Endpoint: Schutz vor Bedrohungen

Threat Protection schützt Sie vor Malware, riskanten Dateitypen und Websites sowie bösartigem Netzwerkdatenverkehr.

Die SophosLabs können selbst bestimmen, welche Dateien gescannt werden. Sie können die Überprüfung bestimmter Dateitypen hinzufügen oder entfernen, um den bestmöglichen Schutz zu gewährleisten.

Empfohlene Einstellungen verwenden

Klicken Sie auf Empfohlene Einstellungen verwenden verwenden, wenn Sie die von Sophos empfohlenen Einstellungen verwenden möchten. Diese Einstellungen bieten Ihnen optimalen Schutz, ohne dass Sie eine komplexe Konfiguration durchführen müssen.

Wenn wir unsere Empfehlungen ändern, werden wir Ihre Richtlinie automatisch mit den neuen Einstellungen aktualisieren.

Die empfohlenen Einstellungen bieten:

  • Erkennung bekannter Malware.
  • Überprüfungen in der Cloud zur Erkennung der aktuellsten Malware, die Sophos bekannt ist.
  • Proaktive Erkennung von Malware, die zum ersten Mal erkannt wird.
  • Automatische Bereinigung von Malware.

Deep Learning

Deep Learning nutzt fortschrittliches maschinelles Lernen für die Erkennung von Bedrohungen. Dabei werden bekannte und noch unbekannte Malware und potenziell unerwünschte Anwendungen ohne Rückgriff auf Signaturen identifiziert.

Deep Learning ist nur bei Sophos Intercept X verfügbar.

Live-Schutz

Verdächtige Dateien werden durch Abgleich mit aktuellen Malware-Daten in der SophosLabs-Datenbank überprüft.

Sie können folgende Optionen wählen:

Verwenden Sie Live Protection, um die neuesten Informationen zu Bedrohungen online von SophosLabs abzurufen: Mit dieser Option werden Dateien im Rahmen des Echtzeit-Scans überprüft.

Echtzeit-Scans - Lokale Dateien und gemeinsam genutzte Dateien im Netzwerk

Beim Echtzeit-Scan werden Dateien gescannt, wenn Benutzer versuchen, auf sie zuzugreifen. Der Zugriff wird erlaubt, wenn die Datei sauber ist.

Standardmäßig werden lokale Dateien überprüft. Sie können auch Remote-Dateien auswählen, um Dateien in Netzwerkfreigaben zu scannen.

Echtzeit-Scans - Internet

Beim Echtzeit-Scan werden Internetquellen gescannt, während der Benutzer auf diese zugreifen. Sie können folgende Optionen wählen:

Laufende Downloads scannen

Zugriff auf schädliche Websites blockieren: Der Zugriff auf Websites, die bekannt dafür sind, dass sie Malware hosten, wird verweigert.

Nach Dateien mit geringer Reputation suchen: Der Endbenutzer wird gewarnt, wenn ein Download eine niedrige Reputation aufweist. Die Reputation wird anhand der Quelle der Datei, der Download-Häufigkeit und weiterer Faktoren ermittelt.

Sie können festlegen:

  • Aktion bei Downloads mit niedriger Reputation: Wenn Sie Benutzer auffordern wählen, wird den Benutzern eine Warnmeldung angezeigt, wenn sie eine Datei mit niedriger Reputation herunterladen. Sie können die Datei dann als vertrauenswürdig einstufen oder löschen. Diese Option ist voreingestellt.
  • Reputationsstufe: Wenn Sie Strikt wählen, werden auch Dateien mit mittlerer oder niedriger Reputation erkannt. Die Standardeinstellung ist Empfohlen.

Beseitigung

Für die Behebung stehen folgende Optionen zur Verfügung:

  • Malware automatisch entfernen: Sophos Central versucht, gefundene Malware automatisch zu entfernen.

    Wenn die automatische Bereinigung erfolgreich war, wird der Warnhinweis zur erkannten Malware aus der Liste der Warnhinweise entfernt. Die Erkennung und Entfernung der Malware wird in der Liste der Ereignisse angezeigt.

    Die automatische Bereinigung gilt nicht für PE (Portable Executable)-Dateien wie Anwendungen, Bibliotheken und Systemdateien. PE-Dateien werden isoliert und können wiederhergestellt werden.

  • Erstellen von Bedrohungsfällen aktivieren: Bedrohungsfälle lassen Sie eine Kette von Ereignissen, die eine Malware-Infektion betreffen, untersuchen, und Bereiche identifizieren, in denen Sie die Sicherheit verbessern können.
  • Computern erlauben, Daten über verdächtige Dateien, Netzwerkereignisse und Aktivitäten von Administrationsprogrammen an Sophos Central zu senden: Hierdurch werden Details zu potenziellen Bedrohungen an Sophos gesendet. Stellen Sie sicher, dass die Option in allen Richtlinien für Computer aktiviert ist, auf denen Sie nach Bedrohungen suchen wollen.
    Anmerkung Diese Option ist verfügbar, wenn Sie Intercept X Advanced with EDR verwenden.
    Einschränkung Sie müssen diese Option sowohl in Endpoint Protection als auch in Server Protection aktivieren, um Intercept X Advanced with EDR zu verwenden.

Laufzeitschutz

Der Laufzeitschutz schützt vor Bedrohungen, indem verdächtiges oder schädliches Verhalten bzw. Datenverkehr erkannt wird. Sie können folgende Optionen auswählen:

Dokumente vor Ransomware schützen (CryptoGuard): Hiermit werden Dokumentdateien vor Malware geschützt, die den Zugriff auf Dateien unterbindet und für deren Freigabe Lösegeld fordert. Sie können auch 64-Bit-Computer vor Ransomware, die von einem Remote-Standort ausgeführt wird, schützen.

Schutz vor Master Boot Record-Ransomware: Hiermit wird der Computer vor Ransomware, die den Master Boot Record verschlüsselt (und somit das Hochfahren verhindert), und vor Angriffen, bei denen die Festplatte gelöscht wird, geschützt.

Kritische Funktionen in Webbrowsern schützen (sicheres Surfen): Hiermit werden Ihre Browser vor Exploits durch Malware geschützt.

Exploits in Anwendungen mit Sicherheitslücken abschwächen: Hiermit werden Anwendungen geschützt, die besonders anfällig für Malware sind. Sie können festlegen, welche Anwendungstypen geschützt werden sollen.

Prozesse schützen: Hiermit wird der Missbrauch legitimer Anwendungen durch Malware verhindert. Sie können folgende Optionen wählen:

  • Process Hollowing Angriffe verhindern: Dadurch werden Prozessaustausch-Angriffe verhindert.
  • Laden von DLLs aus nicht vertrauenswürdigen Ordnern verhindern: Dies verhindert das Laden von .DLL-Dateien aus nicht vertrauenswürdigen Verzeichnissen.
  • Zugangsdatendiebstahl verhindern: Dies verhindert den Diebstahl von Kennwörtern und Hash-Informationen aus Speicher, Registry oder von der Festplatte.
  • Rückgriff auf Code-Cave verhindern: Erkennt Schadcode, der in eine andere, legitime Anwendung eingeschleust wurde.
  • APC-Verstoß verhindern: Verhindert Angriffe, bei denen Application Procedure Calls (APC) für die Ausführung von deren Code genutzt werden.
  • Rechteausweitung verhindern: Verhindert Angriffe, bei denen der Angreifer versucht, höhere Rechte zu bekommen, um sich Zugang zu Ihren Systemen zu verschaffen.

Netzwerkdatenverkehr schützen: Sie können folgende Optionen wählen:

  • Verbindungen zu schädlichen Command-and-Control-Servern erkennen: Erkennung von Datenverkehr zwischen einem Endpoint-Computer und einem Server, der auf einen möglichen Versuch hinweist, die Kontrolle über den Endpoint-Computer zu übernehmen.
  • Schädlichen Netzwerkverkehr mit Packet Inspection (IPS) verhindern: Dabei wird Datenverkehr auf niedrigster Ebene überprüft und Bedrohungen werden blockiert, bevor diese Schaden am Betriebssystem oder an Anwendungen anrichten können.

Erkennung schädlichen Verhaltens (HIPS): Diese Option schützt Sie gegen Bedrohungen, die noch nicht bekannt sind. Dies gelingt durch die Erkennung und Blockierung von Verhaltensweisen, die als bösartig oder verdächtig bekannt sind.

AMSI-Schutz (mit erweitertem Scan nach skriptbasierten Bedrohungen): Diese Option schützt über die Microsoft Antimalware Scan Interface (AMSI) vor Schadcode (wie etwa PowerShell-Skripts). Über die AMSI weitergeleiteter Code wird vor der Ausführung gescannt. Anwendungen, die den Code ausführen, werden von Sophos über Bedrohungen benachrichtigt. Wenn eine Bedrohung erkannt wird, wird ein Ereignis protokolliert.

Erweiterte Einstellungen

Diese Einstellungen dienen nur zum Testen oder zur Fehlerbehebung. Wir empfehlen, diese Einstellungen auf den Standardwerten zu belassen.

Geräte-Isolation

Wenn Sie diese Option auswählen, isolieren sich Geräte selbst von Ihrem Netzwerk, wenn ihr Systemzustand rot ist. Der Systemzustand eines Geräts ist rot, wenn Bedrohungen erkannt wurden, veraltete Software vorhanden ist, das Gerät eventuell nicht richtlinienkonform oder nicht richtig geschützt ist.

Sie können isolierte Geräte weiterhin von Sophos Central aus verwalten. Sie können auch Scan-Ausschlüsse oder globale Ausschlüsse verwenden, um zur Fehlerbehebung eingeschränkten Zugriff auf diese Computer zu gewähren.

Sie können diese Geräte nicht aus der Isolation entfernen. Sie können wieder mit dem Netzwerk kommunizieren, sobald ihr Systemzustand wieder grün ist.

Geplante Scans

Geplante Scans werden zu einer bestimmten Uhrzeit oder zu Zeiten durchgeführt, die Sie festlegen.

Sie können folgende Optionen wählen:

  • Geplanten Scan aktivieren: Sie können eine Uhrzeit und einen oder mehrere Tage festlegen, an welchen der Scan ausgeführt werden soll.
    Anmerkung Die Uhrzeit des geplanten Scans entspricht der Uhrzeit auf dem Endpoint-Computer (keine UTC-Zeit).
  • Intensivscans aktivieren: Wenn Sie diese Option aktivieren, werden beim geplanten Scan auch Archive gescannt. Hierdurch kann sich die Systemlast erhöhen, wodurch sich der Scanvorgang eventuell erheblich verlangsamt.

Ausschlüsse

Sie können Dateien, Ordner, Websites und Anwendungen von der Überprüfung auf Bedrohungen ausschließen, wie unten beschrieben.

Ausgeschlossene Elemente werden weiterhin auf Exploits überprüft. Sie können die Überprüfung auf einen bereits erkannten Exploit jedoch unterbinden (mit einem Ausschluss für Erkannte Exploits).

Ausschüsse, die in einer Richtlinie festgelegt sind, werden nur für die Benutzer verwendet, für die die Richtlinie gilt.

Anmerkung Wenn Sie Ausschlüsse auf alle Ihre Benutzer und Server anwenden möchten, richten Sie globale Ausschlüsse auf der Seite Globale Einstellungen > Globale Ausschlüsse ein.

So erstellen Sie einen Scan-Ausschluss für Richtlinien:

  1. Klicken Sie auf Ausschluss hinzufügen (rechts auf der Seite).

    Das Dialogfeld Ausschluss hinzufügen wird angezeigt.

  2. Wählen Sie in der Dropdownliste Ausschlusstyp einen Elementtyp aus, der ausgeschlossen werden soll (Datei oder Ordner, Website, potenziell unerwünschte Anwendung oder Computer-Isolation).
  3. Geben Sie das Element oder die Elemente ein, die Sie ausschließen möchten.
  4. Bei Ausschlüssen von Dateien oder Ordnern geben Sie in der Dropdownliste Aktiv für an, ob der Ausschluss für Echtzeit-Scans, geplante Scans oder beide gelten soll.
  5. Klicken Sie auf Hinzufügen oder Weitere hinzufügen. Der Ausschluss wird der Liste der Scan-Ausschlüsse hinzugefügt.

Um einen Ausschluss später zu bearbeiten, wählen Sie diesen in der Ausschlussliste aus, geben Sie neue Einstellungen ein und klicken Sie auf Aktualisieren.

Desktop-Benachrichtigungen

Sie können eine Nachricht hinzufügen, die an das Ende der Standard-Benachrichtigung angehängt wird. Wenn Sie das Nachrichtenfeld leer lassen, wird nur die Standardnachricht angezeigt.

Desktop-Benachrichtigungen für Threat Protection aktivieren ist standardmäßig aktiviert. Wenn Sie die Option deaktivieren, werden keine Nachrichten in Bezug auf Threat Protection angezeigt.

Geben Sie den Text ein, den Sie hinzufügen möchten.