跳至內容

伺服器威脅防護策略

威脅防護能保護您的安全,使您免受惡意程式、危險檔案類型和網站,以及惡意網路資料流量的威脅。

限制

您只能在 Windows Server 上使用部分選項。

注意

如果某個選項被鎖定,則您的合作夥伴或企業管理員已套用全域設定。您仍可透過前往事件清單來停止偵測應用程式、漏洞和勒索軟體。

轉至 Server Protection > 策略 以設定威脅保護。

如欲設定原則,請依照以下動作執行:

  • 建立 安全威脅防護 策略。請參閱建立或編輯策略
  • 開啟策略的 設定 標籤,按照如下所述對其進行設定。確保原則已開啟。

您可以使用建議設定或對其進行變更。

則警告

變更推薦的設定前務必謹慎,因為這樣做可能會降低防護。

注意

SophosLabs 可以獨立控制掃描哪些檔案。其可新增或移除特定檔案類型的掃描,以提供最佳防護。

有關如何評估威脅的更多資訊,請參見 Sophos Threat Center

Intercept X Advanced for Server

如果您擁有此授權,則您的威脅防護策略可提供針對勒索軟體和漏洞的保護、免簽名威脅偵測以及用於分析威脅事件的「威脅圖表」。

我們建議您使用這些設定以獲取最大防護。

注意

若您開啟其中任一功能,指派給此原則的伺服器將會使用 Intercept X Advanced for Server 授權。

請參閱伺服器保護:Intercept X Advanced

Server Protection 預設設定

我們建議您讓這些設定保持開啟。這些設定提供了無需複雜設定即可擁有的最佳防護。

這些設定提供:

  • 已知惡意程式偵測。
  • 雲端檢查,以便允許對 Sophos 已知的最新惡意程式的偵測。
  • 主動偵測以前未曾見過的惡意程式。
  • 自動清理惡意程式。
  • 從掃描中自動排除已知應用程式的活動。

請參閱伺服器保護:預設設定

HTTPS 網站的 SSL/TLS 解密

如果您選擇使用 SSL/TLS 解密 HTTPS 網站,我們將解密並檢查 HTTPS 網站的內容是否存在威脅。

如果我們解密了風險較高的網站,我們會加以封鎖。我們向使用者顯示一條訊息,並讓他們選擇將網站提交到 SophosLabs 進行重新評估。

預設情況下,解密是關閉的。

注意

如果套用至某部裝置的威脅防護原則中開啟了解密,則該原則也將用於同一部裝置中的 Web 控制項檢查。

排程掃描

排程掃描按您指定的時間執行掃描。

預設情況下,伺服器開啟此掃描形式。

您可以選取這些選項:

  • 啟用排程掃描。這使您可以定義要執行掃描的時間以及日期(一日或多日)。

    注意

    排程掃描時間是端點電腦上的時間(不是 UTC 時間)。

  • 啟用深度掃描。如果選取此選項,將在排程掃描期間掃描封存。這可能會增加系統負載,並使掃描速度明顯變慢。

    注意

    掃描封存可能會增加系統負載,並使掃描速度明顯變慢。

掃描排除項

某些應用程式的活動會自動從即時掃描中排除。參閱 自動排除

您還可以從掃描中排除其他項目或其他應用程式的活動。您可能會這樣做,因為資料庫應用程式存取許多檔案,其會觸發許多掃描,並影響伺服器的效能。

提示

要為應用程式設定排除項,可以使用該選項從應用程式中排除執行的處理程序。這比排除檔案或資料夾更為安全。

我們仍然會檢查被排除的項目有無漏洞。但是,您可以停止檢測已經偵測到的漏洞(使用已偵測漏洞排除項)。

在策略中設定的排除項僅用於策略所適用的伺服器。

注意

如果您要將排除項套用到所有使用者和伺服器,請在 概觀 > 整體設定 > 全域排除項 頁面中設定全域排除項。

若要建立策略掃描排除項:

  1. 按一下 新增例外項目(在頁面右側)。

    會顯示 新增例外項目 對話方塊。

  2. 例外項目類型 下拉式清單中,選取要排除的項目類型(檔案或資料夾、處理程序、網站、可能不需要的應用程式)。

  3. 指定要排除的項目。以下規則適用於:

    • 檔案或資料夾 (Windows)。在 Windows 中,您可以按完整路徑排除磁碟機、資料夾或檔案。您可以使用萬用字元和變數。範例:
      • 資料夾:C:\programdata\adobe\photoshop\ (為資料夾新增斜線)
      • 整個磁碟機:D:
      • 檔案:C:\program files\program\*.vmg
    • 檔案或資料夾 (Linux)。在 Linux 中,您可以排除資料夾或檔案。您可使用萬用字元 ? 和 *。範例:/mnt/hgfs/excluded
    • 檔案或資料夾 (Sophos Security VM)。在受 Sophos 安全 VM 保護的 Windows 客體 VM 上,您可以按完整路徑排除磁碟機、資料夾或檔案,就像為其他 Windows 電腦進行排除一樣。您可以使用萬用字元 *,但僅可用於檔案名稱。

      注意

      預設情況下,排除項適用於受安全 VM 保護的所有客體 VM。對於一台或多台特定 VM 的排除項。

    • 程式 (Windows)。您可以從應用程式中排除任何執行的處理程序。這也會排除處理程序使用的檔案(但僅在處理程序存取時)。如果可能,請輸入應用程式的完整路徑,而不僅僅是工作管理器中顯示的處理程序名稱。範例:%PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe

      注意

      如遇檢視應用程式需要排除的所有處理程序或其他項目,請參閱應用程式廠商的文檔。

      注意

      您可以使用萬用字元和變數。

    • 網站 (Windows)。您可以將網站指定為 IP 位址、IP 位址範圍 (CIDR 標記法) 或網域。範例:

      • IP 位址:192.168.0.1
      • IP 位址範圍:192.168.0.0/24 後置的 /24 表示該範圍的所有 IP 位址公用前置中的位元數。因此,/24 等於網路遮罩 11111111.11111111.11111111.00000000。在我們的範例中,範圍包括所有以 192.168.0 開頭的 IP 位址。
      • 網域: google.com
    • 可能不需要的應用程式 (Windows)。您可以排除通常被偵測為間諜軟體的應用程式。使用系統偵測到的相同名稱指定排除項。可在 Sophos 威脅中心 中尋找更多關於 PUA 的資訊。
    • 偵測到的漏洞 (Windows/Mac)。您可以排除已經偵測到的任何漏洞。我們將不再針對受影響的應用程式偵測它,也不再封鎖該應用程式。

      注意

      這將為 Windows 伺服器上受影響的應用程式關閉對此漏洞的 CryptoGuard 勒索軟體防護。

    • AMSI 防護 (Windows)。在 Windows 中,您可以按完整路徑排除磁碟機、資料夾或檔案。我們不會在此位置掃描代碼。您可以將萬用字元 * 用於檔案名稱或擴展名。參閱Antimalware Scan Interface (AMSI)

    • 伺服器隔離 (Windows)。如果您註冊了 Intercept X Advanced for Server with XDR 的提前存取計劃,則裝置隔離(由管理員執行)可用於伺服器。

      您可以允許隔離的裝置與其他裝置進行有限的通訊。

      選取隔離的裝置是使用出埠還是入埠通訊,還是兩者都使用。

      使用以下一個或多個設定限制這些通訊:

      • 本機連接埠:任何裝置均可以在隔離裝置上使用此埠。
      • 遠端連接埠:隔離的裝置可以在任何裝置上使用此埠。
      • 遠端位址:隔離的裝置只能與具有此 IP 的裝置通訊。範例 1:您希望遠端桌面存取隔離的裝置,以便您可以進行疑難排解。

      • 選取 入埠連接

      • 本機連接埠 中,輸入埠號。範例 2:您希望轉到隔離的裝置並從伺服器下載清理工具。

      • 選取 出埠連接

      • 遠端位址 中,輸入伺服器的地址。
      • 僅對於檔案或資料夾排除項,在 啟用狀態,適用於: 下拉式清單中可指定排除項對於即時掃描、排程掃描或兩者是否應當有效。
      • 按一下 新增新增另一項。排除項新增到掃描排除項清單中。

此後若要編輯排除項,則在排除項清單中按一下其名稱,輸入新設定並按一下 更新

如需有關排除項的更多資訊,請參閱:

降低漏洞例外項目

您從針對安全漏洞的防護中排除應用程式。例如,您可能希望排除在問題解決前被不正確地偵測為威脅的應用程式。

新增排除項會降低您的保護。

使用全域選項新增排除項、概觀 > 整體設定 > 全域排除項、建立套用至所有使用者和裝置的排除項。

我們建議您使用此選項並將包含排除項的原則僅指派給那些需要排除項的伺服器。

注意

您只能爲 Windows 應用程式建立排除項。

若要建立原則降低漏洞排除項,請依照以下步驟操作:

  1. 按一下 新增例外項目(在頁面右側)。

    會顯示 新增例外項目 對話方塊。

  2. 例外項目類型 中,選取 降低漏洞 (Windows)

    此時將顯示網路上受保護的應用程式清單。

  3. 選取您要排除的應用程式。

  4. 如果您沒有看到所需的應用程式,請按一下 應用程式未列出?。現在,您可以輸入應用程式的檔案路徑,將其排除在保護範圍之外。或者使用任何變數。
  5. 減緩下,從以下選項中進行選擇:
    • 關閉保護應用程式。尚未檢查您所選的應用程式有無任何漏洞。
    • 持續開啟保護應用程式並選取您希望或不希望檢查的入侵類型。
  6. 按一下 新增新增另一項。排除項將新增至 全域排除項 頁面上的清單中。

    排除項僅適用於指派了此原則的伺服器。

    下載信譽

此後若要編輯排除項,則在排除項清單中按一下其名稱,輸入新設定並按一下 更新

勒索軟體保護排除項

您可以排除應用程式或應用程式所用的資料夾,使其免受勒索軟體威脅。

您可能希望排除我們錯誤偵測為威脅應用程式或與勒索軟體保護不相容的應用程式。例如,如果您的應用程序對資料進行了加密,則可能需要將其排除。否則會讓我們無法將應用程式偵測為勒索軟體。

或者,您可能想要排除特定應用程式所使用的顯示勒索軟體保護監控到的效能問題的資料夾。例如,您可能想要排除備份應用程式所使用的資料夾。

新增排除項會降低您的保護。

使用全域選項新增排除項、概觀 > 整體設定 > 全域排除項、建立套用至所有伺服器的排除項。

我們建議您使用此選項並將包含排除項的原則僅指派給那些需要排除項的伺服器。

若要建立原則勒索軟體保護排除項,請依照以下說明進行:

  1. 按一下 新增例外項目(在頁面右側)。

    會顯示 新增例外項目 對話方塊。

  2. 例外項目類型 中,選擇勒索軟體保護 (Windows)

  3. 選擇要排除程序還是要排除資料夾。
  4. 中,輸入要排除的程序或資料夾的路徑。

    您也可以使用此處的變數。請參閱入侵程式風險降低或勒索軟體排除項:萬用字元與變數

  5. 按一下 新增新增另一項。排除項將新增至 全域排除項 頁面上的清單中。

    排除項僅適用於指派了此原則的伺服器。

此後若要編輯排除項,則在排除項清單中按一下其名稱,輸入新設定並按一下 更新

注意

您只能爲 Windows 應用程式建立排除項。

桌面傳訊

您可以在標準通知的末端新增訊息。如果您留空訊息方塊,則僅會顯示標準訊息。

桌面傳訊 在預設情況下為開啟。

點選訊息方塊,然後輸入要新增的文字。

回到頁首