Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=unauthorized-file-protection

Política de protección contra archivos no autorizados

Hemos cambiado el nombre de Lockdown a Sophos Unauthorized File Protection (SUFP). También hemos añadido nuevos controles para gestionar SUFP. Este cambio no afecta a los archivos y carpetas permitidos o bloqueados que ha creado en las políticas de Lockdown existentes. Animamos a los clientes actuales de Server Lockdown a que planifiquen su transición a Unauthorized File Protection para poder beneficiarse de las mejoras introducidas.

Nota

Los servidores bloqueados deben desbloquearse antes de utilizar la política Unauthorized File Protection. Para obtener información sobre cómo desbloquear un servidor, consulte Resumen de servidor.

Sophos Unauthorized File Protection (SUFP) realiza un seguimiento de las operaciones en archivos realizadas por procesos sin privilegios que crean, modifican o mueven archivos ejecutables portátiles (PE). También supervisa la creación de enlaces físicos a archivos y el cambio de nombre de carpetas.  

Comprobación de la reputación

SUFP utiliza la reputación que asigna SophosLabs. La puntuación de reputación indica el grado de fiabilidad de un archivo. SUFP utiliza las puntuaciones de reputación de la siguiente manera:

  • Se autoriza la ejecución de los archivos locales con alta reputación, a menos que coincidan con elementos de la lista de bloqueo de la política.

    Los administradores pueden utilizar la política de control de aplicaciones para bloquear la ejecución de archivos procedentes de aplicaciones legítimas y ampliamente utilizadas. Consulte Política de control de aplicaciones del servidor.

  • Los archivos locales con una reputación baja o media se supervisan para detectar cambios. SUFP bloquea la ejecución del archivo si un proceso no autorizado lo ha modificado.

  • Los archivos locales con cualquier reputación, excepto los archivos de Sophos y del sistema, se bloquean si coinciden con la lista de bloqueo de la política SUFP.

    Nota

    Puede comprobar la puntuación de reputación de un archivo con la herramienta Sophos Endpoint Self Help (ESH). Para obtener más información, consulte Información de los archivos.

Para obtener más información sobre las puntuaciones de reputación, consulte Solicitar información más reciente.

Configurar una política de protección contra archivos no autorizados

Vaya a Mis productos > Server > Políticas.

Para configurar una política, haga lo siguiente:

  1. Vaya a Mis productos > Server > Políticas.
  2. Cree una política de Protección contra archivos no autorizados. Consulte Crear o editar una política.
  3. Abra la pestaña Configuración de la política y configúrela según lo necesite.

Activar seguimiento de cambios de archivos no autorizados

Active la opción Activar seguimiento de cambios de archivos no autorizados.

Puede seleccione una de las opciones siguientes:

  • Supervisar ejecución de archivos no autorizados sin bloqueo: cuando esta opción está activada, Sophos Endpoint informa de la ejecución de un archivo no autorizado a Sophos Central sin bloquearlo.

    Puede utilizar estos detalles para añadir los archivos necesarios a la lista de permitidos antes de activar la opción Bloquear ejecución de archivos no autorizados.

  • Bloquear ejecución de archivos no autorizados: cuando esta opción está activada, Sophos Endpoint bloquea la ejecución de archivos no autorizados.

    Cuando se bloquea una ejecución, Sophos Endpoint Agent muestra un mensaje emergente que informa al usuario de que se ha bloqueado un archivo. Los administradores pueden ver los detalles en la pestaña Eventos en Servidores. Consulte Eventos de servidor.

Puede ver los eventos más recientes de archivos bloqueados en la pestaña Resumen o Eventos del servidor. Para ver los informes de eventos de un intervalo de tiempo específico, vaya a Informes > Registros generales > Eventos.

Los clientes de Sophos EDR o XDR también pueden utilizar consultas personalizadas de Live Discover para recuperar todos los detalles de eventos disponibles de la tabla sophos_unauthorized_actions_journal.

Para crear o editar una consulta personalizada, consulte Editar o crear consultas.

Para ejecutar una consulta personalizada, consulte Live Discover.

Archivos/carpetas permitidos

Puede permitir la ejecución de archivos específicos o de todos los archivos de carpetas específicas o sus subcarpetas. Los archivos que coincidan con las entradas de esta lista tendrán privilegios.

Sugerencia

Le recomendamos que especifique las rutas completas de los archivos.

Para permitir un archivo o carpeta, siga los siguientes pasos:

  1. Haga clic en Añadir archivo/carpeta permitido.
  2. Seleccione Archivo o Carpeta.
  3. Introduzca la ruta del archivo o carpeta. Puede utilizar caracteres comodín y variables. Consulte Exclusiones de escaneado de Windows.
  4. Haga clic en Guardar.

Archivos/carpetas bloqueados

Puede bloquear la ejecución de archivos específicos o de todos los archivos de carpetas específicas o sus subcarpetas.

Para bloquear un archivo o carpeta, siga los siguientes pasos:

  1. Haga clic en Añadir archivo/carpeta bloqueado.
  2. Seleccione Archivo o Carpeta.
  3. Introduzca la ruta del archivo o carpeta. Puede utilizar caracteres comodín y variables. Consulte Exclusiones de escaneado de Windows.
  4. Haga clic en Guardar.

Instalación de archivos MSI

Los archivos MSI son paquetes de instalación que se utilizan habitualmente para instalar software en dispositivos Windows. No son archivos PE, y SUFP aplica una lógica especial para gestionarlos.

Los archivos MSI no se bloquean, pero pueden contener archivos PE que se extraen y ejecutan durante la instalación. Si estos archivos PE no tienen puntuaciones de reputación altas, SUFP los bloquea y la instalación falla. Aunque la instalación se complete, SUFP bloquea los archivos PE instalados si no tienen puntuaciones de reputación altas y no coinciden con la lista de permisos de la política.

Las rutas de los archivos MSI o las carpetas que contienen archivos MSI se pueden añadir a la lista de permitidos y a la lista de bloqueados de la política. SUFP comprueba si los archivos MSI coinciden con estas listas a la hora de decidir si bloquear la instalación o permitir la ejecución de los archivos PE instalados o extraídos durante la instalación.