未經授權的文件保護策略

!!! info “我們已將伺服器鎖定更名為未經授權的文件保護。”新增了用於管理未經授權文件保護的控制功能。這些變更不會影響您在現有伺服器鎖定策略中建立的允許或封鎖的檔案和資料夾。我們鼓勵現有的伺服器鎖定使用者規劃向未經授權檔案保護的過渡，以便享受其改進的功能。

注意

必須先解鎖鎖定的伺服器，才能使用未經授權的檔案保護原則。有關解鎖伺服器的信息，請參閱伺服器摘要。

未經授權的檔案保護功能會追蹤非特權程序執行的檔案操作，這些操作包括建立、修改或移動可移植可執行檔 (PE) 檔案。它還會追蹤檔案硬連結的建立和資料夾的重命名。

信譽檢查

未經授權的文件保護功能利用了 SophosLabs 賦予的信譽。信譽評分錶示文件的可信度。未經授權的文件保護功能使用信譽評分，具體如下：

除非本地文件中的條目與原則阻止清單中的條目匹配，否則信譽度高的文件將被授權執行。

管理員可以使用應用程式控制原則來阻止合法且廣泛使用的應用程式執行檔。請參見伺服器應用程式控管策略。
信譽度較低或中等的本地文件會被追蹤更改。未經授權的文件保護功能會在未經授權的程序修改文件時阻止文件執行。
除了Sophos和系統文件之外，任何信譽度的本機文件，如果與未經授權的文件保護策略的阻止清單匹配，都會被阻止。

注意

您可以使用Sophos Endpoint Self Help (ESH) 工具檢查文件的信譽評分。有關更多信息，請參閱文件資訊。

有關信譽評分的更多信息，請參閱請求最新情報。

前往 我的產品 > Server > 原則。

若要設置原則，請按以下步驟操作：

啟用追蹤未經授權的文件變更。

您可以選取以下設定之一：

監控未經授權之檔案的執行而不封鎖：啟用後， Sophos Endpoint 會將未經授權的文件的執行情況報告給Sophos Central ，但不會阻止該執行。

您可以利用這些詳細信息，在啟用“阻止執行未經授權的文件”選項之前，將必要的文件添加到允許列表中。
阻止執行未經授權的文件：啟用後， Sophos Endpoint 會阻止未經授權的檔案執行。

當執行被封鎖時， Sophos Endpoint Agent會彈出一則訊息，告知使用者某個檔案已被封鎖。管理員可以在伺服器的「事件」索引標籤中查看詳細資訊。請參見伺服器事件。

您可以在伺服器摘要或事件索引標籤中查看最近發生的封鎖檔案事件。若要查看特定時間間隔內的事件報告，請前往「報告」 > “常規日誌” > “事件” 。

Sophos EDR或 XDR 客戶還可以使用自訂 Live Discover 查詢從中檢索所有可用的事件詳細資訊。sophos_unauthorized_actions_journal桌子。

若要建立或編輯自訂查詢，請參閱編輯或建立查詢。

若要執行自訂查詢，請參閱Live Discover 。

您可以允許執行特定檔案或特定資料夾或其子資料夾中的所有檔案。與此清單中的條目相符的項目享有特權。

提示

我們建議您指定完整的檔案路徑。

若要允許某件物品，請依下列步驟操作：

您可以封鎖執行特定檔案或特定資料夾及其子資料夾中的所有檔案。

若要封鎖檔案或資料夾，請依照下列步驟操作：

MSI 檔案是常用的安裝包，用於在 Windows 裝置上安裝軟體。它們不是 PE 文件，未經授權的文件保護功能會應用特殊邏輯來處理它們。

MSI 文件不會被阻止，但它們可能包含 PE 文件，這些文件會在安裝過程中被提取並執行。如果這些 PE 檔案的信譽評分不高，未經授權的檔案保護功能會阻止它們，導致安裝失敗。即使安裝完成，如果已安裝的 PE 檔案信譽評分不高且與原則允許清單不匹配，則「未授權檔案保護」功能也會阻止這些檔案。

可以將 MSI 檔案路徑或包含 MSI 檔案的資料夾新增至原則允許清單和封鎖清單。未授權檔案保護功能會檢查 MSI 檔案是否與這些清單匹配，以決定是否阻止安裝或允許執行已安裝的 PE 檔案或在安裝過程中提取的 PE 檔案。