Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=unauthorized-file-protection

Criterio Protezione dai file non autorizzati

Lockdown cambia nome e diventa Sophos Unauthorized File Protection (SUFP). Verranno anche aggiunti nuovi controlli per la gestione di SUFP. Questa modifica non ha alcuna ripercussione sui file e sulle cartelle autorizzati o bloccati che sono stati creati in criteri di Lockdown già esistenti.

Sophos Unauthorized File Protection (SUFP) monitora le operazioni svolte sui file da processi senza privilegi che creano, modificano o spostano file Portable Executable (PE). Monitora anche la creazione di link fisici ai file e le azioni che rinominano le cartelle.  

Verifica della reputazione

SUFP si serve della reputazione assegnata dai SophosLabs. Il punteggio di reputazione indica quanto è attendibile un file. SUFP utilizza i punteggi di reputazione nel seguente modo:

  • L’esecuzione di file locali con reputazione alta viene autorizzata, a meno che non venga trovata una corrispondenza con elementi inclusi nell’elenco di blocco del criterio.

    Gli amministratori possono utilizzare il criterio di controllo delle applicazioni per bloccare l’esecuzione di file provenienti da applicazioni legittime e ampiamente utilizzate. Vedere Criterio di controllo delle applicazioni per i server.

  • I file locali con reputazione medio-bassa vengono monitorati per rilevare eventuali modifiche. SUFP blocca l’esecuzione di un file se un processo non autorizzato ha modificato il file.

  • I file locali con qualsiasi reputazione, ad eccezione dei file di Sophos e di sistema, vengono bloccati se trovano corrispondenza con l’elenco di blocco del criterio SUFP.

    Note

    È possibile verificare il punteggio della reputazione di un file utilizzando lo strumento Sophos Endpoint Self Help (ESH). Per saperne di più, vedere l’articolo Informazioni sui file.

Per maggiori informazioni sui punteggi della reputazione, vedere Richiedi i dati di intelligence più recenti.

Configurazione del criterio Protezione dai file non autorizzati

Aprire Prodotti > Server > Criteri.

Per configurare un criterio, procedere come segue:

  1. Aprire Prodotti > Server > Criteri.
  2. Creare un criterio Protezione dai file non autorizzati. Vedere Creazione o modifica di un criterio.
  3. Aprire la scheda Impostazioni del criterio e configurarlo secondo necessità.

Abilita il monitoraggio delle modifiche non autorizzate dei file

Attivare Abilita il monitoraggio delle modifiche non autorizzate dei file.

È possibile selezionare una delle seguenti impostazioni:

  • Monitora l’esecuzione dei file non autorizzati senza bloccarli: quando questa opzione è attivata, Sophos Endpoint segnala l’esecuzione di un file non autorizzato a Sophos Central senza bloccarlo.

    Questi dettagli possono essere utilizzati per aggiungere i file necessari all’elenco di autorizzazione, prima di attivare l’opzione Blocca l’esecuzione dei file non autorizzati.

  • Blocca l’esecuzione dei file non autorizzati: quando questa opzione è attivata, Sophos Endpoint blocca l’esecuzione dei file non autorizzati.

    Quando viene bloccata un’esecuzione, compare un messaggio popup di Sophos Endpoint Agent, che informa l’utente che un file è stato bloccato. Gli amministratori possono visualizzare i dettagli nella scheda Eventi in Server. Vedere Eventi del server.

È possibile visualizzare gli eventi più recenti dei file bloccati nella scheda Riepilogo o Eventi del server. Per visualizzare i report degli eventi per un intervallo di tempo specifico, selezionare Report > Log generali > Eventi.

I Clienti Sophos EDR o XDR possono anche utilizzare query personalizzate di Live Discover per recuperare tutti i dettagli degli eventi disponibili dalla tabella Sophos_unauthorized_actions_journal.

Per creare o modificare una query personalizzata, vedere Modifica o creazione di query.

Per eseguire una query personalizzata, vedere Live Discover.

File/cartelle consentiti

È possibile autorizzare l’esecuzione di file specifici o di tutti i file da cartelle o sottocartelle specifiche. I file che trovano corrispondenza con voci di questo elenco sono file con privilegi.

Tip

Consigliamo di specificare i percorsi completi dei file.

Per autorizzare un file o una cartella, procedere come segue:

  1. Cliccare su Aggiungi file/cartella consentiti.
  2. Selezionare File o Cartella.
  3. Inserire il percorso del file o della cartella. È possibile utilizzare caratteri jolly e variabili. Vedere Esclusioni dalla scansione Windows.
  4. Cliccare su Salva.

File/cartelle bloccati

È possibile bloccare l’esecuzione di file specifici o di tutti i file da cartelle o sottocartelle specifiche.

Per bloccare un file o una cartella, procedere come segue:

  1. Cliccare su Aggiungi file/cartella bloccati.
  2. Selezionare File o Cartella.
  3. Inserire il percorso del file o della cartella. È possibile utilizzare caratteri jolly e variabili. Vedere Esclusioni dalla scansione Windows.
  4. Cliccare su Salva.

Installazione di file MSI

I file MSI sono pacchetti di installazione comunemente utilizzati per installare software su dispositivi Windows. Non sono file PE e per gestirli SUFP applica una logica speciale.

I file MSI non vengono bloccati, ma possono contenere file PE estratti ed eseguiti durante l’installazione. Se questi file PE non hanno punteggi della reputazione elevati, SUFP li blocca e l’installazione non viene completata. Anche se l’installazione viene completata, SUFP blocca i file PE installati se non hanno punteggi della reputazione elevati e se non trovano corrispondenza con l’elenco di autorizzazione del criterio.

I percorsi dei file MSI o le cartelle contenenti file MSI possono essere aggiunti all’elenco di autorizzazione e all’elenco di blocco del criterio. SUFP verifica se i file MSI trovano corrispondenza con questi elenchi quando decide se bloccare l’installazione o se autorizzare l’esecuzione dei file PE installati o dei file PE estratti durante l’installazione.