Skip Navigation

Speicheraktionen

Die folgenden Einstellungen finden Sie auf der Registerkarte
Speicheraktionen
in einer Geräterichtlinie. Sie können den
Speicherschutz
aktivieren und festlegen, wie der
CylancePROTECT Desktop
-Agent Speicher-Exploits verarbeitet, einschließlich Prozessinjektionen und Eskalationen. Sie können auch ausführbare Dateien zu einer Ausschlussliste hinzufügen, sodass diese Dateien ausgeführt werden können, wenn diese Richtlinie angewendet wird.
Option
Beschreibung
Speicherschutz
Diese Einstellung gibt an, ob in der Richtlinie Einstellungen zum Speicherschutz aktiviert werden sollen. Wenn diese Option aktiviert ist, erkennt der Agent verschiedene Arten von Prozessaufrufen, die eine Bedrohung darstellen können, und verarbeitet jeden Typ entsprechend der von Ihnen gewählten Einstellung.
  • Ignorieren
    : Der Agent ergreift keine Maßnahmen.
  • Warnung
    : Der Agent protokolliert den Verstoß und meldet den Vorfall an die Verwaltungskonsole.
  • Blockieren
    : Der Agent protokolliert den Verstoß, meldet den Vorfall an die Verwaltungskonsole und blockiert den Prozessaufruf. Die Anwendung, die den Aufruf getätigt hat, kann weiterhin ausgeführt werden.
  • Beenden
    : Der Agent protokolliert den Verstoß, meldet den Vorfall an die Verwaltungskonsole, blockiert den Prozessaufruf und beendet die Anwendung, die den Aufruf getätigt hat.
Ausführbare Dateien ausschließen
Diese Einstellung gibt den relativen Pfad der Dateien an, die ignoriert werden sollen. Wenn Dateien zu dieser Ausschlussliste hinzugefügt werden, können sie auf Geräten ausgeführt oder installiert werden, denen diese Richtlinie zugewiesen ist.
Sie geben den relativen Pfad der Datei und die Verletzungstypen an, die ignoriert werden sollen. Auf
Windows
-Geräten können Sie auch den absoluten Dateipfad angeben. Verwenden Sie gekürzte relative Pfade mit Vorsicht, da andere ausführbare Dateien mit demselben relativen Pfad ausgeschlossen werden könnten.
Nach Anwendung des Ausschlusses müssen alle Instanzen dieses Prozesses beendet werden, damit der Treiber nicht mehr in den Prozess eingreift.
Beispiele für
Windows
  • Relativer Pfad:
    \Application\Subfolder\application.exe
  • Absoluter Pfad:
    C:\Application\Subfolder\application.exe
Beispiele für
Linux
  • Relativer Pfad:
    /opt/application/executable
  • Relativer Pfad für Dynamic Library-Dateien:
    /executable.dylib
Beispiele für
macOS
  • Relativer Pfad ohne Leerzeichen:
    /Applications/SampleApplication.app/Contents/MacOS/executable
  • Relativer Pfad mit Leerzeichen:
    /Applications/Sample Application.app/Contents/MacOS/executable
  • Relativer Pfad für Dynamic Library-Dateien:
    /executable.dylib
Sie können auch Platzhalter für Speicherschutzausschlüsse verwenden. Weitere Informationen finden Sie unter Platzhalter in Ausschlüssen zum Speicherschutz.
Wenn Sie einen Ausschluss speichern, ohne mindestens einen zu ignorierenden Verletzungstyp hinzuzufügen, wird der Ausschluss sowohl auf Speicherschutz- als auch auf Skriptsteuerungsereignisse angewendet. Wenn mindestens ein zu ignorierender Verletzungstyp hinzugefügt wird, wird der Ausschluss nur auf den Speicherschutz angewendet.
Bestimmte Verletzungstypen ignorieren
Wenn Sie einen Ausschluss hinzufügen, aktivieren Sie dieses Kontrollkästchen, um eine Dateiverletzung basierend auf einem oder allen der folgenden Elemente zu ignorieren:
  • Verletzungstypkategorien (z. B. Exploitation, Prozessinjektion, Eskalation)
  • Individuelle Verletzungstypen unter jeder Kategorie (z. B. Stack Pivot, Remote-Speicherzuweisung, Nullzuteilung usw.)
Wenn Sie einer Speicherschutz-Geräterichtlinie Ausschlüsse hinzufügen und die Richtlinie nur für Verletzungen des Speicherschutzes und nicht für Verletzungen der Skriptsteuerung gelten soll, geben Sie mindestens einen Verletzungstyp an, den Sie ignorieren möchten. Wenn Sie keine zu ignorierenden Verletzungstypen auswählen, wird eine Warnmeldung angezeigt, und der Ausschluss gilt sowohl für die Speicherschutz- als auch für die Skriptsteuerungsrichtlinien.
Für vorhandene Speicherschutzrichtlinien gilt:
  • Wenn die Ausschlusseinstellung
    Bestimmte Verletzungstypen ignorieren
    bereits aktiviert ist, die Skriptsteuerungs-Richtlinie jedoch nicht aktiviert ist, ist keine Aktion erforderlich.
  • Wenn die Ausschlusseinstellung
    Bestimmte Verletzungstypen ignorieren
    deaktiviert ist und Sie sicherstellen möchten, dass die Richtlinie nur auf Verletzungen des Speicherschutzes (und nicht auf die Skriptsteuerung) angewendet wird, müssen Sie sie aktivieren und mindestens einen zu ignorierenden Verletzungstyp angeben.
Wenn Sie eine vorhandene Richtlinie bearbeiten und einen Ausschluss hinzufügen, wird das Kontrollkästchen „Bestimmte Verletzungstypen ignorieren“ erst angezeigt, wenn Sie den Verletzungstyp ändern (z. B. von „Sperren“ auf „Beenden“ oder „Warnung“).
Für jede Datei mit bestimmten Verletzungsarten, die ignoriert werden, können Sie detaillierte Informationen anzeigen und die Einstellungen bearbeiten oder löschen.
Als DLL-Ausschluss behandeln
Wählen Sie diese Einstellung, wenn Sie Ausnahmen für DLLs von Drittanbietern hinzufügen möchten. Wenn Sie beispielsweise Sicherheitsprodukte von Drittanbietern zusätzlich zu
CylancePROTECT Desktop
für
Windows
ausführen, können Sie einen Ausschluss für die entsprechenden .dll-Dateien hinzufügen, damit
CylancePROTECT
bestimmte Verstöße für diese Produkte ignoriert. Diese Funktion unterstützt nur die Verletzungstypen „Schädliche Payload“ und „System-DLL-Überschreibung“.
Die folgenden Regeln gelten, wenn Sie einen DLL-Ausschluss angeben:
  • Sie müssen die Option
    Als DLL-Ausschluss behandeln
    in der Geräterichtlinie auswählen.
  • Auf dem Gerät muss
    CylancePROTECT Desktop
    -Agent Version 3.1.1001 oder höher auf einem
    Windows
    -Gerät ausgeführt werden.
  • Der von Ihnen angegebene Dateipfad muss der vollständige, direkte Pfad zur .dll-Datei sein. Platzhalter sind nicht zulässig.
  • Die .dll-Datei muss mit einem Zertifikat signiert werden, das auf dem Gerät, auf dem
    CylancePROTECT Desktop
    installiert ist, als vertrauenswürdig gilt. Andernfalls wird sie nicht ausgeschlossen.
Weitere Informationen zur Unterstützung von DLL-Ausschlüssen finden Sie unter support.blackberry.com in der KB 108909.