Per l'uso normale è consigliabile utilizzare Sophos Anti-Virus per Windows 2000 e successivo, versione 10.x, con le impostazioni predefinite. Più oggetti vengono controllati, in particolare con la scansione in accesso, maggiori risorse di sistema vengono utilizzate dalla scansione. Ciò può, per esempio, comportare un elevato utilizzo della CPU all'avvio.
Le impostazioni predefinite per un i nuovi criteri nelle nuove installazioni della console sono configurate per fornire il massimo livello di protezione e sono consigliate dai SophosLabs.
Applicabile ai seguenti prodotti e versioni di Sophos
Sophos Endpoint Security and Control 10.0
Le impostazioni di scansione predefinite sono
- scansione in lettura "attivata"
- scansione in scrittura "attivata"
- scansione se rinominato "attivata"
- scansione in accesso dei file di archivio "disattivata"
- scansione in accesso per la ricerca di applicazioni potenzialmente indesiderate "disattivata"
- scansione di tutti i file "disattivata".
Scansione in lettura
Va attivata in praticamente tutti i casi. La scansione in accesso consente alle workstation il controllo della presenza di virus. Tutti i file aperti dal computer vengono esaminati prima della loro esecuzione.
Scansione in scrittura
Nelle versioni 9.7 e precedenti, la scansione in scrittura era disabilitata per impostazione predefinita. Nelle versioni 10.x e successive, è abilitata per impostazione predefinita nei seguenti casi:
- Nei criteri della console centrale per le nuove installazioni della console.
- Nelle nuove installazioni del software di sicurezza per endpoint Sophos.
La scansione in scrittura è utile quando si vuole rintracciare la fonte dell'infezione in rete oppure se i file infetti vengono scritti da Internet. I file scritti sull'hard drive dal computer stesso, o da un altro computer, verranno esaminati al momento della loro creazione. Ciò impedisce a un virus di diffondere file infetti su tutte le condivisioni aperte in rete.
Si consiglia l'uso della scansione in scrittura con la versione 10.x, per il massimo livello di protezione della rete.
La scansione in scrittura è particolarmente utile quando si desidera rintracciare un virus diffuso tramite condivisioni di rete; tuttavia, è necessario verificare anche l'uso della condivisione dei file nella rete, e nello specifico la sicurezza delle condivisioni di amministrazione.
Scansione se rinominati
La scansione dei file rinominati può essere utile in circostanze simili a quelle della scansione in scrittura, tranne che il file in questione sarà stato scritto come se fosse un file non eseguibile e poi rinominato per renderlo eseguibile. La scansione dei file rinominati va utilizzata nelle stesse circostanze della scansione in scrittura.
Scansione in accesso dei file di archivio
La scansione in accesso dei file di archivio consuma molta memoria. Se si utilizza la scansione in accesso dei file di archivio, ogni volta che un file viene visualizzato in Esplora risorse il contenuto di tale file verrà pienamente esaminato. Se il file è un archivio autoestraente, il componente autoestrattore verrà esaminato con le impostazioni predefinite della scansione in accesso. Pertanto controllare l'intero file ogni volta, con la scansione in accesso, non è necessario.
Il maggiore utilizzo di memoria e CPU causato dalla scansione dei file di archivio è sprecato se non si accede al file. Non è necessario utilizzare la scansione in accesso degli archivi su una workstation.
- Se si ha bisogno di esaminare un archivio prima dell'apertura, utilizzare la scansione dal tasto destro del mouse. Il contenuto del file verrà comunque esaminato dalla scansione in accesso, prima che venga eseguito.
- Se si deve controllare un gruppo di file di archivio, posizionare quest'ultimi in un'unica cartella ed eseguire la scansione dal tasto destro del mouse di tale cartella.
- Se si devono controllare dei file di archivio su un file server, utilizzare una scansione pianificata.
La scansione in accesso dei file di archivio può essere utile laddove un server controlla i file prima di inoltrarli alle workstation client, ad es. come parte del traffico in transito. È consigliabile non includerla nell'impostazione standard della rete.
Scansione in accesso per la ricerca di applicazioni potenzialmente indesiderate
Le applicazioni potenzialmente indesiderate (Potentially unwanted applications, PUA) sono programmi il cui utilizzo va attentamente gestito. Alcune di esse (ad es. gli strumenti di accesso alla rete o i client di messaggistica istantanea) possono essere utili per alcuni dipendenti. Se un tale programma è già utilizzato in rete e successivamente viene aggiunto da Sophos all'elenco di applicazioni potenzialmente indesiderate, verrà bloccato immediatamente.
Per gestire le PUA nell'ambiente di lavoro utilizzare le scansioni pianificate. In seguito è possibile decidere quali applicazioni consentire e quali bloccare, senza interrompere l'attività in rete.
Scansione di tutti i file
La scansione di tutti i file va utilizzata per verificare che tutti i componenti di un virus siano stati rimossi dopo la disinfezione, ma non è necessario nell'uso generico.
La scansione standard "solo eseguibili" esamina tutti i file aventi estensioni di tipi di file eseguibili (ad es. ".DOC", ".EXE", ".LNK", ".PIF"). Inoltre esamina rapidamente la struttura di tutti i file, sottoponendoli a scansione se il loro formato è quello di un file eseguibile.
- Se si desidera eseguire la scansione di altri tipi di file, è possibile aggiungere queste estensioni dei tipi di file all'elenco degli eseguibili esaminati.
- Se ci si sente più tranquilli eseguendo occasionalmente un controllo di tutti i file nel computer, impostare una scansione pianificata settimanale in un momento di inattività (ad es. la domenica pomeriggio).
Durante la scansione di tutti i file di un computer, ricordare quanto segue.
- Una scansione di tutti i file può impiegare molto più tempo di una scansione dei soli file eseguibili.
- Dovrebbe accadere di rado, se non mai, di dover rimuovere un file non eseguibile.
- Prestare attenzione durante la rimozione di file con la scansione di tutti i file. Si potrebbero infatti rimuovere intere caselle di posta con una sola e-mail infetta all'interno oppure file compressi contenenti un solo file infetto fra molti altri.
Altre impostazioni per la massima protezione nella versione 10.x'
Nella versione 10.x sono state incluse anche le seguenti impostazioni, per la massima protezione:
- Disinfezione automatica per le scansioni in accesso.
- Disinfezione automatica per le scansioni pianificate.
- Abilitazione della scansione HIPS per il monitoraggio di comportamenti "malevoli" e "sospetti".