Schutzeinstellungen
CylancePROTECT Desktop
überwacht ständig die Ausführung schädlicher Prozesse und warnt die Konsole, wenn unsichere oder anormale Ausführungsversuche unternommen werden. Sie können den CylancePROTECT Desktop
Agenten mit den folgenden Einstellungen konfigurieren, die Sie auf der Registerkarte Schutzeinstellungen
in einer Geräterichtlinie finden.Option | Beschreibung |
|---|---|
Dienstbeendung über Gerät verhindern | Wenn diese Option ausgewählt ist, können Gerätebenutzer den Dienst für den CylancePROTECT Desktop -Agenten oder für die folgenden Versionen des CylanceOPTICS -Agenten nicht beenden:
Wenn diese Einstellung aktiviert ist, können macOS -Benutzer die Dienste nur beenden, wenn die Selbstschutzstufe in den Geräteeigenschaften auf „Lokaler Administrator“ (Assets > Geräte > Ein Gerät auswählen) eingestellt ist. Windows -Benutzer können die Agentendienste nicht beenden, solange diese Einstellung aktiviert ist.CylancePROTECT Desktop -Agent Version 3.1 und höher wird als vertrauenswürdiger Dienst mit der AM-PPL-Technologie (Antimalware Protected Process Light) von Microsoft ausgeführt, wodurch auch verhindert wird, dass der Agent heruntergefahren wird. Für diese Funktion muss auf dem Gerät Windows 10 1709 oder höher oder Windows Server 2019 oder höher ausgeführt werden. |
Unsichere laufende Prozesse und deren Unterprozesse beenden | Wenn diese Einstellung ausgewählt ist, beendet der Agent Prozesse und untergeordnete Prozesse (.exe oder .dll), unabhängig von ihrem Status, sobald eine Bedrohung erkannt wird. Dies bietet ein hohes Maß an Kontrolle über schädliche Prozesse, die möglicherweise auf einem Gerät ausgeführt werden. Die Datei muss mithilfe der globalen Quarantäneliste automatisch oder manuell unter Quarantäne gestellt werden. Diese Funktion muss aktiviert werden, bevor die Datei unter Quarantäne gestellt wird. Wenn diese Funktion aktiviert ist, die Datei jedoch weder manuell noch automatisch unter Quarantäne gestellt wurde, werden die Prozesse weiterhin ausgeführt. Beispiel: Die Ausführung einer Datei wird zugelassen, dann entscheiden Sie sich, die Datei unter Quarantäne zu stellen. Wenn diese Einstellung aktiviert ist, wird die Datei in Quarantäne verschoben, und der Prozess wird zusammen mit allen untergeordneten Prozessen beendet. Wenn diese Einstellung deaktiviert ist, wird die Datei unter Quarantäne gestellt. Da die Ausführung der Datei jedoch zugelassen wurde, konnten alle Prozesse, die von der Datei gestartet worden sind, weiterhin ausgeführt werden. |
Bedrohungserkennung im Hintergrund | Es wird ein vollständiger Datenträgerscan durchgeführt, um inaktive Bedrohungen auf der Festplatte zu erkennen und zu analysieren. Der vollständige Datenträgerscan ist so konzipiert, dass die Auswirkungen auf den Endbenutzer durch den Einsatz relativ weniger Systemressourcen minimiert werden. Der Scan der Bedrohungserkennung im Hintergrund kann bis zu einer Woche dauern, je nachdem, wie stark das System ausgelastet ist und wie viele Dateien im System analysiert werden müssen. Das Datum und die Uhrzeit des letzten abgeschlossenen Hintergrundscans werden in der Konsole protokolliert. Sie können den Scan nur einmal bei der Installation ausführen oder ihn so einstellen, dass er in einem von Ihnen festgelegten Intervall ausgeführt wird. Das Standard-Scanintervall beträgt 10 Tage. Wichtige Upgrades des Erkennungsmodells, z. B. das Hinzufügen neuer Betriebssysteme, lösen ebenfalls einen vollständigen Datenträgerscan aus. Beachten Sie, dass eine Erhöhung der Häufigkeit der Scans die Leistung Geräts beeinträchtigen kann. Es wird empfohlen, dass Sie die Einstellung Bedrohungserkennung im Hintergrund auf Einmal ausführen festlegen und die Option Auf neue Dateien überwachen aktivieren, damit neue und aktualisierte Dateien auf der Festplatte überwacht werden. Wenn Sie nach neuen und aktualisierten Dateien suchen, müssen Sie alle vorhandenen Dateien nur einmal überprüfen. Aufgrund der Vorhersagbarkeit der Technologie sind regelmäßige Scans der gesamten Festplatte nicht erforderlich, können aber zu Compliance-Zwecken implementiert werden (z. B. PCI-Compliance).Wenn Scans zur Bedrohungserkennung im Hintergrund auf mehreren VM-Geräten ausgeführt werden, die gleichzeitig vom selben VM-Host stammen, wird die Geräteleistung beeinträchtigt. Ziehen Sie in Betracht, diese Funktion für VM-Geräte schrittweise zu aktivieren, um die Anzahl der gleichzeitig stattfindenden Scans zu begrenzen. Verwenden Sie einen der folgenden Befehle, um den Scan manuell auszuführen:
|
Auf neue Dateien überwachen | Diese Einstellung ermöglicht es dem Agenten, neue oder geänderte Dateien auf inaktive Bedrohungen zu scannen und zu analysieren. Wenn eine Bedrohung erkannt wird, wird die Datei in Quarantäne verschoben, auch wenn nicht versucht wurde, sie auszuführen. Es wird empfohlen, diese Einstellung zusammen mit der Erkennung von Hintergrundbedrohungen zu aktivieren (einmalige Ausführung). Der automatische Quarantänemodus (Ausführungssteuerung) blockiert unsichere oder anormale Dateien bei der Ausführung. Daher ist es nicht erforderlich, „Auf neue Dateien überwachen“ zu aktivieren, wenn der automatische Quarantänemodus ebenfalls aktiviert ist, es sei denn, Sie ziehen es vor, eine schädliche Datei in Quarantäne zu stellen, sobald der Agent die Bedrohung während eines Scans erkennt. Diese Einstellung kann sich auf die Leistung auswirken. Sie sollten daher die Datenträger- oder Nachrichtenverarbeitungsleistung prüfen, um festzustellen, ob sie sich geändert hat. Das Ausschließen von Ordnern kann die Leistung verbessern und sicherstellen, dass bestimmte Ordner und Dateien nicht vom Agenten gescannt oder analysiert werden. |
Festlegen der maximalen Größe zu scannender Archivdateien | Geben Sie die maximale Größe der Archivdatei an, die vom Agenten gescannt werden soll. Diese Einstellung gilt für die Bedrohungserkennung im Hintergrund und für Auf neue Dateien überwachen . Wenn Sie keine Archivdateien scannen möchten, stellen Sie die Dateigröße auf 0 MB ein. |
Bestimmte Ordner ausschließen | Mit dieser Einstellung können Sie Ordner und Unterordner festlegen, die über die Funktionen Bedrohungserkennung im Hintergrund und Auf neue Dateien überwachen vom Scannen ausgeschlossen werden sollen.Verwenden Sie für Windows einen absoluten Pfad mit Laufwerksbuchstabe. Beispiel: C:\Test .Verwenden Sie für macOS einen absoluten Pfad aus dem Stammverzeichnis ohne Laufwerksbuchstabe. Beispiel: /Applications/SampleApplication.app .Verwenden Sie für Linux einen absoluten Pfad aus dem Stammverzeichnis ohne Laufwerksbuchstabe. Beispiel: /opt/application .Beispiel für Windows : C:\Test Beispiel für macOS (ohne Leerzeichen) : /Applications/SampleApplication.app Beispiel für macOS (mit Leerzeichen) : /Applications/Sample\ Application.app Beispiel für Linux : /opt/application/ Der Platzhalter „*“ wird auch für Ordnerausschlüsse unterstützt. Weitere Informationen finden Sie im Abschnitt Platzhalter in den Ordnerausschlüssen der Schutzeinstellungen. Ausschlüsse werden nicht rückwirkend angewendet. Nach der Erstinstallation des Agenten ignorieren die Funktionen „Bedrohungserkennung im Hintergrund“ und „Auf neue Dateien überwachen“ Dateien gemäß der Ausschlussliste, die sie empfangen haben. Das Hinzufügen eines Ausschlusses nach der ersten Erkennung oder dem ersten Befund der Gefährlichkeit schließt die bereits erkannten oder als für gefährlich befundenen Dateien nicht rückwirkend aus. Alle Dateien, die zuvor erkannt oder als für gefährlich befunden wurden, bleiben in diesem Zustand, bis sie lokal ignoriert oder der globalen Sicherheitsliste hinzugefügt werden. Wenn beispielsweise die Option „Auf neue Dateien überwachen“ eine Datei mit dem Namen C:\Windows\ccmcache\test.exe als für gefährlich befindet und der Registerkarte „Schutzeinstellungen“ für C:\Windows\ccmcache\ später ein Ausschluss hinzugefügt wird, wird die als für gefährlich befundene Datei trotz des neuen Ordnerausschlusses weiterhin als für gefährlich befunden. Dies gilt, bis Sie die Datei lokal ignorieren oder sie der globalen Sicherheitsliste hinzufügen. |
Ausführung zulassen | Dateien, die aus einem beliebigen Ordner ausgeführt werden, unterliegen der Ausführungssteuerung/automatischen Quarantäne, auch wenn sie unter „Bestimmte Ordner ausschließen“ angegeben sind. Sie können die Einstellung „Ausführung zulassen“ aktivieren, um zu erlauben, dass Dateien aus Ordnern ausgeführt werden, die in der Liste „Bestimmte Ordner ausschließen“ angegeben sind. Diese Einstellung gilt für alle unter „Bestimmte Ordner ausschließen“ aufgeführten Ordner, nicht nur für das erste oder letzte eingegebene Element. Dateien und Bedrohungen, die in diesen Ordnern abgelegt werden, können ausgeführt werden und Ihr Gerät und Ihr Unternehmen gefährden. Treffen Sie daher die geeigneten Vorkehrungen, um sicherzustellen, dass anormale Dateien nicht zu ausgeschlossenen Ordnern hinzugefügt werden können. |
Dateiproben kopieren (Malware) | Geben Sie ein freigegebenes Netzlaufwerk an, um Kopien von Dateiproben zu speichern, die durch die Erkennung von Hintergrundbedrohungen, die Überwachung auf neue Dateien und die Ausführungssteuerung gefunden wurden. Auf diese Weise können Sie eigene Analysen von Dateien durchführen, die von CylancePROTECT Desktop als unsicher oder anormal eingestuft werden.
|