跳至內容

伺服器威脅防護:預設設定

伺服器威脅保護基本策略包括這些標準選項。

我們建議您讓這些設定保持開啟。這些設定提供了無需複雜設定即可擁有的最佳防護。

則警告

變更推薦的設定前務必謹慎,因為這樣做可能會降低防護。

限制

您只能在 Windows Server 上使用部分選項。

即時防護

執行階段保護透過偵測可疑或惡意行為或資料流來防止受到威脅。

保護網路資料流

  • 偵測命令與控制伺服器的惡意網路流量:這會偵測端點電腦和伺服器之間表現出可能企圖控制端點電腦的資料流量(即「命令和控制」攻擊)。
  • 使用封包檢查功能阻止惡意網路流量 (IPS):這會掃描網路通訊,在威脅可能損害作業系統或應用程式之前將其識別並攔截。

啟用 Sophos 安全性活動訊號:這會將伺服器的「健全狀況」報告傳送至您的 Sophos Central 帳戶中註冊的每個 Sophos Firewall。若註冊的防火牆不止一個,報告會傳送到最近的防火牆。如果報告顯示伺服器可能遭到入侵,則防火牆可限制其存取。

AMSI Protection(增強對指令碼型威脅的掃描)。這會使用 Microsoft 反惡意程式掃描介面 (AMSI) 防止惡意代碼(例如,PowerShell 指令碼)。我們會先掃描 AMSI 轉寄的程式碼再執行,然後通知用於執行威脅程式碼的應用程式。如果偵測到威脅,則會記錄一次事件。您可以防止伺服器上的 AMSI 註冊刪除。參閱Antimalware Scan Interface (AMSI)

即時防護

會根據 SophosLabs 資料庫中的最新惡意程式資訊即時防護檢查可疑檔案。

使用即時防護在線上檢查來自 Sophos 實驗室的最新威脅資訊:此功能會在即時掃描期間檢查檔案。

  • 在排程掃描期間使用即時防護

即時掃描 - 本機檔案及網路共用

即時掃描在使用者嘗試存取檔案時對其進行掃描,如果檔案安全,則允許存取。

本機及遠端:如果您改為選取 本機,則我們不會掃描網路共用中的檔案。

讀取檔案時:在打開檔案時對其進行掃描。

寫入檔案時:在儲存檔案時對其進行掃描。

即時掃描 - 網路

即時掃描會在使用者嘗試存取網際網路資源時對其進行掃描。

掃描進行中的下載

攔截存取惡意網站:這會拒絕存取已知含有惡意程式的網站。

偵測低信譽檔案:警告終端使用者注意是否下載信譽較低。該信譽基於檔案的來源、下載頻率以及其他因素。參閱下載信譽

您可以指定:

  • 針對低信譽下載採取行動:若您選取 提示使用者,則使用者將在嘗試下載低信譽檔案時看見警告。這是預設設定。
  • 信譽等級:如果選取 限制,則會偵測中等信譽和低信譽檔案。預設設定為 建議

校正

自動清理惡意程式:嘗試自動清理偵測到的威脅。Windows 伺服器和受到 Sophos Security VM 保護的來賓虛擬機器(您必須在虛擬機器上安裝 Sophos Guest VM)均支援此選項。

注意

我們始終會清理諸如應用程式、庫和系統檔案等 PE (可攜式執行檔) 檔案,即使您關閉自動清理功能。PE 檔案會被隔離且可以恢復。

即時掃描 - 選項

自動排除已知應用程式的活動:此功能可避免 Sophos Central 掃描廣泛使用的應用程式所使用的檔案。如欲查閱這類應用程式的清單,請參閱下載信譽。您可使用 例外項目 選項,手動排除其他應用程式的活動。

偵測惡意行為 (HIPS):此功能用以防止出現尚未明確的威脅。它透過偵測並攔截已知具有惡意或可疑的行為來達到這一目的。我們正在逐步淘汰此選項,並將其替換為以下功能。

偵測惡意行為: 此功能用以防止出現尚未明確的威脅。它透過偵測並攔截已知具有惡意或可疑的行為來達到這一目的。

進階設定

這些設置僅用於測試或疑難排解。我們建議您將這些選項設定為預設值。