Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=unauthorized-file-protection

Criterio Protezione dai file non autorizzati

Server Lockdown ha cambiato nome ed è diventato “Protezione dai file non autorizzati”. Sono stati aggiunti nuovi controlli per la gestione della Protezione dai file non autorizzati. Queste modifiche non influiscono in alcun modo sui file e sulle cartelle autorizzati o bloccati che sono stati creati in criteri di Server Lockdown già esistenti. Invitiamo i clienti che usano Server Lockdown a pianificare la transizione a Protezione contro i file non autorizzati, per usufruire dei vantaggi delle funzionalità ottimizzate.

Nota

I server bloccati devono essere sbloccati, prima di utilizzare il criterio di Protezione contro i file non autorizzati. Per informazioni su come sbloccare un server, vedere Riepilogo del server.

La Protezione dai file non autorizzati monitora le operazioni svolte sui file da processi senza privilegi che creano, modificano o spostano file Portable Executable (PE). Monitora anche la creazione di link fisici ai file e le azioni che rinominano le cartelle.  

Verifica della reputazione

La Protezione dai file non autorizzati si serve della reputazione assegnata dai SophosLabs. Il punteggio di reputazione indica quanto è attendibile un file. La Protezione dai file non autorizzati utilizza i punteggi della reputazione come segue:

  • L’esecuzione di file locali con reputazione alta viene autorizzata, a meno che non venga trovata una corrispondenza con elementi inclusi nell’elenco di blocco del criterio.

    Gli amministratori possono utilizzare il criterio di controllo delle applicazioni per bloccare l’esecuzione di file provenienti da applicazioni legittime e ampiamente utilizzate. Vedere Criterio di controllo delle applicazioni per i server.

  • I file locali con reputazione medio-bassa vengono monitorati per rilevare eventuali modifiche. La Protezione dai file non autorizzati blocca l’esecuzione di un file se un processo non autorizzato ha modificato il file.

  • I file locali con qualsiasi reputazione, ad eccezione dei file di Sophos e di sistema, vengono bloccati se trovano corrispondenza con l’elenco di blocco del criterio Protezione dai file non autorizzati.

    Nota

    È possibile verificare il punteggio della reputazione di un file utilizzando lo strumento Sophos Endpoint Self Help (ESH). Per saperne di più, vedere l’articolo Informazioni sui file.

Per maggiori informazioni sui punteggi della reputazione, vedere Richiedi i dati di intelligence più recenti.

Configurazione del criterio Protezione dai file non autorizzati

Aprire Prodotti > Server > Criteri.

Per configurare un criterio, procedere come segue:

  1. Aprire Prodotti > Server > Criteri.
  2. Creare un criterio Protezione dai file non autorizzati. Vedere Creazione o modifica di un criterio.
  3. Aprire la scheda Impostazioni del criterio e configurarlo secondo necessità.

Abilita il monitoraggio delle modifiche non autorizzate dei file

Attivare Abilita il monitoraggio delle modifiche non autorizzate dei file.

È possibile selezionare una delle seguenti impostazioni:

  • Monitora l’esecuzione dei file non autorizzati senza bloccarli: quando questa opzione è attivata, Sophos Endpoint segnala l’esecuzione di un file non autorizzato a Sophos Central senza bloccarlo.

    Questi dettagli possono essere utilizzati per aggiungere i file necessari all’elenco di autorizzazione, prima di attivare l’opzione Blocca l’esecuzione dei file non autorizzati.

  • Blocca l’esecuzione dei file non autorizzati: quando questa opzione è attivata, Sophos Endpoint blocca l’esecuzione dei file non autorizzati.

    Quando viene bloccata un’esecuzione, compare un messaggio popup di Sophos Endpoint Agent, che informa l’utente che un file è stato bloccato. Gli amministratori possono visualizzare i dettagli nella scheda Eventi in Server. Vedere Eventi del server.

È possibile visualizzare gli eventi più recenti dei file bloccati nella scheda Riepilogo o Eventi del server. Per visualizzare i report degli eventi per un intervallo di tempo specifico, selezionare Report > Log generali > Eventi.

I Clienti Sophos EDR o XDR possono anche utilizzare query personalizzate di Live Discover per recuperare tutti i dettagli degli eventi disponibili dalla tabella sophos_unauthorized_actions_journal.

Per creare o modificare una query personalizzata, vedere Modifica o creazione di query.

Per eseguire una query personalizzata, vedere Live Discover.

Elementi consentiti

È possibile autorizzare l’esecuzione di file specifici o di tutti i file da cartelle o sottocartelle specifiche. Gli elementi che trovano corrispondenza con voci di questo elenco sono file con privilegi.

Consiglio

Consigliamo di specificare i percorsi completi dei file.

Per autorizzare un elemento, procedere come segue:

  1. Cliccare su Aggiungi elemento consentito.

  2. Nella finestra di dialogo Aggiungi nuovo elemento consentito, svolgere le seguenti operazioni:

    1. Selezionare File, Cartella o SHA256.

    2. Inserire il percorso del file o della cartella o il valore SHA-256.

      È possibile utilizzare caratteri jolly e variabili solo per file e cartelle. Vedere Esclusioni dalla scansione Windows.

    3. Cliccare su Save (Salva).

  3. Nella pagina Server Protection, cliccare su Salva.

Elementi bloccati

È possibile bloccare l’esecuzione di file specifici o di tutti i file da cartelle o sottocartelle specifiche.

Per bloccare un file o una cartella, procedere come segue:

  1. Cliccare su Aggiungi elemento bloccato.

  2. Nella finestra di dialogo Aggiungi nuovo elemento bloccato, svolgere le seguenti operazioni:

    1. Selezionare File, Cartella o SHA256.

    2. Inserire il percorso del file o della cartella o il valore SHA-256.

      È possibile utilizzare caratteri jolly e variabili solo per file e cartelle. Vedere Esclusioni dalla scansione Windows.

    3. Cliccare su Save (Salva).

  3. Nella pagina Server Protection, cliccare su Salva.

Installazione di file MSI

I file MSI sono pacchetti di installazione comunemente utilizzati per installare software su dispositivi Windows. Non sono file PE e per gestirli la Protezione dai file non autorizzati applica una logica speciale.

I file MSI non vengono bloccati, ma possono contenere file PE estratti ed eseguiti durante l’installazione. Se questi file PE non hanno punteggi della reputazione elevati, la Protezione dai file non autorizzati li blocca e l’installazione non viene completata. Anche se l’installazione viene completata, la Protezione dai file non autorizzati blocca i file PE installati se non hanno punteggi della reputazione elevati e se non trovano corrispondenza con l’elenco di autorizzazione del criterio.

I percorsi dei file MSI o le cartelle contenenti file MSI possono essere aggiunti all’elenco di autorizzazione e all’elenco di blocco del criterio. La Protezione dai file non autorizzati verifica se i file MSI trovano corrispondenza con questi elenchi quando decide se bloccare l’installazione o se autorizzare l’esecuzione dei file PE installati o dei file PE estratti durante l’installazione.