Criteri blocco rimozione

Il blocco rimozione consente di impedire a malware noto e a utenti non autorizzati (amministratori locali e utenti con conoscenze tecniche limitate) la disinstallazione del software di sicurezza Sophos o la sua disabilitazione attraverso l'interfaccia di Sophos Endpoint Security and Control.

Nota: Il blocco rimozione non è pensato per offrire protezione contro utenti con vaste conoscenze tecniche. Non offre protezione contro malware appositamente studiato per sabotare il rilevamento da parte del sistema operativo. Tale tipo di malware può essere rilevato solamente eseguendo una scansione alla ricerca di minacce e comportamenti sospetti (Per ulteriori informazioni, vedere Criterio antivirus e HIPS.)

Dopo aver abilitato la protezione e aver creato una password del blocco rimozione, un membro del gruppo SophosAdministrator che non conosce la password non sarà in grado di:

  • Riconfigurare le impostazioni della scansione in accesso o del rilevamento di comportamenti sospetti in Sophos Endpoint Security and Control.
  • Disabilitazione del blocco rimozione
  • Disinstallare i componenti di Sophos Endpoint Security and Control (Sophos Anti-Virus, Sophos Client Firewall, Sophos AutoUpdate, o Sophos Remote Management System).

Se si desidera che SophosAdministrators svolga queste operazioni, è necessario fornire la password blocco rimozione, in modo tale che possano, per prima cosa, essere autenticate col blocco rimozione .

Il blocco rimozione non ha alcuna ripercussione sui gruppi SophosUsers e SophosPowerUsers. Quando il blocco rimozione è attivo, sarà comunque possibile eseguire tutte le operazioni normalmente autorizzate, senza bisogno di immettere la password del blocco rimozione.

Nota: Se si utilizza l'amministrazione basata sui ruoli:
  • Per configurare un criterio blocco rimozione occorre avere il diritto Impostazione dei criteri - blocco rimozione.
  • Non è possibile modificare un criterio se applicato al di fuori del proprio sottoambiente attivo.

Per ulteriori informazioni, consultare la sezione Gestione dei ruoli e dei sottoambienti.

Eventi del blocco rimozione

Quando si verifica un evento del blocco rimozione, per esempio viene impedito un tentativo non autorizzato di disinstallare Sophos Anti-Virus da un computer, l'evento viene trascritto nel log eventi visualizzabile tramite Enterprise Console. Per ulteriori informazioni, vedere Visualizzazione degli eventi del blocco rimozione.

Esistono due tipi di eventi del blocco rimozione:

  • Per gli eventi di autenticazione del blocco rimozione riusciti, viene riportato il nome dell'utente autenticato e l'orario dell'autenticazione.
  • Nel caso si tentativi di sabotaggio falliti vengono riportati i nomi dei componenti o dei prodotti Sophos oggetto di attacco, l'orario del tentativo e i dettagli dell'utente responsabile di tale tentativo.