介入防范策略
介入防范使您能够防范已知的恶意软件,以及防止未经授权的用户(对计算机安全了解不多的本地管理员和用户)通过 Sophos Endpoint Security and Control 用户界面,卸载或禁用 Sophos 安全软件。
注: 介入防范不针对具备丰富的计算机技术知识的用户。它也无法防范专门瓦解操作系统的检测功能的恶意软件。此类的软件只能通过对安全隐患和可疑行为的扫描,才能被发现。(要了解更多信息,请参见防病毒和 HIPS 策略。)
在您启用了介入防范,并创建了介入密码之后,终结点计算机上的 SophosAdministrator 组中不知道密码的成员,将不能够:
- 在 Sophos Endpoint Security and Control 中重新配置读写扫描或可疑行为检测设置。
- 禁用介入防范。
- 卸载 Sophos Endpoint Security and Control(Sophos Anti-Virus,Sophos Client Firewall,Sophos AutoUpdate,或 Sophos Remote Management System)。
如果您想要启用 SophosAdministrators 执行这些任务,您必须向他们提供介入防范密码,这样他们才能够在介入防范中进行身份验证。
介入防范不会影响 SophosUser 和 SophosPowerUser 组中的成员。当介入防范启用时,他们将能够执行所有通常已经授权执行的任务,并不需要输入介入防范密码。
介入防范事件
当出现介入防范事件时,例如,阻止了某个未经授权的用户试图卸载某个终结点计算机上的 Sophos Anti-Virus 时,该事件会被记录到日志中,并可以从 Enterprise Console 中查看该日志记录。有关详细信息,请参见查看介入防范事件。
介入防范事件有两种类型:
- 顺利的介入防范验证事件,显示已验证的用户的名称,以及验证的时间。
- 不成功的介入尝试事件,显示涉及的 Sophos 软件产品或组件的名称,介入尝试的时间,以及进行介入尝试的用户的详情。