Server Threat Protection

Threat Protection schützt Sie vor Schadsoftware, unsicheren Dateitypen und Websites sowie bösartigem Netzwerkdatenverkehr.

Die SophosLabs können selbst bestimmen, welche Dateien gescannt werden. Sie können die Überprüfung bestimmter Dateitypen hinzufügen oder entfernen, um den bestmöglichen Schutz zu gewährleisten.

Sie können entweder die empfohlenen Einstellungen verwenden oder diese ändern.

Für weitere Informationen, wie wir Bedrohungen bewerten, siehe Adware und PUAs.

Intercept X Advanced for Server

Wenn Sie die Lizenz besitzen, bietet Ihre Threat Protection-Richtlinie Schutz vor Ransomware und Exploits, signaturfreie Threat Detection sowie Ursachenanalyse von Bedrohungsereignissen.

Wir empfehlen, dass Sie diese Einstellungen für optimalen Schutz verwenden.

Wenn Sie eine dieser Funktionen aktivieren, verwenden Server, die dieser Richtlinie zugewiesen sind, eine Intercept X Advanced für Server-Lizenz.

Siehe Intercept X Advanced for Server.

Server-Protection-Standardeinstellungen

Wir empfehlen, diese Einstellungen aktiv zu belassen. Diese Einstellungen bieten Ihnen optimalen Schutz, ohne dass Sie eine komplexe Konfiguration durchführen müssen. Siehe Einstellungen für Threat-Protection-Server.

Diese Einstellungen bieten:

• Erkennung bekannter Malware.
• Überprüfungen in der Cloud zur Erkennung der aktuellsten Malware, die Sophos bekannt ist.
• Proaktive Erkennung von Malware, die zum ersten Mal erkannt wird.
• Automatische Bereinigung von Malware.
• Automatischer Scan-Ausschluss von Aktivitäten bekannter Anwendungen.

Live Protection

Live Protection überprüft verdächtige Dateien durch Abgleich mit der Bedrohungsdatenbank von SophosLabs. So können Sie die neuesten Bedrohungen erkennen und falsch positive Erkennungen verhindern.

Verwenden Sie Live Protection, um die neuesten Informationen zu Bedrohungen online von SophosLabs abzurufen: Mit dieser Option werden Dateien im Rahmen des Echtzeit-Scans überprüft.

Wenn Sie unsere Bedrohungsdatenbank aufrufen möchten, gehen Sie zu Adware und PUAs.

Deep Learning

Deep Learning erkennt Bedrohungen automatisch, insbesondere neue und unbekannte Bedrohungen, die bisher nicht erkannt wurden. Es verwendet Machine-Learning-Techniken und ist nicht von Signaturen abhängig.

Echtzeit-Scans – Lokale Dateien und gemeinsam genutzte Dateien im Netzwerk

Echtzeit-Scans überprüfen Dateien auf bekannte Schadsoftware, wenn sie aufgerufen und aktualisiert werden. Es verhindert, dass bekannte Schadsoftware ausgeführt wird und infizierte Dateien von legitimen Programmen geöffnet werden.

Scan ermöglicht standardmäßig das Scannen lokaler und Remote-Dateien (Dateien, auf die über das Netzwerk zugegriffen wird) in Echtzeit.

Wählen Sie Lokal, wenn Sie nur Dateien auf dem Gerät scannen möchten.

• beim Lesen: Die Dateien werden gescannt, wenn sie geöffnet werden.
• beim Schreiben: Die Dateien werden gescannt, wenn sie gespeichert werden.

Scannen aktivieren für Server Protection for Linux Agent: Diese Option bietet Echtzeit-Scans auf Linux-Geräten.

Echtzeit-Scans - Internet

Beim Echtzeit-Scan werden Internetquellen gescannt, während der Benutzer auf diese zugreifen.

Laufende Downloads scannen

Diese Einstellung steuert, ob Downloads und Seiteninhalte gescannt werden, bevor sie den Browser erreichen.

• HTTP-Verbindungen: Wir scannen alle Elemente und Downloads.
• HTTPS-Verbindungen: Wir scannen keine Elemente, es sei denn, Sie aktivieren die Funktion Websites mit SSL/TLS entschlüsseln.

Zugriff auf schädliche Websites blockieren

Diese Einstellung verweigert den Zugriff auf Websites, die dafür bekannt sind, Schadsoftware bereitzustellen.

Wir führen eine Reputationsprüfung durch, um zu ermitteln, ob die Website schädliche Inhalte bereitstellt (SXL4-Suche). Wenn Sie Live Protection deaktivieren, wird auch diese Prüfung deaktiviert.

• HTTP-Verbindungen: Alle URLs werden geprüft, einschließlich vollständiger HTTP-GET-Anforderungen.
• HTTPS-Verbindungen: Die Basis-URLs werden mit Server Name Indication (SNI) überprüft. Wenn Sie Websites mit SSL/TLS entschlüsseln aktivieren, werden alle URLs geprüft, einschließlich vollständiger HTTP GET-Anforderungen.

Downloads mit geringer Reputation erkennen

Mit dieser Einstellung wird die Reputation des Downloads basierend auf der Quelle der Datei, der Häufigkeit des Downloads usw. geprüft. Verwenden Sie die folgenden Optionen, um zu entscheiden, wie Downloads gehandhabt werden.

Legen Sie als Zu ergreifende Maßnahme Benutzer aufzufordern fest: Endbenutzer erhalten eine Warnung, wenn sie eine Datei mit geringer Reputation herunterladen. Sie können die Datei dann als vertrauenswürdig einstufen oder löschen. Diese Option ist voreingestellt.

Legen Sie eine der folgenden Reputationsstufen fest:

• Empfohlen: Dateien mit geringer Reputation werden automatisch blockiert. Diese Option ist voreingestellt.
• Streng: Downloads mit mittlerer und geringer Reputation werden automatisch blockiert und an Sophos Central gemeldet.

Weitere Informationen zu den Reputationsstufen finden Sie unter Download-Reputation.

Echtzeit-Scans - Optionen

Aktivitäten bekannter Aufwendungen automatisch ausschließen: Diese Einstellung schließt weit verbreitete Anwendungen aus, basierend auf den Empfehlungen deren Anbieter.

Weitere Informationen finden Sie unter Automatisch ausgeschlossene Fremdanbieterprodukte

Beseitigung

Bedrohungsgraph-Erstellung aktivieren: So können Sie die Ereigniskette bei einem Malware-Angriff untersuchen. Wir empfehlen Ihnen, dies einzuschalten, damit Sie Angriffe analysieren können, die wir erkannt und gestoppt haben.

Sophos Central bereinigt erkannte Elemente automatisch auf Windows-Computern und Linux-Geräten, auf denen Sophos Protection for Linux ausgeführt wird. Sophos Central entfernt die Datei aus ihrem aktuellen Speicherort und verschiebt sie in den SafeStore. Dateien verbleiben im SafeStore, bis sie zugelassen oder entfernt werden, um Platz für neue Erkennungen zu schaffen. Sie können Dateien, die im SafeStore unter Quarantäne gestellt wurden, wiederherstellen, indem Sie sie den Erlaubten Anwendungen hinzufügen. Siehe Erlaubte Anwendungen.

SafeStore hat die folgenden Standardgrenzwerte:

• Die maximale Dateigröße beträgt 100 GB.
• Die maximale Quarantänegröße beträgt insgesamt 200 GB.
• Es werden maximal 2000 Dateien gespeichert.

Laufzeitschutz

Der Laufzeitschutz schützt vor Bedrohungen, indem verdächtiges oder schädliches Verhalten bzw. verdächtiger oder schädlicher Traffic erkannt wird.

Dokumente vor Ransomware schützen (CryptoGuard): Diese Einstellung schützt vor Schadsoftware, die den Zugriff auf Dateien unterbindet und für deren Freigabe Lösegeld fordert. Die Funktion ist standardmäßig aktiviert. Wir empfehlen, dass Sie sie nicht deaktivieren.

Sie können auch die folgenden Optionen verwenden:

• Vor Ausführen von Ransomware per Fernzugriff schützen: Dadurch wird der Schutz im gesamten Netzwerk gewährleistet. Wir empfehlen, diese Einstellung nicht zu deaktivieren.
• Vor Encrypting File System-Angriffen schützen: Dies schützt 64-Bit-Geräte vor Ransomware, die das Dateisystem verschlüsselt. Wenn Ransomware erkannt wird, können Sie auswählen, welche Maßnahme ausgeführt werden soll. Sie können Ransomware-Prozesse beenden oder isolieren, um sie daran zu hindern, in das Dateisystem zu schreiben.

Schutz vor Master Boot Record-Ransomware: Hiermit wird das Gerät vor Ransomware geschützt, die den Master Boot Record verschlüsselt (und somit das Hochfahren verhindert), sowie vor Angriffen, bei denen die Festplatte gelöscht wird.

Kritische Funktionen in Webbrowsern schützen (sicheres Surfen): Diese Einstellung schützt Ihre Webbrowser vor der Ausnutzung durch Schadsoftware über Ihren Webbrowser.

Exploits in Anwendungen mit Sicherheitslücken abschwächen: Diese Einstellung schützt Anwendungen, die besonders anfällig für Schadsoftware sind. Sie können festlegen, welche Anwendungstypen geschützt werden sollen.

Prozesse schützen: Hiermit wird der Missbrauch legitimer Anwendungen durch Malware verhindert. Sie können aus folgenden Optionen wählen:

• Process Hollowing Angriffe verhindern: Wird auch als „Prozessersatz“ oder DLL-Injektion bezeichnet. Angreifer nutzen diese Technik häufig, um schädlichen Code in eine legitime Anwendung zu laden und zu versuchen, Sicherheitssoftware zu umgehen.

  Wenn Sie diese Einstellung deaktivieren, kann ein Angreifer Ihre Sicherheitssoftware leichter umgehen.

• Laden von DLLs aus nicht vertrauenswürdigen Ordnern verhindern: Dies schützt vor einem Laden von DLL-Dateien aus nicht vertrauenswürdigen Verzeichnissen.

• Zugangsdatendiebstahl verhindern: Dies verhindert den Diebstahl von Kennwörtern und Hash-Informationen aus Speicher, Registry oder von der Festplatte.
• Rückgriff auf Code-Cave verhindern: Erkennt Schadcode, der in eine andere, legitime Anwendung eingeschleust wurde.
• APC-Verstoß verhindern: Verhindert Angriffe, bei denen Application Procedure Calls (APC) für die Ausführung von deren Code genutzt werden.
• Rechteausweitung verhindern: Verhindert Angriffe, bei denen der Angreifer versucht, höhere Rechte zu bekommen, um sich Zugang zu Ihren Systemen zu verschaffen.

Dynamischer Shellcode-Schutz: Diese Einstellung erkennt das Verhalten verdeckter Command-and-Control-Agents und verhindert, dass Angreifer sich Kontrolle über Ihre Netzwerke verschaffen.

CTF Protocol Caller validieren: Diese Einstellung blockiert Anwendungen, die versuchen, eine Sicherheitsanfälligkeit in CTF auszunutzen, einer Komponente in allen Versionen von Windows. Die Sicherheitsanfälligkeit ermöglicht einem Nicht-Administrator-Angreifer, beliebige Windows-Prozesse zu übernehmen, einschließlich Anwendungen, die in einer Sandbox ausgeführt werden. Wir empfehlen, die Option CTF Protocol Caller validieren zu aktivieren.

Side-Loading unsicherer Module verhindern: Diese Einstellung verhindert das Sideloading einer schädlichen DLL, die sich als ApiSet-Stub-DLL ausgibt, durch eine Anwendung. ApiSet-Stub-DLLs dienen als Proxy, um die Kompatibilität zwischen älteren Anwendungen und neueren Betriebssystemversionen aufrechtzuerhalten. Angreifer können bösartige ApiSet-Stub-DLLs verwenden, um den Manipulationsschutz zu umgehen und den Schutz vor Schadsoftware zu beenden.

Für die MFA-Anmeldung verwendete Browser-Cookies schützen: Diese Einstellung verhindert, dass nicht autorisierte Anwendungen den AES-Schlüssel entschlüsseln, der zur Verschlüsselung von MFA-Cookies (Multi-Faktor-Authentifizierung) verwendet wird.

Die schädliche Verwendung von syscall-Befehlen verhindern: Diese Einstellung blockiert Versuche, die Überwachung durch direkte Aufrufe an System-APIs zu umgehen.

Missbrauch von Hardware-Breakpoints verhindern: Diese Einstellung verhindert den Missbrauch von Hardware-Breakpoints.

Netzwerkdatenverkehr schützen

• Verbindungen zu schädlichen Command-and-Control-Servern erkennen: Erkennung von Datenverkehr zwischen einem Endpoint-Computer und einem Server, der auf einen möglichen Versuch hinweist, die Kontrolle über den Endpoint-Computer zu übernehmen.
• Schädlichen Netzwerkverkehr mit Packet Inspection (IPS) verhindern: Dabei wird Datenverkehr auf niedrigster Ebene überprüft und Bedrohungen werden blockiert, bevor diese Schaden am Betriebssystem oder an Anwendungen anrichten können. Diese Option ist standardmäßig deaktiviert.

Linux-Laufzeit-Erkennungen: Diese Einstellung ermöglicht Ihnen Transparenz sowie Bedrohungserkennungen während der Laufzeit für Linux-Server-Workloads und -Container. Sie können diese Alerts im Bedrohungsanalyse-Center verwalten. Siehe Erkennungen.

Das Verbinden schädlicher Beacons mit Command-and-Control-Servern verhindern: Diese Einstellung identifiziert und blockiert Beacons, die versuchen, die Erkennung zu umgehen, indem sie verschlüsselt bleiben.

Verwendung von Treiber-APIs überwachen: Diese Einstellung erkennt den versuchten Missbrauch von APIs, die normalerweise von legitimen Anwendungen wie Druckern oder virtuellen Netzwerkadaptern verwendet werden, um mit Kernel-Modus-Code zu interagieren.

Erkennung schädlichen Verhaltens: Diese Einstellung schützt Sie vor Bedrohungen, die noch nicht bekannt sind. Dies gelingt durch die Erkennung und Blockierung von Verhaltensweisen, die als bösartig oder verdächtig bekannt sind.

AMSI-Schutz: Diese Einstellung schützt über das Microsoft Antimalware Scan Interface (AMSI) vor Schadcode (wie etwa PowerShell-Skripts).

Über AMSI weitergeleiteter Code wird vor der Ausführung gescannt. Der Endpoint benachrichtigt die Anwendungen, die den Code ausführen, über Bedrohungen. Wenn eine Bedrohung erkannt wird, wird ein Ereignis protokolliert.

Entfernen der AMSI-Registrierung verhindern: Diese Einstellung stellt sicher, dass AMSI nicht von Ihren Computern entfernt werden kann.

Domänen-Controller-Ereignisse überwachen: Diese Einstellung bietet zusätzliche Einblicke und Schutz vor Angriffen auf Domänen-Controller, wie z. B. PetitPotam. Diese Einstellung ist standardmäßig aktiviert.

Sophos Security Heartbeat aktivieren: Mit dieser Einstellung werden Berichte über den Server-Sicherheitsstatus an jede Sophos Firewall gesendet, die in Ihrem Sophos-Central-Konto registriert ist. Falls mehrere Firewalls registriert sind, werden die Berichte an die nächstgelegene verfügbare Firewall gesendet. Wenn aus einem Bericht hervorgeht, dass ein Server möglicherweise manipuliert wurde, kann die Firewall dessen Zugriff beschränken.

Adaptive Attack Protection

Automatisch zusätzliche Schutzmaßnahmen aktivieren, wenn ein Gerät angegriffen wird: Diese Einstellung bewirkt aggressivere Schutzmaßnahmen, wenn ein Angriff erkannt wird. Diese zusätzlichen Schutzmaßnahmen zielen darauf ab, die Aktionen eines Angreifers zu unterbrechen.

Sie können die Funktionen der Adaptive Attack Protection auch dauerhaft aktivieren.

• Schutz im abgesicherten Modus aktivieren: Diese Einstellung aktiviert den Sophos-Schutz, wenn Geräte im abgesicherten Modus ausgeführt werden. Einige Komponenten und Funktionen, wie Message-Relays und Update-Caches, sind im abgesicherten Modus nicht verfügbar.
• Missbrauch des sicheren Modus blockieren: Diese Einstellung erkennt und blockiert Aktivitäten, die darauf hindeuten, dass ein Angreifer versucht, das Gerät in den abgesicherten Modus zu versetzen.

Erweiterte Einstellungen

Diese Einstellungen dienen nur zum Testen oder zur Fehlerbehebung. Wir empfehlen, diese Einstellungen auf den Standardwerten zu belassen.

QUIC-Browserverbindungen blockieren

Wählen Sie QUIC-Browserzugriffe (Quick UDP Internet Connections) auf Webseiten blockieren, um diese Verbindungen zu verhindern.

Browser, bei denen QUIC aktiviert ist, können für manche Seiten die Webseitenkontrolle umgehen. Durch das Blockieren von QUIC wird sichergestellt, dass die SSL/TLS-Entschlüsselung und -Prüfung auf diesen Websites angewendet wird.

Standardmäßig ist diese Einstellung deaktiviert.

SSL/TLS-Entschlüsselung von HTTPS-Websites

Wenn Sie HTTPS-Websites mittels SSL/TLS entschlüsseln auswählen, entschlüsseln wir den Inhalt von HTTPS-Websites und prüfen diesen auf Bedrohungen.

Wenn wir eine unsichere Website entschlüsseln, blockieren wir diese. Der Benutzer wird hierüber benachrichtigt und kann die Website zur weiteren Prüfung an die SophosLabs senden.

Die Entschlüsselung ist standardmäßig deaktiviert.

Wenn die HTTPS-Entschlüsselung in der Richtlinie für ein Gerät aktiviert ist, gilt Folgendes:

• Die HTTPS-Entschlüsselung ist auch für Web-Control-Prüfungen auf diesem Gerät aktiviert.
• Die Schutzfunktionen in Echtzeit-Scans – Internet können auch den vollständigen Inhalt der Website, Downloads und Seiten-URLs anzeigen.

HTTPS-Entschlüsselungs-Ausschlüsse

Standardmäßig schließen wir einige Website-Kategorien, wie Banking und Webmail, von der Entschlüsselung aus. Das liegt daran, dass Websites in diesen Kategorien personenbezogene Daten enthalten.

Sie können die Ausschlüsse in den allgemeinen Einstellungen ändern. Gehen Sie zu Meine Produkte > Allgemeine Einstellungen > Allgemein > SSL/TLS-Entschlüsselung von HTTPS-Websites.

Echtzeit-Scans für Linux

Wenn Sie Scannen aktivieren für Server Protection for Linux Agent auswählen, werden die Dateien gescannt, während Benutzer versuchen, auf sie zuzugreifen. Zugriff wird gewährt, wenn die Datei schadfrei ist.

Standardmäßig sind Echtzeit-Scans für Linux deaktiviert.

Geplante Scans

Geplante Scans werden zu einer bestimmten Uhrzeit oder zu Zeiten durchgeführt, die Sie festlegen.

Geplante Scans sind möglicherweise nicht erforderlich, wenn Echtzeit-Scans aktiviert sind. Allerdings können sie für verschiedene Anwendungsfälle, einschließlich der Überprüfung älterer Dateien und der Unterstützung bei Sicherheitsanalysen, immer noch nützlich sein. Wir empfehlen, geplante Scans außerhalb der Spitzenzeiten durchzuführen, um mögliche Auswirkungen auf die Systemlast zu minimieren. Verwenden Sie außerdem Echtzeit-Scans, die Dateien scannen, während sie aufgerufen oder geändert werden, anstatt sich nur auf Intervalle für geplante Scans zu verlassen. Siehe Echtzeit-Scans – Lokale Dateien und gemeinsam genutzte Dateien im Netzwerk.

Sie können folgende Optionen auswählen:

• Geplanten Scan aktivieren: Sie können eine Uhrzeit und einen oder mehrere Tage festlegen, an welchen der Scan ausgeführt werden soll.

  Die Uhrzeit des geplanten Scans entspricht der Uhrzeit auf dem Endpoint-Computer (keine UTC-Zeit).

• Intensivscans aktivieren: Wenn Sie diese Option aktivieren, werden beim geplanten Scan auch Archive gescannt. Hierdurch kann sich die Systemlast erhöhen, wodurch sich der Scanvorgang eventuell erheblich verlangsamt.

Ausschlüsse

Sie können Dateien, Ordner, Websites und Anwendungen von der Überprüfung auf Bedrohungen ausschließen, wie unten beschrieben.

Ausgeschlossene Elemente werden weiterhin auf Exploits überprüft. Sie können die Überprüfung auf einen bereits erkannten Exploit jedoch unterbinden. Verwenden Sie einen Ausschluss für Erkannte Exploits.

Ausschüsse, die in einer Richtlinie festgelegt sind, werden nur für die Benutzer verwendet, für die die Richtlinie gilt.

So erstellen Sie einen Scan-Ausschluss für Richtlinien:

1. Klicken Sie auf Ausschluss hinzufügen (rechts auf der Seite).

   Das Dialogfeld Ausschluss hinzufügen wird angezeigt.

2. Wählen Sie in der Dropdownliste Ausschlusstyp einen Elementtyp aus, der ausgeschlossen werden soll (Datei oder Ordner, Website, potenziell unerwünschte Anwendung oder Computer-Isolation).

3. Geben Sie das Element oder die Elemente ein, die Sie ausschließen möchten.
4. Bei Ausschlüssen von Dateien oder Ordnern geben Sie in der Dropdownliste Aktiv für an, ob der Ausschluss für Echtzeit-Scans, geplante Scans oder beide gelten soll.
5. Klicken Sie auf Hinzufügen oder Weitere hinzufügen. Der Ausschluss wird der Liste der Scan-Ausschlüsse hinzugefügt.

Um einen Ausschluss später zu bearbeiten, wählen Sie diesen in der Ausschlussliste aus, geben Sie neue Einstellungen ein und klicken Sie auf Aktualisieren.

Scan-Ausschlüsse

Sie können Dateien, Ordner, Websites und Anwendungen vom Scan nach Bedrohungen ausschließen.

Ausschlüsse, die in einer Richtlinie festgelegt sind, werden nur für diejenigen Server verwendet, für die die Richtlinie gilt.

Für Hilfe bei der Verwendung von Ausschlüssen siehe Sichere Verwendung von Ausschlüssen.

So erstellen Sie einen Scan-Ausschluss:

1. Klicken Sie unter Ausschlüsse auf Ausschluss hinzufügen.
2. Wählen Sie auf dem Dialogfeld Ausschluss hinzufügen unter Ausschlusstyp einen auszuschließenden Elementtyp aus (Datei oder Ordner, Website, potenziell unerwünschte Anwendung oder Geräte-Isolation).

3. Geben Sie das Element oder die Elemente ein, die Sie ausschließen möchten. Es gelten folgende Regeln:

   • Datei oder Ordner (Windows): Unter Windows können Sie ein Laufwerk, einen Ordner oder eine Datei über ihren vollständigen Pfad ausschließen. Sie können Wildcards und Variablen verwenden. Siehe folgende Beispiele:

     • Ordner: C:\programdata\adobe\photoshop\
     • Gesamtes Laufwerk: D:
     • Dateien: C:\program files\program\*.vmg

   • Datei oder Ordner (Linux): Auf Linux können Sie ein Laufwerk, einen Ordner oder eine Datei ausschließen. Sie können die Platzhalter ? und * verwenden. Beispiel: /mnt/hgfs/excluded.

   • Prozess (Windows): Sie können jeden Prozess einer Anwendung ausschließen. Dadurch werden auch die Dateien, die vom Prozess verwendet werden, ausgeschlossen (aber nur, wenn dieser Prozess darauf zugreift). Falls möglich, geben Sie den vollständigen Pfad der Anwendung und nicht nur den Prozessnamen an, der im Task-Manager angezeigt wird. Beispiel: %PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe.

     Hinweis

     Um alle Prozesse oder Elemente zu sehen, die Sie für eine Anwendung ausschließen müssen, schlagen Sie bitte in der Herstellerdokumentation der Anwendung nach.

   • Website (Windows): Sie können Websites als IP-Adresse, IP-Adressbereiche (in CIDR Notation) oder Domäne angeben. Beispiele:

     • IP-Adresse: 192.168.0.1
     • IP-Adressbereich: 192.168.0.0/24 Die Endung /24 gibt die Anzahl der Bits an, die alle IP-Adressen dieses Bereichs gemeinsam haben. Also entspricht /24 der Netzmaske 11111111.11111111.11111111.00000000 oder 255.255.255.0 in Dezimaldarstellung. In unserem Beispiel umfasst der Bereich alle IP-Adressen von 192.168.0.0 bis 192.168.0.255.
     • Domäne: google.com

     Wenn Sie eine Website ausschließen, überprüfen wir nicht die Kategorie der Website und sie ist vom Web-Control-Schutz ausgeschlossen. Siehe Server Web Control.

   • Potenziell unerwünschte Anwendung (Windows/Mac/Linux): Sie können Anwendungen ausschließen, die in der Regel als Spyware erkannt werden. Geben Sie den Ausschluss unter demselben Namen an, unter dem das System ihn erkannt hat, zum Beispiel PsExec oder Cain n Abel. Weitere Informationen zu PUAs finden Sie unter Adware und PUAs.

   • Erkannte Exploits (Windows/Mac). Sie können erkannte Exploits über eine Erkennungs-ID ausschließen. Sie können diese Option verwenden, wenn Sie falsch positive Erkennungen mit dem Sophos Support beheben. Der Sophos Support kann Ihnen eine Erkennungs-ID geben, damit Sie falsch positive Erkennungen ausschließen können. Klicken Sie dazu auf Exploit nicht aufgeführt? und geben Sie die ID ein.

4. Klicken Sie auf Hinzufügen oder Weitere hinzufügen. Der Ausschluss wird der Liste der Scan-Ausschlüsse hinzugefügt.

Um einen Ausschluss später zu bearbeiten, wählen Sie diesen in der Ausschlussliste aus, geben Sie neue Einstellungen ein und klicken Sie auf Aktualisieren.

Hashing-Ausschluss

Beim Hashing-Ausschluss werden Datei-Hashes für die Sophos-Journals sowie den Data Lake gestoppt, was die Leistung beeinträchtigen kann.

Um einen Hashing-Ausschluss hinzuzufügen, gehen Sie folgendermaßen vor:

1. Klicken Sie unter Ausschlüsse auf Ausschluss hinzufügen.

2. Verfahren Sie im Dialogfeld Ausschluss hinzufügen wie folgt:

   1. Wählen Sie Hashing-Ausschluss (Windows) in Ausschlusstyp.
   2. Wählen Sie in Datei/Ordner oder Prozess eine Datei oder einen Ordner oder einen Prozess aus.
   3. Geben Sie unter Wert den Ausschlusspfad ein. Sie können ein Laufwerk, einen Ordner oder eine Datei ausschließen. Sie können auch Platzhalterzeichen verwenden. Siehe Ausschlüsse für Windows-Scans.
   4. Klicken Sie auf Hinzufügen.

3. Klicken Sie auf der Seite Schutz vor Bedrohungen auf Speichern.

Desktop-Benachrichtigungen

Sie können eine Nachricht hinzufügen, die an das Ende der Standard-Benachrichtigung angehängt wird. Wenn Sie das Nachrichtenfeld leer lassen, wird nur die Standardnachricht angezeigt.

Desktop-Benachrichtigungen für Threat Protection aktivieren ist standardmäßig aktiviert. Wenn Sie die Option deaktivieren, werden keine Nachrichten in Bezug auf Threat Protection angezeigt.

Geben Sie den Text ein, den Sie hinzufügen möchten.