介入防范策略

介入防范使您能够防范已知的恶意软件,以及防止未经授权的用户(对计算机安全了解不多的本地管理员和用户)通过 Sophos Endpoint Security and Control 用户界面,卸载或禁用 Sophos 安全软件。

注: 介入防范不针对具备丰富的计算机技术知识的用户。它也无法防范专门瓦解操作系统的检测功能的恶意软件。此类的软件只能通过对安全隐患和可疑行为的扫描,才能被发现。(要了解更多信息,请参见防病毒和 HIPS 策略。)

在您启用了介入防范,并创建了介入密码之后,终结点计算机上的 SophosAdministrator 组中不知道密码的成员,将不能够:

  • 在 Sophos Endpoint Security and Control 中重新配置读写扫描或可疑行为检测设置。
  • 禁用介入防范。
  • 卸载 Sophos Endpoint Security and Control(Sophos Anti-Virus,Sophos Client Firewall,Sophos AutoUpdate,或 Sophos Remote Management System)。

如果您想要启用 SophosAdministrators 执行这些任务,您必须向他们提供介入防范密码,这样他们才能够在介入防范中进行身份验证。

介入防范不会影响 SophosUser 和 SophosPowerUser 组中的成员。当介入防范启用时,他们将能够执行所有通常已经授权执行的任务,并不需要输入介入防范密码。

注: 如果您使用基于角色的管理,那么:
  • 您必须具备 策略设置 - 介入防范 权限,才能配置介入防范策略。
  • 您不能编辑应用于您的活动子领域之外的策略。

要了解更多信息,请参阅 管理角色和子领域

介入防范事件

当出现介入防范事件时,例如,阻止了某个未经授权的用户试图卸载某个终结点计算机上的 Sophos Anti-Virus 时,该事件会被记录到日志中,并可以从 Enterprise Console 中查看该日志记录。有关详细信息,请参见查看介入防范事件

介入防范事件有两种类型:

  • 顺利的介入防范验证事件,显示已验证的用户的名称,以及验证的时间。
  • 不成功的介入尝试事件,显示涉及的 Sophos 软件产品或组件的名称,介入尝试的时间,以及进行介入尝试的用户的详情。