O Malwarebytes Endpoint Detection and Response inclui o recurso de isolamento de terminais, que impede temporariamente a propagação das ameaças entre os terminais, restringindo sua comunicação ou acesso. Mesmo que esteja isolado, o terminal ainda pode se comunicar com a console e realizar os processos do console Malwarebytes. Os Super Admin e administradores podem isolar os endpoints protegidos por políticas com o recurso Endpoint Isolation ativado.
Para obter os requisitos de uso do Endpoint Isolation, consulte Requisitos mínimos para a plataforma Nebula da Malwarebytes.
Tipos de isolamento
Há três tipos diferentes de isolamento. Eles podem ser habilitados separadamente ou combinados para aumentar o isolamento. Os três tipos de isolamento são:
- Isolamento da rede: Evita que o terminal se comunique com outros dispositivos em sua rede.
- Isolamento do processo: Restringe quais processos podem ser executados no terminal e impede a interação dos processos.
- Isolamento do computador (somente Windows): Impede que os usuários acessem o terminal.
Com o Isolamento do Processo habilitado, somente os Processos Privilegiados têm permissão para serem iniciados no terminal. Os processos privilegiados pertencem a um dos seguintes tipos:
- Processos predefinidos (codificados): Atualmente há dois processos predefinidos: CONSENT.exe, necessário para executar os processos elevados UAC; e CSRSS.EXE o qual é um processo crítico do sistema.
- Processos assinados digitalmente pela Malwarebytes: Eles têm permissão para executar de forma irrestrita nos terminais isolados.
- Processos gerados por outros processos privilegiados: Um processo com um processo principal privilegiado também será privilegiado. Um processo subordinado privilegiado pode criar mais processos subordinados privilegiados.
Isolamento do terminal
Antes de poder isolar um terminal, você deve primeiro habilitar o recurso Isolamento de terminal nas configurações de política. Isso é necessário para instalar plugins para o Endpoint Agent. Quando uma verificação terminar, é possível isolar o terminal.
O isolamento é acumulativo. Se selecionar um terminal isolado e aplicar outro tipo de isolamento, os dois tipos de isolamento serão aplicados. Para isolar um terminal:
- Vá para Endpoints.
- Selecione qual ou quais terminais deseja isolar.
- No canto superior direito da tela, selecione Ações > Isolar Endpoint(s).
- Confirme os tipos de isolamento que deseja e clique em SIM. Todos os tipos de isolamento estão habilitados por padrão.
Alterar o tipo de isolamento
Para alterar o tipo de isolamento aplicado a um terminal, é necessário:
- Incluir os tipos de isolamento adicionais
- Remover todo o isolamento existente e aplicar os tipos de isolamento necessários
Remover o Isolamento do terminal
É possível remover os terminais do isolamento na tela Endpoints. A remoção do isolamento de um terminal desabilita todos os tipos de isolamento aplicados a este terminal.
- Vá para Endpoints.
- Selecione os terminais que deseja remover do isolamento.
- No canto superior direito da tela, selecione Ações > Remover isolamento.
- O terminal será removido do isolamento e reiniciará automaticamente. Você poderá perder qualquer trabalho que não esteja salvo.
Personalizar alertas de isolamento de terminal (somente Windows)
Você pode personalizar a mensagem exibida nos terminais quando eles são isolados. Isso é opcional e é alterado na configuração da política.
- Vá para Configurações > Políticas > Selecione uma política > Windows > Configurações > Configurações Endpoint Detection & Response (EDR) > ENDPOINT ISOLATION (EDR).
- Digite o texto personalizado nos campos Título do isolamento e Mensagem de isolamento ou clique em Usar mensagem padrão para restaurar o padrão.
- É possível carregar uma imagem BMP para que seja exibida juntamente com a mensagem. Arraste o arquivo de imagem para a área de upload ou clique em ESCOLHER UM ARQUIVO para selecionar uma imagem.
- Clique em SALVAR para salvar as alterações. A nova mensagem do isolamento será exibida para isolamentos futuros de terminais. Isso não afeta os terminais isolados atualmente.
Retornar ao Guia do administrador da plataforma Nebula da Malwarebytes