Die Threat Protection-Basisrichtlinie für Server beinhaltet diese Standardoptionen.
Wir empfehlen, diese Einstellungen aktiv zu belassen. Diese Einstellungen bieten Ihnen optimalen Schutz, ohne dass Sie eine komplexe Konfiguration durchführen müssen.
Der Laufzeitschutz schützt vor Bedrohungen, indem verdächtiges oder schädliches Verhalten bzw. Datenverkehr erkannt wird.
Netzwerkdatenverkehr schützen. Sie können folgende Optionen wählen:
Sophos Security Heartbeat aktivieren: Dadurch werden Berichte über den Server-Sicherheitsstatus an jede Sophos XG Firewall gesendet, die in Ihrem Konto bei Sophos Central registriert ist. Falls mehrere Firewalls registriert sind, werden die Berichte an die nächstgelegene verfügbare Firewall gesendet. Wenn aus einem Bericht hervorgeht, dass ein Server möglicherweise manipuliert wurde, kann die Firewall dessen Zugriff beschränken.
AMSI-Schutz (mit erweitertem Scan nach skriptbasierten Bedrohungen). Diese Option schützt über die Microsoft Antimalware Scan Interface (AMSI) vor Schadcode (wie etwa PowerShell-Skripts). Wir scannen Code, der von AMSI weitergeleitet wird, bevor er ausgeführt wird, und benachrichtigen die Anwendungen, die zum Ausführen des Codes verwendet werden vor Bedrohungen. Wenn eine Bedrohung erkannt wird, wird ein Ereignis protokolliert. Sie können das Entfernen der AMSI-Registrierung auf Ihren Servern verhindern.
Verdächtige Dateien werden durch Abgleich mit aktuellen Malware-Daten in der SophosLabs-Datenbank überprüft.
Verwenden Sie Live Protection, um die neuesten Informationen zu Bedrohungen online von SophosLabs abzurufen: Mit dieser Option werden Dateien im Rahmen des Echtzeit-Scans überprüft.
Beim Echtzeit-Scan werden Dateien gescannt, wenn Benutzer versuchen, auf sie zuzugreifen. Der Zugriff wird erlaubt, wenn die Datei sauber ist.
lokale und entfernte Dateien: Wenn Sie stattdessen lokal wählen, scannen wir keine Dateien in Netzwerkfreigaben.
beim Lesen: Die Dateien werden gescannt, wenn sie geöffnet werden.
beim Schreiben: Die Dateien werden gescannt, wenn sie gespeichert werden.
Beim Echtzeit-Scan werden Internetquellen gescannt, während der Benutzer auf diese zugreifen.
Laufende Downloads scannen.
Zugriff auf schädliche Websites blockieren: Der Zugriff auf Websites, die bekannt dafür sind, dass sie Malware hosten, wird verweigert.
Nach Dateien mit geringer Reputation suchen: Der Endbenutzer wird gewarnt, wenn ein Download eine niedrige Reputation aufweist. Die Reputation wird anhand der Quelle der Datei, der Download-Häufigkeit und weiterer Faktoren ermittelt. Sie können festlegen:
Automatische Bereinigung von Malware: Erkannte Bedrohungen werden automatisch bereinigt. Diese Option wird von Windows-Servern unterstützt sowie von Gast-VMs, die durch das Sophos VM-Sicherheitssystem geschützt werden (jedoch nur, wenn der Sophos Agent für VM-Gastsysteme installiert ist).
Aktivitäten bekannter Aufwendungen automatisch ausschließen: Dies verhindert, dass Sophos Central Dateien scannt, die von bestimmten weit verbreiteten Anwendungen genutzt werden. Für eine Liste dieser Anwendungen, siehe Download-Reputation. Sie können Aktivitäten von anderen Anwendungen manuell ausschließen, indem Sie die Option Ausschlüsse nutzen.
Erkennung schädlichen Verhaltens (HIPS): Diese Option schützt Sie gegen Bedrohungen, die noch nicht bekannt sind. Dies gelingt durch die Erkennung und Blockierung von Verhaltensweisen, die als bösartig oder verdächtig bekannt sind. Wir stellen diese Option ein und ersetzten sie durch die untenstehende Option.
Erkennung schädlichen Verhaltens: Diese Option schützt Sie gegen Bedrohungen, die noch nicht bekannt sind. Dies gelingt durch die Erkennung und Blockierung von Verhaltensweisen, die als bösartig oder verdächtig bekannt sind.
Diese Einstellungen dienen nur zum Testen oder zur Fehlerbehebung. Wir empfehlen, diese Einstellungen auf den Standardwerten zu belassen.