Vai al contenuto

Criterio di protezione contro le minacce del server

La protezione contro le minacce protegge i sistemi contro malware, tipi di file e siti web pericolosi, e traffico di rete malevolo.

Selezionare Prodotti > Server > Criteri per configurare la protezione contro le minacce.

Per configurare un criterio, procedere come segue:

  • Creare un criterio Protezione dalle minacce. Vedere Creazione o modifica di un criterio.
  • Aprire la scheda Impostazioni del criterio e configurarlo come segue. Verificare che il criterio sia abilitato.

È possibile utilizzare le impostazioni predefinite, oppure modificarle.

Se si modifica una qualsiasi delle impostazioni di questo criterio e si desidera sapere quale sia quella predefinita, avviare la procedura di creazione di un nuovo criterio. Non è necessario salvarlo, ma in questo modo è possibile visualizzare le impostazioni predefinite.

Nota

I SophosLabs sono in grado di controllare in maniera indipendente i file che vengono sottoposti a scansione. Potrebbero aggiungere o rimuovere la scansione di tipi di file specifici per garantire i massimi livelli di protezione.

Impostazioni consigliate

Per impostazione predefinita, il criterio utilizza le nostre impostazioni consigliate.

Queste impostazioni offrono il miglior livello di protezione disponibile, eliminando la complessità della configurazione. Includono:

  • Rilevamento del malware noto.
  • Verifiche nel cloud per consentire il rilevamento del più recente malware noto a Sophos.
  • Rilevamento proattivo del malware inedito.
  • Rimozione automatica del malware.
  • Esclusione automatica dalla scansione per le attività delle applicazioni note.

Se si utilizzano impostazioni non consigliate, verranno visualizzati avvisi nella pagina delle impostazioni dei criteri.

Si consiglia di riflettere attentamente prima di modificare le impostazioni consigliate, in quanto tale operazione potrebbe abbassare il livello di sicurezza.

Restrizione

Solo alcune opzioni possono essere utilizzate sui server Windows.

Live Protection

Live Protection analizza i file sospetti confrontando i dati con le informazioni sulle minacce disponibili nel database dei SophosLabs. Questo aiuta a rilevare le minacce più recenti e a evitare falsi positivi. Può essere utilizzata come segue:

  • Usa Live Protection per controllare le informazioni sulle minacce più recenti fornite da SophosLabs e disponibili online. Questa opzione verifica i file durante le scansioni in tempo reale.
  • Usa Live Protection durante le scansioni pianificate.

    Nota

    Su Linux, le scansioni pianificate utilizzano sempre Live Protection, indipendentemente da questa impostazione.

La disattivazione di Live Protection riduce il livello di protezione e rischia di aumentare il numero di falsi positivi.

Per visualizzare il nostro database di minacce, visitare il Sophos Threat Center.

Deep Learning

Il deep learning è in grado di rilevare automaticamente le minacce, in particolare quelle nuove e sconosciute, che non sono mai state osservate prima. Utilizza il machine learning e non dipende dalle firme.

La disattivazione del deep learning riduce significativamente il livello di protezione.

Scansione in tempo reale - File locali e condivisioni di rete

La scansione in tempo reale verifica la presenza di malware noto nei file, al momento dell’accesso e dell’aggiornamento. Impedisce alle applicazioni legittime di eseguire programmi noti per essere dannosi e di aprire file infetti.

L’opzione Scansione esegue la scansione in tempo reale di file locali e remoti (file a cui si accede dalla rete) per impostazione predefinita. Selezionare Locale se si desidera analizzare solo i file sul dispositivo.

  • in lettura: Questa opzione abilita la scansione dei file al momento dell’apertura.
  • in scrittura: Questa opzione abilita la scansione dei file al momento del salvataggio.

Abilita la scansione per l’Agente di Server Protection per Linux offre la possibilità di effettuare la scansione in tempo reale sui dispositivi Linux. Questa opzione si applica a Sophos Protection per Linux, ma non al prodotto legacy Sophos Anti-Virus. Vedere Correzione.

La disattivazione di queste opzioni potrebbe permettere l’esecuzione di malware noto o l’accesso a tali malware.

Scansione in tempo reale - Internet

La scansione in tempo reale analizza le risorse internet nel momento in cui gli utenti cercano di accedervi.

Eseguire la scansione sui download in corso

Questa impostazione controlla se i download e gli elementi della pagina debbano essere sottoposti a scansione prima di raggiungere il browser.

  • Connessioni HTTP: tutti gli elementi e tutti i download vengono sottoposti a scansione.
  • Connessioni HTTPS: nessun elemento viene sottoposto a scansione, a meno che non venga attivata l’opzione Decifra siti web utilizzando SSL/TLS.

Blocco dell’accesso a siti web dannosi

Questa opzione nega l’accesso a siti web noti per ospitare malware.

Viene eseguita una verifica della reputazione per sapere se il sito è noto per ospitare contenuti dannosi (ricerca SXL4). Se si disattiva Live Protection, verrà disattivata anche questa verifica.

  • Connessioni HTTP: tutti gli URL vengono verificati, incluse le richieste HTTP GET complete.
  • Connessioni HTTPS: vengono controllati gli URL di base (SNI). Se si attiva Decifra siti web utilizzando SSL/TLS, verranno verificati tutti gli URL, incluse le richieste HTTP GET complete.

Rilevamento dei download con reputazione bassa

Questa impostazione verifica la reputazione dei download in base all’origine del file, alla frequenza con cui viene scaricato e ad altre caratteristiche. Utilizzare le seguenti opzioni per decidere come devono essere gestiti i download.

Impostare l’Azione da intraprendere su Richiedi conferma all’utente: gli utenti finali vedranno un avviso quando viene scaricato un file con reputazione bassa. Potranno quindi scegliere di considerare il file attendibile, oppure di eliminarlo. Si tratta dell’impostazione predefinita.

Impostare il Livello di reputazione su una delle seguenti opzioni:

  • Consigliato: i file con reputazione bassa verranno bloccati automaticamente. Si tratta dell’impostazione predefinita.
  • Rigido: i download con reputazione media e bassa verranno automaticamente bloccati e segnalati a Sophos Central.

Per maggiori informazioni, vedere Reputazione dei download.

Scansione in tempo reale - Opzioni

Escludi automaticamente l'attività di applicazioni note. Questa impostazione esclude le applicazioni più comunemente utilizzate, in base alle raccomandazioni dei rispettivi vendor.

Per maggiori informazioni, vedere Sophos Central Server: esclusione automatica di prodotti di terze parti

Correzione

Le opzioni di correzione sono le seguenti:

Rimuovi automaticamente il malware: Sophos Central rimuoverà automaticamente il malware rilevato e registrerà nei log l’azione di rimozione. Può essere visualizzata nell’elenco Eventi.

Restrizione

I computer Windows e i dispositivi Linux che eseguono Sophos Protection per Linux rimuovono sempre gli elementi rilevati, indipendentemente da questa impostazione.

Quando Sophos Central pulisce un file, lo rimuove dalla posizione attuale e lo mette in quarantena in SafeStore. I file rimarranno in SafeStore fino a quando non verranno autorizzati o rimossi per fare spazio a nuovi rilevamenti. I file messi in quarantena in SafeStore possono essere ripristinati aggiungendoli alle Applicazioni autorizzate. Vedere Applicazioni autorizzate.

SafeStore ha i seguenti limiti predefiniti:

  • Le dimensioni massime per un singolo file sono pari a 100 GB.
  • Il limite totale per le dimensioni della quarantena è pari a 200 GB.
  • Il numero massimo di file in archiviazione è 2.000.

Abilita creazione di grafici delle minacce. Questa opzione permette di indagare sulla catena di eventi di un attacco malware. Consigliamo di attivarla, in modo da permettere l’analisi degli attacchi che abbiamo rilevato e bloccato.

Protezione runtime

La Protezione runtime protegge i sistemi contro le minacce, rilevando comportamenti o traffico sospetti o malevoli.

Proteggi i file di documento da ransomware (CryptoGuard). Questa impostazione difende il sistema dalle categorie di malware che agiscono limitando l’accesso ai file ed esigendo il pagamento di un riscatto per il rilascio delle informazioni. Questa funzionalità è attivata per impostazione predefinita. Si consiglia vivamente di lasciarla attivata.

È anche possibile utilizzare le seguenti opzioni:

  • Proteggi contro ransomware eseguito in remoto. Questa opzione garantisce protezione all’interno dell’intera rete. Si consiglia di lasciarla attivata.
  • Proteggi contro attacchi di cifratura dei file system. Questa opzione protegge i dispositivi a 64 bit dal ransomware che agisce cifrando il file system. Selezionare l’azione che si desidera eseguire se viene rilevato ransomware. È possibile terminare i processi di ransomware o isolarli per impedire che scrivano sul file system.
  • Proteggi contro ransomware che attacca il record di avvio principale. Questa opzione serve a proteggere il dispositivo dai ransomware che cifrano il record di avvio principale (impedendo quindi l’avvio) e dagli attacchi di formattazione dell’hard disk.

Proteggi funzioni critiche nei browser web (Safe Browsing). Questa impostazione protegge i browser web dagli exploit da parte dei malware che agiscono sfruttando il browser web.

Attenua exploit in applicazioni vulnerabili. Questa opzione difende le applicazioni più esposte agli exploit del malware. È possibile selezionare i tipi di applicazioni da proteggere.

Proteggi processi. Questa opzione aiuta a prevenire l’hijacking di applicazioni legittime da parte del malware. È possibile scegliere tra le seguenti opzioni:

  • Impedisci attacchi di process hollowing. Detti anche “sostituzione del processo” o DLL injection. Di solito i cybercriminali utilizzano questa tecnica per caricare codice dannoso in un’applicazione legittima, al fine di eludere i software di sicurezza.

    Se si disattiva questa impostazione, per gli hacker risulterà più facile eludere i software di sicurezza.

  • Impedisci il caricamento di DLL da cartelle non attendibili. Questa opzione protegge il sistema dal caricamento di file .DLL da cartelle non attendibili.

  • Impedisci furto delle credenziali. Questa opzione impedisce il furto delle password e delle informazioni sull'hash da memoria, registro di sistema e hard disk.
  • Impedisci utilizzo dei code cave. Questa opzione rileva il codice dannoso che è stato inserito in un’altra applicazione legittima.
  • Impedisci violazione delle APC. Questa opzione impedisce agli attacchi di utilizzare le chiamate di procedura delle applicazioni (Application Procedure Calls, APC) per eseguire il proprio codice.
  • Impedisci privilege escalation. Questa opzione impedisce agli attacchi di passare da processi dotati di privilegi bassi a processi con privilegi più elevati per accedere ai sistemi.

Abilita branch tracing della CPU. il rilevamento di codice malevolo nella CPU è una funzionalità dei processori Intel che consente di monitorare l'attività del processore a scopo di rilevamento. Le nostre tecnologie supportano questa funzionalità sui processori Intel e nelle seguenti architetture: Nehalem, Westmere, Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Goldmont, SkyLake e Kaby Lake. Non la supportiamo se è presente un hypervisor legittimo nel computer.

Protezione dinamica dello shellcode. Questa opzione rileva il comportamento tipico degli agenti di comando e controllo remoti nascosti, impedendo ai cybercriminali di ottenere il controllo delle reti.

Convalida chiamante Protocollo CTF. Questa impostazione blocca le applicazioni che cercano di sfruttare una vulnerabilità in CTF, un componente presente in tutte le versioni di Windows. Questa vulnerabilità permette a un hacker che non ha privilegi di amministrazione di assumere il controllo di qualsiasi processo Windows, incluse le applicazioni in esecuzione in una sandbox. Si consiglia di attivare l’opzione Convalida chiamante Protocollo CTF.

Impedisci sideload di moduli non sicuri. Questa impostazione impedisce il sideload da parte di un’applicazione DLL dannosa che si spaccia per un’ApiSet Stub DLL. Le ApiSet Stub DLL svolgono il ruolo di proxy per mantenere la compatibilità tra le applicazioni meno recenti e le versioni più recenti dei sistemi operativi. I cybercriminali possono utilizzare ApiSet Stub DLL dannose per bypassare il blocco rimozione e arrestare la protezione antimalware.

La disattivazione di questa funzionalità riduce il livello di protezione in maniera significativa.

Proteggi i cookie del browser con l’accesso tramite autenticazione a fattori multipli (MFA). Questa impostazione impedisce alle applicazioni non autorizzate di decifrare la chiave AES utilizzata per cifrare i cookie dell’autorizzazione a fattori multipli (Multi-Factor Authentication, MFA).

Proteggi traffico di rete

  • Rileva le connessioni malevole verso i server di comando e controllo (C&C). Questa opzione rileva se il traffico tra computer endpoint e server mostri comportamenti che possono indicare un tentativo di assumere il controllo di un endpoint.
  • Previeni il traffico di rete malevolo con l'ispezione dei pacchetti. Questa opzione serve ad analizzare il traffico al livello più basso e a bloccare le minacce prima che possano danneggiare sistema operativo o applicazioni.

Rilevamenti di runtime su Linux. Questa impostazione offre visibilità su runtime e rilevamento delle minacce per i workload dei server e i container Linux. Questi avvisi possono essere gestiti nel Centro di analisi delle minacce. Vedere Rilevamenti.

Restrizione

Per utilizzare i Rilevamenti di runtime su Linux, occorre avere una licenza appropriata. Vedere Criterio di Rilevamento di runtime su Linux.

Impedisci ai beacon dannosi di connettersi ai server di comando e controllo. Questa impostazione identifica e blocca i beacon che cercano di eludere il rilevamento rimanendo cifrati.

Rileva comportamento dannoso. Questa impostazione protegge i sistemi dalle minacce che non sono ancora conosciute. Agisce rilevando e bloccando comportamenti sospetti o noti per essere dannosi.

Protezione AMSI. Questa impostazione protegge i sistemi dal codice dannoso (inviato ad es. tramite script di PowerShell) utilizzando l’Antimalware Scan Interface (AMSI) di Microsoft.

Il codice inoltrato tramite AMSI viene sottoposto a scansione prima dell’esecuzione e l’endpoint invia una notifica sulle minacce alle applicazioni utilizzate per eseguire codice. Se il sistema rileva una minaccia, viene creato un evento nel log.

Impedisci la rimozione della registrazione ad AMSI. Questa impostazione garantisce che AMSI non possa essere rimossa dai computer.

Abilita Sophos Security Heartbeat: questa impostazione invia report sullo stato di integrità del server a ciascun Sophos Firewall registrato al proprio account Sophos Central. Se è registrato più di un solo firewall, i report verranno inviati a quello più vicino che risulta disponibile. Se un report indica che un server potrebbe essere compromesso, il firewall sarà in grado di limitarne l'accesso.

Protezione adattiva contro gli attacchi

Attiva automaticamente funzionalità di protezione aggiuntive quando un dispositivo si trova sotto attacco. Questa impostazione abilita un set più aggressivo di soluzioni di protezione quando viene rilevato un attacco. Queste protezioni aggiuntive sono progettate per bloccare le azioni di un utente malintenzionato.

Decifratura SSL/TLS di siti web HTTPS

Se si seleziona Decifra siti web HTTPS utilizzando SSL/TLS, i contenuti dei siti web HTTPS vengono decifrati ed esaminati, per individuare eventuali minacce.

Se decifriamo un sito web rischioso, lo blocchiamo. Mostriamo all'utente un messaggio e offriamo la possibilità di inviare il sito ai SophosLabs per eseguirne una nuova valutazione.

Per impostazione predefinita, la decifratura è disattivata.

Nota

Se la decifratura è attivata nel criterio di Protezione dalle minacce applicato a un dispositivo, verrà utilizzata anche per le verifiche del Controllo web sullo stesso dispositivo.

Scansione in tempo reale per Linux

Selezionando Abilita la scansione per l’Agente di Server Protection per Linux, i file verranno sottoposti a scansione quando gli utenti cercano di aprirli. Se il file è pulito, l’accesso viene autorizzato.

Per impostazione predefinita, la scansione in tempo reale per Linux è disattivata.

Scansione pianificata

La scansione pianificata effettua una scansione all’ora o alle ore specificate.

È possibile scegliere tra le seguenti opzioni:

  • Abilita scansione pianificata. Questa opzione consente di definire un orario e uno o più giorni nei quali svolgere la scansione.

    L’ora della scansione pianificata è la stessa dei computer endpoint (non un’ora UTC).

  • Abilita scansione profonda. Selezionando questa opzione, durante le scansioni pianificate vengono analizzati i file compressi. Questa operazione può aumentare il carico del sistema e rallentare notevolmente la scansione.

Esclusioni dalla scansione

Per alcune applicazioni, le attività vengono automaticamente escluse dalle scansioni in tempo reale. Vedere Esclusioni automatiche.

È possibile escludere dalla scansione anche altri elementi o attività di altre applicazioni. Questa opzione potrebbe essere preferibile nel caso in cui un’applicazione del database debba effettuare l’accesso a molti file diversi, in quanto altrimenti attiverebbe una quantità troppo elevata di scansioni e rallenterebbe la performance di un server.

Per impostare esclusioni per un’applicazione specifica, è possibile adoperare questa opzione per escludere i processi eseguiti dall’applicazione interessata. Si tratta di una procedura che garantisce maggiore sicurezza, rispetto all’esclusione di file o cartelle.

Gli elementi esclusi continueranno a essere analizzati per verificare l'eventuale presenza di exploit. Tuttavia è possibile interrompere le analisi volte a individuare la presenza di un exploit già rilevato (utilizzando un'esclusione Exploit rilevati).

Le esclusioni impostate in un criterio vengono utilizzate solamente per gli server ai quali viene applicato il criterio.

Se si desidera applicare esclusioni a tutti gli utenti e i server, impostare esclusioni globali nella pagina Prodotti > Impostazioni generali > Esclusioni globali.

Per informazioni su come utilizzare le esclusioni, vedere Utilizzo sicuro delle esclusioni.

Per creare un’esclusione dalla scansione in un criterio:

  1. Cliccare su Aggiungi esclusione (nella parte destra della pagina).

    Verrà visualizzata la finestra di dialogo Aggiungi esclusione.

  2. Nell’elenco a discesa Tipo di esclusione, selezionare un tipo di elemento da escludere (file o cartella, processo, sito web, o applicazione potenzialmente indesiderata).

  3. Specificare l’elemento o gli elementi da escludere. Sono applicabili le seguenti regole:

    • File o cartella (Windows). In Windows è possibile escludere un’unità, cartella o file specificandone il percorso completo. È possibile utilizzare caratteri jolly e variabili. Esempi:

      • Cartella: C:\programdata\adobe\photoshop\ (aggiungere una barra per una cartella)
      • Unità intera: D:
      • File: C:\program files\program\*.vmg
    • File o cartella (Linux). Su Linux, è possibile escludere una cartella o file. È possibile utilizzare i caratteri jolly ? e *. Esempio: /mnt/hgfs/excluded.

    • Processo (Windows). È possibile escludere qualsiasi processo eseguito da un’applicazione. Questa opzione esclude anche i file utilizzati dal processo stesso (solo in caso di accesso da parte del processo in questione). Se possibile, inserire il percorso completo dell’applicazione, piuttosto che il solo nome del processo visualizzato in Gestione attività. Esempio: %PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe

      Nota

      Per visualizzare tutti i processi o altri elementi da escludere per un’applicazione, consultare la documentazione fornita dal vendor.

      Nota

      È possibile utilizzare caratteri jolly e variabili.

    • Sito Web (Windows). È possibile specificare siti web utilizzando indirizzi IP, intervalli di indirizzi IP (in notazione CIDR) o domini. Esempi:

      • Indirizzo IP: 192.168.0.1
      • Intervallo di indirizzi IP: 192.168.0.0/24 L’appendice /24 rappresenta il numero di bit nel prefisso comune a tutti gli indirizzi IP di questo intervallo. Per cui /24 corrisponde alla netmask 11111111.11111111.11111111.00000000. Nel nostro esempio, l’intervallo include tutti gli indirizzi IP che cominciano con 192.168.0.
      • Dominio: google.com

      Se si esclude un sito web, la categoria del sito web non verrà verificata e il sito sarà escluso dalla protezione del controllo web. Vedere Criterio di controllo web per server.

    • Applicazione potenzialmente indesiderata (Windows/Mac/Linux). È possibile escludere applicazioni solitamente rilevate come spyware. Specificare l’esclusione utilizzando lo stesso nome con cui è stata rilevata dal sistema, ad esempio “PsExec” o “Cain n Abel”. Per maggiori informazioni sulle applicazioni potenzialmente indesiderate (PUA), vedere il Sophos Threat Center.

      Si consiglia di riflettere attentamente prima di aggiungere esclusioni per le PUA, in quanto tale operazione potrebbe abbassare il livello di sicurezza.

    • Exploit rilevati (Windows/Mac). È possibile escludere qualsiasi exploit che sia stato rilevato. L'applicazione interessata non verrà più rilevata o bloccata.

      È anche possibile escludere gli exploit rilevati utilizzando un ID di rilevamento. Questa opzione può essere utile quando si sta di cercando di risolvere il rilevamento di un falso positivo con l’assistenza del Supporto Sophos. Il Supporto Sophos può fornire un ID di rilevamento che permette di escludere il falso positivo. Per procedere in questo modo, cliccare su Exploit non elencato? e immetterne l’ID.

      Nota

      Questa azione disattiva la protezione antiransomware CryptoGuard per questo exploit e per l'applicazione interessata nei server Windows.

    • Protezione AMSI (Windows). In Windows è possibile escludere un’unità, cartella o file specificandone il percorso completo. La scansione del codice non verrà effettuata su questo percorso. Il carattere jolly * può essere utilizzato per il nome file o per l’estensione. Vedere Antimalware Scan Interface (AMSI).

    • Isolamento del server (Windows). La funzionalità Isolamento dispositivo (per mano di un amministratore) è disponibile per i server se è stata effettuata l'iscrizione al Early Access Program di Intercept X Advanced for Server with XDR.

      Ai dispositivi isolati è possibile concedere un livello di limitato di comunicazione con altri dispositivi.

      Selezionare se i dispositivi isolati debbano utilizzare comunicazioni in entrata, in uscita o entrambe le opzioni.

      Le comunicazioni possono essere limitate con una o più delle seguenti impostazioni:

      • Porta locale: qualsiasi dispositivo potrà utilizzare questa porta sui dispositivi isolati.
      • Porta remota: i dispositivi isolati potranno utilizzare questa porta su qualsiasi dispositivo.
      • Indirizzo remoto: i dispositivi isolati potranno comunicare solamente con il dispositivo che ha questo IP.

      Esempio 1: Si desidera effettuare l'accesso tramite desktop remoto a un dispositivo isolato per svolgere operazioni di risoluzione dei problemi.

      • Selezionare Connessione in entrata.
      • Immettere il numero di porta nel campo Porta locale.

      Esempio 2: Si desidera l'accesso a un dispositivo isolato per scaricare strumenti di disinfezione da un server.

      • Selezionare Connessione in uscita.
      • Immettere l'indirizzo del server nel campo Indirizzo remoto.
  4. Solo per le esclusioni File o cartella, nell’elenco a discesa Attivo per, specificare se l’esclusione debba essere valida per la scansione in tempo reale, per la scansione pianificata, o entrambe.

  5. Cliccare su Aggiungi o su Aggiungi un altro. L’esclusione viene aggiunta all’elenco delle esclusioni dalla scansione.

Per modificare un’esclusione in un secondo momento, cliccarne il nome nell’elenco delle esclusioni, inserire le nuove impostazioni, e successivamente cliccare su Aggiorna.

Per maggiori informazioni sulle esclusioni che possono essere utilizzate, vedere:

Esclusioni da attenuazione exploit

È possibile escludere applicazioni dalla protezione contro gli exploit di sicurezza. Potrebbe ad esempio essere necessario escludere un’applicazione erroneamente rilevata e classificata come minaccia fino alla risoluzione del problema.

L’aggiunta di esclusioni limita la protezione.

L’aggiunta di esclusioni con l’opzione globale Impostazioni generali > Esclusioni globali crea esclusioni che vengono applicate a tutti gli utenti e i dispositivi.

Si consiglia di utilizzare questa opzione e assegnare il criterio contenente l'esclusione solo ai server per i quali l'esclusione è necessaria.

Nota

È possibile creare esclusioni solo per le applicazioni Windows.

Per creare un'esclusione da attenuazione exploit per un criterio, procedere come segue:

  1. Cliccare su Aggiungi esclusione (nella parte destra della pagina).

    Verrà visualizzata la finestra di dialogo Aggiungi esclusione.

  2. In Tipo di esclusione, selezionare Attenuazione degli exploit (Windows).

    Verrà visualizzato un elenco delle applicazioni protette presenti sulla rete.

  3. Selezionare l'applicazione che si desidera escludere.

  4. Se l'applicazione desiderata non è visibile, cliccare su Applicazione non elencata?. È ora possibile escludere l'applicazione dalla protezione immettendone il percorso file. Facoltativamente, è anche possibile utilizzare le variabili.
  5. In Attenuazioni, scegliere tra le seguenti opzioni:

    • Disattivare l'opzione Proteggi applicazione. Non verranno effettuati controlli antiexploit per l'applicazione selezionata.
    • Mantenere Proteggi applicazione attiva e selezionare i tipi di exploit per i quali si desidera o non si desidera effettuare controlli.
  6. Cliccare su Aggiungi o su Aggiungi un altro. L'esclusione viene applicata solo ai server ai quali si assegna questo criterio.

    Reputazione dei download

Per modificare un’esclusione in un secondo momento, cliccarne il nome nell’elenco delle esclusioni, inserire le nuove impostazioni, e successivamente cliccare su Aggiorna.

Nota

Se si esclude un sito web, la categoria del sito web non verrà verificata e il sito sarà escluso dalla protezione del controllo web. Vedere Criterio di controllo web per server.

Per maggiori informazioni sulle esclusioni da attenuazione exploit, vedere:

Esclusioni dalla protezione antiransomware

È possibile escludere dalla protezione antiransomware applicazioni o cartelle utilizzate dalle applicazioni.

Potrebbe essere consigliabile escludere un'applicazione che è stata erroneamente segnalata come minaccia o un'applicazione che non è compatibile con la protezione antiransomware. Ad esempio, se si utilizza un'applicazione che cifra i dati, potrebbe essere desiderabile escluderla. Questo ci impedisce di rilevare l’applicazione come ransomware.

In alternativa, si possono escludere le cartelle utilizzate da applicazioni specifiche che presentano problemi di performance quando vengono monitorate dalla protezione antiransomware. Ad esempio, potrebbe essere consigliabile escludere le cartelle utilizzate dalle applicazioni di backup.

L’aggiunta di esclusioni limita la protezione.

L’aggiunta di esclusioni con l’opzione globale Impostazioni generali > Esclusioni globali crea esclusioni che vengono applicate a tutti i server.

Consigliamo di aggiungere le esclusioni a un criterio e di assegnare questo criterio solo agli utenti e ai dispositivi che richiedono le esclusioni.

Per creare un'esclusione dalla protezione antiransomware per un criterio, procedere come segue:

  1. Cliccare su Aggiungi esclusione (nella parte destra della pagina).

    Verrà visualizzata la finestra di dialogo Aggiungi esclusione.

  2. In Tipo di esclusione, selezionare Protezione antiransomware (Windows).

  3. Scegliere se si desidera escludere un processo o una cartella.

    Scegliere Processo per escludere un’applicazione.

  4. Per VALORE, immettere il percorso del processo o della cartella che si desidera escludere.

    Una cartella può essere esclusa solo specificandone il percorso locale. Non è possibile escluderla in base al percorso remoto in formato UNC, ad esempio \\servername\shared-folder.

    Quando si escludono processi o cartelle, si possono utilizzare variabili. Vedere Caratteri jolly e variabili per l’attenuazione exploit o la protezione antiransomware.

  5. Cliccare su Aggiungi o su Aggiungi un altro. L'esclusione viene applicata solo ai server ai quali si assegna questo criterio.

Per modificare un’esclusione in un secondo momento, cliccarne il nome nell’elenco delle esclusioni, inserire le nuove impostazioni, e successivamente cliccare su Aggiorna.

Messaggistica desktop

La Messaggistica desktop invia notifiche relative agli eventi di protezione contro le minacce. È abilitata per impostazione predefinita.

È possibile immettere un messaggio personale da aggiungere alla fine delle notifiche standard.