跳至內容
最後更新: 2022-05-03

威脅防護策略

威脅防護能保護您的安全,使您免受惡意程式、危險檔案類型和網站,以及惡意網路資料流量的威脅。

注意

此頁面描述了工作站使用者的原則設定。適用於伺服器的策略設定不同。

轉至 Endpoint Protection > 策略 以設定威脅保護。

如欲設定原則,請依照以下動作執行:

  • 建立 安全威脅防護 策略。請參閱建立或編輯策略
  • 開啟策略的 設定 標籤,按照如下所述對其進行設定。確保原則已開啟。

您可以使用建議設定或對其進行變更。您可以在"設定威脅保護"中找到有關如何設定威脅保護原則的影片。

如果您變更此原則中的任何設定,並且想要找出預設值,請建立新的原則。您不需要將其儲存,但其會顯示預設值。

注意

SophosLabs 可以獨立控制掃描哪些檔案。其可新增或移除特定檔案類型的掃描,以提供最佳防護。

注意

如果某個選項被鎖定,則您的合作夥伴或企業管理員已套用全域設定。您仍可透過前往事件清單來停止偵測應用程式、漏洞和勒索軟體。

使用建議設定

則警告

變更推薦的設定前務必謹慎,因為這樣做可能會降低防護。

如果您希望使用我們建議的設定,請按一下 使用建議設定。這些設定提供了無需複雜設定即可擁有的最佳防護。

如果我們將來變更建議,我們會自動使用新設定更新您的策略。

建議設定提供了:

  • 已知惡意程式偵測。
  • 雲端檢查,以便允許對 Sophos 已知的最新惡意程式的偵測。
  • 主動偵測以前未曾見過的惡意程式。
  • 自動清理惡意程式。

設定威脅保護

本影片說明如何設定威脅保護原則並包含我們針對最佳做法所提出的建議。

即時防護

會根據 SophosLabs 資料庫中的最新惡意程式資訊即時防護檢查可疑檔案。參閱Sophos Threat Center

您可以選取這些選項:

  • 使用即時防護在線上檢查來自 Sophos 實驗室的最新威脅資訊。此功能會在即時掃描期間檢查檔案。
  • 在排程掃描期間使用即時防護

Deep Learning

Deep Learning 會使用進階機器學習偵測威脅。無須使用特徵比對檔,即可識別已知及先前未知的惡意軟體與可能不需要的應用程式。

Deep Learning 僅限 Sophos Intercept X 提供。

即時掃描 - 本機檔案及網路共用

即時掃描會在使用者嘗試存取檔案時對其進行掃描。如果檔案不含病讀,它會允許存取。

根據預設值會掃描本機檔案。您也可以選擇此選項:

  • 遠端檔案:此項會掃描網路上的共用檔案。

即時掃描 - 網路

即時掃描會在使用者嘗試存取網際網路資源時對其進行掃描。參閱下載信譽。您可以選取這些選項:

  • 掃描進行中的下載
  • 攔截存取惡意網站:這會拒絕存取已知含有惡意程式的網站。
  • 偵測低信譽檔案:警告終端使用者注意是否下載信譽較低。該信譽基於檔案的來源、下載頻率以及其他因素。您可以指定:
    • 針對低信譽下載採取行動:如果選取 提示使用者,使用者在下載低信譽檔案時會看到警告。然後,他們可以信任或刪除該檔案。這是預設設定。
    • 信譽等級:如果選取 限制,則會偵測中等信譽和低信譽檔案。預設設定為 建議

校正

校正選項包括:

  • 自動清理惡意軟體:Sophos Central 將嘗試自動清理偵測到的惡意程式。

    如果清理成功,偵測到惡意軟體的警示會從警示清單中刪除。偵測與清理會在事件清單中顯示。

    注意

    我們始終會清理諸如應用程式、庫和系統檔案等 PE (可攜式執行檔) 檔案,即使您關閉自動清理功能。PE 檔案已隔離,如果小於 50MB,您可以還原它們。

  • 啟用威脅圖表建立:透過威脅圖表,您可以調查惡意軟體攻擊中的事件鏈,並識別可以提高安全性的區域。

即時防護

限制

您必須加入提前存取計劃才能使用部分選項。

執行階段保護透過偵測可疑或惡意行為或資料流來防止受到威脅。您可以選取:

  • 保護來自 Ransomware 的文件檔案 (CryptoGuard):此功能可以防止文件檔案受到惡意軟體的威脅,惡意軟體會限制對檔案的存取,然後要求付費來釋放它們。您還可以選取保護 64 元電腦免受從遠端位置執行的勒索軟體的威脅。
  • 保護以免受加密檔案系統的攻擊:這樣可保護電腦免受加密檔案系統的勒索軟體攻擊。選擇偵測到勒索軟體時要採取的動作。您可以終止勒索軟體處理序或將其隔離,以使其停止寫入檔案系統。
  • 防止主開機記錄勒索軟體:可保護電腦避免能將主開機紀錄加密(造成無法開機)的勒索軟體,以及將硬碟抹除的攻擊。
  • 保護網頁瀏覽器的關鍵功能 (安全瀏覽):此功能可以保護您的網頁瀏覽器以防其受到惡意軟體的利用。
  • 在易受攻擊的應用程式中降低襲擊:此功能可以保護最容易受到惡意軟體利用的應用程式。您可以選取要保護哪些應用程式類型。
  • 防護程序:這有助於防止惡意程式劫持合法應用程式。您可以選取這些選項:
    • 預防偽裝程序攻擊。這樣可以防止處理序替換攻擊。
    • 預防從不受信任的資料夾載入 DLL。這樣可以防止從不受信任的資料夾載入 DLL 檔案。
    • 防止憑證盜竊。這防止記憶體、登錄或硬碟的密碼及雜湊資訊受竊取。
    • 防止使用代碼漏洞。這偵測被置入到另一個合法應用程式的惡意程式碼。
    • 防止 APC 違反情況。這防止攻擊使用應用程式程序呼叫 (APC) 執行其程式碼。
    • 防止權限提升。這防止攻擊將低權限處理序提升到高權限以存取系統。
  • 保護網路資料流。您可以選取這些選項:
    • 偵測命令與控制伺服器的惡意網路流量。此功能可以偵測端點計算機和伺服器之間的資料流,表現出一種可能控制端點計算機的企圖。
    • 使用封包檢查功能阻止惡意網路流量 (IPS)。這會在最低層級掃描資料流,並在威脅可以損壞作業系統或應用程式之前封鎖威脅。
  • 偵測惡意行為 (HIPS):此功能用以防止出現尚未明確的威脅。它透過偵測並攔截已知具有惡意或可疑的行為來達到這一目的。

  • 偵測惡意行為: 此功能用以防止出現尚未明確的威脅。它透過偵測並攔截已知具有惡意或可疑的行為來達到這一目的。

  • AMSI Protection(增強對指令碼型威脅的掃描):這會使用 Microsoft 反惡意程式掃描介面 (AMSI) 防止惡意代碼(例如,PowerShell 指令碼)。使用 AMSI 轉寄的代碼會在執行之前進行掃描,並且 Sophos 會通知用於執行該代碼的應用程式。如果偵測到威脅,則會記錄一次事件。您可以防止電腦上的 AMSI 註冊刪除。參閱Antimalware Scan Interface (AMSI)

進階設定

這些設置僅用於測試或疑難排解。我們建議您將這些選項設定為預設值。

HTTPS 網站的 SSL/TLS 解密

如果您選擇使用 SSL/TLS 解密網站,我們將解密並檢查 HTTPS 網站的內容是否存在威脅。

如果我們解密了風險較高的網站,我們會加以封鎖。我們向使用者顯示一條訊息,並讓他們選擇將網站提交到 SophosLabs 進行重新評估。

預設情況下,解密是關閉的。

注意

如果套用至某部裝置的威脅防護原則中開啟了解密,則該原則也將用於同一部裝置中的 Web 控制項檢查。

裝置隔離

如果選取此選項,當裝置的安全狀態為紅色時,則會將其自身與網路隔離。如果裝置偵測到威脅、軟體過期、不符合策略或未得到適當保護,則其安全狀態為紅色。

您仍然可以從 Sophos Central 管理隔離的裝置。您還可以使用掃描排除項或全域排除項來限制存取它們以進行疑難排解。

您不能從隔離中移除這些裝置。當電腦的安全狀態為綠色時,其將重新與網路通訊。

排程掃描

排程掃描按您指定的時間執行掃描。

您可以選取這些選項:

  • 啟用排程掃描:這使您可以定義要執行掃描的時間以及日期(一日或多日)。

    注意

    排程掃描時間是端點電腦上的時間(不是 UTC 時間)。

  • 啟用深度掃描:如果選取此選項,將在排程掃描期間掃描封存。這可能會增加系統負載,並使掃描速度明顯變慢。

    注意

    掃描封存可能會增加系統負載,並使掃描速度明顯變慢。

掃描排除項

您可以從威脅掃描中排除檔案、資料夾、網站或應用程式,如下所述。

我們仍然會檢查被排除的項目有無漏洞。但是,您可以停止檢測已經偵測到的漏洞(使用已偵測漏洞排除項)。

在策略中設定的排除項僅用於策略所適用的使用者。

注意

如果您要將排除項套用到所有使用者和伺服器,請設定全域排除項。為此,請前往 整體設定 > 全域排除項

若要建立策略掃描排除項:

  1. 按一下 新增例外項目(在頁面右側)。

    會顯示 新增例外項目 對話方塊。

  2. 例外項目類型 下拉式清單中,選取要排除的項目類型(檔案或資料夾、網站、可能不需要的應用程式或裝置隔離)。

  3. 指定要排除的項目。
  4. 僅對於檔案或資料夾排除項,在 啟用狀態,適用於: 下拉式清單中可指定排除項對於即時掃描、排程掃描或兩者是否必定有效。
  5. 按一下 新增新增另一項。排除項新增到掃描排除項清單中。

此後若要編輯排除項,則在排除項清單中按一下其名稱,輸入新設定並按一下 更新

如需有關排除項的更多資訊,請參閱:

降低漏洞例外項目

您從針對安全漏洞的防護中排除應用程式。例如,您可能希望排除在問題解決前被不正確地偵測為威脅的應用程式。

新增排除項會降低您的保護。

使用全域選項新增排除項、概觀 > 整體設定 > 全域排除項、建立套用至所有使用者和裝置的排除項。

我們建議您使用此選項,並將包含排除項的原則僅指派給需要排除項的使用者和裝置。

注意

您只能爲 Windows 應用程式建立排除項。

若要建立原則降低漏洞排除項,請依照以下步驟操作:

  1. 按一下 新增例外項目(在頁面右側)。

    會顯示 新增例外項目 對話方塊。

  2. 例外項目類型 中,選取 降低漏洞 (Windows)

    此時將顯示網路上受保護的應用程式清單。

  3. 選取您要排除的應用程式。

  4. 如果您沒有看到所需的應用程式,請按一下 應用程式未列出?。現在,您可以輸入應用程式的檔案路徑,將其排除在保護範圍之外。或者使用任何變數。
  5. 減緩下,從以下選項中進行選擇:
    • 關閉保護應用程式。尚未檢查您所選的應用程式有無任何漏洞。
    • 持續開啟保護應用程式並選取您希望或不希望檢查的入侵類型。

  6. 按一下 新增新增另一項。排除項將新增至 全域排除項 頁面上的清單中。

    排除項僅適用於指派了此原則的使用者或裝置。

此後若要編輯排除項,則在排除項清單中按一下其名稱,輸入新設定並按一下 更新

勒索軟體保護排除項

您可以排除應用程式或應用程式所用的資料夾,使其免受勒索軟體威脅。

您可能希望排除我們錯誤偵測為威脅應用程式或與勒索軟體保護不相容的應用程式。例如,如果您的應用程序對資料進行了加密,則可能需要將其排除。否則會讓我們無法將應用程式偵測為勒索軟體。

或者,您可能想要排除特定應用程式所使用的顯示勒索軟體保護監控到的效能問題的資料夾。例如,您可能想要排除備份應用程式所使用的資料夾。

新增排除項會降低您的保護。

使用全域選項新增排除項、概觀 > 整體設定 > 全域排除項、建立套用至所有使用者和裝置的排除項。

我們建議您使用此選項,並將包含排除項的原則僅指派給需要排除項的使用者和裝置。

若要建立原則勒索軟體保護排除項,請依照以下說明進行:

  1. 按一下 新增例外項目(在頁面右側)。

    會顯示 新增例外項目 對話方塊。

  2. 例外項目類型 中,選擇勒索軟體保護 (Windows)

  3. 選擇要排除程序還是要排除資料夾。

  4. 中,輸入要排除的程序或資料夾的路徑。

    您也可以使用此處的變數。請參閱入侵程式風險降低或勒索軟體排除項:萬用字元與變數

  5. 按一下 新增新增另一項。排除項將新增至 全域排除項 頁面上的清單中。

    排除項僅適用於指派了此原則的使用者或裝置。

此後若要編輯排除項,則在排除項清單中按一下其名稱,輸入新設定並按一下 更新

限制

您只能爲 Windows 應用程式建立排除項。

桌面傳訊

注意

您必須關閉 使用建議設定 以設定 桌面傳訊

您可以在標準通知的末端新增訊息。如果您留空訊息方塊,則僅會顯示標準訊息。

桌面傳訊 在預設情況下為開啟。

點選訊息方塊,然後輸入要新增的文字。

回到頁首