Server Protection: Intercept X Advanced

Wenn Sie eine Lizenz „Intercept X Advanced for Server“ verwenden, enthält Ihre Threat-Protection-Richtlinie zusätzliche Optionen zu den standardmäßig vorhandenen Server-Protection-Optionen.

Laufzeitschutz

Einschränkung Sie müssen dem Early Access Program beitreten, um bestimmte Optionen verwenden zu können.

Der Laufzeitschutz schützt vor Bedrohungen, indem verdächtiges oder bösartiges Verhalten bzw. Datenverkehr auf Endpoint-Computern erkannt wird.

  • Dokumente vor Ransomware schützen (CryptoGuard): Hiermit werden Dokumentdateien vor Malware geschützt, die den Zugriff auf Dateien unterbindet und für deren Freigabe Lösegeld fordert. Sie können auch 64-Bit-Computer vor Ransomware, die von einem Remote-Standort ausgeführt wird, schützen. Sie können wählen, welche Aktion Sie ergreifen möchten, wenn Ransomware erkannt wird. Sie können alle laufenden Ransomware-Prozesse beenden, oder Sie können verhindern, dass Ransomware-Prozesse in das Dateisystem schreiben, indem Sie sie isolieren.
  • Schutz vor Master Boot Record-Ransomware: Hiermit wird der Computer vor Ransomware, die den Master Boot Record verschlüsselt (und somit das Hochfahren verhindert), und vor Angriffen, bei denen die Festplatte gelöscht wird, geschützt.
  • Kritische Funktionen in Webbrowsern schützen (sicheres Surfen): Hiermit werden Ihre Browser vor Exploits durch Malware geschützt.
  • Exploits in Anwendungen mit Sicherheitslücken abschwächen: Hiermit werden Anwendungen geschützt, die besonders anfällig für Malware sind. Sie können festlegen, welche Anwendungstypen geschützt werden sollen.
  • Erweiterte Einstellungen für die Exploit-Mitigation:
    • Zugangsdatendiebstahl verhindern: Dies verhindert den Diebstahl von Kennwörtern und Hash-Informationen aus Speicher, Registry oder von der Festplatte.
    • Rückgriff auf Code-Cave verhindern: Erkennt Schadcode, der in eine andere, legitime Anwendung eingeschleust wurde.
    • APC-Verstoß verhindern: Verhindert Angriffe, bei denen Application Procedure Calls (APC) für die Ausführung von deren Code genutzt werden.
    • Rechteausweitung verhindern: Verhindert Angriffe, bei denen der Angreifer versucht, höhere Rechte zu bekommen, um sich Zugang zu Ihren Systemen zu verschaffen.

    Wir empfehlen, diese Einstellungen zu testen, bevor Sie die Richtlinie auf Ihre Server anwenden.

  • Prozesse schützen: Hiermit wird der Missbrauch legitimer Anwendungen durch Malware verhindert. Folgende Optionen sind möglich:
    • Schutz vor Angriffen in Form von Prozessaustausch (Prozessaushöhlung).
    • Schutz vor einem Laden von .DLL-Dateien aus nicht vertrauenswürdigen Verzeichnissen.
  • Nachverfolgung der CPU-Verzweigungen aktivieren: Die Erkennung von CPU-Schadcode ist eine Funktion von Intel-Prozessoren, mit der zur Erkennung des Schadcodes die Prozessoraktivität verfolgt werden kann. Wir unterstützen es auf Intel-Prozessoren mit den folgenden Architekturen: Nehalem, Westmere, Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Goldmont, SkyLake, und Kaby Lake.

    Wir unterstützen es nicht, wenn sich auf dem Computer ein (legitimer) Hypervisor befindet.

Deep Learning

Deep Learning nutzt fortschrittliches maschinelles Lernen für die Erkennung von Bedrohungen. Dabei werden bekannte und noch unbekannte Malware und potenziell unerwünschte Anwendungen ohne Rückgriff auf Signaturen identifiziert.

Beseitigung

  • Erstellen von Bedrohungsfällen aktivieren: Bedrohungsfälle lassen Sie eine Kette von Ereignissen, die eine Malware-Infektion betreffen, untersuchen, und Bereiche identifizieren, in denen Sie die Sicherheit verbessern können.
  • Servern erlauben, Daten über verdächtige Dateien, Netzwerkereignisse und Aktivitäten von Administrationsprogrammen an Sophos Central zu senden: Hierdurch werden Details zu potenziellen Bedrohungen an Sophos gesendet. Stellen Sie sicher, dass die Option in allen Richtlinien für Server ist, auf denen Sie nach Bedrohungen suchen wollen.
    Anmerkung Für diese Option ist Intercept X Advanced with EDR for Server erforderlich.
    Einschränkung Sie müssen diese Option sowohl in Endpoint Protection als auch in Server Protection aktivieren, um Intercept X Advanced for Server with EDR zu verwenden.