未授權檔案保護原則
!!! info 我們將把「鎖定」功能更名為「Sophos 未授權檔案防護 (SUFP)」。我們也新增了管理 SUFP 的新控制項。此變更不會影響您在現有鎖定原則中建立的允許或封鎖檔案與資料夾。我們鼓勵現有的伺服器鎖定客戶規劃過渡至未授權檔案保護方案,以充分利用其增強的功能。
注意
鎖定伺服器必須先解鎖,才能使用未授權檔案保護原則。有關解鎖伺服器的資訊,請參閱 伺服器摘要。
Sophos 未授權檔案防護 (SUFP) 會追蹤非特權程序所執行的檔案操作,這些操作包含建立、修改或移動可攜式執行檔 (PE) 檔案。它同時追蹤檔案硬連結的建立與資料夾的重新命名。
聲譽檢查
SUFP 採用 SophosLabs 所賦予的聲譽評級。聲譽分數顯示檔案的可信度。SUFP採用聲譽分數的機制如下:
-
具有高信譽度的本地檔案將被授權執行,除非其內容與原則封鎖清單中的項目相符。
管理員可運用應用程式控制原則,阻止來自合法且廣泛使用的應用程式的檔案執行。請參見 伺服器應用程式控管策略。
-
信譽度低至中等的本地檔案會被追蹤其變更。若未經授權的程序修改了檔案,SUFP 將阻止該檔案的執行。
-
凡符合 SUFP 原則封鎖清單的本地檔案,無論其聲譽如何(Sophos 及系統檔案除外),均將遭到封鎖。
注意
您可以透過 Sophos Endpoint Self Help (ESH) 工具檢查檔案的聲譽評分。欲了解更多資訊,請參閱檔案資訊。
有關聲譽評分的更多資訊,請參閱 請求最新情報。
設定未授權檔案保護原則
前往 我的產品 > Server > 原則。
若要設置原則,請按以下步驟操作:
- 前往 我的產品 > Server > 原則。
- 建立未經授權檔案保護原則。請參見 建立或編輯策略。
- 開啟原則的「設定」索引標籤頁,並根據需要進行配置。
啟用對未經授權之檔案變更的追蹤
啟用追蹤未經授權的檔案變更功能。
您可以選取以下設定之一:
-
監控未經授權之檔案的執行而不封鎖:啟用後,Sophos 端點會將未經授權檔案的執行行為回報至 Sophos Central,但不會阻擋該檔案。
您可利用這些資訊,在啟用「阻止未授權檔案執行」選項前,將必要檔案加入允許清單。
-
阻止未經授權檔案的執行:啟用後,Sophos 端點將阻止未經授權的檔案執行。
當執行程序遭阻擋時,您會看到來自 Sophos Endpoint Agent 的彈出訊息,告知使用者某個檔案已被阻擋。管理員可在「伺服器」中的「事件」索引標籤頁查看詳細資訊。參見 伺服器事件。
您可以在伺服器的「摘要」或「事件」索引標籤中查看最近封鎖檔案的相關事件。若要查看特定時間區間的事件記錄,請前往「報告」 > 「一般記錄」 > 「事件」。
Sophos EDR 或 XDR 客戶亦可使用自訂的即時偵測查詢,從資料sophos_unauthorized_actions_journal表中擷取所有可用的事件詳細資訊。
若要建立或編輯自訂查詢,請參閱 編輯或建立查詢。
要執行自訂查詢,請參閱 Live Discover。
已允許檔案/資料夾
您可以允許執行特定檔案,或允許執行特定資料夾及其子資料夾內的所有檔案。與此清單條目相符的檔案具有特權。
提示
我們建議您指定完整的檔案路徑。
要允許某個檔案或資料夾,請執行以下操作:
- 按一下 新增已允許檔案/資料夾。
- 選擇檔案或資料夾。
- 輸入檔案或資料夾的路徑。您可以使用萬用字元和變數。請參見 Windows 掃描排除項。
- 按一下 儲存。
已攔截檔案/資料夾
您可以阻止執行特定檔案,或阻止執行特定資料夾及其子資料夾內的所有檔案。
要封鎖檔案或資料夾,請依下列步驟操作:
- 按一下 新增已攔截檔案/資料夾。
- 選擇檔案或資料夾。
- 輸入檔案或資料夾的路徑。您可以使用萬用字元和變數。請參見 Windows 掃描排除項。
- 按一下 儲存。
MSI 檔案安裝程式
MSI 檔案是安裝程式,常用於在 Windows 裝置上安裝軟體。它們並非 PE 檔案,而 SUFP 會運用特殊邏輯來處理它們。
MSI 檔案本身不會被封鎖,但它們可能包含在安裝程式中被解壓縮並執行的 PE 檔案。若這些 PE 檔案的聲譽評分不高,SUFP 會將其封鎖,安裝程式便會失敗。即使安裝程序完成,若安裝的 PE 檔案未具備高信譽評分且不符合原則允許清單,SUFP 仍會封鎖該檔案。
可將 MSI 檔案路徑或包含 MSI 檔案的資料夾新增至原則允許/封鎖 清單。SUFP 在決定是否阻止安裝或允許執行已安裝的 PE 檔案,或在安裝過程中提取的 PE 檔案時,會檢查 MSI 檔案是否符合這些清單。