Lista de y prácticas recomendadas para reglas de Contención dinámica de aplicaciones de Endpoint Security

Contención dinámica de aplicaciones (DAC) reglas en la McAfee Default la Directiva está configurada para informar solo a fin de reducir los falsos positivos. Protección adaptable frente a amenazas proporciona dos directivas de aplicación dinámica predefinidas: McAfee Default Equilibrado y McAfee Default Seguridad. Estas directivas establecen las reglas recomendadas para bloquear según el perfil de seguridad:

• McAfee Default Equilibrado proporciona un nivel básico de protección, mientras que minimiza los falsos positivos de muchos instaladores y aplicaciones comunes sin firmar.
• McAfee Default La seguridad proporciona una protección agresiva, pero puede provocar falsos positivos con más frecuencia en los instaladores y aplicaciones sin firmar.

Procedimiento recomendado: Para evaluar el impacto de las reglas de DAC, utilice la McAfee Default Directiva con reglas configuradas para informar. Permite determinar si se deben establecer reglas que bloquear, monitor los registros y los informes. Tras recopilar Contención dinámica de aplicaciones eventos de infracción permitida (ID de evento 37280), establezca reputaciones de nivel de empresa o exclusiones de DAC antes de implementar la McAfee Default Directiva equilibrada.

DAC puede excluir procesos de la contención según el nombre, la hash MD5, los datos de firma y la ruta. Si su organización firma las herramientas que se implementan de forma interna, agregue estas firmas como exclusiones para reducir los falsos positivos.

En el modo de evaluación, los informes de DAC "podrían contener eventos, pero no" bloquearía los eventos. (La aplicación debe estar contenida antes de que ENS determine si debe bloquearla.) Los eventos "contendrán" no indican un bloque potencial. Para ajustar correctamente DAC, después de desactivar el modo de evaluación, modifique las reglas de contención para informar pero no bloquear. A continuación, establezca las reglas en bloquear según sea necesario para que coincida con la configuración predeterminada. Las reglas de DAC tienen control de inundación, lo que limita el número de eventos generados a una vez por hora, por regla y por proceso. DAC control de inundación controla los procesos por ID de proceso (PID). Cuando se reinicia un proceso, el sistema operativo le asigna un nuevo PID, que restablece el control de inundación, aunque el nombre del proceso sea el mismo. Por ejemplo, si el proceso A infringe la regla de DAC 100 veces por hora, recibirá un evento por hora. Si el proceso A se reinicia durante esa hora, el control de inundación se restablece para el proceso A y recibe otro evento si sigue infringiendo la regla A de DAC a. Si el proceso B infringe la misma regla de DAC A, recibirá un segundo evento (con detalles del proceso B). Procedimiento recomendado: Ejecute la herramienta McAfee GetClean en las imágenes de la base de despliegue de sus sistemas de producción. Esta herramienta garantiza que los archivos limpios se envíen a Global Threat Intelligence (GTI) para que se clasifiquen. La herramienta también ayuda a garantizar que GTI no proporcione un valor de reputación incorrecto para sus archivos. Para obtener más información, consulte la Guía del producto de GetClean (KB91942).

Regla de contención definida por el McAfee	Descripción	McAfee Default Se recomienda el ajuste equilibrio recomendado para bloquear	McAfee Default Recomendado de seguridad configurado como bloquear
Acceso a hashes de LM de contraseñas inseguras	Protege el archivo SAM en %WINDIR%\system32\config. Windows almacena contraseñas en este archivo. Los programas no suelen acceder a este archivo. Procedimiento recomendado: Establezca esta regla como informar solo (valor predeterminado) en monitor para programas potencialmente maliciosos o intentos de acceso no autorizados.
Acceso a ubicaciones de cookie de usuario	Protege la carpeta de cookies de Internet Explorer en %AppData%\Roaming y %AppData%Local\Datos de los cambios. Procedimiento recomendado: Establezca esta regla como informar solo (predeterminado) para monitor acceso a Internet Explorer cookies por programas contenidos.
Asignación de memoria en otro proceso	Impide que los procesos contenidos puedan modificar la memoria en otros procesos del sistema.	✔	✔
Creación de un subproceso en otro proceso	Impide que los procesos contenidos puedan crear o modificar un subproceso en otros procesos del sistema.	✔	✔
Creación de archivos en cualquier ubicación de la red	Impide que los procesos contenidos puedan crear archivos en ubicaciones de red. El malware puede utilizar estas ubicaciones para propagar los archivos infectados. Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección.
Creación de archivos en CD, disquete y unidades extraíbles	Impide que los procesos contenidos puedan crear archivos en dispositivos extraíbles. El malware puede utilizar estos dispositivos para propagarse. Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección.
Creación de archivos con la .bat extensiones	Impide que los procesos contenidos puedan crear cualquier archivo con la . bat extensiones. Si se utilizan archivos por lotes con fines administrativos, el establecimiento de esta regla en bloquear podría producir falsos positivos y afectar a las operaciones empresariales. Procedimiento recomendado: Si no se utilizan archivos por lotes para administrar el sistema, establezca esta regla como bloquear e informar. Esta configuración impide que malware cree scripts que los motores de scripting se ejecuten más tarde.		✔
Creación de archivos con la .exe extensiones	Impide que los procesos contenidos puedan crear cualquier archivo con la . exe extensiones. Esta regla impide que malware cree ejecutables en el sistema. Los "bloques falsos" típicos que pueden producirse con esta regla pueden incluir WinZip, si los usuarios actualizan WinZip periódicamente y algunos instaladores y Desinstaladores. Asegúrese de ejecutar GetClean antes de activar el bloqueo. Para ajustar aún más esta regla, utilice las exclusiones globales de DAC.		✔
Creación de archivos con la . html, . jpg, o bien . bmp extensiones	Impide que los procesos contenidos puedan crear archivos con la . html, . jpg, o bien . bmp extensiones. En ocasiones, el malware secuestra estas extensiones para engañar al usuario para que ejecute la carga útil. Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección.
Creación de archivos con la . Job extensiones	Impide que los procesos contenidos programen tareas en el sistema. El malware aprovecha activamente las tareas planificadas para evitar los analizadores de comportamiento.	✔	✔
Creación de archivos con la . vbs extensiones	Impide que los procesos contenidos puedan crear archivos con la . vbs extensiones. Si . vbs los archivos se utilizan con fines administrativos y, al establecer esta regla en bloquear, se pueden generar falsos positivos y afectar a las operaciones empresariales. Procedimiento recomendado: Si . vbs los archivos no se utilizan para administrar el sistema; establezca esta regla como bloquear e informar. Esta configuración impide que malware cree scripts que los motores de scripting se ejecuten más tarde.
Creando nuevo CLSID, AppID, y Typelib	Impide que los procesos contenidos puedan crear ID de clase, ID de aplicación, o bien Typelib. Estas ubicaciones del registro se pueden utilizar para registrar nuevos tipos de archivos y permitir malware un punto de entrada en el sistema. Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección.
Eliminando archivos que suelen ser de ransomware de clase malware	Impide que los procesos contenidos eliminen archivos que ransomware de clase malware destinos habituales. El ransomware a veces intenta leer los archivos en la memoria, escribe el contenido del archivo en un archivo nuevo, lo cifra y, a continuación, elimina el original. El malware de ransomware no suele intentar cambiar directamente los archivos destinados al cifrado. En su lugar, utiliza un proceso que ya está en el sistema, como, por ejemplo, Explorer. exe o PowerShell. exepara proxy el ataque. Si se bloquean suficientes intentos, el malware podría recurrir a intentar cifrar el archivo directamente.	✔	✔
Desactivación de ejecutables críticos del sistema operativo	Impide que los procesos contenidos se desactiven regedit o administrador de tareas y, por tanto, restringir el acceso de los administradores a estas herramientas.	✔	✔
Ejecución de cualquier proceso secundario	Impide que los procesos contenidos ejecuten un proceso secundario en el sistema. Procedimiento recomendado: Ejecute GetClean antes de establecer esta regla en bloquear.		✔
Modificación de las entradas del registro de Appinit DLL	Impide que los procesos contenidos puedan agregar entradas a la AppInit Ubicación del registro. Los procesos de modo de usuario del sistema pueden cargar cualquier entrada en el AppInit Ubicación del registro. Por este motivo, malware puede utilizar estos procesos como un vector de ataque para insertar su carga útil.	✔	✔
Modificación de correcciones de compatibilidad de aplicaciones	Impide que los procesos contenidos puedan crear correcciones de compatibilidad de aplicaciones. El malware puede utilizar esta técnica para obtener los mismos derechos que el proceso de destino e inyectar código shell.	✔	✔
Modificación de archivos críticos de Windows y ubicaciones de registro	Impide que los procesos contenidos puedan modificar archivos y ubicaciones de registro críticos, como el archivo hosts. WINLOGON Ubicación del registro, ubicación en el registro del administrador de sesiones y otros. Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección.
Modificación de la configuración de fondo de escritorio	Impide que los procesos contenidos puedan cambiar la configuración del papel tapiz o el fondo del escritorio. El malware puede utilizar esta técnica para engañar al usuario, ocultar archivos o hacer que el usuario cree que está haciendo clic en otra cosa. Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección.
Modificación de asociaciones de extensiones de archivos	Impide que los procesos contenidos puedan secuestrar asociaciones de extensiones de archivos. El malware puede utilizar esta técnica para engañar al usuario para que se ejecuten tipos de archivos desconocidos o que utilicen programas desconocidos para ejecutar archivos.		✔
Modificación de archivos con la . bat extensiones	Impide que los procesos contenidos puedan cambiar archivos con el . bat extensiones. Utilice esta regla para ayudar a evitar que malware infecten archivos de script en el sistema operativo. Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección.
Modificación de archivos con la . vbs extensiones	Impide que los procesos contenidos puedan cambiar archivos con el . vbs extensiones. Utilice esta regla para ayudar a evitar que malware infecten archivos de script en el sistema operativo. Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección.
Modificación de las entradas de registro de las opciones de ejecución de archivo de imagen	Impide que los procesos contenidos puedan cambiar las opciones de ejecución de archivos de imagen en el registro. El malware puede utilizar esta técnica para secuestrar la ejecución de procesos y evitar que los procesos se ejecuten por completo.	✔	✔
Modificación de archivos ejecutables portables	Impide que los procesos contenidos puedan modificar cualquier archivo ejecutable portable del sistema. Los ejecutables portátiles son archivos que Windows pueden ejecutar de forma nativa, como . exe, . dll, y . sys.		✔
Modificación de la configuración del protector de pantalla	Impide que los procesos contenidos puedan cambiar la configuración del protector de salvapantallas. El malware puede utilizar esta técnica para eliminar cargas maliciosas en el sistema.	✔	✔
Modificación de las ubicaciones del registro de inicio	Impide que los procesos contenidos puedan crear o cambiar las ubicaciones de inicio del registro de Windows. El malware oculta con frecuencia las cargas o proxies a las cargas en las ubicaciones de inicio del registro de Windows.	✔	✔
Modificación del depurador automático	Impide que los procesos contenidos puedan modificar o agregar el depurador automático, que malware puede utilizar para secuestrar la ejecución de procesos y robar información confidencial.
Modificación del bit de atributo oculto	Impide que los procesos contenidos puedan cambiar el bit oculto en los archivos del sistema.	✔	✔
Modificación del bit de atributo de solo lectura	Impide que los procesos contenidos puedan cambiar el bit de solo lectura en los archivos del sistema.	✔	✔
Modificación de la ubicación del registro de servicios	Impide que los procesos contenidos puedan cambiar el comportamiento del servicio en el sistema.		✔
Modificación de la Directiva de Firewall de Windows	Impide que los procesos contenidos puedan modificar las directivas de Firewall almacenadas en el registro. El malware puede utilizar el Windows Firewall para abrir brechas de seguridad en el sistema. Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección.
Modificación de la carpeta tareas de Windows	Impide que los procesos contenidos puedan crear o modificar tareas almacenadas en las carpetas de tareas. El malware puede utilizar tareas para colocar su carga útil en el sistema. Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección.
Modificación de directivas de usuario	Impide que los procesos contenidos puedan modificar la configuración de directiva de grupo directamente. El malware puede utilizar esta técnica para cambiar la postura de seguridad y las vulnerabilidades de apertura del sistema.		✔
Modificación de las carpetas de datos de los usuarios	Impide que los procesos contenidos puedan modificar o ejecutar archivos en las carpetas de datos comunes del usuario. Las carpetas de datos de Ajustes generales incluyen el escritorio, las descargas, los documentos, las imágenes y otras ubicaciones en la AppData carpeta, que malware destinos en ransomware ataques. Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. Esta regla puede dar lugar a falsos positivos en función de si el programa contenido es verdaderamente malicioso o no.
Lectura de archivos que suelen ser objetivo de malware de ransomware	Impide que los procesos contenidos puedan leer archivos que ransomware de clase malware destinos habituales. El ransomware a veces intenta leer los archivos en la memoria, escribe el contenido del archivo en un archivo nuevo, lo cifra y, a continuación, elimina el original. El malware de ransomware no suele intentar cambiar directamente los archivos destinados al cifrado. En su lugar, utiliza un proceso que ya está en el sistema, como, por ejemplo, Explorer. exe o PowerShell. exepara proxy el ataque. Si se bloquean suficientes intentos, el malware podría recurrir a intentar cifrar el archivo directamente.		✔
Lectura de la memoria de otro proceso	Impide que los procesos contenidos lean la memoria de otro proceso del sistema. Esta regla puede ayudar a frustrar los intentos de robar información contenida en procesos de destino.		✔
Lectura o modificación de archivos en cualquier ubicación de la red	Impide que los procesos contenidos puedan leer o cambiar archivos en ubicaciones de red. El malware puede utilizar estas ubicaciones para propagar archivos infectados. Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección.
Lectura o modificación de archivos en unidades de CD, de disquete y extraíbles	Impide que los procesos contenidos lean o cambien el contenido de los dispositivos extraíbles. El malware puede utilizar estos dispositivos para propagarse. Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección.
Suspensión de un proceso	Impide que los procesos contenidos puedan suspender otros procesos del sistema. Algunos malware intentan suspender un proceso para secuestrarlo o vaciarlo con fines maliciosos, también conocidos como huecos de procesos.	✔	✔
Finalizando otro proceso	Impide que los procesos contenidos puedan detener los procesos del sistema.	✔	✔
Escritura en la memoria de otro proceso	Impide que los procesos contenidos puedan escribir en el espacio de memoria de otro proceso del sistema.	✔	✔
Escritura en archivos que suelen ser objetivo de ransomware de clase malware	Impide que los procesos contenidos puedan modificar los archivos que ransomware malware son destinos habituales. El malware de ransomware no suele intentar cambiar directamente los archivos destinados al cifrado. En su lugar, utiliza un proceso que ya está en el sistema, como el explorador.exe o PowerShell. exe, para proxy el ataque. Si se bloquean suficientes intentos, el malware podría recurrir a intentar cifrar el archivo directamente.		✔