Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/partner/help/de-de/index.html?contextId=endpoint-threat-protection

Endpoint: Threat Protection

Threat Protection schützt Sie vor Schadsoftware, unsicheren Dateitypen und Websites sowie bösartigem Netzwerkdatenverkehr.

Hinweis

Diese Seite beschreibt die Richtlinieneinstellungen für Endpoints. Für Server gelten andere Richtlinieneinstellungen.

SophosLabs legt eigenständig fest, welche Dateien gescannt werden. Sie können die Überprüfung bestimmter Dateitypen hinzufügen oder entfernen, um den bestmöglichen Schutz zu gewährleisten.

Für weitere Informationen, wie wir Bedrohungen bewerten, siehe Sophos Threat Center.

Empfohlene Einstellungen verwenden

Warnung

Denken Sie sorgfältig nach, bevor Sie die empfohlenen Einstellungen ändern, weil sich Ihr Schutz dadurch verringern kann.

Klicken Sie auf Empfohlene Einstellungen verwenden verwenden, wenn Sie die von Sophos empfohlenen Einstellungen verwenden möchten. Diese Einstellungen bieten Ihnen optimalen Schutz, ohne dass Sie eine komplexe Konfiguration durchführen müssen.

Wenn wir unsere Empfehlungen ändern, werden wir Ihre Richtlinie automatisch mit den neuen Einstellungen aktualisieren.

Die empfohlenen Einstellungen bieten:

  • Erkennung bekannter Malware.
  • Überprüfungen in der Cloud zur Erkennung der aktuellsten Malware, die Sophos bekannt ist.
  • Proaktive Erkennung von Malware, die zum ersten Mal erkannt wird.
  • Automatische Bereinigung von Malware.

Threat Protection einrichten

In diesem Video erklären wir, wie Sie eine Threat-Protection-Richtlinie einrichten und sprechen Empfehlungen zu Best Practices aus.

Deep Learning

Deep Learning nutzt fortschrittliches maschinelles Lernen für die Erkennung von Bedrohungen. Dabei werden bekannte und noch unbekannte Malware und potenziell unerwünschte Anwendungen ohne Rückgriff auf Signaturen identifiziert.

Deep Learning ist nur bei Sophos Intercept X verfügbar.

Live Protection

Verdächtige Dateien werden durch Abgleich mit aktuellen Malware-Daten in der SophosLabs-Datenbank überprüft.

Sie können folgende Optionen wählen:

Verwenden Sie Live Protection, um die neuesten Informationen zu Bedrohungen online von SophosLabs abzurufen: Mit dieser Option werden Dateien im Rahmen des Echtzeit-Scans überprüft.

Echtzeit-Scans - Lokale Dateien und gemeinsam genutzte Dateien im Netzwerk

Beim Echtzeit-Scan werden Dateien gescannt, wenn Benutzer versuchen, auf sie zuzugreifen. Der Zugriff wird erlaubt, wenn die Datei sauber ist.

Standardmäßig werden lokale Dateien überprüft. Sie können auch Remote-Dateien auswählen, um Dateien in Netzwerkfreigaben zu scannen.

Echtzeit-Scans - Internet

Beim Echtzeit-Scan werden Internetquellen gescannt, während der Benutzer auf diese zugreifen. Sie können folgende Optionen wählen:

Laufende Downloads scannen: Diese Einstellung steuert, ob Downloads und Seiteninhalte gescannt werden, bevor sie den Browser erreichen.

  • HTTP-Verbindungen: Wir scannen alle Elemente und Downloads.
  • HTTPS-Verbindungen: Wir scannen keine Elemente, es sei denn, Sie aktivieren die Funktion Websites mit SSL/TLS entschlüsseln.

Zugriff auf schädliche Websites blockieren: Der Zugriff auf Websites, die bekannt dafür sind, dass sie Malware hosten, wird verweigert.

Wir führen eine Reputationsprüfung durch, um zu ermitteln, ob die Website schädliche Inhalte bereitstellt (SXL4-Suche). Wenn Sie Live Protection deaktivieren, wird auch diese Prüfung deaktiviert.

  • HTTP-Verbindungen: Alle URLs werden geprüft, einschließlich vollständiger HTTP-GET-Anforderungen.
  • HTTPS-Verbindungen: Basis-URLs werden geprüft (SNI). Wenn Sie Websites mit SSL/TLS entschlüsseln aktivieren, werden alle URLs geprüft, einschließlich vollständiger HTTP GET-Anforderungen.

Nach Dateien mit geringer Reputation suchen: Mit dieser Einstellung wird die Reputation des Downloads basierend auf der Quelle der Datei, der Häufigkeit des Downloads usw. geprüft. Verwenden Sie die folgenden Optionen, um zu entscheiden, wie Downloads gehandhabt werden.

Sie können festlegen:

  • Aktion bei Downloads mit niedriger Reputation: Legen Sie eine der folgenden Optionen fest:

    • Benutzer auffordern: Wenn eine Datei mit unbekannter oder niedriger Reputation zum Download ausgewählt wird, wird der Benutzer aufgefordert, sie zu blockieren oder als vertrauenswürdig einzustufen und den Download zu erlauben. Diese Option ist voreingestellt.
    • Nur protokollieren: Heruntergeladene Dateidetails werden im lokalen Protokoll aufgezeichnet, aber der Benutzer wird nicht aufgefordert.

  • Reputationsstufe: Legen Sie eine der folgenden Optionen fest:

    • Empfohlen: Dateien mit geringer Reputation werden automatisch blockiert. Diese Option ist voreingestellt.
    • Streng: Downloads mit mittlerer und geringer Reputation werden automatisch blockiert und an Sophos Central gemeldet.

Siehe Download-Reputation.

Korrektur

Folgende Korrekturoptionen stehen zur Verfügung:

  • Malware automatisch entfernen: Sophos Central bereinigt automatisch erkannte Schadsoftware und protokolliert die Bereinigung. Dies ist über die Liste Ereignisse möglich.

    Einschränkung

    Windows-Computer bereinigen erkannte Elemente immer, unabhängig von dieser Einstellung. Sie können Elemente wiederherstellen, die unter Windows bereinigt wurden. Sie können diese Elemente auf Macs nicht wiederherstellen, aber wir empfehlen dennoch, die automatische Bereinigung auf Macs zu aktivieren.

    Wenn Sophos Central eine Datei bereinigt, entfernt es die Datei aus ihrem aktuellen Speicherort und verschiebt sie in den SafeStore. Dateien verbleiben im SafeStore, bis sie zugelassen oder entfernt werden, um Platz für neue Erkennungen zu schaffen. Sie können Dateien, die im SafeStore unter Quarantäne gestellt wurden, wiederherstellen, indem Sie sie den Erlaubten Anwendungen hinzufügen. Siehe Erlaubte Anwendungen.

    SafeStore hat die folgenden Standardgrenzwerte:

    • Die maximale Dateigröße beträgt 100 GB.
    • Die maximale Quarantänegröße beträgt insgesamt 200 GB.
    • Es werden maximal 2000 Dateien gespeichert.

  • Bedrohungsgraph-Erstellung aktivieren: Bedrohungsfälle lassen Sie eine Kette von Ereignissen, die eine Malware-Infektion betreffen, untersuchen, und Bereiche identifizieren, in denen Sie die Sicherheit verbessern können.

Laufzeitschutz

Sie müssen dem Early Access Program beitreten, um bestimmte Optionen verwenden zu können.

Der Laufzeitschutz schützt vor Bedrohungen, indem verdächtiges oder schädliches Verhalten bzw. Datenverkehr erkannt wird. Sie können folgende Optionen auswählen:

Dokumente vor Ransomware schützen (CryptoGuard): Hiermit werden Dokumentdateien vor Malware geschützt, die den Zugriff auf Dateien unterbindet und für deren Freigabe Lösegeld fordert. Sie können auch 64-Bit-Computer vor Ransomware, die von einem Remote-Standort ausgeführt wird, schützen.

Sie können auch die folgenden Optionen verwenden:

  • Vor Ausführen von Ransomware per Fernzugriff schützen: Dadurch wird der Schutz im gesamten Netzwerk gewährleistet. Wir empfehlen, diese Einstellung nicht zu deaktivieren.
  • Vor Encrypting File System-Angriffen schützen: Dies schützt den Computer vor Ransomware, die das Dateisystem verschlüsselt. Wählen Sie aus, welche Aktion Sie ergreifen wollen, wenn Ransomware erkannt wird. Sie können Ransomware-Prozesse beenden oder isolieren, um sie daran zu hindern, in das Dateisystem zu schreiben.

Schutz vor Master Boot Record-Ransomware: Hiermit wird der Computer vor Ransomware, die den Master Boot Record verschlüsselt (und somit das Hochfahren verhindert), und vor Angriffen, bei denen die Festplatte gelöscht wird, geschützt.

Kritische Funktionen in Webbrowsern schützen (sicheres Surfen): Hiermit werden Ihre Browser vor Exploits durch Malware geschützt.

Exploits in Anwendungen mit Sicherheitslücken abschwächen: Hiermit werden Anwendungen geschützt, die besonders anfällig für Malware sind. Sie können festlegen, welche Anwendungstypen geschützt werden sollen.

Prozesse schützen: Hiermit wird der Missbrauch legitimer Anwendungen durch Malware verhindert. Sie können diese Optionen wählen:

  • Process Hollowing Angriffe verhindern: Dies schützt vor Prozessaustausch-Angriffen.

    Wenn Sie diese Einstellung deaktivieren, kann ein Angreifer Ihre Sicherheitssoftware leichter umgehen.

  • Laden von DLLs aus nicht vertrauenswürdigen Ordnern verhindern: Dies schützt vor einem Laden von .DLL-Dateien aus nicht vertrauenswürdigen Verzeichnissen.

  • Zugangsdatendiebstahl verhindern: Dies verhindert den Diebstahl von Kennwörtern und Hash-Informationen aus Speicher, Registry oder von der Festplatte.
  • Rückgriff auf Code-Cave verhindern: Erkennt Schadcode, der in eine andere, legitime Anwendung eingeschleust wurde.
  • APC-Verstoß verhindern: Verhindert Angriffe, bei denen Application Procedure Calls (APC) für die Ausführung von deren Code genutzt werden.
  • Rechteausweitung verhindern: Verhindert Angriffe, bei denen der Angreifer versucht, höhere Rechte zu bekommen, um sich Zugang zu Ihren Systemen zu verschaffen.

Dynamischer Shellcode-Schutz: Erkennt das Verhalten verdeckter Remote Access Agents und verhindert, dass Angreifer sich Kontrolle über Ihre Netzwerke verschaffen.

CTF Protocol Caller validieren: Fängt Anwendungen ab, die versuchen, CTF auszunutzen, und blockiert sie.

Eine Sicherheitsanfälligkeit in einer Windows-Komponente, die nur als „CTF“ bekannt ist und in allen Versionen von Windows XP verfügbar ist, ermöglicht es einem nicht administrativen, nicht autorisierten Angreifer, jeden Windows-Prozess einschließlich Anwendungen, die in einer Sandbox ausgeführt werden, zu kompromittieren.

Side-Loading unsicherer Module verhindern: Verhindert das Sideloading einer schädlichen DLL, die sich als ApiSet Stub-DLL ausgibt, durch eine Anwendung.

ApiSet Stub DLLs sind DLLs, die als Proxy dienen, um die Kompatibilität zwischen älteren Anwendungen und neueren Betriebssystemversionen aufrechtzuerhalten. Angreifer können bösartige ApiSet Stub-DLLs platzieren, um diese Funktion zu manipulieren, oder den Manipulationsschutz umgehen und den Malware-Schutz beenden.

Wenn Sie diese Option deaktivieren, wird Ihr Schutz erheblich reduziert.

Für die MFA-Anmeldung verwendete Browser-Cookies schützen. Verhindert, dass nicht autorisierte Anwendungen den AES-Schlüssel entschlüsseln können, der zur Verschlüsselung von MFA-Cookies (mehrstufige Authentifizierung) verwendet wird.

Das Verbinden schädlicher Beacons mit Command-and-Control-Servern verhindern: Diese Einstellung identifiziert und blockiert Beacons, die versuchen, die Erkennung zu umgehen, indem sie verschlüsselt bleiben.

Verwendung von Treiber-APIs überwachen: Diese Einstellung erkennt den versuchten Missbrauch von APIs, die normalerweise von legitimen Anwendungen wie Druckern oder virtuellen Netzwerkadaptern verwendet werden, um mit Kernel-Modus-Code zu interagieren.

Die schädliche Verwendung von syscall-Befehlen verhindern: Diese Einstellung blockiert Versuche, die Überwachung durch direkte Aufrufe an System-APIs zu umgehen.

Missbrauch von Hardware-Breakpoints verhindern: Diese Einstellung verhindert den Missbrauch von Hardware-Breakpoints.

Netzwerkdatenverkehr schützen

  • Verbindungen zu schädlichen Command-and-Control-Servern erkennen. Erkennung von Datenverkehr zwischen einem Endpoint-Computer und einem Server, der auf einen möglichen Versuch hinweist, die Kontrolle über den Endpoint-Computer zu übernehmen.
  • Schädlichen Netzwerkverkehr mit Packet Inspection (IPS) verhindern. Dabei wird Datenverkehr auf niedrigster Ebene überprüft und Bedrohungen werden blockiert, bevor diese Schaden am Betriebssystem oder an Anwendungen anrichten können.

Erkennung schädlichen Verhaltens: Diese Option schützt Sie gegen Bedrohungen, die noch nicht bekannt sind. Dies gelingt durch die Erkennung und Blockierung von Verhaltensweisen, die als bösartig oder verdächtig bekannt sind.

AMSI-Schutz (mit erweitertem Scan nach skriptbasierten Bedrohungen): Diese Option schützt über die Microsoft Antimalware Scan Interface (AMSI) vor Schadcode (wie etwa PowerShell-Skripts). Über AMSI weitergeleiteter Code wird vor der Ausführung gescannt. Sophos benachrichtigt die Anwendungen, die den Code ausführen, über Bedrohungen. Wenn eine Bedrohung erkannt wird, wird ein Ereignis protokolliert. Sie können das Entfernen der AMSI-Registrierung auf Ihren Computern verhindern. Siehe Antimalware Scan Interface (AMSI).

Entfernen der AMSI-Registrierung verhindern: Diese Einstellung stellt sicher, dass AMSI nicht von Ihren Computern entfernt werden kann.

Adaptive Attack Protection

Automatisch zusätzliche Schutzmaßnahmen aktivieren, wenn ein Gerät angegriffen wird: Dies bewirkt aggressivere Schutzmaßnahmen, wenn ein Angriff erkannt wird. Diese zusätzlichen Schutzmaßnahmen zielen darauf ab, die Aktionen eines Angreifers zu unterbrechen.

Sie können die Funktionen der Adaptive Attack Protection auch dauerhaft aktivieren.

  • Schutz im abgesicherten Modus aktivieren: Diese Einstellung aktiviert den Sophos-Schutz, wenn Geräte im abgesicherten Modus ausgeführt werden. Einige Komponenten und Funktionen, wie Message-Relays und Update-Caches, sind im abgesicherten Modus nicht verfügbar.

  • Missbrauch des sicheren Modus blockieren: Diese Einstellung erkennt und blockiert Aktivitäten, die darauf hindeuten, dass ein Angreifer versucht, das Gerät in den abgesicherten Modus zu versetzen.

Erweiterte Einstellungen

Diese Einstellungen dienen nur zum Testen oder zur Fehlerbehebung. Wir empfehlen, diese Einstellungen auf den Standardwerten zu belassen.

QUIC-Browserverbindungen blockieren

Für Macs können Sie diese Funktion nur nutzen, wenn Sie am Early Access-Programm teilnehmen.

Wählen Sie QUIC-Browserzugriffe (Quick UDP Internet Connections) auf Webseiten blockieren, um diese Verbindungen zu verhindern.

Browser, bei denen QUIC aktiviert ist, können für manche Seiten die Webseitenkontrolle umgehen. Durch das Blockieren von QUIC wird sichergestellt, dass die SSL/TLS-Entschlüsselung und -Prüfung auf diesen Websites angewendet wird.

Standardmäßig ist diese Einstellung deaktiviert.

SSL/TLS-Entschlüsselung von HTTPS-Websites

Für Macs können Sie diese Funktion nur nutzen, wenn Sie am Early Access-Programm teilnehmen.

Wenn Sie Websites mit SSL/TLS entschlüsseln auswählen, entschlüsseln wir den Inhalt von HTTPS-Websites und prüfen diesen auf Bedrohungen auf den Computern Ihrer Kunden.

Wenn wir eine riskante Website entschlüsseln, blockieren wir diese. Der Benutzer wird hierüber benachrichtigt und kann die Website zur weiteren Prüfung an die SophosLabs senden.

Die Entschlüsselung ist standardmäßig deaktiviert.

Hinweis

Wenn in der Threat-Protection-Richtlinie Entschlüsselung für ein Gerät eingeschaltet ist, wird diese auf dem Gerät auch für die Web-Control-Richtlinienüberprüfung verwendet.

Wenn Sie diese Einstellung aktivieren, können Ihre Kunden keine Änderungen vornehmen.

Hinweis

Wenn Ihre Kunden am EAP „Neue Funktionen von Endpoint Protection“ teilnehmen, können sie die Entschlüsselung für HTTPS-Websites ein- oder ausschalten. Sie können Änderungen an den von Ihnen gewählten Einstellungen vornehmen.

Geräte-Isolation

Wenn Sie diese Option auswählen, isolieren sich Geräte selbst von Ihrem Netzwerk, wenn ihr Systemzustand rot ist. Der Systemzustand eines Geräts ist rot, wenn Bedrohungen erkannt wurden, veraltete Software vorhanden ist, das Gerät eventuell nicht richtlinienkonform oder nicht richtig geschützt ist.

Hinweis

Sophos Central bestimmt den Systemzustand anhand mehrerer Faktoren. Dies kann dazu führen, dass Sophos Central für ein Gerät einen anderen Systemzustand anzeigt als das Gerät selber. Die Isolation wird dadurch nicht beeinträchtigt. Wir verwenden nur einen roten Systemzustand, der von einem Gerät vorgegeben wird, um es zu isolieren.

Sie können isolierte Geräte weiterhin in Sophos Central verwalten. Sie können auch Scan-Ausschlüsse oder globale Ausschlüsse verwenden, um zur Fehlerbehebung eingeschränkten Zugriff auf diese Computer zu gewähren.

Sie können diese Geräte nicht aus der Isolation entfernen. Sie können wieder mit dem Netzwerk kommunizieren, sobald ihr Systemzustand wieder „grün“ ist.

Wir empfehlen Ihnen, die Auswirkungen dieser Option auf Ihr Netzwerk zu prüfen, bevor Sie sie anwenden. Aktivieren Sie sie dazu in einer Richtlinie und wenden Sie sie auf eine repräsentative Geräteauswahl an.

Hinweis

Wenn die Geräte Ihrer Benutzer isoliert werden, können sie scheinbar immer noch auf ihre Netzwerkdateien zugreifen. Dies liegt an der Windows-Funktion „Immer offline verfügbar“, die lokale Kopien von zugeordneten Netzlaufwerken erstellt, auf die Benutzer zugreifen können, wenn sie nicht verbunden sind. Dieses Verhalten wirkt sich nicht auf die Geräteisolierung aus.

Geplante Scans

Geplante Scans werden zu einer bestimmten Uhrzeit oder zu Zeiten durchgeführt, die Sie festlegen.

Geplante Scans sind eine veraltete Technik zur Erkennung von Schadsoftware. Dank Hintergrund-Scans sind diese in der Regel nicht mehr erforderlich. Dies kann die Systemauslastung erhöhen und das Scannen erheblich verlangsamen. Wir empfehlen, keine geplanten Scans zu verwenden, es sei denn, dies ist erforderlich.

Sie können folgende Optionen wählen:

  • Geplanten Scan aktivieren: Sie können eine Uhrzeit und einen oder mehrere Tage festlegen, an welchen der Scan ausgeführt werden soll.

    Hinweis

    Die Uhrzeit des geplanten Scans entspricht der Uhrzeit auf dem Endpoint-Computer (keine UTC-Zeit).

  • Intensivscans aktivieren: Wenn Sie diese Option aktivieren, werden beim geplanten Scan auch Archive gescannt. Hierdurch kann sich die Systemlast erhöhen, wodurch sich der Scanvorgang eventuell erheblich verlangsamt.

Geplante Scans werden nur durchgeführt, wenn der Computer online ist. Wenn der Computer während der geplanten Scanzeit offline ist, wird der Scan nicht ausgeführt. Das System startet einen Scan während der nächsten geplanten Zeit, sofern der Computer online ist.

Ausschlüsse

Sie können Dateien, Ordner, Websites und Anwendungen von der Überprüfung auf Bedrohungen ausschließen, wie unten beschrieben.

Einschränkung

Sie können auf der Seite Globale Vorlagen keinen Ausschluss „Exploit Mitigation and Activity Monitoring (Windows)“ erstellen.

Ausgeschlossene Elemente werden weiterhin auf Exploits überprüft. Sie können die Überprüfung auf einen bereits erkannten Exploit jedoch unterbinden. Verwenden Sie einen Ausschluss für erkannte Exploits.

Ausschüsse, die in einer Richtlinie festgelegt sind, werden nur für die Benutzer verwendet, für die die Richtlinie gilt.

Hinweis

Wenn Sie Ausschlüsse auf alle Ihre Benutzer und Server anwenden möchten, können Sie globale Ausschlüsse einrichten. Gehen Sie in Sophos Central Admin zu Meine Produkte > Allgemeine Einstellungen > Globale Ausschlüsse.

So erstellen Sie einen Richtlinien-Scan-Ausschluss:

  1. Klicken Sie unter Richtlinienausschlüsse auf Ausschluss hinzufügen.

  2. Gehen Sie unter Ausschluss hinzuzufügen folgendermaßen vor:

    1. Wählen Sie unter Ausschlusstyp einen Elementtyp aus, der ausgeschlossen werden soll. Zum Beispiel Datei oder Ordner, Website, potenziell unerwünschte Anwendung oder Geräte-Isolation.

    2. Geben Sie unter Wert das Element oder die Elemente ein, die Sie ausschließen möchten. Weitere Informationen zu Ausschlüssen finden Sie unter Sichere Verwendung von Ausschlüssen.

      Je nach Ausschlusstyp müssen Sie zusätzliche Details eingeben.

    3. Klicken Sie auf Hinzufügen. Der Ausschluss wird der Liste der Scan-Ausschlüsse hinzugefügt.

    4. (Optional) Klicken Sie auf Weitere hinzufügen, um einen weiteren Ausschluss hinzuzufügen.

Um einen Ausschluss später zu bearbeiten, wählen Sie diesen in der Ausschlussliste aus, geben Sie neue Einstellungen ein und klicken Sie auf Aktualisieren.

Desktop-Benachrichtigungen

Desktop-Benachrichtigungen senden Benachrichtigungen über Ereignisse zum Schutz vor Bedrohungen. Diese Einstellung ist standardmäßig aktiviert.

Sie können Ihre eigene Nachricht eingeben, um sie am Ende der Standardbenachrichtigungen hinzuzufügen.