Speicheraktionen
Die folgenden Einstellungen finden Sie auf der Registerkarte
Speicheraktionen
in einer Geräterichtlinie. Sie können den Speicherschutz
aktivieren und festlegen, wie der CylancePROTECT Desktop
-Agent Speicher-Exploits verarbeitet, einschließlich Prozessinjektionen und Eskalationen. Sie können auch ausführbare Dateien zu einer Ausschlussliste hinzufügen, sodass diese Dateien ausgeführt werden können, wenn diese Richtlinie angewendet wird.Option | Beschreibung |
---|---|
Speicherschutz | Diese Einstellung gibt an, ob in der Richtlinie Einstellungen zum Speicherschutz aktiviert werden sollen. Wenn diese Option aktiviert ist, erkennt der Agent verschiedene Arten von Prozessaufrufen, die eine Bedrohung darstellen können, und verarbeitet jeden Typ entsprechend der von Ihnen gewählten Einstellung.
|
Ausführbare Dateien ausschließen | Diese Einstellung gibt den relativen Pfad der Dateien an, die ignoriert werden sollen. Wenn Dateien zu dieser Ausschlussliste hinzugefügt werden, können sie auf Geräten ausgeführt oder installiert werden, denen diese Richtlinie zugewiesen ist. Sie geben den relativen Pfad der Datei und die Verletzungstypen an, die ignoriert werden sollen. Auf Windows -Geräten können Sie auch den absoluten Dateipfad angeben. Verwenden Sie gekürzte relative Pfade mit Vorsicht, da andere ausführbare Dateien mit demselben relativen Pfad ausgeschlossen werden könnten.Nach Anwendung des Ausschlusses müssen alle Instanzen dieses Prozesses beendet werden, damit der Treiber nicht mehr in den Prozess eingreift. Beispiele für Windows
Beispiele für Linux
Beispiele für macOS
Sie können auch Platzhalter für Speicherschutzausschlüsse verwenden. Weitere Informationen finden Sie unter Platzhalter in Ausschlüssen zum Speicherschutz. Wenn Sie einen Ausschluss speichern, ohne mindestens einen zu ignorierenden Verletzungstyp hinzuzufügen, wird der Ausschluss sowohl auf Speicherschutz- als auch auf Skriptsteuerungsereignisse angewendet. Wenn mindestens ein zu ignorierender Verletzungstyp hinzugefügt wird, wird der Ausschluss nur auf den Speicherschutz angewendet. |
Bestimmte Verletzungstypen ignorieren | Wenn Sie einen Ausschluss hinzufügen, aktivieren Sie dieses Kontrollkästchen, um eine Dateiverletzung basierend auf einem oder allen der folgenden Elemente zu ignorieren:
Wenn Sie einer Speicherschutz-Geräterichtlinie Ausschlüsse hinzufügen und die Richtlinie nur für Verletzungen des Speicherschutzes und nicht für Verletzungen der Skriptsteuerung gelten soll, geben Sie mindestens einen Verletzungstyp an, den Sie ignorieren möchten. Wenn Sie keine zu ignorierenden Verletzungstypen auswählen, wird eine Warnmeldung angezeigt, und der Ausschluss gilt sowohl für die Speicherschutz- als auch für die Skriptsteuerungsrichtlinien. Für vorhandene Speicherschutzrichtlinien gilt:
Wenn Sie eine vorhandene Richtlinie bearbeiten und einen Ausschluss hinzufügen, wird das Kontrollkästchen „Bestimmte Verletzungstypen ignorieren“ erst angezeigt, wenn Sie den Verletzungstyp ändern (z. B. von „Sperren“ auf „Beenden“ oder „Warnung“). Für jede Datei mit bestimmten Verletzungsarten, die ignoriert werden, können Sie detaillierte Informationen anzeigen und die Einstellungen bearbeiten oder löschen. |
Als DLL-Ausschluss behandeln | Wählen Sie diese Einstellung, wenn Sie Ausnahmen für DLLs von Drittanbietern hinzufügen möchten. Wenn Sie beispielsweise Sicherheitsprodukte von Drittanbietern zusätzlich zu CylancePROTECT Desktop für Windows ausführen, können Sie einen Ausschluss für die entsprechenden .dll-Dateien hinzufügen, damit CylancePROTECT bestimmte Verstöße für diese Produkte ignoriert. Diese Funktion unterstützt nur die Verletzungstypen „Schädliche Payload“ und „System-DLL-Überschreibung“.Die folgenden Regeln gelten, wenn Sie einen DLL-Ausschluss angeben:
Weitere Informationen zur Unterstützung von DLL-Ausschlüssen finden Sie unter support.blackberry.com in der KB 108909. |