跳至內容
部分或全部頁面已經過機器翻譯。

威脅防護策略

威脅防護能保護您的安全,使您免受惡意程式、危險檔案類型和網站,以及惡意網路資料流量的威脅。

注意

此頁面描述了端點電腦的原則設定。適用於伺服器的策略設定不同。

轉至 我的產品 > Endpoint > 原則 以設定威脅保護。

如欲設定原則,請依照以下動作執行:

  • 建立 安全威脅防護 策略。請參閱建立或編輯策略
  • 開啟策略的 設定 標籤,按照如下所述對其進行設定。確保原則已開啟。

您可以使用預設設定或對其進行變更。

如果您變更此原則中的任何設定,並且想要找出預設值,請建立新的原則。您不需要將其儲存,但其會顯示預設值。

注意

SophosLabs 可以獨立控制掃描哪些檔案。其可新增或移除特定檔案類型的掃描,以提供最佳防護。

推薦設定

預設情況下,原則使用我們推薦的設定。

這些設定提供了無需複雜設定即可擁有的最佳防護。它們提供以下功能:

  • 已知惡意程式偵測。
  • 雲端檢查,以便允許對 Sophos 已知的最新惡意程式的偵測。
  • 主動偵測以前未曾見過的惡意程式。
  • 自動清理惡意程式。

如果使用任何推薦以外的設定,您會在原則設定頁面上看到警告。

變更推薦的設定前務必謹慎,因為這樣做可能會降低防護。

Live Protection

Live Protection 可根據 SophosLabs 威脅資料庫檢查可疑檔案。這有助於偵測最新威脅並避免誤判。您可以按如下方式使用它:

  • 使用 Live Protection 在線上檢查來自 Sophos 實驗室的最新威脅資訊。此功能會在即時掃描期間檢查檔案。
  • 在排程掃描期間使用 Live Protection

關閉 Live Protection 會降低對您的保護,並且可能增加誤判。

要查看我們的威脅資料庫,請移至 Sophos Threat Center

深度學習

深度學習可以自動偵測威脅,特別是之前未曾見過的新威脅和未知威脅。它使用機器學習,不依賴於簽名。

關閉深度學習會大幅降低對您的保護。

即時掃描 - 本機檔案及網路共用

即時掃描功能會在存取及更新檔案時檢查這些檔案有無已知的惡意軟體。它可以防止已知的惡意程式執行,並防止合法應用程式打開受感染的檔案。

預設情況下會掃描本機和遠端檔案(從網路存取的檔案)。

遠端檔案可讓您開啟或關閉遠端檔案掃描。

關閉這些選項可允許執行或存取已知的惡意軟體。

即時掃描 - 網路

即時掃描會在使用者嘗試存取網際網路資源時對其進行掃描。

掃描進行中的下載

此設定可控制我們在下載內容和頁面元素到達瀏覽器之前是否對其進行掃描。

  • HTTP 連線:我們會掃描所有元素和下載內容。
  • HTTPS 連線:除非您開啟使用 SSL/TLS 解密網站,否則我們不會掃描任何元素。

攔截存取惡意網站

此設定會拒絕存取已知裝載惡意軟體的網站。

我們會進行信譽檢查,以查看網站是否已知裝載惡意內容(SXL4 查閱)。如果您關閉 Live Protection,此檢查也會關閉。

  • HTTP 連線:檢查所有 URL,包括完整的 HTTP GET 請求。
  • HTTPS 連線:檢查基本 URL (SNI)。如果開啟使用 SSL/TLS 解密網站,所有 URL 都會受到檢查,包括完整的 HTTP GET 請求。

偵測低信譽下載內容

此設定會根據檔案的來源、下載頻率等,檢查下載信譽。使用下列選項決定下載內容的處理方式。

要採取的動作設定為提示使用者:下載低信譽檔案時,終端使用者會看到警告。然後,他們可以信任或刪除該檔案。這是預設設定。

信譽等級設為下列其中一項:

  • 建議:低信譽檔案會自動遭到封鎖。這是預設設定。
  • 限制:中低信譽的下載內容會自動遭到封鎖,並報告給 Sophos Central。

如欲瞭解更多資訊,請參閱下載信譽

校正

補救選項如下:

自動清理惡意軟體:Sophos Central 自動清理偵測到的惡意軟體,並記錄清理作業。您可以在事件清單中看到此內容。

限制

Windows 電腦始終清理偵測到的項目,無論這項設定如何。您只能在 Mac 上關閉自動清理功能。

當 Sophos Central 清理檔案時,它會從其目前位置移除檔案,並將其隔離在 SafeStore 中。檔案會保留在 SafeStore 中,直到得到允許或被移除,從而為新的偵測留出空間。您可以透過將在 SafeStore 中隔離的檔案新增到允許的應用程式來還原這些檔案。請參閱許可的應用程式

SafeStore 具有以下預設限制:

  • 單個檔案限制為 100 GB。
  • 隔離大小的總限制為 200 GB。
  • 儲存檔案的數目上限為 2000。

啟用威脅圖表建立。這有助於您調查惡意軟體攻擊中的一系列事件。建議您開啟此功能,以便分析我們偵測到並阻止的攻擊。

執行階段保護

執行階段保護透過偵測可疑或惡意行為或資料流來防止受到威脅。

保護文件檔案免受勒索軟體威脅 (CryptoGuard)。此設定可以保護您免受惡意軟體的攻擊,這類惡意軟體會限制對檔案的存取,然後要求付費來釋放它們。此功能預設情況下已開啟。強烈建議您使其保持開啟狀態。

您也可以使用這些選項:

  • 遠端執行 ransomware 的防護。這可確保整個網路的保護。建議您使其保持開啟狀態。
  • 保護以免受加密檔案系統的攻擊。此設定可保護 64 位元裝置免受加密檔案系統的勒索軟體攻擊。選擇偵測到勒索軟體時要採取的動作。您可以終止勒索軟體處理序或將其隔離,以使其停止寫入檔案系統。
  • 防止主開機記錄勒索軟體。此設定可保護裝置免受能將主開機記錄加密(造成無法開機)的勒索軟體攻擊,以及將硬碟抹除的攻擊。

保護網頁瀏覽器的關鍵功能(安全瀏覽)。此設定可保護您的網頁瀏覽器免受惡意軟體透過網頁瀏覽器進行的入侵。

在易受攻擊的應用程式中降低襲擊。此設定可以保護容易受到惡意軟體入侵的應用程式。您可以選取要保護哪些應用程式類型。

保護程序。這有助於防止惡意程式劫持合法應用程式。您可從以下選項中選擇:

  • 預防偽裝程序攻擊。也稱為「進程取代」或 DLL 導入。攻擊者通常使用此技術將惡意程式碼載入合法應用程式中,以嘗試略過安全軟體。

    關閉此設定會使攻擊者更容易略過您的安全軟體。

  • 預防從不受信任的資料夾載入 DLL。這樣可以防止從不受信任的資料夾載入 DLL 檔案。

  • 防止憑證盜竊。這防止記憶體、登錄或硬碟的密碼及雜湊資訊受竊取。
  • 防止使用代碼漏洞。此設定可偵測被置入到另一個合法應用程式的惡意程式碼。
  • 防止 APC 違反情況。這防止攻擊使用應用程式程序呼叫 (APC) 執行其程式碼。
  • 防止權限提升。這防止攻擊將低權限處理序提升到高權限以存取系統。

動態 Shellcode 保護。此設定可偵測隱藏的遠端命令和控制代理程式的行為,並防止攻擊者取得您網路的控制權。

驗證 CTF 協定調用者。此設定會封鎖嘗試利用 CTF 中弱點的應用程式,CTF 是所有 Windows 版本中的一個元件。此弱點可讓非系統管理員的攻擊者劫持任何 Windows 進程,包括在沙箱中執行的應用程式。建議您開啟驗證 CTF 通訊協定呼叫者

防止側面載入不安全的模塊。此設定可防止應用程式側載偽裝成 ApiSet Stub DLL 的惡意 DLL。ApiSet Stub DLL 充當一種 Proxy,用於維護較舊應用程式和較新作業系統版本之間的相容性。攻擊者可能會利用惡意 ApiSet Stub DLL 略過竄改防護,並阻止反惡意程式碼保護。

關閉此功能會大大降低對您的保護。

保護用於 MFA 登入的瀏覽器 Cookie。此設定可防止未經授權的應用程式解密用於加密多重要素驗證 (MFA) Cookie 的 AES 金鑰。

防止惡意指標連線至命令與控制伺服器。此設定可識別並封鎖企圖透過保持加密來逃避偵測的指標。

保護網路資料流

  • 偵測命令與控制伺服器的惡意網路流量。此功能可以偵測端點計算機和伺服器之間的資料流,表現出一種可能控制端點計算機的企圖。
  • 使用封包檢查功能阻止惡意網路流量 (IPS)。這會在最低層級掃描資料流,並在威脅可以損壞作業系統或應用程式之前封鎖威脅。

偵測惡意行為。此設定可防止目前尚未明確的威脅。它透過偵測並攔截已知具有惡意或可疑的行為來達到這一目的。

AMSI 防護。此設定可防止使用 Microsoft 反惡意程式碼掃描介面 (AMSI) 的惡意程式碼(例如,PowerShell 指令碼)。

使用 AMSI 轉寄的程式碼會在執行之前接受掃描,如果存在威脅,端點會通知用於執行該程式碼的應用程式。如果偵測到威脅,則會記錄一次事件。

防止移除 AMSI 註冊。此設定可確保無法從電腦移除 AMSI。

自適應攻擊防護

當裝置受到攻擊時自動開啟額外保護。此設定可在檢測到攻擊時啓用一組更積極的保護。這些額外的保護旨在中斷攻擊者的行爲。

進階設定

這些設置僅用於測試或疑難排解。我們建議您將這些選項設定為預設值。

阻止QUIC瀏覽器連接

選取封鎖 QUIC(快速 UDP 網際網路連線)瀏覽器存取網站,以阻止這些連線。

啟用 QUIC 的瀏覽器可以略過我們對一些網站的網站檢查。封鎖 QUIC 可確保我們將 SSL/TLS 解密與檢查套用至這些網站。

預設情況下,此設定為關閉。

HTTPS 網站的 SSL/TLS 解密

使用 SSL/TLS 解密網站。此設定可讓裝置解密並檢查 HTTPS 網站的內容是否存在威脅。

如果我們解密了風險較高的網站,我們會加以封鎖。我們向使用者顯示一條訊息,並讓他們選擇將網站提交到 SophosLabs 進行重新評估。

預設情況下,解密是關閉的。

如果套用至裝置的原則中開啟了 HTTPS 解密:

  • HTTPS 解密功能也會在該裝置上開啟,以進行 Web 控制項檢查。
  • 即時掃描 - 網際網路中的保護功能還可以查看完整的網站內容、下載內容和頁面 URL

如果開啟此功能,將解密所有 HTTPS 流量,這可能會降低瀏覽速度。

HTTPS 解密排除項

預設情況下,我們會將某些網站類別排除在解密之外。這些類別包含個人資訊,如銀行和網路郵件網站。

您可以在全域設定中變更排除項。移至我的產品 > 一般設定 > 一般 > HTTPS 網站的 SSL/TLS 解密

裝置隔離

選取此選項時,如果裝置將其健康狀況報告為紅色,我們會將這些裝置從網路隔離。如果裝置偵測到威脅、軟體過期、不符合策略或未得到適當保護,則其安全狀態為紅色。

注意

Sophos Central 使用更廣泛的要素來判斷健康狀況。這可能意味著它會報告與裝置本身不同的裝置健康狀況。這不會影響隔離。Sophos 僅根據裝置提供的紅色健康狀況來隔離裝置。

您仍然可以從 Sophos Central 管理隔離的裝置。您還可以使用掃描排除項或全域排除項來限制存取它們以進行疑難排解。

您不能從隔離中移除這些裝置。您需要修正裝置的問題,並將其恢復為「綠色」健康狀態,以便我們將其從隔離狀態中移除。

建議您在套用此選項之前,先評估其對網路的影響。要執行此操作,請在某個原則中將其打開,然後將原則套用至有代表性的裝置範例。

排程掃描

排程掃描按您指定的時間執行掃描。

排程掃描是用於偵測惡意軟體的舊技術。現在我們擁有背景掃描功能,很少需要排程掃描。排程掃描會增加系統負載並顯著降低掃描速度。建議您非必要不要使用排程掃描。

您可以選取這些選項:

  • 啟用排程掃描:這使您可以定義要執行掃描的時間以及日期(一日或多日)。

    注意

    排程掃描時間是端點電腦上的時間(不是 UTC 時間)。

  • 啟用深度掃描:如果選取此選項,將在排程掃描期間掃描封存。這可能會增加系統負載,並使掃描速度明顯變慢。

掃描排除項目

您可以從威脅掃描中排除檔案、資料夾、網站或應用程式。

在原則中設定的排除項僅用於套用了該原則的使用者和裝置。如果您要將排除項套用到所有使用者和裝置,請設定全域排除項。要執行此操作,請移至 我的產品 > 一般設定 > 全域排除項

新增排除項可能會降低對您的保護。請小心使用。

有關使用排除項的說明,請參見 安全使用排除項

若要建立策略掃描排除項:

  1. 按一下 新增例外項目(在頁面右側)。

    會顯示 新增例外項目 對話方塊。

  2. 例外項目類型 下拉式清單中,選取要排除的項目類型(檔案或資料夾、網站、可能不需要的應用程式或裝置隔離)。

  3. 指定要排除的項目。以下規則適用於:

    • 可能不需要的應用程式 (Windows/Mac/Linux)。您可以排除通常被偵測為間諜軟體的應用程式。使用系統偵測到的同一名稱指定排除項,例如 "PsExec" 或 "Cain n Abel"。可在 Sophos 威脅中心 中尋找更多關於 PUA 的資訊。

      新增 PUA 排除項前務必謹慎,因為這樣做可能會降低防護。

    • 檔案或資料夾。在有效範圍下拉式清單中,指定排除項是否必須對即時掃描有效、對排程掃描有效,還是對兩者均有效。

    • 偵測到的漏洞 (Windows/Mac)。您可以使用偵測 ID 排除偵測到的入侵程式。如果您正在使用 Sophos Support 來解決誤判偵測,則可以使用此選項。Sophos Support 可以為您提供偵測 ID,然後您可以排除誤判偵測。為此,請按一下未列出入侵程式?並輸入 ID。
  4. 按一下 新增新增另一項。排除項新增到掃描排除項清單中。

此後若要編輯排除項,則在排除項清單中按一下其名稱,輸入新設定並按一下 更新

注意

如果您排除了某個網站,我們不會檢查該網站的類別,並且該網站將不會受到 Web 控制項保護。請參閱網頁控管策略

如需有關排除項的更多資訊,請參閱:

降低漏洞例外項目

您從針對安全漏洞的防護中排除應用程式。例如,您可能希望排除在問題解決前被不正確地偵測為威脅的應用程式。

新增排除項會降低您的保護。

建議您僅將包含排除項的原則套用於需要排除項的使用者和裝置。

注意

您只能爲 Windows 應用程式建立排除項。

若要建立原則降低漏洞排除項,請依照以下步驟操作:

  1. 按一下 新增例外項目(在頁面右側)。

    會顯示 新增例外項目 對話方塊。

  2. 例外項目類型 中,選取 降低漏洞 (Windows)

    此時將顯示網路上受保護的應用程式清單。

  3. 選取您要排除的應用程式。

  4. 如果您沒有看到所需的應用程式,請按一下 應用程式未列出?。現在,您可以輸入應用程式的檔案路徑,將其排除在保護範圍之外。或者使用任何變數。
  5. 減緩下,從以下選項中進行選擇:

    • 關閉保護應用程式。尚未檢查您所選的應用程式有無任何漏洞。
    • 持續開啟保護應用程式並選取您希望或不希望檢查的入侵類型。
  6. 按一下 新增新增另一項

此後若要編輯排除項,則在排除項清單中按一下其名稱,輸入新設定並按一下 更新

有關弱點攻擊防護排除項的更多說明,請參見以下內容:

勒索軟體保護排除項

您可以排除應用程式或應用程式所用的資料夾,使其免受勒索軟體威脅。

您可能希望排除我們錯誤偵測為威脅應用程式或與勒索軟體保護不相容的應用程式。例如,如果您的應用程序對資料進行了加密,則可能需要將其排除。否則會讓我們無法將應用程式偵測為勒索軟體。

您可能還想排除應用程式使用的資料夾,這些資料夾在勒索軟體保護監控下顯示具有效能問題。例如,您可能想要排除備份應用程式所使用的資料夾。

新增排除項會降低您的保護。

我們建議您在原則中新增排除項,並僅將該原則指派給需要排除項的使用者和裝置。

若要建立原則勒索軟體保護排除項,請依照以下說明進行:

  1. 按一下 新增例外項目(在頁面右側)。

    會顯示 新增例外項目 對話方塊。

  2. 排除項類型中,選取勒索軟體保護 (Windows)勒索軟體保護 (Mac)

  3. 選擇要排除程序還是要排除資料夾。

    選擇程序以排除某個應用程式。

  4. 中,輸入要排除的程序或資料夾的路徑。

    您只能透過資料夾的本機路徑排除資料夾。不能透過其 UNC 格式的遠端路徑排除它,例如 \\servername\shared-folder

    排除進程或資料夾時,可以使用變數。

  5. 按一下 新增新增另一項

此後若要編輯排除項,則在排除項清單中按一下其名稱,輸入新設定並按一下 更新

有關勒索軟體保護排除項的更多說明,請參見 勒索軟體保護排除項

桌面傳訊

桌面傳訊會向您傳送有關威脅保護事件的通知。此選項在預設情況下為開啟。

您可以輸入自己的訊息以新增至標準通知的結尾。