Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=unauthorized-file-protection

Política de Proteção contra arquivos não autorizados

Renomeamos Bloqueio para Sophos Unauthorized File Protection (SUFP)." Também adicionamos novos controles para gerenciar o SUFP. Essa mudança não afeta os arquivos e pastas permitidos ou bloqueados que você criou nas políticas de Bloqueio existentes.

O Sophos Unauthorized File Protection (SUFP) rastreia operações de arquivos realizadas por processos não privilegiados que criam, modificam ou movem arquivos Portable Executable (PE). Ele também rastreia a criação de links físicos de arquivos e a renomeação de pastas.  

Verificação de reputação

O SUFP utiliza a reputação que o SophosLabs atribui. A pontuação de reputação indica a confiabilidade de um arquivo. O SUFP usa pontuações de reputação da seguinte forma:

  • Arquivos locais com alta reputação são autorizados para execução, a menos que correspondam a itens na lista de bloqueio da política.

    Os administradores podem usar a política de Controle de Aplicativos para bloquear a execução de arquivos de aplicativos legítimos e amplamente utilizados. Consulte Política de controle de aplicativos de servidor.

  • Arquivos locais com reputação baixa a média são rastreados por alterações. O SUFP bloqueia a execução de arquivos se um processo não autorizado tiver modificado o arquivo.

  • Arquivos locais com qualquer reputação, exceto arquivos de sistema e da Sophos, são bloqueados se corresponderem à lista de bloqueio da política SUFP.

    Note

    Você pode verificar a pontuação de reputação de um arquivo usando a ferramenta Sophos Endpoint Self Help (ESH). Para obter mais informações, consulte Informações do Arquivo.

Para obter mais informações sobre pontuações de reputação, consulte Solicitar o mais recente Intelligence.

Configurar a política de Proteção contra arquivos não autorizados

Vá para Meus produtos > Server > Políticas.

Para configurar uma política, siga este procedimento:

  1. Vá para Meus produtos > Server > Políticas.
  2. Crie uma política de Proteção contra arquivos não autorizados. Consulte Criar ou editar uma política.
  3. Abra a guia Configurações da política e configure-a conforme necessário.

Ativar o rastreamento de alterações de arquivos não autorizadas

Ative Ativar o rastreamento de alterações de arquivos não autorizadas.

Você pode selecionar uma das seguintes configurações:

  • Monitorar a execução de arquivos não autorizados sem bloqueio: Quando ativado, o Sophos Endpoint relata a execução de um arquivo não autorizado para o Sophos Central sem bloqueá-lo.

    Você pode usar esses detalhes para adicionar arquivos necessários à lista de permissões antes de ativar a opção Bloquear a execução de arquivos não autorizados.

  • Bloquear a execução de arquivos não autorizados: Quando ativado, o Sophos Endpoint bloqueia a execução de arquivos não autorizados.

    Quando uma execução é bloqueada, você vê uma mensagem pop-up do Sophos Endpoint Agent que informa ao usuário que um arquivo foi bloqueado. Os administradores podem ver os detalhes na guia Eventos em Servidores. Consulte Eventos do servidor.

Você pode ver os eventos mais recentes de arquivos bloqueados na guia Resumo ou Eventos do servidor. Para ver relatórios de eventos em um intervalo de tempo específico, vá para Relatórios > Logs Gerais > Eventos.

Os clientes do Sophos EDR ou XDR também podem usar consultas personalizadas do Live Discover para recuperar todos os detalhes de eventos disponíveis da tabela sophos_unauthorized_actions_journal.

Para criar ou editar uma consulta personalizada, veja Editar ou criar consultas.

Para executar uma consulta personalizada, veja Live Discover.

Arquivos/pastas permitidos

Você pode permitir a execução de arquivos específicos ou todos os arquivos de pastas específicas ou suas subpastas. Arquivos que correspondem às entradas desta lista são privilegiados.

Tip

Recomendamos que você especifique caminhos de arquivo completos.

Para permitir um arquivo ou pasta, faça o seguinte:

  1. Clique em Adicionar arquivo/pasta permitido.
  2. Selecione Arquivo ou Pasta.
  3. Selecione o caminho do arquivo ou pasta. Você pode usar caracteres curinga e variáveis. Consulte Exclusões de varredura do Windows.
  4. Clique em Salvar.

Arquivos/pastas bloqueados

Você pode bloquear a execução de arquivos específicos ou todos os arquivos de pastas específicas ou suas subpastas.

Para bloquear um arquivo ou pasta, siga este procedimento:

  1. Clique em Adicionar arquivo/pasta bloqueado.
  2. Selecione Arquivo ou Pasta.
  3. Selecione o caminho do arquivo ou pasta. Você pode usar caracteres curinga e variáveis. Consulte Exclusões de varredura do Windows.
  4. Clique em Salvar.

Instalação de arquivo MSI

Os arquivos MSI são pacotes de instalação comumente usados para instalar softwares em dispositivos Windows. Eles não são arquivos PE, e o SUFP aplica uma lógica especial para manipulá-los.

Os arquivos MSI não são bloqueados, mas podem conter arquivos PE que são extraídos e executados durante a instalação. Se esses arquivos PE não tiverem altas pontuações de reputação, o SUFP os bloqueia e a instalação falha. Mesmo que a instalação seja concluída, o SUFP bloqueia arquivos PE instalados se não tiverem altas pontuações de reputação e não corresponderem à lista de permissão da política.

Caminhos de arquivos MSI ou pastas contendo arquivos MSI podem ser adicionados à lista de permissão da política e à lista de bloqueio. O SUFP verifica se os arquivos MSI correspondem a essas listas enquanto decide se bloqueia a instalação ou permite a execução de arquivos PE instalados ou arquivos PE extraídos durante a instalação.