Política de protección contra amenazas para servidores

La protección contra amenazas le mantiene a salvo de programas maliciosos, tipos de archivo y sitios web peligrosos y tráfico de red malicioso.

Restricción Solo puede utilizar algunas opciones en servidores Windows.
Nota Si una opción está bloqueada, su partner o administrador de empresa ha aplicado la configuración global. Todavía puede dejar de detectar aplicaciones, exploits y ransomware yendo a la lista de eventos.

Vaya a Server Protection > Políticas para configurar la protección contra amenazas.

Para configurar una política, haga lo siguiente:

  • Crear una política Protección contra amenazas. Consulte Crear o editar una política.
  • Abra la ficha Configuración de la política y establezca las opciones como se describe abajo. Asegúrese de que la política está activa.

Puede usar la configuración recomendada o cambiarla.

Aviso Considere la opción detenidamente antes de cambiar la configuración recomendada, ya que puede reducir la protección.
Nota El equipo de SophosLabs puede controlar de forma independiente los archivos que se escanean. Puede añadir o eliminar el escaneado de determinados tipos de archivos para ofrecer la mejor protección.

Para obtener más información sobre cómo se evalúan las amenazas, consulte el Centro de amenazas de Sophos.

Intercept X Advanced for Server

Si tiene esta licencia, su política de protección contra amenazas ofrece protección contra el ransomware y los exploits, detección de amenazas sin firmas y "gráficos de amenazas" para analizar los eventos de amenazas.

Le recomendamos que utilice esta configuración para la máxima protección.

Nota Si activa cualquiera de estas funciones, los servidores asignados a esta política usan una licencia de Intercept X Advanced for Server.

Consulte Server Protection: Intercept X Advanced.

Configuración predeterminada de Server Protection

Recomendamos que deje activada esta configuración. Esta proporciona la mejor protección posible sin que sea necesario realizar una configuración compleja.

Estas opciones de configuración ofrecen:

  • Detección de programas maliciosos conocidos.
  • Controles en la nube para permitir la detección del malware más reciente conocido por Sophos.
  • Detección proactiva de programas maliciosos que no se conocían.
  • Limpieza automática de programas maliciosos.
  • Exclusión automática del escaneado de la actividad de aplicaciones conocidas.

Consulte Server Protection: Configuración predeterminada.

Escaneado programado

El escaneado programado realiza un escaneado en el momento o los momentos que especifique.

Esta forma de escaneado está activada de forma predeterminada para los servidores.

Puede seleccionar estas opciones:

  • Activar escaneado programado. Esto le permite definir la hora y uno o más días en los que debe realizarse el escaneado.
    Nota La hora del escaneado programado es la hora de las estaciones (no una hora UTC).
  • Activar escaneado profundo. Si selecciona esta opción, los archivos se escanean durante los escaneados programados. Esto puede aumentar la carga del sistema y ralentizar el escaneado de forma significativa.
    Nota El escaneado de archivos puede aumentar la carga del sistema y ralentizar el escaneado de forma significativa.

Exclusiones de escaneado

Algunas aplicaciones tienen su actividad automáticamente excluida del análisis en tiempo real. Consulte Exclusiones automáticas.

También puede excluir del escaneado otros elementos o la actividad de otras aplicaciones. Esto podría hacerse porque una aplicación de base de datos accede a muchos archivos, lo que desencadena muchos escaneados y afecta al rendimiento de un servidor.

Consejo Para configurar exclusiones para una aplicación, puede utilizar la opción de excluir los procesos que se ejecutan desde esa aplicación. Esto es más seguro que la exclusión de archivos o carpetas.

Los elementos excluidos se seguirán verificando en busca de exploits. Sin embargo, puede dejarse de buscar un exploit que ya se haya detectado (use una exclusión Exploits detectados).

Las exclusiones definidas en una política solo se utilizan para los servidores a los que se aplica la política.

Nota Para aplicar exclusiones a todos sus usuarios y servidores, defina exclusiones globales en la página Descripción general > Configuración global > Exclusiones globales.

Para crear una política de exclusión de escaneado:

  1. Haga clic en Añadir exclusión (parte derecha de la página).

    Se abrirá el cuadro de diálogo Añadir exclusión.

  2. En la lista desplegable Tipo de exclusión, seleccione un tipo de elemento para excluir (archivo o carpeta, proceso, sitio web o aplicación no deseada).
  3. Especifique el elemento o elementos que desea excluir. Se aplican las siguientes reglas:
    • Archivo o carpeta (Windows). En Windows, puede excluir una unidad, carpeta o archivo por su ruta de acceso completa. Puede utilizar caracteres comodín y variables. Ejemplos:
      • Carpeta: C:\programdata\adobe\photoshop\ (añada una barra para una carpeta)
      • Toda la unidad: D:
      • Archivo: C:\program files\programa\*.vmg
    • Archivo o carpeta (Linux). En Linux, puede excluir una carpeta o archivo. Se permite el uso de los caracteres comodín ? y *. Ejemplo: /mnt/hgfs/excluded.
    • Archivo o carpeta (Sophos Security VM). En equipos virtuales invitados de Windows protegidos por un equipo virtual de seguridad de Sophos, puede excluir una unidad, carpeta o archivo por su ruta de acceso completa, de la misma forma que en otros ordenadores Windows. Puede utilizar el comodín *, pero solo para los nombres de archivo.
      Nota De forma predeterminada, las exclusiones aplican a todos los equipos virtuales invitados protegidos por el equipo virtual de seguridad. Para aplicar exclusiones a uno o varios equipos virtuales específicos.
    • Proceso (Windows). Puede excluir cualquier proceso ejecutado desde una aplicación. Esto excluye también los archivos que utiliza el proceso (pero sólo cuando el proceso accede a ellos). Si es posible, introduzca la ruta completa de la aplicación, no sólo el nombre del proceso que se muestra en el Administrador de tareas. Ejemplo: %PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe
      Nota Para ver todos los procesos u otros objetos que necesite excluir para una aplicación, consulte la documentación del proveedor de la aplicación.
      Nota Puede utilizar caracteres comodín y variables.
    • Sitio web (Windows). Puede especificar sitios web como una dirección IP, un intervalo de direcciones IP (en notación CIDR) o un dominio. Ejemplos:
      • Dirección IP: 192.168.0.1
      • Intervalo de direcciones IP: 192.168.0.0/24 El apéndice /24 simboliza el número de bits en el prefijo común a todas las direcciones IP de este intervalo. Así /24 es igual a la máscara de red 11111111.11111111.11111111.00000000. En nuestro ejemplo, el intervalo incluye todas las direcciones IP que empiezan con 192.168.0.
      • Dominio: google.com
    • Aplicación no deseada (Windows). Puede excluir aplicaciones que suelen detectarse como spyware. Especifique la exclusión usando el mismo nombre bajo el cual fue detectado por el sistema. Puede encontrar más información acerca de las aplicaciones no deseadas en el Centro de amenazas de Sophos.
    • Exploits detectados (Windows/Mac). Se puede excluir un exploit que ya se haya detectado. Ya no se detectará para la aplicación afectada y esta no se bloqueará.
      Nota Esta opción desactiva la protección contra ransomware de CryptoGuard para ese exploit para la aplicación afectada en los servidores Windows.
    • Protección AMSI (Windows). En Windows, puede excluir una unidad, carpeta o archivo por su ruta de acceso completa. No escaneamos código en esta ubicación. Puede utilizar el carácter comodín * para el nombre de archivo o la extensión. Consulte Interfaz de análisis antimalware (AMSI).
    • Aislamiento de servidor (Windows). El aislamiento de dispositivos (por parte de un administrador) está disponible para servidores si se ha registrado en el Programa de acceso temprano de Intercept X Advanced for Server with XDR.

      Puede permitir que los dispositivos aislados tengan comunicaciones limitadas con otros dispositivos.

      Elija si los dispositivos aislados utilizarán comunicaciones salientes o entrantes, o ambas.

      Restrinja las comunicaciones con una o más de estas opciones:

      • Puerto local: Cualquier dispositivo puede utilizar este puerto en dispositivos aislados.
      • Puerto remoto: Los dispositivos aislados pueden utilizar este puerto en cualquier dispositivo.
      • Dirección remota: Los dispositivos aislados solo pueden comunicarse con el dispositivo con esta IP.

      Ejemplo 1: Desea acceso de escritorio remoto a un dispositivo aislado para poder solucionar problemas.

      • Seleccione Conexión entrante.
      • En Puerto local, especifique el número de puerto.

      Ejemplo 2: Desea ir a un dispositivo aislado y descargar herramientas de limpieza de un servidor.

      • Seleccione Conexión saliente.
      • En Dirección remota, introduzca la dirección del servidor.
  4. Para las exclusiones de Archivos o carpetas solamente, en la lista desplegable Activo para especifique si la exclusión debe ser válida para el escaneado en tiempo real, para el escaneado programado o para ambos.
  5. Haga clic en Añadir o Añadir otro. La exclusión se añade a la lista de exclusiones de escaneado.

Para editar una exclusión posteriormente, haga clic en el nombre en la lista de exclusiones, introduzca una configuración nueva y haga clic en Actualizar.

Para obtener más información sobre las exclusiones que puede utilizar, consulte:

Exclusiones de mitigación de vulnerabilidades

Puede excluir aplicaciones de la protección contra vulnerabilidades de seguridad. Por ejemplo, puede que quiera excluir una aplicación que se detecta erróneamente como amenaza hasta que se solucione el problema.

Añadir exclusiones reduce la protección.

Al añadir exclusiones mediante la opción de configuración global, Descripción general > Configuración global > Exclusiones globales, se crean exclusiones que se aplican a todos los usuarios y dispositivos.

Se recomienda utilizar esta opción y asignar la política que contiene la exclusión solo a los servidores en los que la exclusión sea necesaria.

Restricción Solo puede crear exclusiones para aplicaciones de Windows.

Para crear una política con exclusión de mitigación de vulnerabilidades, haga lo siguiente:

  1. Haga clic en Añadir exclusión (parte derecha de la página).

    Se abrirá el cuadro de diálogo Añadir exclusión.

  2. En Tipo de exclusión, seleccione Mitigación de exploits (Windows).

    Se muestra una lista de las aplicaciones protegidas de la red.

  3. Seleccione la aplicación que desee excluir.
  4. Si no ve la aplicación que desea, haga clic en ¿La aplicación no está en la lista?. Para excluir la aplicación de la protección, introduzca su ruta de archivo. Opcionalmente, utilice cualquiera de las variables.
  5. En Mitigaciones, elija entre las siguientes opciones:
    • Desactivar la opción Proteger aplicación. La aplicación seleccionada no se analizará en busca de vulnerabilidades de seguridad.
    • Mantenga activada la opción Proteger aplicación y seleccione los tipos de vulnerabilidades que desea o no desea comprobar.
  6. Haga clic en Añadir o Añadir otro. La exclusión se añade a la lista en la página Exclusiones globales.

    La exclusión solo se aplica a los servidores a los que se asigna esta política.

    Reputación de descargas

Para editar una exclusión posteriormente, haga clic en el nombre en la lista de exclusiones, introduzca una configuración nueva y haga clic en Actualizar.

Exclusiones de la protección contra el ransomware

Restricción Solamente puede utilizar esta función si forma parte del programa de acceso temprano.

Puede excluir las aplicaciones o carpetas utilizadas por las aplicaciones de la protección contra el ransomware.

Es posible que desee excluir una aplicación que hemos detectado incorrectamente como una amenaza o una aplicación que es incompatible con la protección contra el ransomware. Por ejemplo, si tiene una aplicación que cifra datos, puede que desee excluirla. Esto evitará que identifiquemos la aplicación como ransomware.

O puede que desee excluir las carpetas utilizadas por aplicaciones específicas que muestran problemas de rendimiento al supervisarse mediante la protección de contra el ransomware. Por ejemplo, es posible que desee excluir las carpetas utilizadas por las aplicaciones de copia de seguridad.

Añadir exclusiones reduce la protección.

Al añadir exclusiones mediante la opción de configuración global, Descripción general > Configuración global > Exclusiones globales, se crean exclusiones que se aplican a todos los servidores.

Se recomienda utilizar esta opción y asignar la política que contiene la exclusión solo a los servidores en los que la exclusión sea necesaria.

Para crear una exclusión de la protección contra el ransomware de la política, haga lo siguiente:

  1. Haga clic en Añadir exclusión (parte derecha de la página).

    Se abrirá el cuadro de diálogo Añadir exclusión.

  2. En Tipo de exclusión, seleccione Protección contra ransomware (Windows).
  3. Elija si desea excluir un proceso o una carpeta.
  4. En VALOR, escriba la ruta de acceso del proceso o la carpeta que desea excluir.

    Aquí se pueden utilizar variables. Consulte Mitigación de exploits o exclusiones de ransomware: variables.

  5. Haga clic en Añadir o Añadir otro. La exclusión se añade a la lista en la página Exclusiones globales.

    La exclusión solo se aplica a los servidores a los que se asigna esta política.

Para editar una exclusión posteriormente, haga clic en el nombre en la lista de exclusiones, introduzca una configuración nueva y haga clic en Actualizar.

Restricción Solo puede crear exclusiones para aplicaciones de Windows.

Mensaje de escritorio

Puede añadir un mensaje al final de la notificación estándar. Si deja vacío el cuadro del mensaje, solo se muestra el mensaje estándar.

Mensaje de escritorio está activado por defecto.

Haga clic en el cuadro del mensaje e introduzca el texto que desee.