Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=unauthorized-file-protection

Unauthorized-File-Protection-Richtlinie

Wir haben Server Lockdown in Unauthorized File Protection umbenannt. Neue Steuerelemente für die Verwaltung von Unautorized File Protection wurden hinzugefügt. Diese Änderungen haben keinen Einfluss auf die erlaubten oder blockierten Dateien und Ordner, die Sie in bestehenden Server Lockdown-Richtlinien erstellt haben. Wir empfehlen bestehenden Server-Lockdown-Kunden, ihren Übergang zu Unauthorized File Protection zu planen, um von den verbesserten Funktionen zu profitieren.

Hinweis

Gesperrte Server müssen entsperrt werden, bevor die Unauthorized-File-Protection-Richtlinie verwendet werden kann. Informationen zum Entsperren eines Servers finden Sie unter Server-Übersicht.

Unauthorized File Protection verfolgt Dateiaktionen von nicht privilegierten Prozessen, die PE-Dateien (Portable Executable) erstellen, ändern oder verschieben. Die Lösung verfolgt auch die Erstellung von Datei-Hardlinks und die Umbenennung von Ordnern.  

Reputationsprüfung

Unautorized File Protection nutzt die Reputation, die SophosLabs zuweist. Ein Reputationswert zeigt an, wie vertrauenswürdig eine Datei ist. Unautorized File Protection verwendet Reputationswerte wie folgt:

  • Lokale Dateien mit hoher Reputation sind zur Ausführung autorisiert, es sei denn, sie stimmen mit Elementen auf der Blocklist der Richtlinie überein.

    Administratoren können die Application-Control-Richtlinie verwenden, um die Ausführung von Dateien aus legitimen und weit verbreiteten Anwendungen zu blockieren. Siehe Application Control-Richtlinie für Server.

  • Lokale Dateien mit niedriger bis mittlerer Reputation werden auf Änderungen überwacht. Unautorized File Protection blockiert die Dateiausführung, wenn ein unbefugter Prozess die Datei geändert hat.

  • Lokale Dateien mit beliebiger Reputation, außer Sophos- und Systemdateien, werden blockiert, wenn sie mit der Blocklist der Unautorized-File-Protection-Richtlinie übereinstimmen.

    Hinweis

    Sie können den Reputationswert einer Datei mit dem Tool „Sophos Endpoint Self Help“ (ESH) überprüfen. Für weitere Informationen siehe Dateiinformationen.

Für weitere Informationen zu Reputationswerten siehe Aktuellste Daten anfordern.

Unauthorized-File-Protection-Richtlinie einrichten

Gehen Sie zu Meine Produkte > Server > Richtlinien.

So richten Sie eine Richtlinie ein:

  1. Gehen Sie zu Meine Produkte > Server > Richtlinien.
  2. Erstellen Sie eine Unauthorized-File-Protection-Richtlinie. Siehe Richtlinie erstellen oder bearbeiten.
  3. Öffnen Sie die Registerkarte Einstellungen der Richtlinie und konfigurieren Sie sie nach Bedarf.

Verfolgung nicht autorisierter Dateiänderungen aktivieren

Aktivieren Sie Verfolgung nicht autorisierter Dateiänderungen aktivieren.

Sie können eine der folgenden Einstellungen auswählen:

  • Ausführung nicht autorisierter Dateien überwachen, ohne zu blockieren: Bei Aktivierung meldet Sophos Endpoint die Ausführung einer unautorisierten Datei an Sophos Central, ohne sie zu blockieren.

    Sie können diese Details verwenden, um notwendige Dateien zur „Erlauben“-Liste hinzuzufügen, bevor Sie die Option Ausführung nicht autorisierter Dateien blockieren aktivieren.

  • Ausführung nicht autorisierter Datei blockieren: Bei Aktivierung blockiert Sophos Endpoint die Ausführung unautorisierter Dateien.

    Wenn eine Ausführung blockiert wird, sehen Sie eine Popup-Nachricht vom Sophos Endpoint Agent, die den Benutzer darüber informiert, dass eine Datei blockiert wurde. Administratoren können die Details auf der Registerkarte Ereignisse in Servern einsehen. Siehe Serverereignisse.

Sie können die neuesten Ereignisse blockierter Dateien in der Zusammenfassung des Servers oder der Registerkarte Ereignisse sehen. Um Reports über Ereignisse für einen bestimmten Zeitraum zu sehen, gehen Sie zu Reports > Allgemeine Protokolle > Ereignisse.

Sophos EDR- oder XDR-Kunden können auch mit benutzerdefinierten Live-Discover-Abfragen alle verfügbaren Ereignisdaten aus der Tabelle sophos_unauthorized_actions_journal abrufen.

Um eine benutzerdefinierte Abfrage zu erstellen oder zu bearbeiten, siehe Abfragen bearbeiten oder erstellen.

Um eine benutzerdefinierte Abfrage auszuführen, siehe Live Discover.

Erlaubte Elemente

Sie können die Ausführung bestimmter Dateien oder aller Dateien aus bestimmten Ordnern oder deren Unterordnern zulassen. Elemente, die mit Einträgen aus dieser Liste übereinstimmen, sind privilegiert.

Tipp

Wir empfehlen, vollständige Dateipfade anzugeben.

Um ein Element zuzulassen, gehen Sie wie folgt vor:

  1. Klicken Sie auf Erlaubtes Element hinzufügen.

  2. Gehen Sie im Dialogfeld Neues erlaubtes Element hinzufügen wie folgt vor:

    1. Wählen Sie Datei, Ordner oder SHA256 aus.

    2. Geben Sie den Pfad der Datei oder des Ordners oder den SHA-256-Wert ein.

      Sie können Platzhalter und Variablen nur für Dateien und Ordner verwenden. Siehe Ausschlüsse für Windows-Scans.

    3. Klicken Sie auf Speichern.

  3. Klicken Sie auf der Seite Server Protection auf Speichern.

Blockierte Elemente

Sie können die Ausführung bestimmter Dateien oder aller Dateien aus bestimmten Ordnern oder deren Unterordnern blockieren.

Zum Blockieren einer Datei oder eines Ordners gehen Sie wie folgt vor:

  1. Klicken Sie auf Blockiertes Element hinzufügen.

  2. Gehen Sie im Dialogfeld Neues blockiertes Element hinzufügen wie folgt vor:

    1. Wählen Sie Datei, Ordner oder SHA256 aus.

    2. Geben Sie den Pfad der Datei oder des Ordners oder den SHA-256-Wert ein.

      Sie können Platzhalter und Variablen nur für Dateien und Ordner verwenden. Siehe Ausschlüsse für Windows-Scans.

    3. Klicken Sie auf Speichern.

  3. Klicken Sie auf der Seite Server Protection auf Speichern.

MSI-Dateiinstallation

MSI-Dateien sind Installationspakete, die häufig verwendet werden, um Software auf Windows-Geräten zu installieren. Sie sind keine PE-Dateien, und Unauthorized File Protection wendet spezielle Logik an, um sie zu verwalten.

MSI-Dateien werden nicht blockiert, aber sie können PE-Dateien enthalten, die während der Installation extrahiert und ausgeführt werden. Wenn diese PE-Dateien keine hohen Reputationswerte haben, blockiert Unauthorized File Protection sie, und die Installation schlägt fehl. Selbst wenn die Installation abgeschlossen ist, blockiert Unauthorized File Protection installierte PE-Dateien, wenn sie keine hohen Reputationswerte haben und nicht mit der „Erlauben“-Liste der Richtlinie übereinstimmen.

MSI-Dateipfade oder Ordner, die MSI-Dateien enthalten, können zur „Erlauben“-Liste der Richtlinie und zur Liste „Blockieren“ hinzugefügt werden. Unauthorized File Protection überprüft, ob MSI-Dateien mit diesen Listen übereinstimmen, wenn entschieden wird, ob die Installation blockiert oder die Ausführung installierter oder während der Installation extrahierter PE-Dateien erlaubt wird.