Política de Proteção contra arquivos não autorizados

O Unauthorized File Protection rastreia operações de arquivos realizadas por processos não privilegiados que criam, modificam ou movem arquivos Portable Executable (PE). Ele também rastreia a criação de links físicos de arquivos e a renomeação de pastas.  

Verificação de reputação

O Unauthorized File Protection utiliza a classificação de reputação atribuída pelo SophosLabs. A pontuação de reputação indica a confiabilidade de um arquivo. O Unauthorized File Protection utiliza pontuações de reputação da seguinte forma:

• Arquivos locais com alta reputação são autorizados para execução, a menos que correspondam a itens na lista de bloqueio da política.

  Os administradores podem usar a política de Controle de Aplicativos para bloquear a execução de arquivos de aplicativos legítimos e amplamente utilizados. Consulte Política de controle de aplicativos de servidor.

• Arquivos locais com reputação baixa a média são rastreados por alterações. O Unauthorized File Protection bloqueia a execução do arquivo caso um processo não autorizado o tenha modificado.

• Arquivos locais com qualquer reputação, exceto arquivos de sistema e da Sophos, são bloqueados se corresponderem à lista de bloqueio da política de Proteção contra Arquivos Não Autorizados.

  Nota

  Você pode verificar a pontuação de reputação de um arquivo usando a ferramenta Sophos Endpoint Self Help (ESH). Para obter mais informações, consulte Informações do Arquivo.

Para obter mais informações sobre pontuações de reputação, consulte Solicitar o mais recente Intelligence.

Configurar a política de Proteção contra arquivos não autorizados

Vá para Meus produtos > Server > Políticas.

Para configurar uma política, siga este procedimento:

1. Vá para Meus produtos > Server > Políticas.
2. Crie uma política de Proteção contra arquivos não autorizados. Consulte Criar ou editar uma política.
3. Abra a guia Configurações da política e configure-a conforme necessário.

Ativar o rastreamento de alterações de arquivos não autorizadas

Ative Ativar o rastreamento de alterações de arquivos não autorizadas.

Você pode selecionar uma das seguintes configurações:

• Monitorar a execução de arquivos não autorizados sem bloqueio: Quando ativado, o Sophos Endpoint relata a execução de um arquivo não autorizado para o Sophos Central sem bloqueá-lo.

  Você pode usar esses detalhes para adicionar arquivos necessários à lista de permissões antes de ativar a opção Bloquear a execução de arquivos não autorizados.

• Bloquear a execução de arquivos não autorizados: Quando ativado, o Sophos Endpoint bloqueia a execução de arquivos não autorizados.

  Quando uma execução é bloqueada, você vê uma mensagem pop-up do Sophos Endpoint Agent que informa ao usuário que um arquivo foi bloqueado. Os administradores podem ver os detalhes na guia Eventos em Servidores. Consulte Eventos do servidor.

Você pode ver os eventos mais recentes de arquivos bloqueados na guia Resumo ou Eventos do servidor. Para ver relatórios de eventos em um intervalo de tempo específico, vá para Relatórios > Logs Gerais > Eventos.

Os clientes do Sophos EDR ou XDR também podem usar consultas personalizadas do Live Discover para recuperar todos os detalhes de eventos disponíveis da tabela sophos_unauthorized_actions_journal.

Para criar ou editar uma consulta personalizada, veja Edit or create queries.

Para executar uma consulta personalizada, veja Live Discover.

Itens permitidos

Você pode permitir a execução de arquivos específicos ou todos os arquivos de pastas específicas ou suas subpastas. Itens que correspondem às entradas desta lista são privilegiados.

Para permitir um item, proceda da seguinte forma:

1. Clique em Adicionar item permitido.

2. Na caixa de diálogo Adicionar novo item permitido, proceda da seguinte forma:

   1. Selecione Arquivo, Pasta ou SHA256.

   2. Insira o caminho do arquivo ou da pasta, ou o valor SHA-256.

      É possível utilizar caracteres curinga e variáveis apenas para arquivos e pastas. Consulte Exclusões de varredura do Windows.

   3. Clique em Salvar.

3. Na página Server Protection, clique em Salvar.

Itens bloqueados

Você pode bloquear a execução de arquivos específicos ou todos os arquivos de pastas específicas ou suas subpastas.

Para bloquear um arquivo ou pasta, siga este procedimento:

1. Clique em Adicionar item bloqueado.

2. Na caixa de diálogo Adicionar novo item bloqueado, proceda da seguinte forma:

   1. Selecione Arquivo, Pasta ou SHA256.

   2. Insira o caminho do arquivo ou da pasta, ou o valor SHA-256.

      É possível utilizar caracteres curinga e variáveis apenas para arquivos e pastas. Consulte Exclusões de varredura do Windows.

   3. Clique em Salvar.

3. Na página Server Protection, clique em Salvar.

Instalação de arquivo MSI

Os arquivos MSI são pacotes de instalação comumente usados para instalar softwares em dispositivos Windows. Eles não são arquivos PE, e o Unauthorized File Protection aplica uma lógica especial para manipulá-los.

Os arquivos MSI não são bloqueados, mas podem conter arquivos PE que são extraídos e executados durante a instalação. Se esses arquivos PE não tiverem altas pontuações de reputação, o Unauthorized File Protection os bloqueia e a instalação falha. Mesmo que a instalação seja concluída, o Unauthorized File Protection bloqueia arquivos PE instalados se não tiverem altas pontuações de reputação e não corresponderem à lista de permissão da política.

Caminhos de arquivos MSI ou pastas contendo arquivos MSI podem ser adicionados à lista de permissão da política e à lista de bloqueio. O Unauthorized File Protection verifica se os arquivos MSI correspondem a essas listas enquanto decide se bloqueia a instalação ou permite a execução de arquivos PE instalados ou arquivos PE extraídos durante a instalação.