跳至內容
部分或全部頁面已經過機器翻譯。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/enterprise/help/zh-tw/index.html?contextId=server-threat-protection

伺服器威脅防護

威脅防護能保護您的安全,使您免受惡意程式、危險檔案類型和網站,以及惡意網路資料流量的威脅。

注意

某些選項僅適用於 Windows 伺服器。頁面右側的欄顯示每個選項所對應的伺服器類型。

SophosLabs 可以獨立控制掃描哪些檔案。可新增或移除掃描特定檔案類型,以提供最佳防護。

您可以使用建議設定或對其進行變更。

有關如何評估威脅的更多資訊,請參見 廣告程式與可能不需要的應用程式

Intercept X Advanced for Server

若您擁有此授權,您的威脅防護策略會提供勒索軟體及安全漏洞防護、免特徵比對檔威脅防護,以及威脅事件根本原因分析。

我們建議您使用這些設定以獲取最大防護。

若您啟用其中任一功能,指派給此策略的伺服器將會使用 Intercept X Advanced for Server 授權。

請參閱Intercept X Advanced for Server

Server Protection 預設設定

我們建議您讓這些設定保持開啟。這些設定提供了無需複雜設定即可擁有的最佳防護。請參閱伺服器威脅防護預設設定

這些設定提供:

  • 已知惡意程式偵測。
  • 雲端檢查,以便啟用對 Sophos 已知的最新惡意程式的偵測。
  • 主動偵測以前未曾見過的惡意程式。
  • 自動清理惡意程式。
  • 從掃描中自動排除已知應用程式的活動。

注意

Linux 裝置預設未啟用 即時掃描。請查看即時掃描

Live Protection

Live Protection 可根據 SophosLabs 威脅資料庫檢查可疑檔案。這有助於偵測最新威脅並避免誤判。

使用即時防護在線上檢查來自 Sophos 實驗室的最新威脅資訊:此功能會在即時掃描期間檢查檔案。

關閉 Live Protection 會降低對您的保護,並且可能增加誤判。

查看我們的威脅資料庫,請前往廣告軟體和PUA

深度學習

深度學習能夠自動偵測威脅,尤其是以前從未見過的新興及未知威脅。它使用機器學習,不依賴特徵碼。

關閉深度學習會大幅降低對您的保護。

即時掃描 - 本機檔案和網路共享

即時掃描功能會在存取及更新檔案時檢查這些檔案有無已知的惡意軟體。它可以防止已知的惡意程式執行,並防止合法應用程式打開受感染的檔案。

預設情況下,掃描提供本機和遠端檔案(從網路存取的檔案)的即時掃描。

如果您只想掃描裝置上的檔案,請選取本機

  • 讀取檔案時:在打開檔案時對其進行掃描。
  • 寫入檔案時:在儲存檔案時對其進行掃描。

為 Linux 代理程式版 Server Protection 啟用掃描:這提供了在 Linux 裝置上的即時掃描。

關閉這些選項可允許執行或存取已知的惡意軟體。

即時掃描 - 網路

即時掃描會在使用者嘗試存取網際網路資源時進行掃描。

掃描進行中的下載

此設定可控制我們在下載內容和頁面元素到達瀏覽器之前是否對其進行掃描。

  • HTTP 連線:我們會掃描所有元素和下載內容。
  • HTTPS 連線:除非您開啟 使用 SSL/TLS 解密網站,否則我們不會掃描任何元素。

攔截存取惡意網站

此設定會拒絕存取已知裝載惡意軟體的網站。

我們會進行信譽檢查,查看網站是否包含已知惡意內容 (SXL4 查閱)。如果您關閉 Live Protection,此檢查也會關閉。

  • HTTP 連線:檢查所有 URL,包括完整的 HTTP GET 請求。
  • HTTPS 連線:基本網址會透過伺服器名稱指示 (SNI) 進行檢查。如果開啟 使用 SSL/TLS 解密網站,所有網址都會受到檢查,包括完整的 HTTP GET 請求。

偵測低信譽下載內容

此設定會根據檔案的來源、下載頻率等,檢查下載信譽。使用下列選項決定下載內容的處理方式。

要採取的動作 設定為 提示使用者:下載低信譽檔案時,使用者會看到警告。然後,他們可以信任或删除該檔案。這是預設設定。

信譽等級 設為下列其中一項:

  • 建議:低信譽檔案會自動遭到封鎖。這是預設設定。
  • 限制:中低信譽的下載內容會自動遭到封鎖,並報告給 Sophos Central。

有關聲譽等級的更多資訊,請查看下載聲譽

即時掃描 - 選項

自動排除已知應用程式的活動:此設定不包括供應商推薦的廣泛使用的應用程式。

如需更多資訊,請參閱自動排除的第三方產品

補救

啟用威脅圖表建立:這有助於您調查惡意軟體攻擊中的一系列事件。建議您開啟此功能,以便分析我們偵測到並阻止的攻擊。

Sophos Central 會自動清理執行 Sophos Protection for Linux 之 Windows 電腦和 Linux 裝置上偵測到的項目。Sophos Central 會將檔案從其目前位置移除,並將其隔離在 SafeStore 中。檔案會保留在 SafeStore 中,直到得到允許或被移除,從而為新的偵測留出空間。您可以透過將在 SafeStore 中隔離的檔案新增到 允許的應用程式 來還原這些檔案。請參閱 許可的應用程式

SafeStore 具有以下預設限制:

  • 單個檔案限制為 100 GB。
  • 隔離大小的總限制為 200 GB。
  • 儲存檔案的數目上限為 2000。

執行階段保護

執行階段防護透過偵測可疑或惡意行為或資料流來防止受到威脅。

保護來自 Ransomware 的文件檔案 (CryptoGuard):此設定可以保護您免受惡意軟體的攻擊,這類惡意軟體會限制對檔案的存取,然後要求付費來釋放它們。此功能預設情況下已開啟。強烈建議您使其保持開啟。

您還可以使用以下選項:

  • 遠端執行勒索軟體的防護:這可確保整個網路的防護。建議您使其保持開啟。
  • 保護以免受加密檔案系統的攻擊:此設定可保護 64 位元裝置免受加密檔案系統的勒索軟體攻擊。如果偵測到勒索軟體,您可以選擇採取哪些操作。您可以終止勒索軟體處理序或將其隔離,使其停止寫入檔案系統。

防止主開機記錄勒索軟體:此設定可保護裝置免受能將主開機記錄加密 (造成無法開機) 的勒索軟體攻擊,以及將硬碟抹除的攻擊。

保護網頁瀏覽器的關鍵功能 (安全瀏覽):此設定可保護您的 Web 瀏覽器免受惡意軟體透過 Web 瀏覽器進行的入侵。

在易受攻擊的應用程式中降低襲擊:此設定可以保護容易受到惡意軟體入侵的應用程式。您可以選取要保護哪些應用程式類型。

防護程序:這有助於防止惡意程式劫持合法應用程式。您可從以下選項中選擇:

  • 預防偽裝程序攻擊:也稱為「處理程序取代」或 DLL 植入。攻擊者通常使用此技術將惡意程式碼載入合法應用程式中,以嘗試略過安全軟體。

    關閉此設定會使攻擊者更容易略過您的安全軟體。

  • 預防從不受信任的資料夾載入 DLL:可以防止從不受信任的資料夾載入 DLL 檔案。

  • 防止憑證盜竊:防止記憶體、登錄或硬碟的密碼及雜湊資訊被竊取。
  • 防止使用代碼漏洞:這偵測被置入到另一個合法應用程式的惡意程式碼。
  • 防止 APC 違反情況:防止攻擊使用應用程式程序呼叫 (APC) 執行其程式碼。
  • 防止權限提升:防止攻擊將低權限處理序提升到高權限以存取系統。

動態 Shellcode 保護:此設定可偵測隱藏的遠端命令和控制代理程式的行為,並防止攻擊者取得網路的控制權。

驗證 CTF 協定呼叫程式:此設定會封鎖嘗試利用 CTF 中弱點的應用程式,CTF 是所有 Windows 版本中的一個元件。此弱點可讓非系統管理員的攻擊者劫持任何 Windows 進程,包括在沙箱中執行的應用程式。建議您開啟 驗證 CTF 通訊協定呼叫程式

防止側面載入不安全的模組:此設定可防止應用程式側載偽裝成 ApiSet Stub DLL 的惡意 DLL。ApiSet Stub DLL 充當一種 Proxy,用於維護較舊應用程式和較新作業系統版本之間的相容性。攻擊者可能會利用惡意 ApiSet Stub DLL 略過竄改防護,並阻止反惡意程式碼保護。

關閉深度學習會大幅降低對您的保護。

保護用於 MFA 登入的瀏覽器 Cookie:此設定可防止未經授權的應用程式解密用於加密多重身分驗證 (MFA) Cookie 的 AES 金鑰。

防止惡意使用 syscall 指令:此設定可阻止透過直接調用系統 API 來逃避監控的企圖。

預防硬體斷點濫用:此設定可防止濫用硬體斷點。

保護網路資料流

  • 偵測命令與控制伺服器的惡意網路流量:這會檢測端點電腦與伺服器之間的流量,並指出可能嘗試控制該端點電腦的行為。
  • 使用封包檢查功能阻止惡意網路流量 (IPS):這會在最低層級掃描流量,並在威脅損壞作業系統或應用程式之前封鎖威脅。此選項預設為關閉。

Linux 執行階段偵測:此設定可讓您看到 Linux 伺服器工作負載和容器的執行階段並進行威脅偵測。您可以在威脅分析中心管理這些警示。請參閱偵測

限制條件

要使用 Linux 執行階段偵測,您必須具有適當的授權。請參見伺服器 Linux 執行階段偵測原則

防止惡意指標連線至命令與控制伺服器:此設定可識別並封鎖企圖透過保持加密來逃避偵測的指標。

監控驅動程式 API 的使用:此設定可偵測濫用合法應用程式 (例如印表機或虛擬網路介面卡) 通常使用之 API,從而與核心模式程式碼互動的行為。

偵測惡意行為:此功能用以防止出現尚未明確的威脅。它透過偵測並攔截已知具有惡意或可疑的行為來達到這一目的。

AMSI 防護:此設定可防止使用 Microsoft 反惡意程式碼掃描介面 (AMSI) 的惡意程式碼,例如 PowerShell 指令碼。

使用 AMSI 轉寄的程式碼會在執行之前接受掃描,如果存在威脅,端點會通知用於執行該程式碼的應用程式。如果偵測到威脅,則會記錄一次事件。

防止移除 AMSI 註冊:此設定可確保無法從電腦移除 AMSI。

監控網域控制器事件:此設定可提供對域控制器進行更深入的可見性和防護,以防止針對 PetitPotam 等攻擊的發生。此功能預設為開啟。

啟用 Sophos 安全性活動訊號:此設定會將伺服器「健康情況」報告傳送至使用您的 Sophos Central 帳戶註冊的每個 Sophos Firewall。若註冊的防火牆不止一個,報告會傳送到最近的防火牆。如果報告顯示伺服器可能遭到入侵,則防火牆可限制其存取。

自適應攻擊防護

當裝置受到攻擊時自動開啟額外防護:此設定可在偵測到攻擊時啟用一組更積極的防護措施。這些額外防護措施的目的是中斷攻擊者的行動。

您也可以永久開啟自適應攻擊防護功能。

  • 在安全模式下啟用防護:當裝置在安全模式下執行時,此設定將啟用 Sophos 防護。某些元件和功能 (如郵件中繼和更新快取) 在安全模式下不可用。
  • 封鎖安全模式濫用:此設定會偵測並封鎖表示攻擊者嘗試將裝置置於安全模式的活動。

進階設定

這些設置僅用於測試或疑難排解。我們建議您將這些選項設定為預設值。

封鎖 QUIC 瀏覽器連線

選取封鎖 QUIC(快速 UDP 網際網路連線)瀏覽器存取網站,以阻止這些連線。

啟用 QUIC 的瀏覽器可以略過我們對一些網站的網站檢查。封鎖 QUIC 可確保我們將 SSL/TLS 解密與檢查套用至這些網站。

預設情況下,此設定為關閉。

HTTPS 網站的 SSL/TLS 解密

如果您選擇使用 SSL/TLS 解密 HTTPS 網站,我們將解密並檢查 HTTPS 網站的內容是否存在威脅。

如果我們解密了風險較高的網站,我們會加以封鎖。我們向使用者顯示一條訊息,並讓他們選擇將網站提交到 SophosLabs 進行重新評估。

預設情況下,解密是關閉的。

如果套用至裝置的原則中開啟了 HTTPS 解密:

  • HTTPS 解密功能也會在該裝置上開啟,以進行 Web 控制項目檢查。
  • 即時掃描 - 網際網路 中的防護功能還可以查看完整的網站內容、下載內容和頁面網址

如果開啟此功能,將解密所有 HTTPS 流量,這可能會降低瀏覽速度。

HTTPS 解密排除項

預設情況下,我們會排除某些網站類別,如銀行和網路郵件,不進行解密。這是因為這些類別中的網站包含個人資訊。

您可以在一般設定中變更排除項。前往 我的產品 > 一般設定 > 一般 > HTTPS 網站的 SSL/TLS 解密

Linux 即時掃描

如果您選取為 Linux 代理程式版 Server Protection 啟用掃描,我們將在使用者嘗試存取檔案時對檔案進行掃描。如果檔案安全,我們會允許存取。

預設情況下,Linux 即時掃描關閉。

排程掃描

排程掃描按您指定的時間執行掃描。

當實時掃描啟用時,可能不需要預定掃描。然而,它仍然可以用於不同的用例,包括檢查舊文件和協助進行安全調查。我們建議在非高峰時段運行預定掃描,以最大程度地減少對系統負載的潛在影響。我們還建議使用即時掃描,這種掃描可在存取或修改檔案時進行,而不僅僅依賴於預定的掃描間隔。請參閱 即時掃描 - 本機檔案和網路共享

您可以選取以下選項:

  • 啟用排程掃描:這使您可以定義要執行掃描的時間以及日期(一日或多日)。

    排程掃描時間是端點電腦上的時間(不是 UTC 時間)。

  • 啟用深度掃描:如果選取此選項,將在排程掃描期間掃描封存。這可能會增加系統負載,並使掃描速度明顯變慢。

排除項

您可以從威脅掃描中排除檔案、資料夾、網站或應用程式,如下所述。

限制條件

您無法在全域範本頁面上建立「漏洞緩解和活動監控 (Windows)」排除項目。

我們仍然會檢查被排除的項目有無漏洞。但是,您可以停止檢查已經偵測到的漏洞。使用檢測到的攻擊排除。

在策略中設定的排除項僅用於策略所適用的使用者。

注意

如果您要將排除項套用到所有使用者和伺服器,請在 一般設定 > 全域排除項 頁面中設定全域排除項。

若要建立策略掃描排除項:

  1. 按一下 新增例外項目(在頁面右側)。

    會顯示 新增例外項目 對話方塊。

  2. 例外項目類型 下拉式清單中,選取要排除的項目類型(檔案或資料夾、網站、可能不需要的應用程式或裝置隔離)。

  3. 指定要排除的項目。
  4. 僅對於檔案或資料夾排除項,在 啟用狀態,適用於: 下拉式清單中可指定排除項對於即時掃描、排程掃描或兩者是否有效。
  5. 按一下 新增新增另一項。排除項新增到掃描排除項清單中。

之後若要編輯排除項,在排除項清單中按一下其名稱,輸入新設定並按一下 更新

掃描排除項

您可以從威脅掃描中排除檔案、資料夾、網站或應用程式。

在策略中設定的排除項僅用於策略所適用的伺服器。

警告

排除項可能會大大降低對您的保護。僅在瞭解風險時使用它們。

有關如何使用排除功能的說明,請參閱安全使用排除功能

若要建立原則掃描排除項,請依照以下操作進行:

  1. 排除中,按一下新增排除
  2. 排除項類型 下拉式清單中,選取要排除的項目類型 (檔案或資料夾、網站、可能不需要的應用程式或裝置隔離)。

  3. 指定要排除的項目。以下規則適用於:

    • 檔案或資料夾 (Windows):在 Windows 中,您可以按完整路徑排除磁碟機、資料夾或檔案。您可以使用萬用字元和變數。請參考以下範例。

      • 資料夾:C:\programdata\adobe\photoshop\
      • 整個磁碟機:D:
      • 檔案: C:\program files\program\*.vmg

    • 檔案或資料夾 (Linux):在 Linux 中,您可以排除資料夾或檔案。您可使用萬用字元 ?*。範例:/mnt/hgfs/excluded

    • 程式 (Windows):您可以從應用程式中排除任何執行的處理程序。這也會排除處理程序使用的檔案(但僅在處理程序存取時)。如果可能,請輸入應用程式的完整路徑,而不僅僅是工作管理器中顯示的處理程序名稱。範例:%PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe

      注意

      如遇檢視應用程式需要排除的所有處理程序或其他項目,請參閱應用程式廠商的文檔。

    • 網站 (Windows):您可以將網站指定為 IP 位址、IP 位址範圍 (CIDR 標記法) 或網域。範例:

      • IP 位址:192.168.0.1
      • IP 位址範圍:192.168.0.0/24 後置的 /24 表示該範圍的所有 IP 位址公用前置中的位元數。因此,/24 等同於子網路遮罩 11111111.11111111.11111111.00000000,或以十進制表示為 255.255.255.0。在我們的範例中,該範圍包括所有從192.168.0.0192.168.0.255的IP位址。
      • 網域: google.com

      如果您排除某個網站,我們不會檢查該網站的類別,並且該網站將不會受到 Web 控制措施的保護。請參閱 伺服器網路控管

    • 可能不需要的應用程式 (Windows/Mac/Linux):您可以排除通常被偵測為間諜軟體的應用程式。使用系統偵測到的同一名稱指定排除項,例如 PsExecCain n Abel。如需更多有關 PUA 的資訊,請參閱廣告程式與可能不需要的應用程式

    • 偵測到的漏洞 (Windows/Mac)。您可以使用偵測 ID 排除偵測到的入侵程式。如果您正在使用 Sophos Support 來解決誤判偵測,則可以使用此選項。Sophos Support 可以為您提供偵測 ID,然後您可以排除誤判偵測。為此,請按一下未列出的漏洞利用?並輸入 ID。

  4. 按一下 新增新增另一項。排除項新增到掃描排除項清單中。

之後若要編輯排除項,在排除項清單中按一下其名稱,輸入新設定並按一下 更新

哈希排除

警告

如果 Sophos 支援要求您這麼做,請僅使用此排除項類型。

它可阻止影響性能的 Sophos 日誌和 Data Lake 檔案雜湊。

若要新增排除項,請依照以下步驟操作:

  1. 排除中,按一下新增排除

  2. 新增例外項目對話方塊中,執行以下操作:

    1. 例外項目類型 中,選擇雜湊排除項 (Windows)
    2. 檔案/資料夾或處理序中,選擇一個檔案或資料夾,或一個處理程序。
    3. 中,輸入排除路徑。您可以排除磁碟機、資料夾或檔案。您也可以使用萬用字元。請參閱Windows 掃描排除項
    4. 按一下 新增

  3. 威脅保護頁面上,按一下儲存

桌面傳訊

您可以在標準通知的末端新增訊息。如果您留空訊息方塊,則僅會顯示標準訊息。

啟用桌面傳訊用於威脅防護 在預設情況下為開啟。如果您關閉 ,將不會看到任何關於威脅防護的通知訊息。

輸入要新增的文字。