Implementieren einer Antivirus- und HIPS-Richtlinie

Verfahren Sie zum Implementieren der Antivirus- und HIPS-Richtlinie wie folgt:

  1. Legen Sie am besten für jede Gruppe eine eigene Richtlinie an.
  2. Wählen Sie die gewünschten Optionen für Sophos Live-Schutz aus. Der Live-Schutz bietet dank des Online-Abgleich-Diensts sowie der Echtzeit-Software-Updates besonders aktuellen Schutz. Sophos Live Protection ist für die Funktionen „Erkennung schädlichen Datenverkehrs“ und „Download-Reputation“ erforderlich.
    • Stellen Sie sicher, dass die Optionen Live Protection für On-Access-Überprüfung und Live Protection für On-Demand-Überprüfung ausgewählt sind. Wenn eine Datei von einem Antiviren-Scan auf einem Endpoint als verdächtig eingestuft wurde, anhand der Threatkennungsdateien (IDEs) auf dem Computer jedoch nicht festgestellt kann, ob die Datei virenfrei ist, werden bestimmte Daten (z. B. die Prüfsumme der Datei und weitere Attribute) zur weiteren Analyse an Sophos übermittelt. Durch einen Abgleich mit der Datenbank der SophosLabs wird sofort festgestellt, ob es sich um eine verdächtige Datei handelt. Die Datei wird als virenfrei oder von Malware betroffen eingestuft. Das Ergebnis der Prüfung wird an den Computer übertragen, und der Status der Datei wird automatisch aktualisiert.
    • Wählen Sie die Option Dateisamples automatisch an Sophos senden aus. Wenn die Datei als potenzielle Malware eingestuft wird, anhand der Eigenschaften der Datei jedoch keine eindeutige Klassifizierung möglich ist, kann Sophos über Sophos Live-Schutz ein Dateisample anfordern. Wenn Live Protection und die Option Dateisamples automatisch an Sophos senden aktiviert sind und Sophos noch kein Dateisample vorliegt, wird die Datei automatisch an Sophos übermittelt. Dateisamples helfen Sophos bei der Optimierung der Malware-Erkennung und minimieren falsche Erkennungen (sog. „False Positives“).
    ACHTUNG Sie müssen sicherstellen, dass die Sophos-Domäne, an die die Dateidaten gesendet werden, in Ihrer Web-Filter-Lösung zu den vertrauenswürdigen Seiten hinzugefügt wurde. Weitere Informationen entnehmen Sie dem Support-Artikel 62637. Wenn Sie eine Web-Filter-Lösung von Sophos einsetzen (z.B. WS1000 Web Appliance), müssen Sie nicht tätig werden. Sophos-Domänen zählen zu den vertrauenswürdigen Seiten.
  3. Aktivieren Sie die Erkennung von Viren und Spyware.
    1. Aktivieren Sie On-Access-Scans oder planen Sie eine vollständige Systemüberprüfung ein, um Viren und Spyware zu erkennen. On-Access-Scans sind standardmäßig aktiviert.
    2. Wählen Sie Bereinigungsoptionen für Viren/Spyware.
  4. Aktivieren Sie die Erkennung verdächtiger Dateien.
    Verdächtige Dateien weisen gewisse Malware-Merkmale auf, die jedoch nicht zur Einstufung der Dateien als neue Malware ausreichen.
    1. Aktivieren Sie On-Access-Scans oder planen Sie eine vollständige Systemüberprüfung ein, um verdächtige Dateien zu erkennen.
    2. Wählen Sie die Option Verdächtige Dateien in den Scan-Einstellungen.
    3. Wählen Sie Bereinigungsoptionen für verdächtige Dateien.
    4. Lassen Sie ggf. alle erlaubten Programme zu.
  5. Aktivieren Sie die Erkennung von schädlichem und verdächtigem Verhalten, Pufferüberläufen und schädlichem Datenverkehr (Verhaltensüberwachung).

    Anhand der Optionen werden laufende Prozesse beständig auf schädliches oder verdächtiges Verhalten überwacht. Die Methoden eignen sich zum Abwehren von Sicherheitsrisiken.

    1. Stellen Sie sicher, dass die Verhaltensüberwachung für On-Access-Scans aktiviert ist. Die Option ist standardmäßig aktiviert.
    2. Stellen Sie sicher, dass die Option Erkennung schädlichen Datenverkehrs ausgewählt ist.
    3. Wählen Sie die Option Nur benachrichtigen, um nur verdächtiges Verhalten und Pufferüberläufe zu erkennen. Diese Option ist standardmäßig aktiviert.
    4. Lassen Sie Programme und Dateien zu, die Sie weiterhin verwenden möchten.
    5. Deaktivieren Sie die Option Nur Alerts ausgeben, wenn erkannte Programme und Dateien gesperrt werden sollen.
    Dadurch wird das Sperren von Programmen und Dateien vermieden, die täglich genutzt werden. Weitere Informationen finden Sie im Support-Artikel 50160.
  6. Aktivieren Sie die Erkennung von Adware und PUA.

    Wenn ein System zum ersten Mal auf Adware und PUA gescannt wird, können unzählige Alerts zu laufenden Anwendungen im Netzwerk ausgegeben werden. Wenn Sie zunächst einen geplanten Scan laufen lassen, können Sie die Anwendungen im Netzwerk sicher behandeln.

    1. Führen Sie eine vollständige Systemüberprüfung zur Erkennung von Adware und PUA durch.
    2. Lassen Sie vom Scan erkannte Anwendungen zu oder deinstallieren Sie sie.
    3. Wählen Sie die On-Access-Scan-Option Adware und PUA aus, um Adware und PUA zu erkennen.
    Weitere Informationen finden Sie im Support-Artikel 13815.
  7. Die Erkennung von Threats in Webseiten kann aktiviert werden.

    Über die Option werden Websites blockiert, die bekanntermaßen Malware hosten. Zudem werden Downloads auf schädliche Inhalte gescannt.

    1. Stellen Sie sicher, dass die Option Zugriff auf schädliche Websites sperren auf Ein steht, damit schädliche Websites gesperrt werden. Diese Option ist standardmäßig aktiviert.
    2. Wählen Sie für die Option Content-Scanning Ein oder Wie On-Access aus, um heruntergeladene schädliche Daten zu scannen und zu sperren. Bei Auswahl der Option Wie On-Access (Standard) werden Download-Scans nur aktiviert, wenn auch On-Access-Scans aktiviert sind.
    3. Lassen Sie ggf. alle erlaubten Websites zu.
    4. Stellen Sie sicher, dass die Reputationsprüfung von Dateien aktiviert ist.
    Anmerkung Außerdem können Sie mit der Web Control-Richtlinie kontrollieren, welche Seiten Benutzer aufrufen können, indem Sie URLs in 14 Kategorien unangemessener Websites filtern.

Nähere Informationen zum Einrichten der Antivirus- und HIPS-Richtlinien entnehmen Sie bitte der Hilfe zu Sophos Enterprise Console.