Configurações de mitigação de explorações da memória

Use estas guias para solucionar problemas ou para testar a política de Mitigação de explorações da memória antes de aplicá-la aos computadores-cliente. Para proteger um aplicativo contra exploração, a Mitigação de explorações da memória (MEM, Memory Exploit Mitigation) normalmente encerra o aplicativo atacado pela exploração ou bloqueia a exploração sem encerrar o aplicativo. Ocasionalmente, uma técnica de mitigação pode provocar conflito com um aplicativo no computador-cliente. Por exemplo, o computador-cliente pode bloquear ou encerrar um processo que não seja uma exploração, mas sim um falso positivo.
Ativar Mitigação de explorações da memória
: desativa a mitigação de explorações da memória na sua totalidade. Desative a Mitigação de explorações da memória como último recurso para solucionar problemas em um aplicativo que foi encerrado inesperadamente no computador-cliente. Se o aplicativo for executado, reative essa opção para continuar a solucionar problemas com base na técnica específica de mitigação primeiro e, depois, no aplicativo. Reative a Mitigação de explorações da memória quando terminar de solucionar os problemas.
Guia Técnicas de mitigação
Configuração
Descrição
Definir a ação de proteção para todas as técnicas como somente registrar em log
Desativa a proteção para todas as técnicas de mitigação, mas registra em log todos os eventos que uma técnica realiza em um aplicativo. Esta ação se sobrepõe à ação padrão que você usa para cada técnica específica.
Use esta configuração quando não tiver certeza de qual técnica está provocando conflito com o aplicativo que o cliente encerrou.
As seguintes técnicas ignoram esta configuração e continuam usando as ações atuais:
  • ForceDEP
  • ForceASLR
  • EnhASLR
  • NullProt
A MEM registra os eventos no log
Exploração do host e da rede
>
Mitigação de explorações da memória
.
Escolher técnica de mitigação
A MEM usa vários tipos de técnicas para controlar a exploração, aplicando a técnica mais apropriada de acordo com o tipo de aplicativo. Algumas técnicas protegem vários aplicativos. Use esta opção quando você souber qual técnica encerrou o aplicativo que foi executado no computador-cliente.
Para obter informações sobre como funciona cada técnica de mitigação, consulte:
Escolher ação de proteção para todos os aplicativos nesta lista
Sobrepõe-se à ação padrão para todos os aplicativos protegidos pela técnica específica de mitigação.
Use essa opção nos seguintes casos:
  • Se precisar testar uma técnica no modo de auditoria antes de implementá-la em todos os clientes.
  • Se você tiver determinado que a cobertura provocou efeitos secundários de comportamento indesejado que são falsos positivos e a cobertura precisa ser desativada.
  • Padrão (Sim)
    e
    Sim
    Protege o cliente encerrando o aplicativo ou bloqueando a exploração e registrando o evento no log
    Exploração do host e da rede
    >
    Mitigação de explorações da memória
    .
  • Não
    Não realiza nenhuma ação no aplicativo ou exploração; não protege o cliente nem registra o evento em log. Use essa opção somente após determinar que a técnica de mitigação gera um conflito com o aplicativo ou que a suposta exploração é um falso positivo. Notifique o Symantec Security Response sobre o conflito. Depois que a Symantec resolver o problema, ative novamente a proteção alterando a ação para
    Sim
    .
  • Somente log
    Não realiza nenhuma ação no aplicativo ou exploração, mas registra o evento em log. Não protege o cliente. Use essa opção para testar se a técnica de mitigação causa efeitos colaterais devido a um conflito inesperado de aplicativos com a MEM. O
    Symantec Endpoint Protection
    registra todos os eventos no log
    Exploração de rede e host
    >
    Mitigação de explorações da memória
    . Depois que a Symantec resolver o problema, altere a ação para
    Sim
    .
Escolher sobrepor a ação para um determinado aplicativo protegido por <
técnica
>
Altere a ação padrão nos seguintes casos:
  • Quando desejar testar uma técnica de mitigação para todos os aplicativos no modo somente registrar em log antes de aplicar a política nos computadores cliente.
  • Se você tiver determinado que a cobertura provoca efeitos secundários de comportamento indesejado que são falsos positivos e precisa ser desativada.
Guia Regras do aplicativo
Configuração
Descrição
Regras do aplicativo
Use esta guia para escolher quais aplicativos serão protegidos ou não pela MEM, independentemente da técnica. Use a opção se não souber qual técnica causou o encerramento do aplicativo. Se você desativar a proteção, a mitigação de explorações da memória não realizará nenhuma ação no aplicativo em execução no cliente. Não protege a ação nem registra o evento em log.
É necessário executar o LiveUpdate pelo menos uma vez para que a lista de aplicativo seja exibida.Consulte: