Memory Exploit Mitigation-Einstellungen

Verwenden Sie diese Registerkarten, um die Memory Exploit Mitigation-Richtlinie zu testen, bevor Sie sie auf die Clientcomputer anwenden, oder Fehler zu beheben. Um eine Anwendung vor einem Exploit zu schützen, beendet Memory Exploit Mitigation (MEM) in der Regel entweder die angegriffene Anwendung oder blockiert den Exploit ohne Beendigung der Anwendung. Gelegentlich kann ein Minderungsverfahren einen unbeabsichtigten Konflikt mit einer Anwendung auf dem Clientcomputer verursachen. Beispielsweise könnte der Clientcomputer einen Vorgang blockieren oder beenden, bei dem es sich um keinen Exploit handelt (Falschmeldung).
  • Memory Exploit Mitigation aktivieren
    Deaktiviert Memory Exploit Mitigation vollständig. Das Deaktivieren von Memory Exploit Mitigation ist das letzte Mittel, um Fehlerbehebung für eine Anwendung durchzuführen, die unerwartet auf dem Clientcomputer beendet wurden. Wenn die Anwendung wieder ausgeführt wird, aktivieren Sie diese Option erneut und setzen Sie die Fehlerbehebung zuerst mit dem entsprechenden Minderungsverfahren und dann in der Anwendung fort. Aktivieren Sie Memory Exploit Mitigation erneut, wenn die Fehlerbehebung abgeschlossen ist.
Registerkarte "Minderungsverfahren"
Einstellung
Beschreibung
Schutzaktion für alle Verfahren auf ’Nur protokollieren’ festlegen
Deaktiviert den Schutz für alle Minderungsverfahren, protokolliert jedoch Aktionen, die ein Verfahren auf eine Anwendung ausführt. Diese Aktion übergeht die Standardaktion, die Sie für jedes spezifisches Verfahren verwenden.
Verwenden Sie diese Einstellung, wenn Sie unsicher sind, welches Verfahren den Konflikt mit der vom Client beendeten Anwendung verursacht.
Die folgenden Verfahren ignorieren diese Einstellung, und führen weiterhin die aktuellen Aktionen aus:
  • ForceDEP
  • ForceASLR
  • EnhASLR
  • NullProt
MEM schreibt die Ereignisse ins Protokoll "
Network and Host Exploitation
>
Memory Exploit Mitigation
".
Minderungsverfahren wählen
MEM nutzt verschiedene Verfahren zum Verarbeiten von Exploits, je nachdem, welche Anwendung betroffen ist. Einige Verfahren schützen mehrere Anwendungen. Verwenden Sie diese Option, wenn Sie wissen, welches Verfahren die Anwendung auf dem Clientcomputer beendet hat.
Informationen zur Funktionsweise der Minderungsverfahren finden Sie unter:
Schutzaktion für alle Anwendungen in dieser Liste auswählen
Übergeht die Standardaktion für alle Anwendungen, die von dem jeweiligen Verfahren geschützt werden.
Verwenden Sie diese Option in den folgenden Situationen:
  • Wenn Sie ein Verfahren vor der Bereitstellung für alle Clients im Überwachungsmodus testen möchten.
  • Wenn Sie festgestellt haben, dass der Schutz unbeabsichtigte Nebeneffekte hat, die zu einer Falschmeldung führen und daher deaktiviert werden muss.
  • "
    Standard (Ja)
    " und "
    Ja
    "
    Der Client wird durch Beenden der Anwendung oder Blockieren des Exploits geschützt und das Ereignis wird ins Protokoll "
    Network and Host Exploitation
    >
    Memory Exploit Mitigation
    " geschrieben.
  • Nein
    Es werden keine Maßnahme in der Anwendung oder für den Exploit ergriffen, der Client wird nicht geschützt noch das Ereignis protokolliert. Verwenden Sie diese Option nur, wenn Sie festgestellt haben, dass das Minderungsverfahren einen Konflikt mit der Anwendung hat oder der vermutete Exploit eine Falschmeldung ist. Benachrichtigen Sie Symantec Security Response über den Konflikt. Nachher Symantec das Problem behoben hat, aktivieren Sie den Schutz wieder, indem Sie die Aktion in "
    Ja
    " ändern.
  • Nur protokollieren
    Es werden keine Maßnahme auf der Anwendung oder für den Exploit ergriffen, aber das Ereignis wird protokolliert. Der Client wird nicht geschützt. Verwenden Sie diese Option, um zu testen, ob ein Minderungsverfahren unerwartete Anwendungskonflikte mit MEM verursacht.
    Symantec Endpoint Protection
    schreibt alle Ereignisse ins Protokoll "
    Network and Host Exploitation
    >
    Memory Exploit Mitigation
    ". Nachdem Symantec das Problem behoben hat, ändern Sie die Aktion in "
    Ja
    ".
Übergehaktion wählen für eine bestimmte von <
Verfahren
> geschützte Anwendung
Ändern Sie die Standardaktion in den folgenden Fällen:
  • Sie möchten ein Minderungsverfahren für alle Anwendungen im Nur-Protokoll-Modus testen, bevor Sie die Richtlinie auf die Clientcomputer anwenden.
  • Sie haben festgestellt, dass der Schutz unbeabsichtigte Nebeneffekte hat, die zu einer Falschmeldung führen und daher deaktiviert werden muss.
Registerkarte "Anwendungsregeln"
Einstellung
Beschreibung
Anwendungsregeln
Verwenden Sie diese Registerkarte, um auszuwählen, welche Anwendungen MEM schützen soll, unabhängig vom Verfahren. Verwenden Sie diese Option, wenn Sie nicht wissen, welches Verfahren die Beendigung der Anwendung verursacht hat. Wenn Sie den Schutz deaktivieren, ergreift Memory Exploit Mitigation keine Maßnahmen in der Anwendung. Es schützt die Anwendung nicht und protokolliert keine Ereignisse.
Sie müssen LiveUpdate mindestens einmal ausführen, damit die Anwendungsliste angezeigt wird.