Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=unauthorized-file-protection

Política de protección contra archivos no autorizados

Server Lockdown ahora se llama Unauthorized File Protection (SUFP). Se han añadido nuevos controles para gestionar SUFP. Estos cambios no afectan a los archivos y carpetas permitidos o bloqueados que ha creado en las políticas de Server Lockdown existentes. Animamos a los clientes actuales de Server Lockdown a que planifiquen su transición a Unauthorized File Protection para poder beneficiarse de las mejoras introducidas.

Nota

Los servidores bloqueados deben desbloquearse antes de utilizar la política Unauthorized File Protection. Para obtener información sobre cómo desbloquear un servidor, consulte Resumen de servidor.

Unauthorized File Protection (SUFP) realiza un seguimiento de las operaciones en archivos realizadas por procesos sin privilegios que crean, modifican o mueven archivos ejecutables portátiles (PE). También supervisa la creación de enlaces físicos a archivos y el cambio de nombre de carpetas.  

Comprobación de la reputación

Unauthorized File Protection utiliza la reputación que asigna SophosLabs. La puntuación de reputación indica el grado de fiabilidad de un archivo. Unauthorized File Protection utiliza puntuaciones de reputación de la siguiente manera:

  • Se autoriza la ejecución de los archivos locales con alta reputación, a menos que coincidan con elementos de la lista de bloqueo de la política.

    Los administradores pueden utilizar la política de control de aplicaciones para bloquear la ejecución de archivos procedentes de aplicaciones legítimas y ampliamente utilizadas. Consulte Política de control de aplicaciones del servidor.

  • Los archivos locales con una reputación baja o media se supervisan para detectar cambios. Unauthorized File Protection bloquea la ejecución del archivo si un proceso no autorizado lo ha modificado.

  • Los archivos locales con cualquier reputación, excepto los archivos de Sophos y del sistema, se bloquean si coinciden con la lista de bloqueo de la política de Unauthorized File Protection.

    Nota

    Puede comprobar la puntuación de reputación de un archivo con la herramienta Sophos Endpoint Self Help (ESH). Para obtener más información, consulte Información de los archivos.

Para obtener más información sobre las puntuaciones de reputación, consulte Solicitar información más reciente.

Configurar una política de protección contra archivos no autorizados

Vaya a Mis productos > Server > Políticas.

Para configurar una política, haga lo siguiente:

  1. Vaya a Mis productos > Server > Políticas.
  2. Cree una política de Protección contra archivos no autorizados. Consulte Crear o editar una política.
  3. Abra la pestaña Configuración de la política y configúrela según lo necesite.

Activar seguimiento de cambios de archivos no autorizados

Active la opción Activar seguimiento de cambios de archivos no autorizados.

Puede seleccione una de las opciones siguientes:

  • Supervisar ejecución de archivos no autorizados sin bloqueo: cuando esta opción está activada, Sophos Endpoint informa de la ejecución de un archivo no autorizado a Sophos Central sin bloquearlo.

    Puede utilizar estos detalles para añadir los archivos necesarios a la lista de permitidos antes de activar la opción Bloquear ejecución de archivos no autorizados.

  • Bloquear ejecución de archivos no autorizados: cuando esta opción está activada, Sophos Endpoint bloquea la ejecución de archivos no autorizados.

    Cuando se bloquea una ejecución, Sophos Endpoint Agent muestra un mensaje emergente que informa al usuario de que se ha bloqueado un archivo. Los administradores pueden ver los detalles en la pestaña Eventos en Servidores. Consulte Eventos de servidor.

Puede ver los eventos más recientes de archivos bloqueados en la pestaña Resumen o Eventos del servidor. Para ver los informes de eventos de un intervalo de tiempo específico, vaya a Informes > Registros generales > Eventos.

Los clientes de Sophos EDR o XDR también pueden utilizar consultas personalizadas de Live Discover para recuperar todos los detalles de eventos disponibles de la tabla sophos_unauthorized_actions_journal.

Para crear o editar una consulta personalizada, consulte Editar o crear consultas.

Para ejecutar una consulta personalizada, consulte Live Discover.

Elementos permitidos

Puede permitir la ejecución de archivos específicos o de todos los archivos de carpetas específicas o sus subcarpetas. Los elementos que coincidan con las entradas de esta lista tendrán privilegios.

Sugerencia

Le recomendamos que especifique las rutas completas de los archivos.

Para autorizar un elemento, proceda de la siguiente manera:

  1. Haga clic en Añadir elemento permitido.

  2. En el cuadro de diálogo Añadir nuevo elemento permitido, haga lo siguiente:

    1. Seleccione Archivo, Carpeta o SHA256.

    2. Introduzca la ruta del archivo o la carpeta, o bien el valor SHA-256.

      Solo puede utilizar comodines y variables para archivos y carpetas. Consulte Exclusiones de escaneado de Windows.

    3. Haga clic en Guardar.

  3. En la página Server Protection, haga clic en Guardar.

Elementos bloqueados

Puede bloquear la ejecución de archivos específicos o de todos los archivos de carpetas específicas o sus subcarpetas.

Para bloquear un archivo o carpeta, siga los siguientes pasos:

  1. Haga clic en Añadir elemento bloqueado.

  2. En el cuadro de diálogo Añadir nuevo elemento bloqueado, haga lo siguiente:

    1. Seleccione Archivo, Carpeta o SHA256.

    2. Introduzca la ruta del archivo o la carpeta, o bien el valor SHA-256.

      Solo puede utilizar comodines y variables para archivos y carpetas. Consulte Exclusiones de escaneado de Windows.

    3. Haga clic en Guardar.

  3. En la página Server Protection, haga clic en Guardar.

Instalación de archivos MSI

Los archivos MSI son paquetes de instalación que se utilizan habitualmente para instalar software en dispositivos Windows. No son archivos PE, y Unauthorized File Protection aplica una lógica especial para gestionarlos.

Los archivos MSI no se bloquean, pero pueden contener archivos PE que se extraen y ejecutan durante la instalación. Si estos archivos PE no tienen puntuaciones de reputación altas, Unauthorized File Protection los bloquea y la instalación falla. Aunque la instalación se complete, Unauthorized File Protection bloquea los archivos PE instalados si no tienen puntuaciones de reputación altas y no coinciden con la lista de permisos de la política.

Las rutas de los archivos MSI o las carpetas que contienen archivos MSI se pueden añadir a la lista de permitidos y a la lista de bloqueados de la política. Unauthorized File Protection comprueba si los archivos MSI coinciden con estas listas a la hora de decidir si bloquear la instalación o permitir la ejecución de archivos PE instalados o de archivos PE extraídos durante la instalación.