Threat Protection-Richtlinie

Threat Protection schützt Sie vor Malware, riskanten Dateitypen und Websites sowie bösartigem Netzwerkdatenverkehr.

Einschränkung Diese Hilfeseite beschreibt die Richtlinieneinstellungen für Workstation-Benutzer. Für die Server gelten andere Richtlinieneinstellungen.

So richten Sie Threat Protection ein:

  • Erstellen einer Schutz vor Bedrohungen-Richtlinie.
  • Öffnen Sie die Registerkarte Einstellungen der Richtlinie und konfigurieren Sie diese wie unten beschrieben. Stellen Sie sicher, dass die Richtlinie aktiviert ist.

Sie können entweder die empfohlenen Einstellungen verwenden oder diese ändern.

Wenn Sie eine der Einstellungen in dieser Richtlinie ändern und herausfinden möchten, was die Standardeinstellung ist, erstellen Sie eine neue Richtlinie. Sie müssen diese nicht speichern, aber es zeigt Ihnen die Standardeinstellungen.

Anmerkung Die SophosLabs können selbst bestimmen, welche Dateien gescannt werden. Sie können die Überprüfung bestimmter Dateitypen hinzufügen oder entfernen, um den bestmöglichen Schutz zu gewährleisten.
Anmerkung Wenn eine Option gesperrt ist, hat Ihr Partner globale Einstellungen angewendet. Sie können die Erkennung von Anwendungen, Exploits und Ransomware immer noch beenden, indem Sie zur Ereignisliste gehen.

Empfohlene Einstellungen verwenden

Klicken Sie auf Empfohlene Einstellungen verwenden, wenn Sie die von uns empfohlenen Einstellungen verwenden möchten. Diese Einstellungen bieten Ihnen optimalen Schutz, ohne dass Sie eine komplexe Konfiguration durchführen müssen.

Wenn wir unsere Empfehlungen in Zukunft ändern, werden wir Ihre Richtlinie automatisch mit den neuen Einstellungen aktualisieren.

Die empfohlenen Einstellungen bieten:

  • Erkennung bekannter Malware.
  • Überprüfungen in der Cloud zur Erkennung der aktuellsten Malware, die Sophos bekannt ist.
  • Proaktive Erkennung von Malware, die zum ersten Mal erkannt wird.
  • Automatische Bereinigung von Malware.
Warnung Denken Sie sorgfältig nach, bevor Sie die empfohlenen Einstellungen ändern, weil sich Ihr Schutz dadurch verringern kann.

Live-Schutz

Verdächtige Dateien werden durch Abgleich mit aktuellen Malware-Daten in der SophosLabs-Datenbank überprüft.

Sie können folgende Optionen wählen:

  • Verwenden Sie Live Protection, um die neuesten Informationen zu Bedrohungen online von SophosLabs abzurufen. Mit dieser Option werden Dateien im Rahmen des Echtzeit-Scans überprüft.
  • Live Protection während der geplanten Scans verwenden

Deep Learning

Deep Learning nutzt fortschrittliches maschinelles Lernen für die Erkennung von Bedrohungen. Dabei werden bekannte und noch unbekannte Malware und potenziell unerwünschte Anwendungen ohne Rückgriff auf Signaturen identifiziert.

Deep Learning ist nur bei Sophos Intercept X verfügbar.

Echtzeit-Scans - Lokale Dateien und gemeinsam genutzte Dateien im Netzwerk

Beim Echtzeit-Scan werden Dateien gescannt, während Benutzer auf diese zugreifen. Zugriff wird gewährt, wenn die Datei schadfrei ist.

Standardmäßig werden lokale Dateien überprüft. Sie können auch folgende Option wählen:

  • Remote-Dateien: Hier werden Dateien in Netzwerkfreigaben überprüft.

Echtzeit-Scans - Internet

Beim Echtzeit-Scan werden Internetquellen gescannt, während der Benutzer auf diese zugreifen. Sie können folgende Optionen wählen:

  • Laufende Downloads scannen
  • Zugriff auf schädliche Websites blockieren: Der Zugriff auf Websites, die bekannt dafür sind, dass sie Malware hosten, wird verweigert.
  • Nach Dateien mit geringer Reputation suchen: Der Endbenutzer wird gewarnt, wenn ein Download eine niedrige Reputation aufweist. Die Reputation wird anhand der Quelle der Datei, der Download-Häufigkeit und weiterer Faktoren ermittelt. Sie können festlegen:
    • Die Aktion bei Downloads mit niedriger Reputation: Wenn Sie Benutzer auffordern wählen, wird den Benutzern eine Warnmeldung angezeigt, wenn sie eine Datei mit niedriger Reputation herunterladen. Sie können die Datei dann als vertrauenswürdig einstufen oder löschen. Diese Option ist voreingestellt.
    • Die Reputationsstufe: Wenn Sie Strikt wählen, werden auch Dateien mit mittlerer oder niedriger Reputation erkannt. Die Standardeinstellung ist Empfohlen.

Beseitigung

Für die Behebung stehen folgende Optionen zur Verfügung:

  • Malware automatisch entfernen: Sophos Central versucht, gefundene Malware automatisch zu entfernen.

    Wenn die automatische Bereinigung erfolgreich war, wird der Warnhinweis zur erkannten Malware aus der Liste der Warnhinweise entfernt. Die Erkennung und Entfernung der Malware wird in der Liste der Ereignisse angezeigt.

    Anmerkung Wir bereinigen immer PE (Portable Executable) Dateien wie Anwendungen, Bibliotheken und Systemdateien, auch wenn Sie die automatische Bereinigung deaktivieren. PE-Dateien werden isoliert und können wiederhergestellt werden.
  • Erstellen von Bedrohungsfällen aktivieren: Bedrohungsfälle lassen Sie eine Kette von Ereignissen, die eine Malware-Infektion betreffen, untersuchen, und Bereiche identifizieren, in denen Sie die Sicherheit verbessern können.
  • Computern erlauben, Daten über verdächtige Dateien, Netzwerkereignisse und Aktivitäten von Administrationsprogrammen an Sophos Central zu senden: Hierdurch werden Details zu potenziellen Bedrohungen an Sophos gesendet. Stellen Sie sicher, dass die Option in allen Richtlinien für Computer aktiviert ist, auf denen Sie nach Bedrohungen suchen wollen.
    Anmerkung Diese Option ist verfügbar, wenn Sie Intercept X Advanced with EDR verwenden.

Laufzeitschutz

Einschränkung Sie müssen dem Early Access Program beitreten, um bestimmte Optionen verwenden zu können.

Der Laufzeitschutz schützt vor Bedrohungen, indem verdächtiges oder schädliches Verhalten bzw. Datenverkehr erkannt wird. Sie können folgende Optionen auswählen:

  • Dokumente vor Ransomware schützen (CryptoGuard): Hiermit werden Dokumentdateien vor Malware geschützt, die den Zugriff auf Dateien unterbindet und für deren Freigabe Lösegeld fordert. Sie können auch 64-Bit-Computer vor Ransomware, die von einem Remote-Standort ausgeführt wird, schützen.
  • Vor Encrypting File System-Angriffen schützen: Dies schützt den Computer vor Ransomware, die das Dateisystem verschlüsselt. Wählen Sie aus, welche Aktion Sie ergreifen möchten, wenn die Ransomware erkannt wird. Sie können Ransomware-Prozesse beenden oder isolieren, um sie daran zu hindern, in das Dateisystem zu schreiben.
  • Schutz vor Master Boot Record-Ransomware: Hiermit wird der Computer vor Ransomware, die den Master Boot Record verschlüsselt (und somit das Hochfahren verhindert), und vor Angriffen, bei denen die Festplatte gelöscht wird, geschützt.
  • Kritische Funktionen in Webbrowsern schützen (sicheres Surfen): Hiermit werden Ihre Browser vor Exploits durch Malware geschützt.
  • Exploits in Anwendungen mit Sicherheitslücken abschwächen: Hiermit werden Anwendungen geschützt, die besonders anfällig für Malware sind. Sie können festlegen, welche Anwendungstypen geschützt werden sollen.
  • Prozesse schützen: Hiermit wird der Missbrauch legitimer Anwendungen durch Malware verhindert. Sie können folgende Optionen wählen:
    • Process Hollowing Angriffe verhindern. Dies schützt vor Prozessaustausch-Angriffen.
    • Laden von DLLs aus nicht vertrauenswürdigen Ordnern verhindern. Dies schützt vor einem Laden von .DLL-Dateien aus nicht vertrauenswürdigen Verzeichnissen.
    • Zugangsdatendiebstahl verhindern. Dies verhindert den Diebstahl von Kennwörtern und Hash-Informationen aus Speicher, Registry oder von der Festplatte.
    • Rückgriff auf Code-Cave verhindern. Erkennt Schadcode, der in eine andere, legitime Anwendung eingeschleust wurde.
    • APC-Verstoß verhindern. Verhindert Angriffe, bei denen Application Procedure Calls (APC) für die Ausführung von deren Code genutzt werden.
    • Rechteausweitung verhindern. Verhindert Angriffe, bei denen der Angreifer versucht, höhere Rechte zu bekommen, um sich Zugang zu Ihren Systemen zu verschaffen.
  • Netzwerkdatenverkehr schützen. Sie können folgende Optionen wählen:
    • Verbindungen zu schädlichen Command-and-Control-Servern erkennen. Erkennung von Datenverkehr zwischen einem Endpoint-Computer und einem Server, der auf einen möglichen Versuch hinweist, die Kontrolle über den Endpoint-Computer zu übernehmen.
    • Schädlichen Netzwerkverkehr mit Packet Inspection (IPS) verhindern. Dabei wird Datenverkehr auf niedrigster Ebene überprüft und Bedrohungen werden blockiert, bevor diese Schaden am Betriebssystem oder an Anwendungen anrichten können.
  • Erkennung schädlichen Verhaltens (HIPS): Diese Option schützt Sie gegen Bedrohungen, die noch nicht bekannt sind. Dies gelingt durch die Erkennung und Blockierung von Verhaltensweisen, die als bösartig oder verdächtig bekannt sind.
  • Erkennung schädlichen Verhaltens: Diese Option schützt Sie gegen Bedrohungen, die noch nicht bekannt sind. Dies gelingt durch die Erkennung und Blockierung von Verhaltensweisen, die als bösartig oder verdächtig bekannt sind.
    Einschränkung Sie müssen dem Early Access Program beitreten, um diese Option verwenden zu können.
  • AMSI-Schutz (mit erweitertem Scan nach skriptbasierten Bedrohungen): Diese Option schützt über die Microsoft Antimalware Scan Interface (AMSI) vor Schadcode (wie etwa PowerShell-Skripts). Über AMSI weitergeleiteter Code wird vor der Ausführung gescannt. Sophos benachrichtigt die Anwendungen, die den Code ausführen, über Bedrohungen. Wenn eine Bedrohung erkannt wird, wird ein Ereignis protokolliert. Sie können das Entfernen der AMSI-Registrierung auf Ihren Computern verhindern.

Erweiterte Einstellungen

Diese Einstellungen dienen nur zum Testen oder zur Fehlerbehebung. Wir empfehlen, diese Einstellungen auf den Standardwerten zu belassen.

Geräte-Isolation

Wenn Sie diese Option auswählen, isolieren sich Geräte selbst von Ihrem Netzwerk, wenn ihr Systemzustand rot ist. Der Systemzustand eines Geräts ist rot, wenn Bedrohungen erkannt wurden, veraltete Software vorhanden ist, das Gerät eventuell nicht richtlinienkonform oder nicht richtig geschützt ist.

Sie können isolierte Geräte weiterhin von Sophos Central aus verwalten. Sie können auch Scan-Ausschlüsse oder globale Ausschlüsse verwenden, um zur Fehlerbehebung eingeschränkten Zugriff auf diese Computer zu gewähren.

Sie können diese Geräte nicht aus der Isolation entfernen. Sie können wieder mit dem Netzwerk kommunizieren, sobald ihr Systemzustand wieder grün ist.

Geplante Scans

Geplante Scans werden zu einer bestimmten Uhrzeit oder zu Zeiten durchgeführt, die Sie festlegen.

Sie können folgende Optionen wählen:

  • Geplanten Scan aktivieren: Sie können eine Uhrzeit und einen oder mehrere Tage festlegen, an welchen der Scan ausgeführt werden soll.
    Anmerkung Die Uhrzeit des geplanten Scans entspricht der Uhrzeit auf dem Endpoint-Computer (keine UTC-Zeit).
  • Intensivscans aktivieren: Wenn Sie diese Option aktivieren, werden beim geplanten Scan auch Archive gescannt. Hierdurch kann sich die Systemlast erhöhen, wodurch sich der Scanvorgang eventuell erheblich verlangsamt.
    Anmerkung Scan-Archive können die Systemlast erhöhen, wodurch sich der Scanvorgang eventuell erheblich verlangsamt.

Scan-Ausschlüsse

Sie können Dateien, Ordner, Websites und Anwendungen von der Überprüfung auf Bedrohungen ausschließen, wie unten beschrieben.

Ausgeschlossene Elemente werden weiterhin auf Exploits überprüft. Sie können die Überprüfung auf einen bereits erkannten Exploit jedoch unterbinden (mit einem Ausschluss für Erkannte Exploits).

Ausschüsse, die in einer Richtlinie festgelegt sind, werden nur für die Benutzer verwendet, für die die Richtlinie gilt.

Anmerkung Wenn Sie Ausschlüsse auf alle Ihre Benutzer und Server anwenden möchten, richten Sie globale Ausschlüsse auf der Seite Globale Einstellungen > Globale Ausschlüsse ein.

So erstellen Sie einen Scan-Ausschluss für Richtlinien:

  1. Klicken Sie auf Ausschluss hinzufügen (rechts auf der Seite).

    Das Dialogfeld Ausschluss hinzufügen wird angezeigt.

  2. Wählen Sie in der Dropdownliste Ausschlusstyp einen Elementtyp aus, der ausgeschlossen werden soll (Datei oder Ordner, Website, potenziell unerwünschte Anwendung oder Computer-Isolation).
  3. Geben Sie das Element oder die Elemente ein, die Sie ausschließen möchten.
  4. Bei Ausschlüssen von Dateien oder Ordnern geben Sie in der Dropdownliste Aktiv für an, ob der Ausschluss für Echtzeit-Scans, geplante Scans oder beide gelten muss.
  5. Klicken Sie auf Hinzufügen oder Weitere hinzufügen. Der Ausschluss wird der Liste der Scan-Ausschlüsse hinzugefügt.

Um einen Ausschluss später zu bearbeiten, wählen Sie diesen in der Ausschlussliste aus, geben Sie neue Einstellungen ein und klicken Sie auf Aktualisieren.

Desktop-Benachrichtigungen

Anmerkung Deaktivieren Sie Empfohlene Einstellungen verwenden, um Desktop-Benachrichtigungen einzurichten.

Sie können eine Nachricht hinzufügen, die an das Ende der Standard-Benachrichtigung angehängt wird. Wenn Sie das Nachrichtenfeld leer lassen, wird nur die Standardnachricht angezeigt.

Desktop-Benachrichtigungen ist standardmäßig aktiviert.

Klicken Sie in das Nachrichtenfeld und geben Sie den Text ein, den Sie hinzufügen möchten.