伺服器威脅防護：Intercept X Advanced

若您擁有 Intercept X Advanced for Server 授權，除了標準的伺服器授權選項以外，還會在威脅保護策略中看到選項。

即時防護

執行階段保護透過偵測端點計算機上的可疑或惡意行為或資料流來防止受到威脅。

• 保護來自 Ransomware 的文件檔案 (CryptoGuard)：此功能可以防止文件檔案受到惡意軟體的威脅，惡意軟體會限制對檔案的存取，然後要求付費來釋放它們。您還可以選取保護 64 元電腦免受從遠端位置執行的勒索軟體的威脅。您可以選擇偵測到勒索軟體時要採取的動作。您可以終止正在執行的任何勒索軟體處理序，或透過將任何勒索軟體處理序隔離，使其無法寫入檔案系統。
• 防止主開機記錄勒索軟體：可保護電腦避免能將主開機紀錄加密（造成無法開機）的勒索軟體，以及將硬碟抹除的攻擊。
• 保護網頁瀏覽器的關鍵功能 (安全瀏覽)：此功能可以保護您的網頁瀏覽器以防其受到惡意軟體的利用。
• 在易受攻擊的應用程式中降低襲擊：此功能可以保護最容易受到惡意軟體利用的應用程式。您可以選取要保護哪些應用程式類型。

• 進階降低漏洞設定：

  • 防止憑證盜竊：這防止記憶體、登錄或硬碟的密碼及雜湊資訊受竊取。
  • 防止使用代碼漏洞：這偵測被置入到另一個合法應用程式的惡意程式碼。
  • 防止 APC 違反情況：這防止攻擊使用應用程式程序呼叫 (APC) 執行其程式碼。
  • 防止權限提升：這防止攻擊將低權限處理序提升到高權限以存取系統。建議您在將原則套用至伺服器之前先測試這些設定。

• 防護程序：這有助於防止惡意程式劫持合法應用程式。

  您可以執行以下操作：

  • 防護處理程序取代攻擊（處理程序空白攻擊）。
  • 可防護從不受信任的資料夾載入 DLL。

• 啟用 CPU 子目錄追蹤：CPU 惡意代碼偵測是 Intel 處理器的一項功能，可以跟踪處理器活動以進行偵測。我們支援它在具有以下架構的 Intel 處理器上使用：Nehalem、Westmere、Sandy Bridge、Ivy Bridge、Haswell、Broadwell、Goldmont、SkyLake 和 Kaby Lake。

  如果電腦上有（合法的）管理程式，我們不支援它。

• 動態 Shellcode 保護。這會偵測隱秘的遠端存取代理程式的行為，並防止攻擊者取得您網路的控制權。

• 驗證 CTF 協定調用者。這會攔截並封鎖嘗試利用 CTF 的應用程式。

  Windows 元件中的弱點（僅稱爲 “CTF”）存在於 Windows XP 的所有版本中，它允許非管理且未經授權的攻擊者劫持任何 Windows 進程，包括在沙箱中執行的應用程式。

• 防止側面載入不安全的模塊。這可防止應用程式將惡意 DLL 作爲 ApiSet Stub DLL 進行側載。

  ApiSet Stub DLL 是作爲 Proxy 的 DLL，用於維護較舊應用程式和較新作業系統版本之間的相容性。攻擊者可能會放置惡意的 ApiSet Stub DLL 來操縱此功能，或略過竄改防護並終止反惡意程式防護。

• 保護用於 MFA 登入的瀏覽器 Cookie。這可防止未經授權的應用程式解密用於加密多重要素驗證 (MFA) Cookie 的 AES 金鑰。

• Linux 執行階段偵測：這可讓您對 Linux 伺服器工作負載和容器進行執行階段可見度和威脅偵測。您可以在 Sophos Central Admin 的威脅分析中心管理這些警示。

  您需要 Intercept X Advanced for Server with XDR 或 Server MTR 授權才能使用此選項。

Deep Learning

Deep Learning 會使用進階機器學習偵測威脅。無須使用特徵比對檔，即可識別已知及先前未知的惡意軟體與可能不需要的應用程式。

校正

• 啟用威脅圖表建立：透過威脅案例，您可以調查惡意軟體攻擊中的事件鏈，並識別可以提高安全性的區域。