Políticas avanzadas de seguridad
Las políticas avanzadas de seguridad permiten detectar y bloquear en equipos Windows la ejecución de scripts sospechosos y programas desconocidos que utilizan técnicas avanzadas de infección. Este tipo de malware supone una amenaza creciente para la seguridad del equipo.
Para activar las políticas avanzadas de seguridad haz clic en el Botón Activar políticas avanzadas y configura cada una de las políticas mostradas en Modos de funcionamiento de la protección avanzada de Advanced EPDR con una de las opciones siguientes:
-
No detectar: la política no se detecta y no genera ningún feedback al usuario ni al administrador.
-
Auditar: la política se detecta y genera feedback al administrador en los listados y widgets de seguridad. Consulta Visibilidad del malware y del parque informático.
-
Bloquear: Advanced EPDR impide la ejecución del programa.
Las políticas avanzadas de seguridad son:
| Campo | Descripción |
|
PowerShell con parámetros ofuscados |
El intérprete Powershell ha recibido parámetros sospechosos que pueden derivar en la ejecución de operaciones peligrosas en el equipo protegido. Esta opción requiere activar la protección anti-exploit. |
|
PowerShell ejecutado por el usuario |
La cuenta utilizada para ejecutar el script Powershell monitorizado es de tipo interactiva y por tanto susceptible de ejecutar operaciones peligrosas en el equipo protegido. Esta opción requiere activar la protección anti-exploit. |
|
Scripts desconocidos |
Scripts que todavía no han sido clasificados por la inteligencia de seguridad de Cytomic. |
|
Programas compilados localmente |
Programas desconocidos por la inteligencia de seguridad de Cytomic que han sido creados en el equipo del usuario. |
|
Documentos con macros |
Documentos de tipo ofimático que incorporan macros y que pueden ejecutar operaciones peligrosas para el equipo protegido. |
|
Registro para arranque al inicio de Windows |
El programa monitorizado añade una rama en el registro que le permite ganar persistencia en el equipo, cargándose junto al sistema operativo en cada reinicio. |
Bloquear programas
Para incrementar la seguridad de partida en los equipos Windows de la red, el administrador puede decidir prohibir completamente la ejecución de ciertos programas que previamente ha clasificado como peligrosos o no compatibles con la actividad de la empresa.
Las causas que pueden llevar a un administrador a prohibir la ejecución de un determinado programa pueden ser variadas:
-
Programas que por su forma de ejecución consumen mucho ancho de banda o establecen un número de conexiones desproporcionadamente alto, poniendo en peligro el rendimiento de la conectividad de la empresa si son ejecutados por muchos usuarios concurrentes.
-
Programas que permiten acceder a contenidos susceptibles de contener amenazas de seguridad.
-
Programas que permiten acceder a contenidos no relacionados con la actividad de la empresa y que pueden afectar al rendimiento de los usuarios.
Para crear una nueva configuración o modificar una existente introduce la información mostrada a continuación:
| Campo | Descripción |
|
Nombres de los programas a bloquear |
Nombres de los ficheros que Advanced EPDR impedirá su ejecución. Puedes pegar directamente una lista de nombres de ficheros separados por retorno de carro en esta caja de texto. |
|
Código MD5 de los programas a bloquear |
MD5 de los ficheros que Advanced EPDR impedirá su ejecución. Puedes pegar directamente una lista de MD5s separados por retorno de carro en esta caja de texto. |
Para mostrar un mensaje emergente en el equipo del usuario o servidor haz clic en Informar a los usuarios de los equipos de los bloqueos. Introduce un mensaje descriptivo para informar al usuario de que un fichero se ha bloqueado. El agente Advanced EPDR mostrará una ventana desplegable con el contenido del mensaje.