跳至內容
部分或全部頁面已經過機器翻譯。

威脅防護原則

威脅防護能保護您的安全,使您免受惡意程式、危險檔案類型和網站,以及惡意網路資料流量的威脅。

注意

此頁面描述了端點電腦的原則設定。適用於伺服器的原則設定不同。

前往 我的產品 > Endpoint > 原則 以設定威脅防護。

若要設置原則,請按以下步驟操作:

  • 建立 安全威脅防護 原則。請參閱 建立或編輯策略
  • 開啟原則的 設定 索引標籤,按照如下所述對其進行設定。確保原則已開啟。

您可以使用預設設定或對其進行變更。

如果您變更此原則中的任何設定,並且想要找出預設值,請建立新的原則。您不需要儲存它,但它會顯示預設值。

注意

SophosLabs 可以獨立控制掃描哪些檔案。其可新增或移除特定檔案類型的掃描,以提供最佳防護。

建議設定

預設情況下,原則使用我們建議的設定。

這些設定提供了無需複雜設定即可擁有的最佳防護。它們提供以下功能:

  • 已知惡意程式偵測。
  • 雲端檢查,以便允許對 Sophos 已知的最新惡意程式的偵測。
  • 主動偵測以前未曾見過的惡意程式。
  • 自動清理惡意程式。

如果使用任何建議以外的設定,您會在原則設定頁面上看到警告。

變更建議的設定前務必謹慎,因為這樣做可能會降低防護。

Live Protection

Live Protection 可根據 SophosLabs 威脅資料庫檢查可疑檔案。這有助於偵測最新威脅並避免誤判。您可以按如下方式使用它:

  • 使用 Live Protection 在線上檢查來自 SophosLabs 的最新威脅資訊。此功能會在即時掃描期間檢查檔案。
  • 在排程掃描期間使用 Live Protection

關閉 Live Protection 會降低對您的保護,並且可能增加誤判。

若要查看我們的威脅資料庫,請前往 Sophos 威脅中心

深度學習

深度學習可以自動偵測威脅,特別是之前未曾見過的新威脅和未知威脅。它使用機器學習,不依賴特徵碼。

關閉深度學習會大幅降低對您的保護。

即時掃描 - 本地檔案、網路共享和抽取式媒體

即時掃描功能會在存取及更新檔案時檢查這些檔案有無已知的惡意軟體。它可以防止已知的惡意程式執行,並防止合法應用程式打開受感染的檔案。

預設情況下,本地檔案、遠端檔案 (透過網路存取) 以及透過 USB 連接的媒體會進行掃描。

遠端檔案 可讓您開啟或關閉遠端檔案掃描。

關閉這些選項可允許執行或存取已知的惡意軟體。

即時掃描 - 網路

即時掃描會在使用者嘗試存取網際網路資源時進行掃描。

掃描進行中的下載

此設定可控制我們在下載內容和頁面元素到達瀏覽器之前是否對其進行掃描。

  • HTTP 連線:我們會掃描所有元素和下載內容。
  • HTTPS 連線:除非您開啟 使用 SSL/TLS 解密網站,否則我們不會掃描任何元素。

攔截存取惡意網站

此設定會拒絕存取已知裝載惡意軟體的網站。

我們會進行信譽檢查,查看網站是否包含已知惡意內容 (SXL4 查閱)。如果您關閉 Live Protection,此檢查也會關閉。

  • HTTP 連線:檢查所有 URL,包括完整的 HTTP GET 請求。
  • HTTPS 連線:檢查基本網址 (SNI)。如果開啟 使用 SSL/TLS 解密網站,所有網址都會受到檢查,包括完整的 HTTP GET 請求。

偵測低信譽下載內容

此設定會根據檔案的來源、下載頻率等,檢查下載信譽。使用下列選項決定下載內容的處理方式。

要採取的動作 設定為 提示使用者:下載低信譽檔案時,使用者會看到警告。然後,他們可以信任或删除該檔案。這是預設設定。

信譽等級 設為下列其中一項:

  • 建議:低信譽檔案會自動遭到封鎖。這是預設設定。
  • 限制:中低信譽的下載內容會自動遭到封鎖,並報告給 Sophos Central。

如欲了解更多資訊,請參閱 下載信譽

補救

補救選項如下:

自動清理惡意軟體:Sophos Central 自動清理偵測到的惡意軟體,並記錄清理作業。您可以在 事件 清單中看到此內容。

限制

Windows 電腦會持續清理偵測到的項目,無論這項設定如何。您可以還原已在 Windows 上清除的項目。您無法在 Mac 上還原這些項目,但我們仍建議您在 Mac 上開啟自動清理功能。

當 Sophos Central 清理檔案時,它會從其目前位置移除檔案,並將其隔離在 SafeStore 中。檔案會保留在 SafeStore 中,直到得到允許或被移除,從而為新的偵測留出空間。您可以透過將在 SafeStore 中隔離的檔案新增到 允許的應用程式 來還原這些檔案。請參閱 許可的應用程式

SafeStore 具有以下預設限制:

  • 單個檔案限制為 100 GB。
  • 隔離大小的總限制為 200 GB。
  • 儲存檔案的數目上限為 2000。

啟用威脅圖表建立。這有助於您調查惡意軟體攻擊中的一系列事件。建議您開啟此功能,以便分析我們偵測到並阻止的攻擊。

執行階段防護

執行階段防護透過偵測可疑或惡意行為或資料流來防止受到威脅。

保護文件檔案免受勒索軟體威脅 (CryptoGuard)。此設定可以保護您免受惡意軟體的攻擊,這類惡意軟體會限制對檔案的存取,然後要求付費來釋放它們。此功能預設情況下已開啟。強烈建議您使其保持開啟。

您也可以使用這些選項:

  • 遠端執行勒索軟體的防護。這可確保整個網路的防護。建議您使其保持開啟。
  • 保護以免受加密檔案系統的攻擊。此設定可保護 64 位元裝置免受加密檔案系統的勒索軟體攻擊。選擇偵測到勒索軟體時要採取的動作。您可以終止勒索軟體處理序或將其隔離,使其停止寫入檔案系統。
  • 防止主開機記錄勒索軟體。此設定可保護裝置免受能將主開機記錄加密 (造成無法開機) 的勒索軟體攻擊,以及將硬碟抹除的攻擊。

保護 Web 瀏覽器的關鍵功能 (Safe Browsing)。此設定可保護您的 Web 瀏覽器免受惡意軟體透過 Web 瀏覽器進行的入侵。

在易受攻擊的應用程式中降低襲擊。此設定可以保護容易受到惡意軟體入侵的應用程式。您可以選取要保護哪些應用程式類型。

保護處理程序。這有助於防止惡意程式劫持合法應用程式。您可從以下選項中選擇:

  • 預防偽裝程序攻擊。也稱為「處理程序取代」或 DLL 植入。攻擊者通常使用此技術將惡意程式碼載入合法應用程式中,以嘗試略過安全軟體。

    關閉此設定會使攻擊者更容易略過您的安全軟體。

  • 預防從不受信任的資料夾載入 DLL。可以防止從不受信任的資料夾載入 DLL 檔案。

  • 防止憑證盜竊。防止記憶體、登錄或硬碟的密碼及雜湊資訊被竊取。
  • 防止使用程式碼漏洞。此設定可偵測被置入到另一個合法應用程式的惡意程式碼。
  • 防止 APC 違規。防止攻擊使用應用程式程序呼叫 (APC) 執行其程式碼。
  • 防止權限提升。防止攻擊將低權限處理序提升到高權限以存取系統。

動態 Shellcode 保護。此設定可偵測隱藏的遠端命令和控制代理程式的行為,並防止攻擊者取得網路的控制權。

驗證 CTF 協定呼叫程式。此設定會封鎖嘗試利用 CTF 中弱點的應用程式,CTF 是所有 Windows 版本中的一個元件。此弱點可讓非系統管理員的攻擊者劫持任何 Windows 進程,包括在沙箱中執行的應用程式。建議您開啟 驗證 CTF 通訊協定呼叫程式

防止側面載入不安全的模組。此設定可防止應用程式側載偽裝成 ApiSet Stub DLL 的惡意 DLL。ApiSet Stub DLL 充當一種 Proxy,用於維護較舊應用程式和較新作業系統版本之間的相容性。攻擊者可能會利用惡意 ApiSet Stub DLL 略過竄改防護,並阻止反惡意程式碼保護。

關閉此功能會大大降低對您的保護。

保護用於 MFA 登入的瀏覽器 Cookie。此設定可防止未經授權的應用程式解密用於加密多重要素驗證 (MFA) Cookie 的 AES 金鑰。

防止惡意指標連線至命令與控制伺服器。此設定可識別並封鎖企圖透過保持加密來逃避偵測的指標。

監控驅動程式 API 的使用。此設定可偵測濫用合法應用程式 (例如印表機或虛擬網路介面卡) 通常使用之 API,從而與核心模式程式碼互動的行為。

防止惡意使用 syscall 指令。此設定可阻止透過直接調用系統 API 來逃避監控的企圖。

預防硬體斷點濫用。此設定可防止濫用硬體斷點。

注意

此設定僅適用於您新增至新 Endpoint Protection 搶先試用計畫 (EAP) 的端點。

保護網路流量

  • 偵測命令與控制伺服器的惡意網路流量。這會檢測端點電腦與伺服器之間的流量,並指出可能嘗試控制該端點電腦的行為。
  • 使用封包檢查功能阻止惡意網路流量 (IPS)。這會在最低層級掃描流量,並在威脅損壞作業系統或應用程式之前封鎖威脅。此選項預設為關閉。

偵測惡意行為。此設定可防止目前尚未明確的威脅。它透過偵測並攔截已知具有惡意或可疑的行為來達到這一目的。

AMSI 防護。此設定可防止使用 Microsoft 反惡意程式碼掃描介面 (AMSI) 的惡意程式碼,例如 PowerShell 指令碼。

使用 AMSI 轉寄的程式碼會在執行之前接受掃描,如果存在威脅,端點會通知用於執行該程式碼的應用程式。如果偵測到威脅,則會記錄一次事件。

防止移除 AMSI 註冊。此設定可確保無法從電腦移除 AMSI。

自適應攻擊防護

當裝置受到攻擊時自動開啟額外防護。此設定可在偵測到攻擊時啟用一組更積極的防護措施。這些額外防護措施的目的是中斷攻擊者的行動。

您也可以永久開啟自適應攻擊防護功能。

  • 在安全模式下啟用防護。當裝置在安全模式下執行時,此設定將啟用 Sophos 防護。某些元件和功能 (如郵件中繼和更新快取) 在安全模式下不可用。
  • 封鎖安全模式濫用。此設定會偵測並封鎖表示攻擊者嘗試將裝置置於安全模式的活動。

進階設定

這些設置僅用於測試或疑難排解。我們建議您將這些選項設定為預設值。

封鎖 QUIC 瀏覽器連線

只有在您已加入搶先試用計畫時,才能使用此功能。

選取 封鎖 QUIC (快速 UDP 網際網路連線) 瀏覽器存取網站,以阻止這些連線。

啟用 QUIC 的瀏覽器可以略過我們對一些網站的網站檢查。封鎖 QUIC 可確保我們將 SSL/TLS 解密與檢查套用至這些網站。

預設情況下,此設定為關閉。

HTTPS 網站的 SSL/TLS 解密

只有在您已加入搶先試用計畫時,才能使用此功能。

使用 SSL/TLS 解密網站。此設定可讓裝置解密並檢查 HTTPS 網站的內容是否存在威脅。

如果我們解密了風險較高的網站,我們會加以封鎖。我們向使用者顯示一條訊息,並讓他們選擇將網站提交到 SophosLabs 進行重新評估。

具體方法

預設情況下,解密是關閉的。

如果套用至裝置的原則中開啟了 HTTPS 解密:

  • HTTPS 解密功能也會在該裝置上開啟,以進行 Web 控制項目檢查。
  • 即時掃描 - 網際網路 中的防護功能還可以查看完整的網站內容、下載內容和頁面網址

如果開啟此功能,將解密所有 HTTPS 流量,這可能會降低瀏覽速度。

HTTPS 解密排除項

預設情況下,我們排除某些網站類別(如銀行和網路郵件)進行解密。這是因為這些類別中的網站包含個人資訊。

您可以在一般設定中變更排除項。前往 我的產品 > 一般設定 > 一般 > HTTPS 網站的 SSL/TLS 解密

裝置隔離

選取此選項時,如果裝置回報其健康狀況為紅色,我們會將這些裝置從網路隔離。如果裝置偵測到威脅、軟體過期、不符合原則或未得到適當保護,則其安全狀態為紅色。

注意

Sophos Central 使用更廣泛的因素來判斷健康狀況。這可能意味著它會回報與裝置本身不同的裝置健康狀況。這不會影響隔離。Sophos 僅根據裝置是否提供紅色健康狀況來隔離裝置。

您仍然可以從 Sophos Central 管理隔離的裝置。您還可以使用掃描排除項或全域排除項來限制存取它們,以進行疑難排解。

您不能從隔離中移除這些裝置。您需要修正裝置的問題,並將其恢復為「綠色」健康狀態,我們才會將其從隔離狀態中移除。

建議您在套用此選項之前,先評估其對網路的影響。若要執行此操作,請在某個原則中將其打開,然後將原則套用至有代表性的範例裝置。

注意

當您的使用者裝置進入隔離狀態時,它們看似仍然能夠存取網路檔案。這是由於 Windows 的「始終離線可用」功能,該功能會建立映射網路磁碟機的本地副本,使用者可以在斷開連線時使用這些副本。此行為不會影響裝置隔離。

排程掃描

排程掃描按您指定的時間執行掃描。

具體方法

排程掃描是用於偵測惡意軟體的舊技術。現在我們擁有背景掃描功能,很少需要排程掃描。排程掃描會增加系統負載並顯著降低掃描速度。建議您非必要不要使用排程掃描。

您可以選取這些選項:

  • 啟用排程掃描:這使您可以定義要執行掃描的時間以及日期 (一或多日)。

    注意

    排程掃描時間是端點電腦上的時間 (不是 UTC 時間)。

  • 啟用深度掃描:如果選取此選項,將在排程掃描期間掃描封存。這可能會增加系統負載,並使掃描速度明顯變慢。

只有在電腦連線時,才會執行排程掃描。如果電腦在預定掃描時間離線,掃描將不會執行。系統將在下次預定時間開始掃描,前提是電腦已連線。

範例

您排程在星期一上午 3 點執行掃描。如果該時刻電腦處於離線狀態,掃描將被跳過,且當電腦稍後重新連線後不會再次執行。只要電腦處於連線狀態,掃描將在您下次預定時間執行。

掃描排除項

您可以從威脅掃描中排除檔案、資料夾、網站或應用程式。

在原則中設定的排除項僅用於套用了該原則的使用者和裝置。如果您要將排除項套用到所有使用者和裝置,請設定全域排除項。若要執行此操作,請前往 我的產品 > 一般設定 > 全域排除項

新增排除項可能會降低對您的保護。請小心使用。

有關使用排除項的說明,請參見 安全使用排除項

若要建立原則掃描排除項:

  1. 按一下 新增例外項目(在頁面右側)。

    會顯示 新增例外項目 對話方塊。

  2. 排除項類型 下拉式清單中,選取要排除的項目類型 (檔案或資料夾、網站、可能不需要的應用程式或裝置隔離)。

  3. 指定要排除的項目。以下規則適用於:

    • 可能不需要的應用程式 (Windows/Mac/Linux)。您可以排除通常被偵測為間諜軟體的應用程式。使用系統偵測到的同一名稱指定排除項,例如 "PsExec" 或 "Cain n Abel"。可在 Sophos 威脅中心 中尋找更多關於 PUA 的資訊。

      新增 PUA 排除項前務必謹慎,因為這樣做可能會降低防護。

    • 檔案或資料夾。在 有效範圍 下拉式清單中,指定排除項是否必須對即時掃描有效、對排程掃描有效,還是對兩者均有效。

    • 偵測到的漏洞 (Windows/Mac)。您可以使用偵測 ID 排除偵測到的入侵程式。如果您正在使用 Sophos Support 來解決誤判偵測,則可以使用此選項。Sophos Support 可以為您提供偵測 ID,然後您可以排除誤判偵測。為此,請按一下未列出的漏洞利用?並輸入 ID。
  4. 按一下 新增新增另一項。排除項新增到掃描排除項清單中。

此後若要編輯排除項,則在排除項清單中按一下其名稱,輸入新設定並按一下 更新

注意

如果您排除某個網站,我們不會檢查該網站的類別,並且該網站將不會受到 Web 控制措施的保護。請參閱 網頁控管策略

有關排除項的更多資訊,請參閱:

漏洞利用防護排除項目

您從針對安全漏洞的防護中排除應用程式。例如,您可能希望排除在問題解決前被不正確地偵測為威脅的應用程式。

新增排除項會降低您的保護。

建議您僅將包含排除項的原則套用於需要排除項的使用者和裝置。

注意

您只能爲 Windows 應用程式建立排除項。

若要建立原則來減少漏洞排除項,請依照以下步驟操作:

  1. 按一下 新增例外項目(在頁面右側)。

    會顯示 新增例外項目 對話方塊。

  2. 排除項目類型 中,選取 漏洞緩解和活動監控 (Windows)

    此時將顯示網路上受保護的應用程式清單。

  3. 選取您要排除的應用程式。

  4. 如果您沒有看到所需的應用程式,請按一下 未列出的應用程式。現在,您可以輸入應用程式的檔案路徑,將其排除在防護範圍之外。或者,可使用任何變數。
  5. 減緩下,從以下選項中進行選擇:

    • 關閉 防護應用程式。尚未檢查您所選的應用程式有無任何漏洞。
    • 持續開啟 防護應用程式 並選取您希望或不希望檢查的漏洞類型。
  6. 按一下 新增新增另一項

此後若要編輯排除項,則在排除項清單中按一下其名稱,輸入新設定並按一下 更新

有關弱點攻擊防護排除項的更多說明,請參見以下內容:

勒索軟體保護排除項

您可以排除應用程式或應用程式所用的資料夾,使其免受勒索軟體威脅。

您可能希望排除我們錯誤偵測為威脅應用程式或與勒索軟體保護不相容的應用程式。例如,如果您的應用程式會對資料加密,則可能需要將其排除。否則會讓我們無法將應用程式偵測為勒索軟體。

您可能還想排除應用程式使用的資料夾,這些資料夾在勒索軟體保護監控下顯示具有效能問題。例如,您可能想要排除備份應用程式所使用的資料夾。

新增排除項會降低您的保護。

限制

macOS 的勒索軟體防護不允許使用者指定的程序排除項目。您必須使用資料夾或應用程式的檔案路徑來新增排除項目。

我們建議您在原則中新增排除項,並僅將該原則指派給需要排除項的使用者和裝置。

若要建立原則勒索軟體保護排除項,請依照以下說明進行:

  1. 按一下 新增例外項目(在頁面右側)。

    會顯示 新增例外項目 對話方塊。

  2. 排除項類型中,選取勒索軟體保護 (Windows)勒索軟體保護 (Mac)

  3. 選擇要排除程序還是要排除資料夾。

    選擇 處理程序 以排除某個應用程式。

  4. 中,輸入要排除的處理程序或資料夾的路徑。

    您只能透過資料夾的本機路徑排除資料夾。不能透過其 UNC 格式的遠端路徑排除它,例如 \\servername\shared-folder

    排除處理程序或資料夾時,可以使用變數。

  5. 按一下 新增新增另一項

此後若要編輯排除項,則在排除項清單中按一下其名稱,輸入新設定並按一下 更新

有關勒索軟體防護排除項的更多說明,請參見 勒索軟體保護排除項

桌面訊息通知

桌面訊息通知 會向您傳送有關威脅防護事件的通知。此選項在預設情況下為開啟。

您可以輸入自己的訊息以新增至標準通知的結尾。