Política de protección contra amenazas para servidores

La protección contra amenazas le mantiene a salvo de programas maliciosos, tipos de archivo y sitios web peligrosos y tráfico de red malicioso.

Restricción Solo puede utilizar algunas opciones en servidores Windows.
Nota Si una opción está bloqueada, su partner o administrador de empresa ha aplicado la configuración global. Todavía puede dejar de detectar aplicaciones, exploits y ransomware yendo a la lista de eventos.

Para configurar una política:

  • Crear una política Protección contra amenazas.
  • Abra la ficha Configuración de la política y establezca las opciones como se describe abajo. Asegúrese de que la política esté activada.

Puede usar la configuración recomendada o cambiarla.

Aviso Considere la opción detenidamente antes de cambiar la configuración recomendada, ya que puede reducir la protección.
Nota El equipo de SophosLabs puede controlar de forma independiente los archivos que se escanean. Puede añadir o eliminar el escaneado de determinados tipos de archivos para ofrecer la mejor protección.

Intercept X Advanced for Server

Si tiene esta licencia, su política de protección contra amenazas ofrece protección contra el ransomware y los exploits, detección de amenazas sin firmas y "casos de amenazas" para analizar los eventos de amenazas.

Le recomendamos que utilice esta configuración para la máxima protección.

Nota Si activa cualquiera de estas funciones, los servidores asignados a esta política usan una licencia de Intercept X Advanced for Server.

Configuración predeterminada de Server Protection

Recomendamos que deje activada esta configuración. Esta proporciona la mejor protección posible sin que sea necesario realizar una configuración compleja.

Estas opciones de configuración ofrecen:

  • Detección de programas maliciosos conocidos.
  • Controles en la nube para permitir la detección del malware más reciente conocido por Sophos.
  • Detección proactiva de programas maliciosos que no se conocían.
  • Limpieza automática de programas maliciosos.
  • Exclusión automática del escaneado de la actividad de aplicaciones conocidas.

Escaneado programado

El escaneado programado realiza un escaneado en el momento o los momentos que especifique.

Esta forma de escaneado está activada de forma predeterminada para los servidores.

Puede seleccionar estas opciones:

  • Activar escaneado programado. Esto le permite definir la hora y uno o más días en los que debe realizarse el escaneado.
    Nota La hora del escaneado programado es la hora de las estaciones (no una hora UTC).
  • Activar escaneado profundo. Si selecciona esta opción, los archivos se escanean durante los escaneados programados. Esto puede aumentar la carga del sistema y ralentizar el escaneado de forma significativa.
    Nota El escaneado de archivos puede aumentar la carga del sistema y ralentizar el escaneado de forma significativa.

Exclusiones de escaneado

Algunas aplicaciones tienen su actividad automáticamente excluida del análisis en tiempo real.

También puede excluir del escaneado otros elementos o la actividad de otras aplicaciones. Esto podría hacerse porque una aplicación de base de datos accede a muchos archivos, lo que desencadena muchos escaneados y afecta al rendimiento de un servidor.

Consejo Para configurar exclusiones para una aplicación, puede utilizar la opción de excluir los procesos que se ejecutan desde esa aplicación. Esto es más seguro que la exclusión de archivos o carpetas.

Los elementos excluidos se seguirán verificando en busca de exploits. Sin embargo, puede dejarse de buscar un exploit que ya se haya detectado (use una exclusión Exploits detectados).

Las exclusiones definidas en una política solo se utilizan para los servidores a los que se aplica la política.

Nota Para aplicar exclusiones a todos sus usuarios y servidores, defina exclusiones globales en la página Configuración > Exclusiones globales.

Para crear una política de exclusión de escaneado:

  1. Haga clic en Añadir exclusión (parte derecha de la página).

    Se abrirá el cuadro de diálogo Añadir exclusión.

  2. En la lista desplegable Tipo de exclusión, seleccione un tipo de elemento para excluir (archivo o carpeta, proceso, sitio web o aplicación no deseada).
  3. Especifique el elemento o elementos que desea excluir. Se aplican las siguientes reglas:
    • Archivo o carpeta (Windows). En Windows, puede excluir una unidad, carpeta o archivo por su ruta de acceso completa. Puede utilizar caracteres comodín y variables. Ejemplos:
      • Carpeta: C:\programdata\adobe\photoshop\ (añada una barra para una carpeta)
      • Toda la unidad: D:
      • Archivo: C:\program files\programa\*.vmg
    • Archivo o carpeta (Linux). En Linux, puede excluir una carpeta o archivo. Se permite el uso de los caracteres comodín ? y *. Ejemplo: /mnt/hgfs/excluded.
    • Archivo o carpeta (Sophos Security VM). En equipos virtuales invitados de Windows protegidos por un equipo virtual de seguridad de Sophos, puede excluir una unidad, carpeta o archivo por su ruta de acceso completa, de la misma forma que en otros ordenadores Windows. Puede utilizar el comodín *, pero solo para los nombres de archivo.
      Nota De forma predeterminada, las exclusiones aplican a todos los equipos virtuales invitados protegidos por el equipo virtual de seguridad. Para aplicar exclusiones a uno o varios equipos virtuales específicos.
    • Proceso (Windows). Puede excluir cualquier proceso ejecutado desde una aplicación. Esto excluye también los archivos que utiliza el proceso (pero sólo cuando el proceso accede a ellos). Si es posible, introduzca la ruta completa de la aplicación, no sólo el nombre del proceso que se muestra en el Administrador de tareas. Ejemplo: %PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe
      Nota Para ver todos los procesos u otros objetos que necesite excluir para una aplicación, consulte la documentación del proveedor de la aplicación.
      Nota Puede utilizar caracteres comodín y variables.
    • Sitio web (Windows). Puede especificar sitios web como una dirección IP, un intervalo de direcciones IP (en notación CIDR) o un dominio. Ejemplos:
      • Dirección IP: 192.168.0.1
      • Intervalo de direcciones IP: 192.168.0.0/24 El apéndice /24 simboliza el número de bits en el prefijo común a todas las direcciones IP de este intervalo. Así /24 es igual a la máscara de red 11111111.11111111.11111111.00000000. En nuestro ejemplo, el intervalo incluye todas las direcciones IP que empiezan con 192.168.0.
      • Dominio: google.com
    • Aplicación no deseada (Windows). Puede excluir aplicaciones que suelen detectarse como spyware. Especifique la exclusión usando el mismo nombre bajo el cual fue detectado por el sistema. Puede encontrar más información acerca de las aplicaciones no deseadas en el Centro de amenazas de Sophos.
    • Exploits detectados (Windows/Mac). Se puede excluir un exploit que ya se haya detectado. Ya no se detectará para la aplicación afectada y esta no se bloqueará.
      Nota Esta opción desactiva la protección contra ransomware de CryptoGuard para ese exploit para la aplicación afectada en los servidores Windows.
    • Protección AMSI (Windows). En Windows, puede excluir una unidad, carpeta o archivo por su ruta de acceso completa. No escaneamos código en esta ubicación. Puede utilizar el carácter comodín * para el nombre de archivo o la extensión.
    • Aislamiento de servidor (Windows). El aislamiento de dispositivos (por parte de un administrador) está disponible para servidores si se ha registrado en el Programa de acceso temprano de Intercept X Advanced for Server with EDR.

      Puede permitir que los dispositivos aislados tengan comunicaciones limitadas con otros dispositivos.

      Elija si los dispositivos aislados utilizarán comunicaciones salientes o entrantes, o ambas.

      Restrinja las comunicaciones con una o más de estas opciones:

      • Puerto local: Cualquier dispositivo puede utilizar este puerto en dispositivos aislados.
      • Puerto remoto: Los dispositivos aislados pueden utilizar este puerto en cualquier dispositivo.
      • Dirección remota: Los dispositivos aislados solo pueden comunicarse con el dispositivo con esta IP.

      Ejemplo 1: Desea acceso de escritorio remoto a un dispositivo aislado para poder solucionar problemas.

      • Seleccione Conexión entrante.
      • En Puerto local, especifique el número de puerto.

      Ejemplo 2: Desea ir a un dispositivo aislado y descargar herramientas de limpieza de un servidor.

      • Seleccione Conexión saliente.
      • En Dirección remota, introduzca la dirección del servidor.
  4. Para las exclusiones de Archivos o carpetas solamente, en la lista desplegable Activo para especifique si la exclusión debe ser válida para el escaneado en tiempo real, para el escaneado programado o para ambos.
  5. Haga clic en Añadir o Añadir otro. La exclusión se añade a la lista de exclusiones de escaneado.

Para editar una exclusión posteriormente, haga clic en el nombre en la lista de exclusiones, introduzca una configuración nueva y haga clic en Actualizar.

Mensaje de escritorio

Puede añadir un mensaje al final de la notificación estándar. Si deja vacío el cuadro del mensaje, solo se muestra el mensaje estándar.

Mensaje de escritorio está activado por defecto.

Haga clic en el cuadro del mensaje e introduzca el texto que desee.