Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/enterprise/help/de-de/index.html?contextId=server-threat-protection-settings

Server Threat Protection: Standardeinstellungen

Die Threat Protection-Basisrichtlinie für Server beinhaltet diese Standardoptionen.

Wir empfehlen, diese Einstellungen aktiv zu belassen. Diese Einstellungen bieten Ihnen optimalen Schutz, ohne dass Sie eine komplexe Konfiguration durchführen müssen.

Warnung

Denken Sie sorgfältig nach, bevor Sie die empfohlenen Einstellungen ändern, weil sich Ihr Schutz dadurch verringern kann.

Einschränkung

Auf Windows-Servern stehen nicht alle Optionen zur Verfügung.

Laufzeitschutz

Der Laufzeitschutz schützt vor Bedrohungen, indem verdächtiges oder schädliches Verhalten bzw. Datenverkehr erkannt wird.

Netzwerkdatenverkehr schützen

  • Verbindungen zu schädlichen Command-and-Control-Servern erkennen: Diese Option erkennt Datenverkehr zwischen einem Endpoint-Computer und einem Server, der auf einen möglichen Versuch hinweist, die Kontrolle über den Endpoint-Computer zu übernehmen (ein sogenannter Command-and-Control-Angriff).
  • Schädlichen Netzwerkverkehr mit Packet Inspection (IPS) verhindern: Dabei wird die Netzwerkkommunikation gescannt und Bedrohungen werden identifiziert und blockiert, bevor diese Schaden am Betriebssystem oder an Anwendungen anrichten können.

Sophos Security Heartbeat aktivieren: Dadurch werden Berichte über den Server-Sicherheitsstatus an jede Sophos Firewall gesendet, die in Ihrem Konto bei Sophos Central registriert ist. Falls mehrere Firewalls registriert sind, werden die Berichte an die nächstgelegene verfügbare Firewall gesendet. Wenn aus einem Bericht hervorgeht, dass ein Server möglicherweise manipuliert wurde, kann die Firewall dessen Zugriff beschränken.

AMSI-Schutz (mit erweitertem Scan nach skriptbasierten Bedrohungen). Diese Option schützt über die Microsoft Antimalware Scan Interface (AMSI) vor Schadcode (wie etwa PowerShell-Skripts). Wir scannen Code, der von AMSI weitergeleitet wird, bevor er ausgeführt wird, und benachrichtigen die Anwendungen, die zum Ausführen des Codes verwendet werden vor Bedrohungen. Wenn eine Bedrohung erkannt wird, wird ein Ereignis protokolliert. Sie können das Entfernen der AMSI-Registrierung auf Ihren Servern verhindern.

Live-Schutz

Verdächtige Dateien werden durch Abgleich mit aktuellen Malware-Daten in der SophosLabs-Datenbank überprüft.

  • Verwenden Sie Live Protection, um die neuesten Informationen zu Bedrohungen online von SophosLabs abzurufen: Mit dieser Option werden Dateien im Rahmen des Echtzeit-Scans überprüft.

  • Live Protection während der geplanten Scans verwenden

Echtzeit-Scans - Lokale Dateien und gemeinsam genutzte Dateien im Netzwerk

Beim Echtzeit-Scan werden Dateien gescannt, wenn Benutzer versuchen, auf sie zuzugreifen. Der Zugriff wird erlaubt, wenn die Datei sauber ist.

  • lokale und entfernte Dateien: Wenn Sie stattdessen lokal wählen, scannen wir keine Dateien in Netzwerkfreigaben.
  • beim Lesen: Die Dateien werden gescannt, wenn sie geöffnet werden.
  • beim Schreiben: Die Dateien werden gescannt, wenn sie gespeichert werden.

Echtzeit-Scans - Internet

Beim Echtzeit-Scan werden Internetquellen gescannt, während der Benutzer auf diese zugreifen.

Laufende Downloads scannen.

Zugriff auf schädliche Websites blockieren: Der Zugriff auf Websites, die bekannt dafür sind, dass sie Malware hosten, wird verweigert.

Nach Dateien mit geringer Reputation suchen: Der Endbenutzer wird gewarnt, wenn ein Download eine niedrige Reputation aufweist. Die Reputation wird anhand der Quelle der Datei, der Download-Häufigkeit und weiterer Faktoren ermittelt. Sie können festlegen:

  • Die Aktion bei Downloads mit niedriger Reputation: Wenn Sie Benutzer auffordern wählen, sehen die Benutzer eine Warnmeldung, sobald sie versuchen, eine Datei mit niedriger Reputation herunterzuladen. Diese Option ist voreingestellt.
  • Die Reputationsstufe: Wenn Sie Strikt wählen, werden auch Dateien mit mittlerer oder niedriger Reputation erkannt. Die Standardeinstellung ist Empfohlen.

Beseitigung

Automatische Bereinigung von Malware: Erkannte Bedrohungen werden automatisch bereinigt. Diese Option wird von Windows-Servern unterstützt sowie von Gast-VMs, die durch das Sophos VM-Sicherheitssystem geschützt werden (jedoch nur, wenn der Sophos Agent für VM-Gastsysteme installiert ist).

Hinweis

Wir bereinigen immer PE (Portable Executable) Dateien wie Anwendungen, Bibliotheken und Systemdateien, auch wenn Sie die automatische Bereinigung deaktivieren. PE-Dateien werden isoliert und können wiederhergestellt werden.

Echtzeit-Scans - Optionen

Aktivitäten bekannter Aufwendungen automatisch ausschließen: Dies verhindert, dass Sophos Central Dateien scannt, die von bestimmten weit verbreiteten Anwendungen genutzt werden. Für eine Liste dieser Anwendungen siehe Download-Reputation. Sie können Aktivitäten von anderen Anwendungen manuell ausschließen, indem Sie die Option Ausschlüsse nutzen.

Erkennung schädlichen Verhaltens (HIPS): Diese Option schützt Sie gegen Bedrohungen, die noch nicht bekannt sind. Dies gelingt durch die Erkennung und Blockierung von Verhaltensweisen, die als bösartig oder verdächtig bekannt sind. Wir stellen diese Option ein und ersetzten sie durch die untenstehende Option.

Erkennung schädlichen Verhaltens: Diese Option schützt Sie gegen Bedrohungen, die noch nicht bekannt sind. Dies gelingt durch die Erkennung und Blockierung von Verhaltensweisen, die als bösartig oder verdächtig bekannt sind.

Erweiterte Einstellungen

Diese Einstellungen dienen nur zum Testen oder zur Fehlerbehebung. Wir empfehlen, diese Einstellungen auf den Standardwerten zu belassen.