Die empfohlenen Anti-Virus- und HIPS-Einstellungen, die bei einer Neuinstallation der Konsole als Standardeinstellungen einer neuen Richtlinie festgelegt werden, wurden für bestmöglichen Schutz konfiguriert und beruhen auf den Empfehlungen der SophosLabs.
Für den Normalgebrauch empfiehlt Sophos, die Standardeinstellungen zu Anti-Virus und HIPS zu übernehmen. Wenn zudem On-Access-Scans aktiviert sind, werden unter Umständen mehr Systemressourcen benötigt. Dadurch kann sich die CPU-Auslastung beim Hochfahren erhöhen. .
Betrifft die folgenden Sophos Produkte/Versionen
:
Sophos Endpoint Security and Control 10.0
Die Standardeinstellungen lauten:
- Dateien werden beim Lesen, beim Schreiben und beim Umbenennen gescannt
- "On-Access-Scans von Archivdateien": deaktiviert
- "On-Access-Scans von potenziell unerwünschten Anwendungen": aktiviert
- Die Standardoption für das Scannen von Dateien lautet: "Nur ausführbare und anfällige Dateien scannen"
- "Erkennung schädlichen Verhaltens": aktiviert
- "Erkennung verdächtigen Verhaltens": "Nur melden"
- "Erkennung von Pufferüberläufen": aktiviert
- "Live-Schutz": aktiviert
- "Systemspeicher-Scans": aktiviert
- "Sperrung des Zugriffs auf schädliche Websites": aktiviert
- "Objekte mit Virus/Spyware automatisch bereinigen": aktiviert
- Wenn keine Bereinigung festgelegt wurde: "Nur Zugriff verweigern".
Hinweis: Nähere Informationen zu unseren empfohlenen Schutzeinstellungen entnehmen Sie bitte dem Support-Artikel 27267. Hierbei handelt es sich um die Standardeinstellungen für alle Neuinstallationen.
Im Folgenden werden die Haupteinstellungen erläutert.
Scans "Beim Lesen"
Diese Einstellung sollte auf jeden Fall aktiviert werden. Mit On-Access-Scans werden Ihre Arbeitsplatzrechner auf Viren überprüft. Sämtliche Dateien, die auf dem Computer geöffnet werden, werden vor der Ausführung gescannt.
Scans "Beim Schreiben"
Scans beim Lesen können bei der Ermittlung der Quelle einer Infektion im Netzwerk hilfreich sein und bieten sich zudem an, wenn über das Internet in infizierte Dateien geschrieben wird. Dateien, die auf die Festplatte Ihres oder eines andren Computers geschrieben werden, werden bei der Erstellung gescannt. So können sich Viren nicht über alle geöffneten Freigaben im Netzwerk verbreiten.
Die Funktion bietet sich vor allem zum Auffinden von Viren auf, die sich über Netzwerkfreigaben ausbreiten. Es empfiehlt sich jedoch auch, die Nutzung der Dateifreigabe im Netzwerk und insbesondere mit Hinblick auf die Sicherheit von Administratorfreigaben zu überprüfen.
Scans "Beim Umbenennen"
Scans beim Umbenennen empfehlen sich in ähnlichen Situationen wie Scans beim Lesen. Der einzige Unterschied besteht darin, dass die betroffene Datei so geschrieben wurde, dass es sich nicht um eine ausführbare Datei handelt und anschließend durch Umbenennen ausführbar gemacht wurde. Verwenden Sie Scans beim Umbenennen in den gleichen Szenarien wie Scans beim Lesen.
On-Access-Scans von Archivdateien
Das Scannen von Archivdateien ist äußerst speicherintensiv. Wenn die Funktion aktiviert ist, wird der gesamte Inhalt der Datei beim Aufrufen im Windows-Explorer überprüft. Wenn es sich um ein selbstextrahierendes Archiv handelt, wird auch das Extrahierungsprogramm von den Standard-On-Access-Scan-Einstellungen erfasst. Es muss also nicht immer die gesamte Datei mit On-Access-Scans gescannt werden.
Die erhöhte Speicher- und CPU-Auslastung beim Scannen von Archivdateien lohnt sich zudem nicht, wenn dann nicht auf die Datei zugegriffen wird. In der Regel ist das Scannen von Archivdateien auf Arbeitsplatzrechnern nicht erforderlich.
- Wenn Sie das Archiv vor dem Öffnen scannen möchten, verwenden Sie hierzu einen Rechtsklick-Scan. Der Inhalt der Datei wird ohnehin vor dem Ausführen von On-Access-Scans erfasst.
- Wenn Sie eine Gruppe von Archivdateien scannen möchten, legen Sie alle Archive in einem Ordner ab und scannen Sie den Ordner mit einem Rechtsklick-Scan.
- Wenn Sie Archivdateien auf einem Datei-Server scannen möchten, verwenden Sie hierzu einen geplanten Scan.
On-Access-Scans von Archivdateien sind etwa hilfreich, wenn ein Server Dateien erst prüft und dann an die Client-Arbeitsplatzrechner weiterleitet (etwa als Traffic). Dies sollte nicht Bestandteil eines Standard-Netzwerk-Setups sein.
On-Access-Scans von potenziell unerwünschten Anwendungen
Potenziell unerwünschte Anwendungen (PUA) sollten mit Sorgfalt verwaltet werden. Bestimmte solche Anwendungen (z.B. Netzwerkzugriff-Tools oder Messaging-Programme) können für manche Mitarbeiter erforderlich sein. Wenn ein Programm bereits im Netzwerk vorhanden ist und in die Liste der potenziell unerwünschten Anwendungen von Sophos aufgenommen wird, wird es sofort gesperrt.
Es empfiehlt sich, potenziell unerwünschte Anwendungen mit geplanten Scans zu verwalten. Sie können bestimmen, welche Anwendungen zugelassen bzw. gesperrt werden sollen, ohne die Netzwerkaktivität zu beeinträchtigen.
Scannen aller Dateien
Mit Scans aller Dateien kann überprüft werden, ob alle Komponenten eines Virus nach einer Desinfektion entfernt wurden. Für den Allgemeingebrauch ist die Funktion jedoch nicht erforderlich.
Die Standardoption "Nur ausführbare Dateien" erfasst alle Dateien mit Erweiterungen ausführbarer Dateien (z.B. ".DOC", ".EXE", ".LNK", ".PIF"). Außerdem wird schnell die Struktur aller Dateien überprüft und die mit ausführbarem Dateiformat werden gescannt.
- Um weitere Dateitypen zu scannen, können deren Dateierweiterungen zur Liste zu scannender Dateitypen hinzugefügt werden.
- Wenn Sie aus Sicherheitsgründen in regelmäßigen Abständen alle Dateien auf dem Computer scannen möchten, richten Sie einen geplanten Scan in Zeiten geringer Netzauslastung (z.B. am Sonntag) ein.
Beim Scannen aller Dateien auf dem Computer gilt es, Folgendes zu beachten.
- Scans aller Dateien nehmen weit mehr Zeit in Anspruch als Scans von ausführbaren Dateien.
- Nicht ausführbare Dateien müssen nur in Ausnahmefällen entfernt werden.
- Achten Sie beim Scan "aller Dateien" darauf, dass Sie nicht versehentlich Dateien löschen, die Sie behalten möchten. Eventuell werden ganze E-Mail-Ordner oder eine Reihe von Dateien gelöscht, die jeweils nur eine infizierte Datei enthalten.
Automatische Bereinigung von Objekten, die mit Viren/Spyware infiziert sind
In Endpoint 10 ist die Option "Objekte mit Virus/Spyware automatisch bereinigen" zu On-Access-Scans standardmäßig aktiviert. Durch diese Option lässt sich der Verwaltungsaufwand in Zusammenhang mit Malware-Meldungen an die Konsole reduzieren. Zudem werden dabei bei erfolgreicher Bearbeitung von Malwaremeldungen keine Alerts im Dashboard und/oder zum Computernamen des Clients in der Konsole angezeigt. Der Alert-Verlauf und Reports geben dennoch Aufschluss über sämtliche Ereignisse in Zusammenhang mit Malwareerkennungen.
Es empfiehlt sich, als Folgemaßnahme "Nur Zugriff verweigern" festzulegen.
Erkennung schädlichen Verhaltens
Die Erkennung schädlichen Verhaltens muss zudem für den HIPS-Schutz aktiviert werden. Hierbei handelt es sich um die übergeordnete Option zu "verdächtigem Verhalten". Wenn Sie die Option "schädliches Verhalten" deaktivieren, wird HIPS komplett deaktiviert. Es empfiehlt sich, die Option zu aktivieren.
Erkennung verdächtigen Verhaltens
Verdächtiges Verhalten weist Charakterisika von Malware auf, kann jedoch zugelassen werden, wenn Sie der erkannten Datei/dem erkannten Programm vertrauen. Standardmäßig ist die Option zwar aktiviert, wenn jedoch "Nur melden" ausgewählt wurde, werden die Datein nicht gesperrt.
Wenn Sie ein Upgrade auf Endpoint 10 durchführen und mehr über die migrierten Einstellungen erfahren möchten, lesen Sie bitte den Support-Artikel 114528.
Erkennung von Pufferüberläufen
Pufferüberlauf-Angriffe können ein Risiko darstellen. Wenn Sie die ausgeführte Datei/den ausgeführten Prozess jedoch kennen, können Sie das Objekt genau wie bei verdächtigem Verhalten zulassen.
Live-Schutz
Mit dem Live-Schutz von Sophos verbessert sich die Erkennung neuer Malware und Fehlalarme werden minimiert. Dies erfolgt über einen Sofortabgleich mit der aktuellen bekannten Malware. Wenn neue Malware erkannt wird, kann Sophos binnen Sekunden Updates schicken. Um von diesem Schutzgrad zu profitieren, sollten Sie die Standardeinstellung "Aktiviert" übernehmen.
Nähere Anweisungen entnehmen Sie bitte dem Support-Artikel 110921.
Weitere Schutzeinstellungen in Version 10.0
Version 10.0 bietet zudem die folgenden Einstellungen für besten Schutz:
- Automatische Bereinigung von Erkennungen von geplanten Scans.