones de archivos. El malware puede utilizar esta técnica para engañar al usuario para que se ejecuten tipos de archivos desconocidos o que utilicen programas desconocidos para ejecutar archivos. | ✔ | |
Modificación de archivos con la |
Impide que los procesos contenidos puedan cambiar archivos con el Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Modificación de archivos con la |
Impide que los procesos contenidos puedan cambiar archivos con el Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Modificación de las entradas de registro de las opciones de ejecución de archivo de imagen | Impide que los procesos contenidos puedan cambiar las opciones de ejecución de archivos de imagen en el registro. El malware puede utilizar esta técnica para secuestrar la ejecución de procesos y evitar que los procesos se ejecuten por completo. | ✔ | ✔ |
Modificación de archivos ejecutables portables | Impide que los procesos contenidos puedan modificar cualquier archivo ejecutable portable del sistema. Los ejecutables portátiles son archivos que Windows pueden ejecutar de forma nativa, como |
✔ | |
Modificación de la configuración del protector de pantalla | Impide que los procesos contenidos puedan cambiar la configuración del protector de salvapantallas. El malware puede utilizar esta técnica para eliminar cargas maliciosas en el sistema. | ✔ | ✔ |
Modificación de las ubicaciones del registro de inicio | Impide que los procesos contenidos puedan crear o cambiar las ubicaciones de inicio del registro de Windows. El malware oculta con frecuencia las cargas o proxies a las cargas en las ubicaciones de inicio del registro de Windows. | ✔ | ✔ |
Modificación del depurador automático | Impide que los procesos contenidos puedan modificar o agregar el depurador automático, que malware puede utilizar para secuestrar la ejecución de procesos y robar información confidencial. | ||
Modificación del bit de atributo oculto | Impide que los procesos contenidos puedan cambiar el bit oculto en los archivos del sistema. | ✔ | ✔ |
Modificación del bit de atributo de solo lectura | Impide que los procesos contenidos puedan cambiar el bit de solo lectura en los archivos del sistema. | ✔ | ✔ |
Modificación de la ubicación del registro de servicios | Impide que los procesos contenidos puedan cambiar el comportamiento del servicio en el sistema. | ✔ | |
Modificación de la Directiva de Firewall de Windows | Impide que los procesos contenidos puedan modificar las directivas de Firewall almacenadas en el registro. El malware puede utilizar el Windows Firewall para abrir brechas de seguridad en el sistema. Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Modificación de la carpeta tareas de Windows | Impide que los procesos contenidos puedan crear o modificar tareas almacenadas en las carpetas de tareas. El malware puede utilizar tareas para colocar su carga útil en el sistema. Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Modificación de directivas de usuario | Impide que los procesos contenidos puedan modificar la configuración de directiva de grupo directamente. El malware puede utilizar esta técnica para cambiar la postura de seguridad y las vulnerabilidades de apertura del sistema. | ✔ | |
Modificación de las carpetas de datos de los usuarios | Impide que los procesos contenidos puedan modificar o ejecutar archivos en las carpetas de datos comunes del usuario. Las carpetas de datos de Ajustes generales incluyen el escritorio, las descargas, los documentos, las imágenes y otras ubicaciones en la Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. Esta regla puede dar lugar a falsos positivos en función de si el programa contenido es verdaderamente malicioso o no. |
||
Lectura de archivos que suelen ser objetivo de malware de ransomware | Impide que los procesos contenidos puedan leer archivos que ransomware de clase malware destinos habituales. El ransomware a veces intenta leer los archivos en la memoria, escribe el contenido del archivo en un archivo nuevo, lo cifra y, a continuación, elimina el original. El malware de ransomware no suele intentar cambiar directamente los archivos destinados al cifrado. En su lugar, utiliza un proceso que ya está en el sistema, como, por ejemplo, |
✔ | |
Lectura de la memoria de otro proceso | Impide que los procesos contenidos lean la memoria de otro proceso del sistema. Esta regla puede ayudar a frustrar los intentos de robar información contenida en procesos de destino. | ✔ | |
Lectura o modificación de archivos en cualquier ubicación de la red | Impide que los procesos contenidos puedan leer o cambiar archivos en ubicaciones de red. El malware puede utilizar estas ubicaciones para propagar archivos infectados. Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Lectura o modificación de archivos en unidades de CD, de disquete y extraíbles | Impide que los procesos contenidos lean o cambien el contenido de los dispositivos extraíbles. El malware puede utilizar estos dispositivos para propagarse. Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Suspensión de un proceso | Impide que los procesos contenidos puedan suspender otros procesos del sistema. Algunos malware intentan suspender un proceso para secuestrarlo o vaciarlo con fines maliciosos, también conocidos como huecos de procesos. | ✔ | ✔ |
Finalizando otro proceso | Impide que los procesos contenidos puedan detener los procesos del sistema. | ✔ | ✔ |
Escritura en la memoria de otro proceso | Impide que los procesos contenidos puedan escribir en el espacio de memoria de otro proceso del sistema. | ✔ | ✔ |
Escritura en archivos que suelen ser objetivo de ransomware de clase malware | Impide que los procesos contenidos puedan modificar los archivos que ransomware malware son destinos habituales. El malware de ransomware no suele intentar cambiar directamente los archivos destinados al cifrado. En su lugar, utiliza un proceso que ya está en el sistema, como el explorador.exe o PowerShell. exe, para proxy el ataque. Si se bloquean suficientes intentos, el malware podría recurrir a intentar cifrar el archivo directamente. |
✔ |
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas:
GermanEnglish United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified