Impostazioni di Mitigazione degli exploit della memoria

Utilizzare queste schede per testare la politica di Mitigazione degli exploit della memoria prima di applicarla ai computer client o di risolvere i problemi. Per proteggere un'applicazione da un exploit, normalmente Mitigazione degli exploit della memoria (MEM) chiude l'applicazione attaccata dall'exploit o blocca l'exploit senza chiudere l'applicazione. A volte, una tecnica di mitigazione può causare un conflitto involontario con un'applicazione nel computer client. Ad esempio, il computer client potrebbe bloccare o terminare un processo che non è un exploit, ossia un falso positivo.
  • Attiva mitigazione degli exploit della memoria
    Disattiva completamente Mitigazione degli exploit della memoria. Disattivare Mitigazione degli exploit della memoria come ultima risorsa per risolvere i problemi di un'applicazione chiusa inaspettatamente nel computer client. Se l'applicazione viene eseguita, riattivare questa opzione e continuare a risolvere i problemi iniziando dalla tecnica di mitigazione specifica e passando poi all'applicazione. Riattivare Mitigazione degli exploit della memoria dopo aver risolto il problema.
Scheda Tecniche di mitigazione
Impostazione
Descrizione
Impostare l’azione di protezione per tutte le tecniche sulla sola registrazione
Disattiva la protezione per tutte le tecniche di mitigazione ma registra le azioni eseguite da una tecnica su un'applicazione. Questa azione ha la precedenza sull'azione predefinita utilizzata per ciascuna tecnica specifica.
Utilizzare questa impostazione se non si è sicuri di quale tecnica causa un conflitto con l'applicazione chiusa dal client.
Le seguenti tecniche ignorano questa impostazione e continuano a usare le rispettive azioni correnti:
  • ForceDEP
  • ForceASLR
  • EnhASLR
  • NullProt
MEM registra gli eventi nel registro
Exploit host e rete
>
Mitigazione degli exploit della memoria
.
Scegliere una tecnica di mitigazione
MEM utilizza diversi tipi di tecniche per gestire l'exploit, a seconda delle tecniche più appropriate per il tipo di applicazione. Alcune tecniche proteggono più applicazioni. Utilizzare questa opzione quando si sa quale tecnica ha chiuso l'applicazione eseguita sul computer client.
Per informazioni sul funzionamento delle tecniche di mitigazione, vedere:
Scegliere un'azione di protezione per tutte le applicazioni nell'elenco
Sovrascrive l'azione predefinita per tutte le applicazioni protette dalla tecnica di mitigazione specifica.
Utilizzare questa opzione nei seguenti casi:
  • Se si desidera testare una tecnica in modalità Controllo prima di distribuirla a tutti i client
  • Se è stato determinato che la copertura causava falsi positivi come effetti collaterali con comportamenti imprevisti ed è necessario disattivarla.
  • Impostazione predefinita (Sì)
    e
    Protegge il client chiudendo l'applicazione o bloccando l'exploit e registrando l'evento nel registro
    Exploit host e rete
    >
    Mitigazione degli exploit della memoria
    .
  • No
    Non esegue nessuna azione sull'applicazione o l'exploit; non protegge il client né registra l'evento. Utilizzare questa opzione solo dopo aver determinato che la tecnica di mitigazione è in conflitto con l'applicazione o il presunto exploit è un falso positivo. Notificare Symantec Security Response del conflitto. Dopo la risoluzione del problema da parte di Symantec, riattivare la protezione modificando l'azione su
    .
  • Solo registrazione
    Non esegue nessuna azione sull'applicazione o l'exploit ma registra l'evento. Non protegge il client. Utilizzare questa opzione per verificare che una tecnica di mitigazione non causa effetti collaterali a causa di un'applicazione inaspettatamente in conflitto con MEM.
    Symantec Endpoint Protection
    registra tutti gli eventi nel registro
    Exploit host e rete
    >
    Mitigazione degli exploit della memoria
    . Dopo la risoluzione del problema da parte di Symantec, impostare l'azione su
    .
Scegliere l'azione di sovrascrittura per una determinata applicazione protetta da <
technique
>
Modificare l'azione predefinita nei seguenti casi:
  • Si desidera testare una tecnica di mitigazione per tutte le applicazioni in modalità di sola registrazione prima di applicare la politica ai computer client.
  • È stato determinato che la copertura causa falsi positivi come effetti collaterali con comportamenti imprevisti ed è necessario disattivarla.
Scheda Regole applicazioni
Impostazione
Descrizione
Regole applicazioni
Utilizzare questa scheda per scegliere le applicazioni protette o non protette da MEM, a prescindere dalla tecnica. Utilizzare questa opzione se non si sa quale tecnica ha causato la chiusura dell'applicazione. Se si disattiva la protezione, Mitigazione degli exploit della memoria non interviene sull'applicazione eseguita nel client. Non protegge l'azione né registra un evento.
È necessario eseguire LiveUpdate almeno una volta affinché l'elenco di applicazioni sia visualizzato nell'elenco.