端點:安全威脅防護
威脅防護能保護您的安全,使您免受惡意程式、危險檔案類型和網站,以及惡意網路資料流量的威脅。
注意
此頁面描述了端點電腦的原則設定。適用於伺服器的原則設定不同。
SophosLabs 可以獨立控制掃描哪些檔案。可新增或移除掃描特定檔案類型,以提供最佳防護。
有關如何評估威脅的更多資訊,請參見 Sophos Threat Center。
使用建議設定
警告
變更建議的設定前務必謹慎,因為這樣做可能會降低防護。
如果您希望使用 Sophos 建議的設定,請按一下 使用建議設定。這些設定提供了無需複雜設定即可擁有的最佳防護。
如果我們將來變更建議,我們會自動使用新設定更新您的策略。
建議設定提供了:
- 已知惡意程式偵測。
- 雲端檢查,以便啟用對 Sophos 已知的最新惡意程式的偵測。
- 主動偵測以前未曾見過的惡意程式。
- 自動清理惡意程式。
設定威脅保護
本影片說明如何設定威脅保護原則並包含我們針對最佳做法所提出的建議。
Deep Learning
Deep Learning 會使用進階機器學習偵測威脅。無須使用特徵比對檔,即可識別已知及先前未知的惡意軟體與可能不需要的應用程式。
Deep Learning 僅限 Sophos Intercept X 提供。
即時防護
會根據 SophosLabs 資料庫中的最新惡意程式資訊即時防護檢查可疑檔案。
您可以選取這些選項:
使用即時防護在線上檢查來自 Sophos 實驗室的最新威脅資訊:此功能會在即時掃描期間檢查檔案。
即時掃描 - 本機檔案及網路共用
即時掃描在使用者嘗試存取檔案時對其進行掃描,如果檔案安全,則允許存取。
根據預設值會掃描本機檔案。您也可以選取 遠端檔案 來掃描網路共用上的檔案。
即時掃描 - 網路
即時掃描會在使用者嘗試存取網際網路資源時進行掃描。您可以選取這些選項:
掃描進行中的下載:此設定可控制我們在下載內容和頁面元素到達瀏覽器之前是否對其進行掃描。
- HTTP 連線:我們會掃描所有元素和下載內容。
- HTTPS 連線:除非您開啟 使用 SSL/TLS 解密網站,否則我們不會掃描任何元素。
攔截存取惡意網站:這會拒絕存取已知含有惡意程式的網站。
我們會進行信譽檢查,查看網站是否包含已知惡意內容 (SXL4 查閱)。如果您關閉 Live Protection,此檢查也會關閉。
- HTTP 連線:檢查所有 URL,包括完整的 HTTP GET 請求。
- HTTPS 連線:檢查基本網址 (SNI)。如果開啟 使用 SSL/TLS 解密網站,所有網址都會受到檢查,包括完整的 HTTP GET 請求。
偵測低信譽檔案:此設定會根據檔案的來源、下載頻率等,檢查下載信譽。使用下列選項決定下載內容的處理方式。
您可以指定:
-
針對低信譽下載採取行動:請使用以下其中一種作法:
- 提示使用者:選擇下載未知或聲譽較低的文件時,系統會提示用戶阻止或信任該文件並允許下載。這是預設設定。
- 僅記錄:下載的文件詳細資訊記錄在本地日誌中,但用戶不會收到任何提示。
-
信譽等級:請使用以下其中一種作法:
- 建議:低信譽檔案會自動遭到封鎖。這是預設設定。
- 限制:中低信譽的下載內容會自動遭到封鎖,並報告給 Sophos Central。
參閱下載信譽。
補救
補救選項如下:
-
自動清理惡意軟體:Sophos Central 自動清理偵測到的惡意軟體,並記錄清理作業。您可以在 事件 清單中看到此內容。
限制
Windows 電腦會持續清理偵測到的項目,無論這項設定如何。您可以還原已在 Windows 上清除的項目。您無法在 Mac 上還原這些項目,但我們仍建議您在 Mac 上開啟自動清理功能。
當 Sophos Central 清理檔案時,它會從其目前位置移除檔案,並將其隔離在 SafeStore 中。檔案會保留在 SafeStore 中,直到得到允許或被移除,從而為新的偵測留出空間。您可以透過將在 SafeStore 中隔離的檔案新增到允許的應用程式來還原這些檔案。請參閱 許可的應用程式。
SafeStore 具有以下預設限制:
- 單個檔案限制為 100 GB。
- 隔離大小的總限制為 200 GB。
- 儲存檔案的數目上限為 2000。
-
啟用威脅圖表建立:透過威脅案例,您可以調查惡意軟體攻擊中的事件鏈,並識別可以提高安全性的區域。
即時防護
您必須加入提前存取計劃才能使用部分選項。
執行階段防護透過偵測可疑或惡意行為或資料流來防止受到威脅。您可以選取:
保護來自 Ransomware 的文件檔案 (CryptoGuard):此功能可以防止文件檔案受到惡意軟體的威脅,惡意軟體會限制對檔案的存取,然後要求付費來釋放它們。您還可以選取保護 64 元電腦免受從遠端位置執行的勒索軟體的威脅。
您也可以使用這些選項:
- 遠端執行勒索軟體的防護:這可確保整個網路的防護。建議您使其保持開啟。
- 保護以免受加密檔案系統的攻擊:這樣可保護電腦免受加密檔案系統的勒索軟體攻擊。選擇偵測到勒索軟體時要採取的動作。您可以終止勒索軟體處理序或將其隔離,使其停止寫入檔案系統。
防止主開機記錄勒索軟體:可保護電腦避免能將主開機紀錄加密(造成無法開機)的勒索軟體,以及將硬碟抹除的攻擊。
保護網頁瀏覽器的關鍵功能 (安全瀏覽):此功能可以保護您的網頁瀏覽器以防其受到惡意軟體的利用。
在易受攻擊的應用程式中降低襲擊:此功能可以保護最容易受到惡意軟體利用的應用程式。您可以選取要保護哪些應用程式類型。
防護程序:這有助於防止惡意程式劫持合法應用程式。您可以選取這些選項:
-
預防偽裝程序攻擊:這樣可以防止處理序替換攻擊。
關閉此設定會使攻擊者更容易略過您的安全軟體。
-
預防從不受信任的資料夾載入 DLL:這樣可以防止從不受信任的資料夾載入 DLL 檔案。
- 防止憑證盜竊:防止記憶體、登錄或硬碟的密碼及雜湊資訊被竊取。
- 防止使用代碼漏洞:這偵測被置入到另一個合法應用程式的惡意程式碼。
- 防止 APC 違反情況:防止攻擊使用應用程式程序呼叫 (APC) 執行其程式碼。
- 防止權限提升:防止攻擊將低權限處理序提升到高權限以存取系統。
動態 Shellcode 保護:這會偵測隱秘的遠端存取代理程式的行為,並防止攻擊者取得您網路的控制權。
驗證 CTF 協定呼叫程式:這會攔截並封鎖嘗試利用 CTF 的應用程式。
Windows 元件中的弱點(僅稱爲 “CTF”)存在於 Windows XP 的所有版本中,它允許非管理且未經授權的攻擊者劫持任何 Windows 進程,包括在沙箱中執行的應用程式。
防止側面載入不安全的模組:這可防止應用程式將惡意 DLL 作爲 ApiSet Stub DLL 進行側載。
ApiSet Stub DLL 是作爲 Proxy 的 DLL,用於維護較舊應用程式和較新作業系統版本之間的相容性。攻擊者可能會放置惡意的 ApiSet Stub DLL 來操縱此功能,或略過竄改防護並終止反惡意程式防護。
關閉此功能會大大降低對您的保護。
保護用於 MFA 登入的瀏覽器 Cookie。這可防止未經授權的應用程式解密用於加密多重要素驗證 (MFA) Cookie 的 AES 金鑰。
防止惡意指標連線至命令與控制伺服器:此設定可識別並封鎖企圖透過保持加密來逃避偵測的指標。
監控驅動程式 API 的使用:此設定可偵測濫用合法應用程式 (例如印表機或虛擬網路介面卡) 通常使用之 API,從而與核心模式程式碼互動的行為。
防止惡意使用 syscall 指令:此設定可阻止透過直接調用系統 API 來逃避監控的企圖。
預防硬體斷點濫用:此設定可防止濫用硬體斷點。
保護網路資料流
- 偵測命令與控制伺服器的惡意網路流量。這會檢測端點電腦與伺服器之間的流量,並指出可能嘗試控制該端點電腦的行為。
- 使用封包檢查功能阻止惡意網路流量 (IPS)。這會在最低層級掃描流量,並在威脅損壞作業系統或應用程式之前封鎖威脅。
偵測惡意行為:此功能用以防止出現尚未明確的威脅。它透過偵測並攔截已知具有惡意或可疑的行為來達到這一目的。
AMSI Protection(增強對指令碼型威脅的掃描):這會使用 Microsoft 反惡意程式掃描介面 (AMSI) 防止惡意代碼(例如,PowerShell 指令碼)。使用 AMSI 轉寄的代碼會在執行之前進行掃描,並且 Sophos 會通知用於執行該代碼的應用程式。如果偵測到威脅,則會記錄一次事件。您可以防止電腦上的 AMSI 註冊刪除。參閱Antimalware Scan Interface (AMSI)。
防止移除 AMSI 註冊:此設定可確保無法從電腦移除 AMSI。
自適應攻擊防護
當裝置受到攻擊時自動開啟額外防護:此設定可在偵測到攻擊時啟用一組更積極的防護措施。這些額外防護措施的目的是中斷攻擊者的行動。
您也可以永久開啟自適應攻擊防護功能。
-
在安全模式下啟用防護:當裝置在安全模式下執行時,此設定將啟用 Sophos 防護。某些元件和功能 (如郵件中繼和更新快取) 在安全模式下不可用。
-
封鎖安全模式濫用:此設定會偵測並封鎖表示攻擊者嘗試將裝置置於安全模式的活動。
進階設定
這些設置僅用於測試或疑難排解。我們建議您將這些選項設定為預設值。
封鎖 QUIC 瀏覽器連線
只有在您已加入搶先試用計畫時,才能使用此功能。
選取 封鎖 QUIC (快速 UDP 網際網路連線) 瀏覽器存取網站,以阻止這些連線。
啟用 QUIC 的瀏覽器可以略過我們對一些網站的網站檢查。封鎖 QUIC 可確保我們將 SSL/TLS 解密與檢查套用至這些網站。
預設情況下,此設定為關閉。
HTTPS 網站的 SSL/TLS 解密
只有在您已加入搶先試用計畫時,才能使用此功能。
如果您選取使用 SSL/TLS 解密網站,我們將解密並檢查 HTTPS 網站的內容,防止您的客戶電腦受到威脅。
如果我們解密了風險較高的網站,我們會加以封鎖。我們向使用者顯示一條訊息,並讓他們選擇將網站提交到 SophosLabs 進行重新評估。
預設情況下,解密是關閉的。
注意
如果套用至某部裝置的威脅防護原則中開啟了解密,則該原則也將用於同一部裝置中的 Web 控制項檢查。
如果您開啟此設定,您的客戶將無法進行變更。
注意
如果您的客戶正在參與「新端點保護功能」EAP,他們可以開啟或關閉 HTTPS 網站的解密功能。他們可以變更您選擇的設定。
裝置隔離
如果選取此選項,如果裝置的安全狀態為紅色,則會將自己與網路隔離。如果裝置偵測到威脅、軟體過期、不符合原則或未得到適當保護,則其安全狀態為紅色。
注意
Sophos Central 使用更廣泛的因素來判斷健康狀況。這可能意味著它會回報與裝置本身不同的裝置健康狀況。這不會影響隔離。Sophos 僅根據裝置是否提供紅色健康狀況來隔離裝置。
您仍然可以從 Sophos Central 管理隔離的裝置。您還可以使用掃描排除項或全域排除項來限制存取它們,以進行疑難排解。
您不能從隔離中移除這些裝置。電腦的安全狀態為綠色時,它們將重新與網路通訊。
建議您在套用此選項之前,先評估其對網路的影響。若要執行此操作,請在某個原則中將其打開,然後將原則套用至有代表性的範例裝置。
注意
當您的使用者裝置進入隔離狀態時,它們看似仍然能夠存取網路檔案。這是由於 Windows 的「始終離線可用」功能,該功能會建立映射網路磁碟機的本地副本,使用者可以在斷開連線時使用這些副本。此行為不會影響裝置隔離。
排程掃描
排程掃描按您指定的時間執行掃描。
排程掃描是用於偵測惡意軟體的舊技術。現在我們擁有背景掃描功能,很少需要排程掃描。排程掃描會增加系統負載並顯著降低掃描速度。建議您非必要不要使用排程掃描。
您可以選取這些選項:
-
啟用排程掃描:這使您可以定義要執行掃描的時間以及日期 (一或多日)。
注意
排程掃描時間是端點電腦上的時間 (不是 UTC 時間)。
-
啟用深度掃描:如果選取此選項,將在排程掃描期間掃描封存。這可能會增加系統負載,並使掃描速度明顯變慢。
只有在電腦連線時,才會執行排程掃描。如果電腦在預定掃描時間離線,掃描將不會執行。系統將在下次預定時間開始掃描,前提是電腦已連線。
例外項目
您可以從威脅掃描中排除檔案、資料夾、網站或應用程式,如下所述。
限制
您無法在全域範本頁面上建立「漏洞緩解和活動監控 (Windows)」排除項目。
我們仍然會檢查被排除的項目有無漏洞。但是,您可以停止檢查已經偵測到的漏洞。使用檢測到的漏洞利用排除。
在策略中設定的排除項僅用於策略所適用的使用者。
注意
如果您要將排除項套用到所有使用者和伺服器,請設定全域排除項。在 Sophos Central Admin 中,移至我的產品 > 一般設定 > 全域排除項。
若要建立原則掃描排除項,請依照以下操作進行:
- 在 “策略排除”中,單擊 “添加排除”。
-
在 新增例外項目 中,執行以下操作。
- 在 排除類型中,選擇要排除的項目類型。例如,文件或文件夾,網站,可能不需要的應用程式或設備隔離。
-
指定要排除的項目。有關排除項的更多資訊,請參閱 安全使用排除項。
您是需要,可以根據您的排除類型輸入其他詳細資訊。
-
按一下 新增。排除項新增到掃描排除項清單中。
- (可選)單擊 "添加另一個 "以添加另一個排除項。
之後若要編輯排除項,在排除項清單中按一下其名稱,輸入新設定並按一下 更新。
桌面傳訊
桌面訊息通知 會向您傳送有關威脅防護事件的通知。此選項在預設情況下為開啟。
您可以輸入自己的訊息以新增至標準通知的結尾。