Threat Protection-Richtlinie für Server

Threat Protection schützt Sie vor Malware, riskanten Dateitypen und Websites sowie bösartigem Netzwerkdatenverkehr.

Einschränkung Auf Windows-Servern stehen nicht alle Optionen zur Verfügung.
Anmerkung Wenn eine Option gesperrt ist, hat Ihr Partner- oder Enterprise-Administrator globale Einstellungen angewendet. Sie können die Erkennung von Anwendungen, Exploits und Ransomware immer noch beenden, indem Sie zur Ereignisliste gehen.

So richten Sie eine Richtlinie ein:

  • Erstellen einer Schutz vor Bedrohungen-Richtlinie.
  • Öffnen Sie die Registerkarte Einstellungen der Richtlinie und konfigurieren Sie diese wie unten beschrieben. Stellen Sie sicher, dass die Richtlinie aktiviert ist.

Sie können entweder die empfohlenen Einstellungen verwenden oder diese ändern.

Warnung Denken Sie sorgfältig nach, bevor Sie die empfohlenen Einstellungen ändern, weil sich Ihr Schutz dadurch verringern kann.
Anmerkung Die SophosLabs können selbst bestimmen, welche Dateien gescannt werden. Sie können die Überprüfung bestimmter Dateitypen hinzufügen oder entfernen, um den bestmöglichen Schutz zu gewährleisten.

Intercept X Advanced for Server

Wenn Sie die Lizenz besitzen, bietet Ihre Threat Protection-Richtlinie Schutz vor Ransomware und Exploits, signaturfreie Threat Detection und "Bedrohungsfälle“ für die Analyse von Bedrohungsereignissen.

Wir empfehlen, dass Sie diese Einstellungen für optimalen Schutz verwenden.

Anmerkung Wenn Sie eine dieser Funktionen aktivieren, verwenden Server, die dieser Richtlinie zugewiesen sind, eine Intercept X Advanced for Server-Lizenz.

Server Protection Standardeinstellungen

Wir empfehlen, diese Einstellungen aktiv zu belassen. Diese Einstellungen bieten Ihnen optimalen Schutz, ohne dass Sie eine komplexe Konfiguration durchführen müssen.

Diese Einstellungen bieten:

  • Erkennung bekannter Malware.
  • Überprüfungen in der Cloud zur Erkennung der aktuellsten Malware, die Sophos bekannt ist.
  • Proaktive Erkennung von Malware, die zum ersten Mal erkannt wird.
  • Automatische Bereinigung von Malware.
  • Automatischer Scan-Ausschluss von Aktivitäten bekannter Anwendungen.

Geplante Scans

Geplante Scans werden zu einer bestimmten Uhrzeit oder zu Zeiten durchgeführt, die Sie festlegen.

Diese Art des Scans ist standardmäßig für Server aktiviert.

Sie können folgende Optionen wählen:

  • Geplanten Scan aktivieren. Sie können eine Uhrzeit und einen oder mehrere Tage festlegen, an welchen der Scan ausgeführt werden soll.
    Anmerkung Die Uhrzeit des geplanten Scans entspricht der Uhrzeit auf dem Endpoint-Computer (keine UTC-Zeit).
  • Intensivscans aktivieren. Wenn Sie diese Option aktivieren, werden beim geplanten Scan auch Archive gescannt. Hierdurch kann sich die Systemlast erhöhen, wodurch sich der Scanvorgang eventuell erheblich verlangsamt.
    Anmerkung Scan-Archive können die Systemlast erhöhen, wodurch sich der Scanvorgang eventuell erheblich verlangsamt.

Scan-Ausschlüsse

Die Aktivität einiger Anwendungen wird automatisch vom Echtzeit-Scan ausgenommen.

Sie können auch Elemente und Aktivitäten weiterer Anwendungen vom Scan ausnehmen. Dies kann relevant sein, wenn eine Datenbankanwendung auf viele Dateien zugreift und dadurch viele Scans auslöst, was die Leistung des Servers beeinflussen kann.

Tipp Um für eine Anwendung Ausschlüsse zu definieren, können Sie mit dieser Option Prozesse dieser Anwendung ausschließen. Das ist sicherer als der Ausschluss von Dateien oder Ordnern.

Ausgeschlossene Elemente werden weiterhin auf Exploits überprüft. Sie können die Überprüfung auf einen bereits erkannten Exploit jedoch unterbinden (mit einem Ausschluss für Erkannte Exploits).

Ausschlüsse, die in einer Richtlinie festgelegt sind, werden nur für diejenigen Server verwendet, für die die Richtlinie gilt.

Anmerkung Wenn Sie Ausschlüsse auf alle Ihre Benutzer und Server anwenden möchten, richten Sie globale Ausschlüsse auf der Seite Einstellungen > Globale Ausschlüsse ein.

So erstellen Sie einen Scan-Ausschluss für Richtlinien:

  1. Klicken Sie auf Ausschluss hinzufügen (rechts auf der Seite).

    Das Dialogfeld Ausschluss hinzufügen wird angezeigt.

  2. Wählen Sie in der Dropdownliste Ausschlusstyp einen Elementtyp, der ausgeschlossen werden soll (Datei oder Ordner, Prozess, Website oder potentiell unerwünschte Anwendung).
  3. Geben Sie das Element oder die Elemente ein, die Sie ausschließen möchten. Es gelten die folgenden Regeln:
    • Datei oder Ordner (Windows). Auf Windows können Sie ein Laufwerk, einen Ordner oder eine Datei ausschließen. Sie können Wildcards und Variablen verwenden. Beispiele:
      • Ordner: C:\programdata\adobe\photoshop\ (für einen Ordner einen Backslash hinzufügen)
      • Gesamtes Laufwerk: D:
      • Datei: C:\program files\program\*.vmg
    • Datei oder Ordner (Linux). Auf Linux können Sie ein Laufwerk, einen Ordner oder eine Datei ausschließen. Sie können die Wildcards ? und * verwenden. Beispiel: /mnt/hgfs/excluded.
    • Datei oder Ordner (Sophos VM-Sicherheitssystem). Auf virtuellen Windows-Gastmaschinen, die mit einem Sophos VM-Sicherheitssystem geschützt werden, können Sie ein Laufwerk, einen Ordner oder eine Datei durch Angabe des kompletten Pfads ausschließen, wie Sie dies von Windows-Computern gewöhnt sind. Sie können das Wildcard-Zeichen * verwenden, aber nur für Dateinamen.
      Anmerkung Die Ausschüsse gelten standardmäßig für alle virtuellen Gastmaschinen, die mit dem VM-Sicherheitssystem geschützt werden. Informationen zu Ausschlüssen für ein oder mehrere spezifische VMs.
    • Prozess (Windows). Sie können jeden Prozess einer Anwendung ausschließen. Dadurch werden auch die Dateien, die vom Prozess verwendet werden, ausgeschlossen (aber nur, wenn dieser Prozess darauf zugreift). Falls möglich, geben Sie den vollständigen Pfad der Anwendung und nicht nur den Prozessnamen an, der im Task-Manager angezeigt wird. Beispiel: %PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe
      Anmerkung Um alle Prozesse oder Elemente zu sehen, die Sie für eine Anwendung ausschließen müssen, schlagen Sie bitte in der Herstellerdokumentation der Anwendung nach.
      Anmerkung Sie können Wildcards und Variablen verwenden.
    • Website (Windows). Sie können Websites als IP-Adresse, IP-Adressbereiche (in CIDR Notation) oder Domäne angeben. Beispiele:
      • IP-Adresse: 192.168.0.1
      • IP-Adressbereich: 192.168.0.0/24 Die Appendix /24 steht für die Anzahl der Bits im Präfix, die für alle IP-Adressen dieses Bereichs gilt. /24 entspricht der Netzmaske 11111111.11111111.11111111.00000000. In unserem Beispiel umfasst der Bereich alle IP-Adressen ab 192.168.0.
      • Domäne: google.com
    • Potenziell unerwünschte Anwendung (Windows). Sie können Anwendungen ausschließen, die in der Regel als Spyware erkannt werden. Verwenden Sie bei Angabe des Ausschlusses denselben Namen, unter welchem die Anwendung vom System erkannt wurde. Weitere Informationen zu PUAs finden Sie im Sophos Bedrohungs-Center.
    • Erkannte Exploits (Windows/Mac). Sie können alle erkannten Exploits ausschließen. Diese werden dann für die betreffende Anwendung nicht mehr erkannt und sie wird nicht mehr blockiert.
      Anmerkung Damit wird der CryptoGuard Ransomware-Schutz für diesen Exploit für die betreffende Anwendung auf Ihren Windows-Servern deaktiviert.
    • AMSI-Schutz (Windows). Unter Windows können Sie ein Laufwerk, einen Ordner oder eine Datei über ihren vollständigen Pfad ausschließen. Wir scannen keinen Code an dieser Stelle. Sie können für den Dateinamen oder die Dateierweiterung den Platzhalter * verwenden.
    • Server-Isolation (Windows). Die Isolation von Geräten (durch einen Administrator) ist verfügbar, wenn Sie sich für das Early Access-Programm für Intercept X Advanced for Server with EDR angemeldet haben.

      Sie können isolierten Geräten erlauben eingeschränkt mit anderen Geräten zu kommunizieren.

      Wählen Sie aus, ob isolierte Geräte ausgehende oder eingehende Kommunikation oder beides verwenden können sollen.

      Schränken Sie diese Kommunikation mit einer oder mehreren dieser Einstellungen ein:

      • Lokaler Port: Jedes Gerät kann diesen Port auf isolierten Geräten verwenden.
      • Remote-Port: Isolierte Geräte können diesen Port auf jedem anderen Gerät verwenden.
      • Remote-Adresse: Isolierte Geräte können nur mit dem Gerät mit dieser IP-Adresse kommunizieren.

      Beispiel 1: Sie möchten Remote-Desktop-Zugriff auf ein isoliertes Gerät, um Probleme beheben zu können.

      • Wählen Sie Eingehende Verbindungen aus.
      • Geben Sie die Portnummer unter Lokaler Port an.

      Beispiel 2: Sie möchten auf ein isoliertes Gerät zuzugreifen und Bereinigungstools von einem Server herunterzuladen.

      • Wählen Sie Ausgehende Verbindung aus.
      • Geben Sie unter Remote-Adresse die Adresse des Servers ein.
  4. Bei Ausschlüssen von Dateien oder Ordnern geben Sie in der Dropdownliste Aktiv für an, ob der Ausschluss für Echtzeit-Scans, geplante Scans oder beide gelten soll.
  5. Klicken Sie auf Hinzufügen oder Weitere hinzufügen. Der Ausschluss wird der Liste der Scan-Ausschlüsse hinzugefügt.

Um einen Ausschluss später zu bearbeiten, wählen Sie diesen in der Ausschlussliste aus, geben Sie neue Einstellungen ein und klicken Sie auf Aktualisieren.

Desktop-Benachrichtigungen

Sie können eine Nachricht hinzufügen, die an das Ende der Standard-Benachrichtigung angehängt wird. Wenn Sie das Nachrichtenfeld leer lassen, wird nur die Standardnachricht angezeigt.

Desktop-Benachrichtigungen ist standardmäßig aktiviert.

Klicken Sie in das Nachrichtenfeld und geben Sie den Text ein, den Sie hinzufügen möchten.