Configurações do agente: Controle de aplicativo

Ferramentas > Segurança e Conformidade > Configurações do agente > Segurança > Segurança de ponto final > Controle de aplicativo

Use esta caixa de diálogo para criar e editar uma configuração do controle de aplicativos Endpoit Security (EPS) (arquivo de configuração). Ao criar configurações do EPS, você deve definir primeiro os requisitos gerais e as ações e, em seguida, adicionar certificações de arquivos específicas. Você pode criar quantas configurações do EPS desejar e editá-las a qualquer momento.

Se desejar modificar as configurações-padrão do EPS em um dispositivo sem reinstalar o agente do Ivanti EPS nem redistribuir uma configuração completa do agente, faça as modificações desejadas em qualquer uma das opções da caixa de diálogo, atribua as novas configurações a uma tarefa de mudança de configurações e distribua essa tarefa para os dispositivos-alvo.

Esta caixa de diálogo contém as seguintes páginas:

Sobre a página Configurações gerais

Use essa página para nomear sua configuração do Application Control. Selecione Definir como padrão se assim desejar.

Sobre a página Proteção de aplicativo

Use esta página para configurar as configurações gerais de proteção e as ações do EPS.

  • Habilitar proteção de comportamento de aplicativos: ativa a proteção EPS, permitindo que todos os programas sejam executados (exceto quando a operação do programa ameaçar a segurança do sistema), conforme determinado pelas regras de proteção pré-definidas. Você pode conceder permissões especiais à arquivos de programas por meio de listas de arquivos confiáveis, configurando certificações de arquivos personalizadas. A proteção EPS observa o comportamento do aplicativo (o aplicativo tem permissão de modificar outro executável, modificar o registro, etc.) e impõe as regras de segurança.
    • Impedir criptografia do registro mestre de inicialização (MBR): bloqueie o acesso ao registro mestre de inicialização (MBR), ajudando a proteger os clientes contra os ransomwares que criptografam o MBR.
    • Autodetectar e bloquear ransomware criptográfico: o agente EPS vigiará a ocorrência de algum processo criptográfico e, se detectado, o EPS interromperá o processo, tentará removê-lo da inicialização e o adicionará à lista de negações. O EPS detectará processos de criptografia assim que possível, mas é provável que alguns arquivos serão criptografados antes que o processo possa ser encerrado. Recomendamos o uso de regras de proteção de arquivo para proteger arquivos contra a criptografia por ransomware.

Sobre a página Proteção de aplicativo: Regras de proteção de arquivo

Use esta página para exibir, gerenciar e priorizar regras de proteção de arquivos. As regras de proteção de arquivos são um conjunto de restrições que evita que programas executáveis especificados executem determinadas ações em arquivos especificados. Com as regras de proteção de arquivos, você pode permitir ou proibir que um programa acesse, modifique, crie e execute qualquer arquivo.

Por padrão, estas regras estão habilitadas:

  • Proteger arquivos de Word, PowerPoint e Excel contra criptografia por ransomware: com essa opção habilitada, o Endpoint Security permitirá apenas que processos do Word, PowerPoint e Excel modifiquem arquivos do Word, PowerPoint e Excel (os usuários ainda serão capazes de copiar/colar esses arquivos). Se um ransomware for executado no ponto de extremidade, não conseguirá criptografar esses tipos de arquivo. No caso de um ataque de ransomware, um administrador poderá controlar remotamente o dispositivo infectado e copiar os documentos intactos para um lugar seguro, garantindo uma recuperação mais rápida, pois o usuário final receberá a versão mais recente do arquivos sem precisar recuperá-los a partir de uma cópia de backup antiga.
  • Impedir execução de scripts do Word, PowerPoint ou Excel: um método comum para infectar um ponto de extremidade é convencer o usuário final a executar uma macro dentro de um documento do Word ou Excel. Na maioria dos casos, a macro executa um script do PowerShell ou de outro tipo para baixar um malware no dispositivo. Com este recurso habilitado, o Endpoint Security impedirá que as macros iniciem scripts do PowerShell, Visual Basic, etc. Como resultado, se o usuário final executar uma macro que inicie um script, o script não será executado, impedindo a execução do malware. A macro em si continuará funcionando.

Essa página apresenta as seguintes opções adicionais:

  • Regras de proteção: relaciona todas as regras predefinidas de proteção de arquivos (padrão) fornecidas pela Ivanti, bem como todas as regras de proteção de arquivos que você criou.
    • Nome da regra: Identifica a regra de proteção de arquivos.
    • Restrições: Exibe ações específicas por programas em arquivos que são restritos pela regra de proteção de arquivos.
    • Programas: Exibe os programas executáveis protegidos pela regra de proteção.
  • Mover para cima \ para baixo: determina a prioridade da regra de proteção de arquivos — uma regra com posição mais alta na lista tem prioridade sobre uma regra em posição inferior. Por exemplo, você poderia criar uma regra que restringe o acesso e modificação de um determinado arquivo ou tipo de arquivos por um programa, mas criar outra regra que permite uma exceção àquela restrição por um ou mais programas denominados. Desde que a segunda regra esteja em posição mais alta na lista de regras, ela terá efeito.
  • Redefinir: Restaura as regras predefinidas de proteção de arquivo (padrão) fornecidas pela Ivanti.
  • Adicionar: Abre a caixa de diálogo Configurar regra de proteção de arquivos, onde você pode adicionar e remover programas e arquivos, além de especificar restrições.
  • Editar: Abre a caixa de diálogo Configurar regra de proteção de arquivo, onde você pode editar uma regra de proteção de arquivos existente.
  • Excluir: remove a regra de proteção de arquivos do banco de dados núcleo.

NOTE: As regras de proteção de arquivos são armazenadas no arquivo FILEWALL.XML, localizado em: ProgramFiles\Landesk\ManagementSuite\ldlogon\AgentBehaviors\EPS_Behavior.ZIP

Sobre as páginas Proteção de Aplicativo: Avançado e Lista de Permissões: Avançado

Use essa página para configurar o modo de operação para proteção do EPS.

  • Modo de comportamento do aplicativo: especifica o comportamento da proteção quando a proteção EPS está habilitada. Escolha um dos seguintes métodos de operação:
    • Bloqueio: as violações de segurança são bloqueadas E gravadas em um arquivo de histórico de ações no servidor núcleo.
    • Aprendizagem: todas as violações de segurança do aplicativo são permitidas, mas o comportamento do aplicativo é observado (ou armazenado) e a informação é enviada de volta ao banco de dados do núcleo em uma lista de arquivos confiáveis. Use esse modo para descobrir o comportamento do aplicativo em um dispositivo ou conjunto de dispositivos específicos e depois use essas informações para personalizar as políticas do EPS antes de implementar e aplicar a proteção do EPS por toda a rede.
    • Apenas log: as violações de segurança são permitidas E gravadas em um arquivo de histórico de ações no servidor núcleo.
    • Silêncio: as violações de segurança são bloqueadas e NÃO são gravadas em um arquivo de histórico de ações no servidor núcleo.

Sobre a página Lista de permissões

  • Habilitar proteção de lista branca: com esta opção selecionada, somente os arquivos que estiverem numa lista de arquivos confiáveis e cuja certificação do arquivo tenha a opção Permitir execução ativada poderão ser executados.
  • Impedir o Windows Explorer de modificar ou excluir arquivos executáveis: habilite esta opção se você não quer que o Windows seja capaz de modificar ou excluir arquivos executáveis.
  • Tratar arquivos de "boa reputação" como se estivessem na lista associada de arquivos confiáveis: quando selecionado, confia automaticamente nos arquivos que estão no banco de dados de bons arquivos conhecidos hospedado pela Ivanti. Para obter mais informações, consulte Usar reputação do arquivo para restringir os aplicativos.
  • Tratar arquivos de "má reputação" como se estivessem na lista negra: nega acesso aos arquivos que estão no banco de dados de maus arquivos conhecidos hospedado pela Ivanti.

Sobre a caixa de diálogo Configurar regra de proteção de arquivos

Use essa página para configurar as regras de proteção de arquivos.

  • Nome da regra: Identifica a regra de proteção de arquivo com um nome descritivo.
  • Portas monitoradas
    • Todos os programas: especifica que todos os programas executáveis estão proibidos de executar as ações selecionadas abaixo nos arquivos especificados.
    • Programas denominados: Especifica que somente os programas executáveis da lista têm as restrições selecionadas abaixo aplicadas a eles.
    • Aplicar se o processo estiver na cadeia de execução: programas podem iniciar outros programas. Se o programa monitorado estiver na cadeia de execução, aplique a regra, mesmo que o programa monitorado não seja o programa que está acessando os arquivos protegidos.
    • Permitir que arquivos confiáveis ignorem a regra: permite que qualquer programa executável atualmente pertencente à sua lista de arquivos certificados ignore as restrições associadas a esta regra de proteção de arquivos.
    • Adicionar: permite escolher quais programas são restringidos pela regra de proteção de arquivos. É possível usar nomes de arquivos e caracteres curingas.
    • Editar: permite modificar o nome do programa.
    • Excluir: Remove o programa da lista.
  • Arquivos protegidos
    • Qualquer arquivo: Especifica que todos os arquivos são protegidos dos programas especificados acima, de acordo com suas restrições.
    • Arquivos denominados: Especifica que somente os arquivos nessa lista são protegidos.
    • Adicionar: permite escolher quais arquivos são protegidos pela regra. É possível usar nomes de arquivos ou caracteres curingas.
    • Editar: permite modificar o nome do arquivo.
    • Excluir: Remove o arquivo da lista.
    • Aplicar também a subdiretórios: Reforça as regras de proteção a arquivos para quaisquer subdiretórios de um diretório nomeado.
    • Aplicar somente a arquivos baixados da internet: somente arquivos baixados da internet são protegidos contra programas monitorados.
  • Ações restritas em arquivos protegidos
    • Acesso de leitura: Evita que os programas especificados acima acessem os arquivos protegidos.
    • Modificação: Evita que os programas especificados acima façam quaisquer alterações nos arquivos protegidos.
    • Criação: Evita que os programas especificados acima criem os arquivos.
    • Execução: Evita que os programas especificados acima executem os arquivos protegidos.