Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=unauthorized-file-protection

Unauthorized-File-Protection-Richtlinie

Wir benennen Lockdown in Sophos Unauthorized File Protection (SUFP) um. Wir fügen auch neue Kontrollen für die Verwaltung von SUFP hinzu. Diese Änderung wirkt sich nicht auf die erlaubten oder blockierten Dateien und Ordner aus, die Sie in bestehenden Lockdown-Richtlinien erstellt haben. Wir empfehlen bestehenden Server-Lockdown-Kunden, ihren Übergang zu Unauthorized File Protection zu planen, um von den verbesserten Funktionen zu profitieren.

Hinweis

Gesperrte Server müssen entsperrt werden, bevor die Unauthorized-File-Protection-Richtlinie verwendet werden kann. Informationen zum Entsperren eines Servers finden Sie unter Server-Übersicht.

Sophos Unauthorized File Protection (SUFP) verfolgt Dateiaktionen von nicht privilegierten Prozessen, die PE-Dateien (Portable Executable) erstellen, ändern oder verschieben. Die Lösung verfolgt auch die Erstellung von Datei-Hardlinks und die Umbenennung von Ordnern.  

Reputationsprüfung

SUFP nutzt die Reputation, die SophosLabs zuweist. Ein Reputationswert zeigt an, wie vertrauenswürdig eine Datei ist. SUFP verwendet Reputationswerte wie folgt:

  • Lokale Dateien mit hoher Reputation sind zur Ausführung autorisiert, es sei denn, sie stimmen mit Elementen auf der Blocklist der Richtlinie überein.

    Administratoren können die Application-Control-Richtlinie verwenden, um die Ausführung von Dateien aus legitimen und weit verbreiteten Anwendungen zu blockieren. Siehe Application Control-Richtlinie für Server.

  • Lokale Dateien mit niedriger bis mittlerer Reputation werden auf Änderungen überwacht. SUFP blockiert die Dateiausführung, wenn ein unbefugter Prozess die Datei geändert hat.

  • Lokale Dateien mit beliebiger Reputation, außer Sophos- und Systemdateien, werden blockiert, wenn sie mit der Blocklist der SUFP-Richtlinie übereinstimmen.

    Hinweis

    Sie können den Reputationswert einer Datei mit dem Tool „Sophos Endpoint Self Help“ (ESH) überprüfen. Für weitere Informationen siehe Dateiinformationen.

Für weitere Informationen zu Reputationswerten siehe Aktuellste Daten anfordern.

Unauthorized-File-Protection-Richtlinie einrichten

Gehen Sie zu Meine Produkte > Server > Richtlinien.

So richten Sie eine Richtlinie ein:

  1. Gehen Sie zu Meine Produkte > Server > Richtlinien.
  2. Erstellen Sie eine Unauthorized-File-Protection-Richtlinie. Siehe Richtlinie erstellen oder bearbeiten.
  3. Öffnen Sie die Registerkarte Einstellungen der Richtlinie und konfigurieren Sie sie nach Bedarf.

Verfolgung nicht autorisierter Dateiänderungen aktivieren

Aktivieren Sie Verfolgung nicht autorisierter Dateiänderungen aktivieren.

Sie können eine der folgenden Einstellungen auswählen:

  • Ausführung nicht autorisierter Dateien überwachen, ohne zu blockieren: Bei Aktivierung meldet Sophos Endpoint die Ausführung einer unautorisierten Datei an Sophos Central, ohne sie zu blockieren.

    Sie können diese Details verwenden, um notwendige Dateien zur „Erlauben“-Liste hinzuzufügen, bevor Sie die Option Ausführung nicht autorisierter Dateien blockieren aktivieren.

  • Ausführung nicht autorisierter Datei blockieren: Bei Aktivierung blockiert Sophos Endpoint die Ausführung unautorisierter Dateien.

    Wenn eine Ausführung blockiert wird, sehen Sie eine Popup-Nachricht vom Sophos Endpoint Agent, die den Benutzer darüber informiert, dass eine Datei blockiert wurde. Administratoren können die Details auf der Registerkarte Ereignisse in Servern einsehen. Siehe Serverereignisse.

Sie können die neuesten Ereignisse blockierter Dateien in der Zusammenfassung des Servers oder der Registerkarte Ereignisse sehen. Um Reports über Ereignisse für einen bestimmten Zeitraum zu sehen, gehen Sie zu Reports > Allgemeine Protokolle > Ereignisse.

Sophos EDR- oder XDR-Kunden können auch mit benutzerdefinierten Live-Discover-Abfragen alle verfügbaren Ereignisdaten aus der Tabelle sophos_unauthorized_actions_journal abrufen.

Um eine benutzerdefinierte Abfrage zu erstellen oder zu bearbeiten, siehe Abfragen bearbeiten oder erstellen.

Um eine benutzerdefinierte Abfrage auszuführen, siehe Live Discover.

Erlaubte Dateien/Ordner

Sie können die Ausführung bestimmter Dateien oder aller Dateien aus bestimmten Ordnern oder deren Unterordnern zulassen. Dateien, die mit Einträgen aus dieser Liste übereinstimmen, sind privilegiert.

Tipp

Wir empfehlen, vollständige Dateipfade anzugeben.

Um einer Datei oder einem Ordner Zugriff zu gewähren, gehen Sie wie folgt vor:

  1. Klicken Sie auf Erlaubte(n) Datei/Ordner hinzufügen.
  2. Wählen Sie Datei oder Ordner.
  3. Geben Sie den Pfad zur Datei oder zum Ordner an. Sie können Wildcards und Variablen verwenden. Siehe Ausschlüsse für Windows-Scans.
  4. Klicken Sie auf Speichern.

Blockierte Dateien/Ordner

Sie können die Ausführung bestimmter Dateien oder aller Dateien aus bestimmten Ordnern oder deren Unterordnern blockieren.

Zum Blockieren einer Datei oder eines Ordners gehen Sie wie folgt vor:

  1. Klicken Sie auf Blockierte(n) Datei/Ordner hinzufügen.
  2. Wählen Sie Datei oder Ordner.
  3. Geben Sie den Pfad zur Datei oder zum Ordner an. Sie können Wildcards und Variablen verwenden. Siehe Ausschlüsse für Windows-Scans.
  4. Klicken Sie auf Speichern.

MSI-Dateiinstallation

MSI-Dateien sind Installationspakete, die häufig verwendet werden, um Software auf Windows-Geräten zu installieren. Sie sind keine PE-Dateien, und SUFP wendet spezielle Logik an, um sie zu verwalten.

MSI-Dateien werden nicht blockiert, aber sie können PE-Dateien enthalten, die während der Installation extrahiert und ausgeführt werden. Wenn diese PE-Dateien keine hohen Reputationswerte haben, blockiert SUFP sie, und die Installation schlägt fehl. Selbst wenn die Installation abgeschlossen ist, blockiert SUFP installierte PE-Dateien, wenn sie keine hohen Reputationswerte haben und nicht mit der „Erlauben“-Liste der Richtlinie übereinstimmen.

MSI-Dateipfade oder Ordner, die MSI-Dateien enthalten, können zur „Erlauben“-Liste der Richtlinie und zur Liste „Blockieren“ hinzugefügt werden. SUFP überprüft, ob MSI-Dateien mit diesen Listen übereinstimmen, wenn entschieden wird, ob die Installation blockiert oder die Ausführung installierter oder während der Installation extrahierter PE-Dateien erlaubt wird.