跳至內容

伺服器威脅防護策略

威脅防護能保護您的安全,使您免受惡意程式、危險檔案類型和網站,以及惡意網路資料流量的威脅。

轉至 我的產品 > Server > 原則 以設定威脅保護。

如欲設定原則,請依照以下動作執行:

  • 建立 安全威脅防護 策略。請參閱建立或編輯策略
  • 開啟策略的 設定 標籤,按照如下所述對其進行設定。確保原則已開啟。

您可以使用預設設定或對其進行變更。

如果您變更此原則中的任何設定,並且想要找出預設值,請建立新的原則。您不需要將其儲存,但其會顯示預設值。

注意

SophosLabs 可以獨立控制掃描哪些檔案。其可新增或移除特定檔案類型的掃描,以提供最佳防護。

推薦設定

預設情況下,原則使用我們推薦的設定。

這些設定提供了無需複雜設定即可擁有的最佳防護。它們提供以下功能:

  • 已知惡意程式偵測。
  • 雲端檢查,以便允許對 Sophos 已知的最新惡意程式的偵測。
  • 主動偵測以前未曾見過的惡意程式。
  • 自動清理惡意程式。
  • 從掃描中自動排除已知應用程式的活動。

如果使用任何推薦以外的設定,您會在原則設定頁面上看到警告。

變更推薦的設定前務必謹慎,因為這樣做可能會降低防護。

限制

您只能在 Windows Server 上使用部分選項。

Live Protection

Live Protection 可根據 SophosLabs 威脅資料庫檢查可疑檔案。這有助於偵測最新威脅並避免誤判。您可以按如下方式使用它:

  • 使用 Live Protection 在線上檢查來自 Sophos 實驗室的最新威脅資訊。此功能會在即時掃描期間檢查檔案。
  • 在排程掃描期間使用 Live Protection

    注意

    在 Linux 上,排程的掃描始終使用 Live Protection,而不考慮此設定。

關閉 Live Protection 會降低對您的保護,並且可能增加誤判。

要查看我們的威脅資料庫,請移至 Sophos Threat Center

深度學習

深度學習可以自動偵測威脅,特別是之前未曾見過的新威脅和未知威脅。它使用機器學習,不依賴於簽名。

關閉深度學習會大幅降低對您的保護。

即時掃描 - 本機檔案和網路共享

即時掃描功能會在存取及更新檔案時檢查這些檔案有無已知的惡意軟體。它可以防止已知的惡意程式執行,並防止合法應用程式打開受感染的檔案。

預設情況下,掃描提供本機和遠端檔案(從網路存取的檔案)的即時掃描。如果您只想掃描裝置上的檔案,請選取本機

  • 讀取檔案時:在打開檔案時對其進行掃描。
  • 寫入檔案時:在儲存檔案時對其進行掃描。

為 Linux 代理程式版 Server Protection 啟用掃描可在 Linux 裝置上提供即時掃描。此設定適用於 Sophos Protection for Linux,不適用於舊版 Sophos Anti-Virus 產品。請參閱補救

關閉這些選項可允許執行或存取已知的惡意軟體。

即時掃描 - 網路

即時掃描會在使用者嘗試存取網際網路資源時對其進行掃描。

掃描進行中的下載

此設定可控制我們在下載內容和頁面元素到達瀏覽器之前是否對其進行掃描。

  • HTTP 連線:我們會掃描所有元素和下載內容。
  • HTTPS 連線:除非您開啟使用 SSL/TLS 解密網站,否則我們不會掃描任何元素。

攔截存取惡意網站

此設定會拒絕存取已知裝載惡意軟體的網站。

我們會進行信譽檢查,以查看網站是否已知裝載惡意內容(SXL4 查閱)。如果您關閉 Live Protection,此檢查也會關閉。

  • HTTP 連線:檢查所有 URL,包括完整的 HTTP GET 請求。
  • HTTPS 連線:檢查基本 URL (SNI)。如果開啟使用 SSL/TLS 解密網站,所有 URL 都會受到檢查,包括完整的 HTTP GET 請求。

偵測低信譽下載內容

此設定會根據檔案的來源、下載頻率等,檢查下載信譽。使用下列選項決定下載內容的處理方式。

要採取的動作設定為提示使用者:下載低信譽檔案時,終端使用者會看到警告。然後,他們可以信任或刪除該檔案。這是預設設定。

信譽等級設為下列其中一項:

  • 建議:低信譽檔案會自動遭到封鎖。這是預設設定。
  • 限制:中低信譽的下載內容會自動遭到封鎖,並報告給 Sophos Central。

如欲瞭解更多資訊,請參閱下載信譽

即時掃描 - 選項

自動排除已知應用程式的活動。此設定不包括供應商推薦的廣泛使用的應用程式。

有關更多資訊,請參見 Sophos Central Server:自動排除的協力廠商產品

補救

補救選項如下:

自動清理惡意軟體:Sophos Central 自動清理偵測到的惡意軟體,並記錄清理作業。您可以在事件清單中看到此內容。

限制

執行 Sophos Protection for Linux 的 Windows 電腦和 Linux 裝置始終清理偵測到的項目,而不考慮此設定。

當 Sophos Central 清理檔案時,它會從其目前位置移除檔案,並將其隔離在 SafeStore 中。檔案會保留在 SafeStore 中,直到得到允許或被移除,從而為新的偵測留出空間。您可以透過將在 SafeStore 中隔離的檔案新增到允許的應用程式來還原這些檔案。請參閱許可的應用程式

SafeStore 具有以下預設限制:

  • 單個檔案限制為 100 GB。
  • 隔離大小的總限制為 200 GB。
  • 儲存檔案的數目上限為 2000。

啟用威脅圖表建立。這有助於您調查惡意軟體攻擊中的一系列事件。建議您開啟此功能,以便分析我們偵測到並阻止的攻擊。

執行階段保護

執行階段保護透過偵測可疑或惡意行為或資料流來防止受到威脅。

保護文件檔案免受勒索軟體威脅 (CryptoGuard)。此設定可以保護您免受惡意軟體的攻擊,這類惡意軟體會限制對檔案的存取,然後要求付費來釋放它們。此功能預設情況下已開啟。強烈建議您使其保持開啟狀態。

您也可以使用這些選項:

  • 遠端執行 ransomware 的防護。這可確保整個網路的保護。建議您使其保持開啟狀態。
  • 保護以免受加密檔案系統的攻擊。此設定可保護 64 位元裝置免受加密檔案系統的勒索軟體攻擊。選擇偵測到勒索軟體時要採取的動作。您可以終止勒索軟體處理序或將其隔離,以使其停止寫入檔案系統。
  • 防止主開機記錄勒索軟體。此設定可保護裝置免受能將主開機記錄加密(造成無法開機)的勒索軟體攻擊,以及將硬碟抹除的攻擊。

保護網頁瀏覽器的關鍵功能(安全瀏覽)。此設定可保護您的網頁瀏覽器免受惡意軟體透過網頁瀏覽器進行的入侵。

在易受攻擊的應用程式中降低襲擊。此設定可以保護容易受到惡意軟體入侵的應用程式。您可以選取要保護哪些應用程式類型。

保護程序。這有助於防止惡意程式劫持合法應用程式。您可從以下選項中選擇:

  • 預防偽裝程序攻擊。也稱為「進程取代」或 DLL 導入。攻擊者通常使用此技術將惡意程式碼載入合法應用程式中,以嘗試略過安全軟體。

    關閉此設定會使攻擊者更容易略過您的安全軟體。

  • 預防從不受信任的資料夾載入 DLL。這樣可以防止從不受信任的資料夾載入 DLL 檔案。

  • 防止憑證盜竊。這防止記憶體、登錄或硬碟的密碼及雜湊資訊受竊取。
  • 防止使用代碼漏洞。此設定可偵測被置入到另一個合法應用程式的惡意程式碼。
  • 防止 APC 違反情況。這防止攻擊使用應用程式程序呼叫 (APC) 執行其程式碼。
  • 防止權限提升。這防止攻擊將低權限處理序提升到高權限以存取系統。

啟用 CPU 子目錄追蹤。CPU 惡意代碼偵測是 Intel 處理器的一項功能,可以跟踪處理器活動以進行偵測。我們支援它在具有以下架構的 Intel 處理器上使用:Nehalem、Westmere、Sandy Bridge、Ivy Bridge、Haswell、Broadwell、Goldmont、SkyLake 和 Kaby Lake。如果電腦上有合法的 Hypervisor,我們不支援它。

動態 Shellcode 保護。此設定可偵測隱藏的遠端命令和控制代理程式的行為,並防止攻擊者取得您網路的控制權。

驗證 CTF 協定調用者。此設定會封鎖嘗試利用 CTF 中弱點的應用程式,CTF 是所有 Windows 版本中的一個元件。此弱點可讓非系統管理員的攻擊者劫持任何 Windows 進程,包括在沙箱中執行的應用程式。建議您開啟驗證 CTF 通訊協定呼叫者

防止側面載入不安全的模塊。此設定可防止應用程式側載偽裝成 ApiSet Stub DLL 的惡意 DLL。ApiSet Stub DLL 充當一種 Proxy,用於維護較舊應用程式和較新作業系統版本之間的相容性。攻擊者可能會利用惡意 ApiSet Stub DLL 略過竄改防護,並阻止反惡意程式碼保護。

關閉此功能會大大降低對您的保護。

保護用於 MFA 登入的瀏覽器 Cookie。此設定可防止未經授權的應用程式解密用於加密多重要素驗證 (MFA) Cookie 的 AES 金鑰。

保護網路資料流

  • 偵測命令與控制伺服器的惡意網路流量。此功能可以偵測端點計算機和伺服器之間的資料流,表現出一種可能控制端點計算機的企圖。
  • 使用封包檢查功能阻止惡意網路流量 (IPS)。這會在最低層級掃描資料流,並在威脅可以損壞作業系統或應用程式之前封鎖威脅。此選項預設為關閉。

Linux 執行階段偵測。此設定可讓您看到 Linux 伺服器工作負載和容器的執行階段並進行威脅偵測。您可以在威脅分析中心管理這些警示。請參閱偵測

限制

要使用 Linux 執行階段偵測,您必須具有適當的授權。請參見伺服器 Linux 執行階段偵測原則

防止惡意指標連線至命令與控制伺服器。此設定可識別並封鎖企圖透過保持加密來逃避偵測的指標。

偵測惡意行為。此設定可防止目前尚未明確的威脅。它透過偵測並攔截已知具有惡意或可疑的行為來達到這一目的。

AMSI 防護。此設定可防止使用 Microsoft 反惡意程式碼掃描介面 (AMSI) 的惡意程式碼(例如,PowerShell 指令碼)。

使用 AMSI 轉寄的程式碼會在執行之前接受掃描,如果存在威脅,端點會通知用於執行該程式碼的應用程式。如果偵測到威脅,則會記錄一次事件。

防止移除 AMSI 註冊。此設定可確保無法從電腦移除 AMSI。

啟用 Sophos 安全性活動訊號:此設定會將伺服器「健康情況」報告傳送至使用您的 Sophos Central 帳戶註冊的每個 Sophos Firewall。若註冊的防火牆不止一個,報告會傳送到最近的防火牆。如果報告顯示伺服器可能遭到入侵,則防火牆可限制其存取。

自適應攻擊防護

當裝置受到攻擊時自動開啟額外保護。此設定可在偵測到攻擊時啟用一組更積極的保護措施。這些額外的保護措施旨在中斷攻擊者的行動。

您也可以永久開啟自適應攻擊防護功能。

  • 在安全模式下啟用保護。當裝置在安全模式下執行時,此設定將啟用 Sophos 保護。某些元件和功能 (如訊息轉送和更新快取) 在安全模式下不可用。
  • 封鎖安全模式濫用。此設定會偵測並封鎖表示攻擊者嘗試將裝置置於安全模式的活動。

HTTPS 網站的 SSL/TLS 解密

如果您選擇使用 SSL/TLS 解密 HTTPS 網站,我們將解密並檢查 HTTPS 網站的內容是否存在威脅。

如果我們解密了風險較高的網站,我們會加以封鎖。我們向使用者顯示一條訊息,並讓他們選擇將網站提交到 SophosLabs 進行重新評估。

預設情況下,解密是關閉的。

注意

如果套用至某部裝置的威脅防護原則中開啟了解密,則該原則也將用於同一部裝置中的 Web 控制項檢查。

Linux 即時掃描

如果您選取為 Linux 代理程式版 Server Protection 啟用掃描,我們將在使用者嘗試存取檔案時對檔案進行掃描。如果檔案安全,我們會允許存取。

預設情況下,Linux 即時掃描關閉。

排程掃描

排程掃描按您指定的時間執行掃描。

您可以選取這些選項:

  • 啟用排程掃描。這使您可以定義要執行掃描的時間以及日期(一日或多日)。

    排程掃描時間是端點電腦上的時間(不是 UTC 時間)。

  • 啟用深度掃描。如果選取此選項,將在排程掃描期間掃描封存。這可能會增加系統負載,並使掃描速度明顯變慢。

掃描排除項

某些應用程式的活動會自動從即時掃描中排除。參閱 自動排除

您還可以從掃描中排除其他項目或其他應用程式的活動。您可能會這樣做,因為資料庫應用程式存取許多檔案,其會觸發許多掃描,並影響伺服器的效能。

要為應用程式設定排除項,可以使用該選項從應用程式中排除執行的處理程序。這比排除檔案或資料夾更為安全。

我們仍然會檢查被排除的項目有無漏洞。但是,您可以停止檢測已經偵測到的漏洞(使用已偵測漏洞排除項)。

在策略中設定的排除項僅用於策略所適用的伺服器。

如果您要將排除項套用到所有使用者和伺服器,請在 我的產品 > 一般設定 > 全域排除項 頁面中設定全域排除項。

有關使用排除項的說明,請參見 安全使用排除項

若要建立策略掃描排除項:

  1. 按一下 新增例外項目(在頁面右側)。

    會顯示 新增例外項目 對話方塊。

  2. 例外項目類型 下拉式清單中,選取要排除的項目類型(檔案或資料夾、處理程序、網站、可能不需要的應用程式)。

  3. 指定要排除的項目。以下規則適用於:

    • 檔案或資料夾 (Windows)。在 Windows 中,您可以按完整路徑排除磁碟機、資料夾或檔案。您可以使用萬用字元和變數。範例:

      • 資料夾:C:\programdata\adobe\photoshop\ (為資料夾新增斜線)
      • 整個磁碟機:D:
      • 檔案:C:\program files\program\*.vmg
    • 檔案或資料夾 (Linux)。在 Linux 中,您可以排除資料夾或檔案。您可使用萬用字元 ? 和 *。範例:/mnt/hgfs/excluded

    • 程式 (Windows)。您可以從應用程式中排除任何執行的處理程序。這也會排除處理程序使用的檔案(但僅在處理程序存取時)。如果可能,請輸入應用程式的完整路徑,而不僅僅是工作管理器中顯示的處理程序名稱。範例:%PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe

      注意

      如遇檢視應用程式需要排除的所有處理程序或其他項目,請參閱應用程式廠商的文檔。

      注意

      您可以使用萬用字元和變數。

    • 網站 (Windows)。您可以將網站指定為 IP 位址、IP 位址範圍 (CIDR 標記法) 或網域。範例:

      • IP 位址:192.168.0.1
      • IP 位址範圍:192.168.0.0/24 後置的 /24 表示該範圍的所有 IP 位址公用前置中的位元數。因此,/24 等於網路遮罩 11111111.11111111.11111111.00000000。在我們的範例中,範圍包括所有以 192.168.0 開頭的 IP 位址。
      • 網域: google.com

      如果您排除了某個網站,我們不會檢查該網站的類別,並且該網站將不會受到 Web 控制項保護。請參閱伺服器網頁控管策略

    • 可能不需要的應用程式 (Windows/Mac/Linux)。您可以排除通常被偵測為間諜軟體的應用程式。使用系統偵測到的同一名稱指定排除項,例如 "PsExec" 或 "Cain n Abel"。可在 Sophos 威脅中心 中尋找更多關於 PUA 的資訊。

      新增 PUA 排除項前務必謹慎,因為這樣做可能會降低防護。

    • 偵測到的漏洞 (Windows/Mac)。您可以排除已經偵測到的任何漏洞。我們將不再針對受影響的應用程式偵測它,也不再封鎖該應用程式。

      您也可以使用偵測 ID 排除偵測到的入侵程式。如果您正在使用 Sophos Support 來解決誤判偵測,則可以使用此選項。Sophos Support 可以為您提供偵測 ID,然後您可以排除誤判偵測。為此,請按一下未列出入侵程式?並輸入 ID。

      注意

      這將為 Windows 伺服器上受影響的應用程式關閉對此漏洞的 CryptoGuard 勒索軟體防護。

    • AMSI 防護 (Windows)。在 Windows 中,您可以按完整路徑排除磁碟機、資料夾或檔案。我們不會在此位置掃描代碼。您可以將萬用字元 * 用於檔案名稱或擴展名。參閱Antimalware Scan Interface (AMSI)

    • 伺服器隔離 (Windows)。如果您註冊了 Intercept X Advanced for Server with XDR 的提前存取計劃,則裝置隔離(由管理員執行)可用於伺服器。

      您可以允許隔離的裝置與其他裝置進行有限的通訊。

      選取隔離的裝置是使用出埠還是入埠通訊,還是兩者都使用。

      使用以下一個或多個設定限制這些通訊:

      • 本機連接埠:任何裝置均可以在隔離裝置上使用此埠。
      • 遠端連接埠:隔離的裝置可以在任何裝置上使用此埠。
      • 遠端位址:隔離的裝置只能與具有此 IP 的裝置通訊。

      範例 1:您希望遠端桌面存取隔離的裝置,以便您可以進行疑難排解。

      • 選取 入埠連接
      • 本機連接埠 中,輸入埠號。

      範例 2:您希望轉到隔離的裝置並從伺服器下載清理工具。

      • 選取 出埠連接
      • 遠端位址 中,輸入伺服器的地址。
  4. 僅對於檔案或資料夾排除項,在 啟用狀態,適用於: 下拉式清單中可指定排除項對於即時掃描、排程掃描或兩者是否應當有效。

  5. 按一下 新增新增另一項。排除項新增到掃描排除項清單中。

此後若要編輯排除項,則在排除項清單中按一下其名稱,輸入新設定並按一下 更新

如需有關排除項的更多資訊,請參閱:

降低漏洞例外項目

您從針對安全漏洞的防護中排除應用程式。例如,您可能希望排除在問題解決前被不正確地偵測為威脅的應用程式。

新增排除項會降低您的保護。

使用全域選項新增排除項、一般設定 > 全域排除項、建立套用至所有使用者和裝置的排除項。

我們建議您使用此選項並將包含排除項的原則僅指派給那些需要排除項的伺服器。

注意

您只能爲 Windows 應用程式建立排除項。

若要建立原則降低漏洞排除項,請依照以下步驟操作:

  1. 按一下 新增例外項目(在頁面右側)。

    會顯示 新增例外項目 對話方塊。

  2. 例外項目類型 中,選取 漏洞緩解和活動監控 (Windows)

    此時將顯示網路上受保護的應用程式清單。

  3. 選取您要排除的應用程式。

  4. 如果您沒有看到所需的應用程式,請按一下 應用程式未列出?。現在,您可以輸入應用程式的檔案路徑,將其排除在保護範圍之外。或者使用任何變數。
  5. 減緩下,從以下選項中進行選擇:

    • 關閉保護應用程式。尚未檢查您所選的應用程式有無任何漏洞。
    • 持續開啟保護應用程式並選取您希望或不希望檢查的入侵類型。
  6. 按一下 新增新增另一項。排除項僅適用於指派了此原則的伺服器。

    下載信譽

此後若要編輯排除項,則在排除項清單中按一下其名稱,輸入新設定並按一下 更新

注意

如果您排除了某個網站,我們不會檢查該網站的類別,並且該網站將不會受到 Web 控制項保護。請參閱伺服器網頁控管策略

有關弱點攻擊防護排除項的更多說明,請參見以下內容:

勒索軟體保護排除項

您可以排除應用程式或應用程式所用的資料夾,使其免受勒索軟體威脅。

您可能希望排除我們錯誤偵測為威脅應用程式或與勒索軟體保護不相容的應用程式。例如,如果您的應用程序對資料進行了加密,則可能需要將其排除。否則會讓我們無法將應用程式偵測為勒索軟體。

或者,您可能想要排除特定應用程式所使用的顯示勒索軟體保護監控到的效能問題的資料夾。例如,您可能想要排除備份應用程式所使用的資料夾。

新增排除項會降低您的保護。

使用全域選項新增排除項、一般設定 > 全域排除項、建立套用至所有伺服器的排除項。

我們建議您在原則中新增排除項,並僅將該原則指派給需要排除項的使用者和裝置。

若要建立原則勒索軟體保護排除項,請依照以下說明進行:

  1. 按一下 新增例外項目(在頁面右側)。

    會顯示 新增例外項目 對話方塊。

  2. 例外項目類型 中,選擇勒索軟體保護 (Windows)

  3. 選擇要排除程序還是要排除資料夾。

    選擇程序以排除某個應用程式。

  4. 中,輸入要排除的程序或資料夾的路徑。

    您只能透過資料夾的本機路徑排除資料夾。不能透過其 UNC 格式的遠端路徑排除它,例如 \\servername\shared-folder

    排除進程或資料夾時,可以使用變數。請參閱弱點攻擊防護或勒索軟體萬用字元與變數

  5. 按一下 新增新增另一項。排除項僅適用於指派了此原則的伺服器。

此後若要編輯排除項,則在排除項清單中按一下其名稱,輸入新設定並按一下 更新

桌面傳訊

桌面傳訊會向您傳送有關威脅保護事件的通知。此選項在預設情況下為開啟。

您可以輸入自己的訊息以新增至標準通知的結尾。