Vai al contenuto

Server Threat Protection: Impostazioni predefinite

Il criterio di base per la protezione contro le minacce dei server include le seguenti opzioni standard.

Si consiglia di lasciare attivate queste impostazioni. Queste impostazioni offrono il miglior livello di protezione disponibile, eliminando la complessità della configurazione.

Avviso

Si consiglia di riflettere attentamente prima di modificare le impostazioni consigliate, in quanto tale operazione potrebbe abbassare il livello di sicurezza.

Restrizione

Solo alcune opzioni possono essere utilizzate sui server Windows.

Protezione runtime

La Protezione runtime protegge i sistemi contro le minacce, rilevando comportamenti o traffico sospetti o malevoli.

Proteggi traffico di rete

  • Rileva le connessioni malevole verso i server di comando e controllo (C&C): Con questa opzione viene rilevato il traffico tra computer endpoint e server, quando tale traffico mostra comportamenti che possono indicare un tentativo di assumere il controllo di un endpoint (un attacco di “comando e controllo”).
  • Previeni il traffico di rete malevolo con l'ispezione dei pacchetti: Questa opzione serve ad analizzare le comunicazioni della rete, identificando e bloccando le minacce prima che possano danneggiare sistema operativo o applicazioni.

Abilita Sophos Security Heartbeat: Questa opzione invia report sullo stato di integrità del server a ciascun Sophos Firewall registrato al proprio account Sophos Central. Se è registrato più di un solo firewall, i report verranno inviati a quello più vicino che risulta disponibile. Se un report indica che un server potrebbe essere compromesso, il firewall sarà in grado di limitarne l'accesso.

Protezione AMSI (con scansione ottimizzata per l'individuazione delle minacce basate su script). Questa opzione protegge i sistemi dal codice malevolo (ad es. script di PowerShell) utilizzando l'Antimalware Scan Interface (AMSI) di Microsoft. Il codice inoltrato tramite AMSI viene sottoposto a scansione prima di essere eseguito, e le applicazioni utilizzate per eseguire codice appartenente a minacce ricevono una notifica. Se il sistema rileva una minaccia, viene creato un evento nel log. È possibile impedire che la registrazione ad AMSI venga rimossa dai server.

Live Protection

Sophos Live Protection analizza i file sospetti confrontando i dati con le informazioni più aggiornate sul malware presenti nel database dei SophosLabs.

  • Usa Live Protection per controllare le informazioni sulle minacce più recenti fornite da SophosLabs e disponibili online: Questa opzione verifica i file durante le scansioni in tempo reale.

  • Usa Live Protection durante le scansioni pianificate

Scansione in tempo reale - File locali e condivisioni di rete

Le scansioni in tempo reale analizzano i file a cui gli utenti cercano di accedere, autorizzando l'accesso se i file risultano sicuri.

  • locale e remota: Se invece si seleziona locale, non verrà eseguita la scansione dei file nelle condivisioni di rete.
  • in lettura: Questa opzione abilita la scansione dei file al momento dell’apertura.
  • in scrittura: Questa opzione abilita la scansione dei file al momento del salvataggio.

Scansione in tempo reale - Internet

La scansione in tempo reale analizza le risorse internet nel momento in cui gli utenti cercano di accedervi.

Eseguire la scansione sui download in corso.

Bloccare l'accesso ai siti Web dannosi: Questa opzione blocca l'accesso ai siti web noti per ospitare malware.

Rileva file con reputazione bassa: Questa opzione segnala quando la reputazione di un download è bassa. La valutazione di tale reputazione si basa sull’origine del file, sulla sua frequenza di download e su altri fattori. È possibile specificare:

  • La Azione da intraprendere sui download con reputazione bassa: Selezionando Richiedi conferma all'utente, gli utenti vedranno un avviso quando effettuano il tentativo di scaricare un file con reputazione bassa. Si tratta dell’impostazione predefinita.
  • La Livello di reputazione: Selezionando Rigido, verranno rilevati, oltre ai file con reputazione bassa, anche quelli con reputazione media. L’impostazione predefinita è Consigliato.

Correzione

Rimozione automatica del malware: Abilitando questa opzione, verrà effettuato il tentativo di rimuovere automaticamente le minacce rilevate. Questa opzione è supportata su server Windows e VM guest protetti da una Sophos Security VM (solo se provvisti di Sophos Guest VM Agent).

Nota

I file PE (Portable Executable), quali ad esempio applicazioni, librerie e file di sistema, vengono sempre rimossi, anche se si disattiva la rimozione automatica. I file PE verrano messi in quarantena e potranno essere ripristinati.

Scansione in tempo reale - Opzioni

Escludi automaticamente l'attività di applicazioni note: Questa opzione fa in modo che Sophos Central escluda dalle scansioni i file utilizzati dalle applicazioni utilizzate più frequentemente. Per un elenco di queste applicazioni, vedere Reputazione dei download. È possibile escludere manualmente le attività di altre applicazioni, tramite le opzioni delle Esclusioni.

Rileva comportamento dannoso (HIPS): Questa opzione difende i sistemi dalle minacce che non sono ancora conosciute. Agisce rilevando e bloccando comportamenti sospetti o noti per essere malevoli. Stiamo ritirando questa opzione per sostituirla con quella indicata di seguito.

Rileva comportamento dannoso: Questa opzione difende i sistemi dalle minacce che non sono ancora conosciute. Agisce rilevando e bloccando comportamenti sospetti o noti per essere malevoli.

Impostazioni avanzate

Queste impostazioni devono essere utilizzate esclusivamente a scopo di test o di risoluzione dei problemi. Si consiglia di lasciare le impostazioni predefinite per queste opzioni.