Lista de e práticas recomendadas para regras de Confinamento dinâmico de aplicativos do Endpoint Security
Artigos técnicos ID:
KB87843
Última modificação: 27/01/2021
Última modificação: 27/01/2021
Ambiente
McAfee Endpoint Security (ENS) 10.7.x, 10.6.x, 10.5.x
Resumo
Regras do Confinamento dinâmico de aplicativos (DAC) na McAfee Default a política está definida como relatar somente para reduzir falsos positivos. Proteção adaptável contra ameaças fornece duas outras políticas de aplicativos dinâmicos predefinidas: McAfee Default Equilibrado e McAfee Default Direito. Essas políticas definem regras recomendadas para bloquear, com base no perfil de segurança:
O DAC pode excluir processos do confinamento de acordo com o nome, o MD5 hash, os dados de assinatura e o caminho. Se a organização assinar ferramentas que são distribuídas internamente, adicione essas assinaturas como exclusões para reduzir os falsos positivos.
Quando no modo de observação, os relatórios de DAC "conteriam" eventos, mas não os eventos "seriam bloqueados". (Um aplicativo deve ser incluído antes que o ENS determine se deve bloqueá-lo.) Os eventos "confinados" não indicam um bloqueio em potencial. Para ajustar o DAC corretamente, depois de desativar o modo de observação, modifique as regras de confinamento para relatar, mas não bloquear. Em seguida, defina as regras a serem bloqueadas, conforme necessário, para que correspondam à configuração padrão.
As regras de DAC têm controle de inundação, o que limita o número de eventos gerados a uma vez por hora, por regra e por processo. O controle de inundação DAC rastreia os processos por ID de processo (PID). Quando um processo é reiniciado, o sistema operacional atribui a ele um novo PID, que redefine o controle de inundação, mesmo que o nome do processo seja o mesmo. Por exemplo, se o processo A violar A regra DAC A 100 vezes por hora, você receberá um evento por hora. Se o processo A for reiniciado durante essa hora, o controle de inundação será redefinido para o processo A e você receberá outro evento se ele continuar violando A regra de DAC A. Se o processo B violar a mesma regra de DAC A, você receberá um segundo evento (com os detalhes do processo B).
Prática recomendada: Execute a ferramenta McAfee GetClean nas imagens base de distribuição para os sistemas de produção. Essa ferramenta garante que os arquivos limpos sejam enviados para Global Threat Intelligence (GTI) para serem categorizados. A ferramenta também ajuda a garantir que o GTI não forneça um valor de reputação incorreto para os seus arquivos. Para obter mais informações, consulte o Guia de produto do GetClean (KB91942).
- McAfee Default O equilibrado fornece um nível de proteção básico enquanto minimiza falsos positivos para muitos instaladores e aplicativos comuns não assinados.
- McAfee Default A segurança fornece proteção agressiva, mas pode causar falsos positivos com mais frequência em instaladores e aplicativos não assinados.
O DAC pode excluir processos do confinamento de acordo com o nome, o MD5 hash, os dados de assinatura e o caminho. Se a organização assinar ferramentas que são distribuídas internamente, adicione essas assinaturas como exclusões para reduzir os falsos positivos.
Quando no modo de observação, os relatórios de DAC "conteriam" eventos, mas não os eventos "seriam bloqueados". (Um aplicativo deve ser incluído antes que o ENS determine se deve bloqueá-lo.) Os eventos "confinados" não indicam um bloqueio em potencial. Para ajustar o DAC corretamente, depois de desativar o modo de observação, modifique as regras de confinamento para relatar, mas não bloquear. Em seguida, defina as regras a serem bloqueadas, conforme necessário, para que correspondam à configuração padrão.
| Regra de confinamento definida pela McAfee | Descrição | McAfee Default Equilibrado recomendado definido para bloquear | McAfee Default Segurança recomendada definida para bloquear |
| Acesso a hashes de LM de senha insegura |
Protege a arquivo do SAM em Prática recomendada: Defina esta regra como somente para relatar (padrão) para monitor de programas potencialmente maliciosos ou tentativas de acesso não autorizadas. |
||
| Acesso a locais de cookie do usuário | Protege a pasta Internet Explorer cookies no Prática recomendada: Defina esta regra como somente relatar (padrão) para monitor acesso a Internet Explorer cookies por programas contidos. |
||
| Alocando memória em outro processo | Impede que processos confinados alterem a memória em outros processos do sistema. | ✔ | ✔ |
| Criação de um thread em outro processo | Impede que processos confinados criem ou modifiquem um thread em outros processos no sistema. |
✔ | ✔ |
| Criação de arquivos em qualquer local de rede | Impede que processos confinados criem arquivos em locais de rede. O malware pode usar esses locais para espalhar os arquivos infectados. Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. |
||
| Criação de arquivos em CD, disquete e unidades removíveis | Impede que processos confinados criem arquivos em dispositivos removíveis. O malware pode usar esses dispositivos para se propagar. Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. |
||
| Criação de arquivos com o |
Impede que processos confinados criem qualquer arquivo com o Se os arquivos em lote forem usados para fins administrativos, a definição dessa regra para bloquear pode produzir falsos positivos e impactar as operações de negócios. Prática recomendada: Se os arquivos em lote não forem usados para administrar o sistema, defina essa regra como bloquear e relatar. Essa configuração impede que malware criem scripts que os mecanismos de script executem mais tarde. |
✔ | |
| Criação de arquivos com o |
Impede que processos confinados criem qualquer arquivo com o Os "bloqueios falsos" típicos que podem ocorrer com essa regra podem incluir |
✔ | |
| Criação de arquivos com o |
Impede que processos confinados criem arquivos com o Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. |
||
| Criação de arquivos com o |
Impede que processos confinados representem tarefas no sistema. O malware explora ativamente as tarefas programadas para evitar mecanismos de varredura comportamentais. | ✔ | ✔ |
| Criação de arquivos com o |
Impede que processos confinados criem arquivos com o Mesmo Prática recomendada: Mesmo |
||
| Criação de novos |
Impede que processos confinados criem Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. |
||
| Exclusão de arquivos comumente visados por malware de classe de ransomware | Impede que processos confinados excluam arquivos que malware de classe ransomware em geral. Às vezes, o ransomware tenta ler os arquivos na memória, gravar o conteúdo do arquivo em um novo arquivo, criptografá-lo e, em seguida, excluir o original. Ransomware-a malware de classe não tenta, normalmente, alterar diretamente os arquivos que estão visando a criptografia. Em vez disso, ele usa um processo que já está no sistema, como |
✔ | ✔ |
| Desativação de executáveis críticos do sistema operacional | Impede que processos confinados sejam desativados |
✔ | ✔ |
| Execução de qualquer processo filho | Impede que processos confinados executem qualquer processo filho no sistema. Prática recomendada: Execute GetClean antes de definir esta regra para bloquear. |
✔ | |
| Modificação de entradas do registro DLL do AppInit | Impede que processos confinados adicionem entradas ao Os processos do modo de usuário no sistema podem carregar qualquer entrada no |
✔ | ✔ |
| Modificação de correções de compatibilidade de aplicativos | Impede que processos confinados criem correções de compatibilidade de aplicativos. O malware pode usar essa técnica para obter os mesmos direitos do processo de destino e injetar o Shell. | ✔ | ✔ |
| Modificação de arquivos de Windows críticos e locais de registro | Impede que processos confinados alterem arquivos críticos e locais de registro, como os hosts arquivo, Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. |
||
| Modificação de configurações em segundo plano da área | Impede que processos confinados alterem as configurações para o papel de parede ou segundo plano da área de trabalho. O malware pode usar essa técnica para enganar o usuário, ocultar arquivos ou fazer com que o usuário ache que está clicando em algo mais. Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. |
||
| Modificação de associações de extensão de arquivo | Impede que processos confinados recapturem arquivo associações de extensão. O malware pode usar essa técnica para induzir o usuário a executar tipos de arquivo desconhecidos ou a usar programas desconhecidos para executar arquivos. | ✔ | |
| Modificação de arquivos com o |
Impede que processos confinados alterem arquivos com o Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. |
||
| Modificação de arquivos com o |
Impede que processos confinados alterem arquivos com o Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. |
||
| Modificação de entradas de registro das opções de execução de arquivo de imagem | Impede que processos confinados alterem as opções de execução de arquivo de imagem no registro. O malware pode usar essa técnica para seqüestrar a execução do processo e impedir que processos sejam executados totalmente. | ✔ | ✔ |
| Modificação de arquivos executáveis portáteis | Impede que processos confinados alterem qualquer arquivo executável portátil no sistema. Os executáveis portáteis são arquivos que Windows podem ser executados de forma nativa, como |
✔ | |
| Modificando configurações da proteção de tela | Impede que processos confinados alterem as configurações de protetor de tela. O malware pode usar essa técnica para descartar cargas maliciosas no sistema. | ✔ | ✔ |
| Modificação de locais de registro de inicialização | Impede que processos confinados criem ou alterem os locais de inicialização do registro do Windows. O malware freqüentemente oculta as cargas ou proxies para cargas nos locais de inicialização do registro do Windows. | ✔ | ✔ |
| Modificação do depurador automático | Impede que processos confinados alterem ou adicionem o depurador automático, que malware pode usar para seqüestrar a execução de processos e roubar informações confidenciais. | ||
| Modificando o bit de atributo oculto | Impede que processos confinados alterem o bit oculto em arquivos no sistema. | ✔ | ✔ |
| Modificando o bit de atributo somente leitura | Impede que processos confinados alterem o bit somente leitura nos arquivos do sistema. | ✔ | ✔ |
| Modificando o local do registro de serviços | Impede que processos confinados alterem o comportamento do serviço no sistema. | ✔ | |
| Modificando a política de Firewall do Windows | Impede que processos confinados alterem as políticas de Firewall armazenadas no registro. O malware pode usar o Windows Firewall para abrir brechas de segurança no sistema. Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. |
||
| Modificação da pasta de tarefas do Windows | Impede que processos confinados criem ou alterem tarefas armazenadas nas pastas de tarefas. O malware pode usar tarefas para colocar sua carga no sistema. Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. |
||
| Modificação de políticas de usuário | Impede que processos confinados alterem as configurações de política de grupo diretamente. O malware pode usar essa técnica para alterar a postura de segurança e abrir vulnerabilidades no sistema. | ✔ | |
| Modificação de pastas de dados de usuários | Impede que processos confinados alterem ou executem arquivos nas pastas de dados comuns do usuário. As pastas de dados do Em Comum incluem área de trabalho, downloads, documentos, imagens e outros locais no Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. Essa regra pode resultar em falsos positivos, dependendo se o programa contido é realmente malicioso ou não. |
||
| Leitura de arquivos comumente visados por malware de classe de ransomware | Impede que processos confinados leiam arquivos que malware de classe ransomware em geral. Às vezes, o ransomware tenta ler os arquivos na memória, gravar o conteúdo do arquivo em um novo arquivo, criptografá-lo e, em seguida, excluir o original. Ransomware-a malware de classe geralmente não tenta alterar diretamente os arquivos para os quais se destina a criptografia. Em vez disso, ele usa um processo que já está no sistema, como |
✔ | |
| Leitura a partir de outra memória do processo | Impede que processos confinados leiam a memória de outro processo no sistema. Essa regra pode ajudar a impedir tentativas de roubar informações contidas em processos direcionados. | ✔ | |
| Leitura ou modificação de arquivos em qualquer local de rede | Impede que processos confinados leiam ou alterem arquivos em locais de rede. O malware pode usar esses locais para espalhar arquivos infectados. Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. |
||
| Leitura ou modificação de arquivos em CD, disquete e unidades removíveis | Impede que processos confinados leiam ou alterem o conteúdo de dispositivos removíveis. O malware pode usar esses dispositivos para se propagar. Prática recomendada: Durante uma epidemia, defina essa regra como bloquear e relatar para ajudar a interromper ou reduzir a infecção. |
||
| Suspendendo um processo | Impede que processos confinados suspendam outros processos no sistema. Alguns malware tenta suspender um processo para seqüestrar ou desfazê-lo para fins maliciosos, também conhecido como vazio de processo. | ✔ | ✔ |
| Finalizando outro processo | Impede que processos confinados parem de ser processados no sistema. | ✔ | ✔ |
| Gravação na memória de outro processo | Impede que processos confinados gravem no espaço da memória de outro processo no sistema. | ✔ | ✔ |
| Gravação em arquivos comumente visados por malware de classe de ransomware | Impede que processos confinados alterem arquivos que malware de classe ransomware em geral. Ransomware-a malware de classe geralmente não tenta alterar diretamente os arquivos para os quais se destina a criptografia. Em vez disso, ele usa um processo que já está no sistema, como o Explorer.exe ou PowerShell. exe, para proxyr o ataque. Se tentativas suficientes forem bloqueadas, o malware poderá voltar a tentar criptografar o arquivo diretamente. |
✔ |
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas:
GermanEnglish United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified
