Sophos Central Hilfe
Inhalt 1 Über die Hilfe für Sophos Central Admin............................................................................5 2 Ihre Lizenz aktivieren.........................................................................................................6 3 Über die Bedienoberfläche.................................................................................................7 4 Dashboard..........................................................................................................................8 5 Warnhinweise.....................................................................................................................9 5.1 Warnhinweise bezüglich der Installation, Aktualisierung und Compliance.........10 5.2 Warnhinweise von Threat Protection..................................................................11 5.3 Warnhinweise für mobile Geräte........................................................................14 5.4 Warnhinweise für Device Encryption..................................................................17 5.5 E-Mail-Warnhinweise..........................................................................................17 6 Protokolle & Berichte........................................................................................................18 6.1 Ereignisbericht....................................................................................................18 6.2 Audit-Protokolle..................................................................................................29 6.3 Benutzerbericht..................................................................................................31 6.4 Bericht über den Nachrichtenverlauf..................................................................31 6.5 Server-Bericht.....................................................................................................32 6.6 Computer-Bericht...............................................................................................33 6.7 Mobile Management Report...............................................................................33 6.8 Mobile Security Report.......................................................................................35 6.9 Peripheriegeräte-Bericht.....................................................................................36 6.10 Application Control Reports..............................................................................36 6.11 Reports für Web Control...................................................................................39 6.12 Web-Gateway Reports......................................................................................42 7 Bedrohungs-Analyse........................................................................................................44 7.1 Details der Bedrohungs-Analyse........................................................................44 8 Personen..........................................................................................................................47 8.1 Benutzer.............................................................................................................47 8.2 Benutzergruppen................................................................................................54 9 Computer..........................................................................................................................56 9.1 Computer-Übersicht...........................................................................................58 9.2 Computerereignisse...........................................................................................60 9.3 Computerstatus..................................................................................................61 9.4 Computerrichtlinien.............................................................................................61 10 Mobile Geräte.................................................................................................................63 10.1 Mobilgerätinformationen...................................................................................63
2
10.2 Mobilgerätereignisse........................................................................................66 10.3 Mobilgerätstatus...............................................................................................66 10.4 Richtlinien für Mobilgeräte................................................................................67 11 Server.............................................................................................................................69 11.1 Server...............................................................................................................69 11.2 Servergruppen..................................................................................................73 12 WLAN.............................................................................................................................76 12.1 WLAN-Dashboard.............................................................................................76 12.2 Access Points...................................................................................................77 12.3 SSIDs ..............................................................................................................80 12.4 Clients...............................................................................................................84 12.5 Nutzungsdaten.................................................................................................85 12.6 Standorte..........................................................................................................85 12.7 Einstellungen....................................................................................................88 12.8 Wireless-Richtlinien..........................................................................................88 13 Posteingänge..................................................................................................................90 13.1 Posteingang......................................................................................................90 14 Richtlinien.......................................................................................................................92 14.1 Über Richtlinien................................................................................................92 14.2 Benutzerrichtlinien............................................................................................95 14.3 Serverrichtlinien..............................................................................................118 15 Systemeinstellungen....................................................................................................136 15.1 Active Directory-Synchronisierung.................................................................136 15.2 Rollenverwaltung............................................................................................140 15.3 Manipulationsschutz.......................................................................................143 15.4 Verwaltung API-Tokens...................................................................................144 15.5 Website-Management.....................................................................................144 15.6 Registrierte Firewall-Geräte............................................................................145 15.7 Globale Scan-Ausschlüsse.............................................................................146 15.8 Ausschlüsse für Exploit-Mitigation..................................................................148 15.9 Bandbreitennutzung.......................................................................................148 15.10 Update-Cache verwalten..............................................................................149 15.11 iOS-Einstellungen für MDM..........................................................................150 15.12 Exchange-Einstellungen...............................................................................152 15.13 WLAN-Einstellungen.....................................................................................153 15.14 Domains und Adressen erlauben/blockieren................................................154 15.15 Email Security-Einstellungen........................................................................156 15.16 Einstellungen für erlaubte Apps....................................................................159 15.17 Amazon Web Services-Konten.....................................................................160
3
16 Geräte schützen...........................................................................................................162 16.1 Endpoint Protection........................................................................................162 16.2 Server Protection............................................................................................163 16.3 Server Protection als Web-Service.................................................................163 16.4 Management und Sicherheit für mobile Geräte..............................................164 16.5 Schutz für virtuelle Umgebungen...................................................................164 16.6 Web-Gateway.................................................................................................164 17 Produkte kennenlernen................................................................................................166 18 Kontoinformationen......................................................................................................167 19 Lizenzen.......................................................................................................................169 20 Early Access-Programme.............................................................................................171 21 Unterstützte Web-Browser............................................................................................173 22 Sophos Support kontaktieren.......................................................................................174 23 Impressum....................................................................................................................175
4
Hilfe
1 Über die Hilfe für Sophos Central Admin Sophos Central ist eine online gehostete Lösung, die nahtlosen Schutz und die Durchsetzung von Richtlinien für Benutzer über alle Geräte und Netzwerke hinweg anbietet. In dieser Hilfedatei finden Sie zusätzliche Informationen sowie schrittweise Vorgehensweisen. Helfen Sie uns, die Hilfe zu verbessern. Klicken Sie auf Hilfe (oben rechts in der Bedienoberfläche) und wählen Sie Feedback geben, um Kommentare und Vorschläge zu hinterlassen. Tipp: Neuigkeiten über die aktuellsten Verbesserungen der Sophos Central finden Sie unter Was ist neu?. Um auf den Abschnitt „Was ist neu?“ jederzeit zuzugreifen, gehen Sie auf Hilfe > Was ist neu? .
Auf die Hilfe zugreifen Um die Hilfe zu öffnen, klicken Sie auf Hilfe > Hilfe mit .... Die Hilfe wird immer in einem separaten Fenster geöffnet. Die Hilfe kontextabhängig, d. h., es wird ein Thema geöffnet, das mit dem Teil der von Ihnen genutzten Bedienoberfläche zu tun hat.
Die Hilfe verwenden Die Hilfe besteht aus einem Navigationsbereich auf der linken Seite und einem Themenbereich auf der rechten Seite. Navigationsbereich: Der Navigationsbereich besteht aus zwei Registerkarten: ■
Auf der Registerkarte Inhalt finden Sie eine Übersicht aller Themen, die von der Hilfe abgedeckt werden.
■
Auf der Registerkarte Suche können Sie die gesamte Hilfe nach einem bestimmten Wort oder mehreren Wörtern durchsuchen. Klicken Sie den Link in einem Ergebnis, um das dazugehörige Thema im Themenbereich zu öffnen.
Themenbereich: Hier wird das aktuell ausgewählte Thema angezeigt. Sie können eine PDF-Version der Hilfe herunterladen, indem Sie auf die Schaltfläche PDF in der Hilfe klicken. Über die Schaltfläche Mit Frames können Sie das Ergebnis mit HTML-Frames anzeigen lassen, wodurch zwei separate Abschnitte entstehen: Im linken Abschnitt befindet sich das Inhaltsverzeichnis und im rechten Abschnitt der Inhalt des ausgewählten Themas. Das Layout „Mit Frames“ wird angezeigt, wenn JavaScript im Browser deaktiviert ist.
Tipps und Tricks Verborgener Text: Klicken Sie auf die Dropdownpfeile, um weitere Informationen abzurufen. Den Navigationsbereich schließen: Schließen Sie den Navigationsbereich, indem Sie auf den Pfeil auf der Leiste zwischen dem Navigations- und dem Themenbereich klicken.
5
Sophos Central
2 Ihre Lizenz aktivieren Wenn Sie eine neue oder upgegradete Lizenz kaufen, müssen Sie diese aktivieren. Dies führen Sie in Sophos Central Admin durch (es sei denn, ein Sophos Partner führt die Lizenzaktivierung für Sie durch). Hinweis: Wenn Sie eine Testversion von Sophos Central starten, müssen Sie Ihre Lizenz noch nicht aktivieren. Dies ist erst dann erforderlich, wenn Sie auf eine zahlungspflichtige Lizenz upgraden. Zur Aktivierung einer Lizenz: 1. Halten Sie den Aktivierungsschlüssel aus dem Lizenzplan bereit, den Sie von Sophos per E-Mail erhalten haben. 2. Suchen Sie nach Ihrem Kontonamen oben rechts auf der Bedienoberfläche. Klicken Sie auf den Namen und wählen Sie Lizenzen. 3. Geben Sie in das Feld Aktivierungscode anwenden Ihren Schlüssel ein und klicken Sie auf Anwenden.
6
Hilfe
3 Über die Bedienoberfläche Die Bedienoberfläche von Sophos Central Admin unterteilt sich in Kopfzeile, Hauptmenü und Hauptfenster. Im Hauptfenster wird der Inhalt des aktuell ausgewählten Menüs angezeigt.
Kopfzeile In der Kopfzeile der Seite befinden sich rechts folgende Links: ■
Ihr Kontoname. Klicken Sie hier, um Optionen zur Verwaltung von Lizenzen, Administratoren und Supporteinstellungen aufzurufen, Ihre Kontakt- oder Partnerinformationen zu sehen, die Sprache zu ändern oder sich abzumelden.
■
Hilfe. Klicken Sie hier für Optionen zur Hilfe, Erstellung eines Support-Tickets, für Feedback, Support-Artikel oder Neuigkeiten zum Produkt.
Hauptmenü Im Hauptmenü auf der linken Seite haben Sie Zugriff auf die Hauptfunktionen von Sophos Central. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
7
Sophos Central
4 Dashboard Das Dashboard ist die Startseite von Sophos Central und bietet die wichtigsten Informationen auf einen Blick. Es besteht aus folgenden Bereichen. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Warnhinweise Warnhinweise zeigt die Anzahl der Warnhinweise mit hoher und mittlerer Priorität sowie der Informationshinweise. Informationshinweise dienen nur der Information und erfordern keine Aktion. Klicken Sie auf eine Zahl, um diese Warnhinweise zu sehen, oder klicken Sie auf Alle Warnhinweise ansehen, um alle Warnhinweise zu sehen.
Nutzungsübersicht In der Nutzungsübersicht sehen Sie Informationen zur Nutzung und zum Schutz für Benutzer, Computer, Server, Mobilgeräte oder Geräte, die von Web-Gateway geschützt werden (je nach Lizenz). Klicken Sie auf die Registerkarte, um für jeden Gerätetyp oder Benutzer Informationen abzurufen. Klicken Sie auf Bericht anzeigen, um einen detaillierten Bericht für die ausgewählte Registerkarte zu öffnen.
Web-Statistiken Web-Statistiken zeigt Statistiken zu Ihrem Web Control-Schutz. Die Zahlen geben die blockierten Bedrohungen, blockierte Richtlinienverstöße und Richtlinienwarnungen an. Es gibt auch eine Zahl für „Ausgesprochene Richtlinienwarnungen“; dies ist die Zahl der Benutzer, die eine Warnung umgangen haben, um eine Webseite zu besuchen. Klicken Sie auf eine Zahl, um einen detaillierten Bericht zu öffnen.
Web Gateway-Statistiken Web Gateway-Statistiken zeigt Statistiken zu Ihrem Web Gateway-Schutz (nur zu sehen, wenn Sie die Web Gateway-Lizenz besitzen). Die Zahlen beziehen sich auf blockierte Malware, blockierte Phishing-Websites, blockierte Websites und alle blockierten Element insgesamt. Klicken Sie auf eine Zahl, um einen detaillierten Bericht zu öffnen.
8
Hilfe
5 Warnhinweise Auf der Seite Warnhinweise sind alle Warnhinweise aufgeführt, die eine Maßnahme erfordern. Hinweis: Warnhinweise, die von Sophos Central automatisch gelöst werden, werden nicht angezeigt. Wenn zum Beispiel Malware entdeckt und anschließend erfolgreich entfernt wurde, wird kein Warnhinweis angezeigt. Wenn Sie alle Ereignisse, die auf Ihren Geräten aufgetreten sind, ansehen möchten, gehen Sie zur Seite Protokolle und Berichte > Ereignisse. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Warnhinweise Für jeden Warnhinweis wird in der Liste das Ereignis angezeigt, das zum Warnhinweis führte, der Zeitpunkt seines Auftretens und welcher Benutzer und welches Gerät betroffen sind. Die Liste führt außerdem den Schweregrad der Warnhinweise auf: Orangefarbenes Symbol für Warnhinweise mit mittlerer Priorität. Rotes Symbol für Warnhinweise mit hoher Priorität. Informationen zu den verschiedenen Warnhinweistypen finden Sie auf den anderen Hilfeseiten in diesem Abschnitt. Hinweis: Die Uhrzeit des Warnhinweises wird nicht aktualisiert, wenn dasselbe Ereignis wiederholt auftritt.
Maßnahmen bei Warnhinweisen Neben jedem Warnhinweis befindet sich ein Kontrollkästchen. Wenn Sie eines oder mehrere der Kontrollkästchen aktivieren, können Sie bestimmte Maßnahmen für die Warnhinweise ergreifen. Die Aktionsschaltflächen befinden sich oben rechts auf der Seite. Die folgenden Aktionen sind je nach Typ des Warnhinweises verfügbar: ■
Als anerkannt markieren. Klicken Sie darauf, um einen Warnhinweis von der Liste zu entfernen. Der Warnhinweis wird dann nicht mehr angezeigt. Hinweis: Hiermit werden die Bedrohungen nicht gelöst und die Informationen zur Bedrohung werden nicht aus dem Quarantäne-Manager auf dem Computer entfernt.
■
Als behoben markieren. Wählen Sie diese Option, wenn die Bedrohung bereits auf dem Endpoint-Computer behoben worden ist. Hiermit wird der Warnhinweis aus der Liste in Sophos Central entfernt und die Bedrohungsdetails aus dem Quarantäne-Manager auf dem Endpoint Computer gelöscht. Hinweis: Mit dieser Aktion werden die Bedrohungen nicht behoben. Hinweis: Diese Option ist nur für Windows Endpoint-Computer verfügbar.
■
Endpoint Protection neu installieren. Klicken Sie auf diese Option, um zur Seite Geräte schützen zu gelangen, wo Sie die Sophos Agent-Software herunterladen können.
9
Sophos Central
■
Support kontaktieren. Klicken Sie hier, um eine E-Mail an den Sophos Support zu senden (Seite 174). Diese Aktion ist verfügbar, wenn Sie Hilfe benötigen, zum Beispiel wenn die Bereinigung von Malware fehlschlägt.
■
PUA(s) bereinigen. Mit dieser Maßnahme können Sie erkannte potentiell unerwünschte Anwendungen (PUA) entfernen. Diese Maßnahme ist nur für Computer und nicht für mobile Geräte verfügbar. Hinweis: Eventuell ist diese Maßnahme nicht verfügbar, wenn die PUA in einem gemeinsam genutzten Netzwerk entdeckt wurde. Das ist darauf zurückzuführen, dass der Sophos Endpoint Protection-Agent nicht über die Berechtigung zur Bereinigung der Dateien an diesem Ort verfügt. Für weitere Informationen zum Umgang mit PUAs sehen Sie Warnhinweise von Threat Protection (Seite 11).
■
PUA(s) autorisieren. Mit dieser Maßnahme können Sie eine potentiell unerwünschte Anwendung (PUA) genehmigen und auf allen Computern ausführen. Dies ist zum Beispiel interessant, wenn Sie die Anwendung als nützlich erachten. Diese Maßnahme ist nur für Computer und nicht für mobile Geräte verfügbar.
■
Nachricht senden Mit dieser Option können Sie eine Textnachricht an ein Mobilgerät versenden, wenn das Gerät nicht den Richtlinien entspricht oder wenn Malware oder eine PUA auf dem Gerät entdeckt worden ist. Diese Maßnahme ist für Android-Geräte verfügbar, auf denen die Sophos Mobile Security oder Sophos Mobile Control App installiert ist und die von Sophos Central verwaltet werden.
5.1 Warnhinweise bezüglich der Installation, Aktualisierung und Compliance Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Es gibt folgende Warnhinweistypen für Probleme, die die Installation von Sophos-Agents, die Aktualisierung von Sophos-Agents oder die Richtlinien-Compliance beeinflussen:
Hoch ■
Computer oder Server konnte nicht geschützt werden Ein Computer hat mit der Installation der Agent-Software begonnen, wurde jedoch eine Stunde lang nicht geschützt. Der Installer, der auf dem betroffenen Computer ausgeführt wurde, kann eventuell weitere Informationen zu diesem Fehler liefern.
Mittel ■
Computer oder Server veraltet Ein Computer, der in den vergangenen 24 Stunden nicht aktualisiert wurde, hat in den letzten 6 Stunden mit Sophos Central kommuniziert und in den darauf folgenden 2 Stunden keine Aktualisierung durchgeführt. In der Regel versucht der Computer, ungefähr 5 Minuten nach Start und anschließend alle 60 Minuten Aktualisierungen durchzuführen. Wenn die erneute Anwendung der Richtlinie mehrere Male fehlschlägt, kann dies eventuell an einem schwerwiegenderen Problemen liegen. In diesen Fällen kann eine erneute Installation das Problem eventuell lösen.
10
Hilfe
■
Neustart erforderlich Um eine Aktualisierung der Agent-Software abzuschließen, ist der Neustart des Computers erforderlich, jedoch wurde der Computer bereits seit zwei Wochen nicht mehr neu gestartet. Manchmal ist es nach Installation/Aktualisierung der Agent-Software erforderlich, einen Neustart durchzuführen, um die Funktionen der neuen/aktualisierten Version der Software vollständig zu aktivieren. Obwohl die Aktualisierung nicht sofort durchgeführt werden muss, sollte sie dennoch so früh wie möglich erfolgen.
■
Abweichend von Richtlinie Ein Gerät kann aus verschiedenen Gründen von einer Richtlinie abweichen, zum Beispiel nach Änderung der Geräteeinstellungen selbst. In diesem Fall wird das System nach zwei Stunden der Nichteinhaltung einen Warnhinweis ausgeben und versuchen, die entsprechende Richtlinie erneut anzuwenden. Wenn das Gerät die Richtlinie wieder erfüllt, wird der Warnhinweis automatisch gelöscht. Wenn der Versuch mehrere Male fehlschlägt, kann dies eventuell an einem schwerwiegenderen Problemen liegen. In diesen Fällen kann eine erneute Installation das Problem eventuell lösen.
■
Peripherie erkannt Ein Wechseldatenträger oder ein Peripheriegerät wurde auf einem Gerät entdeckt, das von Sophos Central überwacht wird. Sehen Sie Peripheral Control konfigurieren (Seite 101) für weitere Informationen über die Verwaltung von Peripheriegeräten.
5.2 Warnhinweise von Threat Protection Es gibt die folgenden Typen von Warnhinweisen beim Schutz vor Bedrohungen. Tipp: Für weitere Informationen zu einer Bedrohung und für den richtigen Umgang mit dieser klicken Sie auf den Namen im Warnhinweis. Oder gehen Sie auf der Website von Sophos auf die Seite Bedrohungsanalyse. Unter Bedrohungsanalyse durchsuchen klicken Sie auf den Link des Bedrohungstyps und führen danach eine Suche nach der Bedrohung aus oder sehen in der Liste der letzten aufgetretenen Elemente nach. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Hoch Echtzeit-Schutz deaktiviert Der Echtzeit-Schutz wurde auf einem Computer für länger als 2,5 Stunden deaktiviert. Der Echtzeit-Schutz sollte stets eingeschaltet sein. Der Sophos Support rät Ihnen zur Durchführung einer Untersuchung eventuell, den Schutz für einen kurzen Zeitraum zu deaktivieren.
Malware nicht bereinigt Es kann passieren, dass manche der gefundenen Malware-Programme nach 24 Stunden nicht entfernt wurden, obwohl die automatische Bereinigung verfügbar ist. Die Malware wurde vermutlich über einen Scan erkannt, für den keine automatische Bereinigung zur Verfügung
11
Sophos Central
steht, zum Beispiel bei On-Demand-Überprüfungen, die lokal konfiguriert werden. Diese Malware können Sie folgendermaßen behandeln: ■
Zentrale Bereinigung durch Planung eines Scans in der Richtlinie (für welche die automatische Bereinigung aktiviert ist).
■
Lokale Bereinigung über den Quarantänen-Manager.
Manuelle Bereinigung erforderlich Manche der gefundenen Malware-Programme können nicht automatisch entfernt werden, da die automatische Bereinigung nicht verfügbar ist. Klicken Sie auf „Beschreibung“ im Warnhinweis. Der Link führt Sie zur Sophos Website, auf welcher Sie Informationen dazu finden, wie Sie die Bedrohung entfernen. Wenn Sie Hilfe benötigen, kontaktieren Sie den Sophos Support.
Ausgeführte Malware nicht bereinigt Ein auf dem Computer ausgeführtes Programm, das bösartiges oder verdächtiges Verhalten zeigt, konnte nicht entfernt werden. Klicken Sie auf „Beschreibung“ im Warnhinweis, um mehr über die Bedrohung und darüber zu erfahren, wie Sie mit dieser umgehen. Wenn Sie Hilfe benötigen, kontaktieren Sie den Sophos Support.
Bösartiger Traffic erkannt Es wurde bösartiger Traffic im Netzwerk erkannt, der möglicherweise zu einem Command-and-Control-Server führt, der an einem Botnet oder einem anderen Malware-Angriff beteiligt ist. Klicken Sie auf „Beschreibung“ im Warnhinweis, um mehr über die Bedrohung und darüber zu erfahren, wie Sie mit dieser umgehen. Wenn Sie Hilfe benötigen, kontaktieren Sie den Sophos Support.
Wiederkehrende Infektion Nachdem Sophos Central versucht hat, die Bedrohung zu entfernen, wurde ein Computer erneut infiziert. Dies ist eventuell auf versteckte Komponenten der Bedrohung zurückzuführen, die nicht erkannt wurden. Eine tiefgehende Analyse der Bedrohung kann erforderlich sein. Bitte kontaktieren Sie den Sophos Support für Hilfe.
Ransomware erkannt Wir haben Ransomware entdeckt und deren Zugriff auf das Dateisystem blockiert. Handelt es sich bei dem Computer um einen Arbeitsplatzrechner, wird die Ransomware automatisch entfernt. Unternehmen Sie folgende Schritte:
12
■
Falls weiterhin eine Bereinigung erforderlich ist: Binden Sie den Computer vorübergehend in ein Netzwerk ein, wo er kein Risiko für andere Computer darstellt. Gehen Sie zu dem Computer und führen Sie Sophos Clean aus (sofern nicht installiert, laden Sie das Tool auf unserer Website herunter).
■
Ist der automatische Sampleversand nicht aktiviert, schicken Sie uns ein Sample der Ransomware. Wir werden sie klassifizieren und unsere Regeln aktualisieren: Ist sie schädlich, wird Sophos Central sie in Zukunft blockieren.
■
Gehen Sie in Sophos Central zu Alerts und markieren Sie den Alert als behoben.
Hilfe
Es wurde Ransomware erkannt, die einen Remote-Rechner angreift Wir haben festgestellt, dass dieser Computer versucht, Dateien auf anderen Computern zu verschlüsseln. Wir haben den Schreibzugriff des Computers auf die Netzwerkfreigaben blockiert. Wenn der Computer ein Arbeitsplatzrechner ist und Dokumente vor Ransomware schützen (CryptoGuard) aktiviert ist, wird die Ransomware automatisch entfernt. Unternehmen Sie folgende Schritte: ■
Achten Sie darauf, dass Dokumente vor Ransomware schützen (CryptoGuard) in der Sophos Central-Richtlinie aktiviert ist. Damit werden weitere Informationen bereitgestellt.
■
Falls die Bereinigung nicht automatisch erfolgt: Binden Sie den Computer in ein Netzwerk ein, wo er kein Risiko für andere Computer darstellt. Gehen Sie dann zu dem Computer und führen Sie Sophos Clean aus (sofern nicht installiert, laden Sie das Tool auf unserer Website herunter).
■
Gehen Sie in Sophos Central zu Alerts und markieren Sie den Alert als behoben.
Mittel Potenziell unerwünschte Anwendungen (PUA) erkannt Es wurde Software erkannt, bei der es sich um Adware oder eine andere potentiell unerwünschte Anwendung handeln könnte. Potentiell unerwünschte Anwendungen werden standardmäßig blockiert. Sie können die Anwendung genehmigen, wenn Sie sie als nützlich empfinden, oder bereinigen. PUAs genehmigen Sie können eine PUA auf zwei Arten genehmigen, je nachdem, ob Sie sie auf allen oder nur einigen Computern erlauben möchten: ■
Wählen Sie auf der Seite Warnhinweise den Warnhinweis und klicken Sie oben rechts auf der Seite auf die Schaltfläche PUA(s) autorisieren. Die PUA wird auf allen Computern erlaubt.
■
Fügen Sie die PUA zu den Scan-Ausschlüssen in der Malware-Schutzrichtlinie hinzu. Die PUA wird nur auf Computern genehmigt, für welche diese Richtlinie gilt.
PUAs bereinigen Sie können eine PUA auf zwei Arten entfernen: ■
Wählen Sie auf der Seite Warnhinweise den Warnhinweis und klicken Sie oben rechts auf der Seite auf die Schaltfläche PUA(s) bereinigen.
■
Entfernen Sie die Anwendung im Quarantänen-Manager der Agent-Software des betroffenen Computers.
Hinweis: Eventuell ist die Bereinigung nicht verfügbar, wenn die PUA in einem gemeinsam genutzten Netzwerk entdeckt wurde. Das ist darauf zurückzuführen, dass der Sophos-Agent nicht über die Berechtigung zur Bereinigung der Dateien an diesem Ort verfügt.
Potentiell unerwünschte Anwendung nicht bereinigt Die potentiell unerwünschte Anwendung konnte nicht entfernt werden. Die manuelle Bereinigung kann erforderlich sein. Klicken Sie auf „Beschreibung“ im Warnhinweis, um mehr
13
Sophos Central
über die Anwendung und darüber zu erfahren, wie Sie mit dieser umgehen. Wenn Sie Hilfe benötigen, kontaktieren Sie den Sophos Support.
Computer-Scan erforderlich, um Bereinigung abzuschließen Die Bereinigung von Bedrohungen erfordert einen vollständigen Computer-Scan. Um einen Computer zu scannen, gehen Sie zur Seite Computer, klicken auf den Namen des Computers, um die Detailseite zu öffnen, und anschließend auf die Schaltfläche Jetzt scannen. Hinweis: Der Scan kann einige Zeit in Anspruch nehmen. Nach Abschluss sehen Sie die Bestätigung „Scan ‚Meinen Computer scannen‘ abgeschlossen“. Erfolgreiche Bereinigungen werden auf der Seite Protokolle und Berichte > Ereignisse angezeigt. Für nicht erfolgreiche Bereinigungen sehen Sie auf der Seite Warnhinweise einen Warnhinweis. Wenn der Computer offline ist, wird er gescannt, sobald er wieder online ist. Wenn aktuell bereits ein Computer-Scan durchgeführt wird, wird die neueste Scan-Anforderung ignoriert und der frühere Scan weiter ausgeführt. Alternativ können Sie den Scan lokal über die Sophos Agent-Software auf dem betroffenen Computer durchführen. Verwenden Sie für Windows die Option Meinen Computer scannen in der Sophos Endpoint Sicherheit und Kontrolle und für Mac die Option Diesen Mac scannen in Sophos Anti-Virus.
Neustart erforderlich, um die Bereinigung abzuschließen Die Bedrohung wurde teilweise entfernt, der Endpoint-Computer muss aber neu gestartet werden, um die Bereinigung abzuschließen.
Remote ausgeführte Ransomware erkannt Wir haben Ransomware entdeckt, die auf einem Remote-Computer ausgeführt wird und versucht, Dateien in Netzwerkfreigaben zu verschlüsseln. Wir haben den Schreibzugriff auf die Netzwerkfreigaben von der IP-Adresse des Remote-Computers gesperrt. Wenn es sich bei dem Computer um einen von Sophos Central verwalteten Arbeitsplatzrechner handelt und Dokumente vor Ransomware schützen (CryptoGuard) aktiviert ist, wird die Ransomware automatisch entfernt. Unternehmen Sie folgende Schritte: ■
Suchen Sie den Computer, auf dem die Ransomware ausgeführt wird.
■
Wird der Computer von Sophos Central verwaltet, achten Sie darauf, dass Dokumente vor Ransomware schützen (CryptoGuard) in der Richtlinie aktiviert ist.
■
Falls die Bereinigung nicht automatisch erfolgt: Binden Sie den Computer in ein Netzwerk ein, wo er kein Risiko für andere Computer darstellt. Gehen Sie dann zu dem Computer und führen Sie Sophos Clean aus (sofern nicht installiert, laden Sie das Tool auf unserer Website herunter).
■
Gehen Sie in Sophos Central zu Alerts und markieren Sie den Alert als behoben.
5.3 Warnhinweise für mobile Geräte Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Es gibt die folgenden Typen von Warnhinweise für die Verwaltung von mobilen Geräten:
14
Hilfe
Hoch ■
Ihr APNs-Zertifikat läuft bald ab Wenn Ihr APNs-Zertifikat in den nächsten sieben Tagen ablaufen wird, ist dieser Warnhinweis von hoher Wichtigkeit. Für die Kommunikation zwischen Sophos Central und iOS-Mobilgeräten ist ein gültiges APNs-Zertifikat notwendig. Erneuern Sie es so früh wie möglich. Sehen Sie APNs-Zertifikat erneuern (Seite 151) für weitere Informationen.
■
Ihr APNs-Zertifikat ist abgelaufen Da Ihr Zertifikat abgelaufen ist, ist keine Kommunikation mehr zwischen Sophos Central und iOS-Geräten möglich. Erneuern Sie es so früh wie möglich. Sehen Sie APNs-Zertifikat erneuern (Seite 151) für weitere Informationen.
Mittel ■
Von Benutzer dekommissioniertes mobiles Gerät Ein Benutzer hat die App Sophos Mobile Control gelöscht oder die Konfiguration entfernt (dies kann nicht verhindert werden). Das mobile Gerät wird nun nicht mehr verwaltet. Es verliert seine Verbindung zum Unternehmensnetzwerk, wenn diese Netzwerkverbindung in einer Richtlinie festgelegt wurde (siehe WLAN konfigurieren (Seite 106)).
■
Aktion für mobiles Gerät fehlgeschlagen In den dazugehörigen Ereignissen wird aufgeführt, welche Maßnahme für das mobile Gerät fehlgeschlagen ist.
■
Die Mobile Exchange-Einstellungen konnten nicht angewendet werden (fehlende Kontoinformationen) und Bitte ergänzen Sie fehlende Exchange-Informationen Die Exchange-Einstellungen können nur angewendet werden, wenn sowohl eine Exchange-E-Mail-Adresse als auch ein Exchange-Login verfügbar ist. Wenn Sie keine Richtlinie mit diesen Benutzerinformation konfiguriert haben, werden diese Kontoinformationen den Benutzerdaten genommen. Um die fehlenden Details anzugeben, gehen Sie auf die Seite Personen > Benutzer, klicken auf den Benutzer, um die Details anzuzeigen, und anschließend auf Bearbeiten.
■
Installation auf iOS-Geräte nicht möglich. Bitte konfigurieren Sie zuerst die APNs-Zertifikate. Für die Kommunikation zwischen Sophos Central und iOS-Mobilgeräten ist ein gültiges APNs-Zertifikat notwendig. Sehen Sie APNs-Zertifikate erstellen (Seite 150) für weitere Informationen.
■
Ihr APNs-Zertifikat läuft bald ab Wenn Ihr APNs-Zertifikat in den nächsten 7 bis 14 Tagen abläuft, ist dieser Warnhinweis von mittlerer Wichtigkeit.
■
Benutzer hat die Device Management (oder Security Management) App deregistriert Der Benutzer hat die Sophos Mobile Control oder Sophos Mobile Security App deregistriert und die betreffende Richtlinie kann nicht mehr auf das Gerät angewendet werden.
■
Das Mobilgerät ist jetzt nicht mehr richtlinienkonform
15
Sophos Central
Das Gerät ist nicht richtlinienkonform, wenn eine der in den Richtlinien für dieses Gerät festgelegten Compliance-Regeln nicht eingehalten wird. ■
Malware erkannt Die Malware-Erkennung ist nur mit der Sophos Mobile Security App für Android verfügbar. Eine automatische Entfernung ist auf Android nicht möglich, d. h. der Benutzer muss die Malware selbst vom Gerät entfernen.
■
PUA gefunden Es wurde eine potenziell unerwünschte App gefunden. Der Benutzer muss diese selbst vom Gerät entfernen.
■
App niedriger Reputation gefunden. Es wurde eine App mit niedriger Reputation gefunden. Der Benutzer muss diese selbst vom Gerät entfernen.
Niedrig ■
Aktion für mobiles Gerät erfolgreich In den dazugehörigen Ereignissen wird aufgeführt, welche Maßnahme für das mobile Gerät erfolgreich war.
■
Aktion für mobiles Gerät wurde abgebrochen In den dazugehörigen Ereignissen wird aufgeführt, welche Maßnahme für das mobile Gerät abgebrochen wurde.
■
Mobiles Gerät ist nicht kompatibel Ein Gerät weicht von der Richtlinie ab, wenn eine der Anforderungen der für dieses Gerät gültigen Richtlinie nicht eingehalten wird. Für weitere Informationen sehen Sie Compliance-Regeln konfigurieren (Seite 107).
■
Mobiles Gerät registriert Ein mobiles Gerät ist registriert.
■
Neue Device Management (oder Security Management) App registriert Die Sophos Mobile Control oder Sophos Mobile Security App wurde registriert.
■
Malware entfernt Der Benutzer hat Malware vom Gerät entfernt.
■
PUA entfernt Der Benutzer hat eine PUA vom Gerät entfernt.
■
App niedriger Reputation entfernt Eine Anwendung mit niedriger Reputation wurde vom Benutzer vom Gerät entfernt.
16
Hilfe
Zur Information ■
Ihr APNs-Zertifikat läuft bald aus Wenn Ihr APNs-Zertifikat in den kommenden 14-30 Tagen ausläuft, dient dieser Warnhinweis Ihrer Information.
■
Ihr APNs-Zertifikat wurde verlängert Dieser Hinweis bestätigt, dass das Zertifikat verlängert wurde.
5.4 Warnhinweise für Device Encryption Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Es gibt die folgenden Arten von Warnhinweisen für Device Encryption:
Mittel ■
Festplatte nicht verschlüsselt Der Client ist nicht verschlüsselt, obwohl er verschlüsselt sein sollte. Ein möglicher Grund ist, dass der Benutzer bei Anwendung der Richtlinie die Verschlüsselung auf später verschoben hat.
■
Wiederherstellungsschlüssel fehlt Es konnte kein Wiederherstellungsschlüssel für ein verschlüsseltes Volume in der Sophos Central-Datenbank gefunden werden.
5.5 E-Mail-Warnhinweise Sophos Central sendet automatisch E-Mail-Warnhinweise an Administratoren, sobald ein Ereignis auftritt (zum Beispiel „potentiell unerwünschte Anwendung entdeckt“). Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Sophos Central geht folgendermaßen vor: ■
Warnhinweise für Ereignisse mit mittlerem oder hohem Schweregrad, die eine Maßnahme erfordern. Für weitere Informationen zu Ereignissen in diesen Kategorien sehen Sie Warnhinweise (Seite 9).
■
Es werden Warnhinweise an alle Administratoren gesendet. Details zu den Administratoren finden Sie unter Systemeinstellungen > Rollenverwaltung.
■
Es wird kein Warnhinweis gesendet, wenn für das Ereignis bereits in den vergangenen 24 Stunden ein Warnhinweis desselben Typs versendet wurde.
Hinweis: Sie können die Einstellungen der E-Mail-Warnhinweise nicht ändern.
17
Sophos Central
6 Protokolle & Berichte Die Seite Protokolle & Berichte bietet detaillierte Berichte zu den Sicherheitsfunktionen von Sophos Central. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
6.1 Ereignisbericht Auf der Seite Ereignisbericht finden Sie Informationen zu allen Ereignissen auf Ihren Geräten. Für weitere Informationen zu den verschiedenen Ereignistypen gehen Sie auf Ereignistypen (Seite 19). Tipp: Ereignisse, die eine Maßnahme erfordern, werden ebenfalls auf der Seite Warnhinweis angezeigt, auf der Sie entsprechend handeln können. Hinweis: Einige der Ereignisse generieren Warnhinweise, sobald diese auftreten. Andere generieren erst später Warnhinweise (zum Beispiel wenn ein Computer über zwei Stunden von einer Richtlinie abweicht). Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Auf der Seite Ereignisse finden Sie die folgenden Funktionen und Informationen: Suchen: Wenn Sie Ereignisse für einen bestimmten Benutzer, ein bestimmtes Gerät oder einen Bedrohungsnamen (zum Beispiel „Troj/Agent-AJWL“) anzeigen möchten, geben Sie den Namen des Benutzers, des Geräts oder der Bedrohung im Suchfeld ein. Hinweis: In dieser Version von Sophos Central können Sie nach Ereignissen nicht nach Namen suchen (zum Beispiel nach einer ausführbaren Datei, die im Ereignis genannt wird). Datumsbereich: Nutzen Sie die Felder Von und Bis, um auszuwählen, für welchen Zeitraum Sie die Ereignisse anzeigen möchten. Sie können Ereignisse anzeigen, die in den vergangenen 90 Tagen aufgetreten sind. Ereignistyp und Anzahl: In der Tabelle links wird für jeden Ereignistyp die Anzahl der Vorkommnisse über einen bestimmten Zeitbereich hinweg angezeigt. Sie können auch nur bestimmte Kategorien oder Typen von Ereignissen anzeigen lassen. Aktivieren oder deaktivieren Sie hierzu die Kontrollkästchen neben den Ereignistyp-Kategorien. Oder erweitern Sie die Kategorien und aktivieren oder deaktivieren Sie die Kontrollkästchen neben den Ereignistypen. Standardmäßig werden alle Ereignisse gezeigt. Grafik: In der Grafik sehen Sie auf einen Blick die Anzahl der Ereignisse, die pro Tag aufgetreten sind. Update-Bericht: Hierauf klicken, um neue Ereignisse anzuzeigen, die seit dem letzten Öffnen oder Aktualisieren der Seite berichtet worden sind.
Ereignistabelle Die Ereignistabelle bietet folgende Details zu den Ereignissen: ■
18
Schweregr.: Schweregrad eines Ereignisses
Hilfe
■
Wann: Uhrzeit und Datum, an dem das Ereignis aufgetreten ist
■
Ereignis: Ereignistyp
■
Benutzer: Ursache, die zu diesem Ereignis geführt hat, zum Beispiel der Name eines Benutzers oder Systems
■
Gerät: Das Gerät, das dieses Ereignis verursacht hat
Im Export-Menü (oben rechts in der Tabelle) können Sie die aktuelle Ansicht oder den Bericht der letzten 90 Tage als CSV(Comma Separated Value)- oder PDF Datei exportieren.
6.1.1 Ereignistypen Je nachdem, welche Features in Ihrer Lizenz enthalten sind, werden alle oder einige der folgenden Ereignistypen angezeigt: ■
Laufzeitkontrolle (Seite 19)
■
Application Control (Seite 21)
■
Malware (Seite 21)
■
Potentiell unerwünschte Anwendung (PUA) (Seite 22)
■
Richtlinienverstöße (Seite 23)
■
Web Control (Seite 23)
■
Wird aktualisiert (Seite 24)
■
Schutz (Seite 24)
■
Peripherie (Seite 25)
■
Mobile Geräte (Seite 25)
■
ADSync (Seite 27)
■
Download-Reputation (Seite 27)
■
Firewall (Seite 28)
■
Geräteverschlüsselung (Seite 28)
Hinweis: Ereignisse, die eine Maßnahme erfordern, werden ebenfalls auf der Seite Warnhinweis angezeigt, auf der Sie entsprechend handeln können. Weitere Informationen finden Sie unter Warnhinweise (Seite 9). Wenn Sie eine Maßnahme ergreifen oder den Warnhinweis ignorieren, wird er nicht mehr auf der Seite Warnhinweise angezeigt; das Ereignis selbst verbleibt jedoch in der Ereignisliste.
Laufzeitkontrolle
Ereignistyp
Schweregrad Maßnahme Beschreibung erforderlich?
Ausgeführte Malware erkannt
Mittel
Nein
Auf dem Computer wurde ein ausgeführtes Programm entdeckt, das bösartiges oder verdächtiges Verhalten zeigt. Sophos Central wird versuchen, die Bedrohung zu entfernen. Nach erfolgreicher Entfernung wird auf der Seite
19
Sophos Central
Ereignistyp
Schweregrad Maßnahme Beschreibung erforderlich? „Warnhinweise“ kein Warnhinweis mehr angezeigt. In der Ereignisliste erscheint das Ereignis „Ausgeführte Malware bereinigt“.
Ausgeführte Malware nicht bereinigt
Hoch
Ja
Ein auf dem Computer ausgeführtes Programm, das bösartiges oder verdächtiges Verhalten zeigt, konnte nicht entfernt werden. Für diesen Ereignistyp können die folgenden Ereignisse angezeigt werden: Ausgeführte Malware erfordert manuelle Bereinigung. Computer-Scan erforderlich, um die Bereinigung der ausgeführten Malware abzuschließen. Neustart erforderlich, um die Bereinigung der ausgeführten Malware abzuschließen. Ausgeführte Malware nicht bereinigt.
20
Ausgeführte Malware bereinigt
Niedrig
Nein
Bösartige Aktivität erkannt
Hoch
Ja
Es wurde bösartiger Traffic im Netzwerk erkannt, der möglicherweise zu einem Command-and-Control-Server führt, der an einem Botnet oder einem anderen Malware-Angriff beteiligt ist.
Aktiver Malware-Alert lokal entfernt
Niedrig
Nein
Ein aktiver Malware-Alert wurde aus der Alert-Liste auf einem Endpoint-Computer entfernt.
Ransomware erkannt
Hoch
Keine
Ein nicht autorisiertes Programm hat versucht, eine geschützte Anwendung zu verschlüsseln.
Ransomware-Angriff aufgelöst
Niedrig
Nein
Remote ausgeführte Ransomware erkannt
Mittel
Ja
Per Fernzugriff ausgeführter Ransomware-Angriff aufgelöst
Niedrig
Nein
Ein nicht autorisiertes Programm hat versucht, per Fernzugriff eine geschützte Anwendung zu verschlüsseln.
Hilfe
Ereignistyp
Schweregrad Maßnahme Beschreibung erforderlich?
Es wurde Ransomware Hoch erkannt, die einen Remote-Rechner angreift
Ja
Es wurde festgestellt, dass dieser Computer versucht, Anwendungen auf einem anderen Computer per Fernzugriff zu verschlüsseln.
Safe Browsing hat manipulierten Browser erkannt
Mittel
Ja
Es wurde ein Versuch, eine Sicherheitslücke in einem Browser auszunutzen, blockiert.
Verhindertes Exploit
Niedrig
Nein
Es wurde ein Versuch, eine Sicherheitslücke in einer Anwendung auf einem Endpoint-Computer auszunutzen, blockiert.
Hijacking von Anwendung verhindert
Niedrig
Nein
Hijacking von Anwendung wurde auf einem Endpoint-Computer verhindert.
Contrôle des applications
Ereignistyp
Schweregrad Maßnahme Beschreibung erforderlich?
Controlled Application blockiert
Mittel
Nein
Controlled Application erlaubt
Niedrig
Nein
Eine Controlled Application wurde erkannt und dann erlaubt.
Malware
Ereignistyp
Schweregrad Maßnahme Beschreibung erforderlich?
Malware erkannt
Mittel
Nein
Malware wurde auf einem Gerät entdeckt, das von Sophos Central überwacht wird. Sophos Central wird versuchen, die Bedrohung zu entfernen. Nach erfolgreicher Entfernung wird auf der Seite „Warnhinweise“ kein Warnhinweis mehr angezeigt. In der Ereignisliste erscheint das Ereignis „Malware bereinigt“.
21
Sophos Central
Ereignistyp
Schweregrad Maßnahme Beschreibung erforderlich?
Malware nicht bereinigt Hoch
Ja
Für diesen Ereignistyp können die folgenden Ereignisse angezeigt werden: Manuelle Bereinigung erforderlich. Computer-Scan erforderlich, um die Bereinigung abzuschließen. Neustart erforderlich, um die Bereinigung abzuschließen. Malware nicht bereinigt.
Malware bereinigt
Niedrig
Nein
Wiederkehrende Infektion
Hoch
Ja
Bedrohung entfernt
Niedrig
Nein
Malware-Alert lokal entfernt
Niedrig
Nein
Nachdem Sophos Central versucht hat, die Bedrohung zu entfernen, wurde ein Computer erneut infiziert. Dies ist eventuell auf versteckte Komponenten der Bedrohung zurückzuführen, die nicht erkannt wurden.
Ein Malware-Alert wurde aus der Alert-Liste auf einem Endpoint-Computer entfernt.
Potentiell unerwünschte Anwendung (PUA)
Ereignistyp
Schweregrad Maßnahme Beschreibung erforderlich?
Potentiell unerwünschte Mittel Anwendung (PUA) blockiert
Ja
Eine potentiell unerwünschte Anwendung (PUA) wurde erkannt und blockiert.
Potentiell unerwünschte Mittel Anwendung (PUA) nicht bereinigt
Ja
Für diesen Ereignistyp können die folgenden Ereignisse angezeigt werden: Manuelle Bereinigung der PUA erforderlich. Computer-Scan erforderlich, um Bereinigung der PUA abzuschließen. Neustart erforderlich, um die Bereinigung der PUA abzuschließen. PUA nicht bereinigt.
22
Hilfe
Ereignistyp
Schweregrad Maßnahme Beschreibung erforderlich?
Potentiell unerwünschte Niedrig Anwendung (PUA) bereinigt
Nein
PUA-Alert (potenziell unerwünschte Anwendung) lokal entfernt
Nein
Niedrig
Ein PUA-Alert (potenziell unerwünschte Anwendung) wurde aus der Alert-Liste auf einem Endpoint-Computer entfernt.
Richtlinienverstöße
Ereignistyp
Schweregrad Maßnahme Beschreibung erforderlich?
Abweichend von Richtlinie
Mittel
Ja
Einhaltung von Richtlinie Niedrig
Nein
Echtzeit-Schutz deaktiviert
Hoch
Ja
Echtzeit-Schutz erneut aktiviert
Niedrig
Nein
Ein Warnhinweis wird auf der Seite „Warnhinweise“ angezeigt, wenn ein Computer länger als zwei Stunden von der Richtlinie abweicht.
Ein Warnhinweis wird auf der Seite „Warnhinweise“ angezeigt, wenn der Echtzeit-Schutz für einen Computer länger als 2,5 Stunden deaktiviert ist.
Web Control
Ereignistyp
Schweregrad Maßnahme Beschreibung erforderlich?
Richtlinie über Web-Ereignisse
Niedrig
Nein
Web-Bedrohungsereignisse Niedrig
Nein
Sehen Sie Web Control-Berichte (Seite 39) für weitere Informationen dazu, wie Benutzer auf die Websites zugreifen, wer die Richtlinie verletzt und welche Benutzer Malware heruntergeladen haben.
23
Sophos Central
Aktualisieren
Ereignistyp
Schweregrad Maßnahme Beschreibung erforderlich?
Computer oder Server veraltet
Mittel
Ja
Aktualisierung erfolgreich
Niedrig
Nein
Aktualisierung fehlgeschlagen
Niedrig
Nein
Neustart empfohlen
Niedrig
Nein
Neustart erforderlich
Mittel
Ja
Schutz
24
Ereignistyp
Schweregrad Maßnahme Beschreibung erforderlich?
Neue registrierte Computer oder Server
Niedrig
Nein
Computer oder Server erneut geschützt
Niedrig
Nein
Neuer Computer oder Server geschützt
Niedrig
Nein
Computer oder Server konnte nicht geschützt werden
Hoch
Ja
Fehler gemeldet
Niedrig
Nein
Scan abgeschlossen
Niedrig
Nein
Neue Logins hinzugefügt Niedrig
Nein
Neue Benutzer Niedrig automatisch hinzugefügt
Nein
Ein Computer hat mit der Installation der Agent-Software begonnen, wurde jedoch eine Stunde lang nicht geschützt.
Hilfe
Peripherie
Ereignistyp
Schweregrad Maßnahme Beschreibung erforderlich?
Peripherie erkannt
Mittel
Ja
Peripherie erlaubt
Niedrig
Nein
Peripherie schreibgeschützt
Niedrig
Nein
Peripherie blockiert
Niedrig
Nein
Mobile Geräte
Ereignistyp
Schweregrad Maßnahme Beschreibung erforderlich?
Neues mobiles Gerät installiert Von Benutzer dekommissioniertes mobiles Gerät Aktion für mobiles Gerät fehlgeschlagen Aktion für mobiles Gerät erfolgreich
Für weitere Informationen zu Warnhinweisen für mobile Geräte sehen Sie Warnhinweise für mobile Geräte (Seite 14).
Aktion für mobiles Gerät wurde abgebrochen Ihr APNs-Zertifikat ist abgelaufen
Hoch
Ja
Ihr APNs-Zertifikat wurde erneuert
Niedrig
Ja
Kein APNs-Zertifikat konfiguriert
Mittel
Ja
25
Sophos Central
Ereignistyp
Schweregrad Maßnahme Beschreibung erforderlich?
Ihr APNs-Zertifikat läuft Hängt von Ja in Tagen ab der verbleibenden Zeit bis Ablauf ab
26
Die Mobile Mittel Exchange-Einstellungen konnten nicht angewendet werden (fehlende Kontoinformationen)
Ja
Bitte ergänzen Sie Mittel fehlende Exchange-Informationen
Ja
Neue App registriert (sofern es sich bei der App um Device Management oder Security Management handelt)
Niedrig
Nein
Benutzer hat App deregistriert (sofern es sich bei der App um Device Management oder Security Management handelt)
Mittel
Ja
Das mobile Gerät ist jetzt nicht mehr richtlinienkonform
Mittel
Ja
Malware erkannt
Mittel
Ja
Malware entfernt
Niedrig
Nein
PUA gefunden
Mittel
Ja
PUA entfernt
Niedrig
Nein
App niedriger Reputation Mittel gefunden
Ja
App niedriger Reputation Niedrig entfernt
Nein
Hilfe
Ereignistyp
Schweregrad Maßnahme Beschreibung erforderlich?
aufgrund von blockiert
Niedrig
Nein
Warnung bei aufgrund von
Niedrig
Nein
Benutzer hat Niedrig Blockierung der aufgrund von ignoriert
Nein
ADSync
Ereignistyp
Schweregrad Maßnahme Beschreibung erforderlich?
Active Hoch Directory-Synchronisierungsfehler
Ja
Active Niedrig Directory-Synchronisierung erfolgreich
Nein
Warnung zur Active Mittel Directory-Synchronisierung
Nein
Ein Warnhinweis erscheint auf der Seite „Warnhinweise“, wenn ein Fehler der Active Directory-Synchronisierung über eine Stunde nicht gelöst wurde.
Download-Reputation Sophos Central warnt Endbenutzer, wenn ein Download eine niedrige Reputation aufweist. Diese Reputation wird anhand der Quelle der Datei, der Download-Häufigkeit und weiterer Faktoren ermittelt. Weitere Informationen finden Sie im Support-Artikel 121319.
Ereignistyp
Schweregrad Maßnahme Beschreibung erforderlich?
Benutzer hat einen Download mit niedriger Reputation gelöscht
Niedrig
Nein
Ein Benutzer hat einen Download gelöscht, nachdem Sophos Central vor dessen niedriger Reputation gewarnt hatte.
27
Sophos Central
Ereignistyp
Schweregrad Maßnahme Beschreibung erforderlich?
Benutzer hat Download Niedrig mit niedriger Reputation als vertrauenswürdig eingestuft
Nein
Ein Benutzer hat einen Download als vertrauenswürdig eingestuft, nachdem Sophos Central vor dessen niedriger Reputation gewarnt hatte.
Download mit niedriger Niedrig Reputation automatisch als vertrauenswürdig eingestuft
Nein
Sophos Central hat einen Download mit niedriger Reputation erkannt und ihn automatisch als vertrauenswürdig eingestuft. Hinweis: Dies geschieht nur dann, wenn Sie Ihre Einstellungen zur Reputationsprüfung auf „Nur protokollieren“ ändern.
Firewall Wenn Sie eine Sophos Firewall bei Sophos Central registriert haben, können Ihre Computer regelmäßig Berichte zu ihrem Sicherheitsstatus bzw. zu ihrer „Gesundheit“ an die Firewall senden. Diese Berichte werden auch „Security Heartbeats“ genannt.
Ereignistyp
Schweregrad Maßnahme Beschreibung erforderlich?
Ausbleibende Heartbeat-Signale gemeldet
Hoch
Ja
Ein Computer sendet keine Security Heartbeat-Signale mehr an die Sophos Firewall, jedoch wird weiterhin Netzwerkdatenverkehr übertragen. Der Computer ist eventuell infiziert. Die Sophos Firewall beschränkt eventuell den Zugang des Computers zum Netzwerk (je nach Richtlinie Ihres Unternehmens).
Erneuter Empfang von Heartbeat-Signalen gemeldet
Niedrig
Nein
Ein Computer hat die Versendung von Security Heartbeat-Signalen an die Sophos Firewall wiederaufgenommen.
Geräteverschlüsselung Hinweis: Bei den meisten Warnhinweisen für die Geräteverschlüsselung sollte der Computer neu gestartet und mit dem Server synchronisiert werden.
28
Hilfe
Ereignistyp
Schweregrad Maßnahme Beschreibung erforderlich?
Schlüsselerzeugung fehlgeschlagen
Mittel
Siehe Hinweis
Es konnte kein Schlüssel erzeugt werden (TPM-Schlüssel, TPM+PIN-Schlüssel, USB-Schlüssel, Wiederherstellungsschlüssel).
Verschlüsselung fehlgeschlagen
Mittel
Siehe Hinweis
Ein Volume konnte nicht verschlüsselt werden.
Verschlüsselungsinfo
Niedrig
Siehe Hinweis
Informationen zu diversen Ereignissen, z. B. wenn der Benutzer die Verschlüsselung auf später verschoben hat oder eine PIN/ein Kennwort zurückgesetzt wurde.
Festplatte nicht verschlüsselt
Mittel
Siehe Hinweis
Der Client ist nicht verschlüsselt, obwohl er verschlüsselt sein sollte. Ein möglicher Grund ist, dass der Benutzer bei Anwendung der Richtlinie die Verschlüsselung auf später verschoben hat.
Wiederherstellungsschlüssel Mittel fehlt
Siehe Hinweis
Es konnte kein Wiederherstellungsschlüssel für ein verschlüsseltes Volume in der Sophos Central-Datenbank gefunden werden.
Wiederherstellungsschlüssel Niedrig erhalten
Siehe Hinweis
Sophos Central hat einen Wiederherstellungsschlüssel von einem Endpoint-Computer erhalten.
Wiederherstellungsschlüssel Niedrig zurückgenommen
Siehe Hinweis
Es wurde ein Wiederherstellungsschlüssel in Sophos Central angezeigt, deshalb wurde er zurückgenommen und ersetzt.
6.2 Audit-Protokolle Sie können über den Audit-Protokollbericht alle Aktivitäten anzeigen und exportieren, die von Sophos Central überwacht werden. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Die Berichte finden Sie auf der Seite Protokolle und Berichte unter Audit-Protokolle. Alle Aktivitäten der letzten 7 Tage werden standardmäßig im Audit-Protokoll angezeigt. Sie können alle Aktivitäten für bis zu 90 Tage anzeigen. Sie können ein Audit-Protokoll mit allen Aktivitäten der letzten 365 Tage exportieren. Im Audit-Protokoll ist für jede Aktivität Folgendes angegeben: ■
Datum: Datum und Uhrzeit der Aktivität oder Änderung.
■
Geändert von: Das Sophos Central Admin-Konto, über das die Änderung vorgenommen wurde bzw. der Benutzer angemeldet war.
29
Sophos Central
■
Objekttyp: Art der Aktivität oder Änderung. Beispiel: Benutzer und Gruppen wurden geändert.
■
Objekt geändert: Was hinzugefügt, geändert oder gelöscht wurde. Beispiel: Der Name eines neuen Benutzers, der hinzugefügt wurde.
■
Beschreibung: Nähere Angaben zu der Aktivität oder Änderung. Beispiel: erfolgreiche Authentifizierung durch ein Sophos Central Admin-Konto.
■
IP-Adresse: Die IP-Adresse, von der aus die Aktivität ausgeführt oder die Änderung vorgenommen wurde.
Sie können das Audit-Protokoll nach Datumsbereich und Suchergebnissen filtern. Klicken Sie zum Anwenden der Filter auf Bericht aktualisieren. ■
Von und Bis: Mithilfe dieser Optionen können Sie den Datumsbereich für die Aktivitäten festlegen, die Sie anzeigen möchten. Sie können ein beliebiges Datum innerhalb der letzten 90 Tage auswählen. Der Datumsbereich lässt sich mit dem Feld Suchen kombinieren und das Audit-Protokoll zeigt die Elemente an, die auf den ausgewählten Datumsbereich und Suchbegriff zutreffen. Wenn Sie keinen Suchbegriff eingeben, werden in dem Audit-Protokoll alle Aktivitäten für den ausgewählten Datumsbereich angezeigt.
■
Suchen: Es ist eine begrenzte Suche verfügbar. Das Audit-Protokoll zeigt die Elemente an, die auf Ihren Suchbegriff und den ausgewählten Datumsbereich zutreffen. Wenn Sie keinen Datumsbereich festlegen, zeigt das Audit-Protokoll standardmäßig die auf Ihren Suchbegriff zutreffenden Elemente für die letzten 7 Tage an. Sie können suchen nach: ■
IP-Adresse: Hier werden alle Änderungen und Aktivitäten von einer IP-Adresse in dem ausgewählten Datumsbereich angezeigt.
■
Geändert von: Hier werden alle Änderungen und Aktionen angezeigt, die von einem Sophos Central Admin-Konto in dem ausgewählten Datumsbereich vorgenommen wurden.
Exportieren Sie können einen Audit-Protokollbericht mit allen Aktivitäten in dem ausgewählten Datumsbereich, der letzten 90 Tage oder der letzten 365 Tage exportieren. Sie können das Audit-Protokoll vor dem Exportieren filtern. Die Suchfilter gelten für alle Exportoptionen, im Gegensatz zum Datumsbereich. So exportieren Sie einen Audit-Bericht: 1. Filtern Sie das Audit-Protokoll, sofern erforderlich. Klicken Sie auf Bericht aktualisieren, um die Filter auf das Audit-Protokoll anzuwenden. 2. Klicken Sie auf der rechten Seite der Audit-Protokoll-Seite auf Exportieren und wählen Sie aus der Dropdown-Liste eine Option aus.
30
■
CSV der aktuellen Ansicht oder PDF der aktuellen Ansicht: Exportiert die aktuelle Ansicht im CSV-Format oder als PDF-Datei. Wenn Sie eine dieser Optionen auswählen, werden alle aktuell gesetzten Filter auf die exportierte Datei angewendet.
■
CSV der letzten 90 Tage oder PDF der letzten 90 Tage: Exportiert die Aktivitäten der letzten 90 Tage im CSV-Format oder als PDF-Datei. Wenn Sie eine dieser Optionen auswählen, werden nur die Suchfilter auf die exportierte Datei angewendet.
■
CSV der letzten 365 Tage oder PDF der letzten 365 Tage: Exportiert die Aktivitäten der letzten 365 Tage im CSV-Format oder als PDF-Datei. Wenn Sie eine dieser Optionen auswählen, werden nur die Suchfilter auf die exportierte Datei angewendet.
Hilfe
3. Prüfen Sie anhand des Audit-Berichts, ob alle benötigten Informationen darin enthalten sind. 4. Ändern Sie den Namen des Audit-Berichts. Hinweis: Audit-Berichte werden als audit.csv oder audit.pdf exportiert.
6.3 Benutzerbericht Auf der Seite Benutzerbericht erhalten Sie Informationen zu Benutzern, die aktiv (während der letzten zwei Wochen angemeldet), inaktiv oder nicht geschützt sind. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Klicken Sie auf eine dieser Kategorien, um eine Liste dieser Benutzer mit weiteren Informationen zu sehen: ■
Name: Benutzername. Klicken Sie hierauf, um die vollständigen Details zum Benutzer abzurufen.
■
E-Mail: Die E-Mail-Adresse des Benutzers.
■
Online: Wann sich der Benutzer zuletzt angemeldet hat.
■
Geräte: Die dem Benutzer zugewiesenen Geräte.
■
Logins: Der Benutzeranmeldenamen.
■
Gruppen: Gruppen, zu welchen der Benutzer gehört.
Sie können auch die Details zu bestimmten Benutzern ansehen, indem Sie den Namen in das Feld Suchen eingeben.
Berichte drucken oder exportieren Sie können Ihre Berichte drucken oder exportieren. Über der Liste sehen Sie die folgenden Optionen: ■
Drucken. Klicken Sie hierauf, um eine Druckansicht zu öffnen. Drücken Sie Strg+P, um den Druckerdialog zu öffnen.
■
Als CSV exportieren. Sie können die aktuelle Ansicht als CSV-Datei exportieren.
■
Als PDF exportieren. Sie können die aktuelle Ansicht als PDF-Datei exportieren.
6.4 Bericht über den Nachrichtenverlauf Diese Option ist nur verfügbar, wenn Ihre Lizenz Sophos Email beinhaltet. Der Bericht Nachrichtenverlauf enthält Details zu den von Email Security für Ihre geschützten Posteingänge verarbeiteten E-Mails. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Suchen: Wenn Sie E-Mails mit einem bestimmten Betreff oder die mit einem bestimmten Absender oder Empfänger verknüpften E-Mails anzeigen möchten, geben Sie den Betreff, den Absender oder den Empfänger in das Suchfeld ein. Datumsbereich: Wählen Sie mithilfe der Felder Von und Bis aus, für welchen Zeitraum Sie den Nachrichtenverlauf anzeigen möchten. Sie können alle E-Mails anzeigen, die in den
31
Sophos Central
vergangenen 14 Tagen verarbeitet wurden. Standardmäßig zeigt der Bericht die während des aktuellen Tages verarbeiteten E-Mails an. Sie können die E-Mails nach ihrem Status filtern. Bericht aktualisieren: Klicken Sie hier, um den Bericht zu aktualisieren, falls Sie den Datumsbereich geändert, einen Suchbegriff eingegeben oder die E-Mails gefiltert haben. Für jede E-Mail wird in dem Bericht Folgendes angezeigt: ■
Status: Gibt an, ob es sich um Spam handelt oder ob die E-Mail erfolgreich zugestellt wurde. ■
Erfolgreich: Die E-Mail wurde erfolgreich zugestellt.
■
Quarantäne: Die E-Mail wurde aufgrund ihres Inhalts oder einer Block-List als Spam gekennzeichnet.
■
Gelöscht: Die E-Mail wurde aufgrund ihres Inhalts oder einer Block-List gelöscht.
Hinweis: Ob eine E-Mail unter Quarantäne gestellt oder gelöscht wird, hängt von Ihren Spamschutz-Einstellungen ab (siehe Email Security konfigurieren (Seite 115)). ■
Datum: Datum und Uhrzeit der Verarbeitung der E-Mail.
■
Von: Absender der E-Mail.
■
An: Empfänger der E-Mail.
■
Betreff: Betreffzeile der E-Mail.
6.5 Server-Bericht Auf der Seite Server-Bericht erhalten Sie Informationen zu Servern, die aktiv (während der letzten zwei Wochen aktualisiert), inaktiv, im Schlafmodus oder nicht geschützt sind. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Klicken Sie auf eine dieser Kategorien, um eine Liste dieser Server mit weiteren Informationen zu sehen: ■
Name: Servername.
■
Online: Die letzte Verbindung des Servers.
■
Echtzeit-Scan
■
Letztes Update. Letzte Aktualisierung des Sophos Endpoint Protection-Agent auf dem Server.
■
Letzter geplanter Scan. Zeitpunkt, zu welchem der Server zuletzt einen geplanten Scan durchgeführt hat.
■
Warnhinweise. Anzahl und Art der offenen Warnhinweise
Berichte drucken oder exportieren Sie können Ihre Berichte drucken oder exportieren. Über der Liste sehen Sie die folgenden Optionen: ■
32
Suchen. Geben Sie in das Suchfeld einen Suchbegriff ein. Die Liste zeigt nur Ergebnisse an, die mit Ihrem Suchbegriff verbunden sind.
Hilfe
■
Drucken. Klicken Sie hierauf, um eine Druckansicht zu öffnen. Drücken Sie Strg+P, um den Druckerdialog zu öffnen.
■
Als CSV exportieren. Sie können die aktuelle Ansicht als CSV-Datei exportieren.
■
Als PDF exportieren. Sie können die aktuelle Ansicht als PDF-Datei exportieren.
6.6 Computer-Bericht Auf der Seite Computer-Bericht erhalten Sie Informationen zu Computern, die aktiv (während der letzten zwei Wochen aktualisiert), inaktiv oder nicht geschützt sind. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Klicken Sie auf eine dieser Kategorien, um eine Liste dieser Computer mit weiteren Informationen zu sehen: ■
Name: Computername.
■
Online: Die letzte Verbindung des Computers.
■
Letzter Benutzer: Der Benutzer, der sich zuletzt auf diesem Computer angemeldet hat.
■
Echtzeit-Scan: Ja: Echtzeit-Scan ist aktiviert, Nein: Echtzeit-Scan ist deaktiviert.
■
Letztes Update: Letzte Aktualisierung des Computers.
■
Letzter geplanter Scan: Zeitpunkt, zu welchem der Computer zuletzt einen geplanten Scan durchgeführt hat.
■
Warnhinweise: Anzahl und Typen der ausstehenden Warnhinweise.
Sie können auch die Details zu bestimmten Computern ansehen, indem Sie den Computernamen in das Feld Computer suchen eingeben.
Exportieren und Drucken Sie können Ihre Berichte drucken oder exportieren. Über der Liste sehen Sie die folgenden Optionen: ■
Drucken. Klicken Sie hierauf, um eine Druckansicht zu öffnen. Drücken Sie Strg+P, um den Druckerdialog zu öffnen.
■
Als CSV exportieren. Sie können die aktuelle Ansicht als CSV-Datei exportieren.
■
Als PDF exportieren. Sie können die aktuelle Ansicht als PDF-Datei exportieren.
6.7 Mobile Management Report Auf der Seite Mobile Management Reports finden Sie Informationen zu mobilen Geräten, die von Sophos Central verwaltet werden: ■
Alle Alle registrierten mobile Geräte
■
Verwaltet Mobile Geräte, die von Sophos Central verwaltet werden.
■
Nicht verwaltet Mobile Geräte, die von Sophos Central nicht verwaltet werden. Dies umfasst die Status Deregistriert, Zurücksetzen und Zurückgesetzt (siehe unten).
Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
33
Sophos Central
Geräte, die noch nicht registriert wurden, erscheinen nicht in der Liste. Dasselbe gilt für Geräte, die von Ihnen als Administrator gelöscht wurden. Klicken Sie auf eine dieser Kategorien, um eine Tabelle mit weiteren Informationen zu sehen: ■
Management-Status Ein Symbol zeigt den Management-Status des Geräts an: ■
Managed
■
Nicht managed
■
Name Name des Geräts
■
OS Betriebssystem und Version.
■
Benutzer Name des Benutzers.
■
Zuletzt aktiv Der Zeitpunkt des letzten Check-ins oder der letzten Synchronisierung.
■
Verwaltungsstatus Einer der folgenden Status:
■
■
Managed: Das Gerät wird gesteuert.
■
Nicht managed: Die Sophos Mobile Control-App wird nicht als Geräteadministrator konfiguriert.
■
Anmeldung läuft: Der Benutzer meldet sich bei der Sophos Mobile Control-App an.
■
Angemeldet: Die Sophos Mobile Control-App wurde angemeldet, aber noch keine Richtlinie zugewiesen.
■
Deregistriert Die Sophos-Software wurde vom Benutzer vom Gerät entfernt. Das Gerät wird nicht mehr kontrolliert.
■
Zurücksetzen: Sie haben den Prozess zur Zurücksetzung gestartet; das Gerät stellt sich selbst auf die Werkseinstellungen zurück. Alle Daten werden gelöscht.
■
Zurückgesetzt: Das Gerät wurde auf die Werkseinstellungen zurückgesetzt. Es besteht keine Verbindung mehr zu Sophos Central. Das Gerät verbleibt jedoch in der Liste, sodass Sie überprüfen können, ob das Zurücksetzen erfolgreich war. Wenn das Gerät erneut registriert wird, wird für das Gerät ein neuer Eintrag erstellt. Sie können alte Einträge, die das Gerät als zurückgesetzt markieren, sicher löschen.
Compliance Compliance-Status.
Sie können auch die Details zu bestimmten Mobilgeräten ansehen, indem Sie den Namen in das Feld Suchen eingeben.
Berichte drucken oder exportieren Sie können Ihre Berichte drucken oder exportieren. Über der Liste sehen Sie die folgenden Optionen:
34
■
Drucken. Klicken Sie hierauf, um eine Druckansicht zu öffnen. Drücken Sie Strg+P, um den Druckerdialog zu öffnen.
■
Als CSV exportieren. Sie können die aktuelle Ansicht als CSV-Datei exportieren.
■
Als PDF exportieren. Sie können die aktuelle Ansicht als PDF-Datei exportieren.
Hilfe
6.8 Mobile Security Report Auf der Seite Mobile Security Reports finden Sie Informationen zum Sicherheitsstatus der Mobilgeräte: ■
Android-Geräte Alle registrierten mobilen Android-Geräte.
■
Erfordert Eingreifen Anzahl der Mobilgeräte mit Sicherheitshinweisen von hoher Priorität.
■
Mit Warnung Anzahl der Mobilgeräte mit Sicherheitshinweisen von mittlerer Priorität.
■
In gutem Sicherheitszustand Anzahl der Mobilgeräte mit Sicherheitshinweisen von niedriger Priorität oder ohne Sicherheitshinweise.
■
Nicht geschützt Mobile Geräte, auf die keine Mobile Security-Richtlinie angewendet wird.
Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Klicken Sie auf eine dieser Kategorien, um eine Tabelle mit weiteren Informationen zu sehen: ■
Sicherheitsstatus Ein Symbol zeigt den Sicherheitsstatus des Geräts an: ■
Erfordert Eingreifen
■
Mit Warnhinweisen
■
In gutem Sicherheitszustand
■
Nicht geschützt
■
Name Name des Geräts
■
OS Betriebssystem und Version.
■
Benutzer Name des Benutzers.
■
Zuletzt aktiv Der Zeitpunkt des letzten Check-ins oder der letzten Synchronisierung.
■
Mobile Security Einer der folgenden Status: ■
Managed: Das Gerät wird gesteuert.
■
Nicht managed: Die Sophos Mobile Security-App wird nicht als Geräteadministrator konfiguriert.
■
Deregistriert: Die Sophos Central-Software wurde vom Benutzer vom Gerät entfernt. Das Gerät wird nicht mehr kontrolliert.
■
Anmeldung läuft: Der Benutzer meldet die Sophos Mobile Security App an.
■
Angemeldet: Die Sophos Mobile Security App wurde angemeldet.
■
Zurücksetzen: Sie haben den Prozess zur Zurücksetzung gestartet; das Gerät stellt sich selbst auf die Werkseinstellungen zurück. Alle Daten werden gelöscht.
■
Zurückgesetzt: Das Gerät wurde auf die Werkseinstellungen zurückgesetzt. Es besteht keine Verbindung mehr zu Sophos Central. Das Gerät verbleibt jedoch in der Liste, sodass Sie überprüfen können, ob das Zurücksetzen erfolgreich war. Wenn das Gerät erneut registriert wird, wird für das Gerät ein neuer Eintrag erstellt. Sie können alte Einträge, die das Gerät als zurückgesetzt markieren, sicher löschen.
35
Sophos Central
Berichte drucken oder exportieren Sie können Ihre Berichte drucken oder exportieren. Über der Liste sehen Sie die folgenden Optionen: ■
Drucken. Klicken Sie hierauf, um eine Druckansicht zu öffnen. Drücken Sie Strg+P, um den Druckerdialog zu öffnen.
■
Als CSV exportieren. Sie können die aktuelle Ansicht als CSV-Datei exportieren.
■
Als PDF exportieren. Sie können die aktuelle Ansicht als PDF-Datei exportieren.
6.9 Peripheriegeräte-Bericht Auf der Seite Peripheriegeräte-Bericht finden Sie zu den überwachten Peripheriegeräten, die erlaubt sind, sich im schreibgeschützten Modus befinden (nur Lesezugriff) oder blockiert sind. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Klicken Sie auf eine dieser Kategorien, um eine Tabelle mit weiteren Informationen anzusehen: ■
Typ: Peripherietyp.
■
Modell: Modell des Peripheriegeräts.
■
ID: ID des Peripheriegeräts.
■
Letztes Gerät: Das letzte Gerät, mit welchem das Peripheriegerät verbunden wurde.
■
Ereignisse: Ereignisse, die vom Peripheriegerät ausgelöst wurden.
■
Letzter Benutzer: Der letzte Benutzer, der ein Ereignis auf dem Peripheriegerät ausgelöst hat.
■
Letzte Aktion: Die letzte Aktion, die für das Peripheriegerät ausgeführt wurde.
■
Wann: Uhrzeit und Datum, wann das Peripheriegerät zuletzt verwendet wurde.
Berichte drucken oder exportieren Sie können Ihre Berichte drucken oder exportieren. Über der Liste sehen Sie die folgenden Optionen: ■
Drucken. Klicken Sie hierauf, um eine Druckansicht zu öffnen. Drücken Sie Strg+P, um den Druckerdialog zu öffnen.
■
Als CSV exportieren. Sie können die aktuelle Ansicht als CSV-Datei exportieren.
■
Als PDF exportieren. Sie können die aktuelle Ansicht als PDF-Datei exportieren.
6.10 Application Control Reports Sie können verschiedene Berichte über die Application Control-Funktion von Sophos Central abrufen. Aus diesen Berichten geht hervor, welche im Rahmen von Application Control gesteuerten Anwendungen am häufigsten blockiert werden, welche am häufigsten erlaubt werden und welche Benutzer oder Server Richtlinienverstöße begangen haben.
36
Hilfe
Die Berichte finden Sie auf der Seite Protokolle und Berichte unter „Application Control“. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
6.10.1 Blockierte Anwendungen Im Bericht Am häufigsten blockierte Anwendungen wird aufgeführt, auf welche blockierten Anwendungen Ihre Benutzer am häufigsten versuchen zuzugreifen. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Tabelle der blockierten Anwendungen Die Tabelle führt die Anwendungen auf, die blockiert wurden. In der Liste ist für jede Anwendung Folgendes aufgeführt: ■
Die Kategorie.
■
Wie oft die Anwendung bereits blockiert wurde.
■
Die fünf Benutzer oder Server, die am häufigsten versucht haben, auf sie zuzugreifen (mit Angabe der Anzahl der Versuche für jeden Benutzer oder Server).
Berichte verwalten, drucken und exportieren Sie können die Berichtsdaten auf einen bestimmten Datumsbereich begrenzen, indem Sie in die Felder Ab: und Bis: ein Datum eingeben. Nach Eingabe des Datumsbereichs haben Sie folgende Möglichkeiten: ■
Drucken: Eine Kopie des Berichts an den Drucker senden.
■
Als CSV exportieren: Eine CSV-Datei exportieren (für den Import in eine Tabelle oder zur anderweitigen Verarbeitung).
■
Als PDF exportieren: Eine PDF-Datei des Berichts erstellen und herunterladen.
6.10.2 Erlaubte Anwendungen Der Bericht Am häufigsten erlaubte Anwendungen zeigt die Anwendungen, die am häufigsten aufgerufen werden. Hinweis: Eine erlaubte Anwendung befindet sich in Ihrer Kontrollliste, wird aber nicht blockiert. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Tabelle der erlaubten Anwendungen In dieser Tabelle sind im Rahmen von Application Control gesteuerte Anwendungen angegeben, auf die Benutzer oder Server zugreifen dürfen. In der Liste ist für jede Anwendung Folgendes aufgeführt: ■
Die Kategorie.
■
Wie oft die Anwendung bereits erlaubt worden ist.
37
Sophos Central
■
Die fünf Benutzer oder Server, die am häufigsten auf sie zugegriffen haben (mit Angabe der Anzahl, wie oft die einzelnen Benutzer oder Server auf sie zugegriffen haben).
Berichte verwalten, drucken und exportieren Sie können die Berichtsdaten auf einen bestimmten Datumsbereich begrenzen, indem Sie in die Felder Ab: und Bis: ein Datum eingeben. Nach Eingabe des Datumsbereichs haben Sie folgende Möglichkeiten: ■
Drucken: Eine Kopie des Berichts an den Drucker senden.
■
Als CSV exportieren: Eine CSV-Datei exportieren (für den Import in eine Tabelle oder zur anderweitigen Verarbeitung).
■
Als PDF exportieren: Eine PDF-Datei des Berichts erstellen und herunterladen.
6.10.3 Richtlinienverstöße bei Application Control Im Bericht Server/Benutzer mit den meisten Verstößen gegen die Application Control-Richtlinie zeigt, welche Benutzer am häufigsten versuchen, Zugriff auf blockierte Anwendungen zu erhalten. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Tabelle der Richtlinienverletzer In der Tabelle sind die Benutzer oder Server aufgeführt, die gegen Richtlinien verstoßen haben. Der Benutzer oder Server mit den häufigsten Verstößen steht ganz oben. Für jeden Benutzer oder Server werden Details zu den blockierten und erlaubten Anwendungen aufgeführt, auf die er versucht hat zuzugreifen: ■
Die Anzahl der blockierten Anwendungen.
■
Die blockierten Anwendungen, auf die zugegriffen wurde.
■
Die Kategorie der blockierten Anwendung, auf die zugegriffen wurde.
■
Die Anzahl der erlaubten Anwendungen.
■
Die erlaubten Anwendungen, auf die zugegriffen wurde.
■
Die Kategorie der erlaubten Anwendung, auf die zugegriffen wurde.
Hinweis: Eine erlaubte Anwendung ist eine Anwendung, die in der Liste der Controlled Applications steht, aber nicht blockiert wird.
Berichte verwalten, drucken und exportieren Sie können die Berichtsdaten auf einen bestimmten Datumsbereich begrenzen, indem Sie in die Felder Ab: und Bis: ein Datum eingeben. Nach Eingabe des Datumsbereichs haben Sie folgende Möglichkeiten:
38
■
Drucken: Eine Kopie des Berichts an den Drucker senden.
■
Als CSV exportieren: Eine CSV-Datei exportieren (für den Import in eine Tabelle oder zur anderweitigen Verarbeitung).
■
Als PDF exportieren: Eine PDF-Datei des Berichts erstellen und herunterladen.
Hilfe
6.11 Reports für Web Control Sie können verschiedene Berichte über die Web Control-Funktion von Sophos Central abrufen. Diese Berichte bieten Informationen dazu, wie Benutzer auf Webseiten zugreifen, welche Benutzer die Richtlinien verletzt und welche Benutzer versucht haben, Malware herunterzuladen. Die Berichte finden Sie auf der Seite Protokolle und Berichte unter „Web Control“. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
6.11.1 Blockierte Website-Kategorien Im Bericht Die häufigsten blockierten Kategorien finden Sie Informationen dazu, welche blockierten Website-Kategorien Ihre Benutzer am häufigsten versucht haben aufzurufen. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Tabelle mit blockierten Kategorien In der Tabelle sehen Sie, welche Kategorien Ihre Benutzer besucht haben. Die am häufigsten besuchten Kategorien stehen ganz oben. In der Liste ist für jede Kategorie Folgendes aufgeführt: ■
Die Anzahl der Besuche.
■
Die Anzahl der Einzelbesucher, die versucht haben, Webseiten aus dieser Kategorie aufzurufen.
Berichte verwalten, drucken und exportieren Sie können die Berichtsdaten auf einen bestimmten Datumsbereich begrenzen, indem Sie in die Felder Ab: und Bis: ein Datum eingeben. Nach Eingabe des Datumsbereichs haben Sie folgende Möglichkeiten: ■
Drucken: Eine Kopie des Berichts an den Drucker senden.
■
Als CSV exportieren: Eine CSV-Datei exportieren (für den Import in eine Tabelle oder zur anderweitigen Verarbeitung).
■
Als PDF exportieren: Eine PDF-Datei des Berichts erstellen und herunterladen.
6.11.2 Websites mit Warnungen Im Bericht Die häufigsten Warnungen zeigt die am häufigsten besuchten Webseiten an, für welche dem Benutzer eine Warnung angezeigt wird. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
39
Sophos Central
Tabelle der Websites mit Warnungen In der Tabelle werden die Webseiten aufgeführt, die Ihre Benutzer besucht haben und vor denen sie gewarnt wurden. Die am häufigsten besuchten Websites stehen ganz oben. In der Liste ist für jede Website Folgendes aufgeführt: ■
Die Kategorie, zu welcher die Website gehört.
■
Die Anzahl der Benutzer, die vor dieser Webseite gewarnt wurden.
■
Die Anzahl der Benutzer, die dennoch diese Webseite aufgerufen haben.
■
Die fünf Benutzer, die am häufigsten die Webseite aufgerufen haben (mit der Anzahl der Besuche pro Benutzer).
Berichte verwalten, drucken und exportieren Sie können die Berichtsdaten auf einen bestimmten Datumsbereich begrenzen, indem Sie in die Felder Ab: und Bis: ein Datum eingeben. Nach Eingabe des Datumsbereichs haben Sie folgende Möglichkeiten: ■
Drucken: Eine Kopie des Berichts an den Drucker senden.
■
Als CSV exportieren: Eine CSV-Datei exportieren (für den Import in eine Tabelle oder zur anderweitigen Verarbeitung).
■
Als PDF exportieren: Eine PDF-Datei des Berichts erstellen und herunterladen.
6.11.3 Blockierte Websites Im Bericht Am häufigsten blockierte Webseiten finden Sie Informationen dazu, welche blockierten Websites Ihre Benutzer am häufigsten versucht haben aufzurufen. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Tabelle mit blockierten Websites In der Tabelle sehen Sie, welche blockierten Websites Ihre Benutzer versucht haben aufzurufen. Die am häufigsten besuchten Websites stehen ganz oben. In der Liste ist für jede Website Folgendes aufgeführt: ■
Die Kategorie, zu welcher die Website gehört.
■
Die Anzahl der Besuche.
■
Die fünf Benutzer, die am häufigsten versucht haben, auf die Webseite zuzugreifen (mit der Anzahl der Besuche pro Benutzer).
Berichte verwalten, drucken und exportieren Sie können die Berichtsdaten auf einen bestimmten Datumsbereich begrenzen, indem Sie in die Felder Ab: und Bis: ein Datum eingeben. Nach Eingabe des Datumsbereichs haben Sie folgende Möglichkeiten: ■
40
Drucken: Eine Kopie des Berichts an den Drucker senden.
Hilfe
■
Als CSV exportieren: Eine CSV-Datei exportieren (für den Import in eine Tabelle oder zur anderweitigen Verarbeitung).
■
Als PDF exportieren: Eine PDF-Datei des Berichts erstellen und herunterladen.
6.11.4 Richtlinienverstöße bei Web Control Der Bericht Richtlinienverletzer bietet Informationen zu Benutzern, die am häufigsten Ihre Web Control-Richtlinie verletzen. Dies schließt das Aufrufen von blockierten Seiten sowie das Herunterladen von blockierten Dateitypen mit ein. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Tabelle der Richtlinienverletzer Die Tabelle führt die Benutzer auf, die gegen Ihre Richtlinie verstoßen haben. Die Benutzer, die am häufigsten verstoßen haben, stehen ganz oben. Für jeden Benutzer zeigt die Tabelle die Anzahl der Website-Besuche an, die zu einem Richtlinienverstoß geführt haben, die fünf häufigsten Website-Kategorien, deren Besuch gegen die Richtlinie verstößt, und die Anzahl der Besuche pro Kategorie.
Berichte verwalten, drucken und exportieren Sie können die Berichtsdaten auf einen bestimmten Datumsbereich begrenzen, indem Sie in die Felder Ab: und Bis: ein Datum eingeben. Nach Eingabe des Datumsbereichs haben Sie folgende Möglichkeiten: ■
Drucken: Eine Kopie des Berichts an den Drucker senden.
■
Als CSV exportieren: Eine CSV-Datei exportieren (für den Import in eine Tabelle oder zur anderweitigen Verarbeitung).
■
Als PDF exportieren: Eine PDF-Datei des Berichts erstellen und herunterladen.
6.11.5 Malware-Downloader Der Bericht Die häufigsten Malware-Downloader zeigt, welche Benutzer am häufigsten versuchen, Malware herunterzuladen. In diesem Bericht werden die folgenden Vorfälle gezählt und aufgeführt: ■
Malware in Dateien entdeckt, die der Benutzer versucht hat herunterzuladen.
■
Der Benutzer besucht hochriskante Webseiten, die in der Vergangenheit Malware gehostet haben.
Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
41
Sophos Central
Tabelle „Malware-Downloader“ In der Tabelle sind die Benutzer aufgeführt, die versucht haben Malware herunterzuladen oder die hochriskante Webseiten besucht haben. Die Benutzer, die dies am häufigsten versucht haben, stehen ganz oben in der Tabelle. In der Tabelle ist für jeden Benutzer Folgendes aufgeführt: ■
Der Computer, auf welchen der Versuch durchgeführt wurde.
■
Die Anzahl der Webseitenbesuche, bei denen dies versucht wurde.
■
Die fünf häufigsten Typen von Malware oder Risiko (gemeinsam mit der Anzahl der Besuche je Typ).
Berichte verwalten, drucken und exportieren Sie können die Berichtsdaten auf einen bestimmten Datumsbereich begrenzen, indem Sie in die Felder Ab: und Bis: ein Datum eingeben. Nach Eingabe des Datumsbereichs haben Sie folgende Möglichkeiten: ■
Drucken: Eine Kopie des Berichts an den Drucker senden.
■
Als CSV exportieren: Eine CSV-Datei exportieren (für den Import in eine Tabelle oder zur anderweitigen Verarbeitung).
■
Als PDF exportieren: Eine PDF-Datei des Berichts erstellen und herunterladen.
6.12 Web-Gateway Reports Sie können verschiedene Berichte mit Informationen über die Web-Gateway-Funktion von Sophos Central abrufen. Die Berichte finden Sie auf der Seite Protokolle und Berichte unter „Web Gateway“. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
6.12.1 Gateway-Aktivität Diese Seite erscheint nur, wenn Ihre Lizenz Web-Gateway enthält. Auf der Seite Gateway-Aktivitätsprotokolle können Sie alle Protokolle der Netzwerkaktivität, die mit Ihrem Web Gateway-Schutz verbunden sind, einsehen. Sie können die Protokolle anhand folgender Parameter filtern: ■
Aktion (Zulassen, Audit, Blockieren)
■
Filter-Typ (Kategorie, Malware, Phishing, URL, Daten)
■
Website-Kategorie und/oder
■
Benutzer.
Das Suchfeld nach Benutzern bietet eine automatische Ergänzungsfunktion für Ihre Eingaben.
42
Hilfe
Sie können die Berichtsdaten auf einen bestimmten Datumsbereich begrenzen, indem Sie in die Felder Ab: und Bis: ein Datum eingeben. Nach Eingabe des Datumsbereichs haben Sie folgende Möglichkeiten: ■
Update: Die im Bericht angezeigten Daten nach einem bestimmten Datumsbereich sortieren.
■
Drucken: Eine Kopie des Berichts an den Drucker senden.
■
Exportieren: Die Daten im XSLX-, ODS-, CSV- oder XML-Format exportieren.
6.12.2 Gateway-Reports Diese Seite erscheint nur, wenn Ihre Lizenz Web-Gateway enthält. Auf der Seite Gateway-Berichte können Sie alle Berichte zum Web Gateway-Schutz ansehen. Bitte beachten Sie: Die Berichte werden einmal pro Stunde aktualisiert. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Sie können die Berichtsdaten auf einen bestimmten Datumsbereich begrenzen, indem Sie in die Felder Ab: und Bis: ein Datum eingeben. Sie können den Bericht außerdem mit den angezeigten Filtern filtern. Sobald Sie Datumsbereich und Filter eingegeben haben, können Sie: ■
Update: Die im Bericht angezeigten Daten nach einem bestimmten Datumsbereich sortieren.
■
Drucken: Eine Kopie des Berichts an den Drucker senden.
■
Exportieren: Die Daten im XSLX-, ODS-, CSV- oder XML-Format exportieren.
43
Sophos Central
7 Bedrohungs-Analyse Diese Funktion ist möglicherweise noch nicht für alle Kunden verfügbar. Mithilfe der Bedrohungs-Analyse können Sie eine Kette von Ereignissen untersuchen, die eine Malware-Infektion betreffen, und Bereiche identifizieren, in denen Sie die Sicherheit verbessern können. Wenn ein Windows-Computer mit Sophos Endpoint eine Malware-Infektion erkennt, die untersucht werden muss, wird ein Bedrohungsanalyse-Fall angelegt und an Sophos Central geschickt. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Auf der Seite Bedrohungs-Analyse sind alle Bedrohungsanalyse-Fälle aufgelistet. Fälle werden für 90 Tage angezeigt. Klicken Sie auf eine Nummer, um Alle Fälle oder nur die Neuen Fälle, die Fälle In Bearbeitung und Geschlossene Fälle anzuzeigen. Suchen: Wenn Sie Fälle für einen bestimmten Benutzer, Computer oder Bedrohungsnamen (zum Beispiel „Troj/Agent-AJWL“) anzeigen möchten, geben Sie den Namen des Benutzers, des Computers oder der Bedrohung in das Suchfeld ein. Die Liste zeigt nur Ergebnisse an, die mit Ihrem Suchbegriff verbunden sind. Für jeden Fall wird in der Liste Folgendes angezeigt: ■
Priorität: Hier ist standardmäßig Mittel eingestellt. Sie können die Priorität festlegen, wenn Sie den Fall aufrufen.
■
Zusammenfassung Name der festgestellten Bedrohung. Klicken Sie auf den Namen, um Details des Falls anzuzeigen.
■
Status: Status des Falls. Hier ist standardmäßig Neu eingestellt. Sie können den Status festlegen, wenn Sie den Fall aufrufen.
■
Erstellt um: Uhrzeit und Datum, wann der Bedrohungsanalyse-Fall angelegt wurde.
■
Benutzer: Name des Benutzers, der die Infektion verursacht hat. Klicken Sie auf den Namen, um Details des Benutzers anzuzeigen.
■
Gerät: Computer, der die Infektion verursacht hat. Klicken Sie auf einen Computernamen, um nähere Informationen zu dem betreffenden Computer anzuzeigen.
Sie können die Liste nach Priorität, Status oder Erstellt um sortieren, indem Sie auf den Pfeil über diesen Spalten klicken.
7.1 Details der Bedrohungs-Analyse Diese Funktion ist möglicherweise noch nicht für alle Kunden verfügbar. Auf der Seite Details der Bedrohungs-Analyse können Sie einen Fall untersuchen. Für jeden Fall werden eine Übersicht, Details der betroffenen Artefakte und eine visuelle Darstellung zur Entstehung der Bedrohung angezeigt. Sobald die Untersuchung abgeschlossen ist, können Sie den Fall schließen.
44
Hilfe
Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). ■
Priorität:[aktuelle Priorität]: Zeigt die aktuelle Priorität des Falls an. Alle Fälle haben standardmäßig die Priorität Mittel. Sie können als Priorität Hoch, Mittel oder Niedrig auswählen.
■
Status:[aktueller Status]: Zeigt den aktuellen Status des Falls an. Alle Fälle haben standardmäßig den Status Neu. Sie können als Status In Bearbeitung oder Geschlossen auswählen. Hinweis: Sobald Sie den Status auf In Bearbeitung gesetzt haben, können Sie ihn nicht mehr auf Neu zurücksetzen.
Übersicht Auf der Registerkarte Übersicht bekommen Sie eine Zusammenfassung der Bedrohung angezeigt. Sie können einen Eintrag zur Untersuchung anzeigen und aktualisieren. ■
■
■
Bedrohungs-Übersicht: Beschreibung der festgestellten Bedrohung. ■
Was: Bedrohung erkannt.
■
Wo: Name des Computers und des Benutzers.
■
Wann: Uhrzeit und Datum der Infektion. Uhrzeit und Datum der Erkennung.
■
Wie: Quelle der Infektion, falls bekannt.
Nächste Schritte: Vorschläge, wie Sie weiter vorgehen, um den Fall zu untersuchen. Zurzeit sind die Informationen statisch. Sie können: ■
Auf den Link klicken, um zu schauen, ob Ihre geschäftlichen Dateien von der Bedrohung betroffen sind.
■
Auf den Link klicken, um Daten zum Verlauf der Bedrohung (Infektion) anzuzeigen.
Aktivitätseintrag: Eintrag zur Untersuchung. Enthält das Datum der Erstellung, das Datum der Statusänderung und den Bearbeitungsfortschritt der Untersuchung. Sie können Kommentare hinzufügen, indem Sie diese in das Textfeld eingeben und auf Kommentar hinzufügen klicken.
Artefakte Liste aller betroffenen Artefakte, z. B. geschäftliche Dateien, Prozesse, Registry-Schlüssel oder IP-Adressen. Sie können nur die betroffenen geschäftlichen Dateien, andere Dateien, Registry-Schlüssel und Netzwerkverbindungen anzeigen; klicken Sie dazu auf die entsprechende Nummer. Sie können eine CSV-Datei mit einer Liste der betroffenen Artefakte exportieren, indem Sie oben rechts auf der Registerkarte auf Als CSV exportieren klicken. Die Liste gibt die folgende Information: ■
Name: Name des Artefakts. ■
Klicken Sie auf den Namen, um nähere Informationen anzuzeigen. Die Details des Artefakts werden in einem Flyout auf der rechten Seite der Liste angezeigt.
45
Sophos Central
■
Sie können eigene Kommentare hinzufügen, indem Sie diese in das Textfeld eingeben und auf Kommentar hinzufügen klicken. Der Kommentar wird dem Aktivitätseintrag für den Fall hinzugefügt.
■
Klicken Sie auf >, um das Flyout zu schließen.
■
Typ: Art des Artefakts, wie z. B. geschäftliche Datei oder Registry-Schlüssel.
■
Protokollierte Uhrzeit: Uhrzeit und Datum des Zugriffs auf einen Prozess.
Visualisieren Hier wird die Kette der Ereignisse angezeigt, die die Bedrohung bzw. Infektion betreffen. Angezeigt werden auch die Ursachenanalyse und der Ort der Feststellung der Infektion (Beacon). Die Auswirkungen der Infektion werden als Serie von Sprechblasen und Pfeilen angezeigt. Die Sprechblasen stellen die betroffenen Artefakte dar und die Pfeile zeigen den Pfad der Infektion auf und geben Auskunft darüber, wie die Infektion entstanden ist. Die verschiedenen Artefakt-Typen werden in unterschiedlichen Farben und mit Buchstabe angezeigt. Die Legende über der Karte gibt Auskunft darüber, welcher Artefakt-Typ durch welche Farbe dargestellt ist. ■
Mithilfe der Schalter in der Legende kann die Anzeige der verschiedenen Artefakt-Typen aktiviert oder deaktiviert werden.
■
Wenn Sie mit der Maus über ein Artefakt fahren, wird dessen Name angezeigt.
So zeigen Sie die Auswirkungen der Infektion an: ■
Wählen Sie ein Artefakt aus, indem Sie auf eine Sprechblase klicken. Damit wird dessen Rolle im Infektionsprozess angezeigt. Die Details des ausgewählten Artefakts werden in einem Flyout auf der rechten Seite der Infektionskarte angezeigt.
46
Hilfe
8 Personen Auf der Seite Personen können Sie die Benutzer und Benutzergruppen verwalten. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
8.1 Benutzer Auf der Registerkarte Benutzer auf der Seite Personen können Sie Benutzer hinzufügen oder verwalten und die Computer oder mobilen Geräte von Benutzern schützen. Sie können Benutzern außerdem die Möglichkeit geben, ihre Geräte selbst zu schützen, indem Sie ihnen einen Einrichtungslink senden. Wichtig: Die Möglichkeit zum Hinzufügen und Verwalten von Benutzern hängt von der Ihnen zugewiesenen Administratorrolle ab (siehe Administrationsrollen (Seite 140)). Die Abschnitte unten erläutern die Benutzerliste und erklären Ihnen, wie Sie: ■
Benutzer hinzufügen (Seite 48).
■
Bestehende Benutzer schützen (Seite 49).
■
Benutzer ändern (Seite 49).
■
Benutzer löschen (Seite 49).
Über die Benutzerliste Die aktuellen Benutzer werden mitsamt Details aufgelistet, unter anderem mit: ■
Sicherheitsstatus. Ein Symbol zeigt an, ob für die Geräte des Benutzers Sicherheitswarnhinweise vorliegen: ■
Grüner Haken: Es liegen Warnhinweise mit niedriger Priorität oder keine Warnhinweise vor.
■
Braunes Warnsymbol: Warnhinweise mit mittlerer Priorität.
■
Rotes Warnsymbol: Warnhinweise mit kritischer Priorität.
Klicken Sie auf den Namen des Benutzers, um Geräteinformationen anzuzeigen und herauszufinden, ob ein Warnhinweis vorliegt. ■
E-Mail-Adresse.
■
Exchange-Login. Dieser wird benötigt, wenn Sie möchten, dass die Benutzer ihre Unternehmens-E-Mails auf ihren Mobilgeräten abrufen können. Hinweis: Damit die Benutzer Zugriff auf die Unternehmens-E-Mail erhalten, konfigurieren Sie die Exchange-Einstellungen (Seite 152) und fügen Sie diese zum Abschnitt „Mobile Device Management“ in einer Benutzerrichtlinie (Seite 104) hinzu.
■
Rolle. Gibt Auskunft über eine etwaige Administrationsrolle des Benutzers (siehe Administrationsrollen (Seite 140)). Wichtig: Diese Spalte ist nur sichtbar, wenn Sie Administrator sind.
47
Sophos Central
Um die vollständigen Details eines Benutzers anzuzeigen, klicken Sie auf den Namen des Benutzers. Für weitere Informationen sehen Sie die Benutzerübersicht (Seite 50). Um verschiedene Typen von Benutzern anzuzeigen, klicken Sie auf den Dropdownpfeil des Filters über der Liste.
Benutzer hinzufügen Sie können Benutzer auf folgende Weise hinzufügen: ■
Fügen Sie Benutzer manuell auf der Seite Benutzer hinzu.
■
Benutzer von Active Directory importieren. Klicken Sie oben rechts auf der Seite auf den Link Active Directory-Synchronisierung einrichten.
■
Einen Installer herunterladen und selbst ausführen (anstatt Einrichtungslinks an Benutzer zu versenden). Hierdurch wird der Benutzer automatisch hinzugefügt. Sehen Sie hierzu die Seite Geräte schützen.
Hinweis: Wenn Sie die iOS-Geräte Ihrer Benutzer mit der Funktion Mobile Device Management von Sophos Central schützen möchten, benötigen Sie ein Apple Push(APNs)-Zertifikat. Klicken Sie oben rechts auf der Seite auf MDM für iOS aktivieren. In diesem Abschnitt erfahren Sie, wie Sie Benutzer auf der Benutzerseite hinzufügen und schützen. Einen Benutzer hinzufügen und schützen 1. Klicken Sie oben rechts auf der Seite auf die Schaltfläche Benutzer hinzufügen. 2. Im Dialogfeld Benutzer hinzufügen geben Sie die folgenden Angaben ein: Vor- und Nachname. Geben Sie den Namen des Benutzers ein. Geben Sie keinen Domänennamen ein. Rolle. Wählen Sie eine Administrationsrolle für den Benutzer aus. Wählen Sie: Superadmin, Admin, Helpdesk, Read-only oder Benutzer. Hilfe zu den Administrationsrollen finden Sie unter Administrationsrollen (Seite 140). Ein Benutzer, dem eine Administrationsrolle zugewiesen ist, erhält eine E-Mail mit Informationen zum Einrichten seines Administrationskontos. Wichtig: Nur wenn Sie Superadmin sind, sehen Sie die Option Rolle und können Administratorrollen zuweisen. Hinweis: Die Rolle Benutzer hat nur Zugang zum Self-Service-Portal. E-Mail-Adresse. Geben Sie die E-Mail-Adresse des Benutzers ein. Exchange-Login (optional). Der Exchange-Login kann notwendig sein, wenn Sie möchten, dass sich die Exchange-Daten automatisch mit mobilen Geräten synchronisieren. Sie können diese Einstellung konfigurieren, indem Sie eine Richtlinie für mobile Geräte festlegen. Zu Gruppen hinzufügen (optional). Wählen Sie eine der verfügbaren Benutzergruppen und verschieben Sie diese mithilfe der Pfeile in die zugewiesenen Gruppen. Tipp: Geben Sie einen Namen im Suchfeld ein, um die angezeigten Gruppen zu filtern. E-Mail-Einrichtungslink. Wählen Sie diese Option, wenn Sie dem Benutzer eine E-Mail mit Links senden möchten, über welche er den Schutz seiner Geräte selbst einrichten kann. Wenn Ihre Lizenz mehr als einen Schutztyp umfasst, wählen Sie jene aus, die der Benutzer benötigt. Hinweis: Der Benutzer muss über Administratorberechtigungen und einen Internetzugang verfügen, um seinen Computer schützen zu können.
48
Hilfe
Hinweis: Das Web-Gateway bietet eine weiter fortgeschrittene Web-Sicherheit für Computer als der Standardschutz. Es kann gemeinsam mit dem Standardschutz oder einzeln installiert werden. 3. Klicken Sie auf Speichern oder Speichern und weitere hinzufügen. Der neue Benutzer wird der Benutzerliste hinzugefügt. Wenn der Benutzer die Software herunterlädt und installiert, wird das Gerät automatisch diesem Benutzer zugewiesen.
Bestehende Benutzer schützen Um E-Mails an Benutzer zu senden, die Sie bereits zur Liste hinzugefügt oder importiert haben: 1. Wählen Sie einen oder mehrere Benutzer aus, die sie schützen möchten. Klicken Sie oben rechts auf der Seite auf E-Mail-Einrichtungslink. 2. Im Dialogfenster E-Mail-Einrichtungslink werden Sie aufgefordert, die Schutzprogramme auszuwählen, die der Benutzer benötigt (vorausgesetzt, Ihre Lizenz umfasst mehrere). Hinweis: Der Benutzer muss über Administratorberechtigungen und einen Internetzugang verfügen, um seinen Computer schützen zu können. Hinweis: Das Web-Gateway bietet eine weiter fortgeschrittene Web-Sicherheit für Computer als der Standardschutz. Es kann gemeinsam mit dem Standardschutz oder einzeln installiert werden.
Benutzer ändern Zur Anpassung eines Benutzerkontos klicken Sie auf den Benutzernamen, um die Benutzerinformation zu öffnen und zu bearbeiten. Für weitere Informationen sehen Sie die Benutzerübersicht (Seite 50).
Benutzer löschen Um einen oder mehrere Benutzer zu löschen, aktivieren Sie die Kontrollkästchen neben den jeweiligen Benutzern. Klicken Sie oben rechts auf der Seite auf die Schaltfläche Löschen. Wichtig: Sie können keine Benutzer löschen, die Administratoren sind. Sie müssen die zugewiesene Administratorrolle entfernen, bevor Sie Administratoren löschen können (siehe Administrationsrollen (Seite 140)). Logins, die mit einem gelöschten Benutzer verbunden sind, können später einem anderen Benutzer zugewiesen werden. Sie können über den Link Logins ändern auf der Informationsseite eines Benutzers die Logins bearbeiten. Hinweis: Nach Löschen eines Benutzers wird das Geräte, das diesem zugewiesen war, nicht gelöscht und die Sophos Software von diesem Gerät nicht entfernt. Hinweis: Unter bestimmten Bedingungen kann der Benutzer später automatisch erneut erstellt werden: ■
Sobald sich der Benutzer auf einem ihm zugewiesenen Gerät anmeldet, das von Sophos Central weiterhin verwaltet wird, wird er erneut als Benutzer hinzugefügt.
49
Sophos Central
■
Wenn der Benutzer von Active Directory hinzugefügt wurde und sich weiterhin dort befindet, wird er das nächste Mal, wenn Sophos Central mit Active Directory synchronisiert wird, als Benutzer hinzugefügt.
8.1.1 Benutzer-Übersicht Auf der Registerkarte Übersicht auf der Detailseite eines Benutzers sehen Sie eine Zusammenfassung der folgenden Informationen: ■
Sicherheitsstatus, etwaige Administrationsrolle und Kontodetails des Benutzers.
■
Die neuesten Ereignisse auf den Benutzergeräten.
■
Die dem Benutzer zugewiesenen Posteingänge.
■
Die dem Benutzer zugewiesenen Geräte.
■
Richtlinien, die für den Benutzer gelten.
■
Gruppen, zu welchen der Benutzer gehört.
■
Logins.
Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Die einzelnen Details werden unten aufgeführt. Hinweis: Der Sicherheitsstatus und die Kontodetails befinden sich im linken Fensterbereich. Der Fensterbereich wird immer angezeigt, auch wenn Sie auf andere Registerkarten auf dieser Seite klicken. Hinweis: Klicken Sie auf die weiteren Registerkarten für weitere Informationen: Geräte, Ereignisse und Richtlinien.
Sicherheitsstatus Im linken Fensterbereich zeigt ein Symbol an, ob für die Geräte des Benutzers Sicherheitswarnhinweise vorliegen: ■
Grüner Haken: Es liegen Warnhinweise mit niedriger Priorität oder keine Warnhinweise vor.
■
Orangefarbenes Warnsymbol: Warnhinweise mit mittlerer Priorität.
■
Rotes Warnsymbol: Warnhinweise mit hoher Priorität.
Auf der Registerkarte Geräte sehen Sie, welche Geräte Warnhinweise aufweisen. Das Schlosssymbol weist darauf hin, dass der Benutzer aus der Active Directory importiert worden ist. Ein Abzeichen verweist auf die dem Benutzer zugewiesene Administrationsrolle. Klicken Sie auf den Rollennamen, um die Einstellungen für die Rolle anzuzeigen. Hinweis: Rolleninformationen werden nur für Administrationsrollen angezeigt.
Kontoinformationen Im linken Fensterbereich können Sie das Konto des Benutzers ändern oder löschen.
50
Hilfe
Hinweis: Wenn ein Benutzer von Active Directory importiert wurde, können Sie die Kontoinformationen nicht ändern. Sie können jedoch den Benutzer zu einer neuen Sophos Central-Gruppe hinzufügen oder einen weiteren Login hinzufügen. Konto ändern 1. Klicken Sie auf Bearbeiten und geben Sie die folgenden Einstellungen ein: Vor- und Nachname. Geben Sie den Namen des Benutzers ein. Geben Sie keinen Domänennamen ein. Rolle. Wählen Sie eine Rolle für den Benutzer aus. Wählen Sie: Superadmin, Admin, Helpdesk, Read-only oder Benutzer. Hilfe zu den Administrationsrollen finden Sie unter Administrationsrollen (Seite 140). Wichtig: Nur wenn Sie Superadmin sind, sehen Sie die Option Rolle und können Administratorrollen zuweisen. Hinweis: Sie können Ihre eigene Administrationsrolle nicht ändern. Hinweis: Die Rolle Benutzer hat nur Zugang zum Self-Service-Portal. E-Mail-Adresse Geben Sie die E-Mail-Adresse des Benutzers ein. Exchange-Login (optional). Der Exchange-Login kann notwendig sein, wenn Sie möchten, dass sich die Exchange-Daten automatisch mit mobilen Geräten synchronisieren. Sie können diese Einstellung konfigurieren, indem Sie eine Richtlinie für mobile Geräte festlegen. Zu Gruppen hinzufügen (optional). Wählen Sie eine der verfügbaren Benutzergruppen und verschieben Sie diese mithilfe der Pfeile in die zugewiesenen Gruppen. E-Mail-Einrichtungslink. Wählen Sie diese Option, wenn Sie dem Benutzer eine E-Mail mit Links senden möchten, über welche er den Schutz seiner Geräte selbst einrichten kann. Wenn Ihre Lizenz mehr als einen Schutztyp umfasst, wählen Sie jene aus, die der Benutzer benötigt. Hinweis: Der Benutzer muss über Administratorberechtigungen und einen Internetzugang verfügen, um seinen Computer schützen zu können. Hinweis: Das Web-Gateway bietet eine weiter fortgeschrittene Web-Sicherheit für Computer als der Standardschutz. Es kann gemeinsam mit dem Standardschutz oder einzeln installiert werden. 2. Klicken sie auf Speichern. Das Konto löschen Und das Konto zu löschen, klicken Sie auf Benutzer löschen im linken Fensterbereich. Logins, die mit diesem Benutzer verbunden sind, können später einem anderen Benutzer zugewiesen werden. Wichtig: Sie können keine Benutzer löschen, denen eine Administrationsrolle zugewiesen wurde.
Neueste Ereignisse Eine Liste der neuesten Ereignisse auf den Benutzergeräten. Eine vollständige Liste erhalten Sie, wenn Sie auf die Registerkarte Ereignisse klicken.
51
Sophos Central
Posteingänge Hier sind alle E-Mail-Adressen aufgelistet, einschließlich Verteilerlisten und öffentliche Ordner, die mit dem Benutzer verbunden sind. Mit „Primär“ wird die primäre E-Mail-Adresse des Benutzers angezeigt. Mit „Eigentümer“ wird angezeigt, dass der Benutzer eine Verteilerliste oder einen öffentlichen Ordner kontrolliert. Klicken Sie auf eine E-Mail-Adresse, um alle Details anzusehen.
Geräte Hier sehen Sie eine Zusammenfassung der Geräte, die mit dem Benutzer verbunden sind. Klicken Sie auf den Gerätenamen, um die Detailseite des Geräts für weitere Informationen aufzurufen. Klicken Sie auf Aktionen, um eine der Aktionen durchzuführen, die auf der Detailseite des Geräts aufgeführt sind (zum Beispiel „Jetzt scannen“ und „Jetzt aktualisieren“ für einen Computer). Die vollständigen Details zu den Benutzergeräten finden Sie auf der Registerkarte Geräte.
Richtlinien Hier sehen Sie eine Zusammenfassung der Richtlinien, die für den Benutzer gelten. In der Liste wird der Name der Richtlinie aufgeführt, ob die Richtlinie aktiviert ist oder nicht sowie Symbole für die Funktionen, die in der Richtlinie enthalten sind. Klicken Sie auf den Namen der Richtlinie, um die Benutzerrichtlinien anzuzeigen und zu bearbeiten. Hinweis: Die Bearbeitung der Richtlinie betrifft alle Benutzer, für welche diese Richtlinie gilt. Die vollständigen Details aller Richtlinien, die für diesen Benutzer gelten, finden Sie auf der Registerkarte Richtlinien. Weitere Informationen zur Funktionsweise von Richtlinien finden Sie unter Über Richtlinien (Seite 92).
Gruppen Diese Registerkarte zeigt die Gruppen, denen der Benutzer angehört. Klicken Sie auf einen Gruppennamen, um die Details der Gruppe abzurufen. Klicken Sie auf Bearbeiten (rechts), um zu ändern, zu welcher/n Gruppe(n) der Benutzer gehört.
Logins Die Logins des Benutzers. Klicken Sie auf Bearbeiten (rechts), um die dem Benutzer zugewiesenen Logins zu ändern.
52
Hilfe
8.1.2 Benutzergeräte Auf der Registerkarte Geräte auf der Detailseite eines Benutzers sehen Sie, welche Geräte mit dem Benutzer verbunden sind. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Für jedes Gerät sind der Gerätetyp (Symbol für Computer oder Mobilgerät) und das Betriebssystem aufgeführt. Sie haben außerdem folgende Optionen: ■
Details anzeigen. Die Detailseite des Geräts wird geöffnet.
■
Löschen. Das Gerät wird aus der Liste entfernt und die Verwaltung über Sophos Central beendet, jedoch wird die Sophos Software nicht deinstalliert.
■
Aktionen. Maßnahmen, die Sie ergreifen können. Welche verfügbar sind, hängt vom Gerätetyp ab.
8.1.3 Benutzerereignisse Auf der Registerkarte „Ereignisse“ auf der Detailseite eines Benutzers wird eine Liste der Ereignisse angezeigt (wie blockierte Webseiten oder Richtlinienverstöße), die auf dem Benutzergerät erkannt wurden. Sie können die Liste durch Auswahl des Start- und Enddatums anpassen. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Die Liste gibt die folgende Information: ■
Beschreibung des Ereignisses.
■
Uhrzeit und Datum, an dem das Ereignis aufgetreten ist
■
Ein Symbol, das auf die Bedeutung des Ereignisses hinweist.
■
Das mit dem Ereignis verbundene Gerät.
Die Ereignisse sortiert nach Typ sowie eine Grafik der Ereignisse pro Tag finden Sie unter Ereignisbericht anzeigen. Legende zu den Symbolen
Symbol
Bedeutung Eine erfolgreich durchgeführte Aufgabe (zum Beispiel ein Update). Warnhinweis. Maßnahme erforderlich. Nur zur Information.
53
Sophos Central
8.1.4 Benutzerrichtlinien Auf der Registerkarte Richtlinien auf der Detailseite eines Benutzers sehen Sie, welche Richtlinien aktiviert sind und für den Benutzer gelten. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Die Symbole neben einer Richtlinie geben an, welche Sicherheitseinstellungen (zum Beispiel Threat Protection oder Mobile Control) in der Richtlinie enthalten sind. Hinweis: Ein ausgegrautes Symbol bedeutet, dass dieser Teil der Richtlinie nicht für den Benutzer gilt. Dies kann der Fall sein, wenn eine Richtlinie mit höherer Priorität, die für den Benutzer ebenfalls gilt, über Einstellungen für dieselbe Funktion verfügt. Klicken Sie einen Richtliniennamen, um diese Richtlinie anzuzeigen und zu bearbeiten. Hinweis: Die Bearbeitung der Richtlinie betrifft alle Benutzer, für welche diese Richtlinie gilt.
8.2 Benutzergruppen Auf der Registerkarte Gruppen auf der Seite Personen können Sie Benutzergruppen hinzufügen oder verwalten. Nutzen Sie Gruppen, um eine Richtlinie gleichzeitig mehreren Benutzern zuzuweisen. In den folgenden Abschnitten erfahren Sie mehr zur Gruppenliste und wie Sie Gruppen hinzufügen, ändern oder löschen können.
Über die Gruppenliste Die aktuellen Gruppen werden aufgelistet und die Anzahl der Benutzer in jeder Gruppe angezeigt. Um die vollständigen Details zu einer Gruppe anzuzeigen, klicken Sie auf den Namen der Gruppe. Weitere Informationen finden Sie unter Details Benutzergruppe (Seite 55).
Eine Gruppe hinzufügen 1. Klicken Sie auf die Schaltfläche Gruppe hinzufügen. 2. Im Dialogfeld Gruppe hinzufügen geben Sie die folgenden Angaben ein: Gruppenname. Geben Sie den Namen der neuen Gruppe ein. Mitglieder. Wählen Sie aus der Liste der verfügbaren Benutzer die gewünschten Mitglieder aus. Tipp: Im Feld Suchen können Sie auch die ersten Buchstaben eines Namens eingeben, um die angezeigten Einträge zu filtern. 3. Klicken Sie auf Speichern.
Eine Gruppe ändern Zum Ändern einer Gruppe klicken Sie auf den Gruppennamen, um die Gruppeninformation zu öffnen und zu bearbeiten. Weitere Informationen finden Sie unter Details Benutzergruppe (Seite 55).
54
Hilfe
Löschen einer Gruppe Klicken Sie oben rechts auf der Seite auf Löschen, um eine Gruppe zu löschen. Durch Löschen einer Gruppe werden die Benutzer nicht gelöscht.
8.2.1 Details Benutzergruppe Auf der Detailseite der Gruppe können Sie: ■
Mitglieder hinzufügen oder entfernen.
■
Die Gruppe löschen.
Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Mitglieder hinzufügen oder entfernen Mitglieder hinzufügen oder entfernen: 1. Klicken Sie unter dem Gruppennamen auf Bearbeiten. 2. Im Dialogfeld Gruppe bearbeiten wählen Sie mit den Pfeilen Benutzer aus, um sie der Liste Zugewiesene Benutzer hinzuzufügen oder sie zu entfernen. 3. Klicken sie auf Speichern.
Die Gruppe löschen Die Gruppe löschen: 1. Klicken Sie unter dem Gruppennamen auf Löschen. 2. Klicken Sie im Pop-up-Fenster Gruppe wirklich löschen? auf Ja. Durch Löschen einer Gruppe werden die Benutzer nicht gelöscht.
8.2.2 Richtlinien Benutzergruppe Auf der Registerkarte Richtlinien auf der Detailseite einer Benutzergruppe sehen Sie, welche Richtlinien aktiviert sind und für die Gruppe gelten. Die Symbole neben einer Richtlinie geben an, welche Sicherheitseinstellungen (zum Beispiel Schutz vor Bedrohungen) in der Richtlinie enthalten sind. Hinweis: Ein ausgegrautes Symbol bedeutet, dass diese Einstellung in der Richtlinie deaktiviert ist. Klicken Sie einen Richtliniennamen, um diese Richtlinie anzuzeigen und zu bearbeiten. Hinweis: Die Bearbeitung der Richtlinie betrifft alle Gruppen, für welche diese Richtlinie gilt.
55
Sophos Central
9 Computer Auf der Seite Computer können Sie Ihre geschützten Computer verwalten. Nachdem die Sophos Agent-Software installiert wurde, werden die Geräte automatisch angezeigt. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Sie können: ■
Die Details der Computer anzeigen.
■
Computer löschen.
■
Endpoint-Software verwalten.
■
Den Wiederherstellungsschlüssel für verschlüsselte Computer abrufen (wenn Sie Sophos Device Encryption verwenden).
Computer-Details einsehen Die Computer werden mit Informationen zum Betriebssystem, dem letzten Benutzer, der letzten Verwendung und dem Sicherheits- und Compliance-Status des Geräts aufgelistet. Der Sicherheitsstatus wird durch ein Symbol dargestellt: ■
Grüner Haken: Es liegen Warnhinweise mit niedriger Priorität oder keine Warnhinweise vor.
■
Orangefarbenes Warnsymbol: Warnhinweise mit mittlerer Priorität.
■
Rotes Warnsymbol: Warnhinweise mit hoher Priorität.
Um nach einem Computer zu suchen, geben Sie in das Suchfeld über der Liste den Namen ein. Um verschiedene Typen von Computern anzuzeigen, klicken Sie auf den Dropdownpfeil des Filters über der Liste. Klicken Sie auf einen Computernamen, um weitere Details zu sehen, Maßnahmen gegen Warnhinweise zu ergreifen oder den Computer zu aktualisieren, zu scannen oder zu löschen.
Computer löschen Sie können Computer, die nicht mehr über Sophos Central verwaltet werden müssen, löschen. Wählen Sie den oder die Computer aus, die Sie löschen möchten, und klicken Sie auf Löschen (rechts oben auf der Seite). Der Computer wird aus der Sophos Central Admin-Konsole gelöscht. Die Sophos Agent-Software wird hiermit nicht deinstalliert, der Computer erhält jedoch keine Updates mehr. Hinweis: Wenn Sie den Computer aus Versehen gelöscht haben, installieren Sie die Sophos Agent-Software erneut, um ihn wieder hinzuzufügen.
56
Hilfe
Endpoint-Software verwalten Sie können neue Endpoint-Software auswählen, die auf Computern installiert werden soll, welche bereits von Central geschützt und verwaltet werden. 1. Klicken Sie oben rechts auf der Seite auf Endpoint-Software verwalten. 2. Wählen Sie die Software aus. 3. Mithilfe der Pfeile können Sie die Computer auswählen, auf denen Sie die Software installieren möchten. Die Computer werden auf die ausgewählte Software aktualisiert.
Wiederherstellungsschlüssel abrufen Wenn Benutzer ihre PIN oder ihr Kennwort vergessen oder den USB-Stick für die Anmeldung bei einem mit BitLocker geschützten Computer verlegt haben, können Sie einen Wiederherstellungsschlüssel anfordern, mit dem der Computer entsperrt werden kann. Für jedes Volume gibt es einen Wiederherstellungsschlüssel (Kennwort). Dieser wird in Sophos Central erzeugt und gesichert, bevor der Computer verschlüsselt wird. Hinweis: Bei der Installation von Sophos Encryption werden vorhandene BitLocker-Wiederherstellungsschlüssel automatisch ersetzt und können nicht mehr verwendet werden. Um den Wiederherstellungsschlüssel anzufordern, benötigen Sie die Wiederherstellungsschlüssel-ID für den Computer, die im Wiederherstellungsassistenten eingegeben werden muss (wie unten erläutert). Tipp: Alternativ: Wenn Sie wissen, welcher Computer betroffen ist, können Sie den Schlüssel unter „Device Encryption“ auf der Details-Seite des betreffenden Computers anfordern. In diesem Fall benötigen Sie die ID nicht. 1. Bitten Sie den Benutzer, den Computer neu zu starten und die Esc-Taste zu drücken, wenn der BitLocker-Anmeldebildschirm erscheint. 2. Bitten Sie den Benutzer, Ihnen die angezeigten Informationen mitzuteilen. 3. Gehen Sie in Sophos Central zu Computer und klicken Sie auf die Schaltfläche Wiederherstellungsschlüssel abrufen. 4. Geben Sie die vom Benutzer mitgeteilte ID für den Wiederherstellungsschlüssel ein und rufen Sie den Wiederherstellungsschlüssel ab. Hinweis: Wenn das Wiederherstellungskennwort bereits zum Entsperren eines Computers verwendet wurde, erscheint ein Hinweis, dass eine neuere Wiederherstellungsschlüssel-ID für den betreffenden Computer verfügbar ist. 5. Klicken Sie auf die Schaltfläche Schlüssel anzeigen, um den Wiederherstellungsschlüssel anzuzeigen. 6. Stellen Sie sicher, dass der Benutzer berechtigt ist, auf das verschlüsselte Gerät zuzugreifen, bevor Sie den Wiederherstellungsschlüssel weitergeben. Hinweis: Sobald der Wiederherstellungsschlüssel Ihnen als Administrator angezeigt wird, wird dieser als verwendet markiert und bei der nächsten Synchronisierung ersetzt. 7. Geben Sie den Wiederherstellungsschlüssel an den Benutzer weiter. Der Computer kann entsperrt werden. Benutzer mit Administratorrechten können jetzt das Kennwort ändern. Nachdem der Computer wiederhergestellt wurde, wird ein neuer Wiederherstellungsschlüssel in Sophos Central erzeugt und gesichert. Der alte Schlüssel wird vom Computer gelöscht.
57
Sophos Central
9.1 Computer-Übersicht Auf der Registerkarte Übersicht auf der Detailseite eines Computers sehen Sie die folgenden Informationen: ■
Sicherheitsstatus des Computers.
■
Neueste Ereignisse auf dem Computer.
■
Zusammenfassung Endpoint-Agent. Dieser Agent bietet Schutz vor Bedrohungen und mehr.
■
Übersicht zu Device Encryption.
■
Übersicht zu Web Gateway (wenn Sie über Sophos Web Gateway verfügen). Dieser Agent bietet einen erweiterten Schutz vor riskantem oder unangemessenem Browsingverhalten.
■
Manipulationsschutz-Einstellungen
Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Sicherheitsstatus Im linken Fensterbereich können Sie die Details des Sicherheitsstatus sehen. Hinweis: Der linke Fensterbereich wird immer angezeigt, auch wenn Sie auf andere Registerkarten auf dieser Seite klicken. Status Über ein Symbol wird angezeigt, ob für den Computer Sicherheitshinweise vorliegen. ■
Grüner Haken: Es liegen Warnhinweise mit niedriger Priorität oder keine Warnhinweise vor.
■
Orangefarbenes Warnsymbol: Warnhinweise mit mittlerer Priorität.
■
Rotes Warnsymbol: Warnhinweise mit hoher Priorität.
Wenn Warnhinweise vorliegen, klicken Sie auf Statusanzeige, um die Details abzurufen. Löschen Mit der Option Löschen wird der Computer aus der Sophos Central Admin-Konsole gelöscht. Die Sophos Agent-Software wird hiermit nicht deinstalliert, der Computer wird jedoch nicht mehr aktualisiert. Hinweis: Wenn Sie den Computer aus Versehen gelöscht haben, installieren Sie die Sophos Agent-Software erneut, um ihn wieder hinzuzufügen.
Neueste Events Eine Liste der neuesten Ereignisse auf dem Computer. Eine vollständige Liste erhalten Sie, wenn Sie auf die Registerkarte Ereignisse klicken. Die Symbole zeigen, welcher Sophos-Agent die jeweiligen Ereignisse berichtet hat: ■
Endpoint-Agent (für Schutz vor Bedrohungen und mehr). ■
Web Gateway-Agent (erweiterter Web-Schutz).
58
Hilfe
Zusammenfassung Endpoint-Agent Der Endpoint-Agent bietet Schutz vor Bedrohungen und weitere Funktionen wie Kontrolle der Peripheriegeräte, von Anwendungen und der Webnutzung. In der Übersicht wird die letzte Aktivität auf dem Endpoint angezeigt. Außerdem sehen Sie, ob der Endpoint-Agent auf dem neuesten Stand ist. Wenn Sie eine Maßnahme ergreifen müssen, werden die folgenden Schaltflächen angezeigt: ■
Update: Die Sophos Agent-Software auf dem Computer wird aktualisiert.
■
Jetzt scannen: Der Computer wird sofort gescannt. Hinweis: Der Scan kann einige Zeit in Anspruch nehmen. Nach Abschluss sehen Sie die Bestätigung „Scan ‚Meinen Computer scannen‘ abgeschlossen“. Erfolgreiche Bereinigungen werden auf der Seite Protokolle und Berichte > Ereignisse angezeigt. Für nicht erfolgreiche Bereinigungen sehen Sie auf der Seite Warnhinweise einen Warnhinweis. Wenn der Computer offline ist, wird er gescannt, sobald er wieder online ist. Wenn aktuell bereits ein Computer-Scan durchgeführt wird, wird die neueste Scan-Anforderung ignoriert und der frühere Scan weiter ausgeführt.
Übersicht zu Device Encryption Device Encryption bietet die Möglichkeit, BitLocker Drive Encryption auf Windows-Computern zu verwalten. Diese Übersicht enthält Informationen zum Verschlüsselungsstatus und zur Authentifizierungsmethode für jedes Volume. Wiederherstellungsschlüssel abrufen Hier können Sie auch einen Wiederherstellungsschlüssel abrufen. Dieser kann zum Entsperren eines Computers verwendet werden, wenn Benutzer ihre PIN oder ihr Kennwort vergessen oder den USB-Stick für die Anmeldung verlegt haben. 1. Klicken Sie auf Abrufen neben dem Volume. Daraufhin werden die Wiederherstellungsschlüssel-ID und der aktuelle Wiederherstellungsschlüssel angezeigt. 2. Stellen Sie sicher, dass der Benutzer berechtigt ist, auf das verschlüsselte Gerät zuzugreifen, bevor Sie den Wiederherstellungsschlüssel weitergeben. Hinweis: Sobald der Wiederherstellungsschlüssel Ihnen als Administrator angezeigt wird, wird dieser als verwendet markiert und bei der nächsten Synchronisierung ersetzt. 3. Geben Sie den Wiederherstellungsschlüssel an den Benutzer weiter. Der Computer kann entsperrt werden. Benutzer mit Administratorrechten können jetzt das Kennwort ändern. Nachdem der Computer wiederhergestellt wurde, wird ein neuer Wiederherstellungsschlüssel in Sophos Central erzeugt und gesichert. Der alte Schlüssel wird vom Computer gelöscht.
Übersicht Web-Gateway Sophos Web-Gateway bietet erweiterten Schutz vor riskantem oder unangemessenem Browsingverhalten. In der Übersicht wird die letzte Netzwerkaktivität angezeigt. Außerdem sehen Sie die Version des Web Gateway-Agents (und ob dieser aktuell ist).
59
Sophos Central
Wenn Sie den Web Gateway-Agent aktualisieren müssen, erscheint die Schaltfläche Aktualisieren.
Manipulationsschutz Zeigt an, ob der Manipulationsschutz auf dem Computer aktiviert ist oder nicht. Wenn der Manipulationsschutz aktiviert ist, kann ein lokaler Administrator auf deren Computern die folgenden Änderungen nicht vornehmen, wenn er nicht das nötige Kennwort hat: ■
Einstellungen für On-Access-Scans, die Erkennung von verdächtigem Verhalten (HIPS), Web Protection oder Sophos Live Protection ändern
■
den Manipulationsschutz deaktivieren
■
Deinstallieren Sie die Sophos Agent-Software.
Klicken Sie auf Details anzeigen, um das Manipulationsschutz-Kennwort für den Computer zu verwalten.
9.2 Computerereignisse Auf der Registerkarte Ereignisse auf der Detailseite eines Computers werden Ereignisse angezeigt (wie blockierte Websites oder Richtlinienverstöße), die auf dem Gerät erkannt wurden. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Sie können die Liste durch Auswahl des Start- und Enddatums anpassen. Die Liste gibt die folgende Information: ■
Beschreibung des Ereignisses.
■
Uhrzeit und Datum, an dem das Ereignis aufgetreten ist
■
Ein Symbol, das auf die Bedeutung des Ereignisses hinweist. Sehen Sie hierzu die Legende zu den Symbolen.
■
Ein Symbol zeigt an, welcher Sophos-Agent das Ereignis berichtet hat: Sehen Sie hierzu die Legende zu den Symbolen.
Die Ereignisse sortiert nach Typ sowie eine Grafik der Ereignisse pro Tag finden Sie unter Ereignisbericht anzeigen. Legende zu den Symbolen
Symbol
Bedeutung Eine erfolgreich durchgeführte Aufgabe (zum Beispiel ein Update). Warnhinweis. Maßnahme erforderlich. Nur zur Information.
60
Hilfe
Symbol
Bedeutung Ereignis von Endpoint-Agent.
Ereignis von Gateway-Agent.
9.3 Computerstatus Auf der Registerkarte Status auf der Detailseite eines Computers sehen Sie Informationen zum Sicherheitsstatus des Computers und Details zu Warnhinweisen. Sie können hier auch Maßnahmen zur Behebung von Warnhinweisen ergreifen. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Warnhinweise Auf dieser Seite sind Warnhinweise für das Gerät aufgeführt. Angegeben werden: ■
Details zu dem Warnhinweis: Beispielsweise der Name der Malware.
■
Wann der Warnhinweis aufgetreten ist.
■
Welche Maßnahmen Sie ergreifen können. Diese hängen von der Art der Bedrohung oder des Ereignisses ab und sind dieselben wie im Dashboard. Sehen Sie hierzu Warnhinweise (Seite 9).
Aktivität Zeigt an, ob das Gerät aktiv ist oder nicht, und enthält Angaben zur Aktivität in der Vergangenheit. Sicherheitsstatus Computer Hinweis: Diese Statusdetails werden nur angezeigt, wenn der Computer die Security Heartbeat-Funktion verwendet. Der Computer-Sicherheitsstatus wird von Computern mit Windows 7 und höher gemeldet. Dieser Status gibt Auskunft darüber, ob auf dem Gerät Bedrohungen erkannt wurden, veraltete Software vorhanden ist, das Gerät eventuell nicht richtlinienkonform oder nicht richtig geschützt ist. Der Gesamtstatus entspricht dem Status des aufgeführten Elements mit der höchsten Priorität (rot, orange oder grün).
9.4 Computerrichtlinien Auf der Registerkarte Richtlinien auf der Detailseite eines Computers sehen Sie, welche Richtlinien für den Computer gelten. Die Symbole neben einer Richtlinie geben an, welche Sicherheitseinstellungen (zum Beispiel Schutz vor Bedrohungen) in der Richtlinie enthalten sind.
61
Sophos Central
Hinweis: Ein ausgegrautes Symbol bedeutet, dass dieser Teil der Richtlinie nicht für den Computer gilt. Dies kann der Fall sein, wenn eine Richtlinie mit höherer Priorität, die für den Computerbenutzer ebenfalls gilt, über Einstellungen für dieselbe Funktion verfügt. Sie können die Richtlinieninformationen ansehen und bearbeiten, indem Sie auf die Richtlinie in der Liste klicken. Hinweis: Die Bearbeitung der Richtlinie betrifft alle Benutzer, für welche diese Richtlinie gilt. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
62
Hilfe
10 Mobile Geräte Auf der Seite Mobile Geräte können Sie Ihre Mobilgeräte verwalten. Sie erscheinen automatisch nach Installation der App Sophos Mobile Device Management auf dem Gerät und nach der Registrierung bei Sophos Central. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Die Geräte werden mit Informationen zum Betriebssystem, den dem Gerät zugewiesenen Benutzern und dem Gerätestatus aufgelistet. Neben dem Gerätenamen zeigt ein Symbol den Systemzustand des Geräts an, der aus einer Kombination aus dem Sicherheitsstatus und dem Compliance-Status des Geräts besteht: ■
Grüner Haken: Es liegen Warnhinweise mit niedriger Priorität oder keine Warnhinweise vor.
■
Orangefarbenes Warnsymbol: Warnhinweise mit mittlerer Priorität.
■
Rotes Warnsymbol: Warnhinweise mit hoher Priorität.
Um nach einem Gerät zu suchen, geben Sie in das Suchfeld über der Liste den Namen ein. Um verschiedene Typen von Geräten anzuzeigen, klicken Sie auf den Dropdown-Pfeil des Filters Anzeigen über der Liste. Klicken Sie auf den Eintrag eines Geräts, um mehr zu erfahren, Aktionen auf dem Gerät wie Scans nach Bedrohungen, Gerät sperren oder den Standort ermitteln durchzuführen oder um das Gerät zu löschen.
10.1 Mobilgerätinformationen Auf der Detailseite eines Mobilgeräts können Sie die vollständigen Daten des Geräts einsehen und verwalten, unter anderem: ■
Sicherheits- und Compliance-Status.
■
Geräteeigenschaften und Aktivitätsinformationen.
■
Für das Gerät erstellte Ereignisse.
■
Richtlinien, die für das Gerät gelten.
Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Übersicht Gerätestatus Im linken Fensterbereich zeigt ein Symbol den Systemzustand des Geräts an, der aus einer Kombination aus dem Sicherheitsstatus und dem Compliance-Status des Geräts besteht: ■
Grüner Haken: Es liegen Warnhinweise mit niedriger Priorität oder keine Warnhinweise vor.
■
Orangefarbenes Warnsymbol: Warnhinweise mit mittlerer Priorität.
■
Rotes Warnsymbol: Warnhinweise mit hoher Priorität.
63
Sophos Central
Detaillierte Statusinformationen erhalten Sie, indem Sie auf das Symbol klicken und die Registerkarte Status auf der Detailseite des Geräts öffnen. Unter dem Symbol des Gerätestatus finden Sie die folgenden Geräteinformationen: ■
Gerätename in Sophos Central
■
Gerätemodell
■
Betriebssystem
Aktionen auf Geräten Im linken Fensterbereich können Sie unter dem Status des Geräts den Gerätenamen bearbeiten und mit dem physischen Gerät interagieren: ■
Bearbeiten: Bearbeiten Sie den Namen, unter welchem das Gerät von Sophos Central verwaltet wird. Dies ist optional, wir empfehlen Ihnen jedoch die Verwendung von eindeutigen Gerätenamen, um die Geräte in der Listenansicht einfach identifizieren zu können.
64
■
Gerät löschen: Entfernt das Gerät aus der Sophos Central-Verwaltung. Hiermit werden auch die Sophos Central-Konfiguration und alle damit verbundenen Unternehmensdaten vom Gerät entfernt („Zurücksetzen von Unternehmensdaten“); die persönlichen Daten bleiben unverändert. Die Apps Sophos Mobile Control und Sophos Mobile Security werden nicht gelöscht, sondern nur deregistriert. Damit das mobile Gerät von Sophos Central erneut verwaltet werden kann, müssen die Apps neu konfiguriert werden. Lesen Sie hierzu die Bereitstellungs-E-Mail, die an den Benutzer gesendet wurde (weitere Informationen zum Senden der E-Mail finden Sie unter Benutzer (Seite 47)).
■
Check-in erzwingen: Beim Check-in werden die Apps Sophos Mobile Control und Sophos Mobile Security auf dem Mobilgerät mit Sophos Central synchronisiert. Das Gerät und die Apps müssen aktiv sein. Für weitere Informationen zum Check-in und der Synchronisierung sehen Sie unter Compliance-Regeln konfigurieren (Seite 107)
■
Jetzt AV-Scan durchführen: Das Gerät wird sofort gescannt. Diese Aktion ist nur für Android-Geräte verfügbar, auf welchen die App Sophos Mobile Security installiert ist und die über Sophos Central verwaltet werden. Wenn das Gerät offline ist, wird es gescannt, sobald es wieder online ist. Der Scan kann einige Zeit in Anspruch nehmen. Wenn er abgeschlossen ist, gehen Sie zu Protokolle und Berichte > Ereignisse, um die Ereignisse, die während des Scans aufgetreten sind, abzurufen. Warnhinweise über Malware, PUAs oder Apps mit geringer Reputation erscheinen auch auf der Seite Dashboard.
■
Nachricht senden: Hier können Sie eine Textnachricht an das Gerät senden. Diese Aktion ist nicht verfügbar, wenn weder die App Sophos Mobile Control noch Sophos Mobile Security registriert ist.
■
Gerät entsperren: Durch das Entsperren eines Geräts wird der bestehende Kennwortschutz auf dem Gerät entfernt, sodass der Benutzer ein neues Kennwort einstellen kann. Die Entsperrung funktioniert auf iOS und Android unterschiedlich: ■
Auf iOS-Geräten wird durch diese Aktion das Gerät sofort entsperrt, und der Benutzer wird aufgefordert, ein neues Kennwort festzulegen. Daher ist es notwendig, den Benutzer im Vorfeld zu informieren (zum Beispiel per Telefon), da das Gerät ungeschützt sein wird, bis ein neues Kennwort festgelegt wurde.
■
Auf Android-Geräten muss für die Entsperrung ein Kennwort auf dem Gerät eingegeben werden. Das Kennwort wird automatisch generiert und dem Benutzer per E-Mail zugesendet. Der Benutzer wird aufgefordert, das Gerät mit diesem Kennwort zu entsperren und sofort ein neues einzurichten.
Hilfe
■
Gerät sperren: Aktivierung des Sperrbildschirms. Um das Gerät erneut nutzen zu können, muss der Benutzer das Kennwort eingeben, das für dieses Gerät festgelegt wurde. Wenn kein Kennwort festgelegt wurde, wird der Sperrbildschirm aktiviert, ohne dass ein Kennwort notwendig ist.
■
Gerät orten: Lokalisiert das Gerät und zeigt den Standort in Google Maps an. Diese Aktion ist nur für Geräte verfügbar, auf welchen die App Sophos Mobile Control installiert ist und die über Sophos Central verwaltet werden. Dazu muss der Benutzer zudem die Standortbestimmungsfunktion auf dem Gerät zugelassen haben (Sie können dies mit einer Compliance-Regel (Seite 107) sicherstellen). Es kann bis zu 10 Minuten dauern, bis genaue Standortdaten für dieses Gerät gefunden wurden. Wenn das Gerät nach 10 Minuten nicht lokalisiert wurde, ist es möglicherweise ausgeschaltet.
■
Gerät zurücksetzen: Das mobile Gerät auf seine Werkseinstellungen zurücksetzen. Diese Aktion ist nur für Geräte verfügbar, auf welchen die App Sophos Mobile Control installiert ist und die über Sophos Central verwaltet werden. Dabei werden alle Benutzerdaten gelöscht. Dies kann nützlich sein, wenn das Gerät verloren oder gestohlen wurde. Auch die Sophos Central-Software wird gelöscht, weshalb das Gerät danach nicht mehr verwaltet werden kann. Das Gerät bleibt jedoch in der Liste mit dem Verwaltungsstatus Zurückgesetzt erhalten, um Sie zu informieren, dass das Zurücksetzen erfolgreich war. Sie können das Gerät danach sicher löschen. Sie können den Eintrag für das Gerät erhalten, wenn Sie planen, das Gerät nach Zurücksetzen wieder zu registrieren. Wenn Sophos Central das Gerät während der Registrierung erkennt, wird der Status des bestehenden Eintrags aktualisiert anstatt einen neuen Eintrag zu erstellen.
Geräteübersicht Dieser Abschnitt enthält folgende Informationen: ■
Zugehöriger Benutzer: Der Benutzer, dem das mobile Gerät gehört. Jedem mobilen Gerät ist nur ein Benutzer zugewiesen.
■
Verwaltungsstatus: Hier wird der Status der App Sophos Mobile Control oder n/a angezeigt, wenn die App nicht installiert ist oder nicht von Sophos Central verwaltet wird.
■
Sicherheitsstatus: Für Android-Geräte wird hier der Status der App Sophos Mobile Security oder n/a angezeigt, wenn die App nicht installiert ist oder nicht von Sophos Central verwaltet wird.
■
Rooting-Status: Hier wird angezeigt, ob am Gerät Jailbreaking (ioS-Geräte) oder Rooting (Android) durchgeführt wurde.
■
Compliance: Dies zeigt an, ob das Gerät konform ist und den Compliance-Regeln entspricht, die Sie in den Richtlinien, die dem Gerät zugeordnet sind, konfiguriert wurden. Wenn die App Sophos Mobile Control nicht über Sophos Central verwaltet wird, wird ein Gerät immer als konform angezeigt.
Aktivität Dieser Abschnitt enthält folgende Informationen: ■
Zuletzt aktiv: Der Zeitpunkt des letzten Check-ins oder der letzten Synchronisierung.
■
Letzter Scan: Zeitpunkt der letzten Überprüfung des Geräts durch die Sophos Mobile Security App.
65
Sophos Central
■
Letzte Aktualisierung von Schutzdaten: Zeitpunkt der letzten erfolgreichen Aktualisierung der Schutzdaten durch die Sophos Mobile Security App.
Geräteinformationen Dieser Abschnitt enthält folgende Informationen: ■
Telefonnummer: Zeigt die Telefonnummer des Geräts an, sofern diese vom Gerät abgerufen werden kann. Ob die Telefonnummer abgerufen werden kann, hängt vom Gerätemodell und Hersteller ab.
■
Registrierungsdatum: Zeitpunkt der ersten Synchronisierung nach Installation und Konfiguration der Sophos Mobile Control App.
■
IMEI/MEID/Geräte-ID: Zeigt die eindeutige Kennung des Geräts an, sofern diese vom Gerät abgerufen werden kann. Wird das Gerät in einem GSM-Netz betrieben, wird die IMEI angezeigt. Wird das Gerät in einem CDMA-Netz betrieben, wird die MEID angezeigt. Ob die Gerätekennung abgerufen werden kann, hängt vom Gerätemodell und Funknetzbetreiber ab. Wenn die Gerätekennung nicht abgerufen werden kann, wird „n/a“ angezeigt.
■
Standort: Zeigt den Gerätestandort an bzw. teilt mit, dass aktuell keine Standortdaten verfügbar sind oder die Standortbestimmung vom Benutzer nicht erlaubt wurde. (Siehe auch Beschreibung der Gerätemaßnahme Gerät lokalisieren weiter unten in diesem Themenabschnitt.)
Für Android-Geräte können die folgenden zusätzlichen Informationen angezeigt werden: ■
App-Version von Mobile Security: Der Status der App Mobile Security auf dem Gerät.
■
Samsung SAFE Info: Zeigt an, ob das Gerät Samsung SAFE unterstützt, ob die Funktionen von Sophos Central verwaltet werden und die Version von Samsung SAFE auf dem Gerät.
■
Kennwort zur Entsperrung: Ein temporäres Kennwort, das generiert wird, wenn das Gerät entsperrt wird.
10.2 Mobilgerätereignisse Auf der Registerkarte Ereignisse der Detailseite eines Mobilgeräts können Sie eine Liste der Ereignisse auf dem Gerät einsehen. Bei diesen Ereignissen handelt es sich um eine Untergruppe von Ereignissen, die für den zugewiesenen Benutzer angezeigt werden. Sehen Sie hierzu Benutzerereignisse (Seite 53). Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
10.3 Mobilgerätstatus Auf der Registerkarte Status der Detailseite eines Mobilgeräts können Sie die detaillierten Statusinformationen für das Gerät sehen. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
66
Hilfe
Warnhinweise In diesem Abschnitt werden alle Warnhinweise dieses Geräts angezeigt. Diese werden angelegt, wenn Malware, potenziell unerwünschte Apps (PUAs) oder Apps mit niedriger Reputation auf dem Gerät gefunden werden. (Die beiden letztgenannten Warnhinweise werden angezeigt, wenn Sie in der Richtlinie die Erkennung von PUAs und Apps mit niedriger Reputation aktiviert haben.) Sie können hier auch Maßnahmen zur Behebung von Warnhinweisen ergreifen. Welche Maßnahmen verfügbar sind, hängt von der Art des Ereignisses ab (es sind dieselben wie im Dashboard).
Gerätestatus Dieser Abschnitt enthält folgende Statusinformationen: ■
Aktivitätsstatus: Hier wird angezeigt, ob das Gerät kürzlich mit Sophos Central synchronisiert worden ist, sowie die Details der letzten Aktivität.
■
Compliance-Status: Hier wird der Compliance-Status des Geräts gemäß den Compliance-Regeln angezeigt, die Sie in den Richtlinien für das Gerät konfiguriert haben, sowie alle Compliance-Verstöße. Sie können gegen Warnhinweise Maßnahme ergreifen. Welche Maßnahmen verfügbar sind, hängt von der Art des Ereignisses ab (es sind dieselben wie im Dashboard). Hinweis: Compliance-Verstöße werden nur gemeldet, wenn das mobile Gerät von Sophos Central Mobile Device Management (MDM) verwaltet wird.
■
Sicherheitsstatus mobile Geräte: Gibt den Sicherheitsstatus des Geräts an und listet alle Sicherheitsverstöße auf. Berichtete Sicherheitsverstöße sind: ■
Das Gerät wurde durch Jailbreaking oder Rooting verändert.
■
Sophos Mobile Security Schutzdaten sind veraltet.
■
Es wurden Malware-Apps gefunden.
■
Es wurden verdächtigte Apps gefunden.
■
Es wurden potenziell unerwünschte Anwendungen (PUAs) gefunden.
Hinweis: Bei Android können Apps nicht automatisch von Sophos Mobile Security deinstalliert werden; hier ist ein Eingreifen des Benutzers erforderlich. Die automatische Entfernung erkannter Bedrohungen oder fragwürdiger Apps ist daher nicht verfügbar. Sie können an das Gerät eine Textnachricht senden und den Benutzer bitten, die App zu deinstallieren. Sehen Sie hierzu Aktionen auf Geräten (Seite 64).
10.4 Richtlinien für Mobilgeräte Auf der Registerkarte Richtlinien der Detailseite eines Mobilgeräts können Sie die Richtlinien sehen, die für das Gerät gelten. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Richtlinien werden nicht direkt einem Mobilgerät zugewiesen. Stattdessen werden Sie auf den Benutzer angewendet, der mit dem Gerät verbunden ist.
67
Sophos Central
Die Symbole neben einer Richtlinie geben an, welche Sicherheitseinstellungen in der Richtlinie enthalten sind. Für Mobilgeräte sind nur die Abschnitte Mobile Device Management und Einstellungen für Mobile Security relevant. Sie können die Richtlinieninformationen ansehen und bearbeiten, indem Sie auf die Richtlinie in der Liste klicken.
68
Hilfe
11 Server Auf der Seite Server können Sie die Server und Servergruppen verwalten. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
11.1 Server Auf der Seite Server können Sie Ihre geschützten Server anzeigen und verwalten. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Die Abschnitte unten erläutern die Serverliste und erklären Ihnen, wie Sie: ■
Einen Server hinzufügen.
■
Alle Details eines Servers abrufen und verwalten.
Über die Serverliste Die aktuellen Server werden mitsamt ihren Details aufgelistet: ■
Name/Betriebssystem. Tipp: „Sophos VM-Sicherheitssystem“ verweist auf einen VMware-Host, über welchen Sophos die VM-Gastsysteme schützt.
■
IP-Adresse.
■
Zuletzt aktiv. Dies ist der Zeitpunkt, zu welchem der Server Sophos zuletzt kontaktiert hat.
■
Gruppe. Gruppe, zu welcher der Server ggf. gehört.
■
Letztes Update. Dies ist der Zeitpunkt, zu welchem die Agent-Software zuletzt aktualisiert wurde.
■
Lizenz. Standard oder Advanced.
■
Lockdown-Status. Zeigt an, ob Sophos Lockdown installiert wurde, um unautorisierte Änderungen am Server zu verhindern: ■
„Lockdown“ zeigt an, dass Sophos Lockdown installiert ist.
■
„Nicht installiert“ zeigt an, dass Sophos Lockdown nicht installiert ist. Klicken Sie auf Lockdown, um es zu installieren und den Server zu sperren.
Um nach einem Server zu suchen, geben Sie in das Suchfeld über der Liste den Namen ein. Um verschiedene Typen an Server anzuzeigen, klicken Sie auf den Dropdownpfeil des Filters über der Liste. Tipp: Der Filter Virtuelle Server zeigt Sophos VM-Sicherheitssysteme auf VMware-Hosts an.
69
Sophos Central
Einen Server hinzufügen Um einen Server hinzuzufügen (also einen Server zu schützen und zu verwalten, sodass er in der Liste erscheint), klicken Sie oben rechts auf der Seite auf Server hinzufügen. Sie werden zur Seite Geräte schützen geleitet, wo Sie den Installer herunterladen können, mit dem Sie Ihren Server schützen möchten.
Die vollständigen Details eines Servers ansehen Für weitere Informationen zu einem Server klicken Sie auf den Eintrag in der Liste, um die Serverinformationen zu öffnen. Sie können hier alle Details des Servers einsehen und diesen aktualisieren, scannen, sperren, entsperren oder löschen. Für weitere Informationen sehen Sie die Serverübersicht (Seite 70).
11.1.1 Server-Übersicht Auf der Registerkarte Zusammenfassung auf der Detailseite eines Servers sehen Sie die Informationen des Servers und können diese verwalten. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Die Seite umfasst: ■
Serverinformationen.
■
Aktionen, die Sie auf dem Server vornehmen können.
■
Eine Übersicht der neuesten Ereignisse auf dem Server.
■
Eine Übersicht über den Gerätestatus.
■
Separate Registerkarten für Ereignisse, Ausschlüsse, Lockdown-Ereignisse und Richtlinien.
Hinweis: Die Serverdetails und Aktionsschaltflächen befinden sich im linken Fensterbereich. Der Fensterbereich wird immer angezeigt, auch wenn Sie auf andere Registerkarten auf dieser Seite klicken.
Serverinformationen Im linken Fensterbereich können Sie die Serverinformationen sehen, wie Name und Betriebssystem. Wenn Sie unter dem Servernamen „Sophos VM-Sicherheitssystem“ sehen, ist der Server ein Host mit installiertem Sophos VM-Sicherheitssystem. Weitere Informationen finden Sie in der Übersicht „Gerätestatus“.
Durchführbare Aktionen Die Links und Schaltflächen der Aktionen befinden sich im linken Fensterbereich. ■
70
Server löschen: Der Server wird aus der Sophos Central Admin-Konsole gelöscht. Die Sophos Agent-Software wird zwar nicht deinstalliert, der Server wird jedoch nicht mehr synchronisiert.
Hilfe
Hinweis: Wenn Sie den Server aus Versehen gelöscht haben, installieren Sie die Sophos Agent-Software erneut, um ihn wieder hinzuzufügen. ■
Jetzt aktualisieren: Die Sophos Agent-Software auf dem Server wird aktualisiert.
■
Jetzt scannen: Der Server wird sofort gescannt. Hinweis: Der Scan kann einige Zeit in Anspruch nehmen. Nach Abschluss sehen Sie die Bestätigung „Scan ‚Meinen Computer scannen‘ abgeschlossen“. Erfolgreiche Bereinigungen werden auf der Seite Protokolle und Berichte > Ereignisse angezeigt. Für nicht erfolgreiche Bereinigungen sehen Sie auf der Seite Warnhinweise einen Warnhinweis. Wenn der Server offline ist, wird er gescannt, sobald er wieder online ist. Wenn aktuell bereits ein Computer-Scan durchgeführt wird, wird die neueste Scan-Anforderung ignoriert und der frühere Scan weiter ausgeführt.
■
Lockdown: Verhindert, dass unautorisierte Software auf dem Server ausgeführt wird. Mit dieser Option wird eine Liste der bereits installierten Software erstellt, überprüft, ob diese sicher ist, und nur diese Software zur Ausführung autorisiert. Hinweis: Wenn Sie später am Server Änderungen vornehmen müssen, können Sie ihn entweder entsperren oder die Einstellungen des Server Lockdown in der Serverrichtlinie verwenden.
■
Entsperren: Der Server wird entsperrt. Diese Schaltfläche ist verfügbar, wenn Sie den Server zuvor gesperrt haben.
Neueste Ereignisse Eine Liste der neuesten Ereignisse auf dem Computer. Eine vollständige Liste erhalten Sie, wenn Sie auf die Registerkarte Ereignisse klicken.
Gerätestatus Die Übersicht des Gerätestatus zeigt: ■
Letzte Aktivität von Sophos Central Der Zeitpunkt, zu welchem der Server zuletzt mit Sophos Central kommuniziert hat.
■
Letztes Agent-Update Der Zeitpunkt, zu welchem die Sophos Agent-Software auf dem Server zuletzt aktualisiert wurde.
■
IPv4-Adresse
■
IPv6-Adresse
■
Betriebssystem. Hinweis: Wenn das Betriebssystem als „Sophos VM-Sicherheitssystem“ angezeigt wird, ist der Server ein Host mit installiertem Sophos VM-Sicherheitssystem.
■
Geschützte VM-Gastsysteme Sie können diese Option nur sehen, wenn der Server ein Host mit einem Sophos VM-Sicherheitssystem ist. Hier wird die Anzahl der VM-Gastsysteme angezeigt, die vom VM-Sicherheitssystem geschützt werden.
■
Malware-Richtlinie Die Threat Protection-Richtlinie, die für den Server gilt. Klicken Sie auf den Richtliniennamen, um die Details aufzurufen.
71
Sophos Central
■
Gruppe. Gruppe, zu welcher der Server ggf. gehört. Klicken Sie auf Gruppe wechseln, um den Server in eine andere Gruppe zu verschieben oder ihn aus der aktuellen Gruppe zu entfernen. Hinweis: Ein Server kann nur zu einer Gruppe gehören.
■
Manipulationsschutz. Zeigt an, ob der Manipulationsschutz (Seite 143) auf dem Server aktiviert ist oder nicht. Klicken Sie auf Details anzeigen, um das Manipulationsschutz-Kennwort für den Server zu verwalten.
11.1.2 Serverereignisee Auf der Registerkarte Ereignisse auf der Detailseite eines Servers werden Ereignisse angezeigt (wie Bedrohungen oder Richtlinienverstöße), die auf dem Server erkannt wurden. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Tipp: Wenn es sich bei dem Server um ein Sophos VM-Sicherheitssystem handelt, klicken Sie auf Alle Ereignisse anzeigen (rechts auf der Seite), um zu einer Ansicht zu wechseln, in der Sie sehen können, auf welchem VM-Gastsystem das Ereignis stattgefunden hat.
11.1.3 Serverausschlüsse Auf der Registerkarte Ausschlüsse auf der Detailseite eines Servers können Sie eine Liste der Dateien oder Anwendungen abrufen, die vom Scan nach Bedrohungen ausgeschlossen sind. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Sophos Central verwendet für bestimmte weit verbreitete Anwendungen standardmäßig die vom Anbieter empfohlenen Ausschlüsse. Sie können in Ihrer Richtlinie auch eigene Ausschlüsse einrichten. Sehen Sie hierzu Threat Protection für Server konfigurieren (Seite 120). Hinweis: Einige der automatischen Ausschlüsse, die in der Liste angezeigt werden, funktionieren eventuell nicht bei Servern, die mit Windows Server 2003 laufen.
11.1.4 Server-Lockdown-Ereignisse Auf der Registerkarte Lockdown-Ereignisse auf der Detailseite eines Servers werden „Ereignisse“ angezeigt, bei welchen der Server-Lockdown unautorisierte Aktivitäten auf dem Server blockierte. Beispiele solcher Ereignisse sind: ein Benutzer versucht und autorisiertes Programm auf dem Server auszuführen, ein unbekanntes Update-Programm versucht Dateien upzudaten oder ein Benutzer versucht Dateien mit einem Programm zu ändern, das für diesen Zweck nicht autorisiert ist. Die Registerkarte wird nur für Server angezeigt, die Sie gesperrt haben. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Um den Bericht anzuzeigen, klicken Sie auf Bericht aktualisieren. Ein Bericht über die Ereignisse in den vergangenen 24 Stunden wird erstellt.
72
Hilfe
Die Liste gibt die folgende Information: ■
Der Ereignistyp.
■
Wann das Ereignis auftrat.
■
Der übergeordnete Prozess. Dies ist das Programm, Script oder der übergeordnete Prozess, der aktiv war.
■
Das Ziel. Die Datei oder das Programm, die das Ziel der Aktivität waren.
11.1.5 Serverrichtlinien Auf der Registerkarte Richtlinien auf der Detailseite eines Servers sehen Sie, welche Richtlinien für den Server gelten. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Die Symbole neben dem Namen einer Richtlinie geben an, welche Sicherheitseinstellungen (zum Beispiel Schutz vor Bedrohungen) in der Richtlinie enthalten sind. Hinweis: Ein ausgegrautes Symbol bedeutet, dass dieser Teil der Richtlinie nicht für den Computer gilt. Dies kann der Fall sein, wenn eine Richtlinie mit höherer Priorität, die für den Server ebenfalls gilt, über Einstellungen für dieselbe Funktion verfügt. Sie können die Richtlinieninformationen ansehen und bearbeiten, indem Sie auf die Richtlinie in der Liste klicken. Hinweis: Die Bearbeitung der Richtlinie betrifft alle Server, für welche diese Richtlinie gilt.
11.2 Servergruppen Auf der Registerkarte Gruppen auf der Seite Server können Sie Servergruppen hinzufügen oder verwalten. Mithilfe von Gruppen können Sie eine Richtlinie mehreren Servern gleichzeitig zuweisen. In den folgenden Abschnitten erfahren Sie mehr zur Gruppenliste und wie Sie Gruppen hinzufügen, ändern oder löschen können. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Über die Gruppenliste Die aktuellen Gruppen werden aufgelistet und die Anzahl der Server in jeder Gruppe wird angezeigt. Um die vollständigen Details zu einer Gruppe anzuzeigen, klicken Sie auf den Namen der Gruppe. Weitere Informationen finden Sie unter Zusammenfassung Servergruppe (Seite 74).
Eine Gruppe hinzufügen 1. Klicken Sie oben rechts auf der Seite auf Servergruppe hinzufügen. 2. Führen Sie im Dialogfeld Servergruppe hinzufügen die folgenden Schritte aus: Geben Sie einen Gruppennamen ein. Geben Sie eine Gruppenbeschreibung ein.
73
Sophos Central
Wählen Sie die verfügbaren Server aus und fügen Sie diese der Liste Zugewiesene Server hinzu. Hinweis: Ein Server kann nur zu einer Gruppe gehören.Wenn Sie einen Server auswählen, der sich bereits in einer Gruppe befindet, wird er aus der aktuellen Gruppe entfernt. Tipp: Im Feld Suchen können Sie auch die ersten Buchstaben eines Namens eingeben, um die angezeigten Einträge zu filtern. 3. Klicken Sie auf Speichern.
Gruppe bearbeiten Um eine Gruppe zu bearbeiten, klicken Sie auf den Gruppennamen, um die Gruppendetails zu öffnen und zu bearbeiten. Weitere Informationen finden Sie unter Zusammenfassung Servergruppe (Seite 74).
Löschen einer Gruppe Klicken Sie oben rechts auf der Seite auf Löschen, um eine Gruppe zu löschen. Durch das Löschen einer Gruppe werden nicht die zugehörigen Server gelöscht. Hinweis: Sie können eine Gruppe auch auf der Seite mit den Gruppendetails löschen. Klicken Sie auf den Gruppennamen, um die Details zu öffnen.
11.2.1 Zusammenfassung Servergruppe Auf der Registerkarte Zusammenfassung bei den Details zu einer Servergruppe können Sie: ■
Server hinzufügen oder entfernen.
■
Die Gruppe löschen.
Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Server hinzufügen oder entfernen So können Sie Server hinzufügen oder entfernen: 1. Klicken Sie im linken Fensterbereich auf Bearbeiten. 2. Wählen Sie im Dialogfeld Servergruppe bearbeiten mit den Pfeilen Server aus, um sie der Liste Zugewiesene Server hinzuzufügen oder sie zu entfernen. Hinweis: Ein Server kann nur zu einer Gruppe gehören. Wenn Sie einen Server auswählen, der sich bereits in einer Gruppe befindet, wird er aus der aktuellen Gruppe entfernt. 3. Klicken Sie auf Speichern.
Die Gruppe löschen Die Gruppe löschen: 1. Klicken Sie im linken Fensterbereich auf Löschen. 2. Klicken Sie im Pop-up-Fenster Gruppe wirklich löschen? auf Ja.
74
Hilfe
Durch das Löschen einer Gruppe werden nicht die zugehörigen Server gelöscht.
11.2.2 Richtlinien Servergruppe Auf der Registerkarte Richtlinien auf der Detailseite einer Servergruppe sehen Sie, welche Richtlinien aktiviert sind und für die Gruppe gelten. Die Symbole neben einer Richtlinie geben an, welche Sicherheitseinstellungen (zum Beispiel Schutz vor Bedrohungen) in der Richtlinie enthalten sind. Hinweis: Ein ausgegrautes Symbol bedeutet, dass diese Einstellung in der Richtlinie deaktiviert ist. Klicken Sie einen Richtliniennamen, um diese Richtlinie anzuzeigen und zu bearbeiten. Hinweis: Die Bearbeitung der Richtlinie betrifft alle Gruppen, für welche diese Richtlinie gilt. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
75
Sophos Central
12 WLAN Auf dieser Seite können Sie die drahtlosen Access Points für Sophos Central, die dazugehörigen Drahtlosnetzwerke und die Clients, die den Drahtloszugriff verwenden, konfigurieren und verwalten. Hinweis: Wenn die Lichter an Ihrem Access Point schnell blinken, trennen Sie ihn nicht vom Strom! Schnell blinkende Lichter bedeuten, dass gerade ein Firmware-Flash durchgeführt wird. Ein Firmware-Flash wird beispielsweise nach einem geplanten Firmware-Update durchgeführt. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Netzwerkanforderungen für die Ausführung von Sophos Wireless in Sophos Central Damit ein Access Point in Verbindung mit Sophos Wireless genutzt werden kann, muss der Access Point mit Sophos Central kommunizieren können. Für eine erfolgreiche Kommunikation müssen die folgenden Voraussetzungen erfüllt sein: ■
DHCP- und DNS-Server sind so konfiguriert, dass eine IP-Adresse für den Access Point bereitgestellt wird und dessen DNS-Anfragen beantwortet werden (nur IPv4).
■
Der Access Point hat Zugriff auf Sophos Central, ohne dass ein VLAN für diese Verbindung auf dem AP konfiguriert werden muss.
■
An Port 443, 123 und 80 ist die Kommunikation mit jedem Internetserver möglich.
■
Kein HTTPS-Proxy auf dem Kommunikationspfad.
12.1 WLAN-Dashboard Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Das Dashboard ist die Übersichtseite von Sophos Central Wireless und bietet die wichtigsten Informationen auf einen Blick. Es besteht aus drei Bereichen: ■
Access Points: Zeigt die Anzahl der registrierten Access Points und ihren aktuellen Status an.
■
Warnhinweise: Zeigt die Anzahl der Warnhinweise mit hoher und mittlerer Priorität sowie der Informationshinweise an. Klicken Sie auf eine Zahl, um diese Warnhinweise zu sehen, oder klicken Sie auf Alle Alarme anzeigen, um alle Warnhinweise zu sehen.
■
Clients: Die Anzahl der Client, die mit den Access Points verbunden sind. Sie können für die Abbildung zwischen einem Zeitraum von 24 Stunden oder sieben Tage wählen.
■
Nutzungsdaten: Der von den Anwendungen, die mit den Access Points verbunden sind, generierte Datenverkehr. Sie können zwischen einer Zeitspanne von 24 Stunden oder sieben Tagen wählen.
Klicken Sie auf in einem beliebigen Fensterbereich auf Details, um die Registerkarte mit den Details aufzurufen.
76
Hilfe
12.2 Access Points Auf dieser Seite sehen Sie die von Ihnen registrierten Access Points. Um die Funktion Wireless Security von Sophos Cloud verwenden zu können, müssen Sie einen Access Point mit dem Internet verbinden und ihn bei Sophos Cloud registrieren. Hierfür benötigen Sie die Seriennummer, die sich auf dem Access Point befindet. Hinweis: Die Ports 443 (HTTPS), 80 (HTTP) und 123 (NTP) müssen für alle Internetserver geöffnet sein. Andernfalls können sich die Access Points nicht verbinden. Falls Sie Probleme mit dem Herstellen der Verbindung haben, können Sie diese mit der SOS-SSID des Access Point beheben. Nähere Informationen zur SOS-SSID finden Sie im Kapitel SSIDs (Seite 80). Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). In den folgenden Abschnitten finden Sie Informationen zu der Liste der registrierten Access Points sowie zu folgenden Themen: ■
Einen Access Point löschen
■
Alle Details eines Access Point abrufen und verwalten.
Über die Liste der Access Points Die registrierten Access Points werden mit den folgenden Informationen gelistet: ■
Name.
■
Seriennummer.
■
Access Point-Status. Dies ist der aktuelle Status eines Access Point (auf dem neuesten Stand, wird aktualisiert, wartet auf Löschen und offline).
■
Arbeitslast. Zeigt die aktuelle Arbeitslast des Access Point an. Die Arbeitslast hängt davon ab, wie viel Datenverkehr von den verbundenen Clients und Anwendungen generiert wird. Die Arbeitslast erhöht sich, wenn der Access Point die Firmware aktualisiert.
■
Frequenzen. Gibt an, welche Frequenz der Access Point für die Übertragung verwendet.
Um nach einem registrierten Access Point zu suchen, geben Sie in das Suchfeld über der Liste den Namen ein.
Einen Access Point registrieren. Um einen Access Point zu registrieren, klicken Sie auf Registrieren oben rechts auf der Seite. Ein Assistent führt Sie durch den Prozess. Geben Sie die Seriennummer des Access Point an und klicken Sie auf Registrieren. Der Registrierungsprozess kann bis zu 300 Sekunden dauern. War die Registrierung erfolgreich, wird der Access Point in der Liste angezeigt. Hinweis: Wenn Sie keinen Access Point registriert oder eine SSID in Sophos Central erstellt haben, startet der Assistent automatisch, wenn Sie in den Wireless-Bereich gehen.
Einen Access Point löschen. Um einen Access Point zu löschen, wählen Sie den Access Point aus und klicken Sie auf Löschen. Sie können mehrere Access Points zugleich löschen. Der Status des Access Point
77
Sophos Central
ändert sich in „Wartet auf Löschen“. Er bleibt in diesem Status, bis er sich mit Sophos Central verbindet. Sie können auf Löschen erzwingen klicken, um den Access Point sofort zu löschen.
Liste der Access Points Aktuell bietet Sophos Central folgende dedizierten Access Points an:
Name Standards
Band
FCC-Geltungsbereich (hauptsächlich USA)
ETSI-Geltungsbereich (hauptsächlich Europa)
AP 15 802.11b/g/n
2,4 GHz
Kanäle 1-11
Kanäle 1-13
AP 55 802.11a/b/g/n/ac
2,4/5 GHz Kanäle 1-11, 36-64, Dual-Band/Dual-Radio 100-116, 132-140, 149-165
Kanäle 1-13, 36-64, 100-116, 132-140
AP 55C
802.11a/b/g/n/ac
2,4/5 GHz Kanäle 1-11, 36-48, Dual-Band/Dual-Radio 149-165
Kanäle 1-13, 36-64, 100-116, 132-140
AP 100
802.11a/b/g/n/ac
2,4/5 GHz Kanäle 1-11, 36-48, Dual-Band/Dual-Radio 149-165
Kanäle 1-13, 36-64, 100-116, 132-140
AP 100C
802.11a/b/g/n/ac
2,4/5 GHz Kanäle 1-11, 36-48, Dual-Band/Dual-Radio 149-165
Kanäle 1-13, 36-64, 100-116, 132-140
Sophos Central bietet außerdem die dedizierten Outdoor-Access Points an:
Name Standards
Band
AP 100X
2,4/5 GHz Kanäle 1-11, 36-64, Dual-Band/Dual-Radio 100-116, 132-140
802.11a/b/g/n/ac
FCC-Geltungsbereich (hauptsächlich USA)
ETSI-Geltungsbereich (hauptsächlich Europa) Kanäle 1-13, 100-116, 132-140
12.2.1 Access Point Auf dieser Seite finden Sie die Details zum Access Point und können die Access Points verwalten. Die Seite umfasst: ■
Details zum Access Point
■
Frequenz
■
Kanal
■
SSIDs zuweisen
Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
78
Hilfe
Details zum Access Point ■
Name: Der Name des Access Point. Der Standardnamen ist eine Kombination aus Modell und Seriennummer. Sie können den Namen ändern, indem Sie auf den Stift klicken.
■
Standort: Gibt das Land an, in dem sich der Access Point aktuell befindet.
■
Seriennummer: Die Seriennummer des Access Point. Die Seriennummer finden Sie auf dem Access Point.
■
IP-Adresse: Gibt die IP-Adresse des Access Point an.
■
Modell: Das Modell des Access Point.
Access Point neu starten Sie können den Access Point manuell neu starten, indem Sie auf die Schaltfläche Access Point neu starten klicken.
Frequenz Das Frequenzband des Access Point. Je nach Access Point sind 2,4 GHz und/oder 5 GHz verfügbar. TX Power: Sie können die Standardeinstellung (100 %) beibehalten, damit der Access Point mit maximaler Leistung sendet, oder die Leistung reduzieren, um den Arbeitsabstand zu verringern und so zum Beispiel Interferenzen zu minimieren.
Kanal Sie können die Standardeinstellung Auto-Kanal beibehalten, um automatisch den am wenigsten genutzten Kanal zur Übertragung zu nutzen, oder einen festen Kanal auswählen.
Dynamische Kanalauswahl im Hintergrund Ist diese Option aktiviert, wechselt der Access Point automatisch den Kanal, um das Netzwerk zu optimieren.
SSIDs zuweisen Zeigt eine Liste der verfügbaren SSIDs an, zu denen der Access Point Daten übertragen soll. Sie können dem Access Point SSIDs zuweisen. Mithilfe dieser Option können Sie festlegen, dass in verschiedenen Gebäudebereichen auf unterschiedliche SSIDs zugegriffen wird. Beispiel: eine Unternehmens-SSID, die in Ihren Büros verfügbar ist, und eine Gast-SSID, die in den öffentlichen Bereichen Ihres Gebäudes verfügbar ist. Jede SSID kann maximal acht Access Points pro Frequenzband haben. Um eine SSID hinzuzufügen, wählen Sie die SSID aus der Liste aus und aktivieren Sie das Kontrollkästchen. Tipp: Sie können auch einen Access Point zu einem Netzwerk hinzufügen, wenn Sie eine neue SSID erstellen.
79
Sophos Central
Kommentar Fügen Sie eine Beschreibung oder andere Informationen hinzu (optional). Klicken Sie auf Speichern, um Ihre Änderungen zu speichern.
12.3 SSIDs Auf dieser Seite sehen Sie Ihre SSID (Service Set Identifier). Die Abschnitte unten erläutern die SSID-Liste und erklären Ihnen, wie Sie: ■
Eine SSID erstellen.
■
Eine SSID löschen.
■
Alle Details einer SSID abrufen und verwalten.
Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Über die SSID-Liste Die aktuellen SSIDs werden mitsamt ihren Details aufgelistet: ■
SSID: Zeigt die SSID für das Netzwerk an.
■
Kommentar.
■
Verschlüsselungsmethode: Zeigt den aktuellen Verschlüsselungsmodus der SSID an.
■
Bänder: Die dieser SSID zugeordneten Access Points übertragen Daten auf dem/den hier ausgewählten Frequenzband/-bändern. Das 5-GHz-Band zeichnet sich allgemein durch eine höhere Performanz, niedrigere Latenzzeiten und in der Regel weniger Störungen aus. Dies wird empfohlen, wenn der Benutzer VoIP verwendet.
■
Status: Zeigt den aktuellen Status der SSID an.
Neue SSID erstellen Um eine neue SSID zu erstellen, klicken Sie auf Erstellen oben rechts auf der Seite.
Eine SSID löschen Um eine SSID zu löschen, wählen Sie die SSID aus und klicken Sie auf Löschen. Sie können mehrere SSIDs zugleich löschen. Klicken Sie auf Bestätigen, um die ausgewählten SSIDs zu löschen.
SOS-SSID Wenn ein Access Point nicht verbunden ist oder Sophos Central nicht erreichen kann, nutzt der Access Point seine Wireless-Funktion zur Erstellung einer SOS-SSID. Wenn Sie sich über ein Mobilgerät mit der SOS-SSID verbinden, erhalten Sie Informationen über den aktuellen Status des Access Point, anhand derer Sie die Probleme mit dem Verbindungsaufbau zu Sophos Central durch Debuggen beheben können.
80
Hilfe
Die SOS-SSID besteht aus einem offenen WLAN mit dem Namen „sos“ und der Mac-Adresse des Access Point. Sobald Sie sich mit der SOS-SSID verbunden haben, öffnen Sie Ihren Browser und rufen Sie http://debug.sophos auf. Die Debug-Seite der SOS-SSID enthält technische Informationen für die Behebung des Verbindungsproblems, wie zum Beispiel: ■
Seriennummer und Mac-Adresse der Ethernet-Schnittstelle des Access Point
■
Linkstatus
■
IP der Ethernet-Schnittstelle des Access Point
■
Gateway, DNS-Server und deren Erreichbarkeit
■
Erreichbarkeit der Sophos Central URLs
Hinweis: Die SOS-SSID steht nur für eine begrenzte Zeitspanne von etwa 4 Minuten zur Verfügung. Danach wird der Access Point neu gestartet und die SOS-SSID steht in ca. 1-2 Minuten erneut zur Verfügung. Wenn Sie mit einer SOS-SSID verbunden sind, haben Sie keinen Zugang zum Internet.
12.3.1 SSID erstellen Auf dieser Hilfeseite ist beschrieben, wie Sie eine SSID einrichten und erweiterte Einstellungen festlegen. ■
SSID-Konfiguration (Seite 81)
■
SSID-Verfügbarkeit (Seite 83)
■
MAC-Filterung (Seite 83)
■
Hotspot (Seite 83)
SSID-Konfiguration Klicken Sie auf Erstellen, um eine neue SSID zu erstellen, und legen Sie die folgenden Einstellungen fest: (Sie können zwischen Grundeinstellungen und Erweiterten Einstellungen mit zusätzlichen Konfigurationsoptionen wechseln.) ■
SSID: Geben Sie die SSID für das Netzwerk ein, anhand derer die Clients das Netzwerk erkennen und identifizieren können. Der SSID darf aus 1-32 ASCII-Zeichen bestehen. Er muss ein Komma enthalten und darf nicht mit einem Leerzeichen beginnen oder enden.
■
Verschlüsselungsmethode: Wählen Sie eine Verschlüsselungsmethode aus der Dropdownliste aus. Wir empfehlen die Verwendung von WPA2 statt WPA, falls möglich. Wenn Sie eine Enterprise-Authentifizierungsmethode verwenden, müssen Sie in Ihrem lokalen Netzwerk auch einen RADIUS-Server konfigurieren. WEP ist nicht zu empfehlen, weil diese Verschlüsselungsmethode nicht sicher ist. Erstellen Sie eine Passphrase, mit welcher die SSID vor unautorisiertem Zugriff geschützt werden soll, und wiederholen Sie diese im nächsten Feld. Die Passphrase muss aus 8-63 ASCII-Zeichen bestehen.
■
RADIUSRADIUS-Server (nur für Verschlüsselungsmethode: WPA/WPA2 Enterprise): Geben Sie Ihre IPv4-Adresse oder Ihren Hostnamen und Ihre Passphrase zur Authentifizierung ein.
■
RADIUS-Port (nur für Verschlüsselungsmethode WPA/WPA2 Enterprise): Wählen Sie den Port für den RADIUS-Server aus.
■
Verschlüsselungsalgorithmus (nur verfügbar unter „Erweiterte Einstellungen“ und bei WPA2-Verschlüsselung): Wählen Sie einen Verschlüsselungsalgorithmus aus – wahlweise AES oder TKIP. Aus Sicherheitsgründen wird AES empfohlen.
81
Sophos Central
■
Frequenzband: Die dieser SSID zugeordneten Access Points übertragen Daten auf dem/den hier ausgewählten Frequenzband/-bändern. Das 5-GHz-Band zeichnet sich allgemein durch eine höhere Performanz, niedrigere Latenzzeiten und in der Regel weniger Störungen aus. Daher sollte es zum Beispiel für VoIP-Kommunikation bevorzugt werden. Weitere Informationen dazu, welche Access Point-Typen das 5-GHz-Frequenzband unterstützen, finden Sie unter Access Points (Seite 77).
■
Band Steering (nur für Frequenzband 2,4 GHz und 5 GHz): Sofern aktiviert, läuft der Access Point mit höchster Leistung und erkennt, ob Clients das 2,4 GHz- und 5 GHz-Frequenzband unterstützen. Der Access Point steuert die Clients so, dass diese das Frequenzband mit der besten Leistung nutzen. Dadurch wird eine ausgewogene Nutzung der Frequenzbänder sichergestellt und die Latenz verringert.
■
Access Point zuweisen: Access Point zur SSID hinzufügen Wählen Sie einen oder mehrere Access Points aus der Liste der verfügbaren Access Points aus. Sie können in der Liste nachschauen, welches Frequenzband die Access Points nutzen (2,4 GHz und/oder 5 GHz). Jede SSID kann maximal acht Access Points pro Frequenzband haben.
Optionale erweiterte Einstellungen für SSID: ■
VLAN: Standardmäßig ist „VLAN-Taggen“ deaktiviert. Möchten Sie den Access Point mit einer vorhandenen VLAN-Ethernet-Schnittstelle verbinden, muss „VLAN-Taggen“ durch Anklicken des Kontrollkästchens aktiviert werden.
■
RADIUS-VLAN-Zuweisung (nur bei Verschlüsselungsmethode WPA/WPA2 Enterprise): Wenn aktiviert, wird der Benutzer in ein VLAN aufgenommen, das von einem RADIUS-Server bereitgestellt wird. Auf diese Weise können Sie Benutzer separieren, ohne mehrere SSIDs erstellen zu müssen. Wählen Sie die Standard-Tagnummer für die RADIUS-VLAN-Zuweisung aus.
■
Broadcast aufrechterhalten, auch wenn der Access Point nicht mit der Cloud verbunden ist: Wenn aktiviert, wird der Access Point das Broadcast aufrechterhalten, auch wenn er nicht mit dem Internet oder Sophos Central verbunden ist. Die Clients können sich auch weiterhin mit dem Access Point verbinden.
■
Mesh-Modus aktivieren: Wenn Sie den Mesh-Modus aktivieren, wird der Verschlüsselungsmodus WPA2-Personal verwendet und automatisch ein Kennwort generiert. Wenn Sie Access Points zum Mesh-Netzwerk hinzufügen, wird ein Access Point, der mit der Cloud verbunden ist, zum Root-Access Point bestimmt und die anderen werden zu Repeater-Access Points. Das Mesh-Netzwerk ist für den Endbenutzer nicht sichtbar. Um dem Endbenutzer Zugriff zu geben, müssen Sie eine separate SSID erstellen und Access Points hinzufügen. Diese auch dem Mesh-Netzwerk hinzufügen. Bei Verwendung der Mesh-Methode ist nur ein Frequenzband erlaubt. Ohne Root-Access-Point ist das Netzwerk nicht nutzbar. Repeater-Access-Points können nicht erreicht werden. Mesh-Access-Points versenden STP-Pakete. Stellen Sie daher sicher, dass dies mit Ihren IT-Regeln übereinstimmt. In einem Mesh-Netzwerk kommunizieren im Allgemeinen mehrere Access Points miteinander und übermitteln eine gemeinsame SSID. Access Points, die über ein Mesh-Netzwerk miteinander verbunden sind, können dazu genutzt werden, eine einzelne SSID an Clients übermitteln, wodurch sie als ein einziger Access Point fungieren und einen breiteren Bereich abdecken können. Ein Mesh-Netzwerk kann außerdem zur Überbrückung von Ethernet-Netzwerken verwendet werden, ohne Kabel verlegen zu müssen. Hinweis: Sie können den Mesh-Modus nur aktivieren, wenn Sie eine neue SSID erstellen, und es kann nur eine SSID bei aktiviertem Mesh-Modus geben. Es ist nicht möglich, den Mesh-Modus mit einer vorhandenen SSID zu aktivieren.
■
82
SSID verbergen (nur verfügbar unter „Erweiterte Einstellungen“): Ist diese Option aktiviert, wird die SSID nicht angezeigt. Die SSID ist nach wie vor verfügbar, aber der Benutzer muss sich direkt verbinden. Auch wenn eine SSID verborgen ist, können Sie diese einem
Hilfe
Access Point zuweisen. Beachten Sie: Es handelt sich hierbei nicht um eine Sicherheitsfunktion und verborgene SSIDs müssen weiterhin geschützt werden. ■
Client-Isolierung (nur verfügbar unter „Erweiterte Einstellungen“): Ist diese Option aktiviert, können Clients in einem Netzwerk nicht miteinander kommunizieren, z. B. in einem Gastnetzwerk.
■
Umwandlung Multicast in Unicast (nur verfügbar unter „Erweiterte Einstellungen“): Sofern aktiviert, schickt der Access Point Multicast-/Broadcast-Pakete mit Unicast-Paketen einzeln an jeden Client. Diese Vorgehensweise ist schneller als Multicast und zu empfehlen, wenn mehrere Clients mit einem einzelnen Access Point verbunden sind.
■
Fast Roaming: Wenn aktiviert, nutzen SSIDs mit WPA2-Verschlüsselung den IEEE 802.11r-Standard, um die Roamingzeiten zu verkürzen. Fast Roaming zwischen Access Points ermöglicht bessere Verbindungen und funktioniert auch mit mehreren Access Points, die verschiedenen SSIDs zugewiesen sind. Clients müssen ebenfalls den Standard IEEE 802.11r unterstützen.
■
Gastnetzwerk aktivieren (nur verfügbar unter „Erweiterte Einstellungen“): Sofern aktiviert, verbindet sich die SSID nur mit dem DHCP/DNS-Server und dem Internet. Gastbenutzer können nicht auf interne Netzwerke zugreifen. Sie können zwischen zwei Möglichkeiten für die Client-Adressierung wählen: Der Bridge-Modus erweitert das gebridgte VLAN auf den Gastnutzer und der NAT-Modus stellt ein separates Netzwerk für den Gastbenutzer bereit. Für die Client-Adressierung im NAT-Modus benötigen Sie einen primären und einen sekundären DNS-Server.
SSID-Verfügbarkeit Sie können SSIDs festlegen, die nur zu bestimmten Zeiten oder an bestimmten Wochentagen verfügbar sind. Diese SSIDs sind zu anderen Zeiten und an anderen Tagen nicht sichtbar und es kann keine Verbindung zu ihnen hergestellt werden. Klicken Sie auf Geplant und legen Sie die Tage, die Uhrzeit und die Zeitzone für die Verfügbarkeit der SSID fest.
MAC-Filterung Hier können Sie festlegen, welche MAC-Adressen sich mit dieser SSID verbinden dürfen. Wählen Sie „Blacklist“ oder „Whitelist“ und geben Sie die MAC-Adressen ein. Entscheiden Sie sich für die Verwendung einer Blacklist, sind alle MAC-Adressen außer den in der jeweiligen Liste aufgeführten zulässig. Verwenden Sie stattdessen eine Whitelist, können nur Verbindungen zu MAC-Adressen aufgebaut werden, die in der ausgewählten Liste aufgeführt sind.
Hotspot Klicken Sie auf Hotspot aktivieren, um aus einer SSID einen Hotspot zu machen. Die Hotspot-Funktion bietet Cafés, Hotels, Firmen usw. die Möglichkeit, Gästen einen zeitlich und datenmäßig begrenzten Internetzugang zu gewähren. Achtung: In vielen Ländern unterliegt der Betrieb eines öffentlichen Hotspots bestimmten nationalen Gesetzen, die den Zugriff auf Websites mit rechtlich fragwürdigem Inhalt (z. B. File Sharing-Websites, extremistische Websites usw.) beschränken.
83
Sophos Central
Nach Aktivierung der Hotspot-Funktion müssen Sie die Landing Page konfigurieren. Die Landing Page ist die erste Seite, die dem Benutzer angezeigt wird, nachdem er sich mit dem Hotspot verbunden hat. ■
Seitentitel: Geben Sie einen Seitentitel für die Landing Page ein.
■
Begrüßungstext: Geben Sie einen Begrüßungstext für die Landing Page ein.
■
Nutzungsbedingungen: Geben Sie die Nutzungsbedingungen ein, denen der Benutzer zustimmen muss, bevor er sich mit dem Hotspot verbinden kann.
Wählen Sie unter Weiterleitungs-URL die URL aus, zu der die Benutzer nach der Landing Page weitergeleitet werden. Wählen Sie Weiterleitung zu ursprünglicher URL, wenn der Benutzer zur Standard-Website des Mobilgeräts weitergeleitet werden soll, oder Benutzerspezifische URL, um den Benutzer zu einer Website Ihrer Wahl weiterzuleiten, zum Beispiel Ihre Unternehmensseite. Wählen Sie eine Authentifizierungsmethode für den Zugriff des Benutzers auf den Hotspot aus: ■
Backend-Authentifizierung: Bei dieser Authentifizierungsmethode kann sich der Benutzer über RADIUS authentifizieren. Hinweis: Für die Backend-Authentifizierung wird eine PAP (Password Authentication Protocol)-Richtlinie auf dem RADIUS-Server benötigt. Alle an den RADIUS-Server übermittelten Zugangsdaten des Benutzers werden mit einer HTTPS-Verbindung über Sophos Central verschlüsselt.
■
Tageskennwort: Hier wird einmal am Tag automatisch ein neues Kennwort erzeugt. Wählen Sie Zeitzone und Uhrzeit für die Erzeugung des neuen Kennworts aus. Zu diesem Zeitpunkt wird das vorherige Kennwort sofort ungültig und die aktuellen Sitzungen werden geschlossen. Das Tageskennwort wird als Benachrichtigung an die angegebenen E-Mail-Adressen geschickt. Sie können standardmäßig alle Administratoren benachrichtigen, wenn Sie Alle Administratoren benachrichtigen auswählen.
■
Voucher: Bei diesem Hotspot-Typ können Voucher mit unterschiedlichen Beschränkungen und Eigenschaften erstellt, ausgedruckt und Kunden ausgehändigt werden. Nach Eingabe des Codes kann der Benutzer direkt auf das Internet zugreifen. Klicken Sie auf Voucher erstellen, um einen neuen Voucher zu definieren. Hier können Sie die Beschränkungen und Eigenschaften wie Zugriffszeit, Statusdatum und Validierungszeit festlegen. Sie können auch die Anzahl der Voucher in der PDF-Ausgabe auswählen. Die PDF-Ausgabe enthält alle relevanten Daten für den Benutzer und Anweisungen für die Vorgehensweise. Hinweis: Der Authentifizierungstyp Voucher ist nur verfügbar, wenn die SSID bereits vorhanden ist, und kann bei der Erstellung einer SSID nicht ausgewählt werden. Sie müssen zuerst die neue SSID speichern und können anschließend den Authentifizierungstyp auswählen.
12.4 Clients Auf dieser Seite sehen Sie die Clients, die aktuell mit einem Access Point verbunden sind, in einem Diagramm. Im zweiten Teil des Diagramms sehen Sie die Clients, deren Signalstärke schwach ist. Sie können zwischen einer Zeitspanne von 24 Stunden oder 7 Tagen und einem Frequenzband von 2,4 GHz und 5 GHz, 2,4 GHz oder 5 GHz wählen. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
84
Hilfe
Über die Clients-Liste Die Clients sind mit folgenden Details aufgeführt: ■
Signal: Die Verbindungsqualität vom Client zum Access Point.
■
Name: Clients, die mit der SSID verbunden sind.
■
MAC: MAC-Adresse der Clients.
■
IP: IP-Adresse der Clients.
■
Hersteller: Hersteller des Client und Informationen über das vom Client verwendete Gerät.
■
Access Point: Der Access Point, mit welchem der Client verbunden ist.
■
SSID: Das Drahtlosnetzwerk.
■
Verbindungsgeschwindigkeit: Gibt die Download-/Uploadgeschwindigkeit in Megabit pro Sekunde an.
■
Frequenzband.
Hinweis: Sie können wechseln zwischen Clients, die Online, Offline oder Online und offline sind.
12.5 Nutzungsdaten Auf dieser Seite sehen Sie den Datenverkehr Ihrer Clients. Der Datenverkehr wird in verschiedenen Kategorien wie Suchmaschinen, soziale Medien, Werbung usw. aufgeführt. Sie können zwischen den Kategorien und einer Zeitspanne von 24 Stunden oder 7 Tagen wechseln. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Über die Liste der Nutzungsdaten Die Anwendungs-Clients werden mit diesen Details aufgelistet: ■
Kategorie: Gibt die Kategorie des von den Benutzern generierten Datenverkehrs an.
■
Insgesamt: Gibt die Gesamtmenge des Datenverkehrs einer bestimmten Kategorie an.
■
Herunterladen: Gibt die Downloadgeschwindigkeit in Megabit pro Sekunde an.
■
Hochladen: Gibt die Uploadgeschwindigkeit in Megabit pro Sekunde an.
Wenn Sie auf eine Kategorie klicken, erhalten Sie nähere Informationen in der Liste mit den Kategoriedetails. Hinweis: Um den von Benutzern generierten Datenverkehr nach Kategorien anzuzeigen, müssen Sie unter Einstellungen (Seite 88) die Option Datenverkehr-Kategorisierung unter Einstellungen für Nutzungsdaten aktivieren.
12.6 Standorte Auf dieser Seite sehen Sie die Standorte Ihrer Access Points. Damit Sie eine bessere Übersicht über alle Ihre Access Points auf der Welt erhalten, können Sie diese auf einer Google Karte anzeigen.
85
Sophos Central
In den folgenden Abschnitten finden Sie Informationen zu Standorten und wie Sie: ■
Standort erstellen
■
Grundriss erstellen
Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Standort Koordinieren Sie die Access Points für einen bestimmten Standort in Google Maps. Nähere Informationen zum Hinzufügen eines Standorts finden Sie unter Standort erstellen (Seite 87).
Access Points In der Standort-Übersicht sind alle Access Points angegeben, die dem ausgewählten Standort zugewiesen sind. Die Liste enthält spezifische Details wie Systemzustand, Anzahl der Clients und Arbeitslast.
SSIDs in der Nachbarschaft Auf der Registerkarte „SSIDs in der Nachbarschaft“ werden alle Netzwerke angezeigt, die sich innerhalb der Reichweite der Access Points des ausgewählten Standorts befinden. Hierzu gehören auch Netzwerke, die nicht über Sophos Central bereitgestellt werden. Jede SSID in der Nachbarschaft ist klassifiziert: ■
Zugelassen: Access Point, der zum Kundennetzwerk gehört.
■
Nicht zugelassen: Access Point, der nicht zum Kundennetzwerk gehört.
■
Bösartig: Nicht zugelassener Access Point, der mit dem gesicherten kabelgebundenen Kundennetzwerk verbunden wird.
■
SSID Impersonate: Access Point, der unberechtigterweise den Netzwerknamen des Access Point, der zu dem Kunden gehört, verwendet und damit eine falsche Identität annimmt.
■
BSSID Impersonate: Access Point, der unberechtigterweise die Hardware-Adresse des Access Point, der zu dem Kunden gehört, verwendet und damit eine falsche Identität annimmt.
■
Evil Twin: Access Point, der unberechtigterweise den Netzwerknamen und die Hardware-Adresse des Access Point, der zu dem Kunden gehört, verwendet und damit eine falsche Identität annimmt.
■
Erweitertes AP Impersonate: Access Point, der unberechtigterweise den Netzwerknamen und den eindeutigen Schutzcode des Access Point, der zu dem Kunden gehört, verwendet und damit eine falsche Identität annimmt.
Jeder Access Point überprüft einmal während des Bootvorgangs, ob SSIDs in der Nachbarschaft vorhanden sind. Dies ist beispielsweise der Fall, wenn Sie den Access Point neu starten oder ein neues Firmware-Update installieren. Wenn Sie die dynamische Kanalauswahl im Hintergrund für die Access Points aktivieren, prüft der Access Point regelmäßig, ob SSIDs in der Nachbarschaft vorhanden sind. Nähere Informationen über das Neustarten von Access Points und die dynamische Kanalauswahl im Hintergrund finden Sie unter Access Point (Seite 78).
86
Hilfe
Grundriss Wenn Sie zu Ihren Access Points einen Standort hinzugefügt haben, können Sie auf Gebäudegrundrissen detailliertere Angaben zum Standort der Access Points eingeben. Der Grundriss muss als Bilddatei zur Verfügung stehen (unterstützte Dateitypen: PDF, PNG, JPEG, BMP, GIF und WBMP). Die Datei muss kleiner als 1 MB sein. Nähere Informationen zum Hinzufügen eines Grundrisses finden Sie unter Grundriss erstellen (Seite 87).
12.6.1 Standort erstellen Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). 1. Klicken Sie auf Erstellen. 2. Nehmen Sie folgende Einstellungen vor: a) Name des Standorts Geben Sie den Namen des Standorts ein. Zum Beispiel die Stadt oder das Unternehmen b) Adresse des Standorts Geben Sie die genaue Adresse des Standorts ein. Tipp: Sophos Central verwendet Google Maps. Sie müssen eine reale Adresse eingeben. 3. Wählen Sie die Access Points aus der Liste aus oder suchen Sie danach. 4. Klicken Sie auf Speichern Der Standort wird in der Liste und in der Google Map angezeigt.
12.6.2 Grundriss erstellen Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). 1. Wählen Sie einen Standort aus. 2. Klicken Sie auf Grundriss erstellen. 3. Klicken Sie auf Datei auswählen und wählen Sie den Grundriss aus. Hinweis: Der Grundriss muss als Bilddatei zur Verfügung stehen (unterstützte Dateitypen: PDF, PNG, JPEG, BMP, GIF und WBMP). Die Datei muss kleiner als 1 MB sein. Sie können den Grundriss auch mit Drag & Drop hinzufügen. 4. Klicken Sie auf Hochladen, um den Grundriss zu Sophos Central hochzuladen. 5. Über das Gittermuster können Sie einen Zuschnitt für das Bild festlegen. Klicken Sie anschließend auf Bild zuschneiden. Diese Funktion ist sinnvoll, wenn das Bild viel weißen Raum aufweist oder wenn nur ein bestimmter Ausschnitt des Bildes als Grundriss verwendet werden soll. Hinweis: Wenn das Bild in der Originalgröße verwendet werden soll, klicken Sie auf Ohne Änderungen fortfahren. 6. Fügen Sie die Maße hinzu. Die Maße sind erforderlich, damit der Netzwerkbereich der Access Points korrekt angezeigt wird. Wählen Sie eine Stelle in dem Grundriss aus, deren Maße Sie kennen, z. B. die Entfernung zwischen zwei Wänden. Platzieren Sie zwei Stecknadeln auf dem Grundriss und ziehen Sie diese zu Anfangs- und Endpunkt der Maßangabe. 7. Geben Sie den Abstand in Metern ein und klicken Sie auf Fertigstellen.
87
Sophos Central
8. Ziehen Sie einen Access Point von der Registerkarte verfügbar auf den Grundriss. Hinweis: Sie können einen Access Point jederzeit über die Registerkarte platziert verschieben oder löschen. 9. Klicken Sie auf Speichern. Der Grundriss mit den Positionen der Access Points wurde zu dem Standort hinzugefügt.
12.7 Einstellungen Auf dieser Seite können Sie die Firmware-Einstellungen für Sophos Central Wireless verwalten. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Firmware-Update Im Abschnitt „Firmware“ wird die aktuell installierte Firmware angezeigt. Sie können Firmware-Updates planen, indem Sie die Häufigkeit (täglich, wöchentlich oder monatlich) und die Uhrzeit festlegen. Diagnoseeinstellungen ■
Access Point-Protokolle weiterleiten: Ist diese Option aktiviert, werden Ihre Access Point-Protokolle an den technischen Support von Sophos weitergeleitet.
■
Remote-Login für Sophos Support: Ist diese Option aktiviert, hat der technische Support von Sophos Fernzugriff.
Einstellungen für Nutzungsdaten Ist diese Option aktiviert, wird der vom Benutzer generierte Datenverkehr kategorisiert und unter Nutzungsdaten (Seite 85) aufgeführt. Diese Option ist standardmäßig aktiviert.
12.8 Wireless-Richtlinien Eine Wireless-Richtlinie ist eine Gruppe von Wireless-Optionen, die Sophos Central auf geschützte Benutzer oder Access Points anwendet. Um zu erfahren, wie Richtlinien funktionieren und sie verwendet werden können, um Sicherheitseinstellungen für unterschiedliche Benutzer oder Server einzeln anzupassen, sehen Sie Über Richtlinien (Seite 92). Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Auf der Seite der Richtlinien können Sie Richtlinien ansehen, hinzufügen und bearbeiten.
88
■
Eine Richtlinie anzeigen.
■
Eine Richtlinie hinzufügen.
■
Eine Richtlinie bearbeiten.
■
Eine Richtlinie löschen, deaktivieren, klonen oder zurücksetzen.
Hilfe
Eine Richtlinie anzeigen In der Richtlinienliste sehen Sie, ob eine Richtlinie aktiviert ist oder nicht. Wenn diese Option aktiviert ist, werden die Einstellungen in der Richtlinie für die Benutzer durchgesetzt.
Eine Richtlinie hinzufügen Um eine neue Richtlinie hinzuzufügen, gehen Sie wie folgt vor: 1. 2. 3. 4.
Klicken Sie auf die Schaltfläche Richtlinie Hinzufügen über der Richtlinienliste. Geben Sie einen Namen für die neue Richtlinie ein. Wählen Sie verfügbare Netzwerke aus und weisen Sie diese der Richtlinie zu. Diese Richtlinie aktivieren oder deaktivieren. Standardmäßig ist die Richtlinie aktiviert. Klicken Sie auf die Registerkarte, um die Optionen zu sehen. Sie können: ■
Deaktivieren Sie die Richtlinie, wenn Sie die Richtlinie im Vorfeld konfigurieren und später aktivieren möchten.
■
Legen Sie ein Ablaufdatum fest, wenn die Richtlinie automatisch deaktiviert werden soll.
5. Konfigurieren Sie die Funktionen in der Richtlinie. Klicken Sie auf eine Registerkarte, z. B. Band Steering, und geben Sie Ihre Einstellungen ein. Hinweis: Sie können die Registerkarten in beliebiger Reihenfolge öffnen. 6. Wenn Sie die Einrichtung der Optionen beendet haben, klicken Sie auf Speichern.
89
Sophos Central
13 Posteingänge Email Security ist nur verfügbar, wenn Sie über eine Sophos Email-Lizenz verfügen. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Email Security bietet Schutz vor Spam. Sofern noch nicht geschehen, richten Sie Email Security ein (siehe Email Security einrichten (Seite 157)). Auf der Seite der Posteingänge können Sie Email Security für die Benutzer, Verteilerlisten und öffentliche Ordner verwalten. Alle geschützten Posteingänge werden aufgeführt. Der Status der Active Directory-Synchronisierung wird rechts auf der Seite angezeigt. Sie können mithilfe von Active Directory Sync Benutzer und Gruppen in Sophos Central importieren. ■
Sofern Sie diese Funktion noch nicht genutzt haben, wird ein Link für die ersten Schritte zur Verfügung gestellt.
■
Falls Sie die Funktion bereits genutzt haben, wird hier eine Meldung angezeigt, die auf Probleme verweist, wie z. B. Benutzer ohne E-Mail-Adressen. Klicken Sie auf den Link, um das Problem zu beheben.
Klicken Sie auf einen Posteingangsnamen, um die Aliase, Mitglieder und andere Informationen abzurufen. Tipp: Der Typ des Posteingangs wird über das Symbol angezeigt. Wenn Sie mit der Maus über das Posteingangssymbol fahren, wird der Typ angezeigt.
13.1 Posteingang Mit jedem Posteingang sind verschiedene Informationen verbunden, wie Name, Typ, Richtlinien oder Eigentümer. Die Informationen hängen vom Typ des Posteingangs ab. Typ, Name und Erstellungsdatum des Posteingangs werden im linken Fensterbereich angezeigt. Es gibt drei Typen: ■
Benutzer-E-Mail: ein Posteingang für eine Person. Beispiel:
[email protected]. Tipp: Bei einem Benutzer-Posteingang können Sie auf den Namen des Posteingangs klicken, um Details zu dem Benutzer anzuzeigen.
■
Verteilerliste: ein Posteingang für eine Gruppe an Personen. Beispiel:
[email protected].
■
Öffentlicher Ordner: ein Posteingang zur Sammlung von Informationen wie Umfragen oder Feedback. Beispiel:
[email protected].
Hinweis: Der linke Fensterbereich wird immer angezeigt, auch wenn Sie auf andere Registerkarten auf dieser Seite klicken. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
90
Hilfe
Details Auf der Registerkarte Details können Sie die Richtlinien, Mitglieder und weitere Informationen zu einem Posteingang ansehen. ■
Richtlinien: Dies ist eine Liste der für den Posteingang verwendeten Richtlinien. In Richtlinien werden die Sicherheitsmaßnahmen definiert, die für die E-Mails Ihrer Benutzer verwendet werden. Hinweis: Email Security ist nur in der Basisbenutzerrichtlinie verfügbar.
■
Aliase: Dies ist eine Liste aller E-Mail-Adressen, die für die Haupt-E-Mail-Adresse eines Benutzers als Aliase fungieren. Eine Liste der Aliase kann nur für einen Benutzer-Posteingang angezeigt werden.
■
Eigentümer: Diese Person kontrolliert die Verteilerliste oder den öffentlichen Posteingang. Ein Eigentümer kann nur für Verteilerlisten und öffentliche Ordner angezeigt werden.
■
Mitglieder: Dies ist eine Liste der E-Mail-Adressen, die mit dem Posteingang verbunden sind. Eine Mitgliederliste wird nur für Verteilerlisten und öffentliche Ordner angezeigt. Wenn Sie der Eigentümer des Posteingangs sind, können Sie Mitglieder blockieren. Tipp: Klicken Sie in der Liste Mitglieder auf eine E-Mail-Adresse, um die Details eines Benutzers anzusehen.
91
Sophos Central
14 Richtlinien Eine Richtlinie ist ein Set an Optionen (zum Beispiel Einstellungen des Malware-Schutzes), das Sophos Central auf die geschützten Benutzer oder Server anwendet. Benutzer und Server haben separate Richtlinien. Um zu erfahren, wie Richtlinien funktionieren und sie verwendet werden können, um Sicherheitseinstellungen für unterschiedliche Benutzer oder Server einzeln anzupassen, sehen Sie Über Richtlinien (Seite 92). Weiterführende Informationen zur Einrichtung von Richtlinien finden Sie unter Benutzerrichtlinien (Seite 95) oder Serverrichtlinien (Seite 118). Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
14.1 Über Richtlinien Wenn das Thema Richtlinien neu für Sie ist, finden Sie auf dieser Seite Informationen dazu, wie Richtlinien funktionieren. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Was ist eine Richtlinie? Eine Richtlinie ist ein Set an Optionen (zum Beispiel Einstellungen des Malware-Schutzes), das Sophos Central auf die geschützten Benutzer oder Server anwendet. Benutzer und Server haben separate Richtlinien.
Was ist die Basisrichtlinie? Die Basisrichtlinie ist die Standardrichtlinie. Sophos stellt diese zur Verfügung und sie ist mit den Standardeinstellungen voreingestellt. Die Basisrichtlinie gilt zu Beginn für alle Benutzer (oder Server). Sie können Sie unverändert sie an Ihre Anforderungen anpassen. Hinweis: Sie können die Basisrichtlinie nicht deaktivieren oder entfernen.
Muss ich neue Richtlinien hinzufügen? Sie können selbst entscheiden, ob Sie Ihre eigenen Richtlinien einrichten möchten und nicht. Wenn Sie dieselbe Richtlinie auf alle Benutzer (oder Server) anwenden möchten, können Sie einfach diese Basisrichtlinie verwenden oder sie an Ihre Anforderungen anpassen. Wenn Sie für unterschiedliche Gruppen an Benutzer oder Servern unterschiedliche Einstellungen verwenden möchten, können Sie zusätzliche Richtlinien erstellen.
92
Hilfe
Was kann ich mit Zusatzrichtlinien tun? Sie können Zusatzrichtlinien so einrichten, dass sie einige oder alle der Einstellungen in der Basisrichtlinie überschreiben. Sie können Zusatzrichtlinien verwenden, um für verschiedene Benutzer oder Server unterschiedliche Einstellungen anzuwenden. Sie können sie außerdem verwenden, um die Einstellungen für Benutzer oder Gruppen schneller zu ändern. Die Reihenfolge, in der Sie die Richtlinien auf der Seite ordnen, bestimmt die Priorität der Richtlinien. Sehen Sie hierzu „Wie setze ich die Prioritäten von Richtlinien?“ weiter unten.
Was steht in den Richtlinien? Mit einer Richtlinie können Sie: ■
Eine oder mehrere Funktionen, für welche Ihre Lizenz gilt, wie Threat Protection, konfigurieren.
■
Angeben, für welche Benutzer (oder Server) die Richtlinie gilt.
■
Angeben, ob die Richtlinie aktiviert ist und ob sie abläuft.
Jede Richtlinie für Workstations oder Server enthält alle Einstellungen einer Funktion. Sie können die Einstellungen für den Schutz vor Bedrohungen beispielsweise nicht über mehrere Richtlinien hinweg verteilen, das heißt ein Benutzer kann nicht die eine Einstellung von der einen Richtlinie und die andere Einstellung von einer anderen Richtlinie erhalten. Hinweis: Die Funktionen für Mobilgeräte haben Unterfunktionen, wie zum Beispiel die Exchange-E-Mail-Einstellungen oder WLAN-Einstellungen, die separat behandelt werden. So kann ein Benutzer die Exchange-E-Mail-Einstellungen von der einen Richtlinie und die WLAN-Einstellungen von einer anderen erhalten.
Wie setze ich die Prioritäten von Zusatzrichtlinien? Die Reihenfolge, in welcher Sie die Richtlinien anordnen bestimmt, welche Einstellungen für die einzelnen Sicherheitsfunktionen gelten. Um zu ermitteln, welche Richtlinie für einen Benutzer gilt, durchsucht Sophos Central die Richtlinien von oben nach unten. Die erste Richtlinie, die für diesen Benutzer gilt und Einstellungen für eine Funktion enthält (beispielsweise für den Malware-Schutz), wird für diese Funktion angewendet. Die Einstellungen für eine andere Funktion werden eventuell einer anderen Richtlinie entnommen. Sophos Central sucht erneut nach der ersten Richtlinie, die für diesen Benutzer gilt und die fragliche Funktion enthält. Die Basisrichtlinie befindet sich immer ganz unten und wird daher als letztes angewendet. Tipp: Platzieren Sie die Richtlinie mit den meisten spezifischen Einstellungen oben und die allgemeineren Richtlinien weiter unten. Ansonsten wird eventuell eine allgemeine Richtlinie auf ein Gerät angewendet, für welches Sie eigentlich eine individuelle Richtlinie vorgesehen haben. Um die Richtlinien zu sortieren, klicken Sie auf eine Richtlinie und ziehen Sie diese zu der gewünschten Position.
93
Sophos Central
Beispiel: Zwei Richtlinien verwenden In einem einfachen Szenario wollen Sie für einen Benutzer oder eine Benutzergruppe andere Einstellungen des Schutzes vor Bedrohungen verwenden. Sie können eine neue Richtlinie erstellen, die Einstellungen des Schutzes vor Bedrohungen anpassen und die Richtlinie auf ausgewählte Benutzer anwenden. Wenn Sophos Central die Richtlinien auf diese ausgewählten Benutzer anwendet, werden die folgenden Aufgaben durchgeführt: ■
Zuerst die neue Zusatzrichtlinie prüfen.
■
Nach den Schutzeinstellungen vor Bedrohungen in der Zusatzrichtlinie suchen und diese auf die ausgewählten Benutzer anwenden.
■
Die Basisrichtlinie prüfen.
■
Die Einstellungen für andere Funktionen suchen, zum Beispiel für die Peripheriekontrolle, und sie auf die ausgewählten Benutzer anwenden. Die Einstellungen des Schutzes vor Bedrohungen in der Basisrichtlinie werden ignoriert, da die Einstellungen in der Zusatzrichtlinie bereits verwendet wurden.
Andere Benutzer, für die diese Zusatzrichtlinie nicht gilt, erhalten alle ihre Einstellungen, sowohl für den Schutz vor Bedrohungen als auch für andere Sicherheitsfunktionen, aus der Basisrichtlinie.
Beispiel: Drei Richtlinien verwenden Nehmen wir an, dass Sie drei Richtlinien haben, Basisrichtlinie, Richtlinie A und Richtlinie B, und dass: ■
Richtlinie A und Richtlinie B werden einem Benutzer zugewiesen.
■
Richtlinie A ist in der Liste der Richtlinien die höhere.
■
Richtlinie A legt den Schutz vor Bedrohungen fest. Sie legt außerdem die Exchange-E-Mail-Einstellungen für mobile Geräte fest.
■
Richtlinie B legt den Schutz vor Bedrohungen und die Peripheriekontrolle fest. Sie definiert außerdem die WLAN-Einstellungen für mobile Geräte.
In diesem Fall werden die Einstellungen für den Schutz vor Bedrohungen und die Exchange-E-Mail-Adresse von Richtlinie A und die Einstellungen für die Peripheriekontrolle und das WLAN von Richtlinie B genommen. Folgende Tabelle zeigt das.
94
Richtlinie
Schutz vor Bedrohungen
Peripheriekontrolle Exchange-E-Mail-Einstellungen WLAN-Einstellungen
Richtlinie A
Ja
Nein
Ja
Nein
Richtlinie B
Ja
Ja
Nein
Ja
Basisrichtlinie
Ja
Ja
Ja
Nein
Angewendete Richtlinie:
Richtlinie A
Richtlinie B
Richtlinie A
Richtlinie B
Hilfe
14.2 Benutzerrichtlinien In den Benutzerrichtlinien werden die Sicherheitsmaßnahmen definiert, die für die Geräte Ihrer Benutzer verwendet werden. Wenn Sie keine Erfahrungen mit Richtlinien haben, sehen Sie Über Richtlinien (Seite 92). Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Auf der Seite der Benutzerrichtlinien können Sie Richtlinien ansehen, hinzufügen und bearbeiten. ■
Eine Richtlinie anzeigen (Seite 95).
■
Eine Richtlinie hinzufügen (Seite 95).
■
Eine Richtlinie bearbeiten (Seite 96).
■
Eine Richtlinie löschen, deaktivieren, klonen oder zurücksetzen (Seite 96).
Eine Richtlinie anzeigen In der Liste der Richtlinien sehen Sie: ■
Ob eine Richtlinie aktiviert ist oder nicht. Wenn diese Option aktiviert ist, werden die Einstellungen in der Richtlinie für die Benutzer durchgesetzt.
■
Welche Sicherheitsfunktionen, zum Beispiel Threat Protection, in der Richtlinie inbegriffen sind.
Um zu sehen, für welche Benutzer die Richtlinie gilt und welche Optionen festgelegt wurden, klicken Sie auf den Richtliniennamen.
Eine Richtlinie hinzufügen Um eine neue Richtlinie hinzuzufügen, gehen Sie wie folgt vor: 1. Klicken Sie auf die Schaltfläche Richtlinie Hinzufügen über der Richtlinienliste. 2. Geben Sie einen Namen für die neue Richtlinie ein. 3. Wählen Sie verfügbare Benutzer oder Gruppen, auf welche die Richtlinie angewendet werden soll. Tipp: Um zwischen der Benutzer- und der Gruppenliste hin- und herzuschalten, klicken Sie auf die Registerkarten über der Liste Verfügbar und Zugewiesen. 4. Diese Richtlinie aktivieren oder deaktivieren. Standardmäßig ist die Richtlinie aktiviert. Klicken Sie auf die Registerkarte, um die Optionen zu sehen. Sie können: ■
Deaktivieren Sie die Richtlinie, wenn Sie die Richtlinie im Vorfeld konfigurieren und später aktivieren möchten.
■
Legen Sie ein Ablaufdatum fest, wenn die Richtlinie automatisch deaktiviert werden soll.
5. Konfigurieren Sie die Funktionen in der Richtlinie. Klicken Sie auf eine Registerkarte, z. B. Threat Protection, und geben Sie Ihre Einstellungen ein. Weitere Informationen zu bestimmten Funktionen finden Sie auf den folgenden Seiten in diesem Abschnitt der Hilfe. Hinweis: Sie können die Registerkarten in beliebiger Reihenfolge öffnen.
95
Sophos Central
6. Wenn Sie die Einrichtung der Optionen beendet haben, klicken Sie auf Speichern.
Eine Richtlinie bearbeiten Um eine Richtlinie zu bearbeiten: 1. Klicken Sie in der Richtlinienliste auf einen Richtliniennamen. Die Seite Richtlinie bearbeiten wird angezeigt. 2. Wählen Sie die Registerkarte der Funktion, die Sie bearbeiten möchten. Tipp: Sie können die Fensterbereiche in beliebiger Reihenfolge zur Bearbeitung öffnen. 3. Wenn Sie die Bearbeitung beendet haben, klicken Sie auf Speichern.
Eine Richtlinie löschen, deaktivieren, klonen oder zurücksetzen. Sie können die Richtlinien über die Aktionsschaltflächen oben rechts auf der Seite ändern. Je nachdem, welche Richtlinie Sie gewählt haben, sind verschiedene Aktionen verfügbar. ■
Aktivieren oder Deaktivieren. Durch Aktivierung einer Richtlinie kann diese auf Benutzer oder Server angewendet werden. Hinweis: Sie können jede aktive Richtlinie, mit Ausnahme der Basisrichtlinie, deaktivieren.
■
Klonen. Dies erstellt eine Kopie der Richtlinie. Dies ist nützlich, wenn Sie eine ähnliche Richtlinie benötigen oder die Konfiguration nicht von Grund auf neu erstellen möchten.
■
Löschen Sie können alle Richtlinien, mit Ausnahme der Basisrichtlinie, löschen. Wenn Sie eine aktive Richtlinie löschen möchten, müssen Sie bestätigen.
■
Zurücksetzen Diese Funktion ist nur für die Basisrichtlinie verfügbar. Sie können die Basisrichtlinie auf ihre ursprüngliche Konfiguration zurücksetzen, wenn Sie Änderungen rückgängig machen wollen.
Die Aktionsschaltflächen, die für eine bestimmte Richtlinie nicht angewendet werden können, sind ausgegraut.
14.2.1 Threat Protection konfigurieren Achtung: Diese Hilfeseite beschreibt die Richtlinieneinstellungen für Workstation-Benutzer. Für die Server (Seite 120) gelten andere Richtlinieneinstellungen. Threat Protection schützt Sie vor Malware, riskanten Dateitypen und Websites sowie bösartigem Netzwerkdatenverkehr. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Sie können diese Funktion konfigurieren, wenn Sie eine Benutzerrichtlinie erstellen oder öffnen und auf die Registerkarte Threat Protection klicken. Sie können entweder die empfohlenen Einstellungen verwenden oder diese ändern. Wenn Sie sie ändern möchten, konfigurieren Sie die im Folgenden beschriebenen Optionen:
96
■
Live-Schutz (Seite 97)
■
Echtzeit-Scans (lokale Dateien und gemeinsam genutzte Dateien im Netzwerk) (Seite 98)
■
Echtzeit-Scans (Internet) (Seite 98)
Hilfe
■
Beseitigung (Seite 98)
■
Laufzeitschutz (Seite 99)
■
Geplanter Scan (Seite 99)
■
Ausschlüsse (Seite 100)
Threat Protection aktivieren Stellen Sie sicher, dass Threat Protection aktiviert ist. Tipp: Sie können diese Option jederzeit deaktivieren, wenn Sie diesen Teil der Richtlinie nicht mehr erzwingen möchten.
Empfohlene Einstellungen verwenden Klicken Sie auf Empfohlene Einstellungen verwenden, wenn Sie die von Sophos empfohlenen Einstellungen verwenden möchten. Diese Einstellungen bieten Ihnen optimalen Schutz, ohne dass Sie eine komplexe Konfiguration durchführen müssen. Wenn wir unsere Empfehlungen ändern, werden wir Ihre Richtlinie automatisch mit den neuen Einstellungen aktualisieren. Die empfohlenen Einstellungen bieten: ■
Erkennung bekannter Malware.
■
Überprüfungen in der Cloud zur Erkennung der aktuellsten Malware, die Sophos bekannt ist.
■
Proaktive Erkennung von Malware, die zum ersten Mal erkannt wird.
■
Automatische Bereinigung von Malware.
Live-Schutz Sie können folgende Optionen auswählen: ■
Verwenden Sie Live Protection, um die neuesten Informationen zu Bedrohungen online von SophosLabs abzurufen. Verdächtige Dateien werden unter Bezugnahme der aktuellen Informationen in der SophosLabs-Datenbank geprüft. Hinweis: Diese Option nutzt Live Protection während des Echtzeit-Scans. Wenn Sie diese Option auch während der geplanten Scans verwenden möchten, wählen Sie Live Protection während der geplanten Scans verwenden.
■
Beispiele von Malware automatisch an SophosLabs senden. Mit dieser Option werden Beispiele erkannter Malware an Sophos zur Analyse gesendet.
■
Live Protection während der geplanten Scans verwenden. Diese Option überprüft die Dateien online während der von Ihnen eingestellten geplanten Scans hinsichtlich der neuesten Bedrohungsinformationen.
■
Reputationsdaten während On-Demand-Scans sammeln. Wenn ein geplanter Scan ausgeführt wird oder Sie „Jetzt scannen“ verwenden, sammelt der Live-Schutz Daten zur Software auf den Computern der Benutzer und sendet diese an Sophos. Diese Daten helfen uns zu entscheiden, welche Software am häufigsten verwendet wird und somit am ehesten vertrauenswürdig ist.
97
Sophos Central
Hinweis: Diese „Reputationsdaten“ verwenden wir für unsere Sicherheitsfunktion Download-Reputation.
Echtzeit-Scans (lokale Dateien und gemeinsam genutzte Dateien im Netzwerk) Beim Echtzeit-Scan werden Dateien gescannt, wenn Benutzer versuchen, auf sie zuzugreifen. Der Zugriff wird verhindert, wenn die Datei nicht sauber ist. Sie können folgende Optionen für den Scan von lokalen Dateien und Netzwerkdateien wählen: ■
Lokale und Remote-Dateien. Wenn Sie stattdessen Lokal wählen, werden gemeinsam genutzte Dateien im Netzwerk nicht gescannt.
■
Beim Lesen. Die Dateien werden gescannt, wenn sie geöffnet werden.
■
Beim Schreiben. Die Dateien werden gescannt, wenn sie gespeichert werden.
Echtzeit-Scans (Internet) Beim Echtzeit-Scan werden Internetquellen gescannt, während der Benutzer auf diese zugreifen. Sie können folgende Optionen wählen: ■
Aktuelle Downloads scannen.
■
Zugriff auf schädliche Websites blockieren. Der Zugriff auf Websites, die bekannt dafür sind, dass sie Malware hosten, wird verweigert.
■
Nach Dateien mit geringer Reputation suchen. Der Endbenutzer wird gewarnt, wenn ein Download eine niedrige Reputation aufweist. Die Reputation wird anhand der Quelle der Datei, der Download-Häufigkeit und weiterer Faktoren ermittelt. Weitere Informationen finden Sie im Support-Artikel 121319. Sie können festlegen: ■
Welche Maßnahme durchgeführt wird. Wenn Sie Benutzer auffordern wählen, wird den Benutzern eine Warnmeldung angezeigt, wenn sie eine Datei mit niedriger Reputation herunterladen. Sie können die Datei dann als vertrauenswürdig einstufen oder löschen. Diese Option ist voreingestellt.
■
Die Reputationsstufe. Wenn Sie Strikt wählen, werden auch Dateien mit mittlerer oder niedriger Reputation erkannt. Die Standardeinstellung ist Empfohlen.
Beseitigung Wenn Sie Beseitigung wählen, versucht Sophos Central eine automatische Bereinigung der erkannten Malware. Hinweis: Wenn die Bereinigung erfolgreich ist, wird der Warnhinweis zur erkannten Malware aus der Liste Warnhinweise entfernt. Die Erkennung und Bereinigung der Malware wird in der Liste Ereignisse angezeigt. Wenn Sie die Bedrohungs-Analyse aktivieren, können Sie eine Kette von Ereignissen untersuchen, die eine Malware-Infektion betreffen, und Bereiche identifizieren, in denen Sie die Sicherheit verbessern können (siehe Bedrohungs-Analyse (Seite 44)). Diese Option ist nur verfügbar, wenn Sie Beta-Kunde sind.
98
Hilfe
Laufzeitschutz Einige der folgenden Optionen sind unter Umständen noch nicht für alle Kunden verfügbar. Der Laufzeitschutz schützt vor Bedrohungen, indem verdächtiges oder bösartiges Verhalten bzw. Datenverkehr auf Endpoint-Computern erkannt wird. Sie können folgende Optionen auswählen: ■
Dokumente vor Ransomware schützen (CryptoGuard). Hiermit werden Dokumentdateien vor Malware geschützt, die den Zugriff auf Dateien unterbindet und für deren Freigabe Lösegeld fordert. Sie können auch 64-Bit-Computer vor Ransomware, die von einem Remote-Standort ausgeführt wird, schützen.
■
Kritische Funktionen in Webbrowsern schützen (sicheres Surfen). Hiermit werden Ihre Browser vor Exploits durch Malware geschützt.
■
Exploits in Anwendungen mit Sicherheitslücken abschwächen. Hiermit werden Anwendungen geschützt, die besonders anfällig für Malware sind, wie z. B. Java-Anwendungen. Sie können festlegen, welche Anwendungstypen Sie schützen möchten.
■
Schutz vor Anwendungsmissbrauch. Hiermit wird der Missbrauch legitimer Anwendungen durch Malware verhindert. Folgende Optionen sind möglich: ■
Schutz vor Angriffen in Form von Prozessaustausch (Prozessaushöhlung).
■
Schutz vor einem Laden von .DLL-Dateien aus nicht vertrauenswürdigen Verzeichnissen.
■
Netzwerkdatenverkehr zu Command-and-Control-Servern erkennen. Diese Option erkennt Datenverkehr zwischen einem Endpoint-Computer und einem Server, der auf einen möglichen Versuch hinweist, die Kontrolle über den Endpoint-Computer zu übernehmen (ein sogenannter Command-and-Control-Angriff).
■
Erkennung schädlichen Verhaltens (HIPS). Diese Option schützt Sie gegen Bedrohungen, die noch nicht bekannt sind. Dies gelingt durch die Erkennung und Blockierung von Verhaltensweisen, die als bösartig oder verdächtig bekannt sind.
Geplante Scans Geplante Scans werden zu einer bestimmten Uhrzeit oder zu Zeiten durchgeführt, die Sie festlegen. Sie können folgende Optionen wählen: ■
Geplanten Scan aktivieren. Sie können eine Uhrzeit und einen oder mehrere Tage festlegen, an welchen der Scan ausgeführt werden soll. Hinweis: Die Uhrzeit des geplanten Scans entspricht der Uhrzeit auf dem Endpoint-Computer (keine UTC-Zeit).
■
Intensivscans aktivieren. Wenn Sie diese Option aktivieren, werden beim geplanten Scan auch Archive gescannt. Hierdurch kann sich die Systemlast erhöhen, wodurch sich der Scanvorgang eventuell erheblich verlangsamt. Hinweis: Scan-Archive können die Systemlast erhöhen, wodurch sich der Scanvorgang eventuell erheblich verlangsamt.
99
Sophos Central
Scan-Ausschlüsse Sie können Dateien, Ordner, Webseiten oder Anwendungen von Scans ausschließen. Ausschüsse, die in einer Richtlinie festgelegt sind, werden nur für die Benutzer verwendet, für die die Richtlinie gilt. Hinweis: Wenn Sie die Ausschlüsse für alle Ihre Benutzer und Server geltend machen wollen, richten Sie globale Ausschlüsse auf der Seite Systemeinstellungen > Globale Scan-Ausschlüsse ein. So erstellen Sie einen Scan-Ausschluss für Richtlinien: 1. Klicken Sie auf Ausschluss hinzufügen (rechts auf der Seite). Das Dialogfeld Scan-Ausschluss hinzufügen erscheint. 2. Wählen Sie in der Dropdownliste Ausschlusstyp einen Elementtyp aus, der ausgeschlossen werden soll (Datei oder Ordner, Website oder potentiell unerwünschte Anwendung). 3. Geben Sie im Textfeld Wert die gewünschte Eingabe ein. Es gelten die folgenden Regeln: Datei oder Ordner (Windows). Sie können ein Laufwerk, einen Ordner oder eine Datei durch Angabe des vollständigen Pfads ausschließen. Für Dateititel oder -erweiterungen kann die Wildcard * verwendet werden, *.* ist jedoch nicht gültig. Beispiele: ■
Ordner: C:\programdata\adobe\photoshop\ (für einen Ordner einen Backslash hinzufügen).
■
Gesamtes Laufwerk: D:
■
Datei: C:\program files\program\*.vmg
Datei oder Ordner (Mac/Linux). Sie können einen Ordner oder eine Datei ausschließen. Sie können die Wildcards ? und * verwenden. Beispiele: ■
/Volumes/excluded (Mac)
■
/mnt/hgfs/excluded (Linux)
Website. Websites können in Form von IP-Adressen, IP-Adressbereichen (in CIDR Notation) oder Domänen angegeben werden. Beispiele: ■
IP-Adresse: 192.168.0.1
■
IP-Adressbereich: 192.168.0.0/24
■
Die Appendix /24 steht für die Anzahl der Bits des Präfix, die für alle IP-Adressen dieses Bereichs gilt. /24 entspricht der Netzmaske 11111111.11111111.11111111.00000000. In unserem Beispiel umfasst der Bereich alle IP-Adressen ab 192.168.0.
■
Domäne: google.com
Potentiell unerwünschte Anwendung. Hier können Sie Anwendungen ausschließen, die in der Regel als Spyware erkannt werden.Verwenden Sie bei Angabe des Ausschlusses denselben Namen, unter welchem die Anwendung vom System erkannt wurde. Weitere Informationen zu PUAs finden Sie im Sophos Bedrohungs-Center. 4. Bei Ausschlüssen von Dateien oder Ordnern geben Sie in der Dropdownliste Aktiv für an, ob der Ausschluss für Echtzeit-Scans, geplante Scans oder beide gelten soll. 5. Klicken Sie auf Hinzufügen oder Weitere hinzufügen. Der Ausschluss wird der Liste der Scan-Ausschlüsse hinzugefügt. Um einen Ausschluss später zu bearbeiten, wählen Sie diesen in der Ausschlussliste aus, geben Sie neue Einstellungen ein und klicken Sie auf Aktualisieren.
100
Hilfe
14.2.2 Peripheral Control konfigurieren Mit Peripheral Control können Sie den Zugriff auf Peripheriegeräte und Wechselmedien kontrollieren. Sie können außerdem einzelne Peripheriegeräte von der Steuerung ausschließen. Sie können diese Funktion konfigurieren, wenn Sie eine Benutzerrichtlinie erstellen oder öffnen und auf die Registerkarte Peripheral Control klicken. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Peripheral Control aktivieren Stellen Sie sicher, dass Peripheral Control aktiviert ist. Sie können diese Option jederzeit deaktivieren, wenn Sie diesen Teil der Richtlinie nicht mehr erzwingen möchten.
Peripheriegeräte verwalten Unter „Peripheriegeräte verwalten“ wählen Sie, wie Sie Ihre Peripheriegeräte steuern möchten: ■
Überwachen, aber nicht blockieren. Wenn Sie diese Option auswählen, ist der Zugriff auf alle Peripheriegeräte erlaubt, unabhängig von den Einstellungen unten. Alle verwendeten Peripheriegeräte werden erkannt; Sie können jedoch keine Zugriffsregeln für sie einrichten.
■
Zugriff abhängig vom Peripheriegerätetyp überwachen und Ausnahmen hinzufügen. Wenn Sie diese Option auswählen, können Sie Zugriffsrichtlinien für Peripherietypen und für einzelne erkannte Peripheriegeräte einrichten.
Zugriffsrichtlinien einrichten Richten Sie die Zugriffsrichtlinien in der Tabelle ein. In der Tabelle werden die erkannten Peripherietypen, die Anzahl der jeweils erkannten Typen und die aktuelle Zugriffsrichtlinie angezeigt. Hinweis: In den Summenwerten sind alle erkannten Peripheriegeräte0 an Endpoint-Computern und Servern berücksichtigt. Auf diese Weise ist es einfacher, einheitliche Richtlinien für alle Geräte festzulegen. Hinweis: Die Kategorie MTP/PTP umfasst Geräte wie Smartphones, Tablets, Kameras und Media Player, deren Verbindung über MTP- oder PTP-Protokolle erfolgt. Sie können die Zugriffsrichtlinie für jeden Peripherietyp ändern: ■
Erlauben: Peripheriegeräte sind auf keine Weise beschränkt.
■
Blockieren: Peripheriegeräte sind überhaupt nicht erlaubt.
■
Schreibgeschützt: Auf Peripheriegeräte kann nur schreibgeschützt zugegriffen werden.
Hinweis: Für die Kategorien Bluetooth, Infrarot und Modem gibt es keine Option Schreibgeschützt. Hinweis: Für die Kategorie „WLAN-Adapter“ ist die Option Netzwerkbrücken sperren verfügbar. Dadurch wird das Bridging von zwei Netzwerken verhindert.
101
Sophos Central
Ausgenommene Peripheriegeräte Klicken Sie auf den ausklappbaren Bereich Peripherie-Ausnahmen, wenn Sie einzelne Peripheriegeräte ausschließen oder weniger restriktive Steuerungsregeln anwenden möchten. 1. Klicken Sie auf Ausnahmen hinzufügen. 2. Im Dialogfeld Peripherie-Ausnahmen hinzufügen sehen Sie eine Liste der erkannten Peripheriegeräte. Hinweis: Peripheriegeräte werden erkannt, wenn Sie den Überwachungsmodus nutzen oder wenn es eine Zugriffsbeschränkung für diesen Peripherietyp gibt. Hinweis: In dieser Liste sind alle erkannten Peripheriegeräte an Endpoint-Computern und Servern berücksichtigt. Auf diese Weise ist es einfacher, einheitliche Ausnahmen für alle Geräte festzulegen. 3. Wählen Sie ein Peripheriegerät. 4. In der Spalte Richtlinie können Sie optional die Dropdownliste verwenden, um eine bestimmte Zugriffsrichtlinie auf eine Peripherie-Ausnahme anzuwenden. Einschränkung: Wählen Sie für einzelne Peripheriegeräte keine strengere Zugriffsrichtlinie als für seinen Peripherietyp. In diesem Fall würden die Einstellungen der Richtlinie für das einzelne Gerät ignoriert und ein Warnsymbol angezeigt. 5. In der Spalte Erzwingen durch können Sie über das Dropdownmenü optional auswählen, ob die Richtlinie für alle Peripheriegeräte dieses Modells oder derselben ID gelten soll (in der Liste werden Modell und ID angezeigt). 6. Klicken Sie auf Ausnahme(n) hinzufügen.
14.2.3 Application Control konfigurieren Mit Application Control können Sie Anwendungen erkennen und sperren, die zwar kein Sicherheitsrisiko darstellen, die Sie jedoch nicht für geeignet für den Einsatz im Unternehmen halten. Sie können diese Funktion konfigurieren, wenn Sie eine Richtlinie erstellen oder öffnen und Application Control auswählen. Hinweis: Wenn Sie Application Control nutzen möchten, achten Sie darauf, dass die Threat Protection-Funktion auch in der Richtlinie aktiviert ist. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Wir empfehlen Ihnen festzustellen, welche Anwendungen in Ihrem Netzwerk verwendet werden, und dann zu entscheiden, welche blockiert werden sollen. 1. Stellen Sie sicher, dass Application Control aktiviert ist. Tipp: Sie können diese Option jederzeit deaktivieren, wenn Sie diesen Teil der Richtlinie nicht mehr erzwingen möchten. 2. Klicken in der Liste Kontrollierte Anwendungen auf Liste hinzufügen/bearbeiten. Daraufhin öffnet sich ein Dialog, in dem die Kategorien von Anwendungen angezeigt werden, deren Verwendung Sie steuern können. Sophos stellt die Liste bereit und aktualisiert sie.
102
Hilfe
3. Klicken Sie auf eine Anwendungskategorie, zum Beispiel Browser-Plugins. Eine vollständige Liste der Anwendungen in dieser Kategorie wird in der Tabelle rechts angezeigt. 4. Wir empfehlen, die Option Alle Anwendungen auswählen auszuwählen. Sie können Ihre Auswahl später anpassen. 5. Klicken Sie auf In Liste speichern und wiederholen Sie dies für jede Kategorie, deren Verwendung Sie steuern möchten. Hinweis: Wenn Sie die Verwendung einer Anwendung steuern möchten, die nicht in der von Sophos bereitgestellten Liste steht, wenden Sie sich an Sophos, damit wir diese hinzufügen. Klicken Sie auf den Link „Application Control-Anfrage“ unten auf der Einstellungsseite von Application Control. 6. In den Erkennungsoptionen: ■
■
Wählen Sie Controlled Applications bei zeitgesteuerten und On-Demand-Scans erkennen. Wählen Sie noch keine anderen Optionen aus.
Hinweis: Application Control verwendet die geplanten Scans und Scanoptionen (welche Dateitypen gescannt werden), die Sie in den Einstellungen der Threat Protection festlegt haben. 7. Planen Sie genug Zeit ein, damit alle Ihre Computer einen zeitgesteuerten Scan ausführen können. 8. Gehen Sie zur Seite Protokolle und Berichte > Ereignisse. 9. Deaktivieren Sie in der Liste der Ereignistypen alle Kontrollkästchen außer Application Control. Erkannte Anwendungen werden jetzt in der Liste der Ereignisse angezeigt. Notieren Sie sich, welche Sie weiterhin verwenden möchten. 10. Kehren Sie zu Ihrer Richtlinien-Seite zurück. 11. Klicken in der Liste Kontrollierte Anwendungen erneut auf Liste hinzufügen/bearbeiten. Anschließend: ■
■
Suchen Sie nach den Anwendungen, die Sie verwenden möchten, und deaktivieren Sie das danebenstehende Kontrollkästchen. Wählen Sie In Zukunft werden von Sophos neue Anwendungen zu dieser Kategorie hinzugefügt (optional). Neue Anwendungen, die von Sophos zu einem späteren Zeitpunkt zu dieser Kategorie hinzugefügt werden, werden automatisch zu Ihrer Controlled Applications-Liste hinzugefügt. Neuere Versionen von Anwendungen, die sich bereits in Ihrer Liste befinden, werden ebenfalls hinzugefügt. Wichtig: Wählen Sie diese Option nur aus, wenn Sie sicher sind, dass Sie die Verwendung von Anwendungen in dieser Kategorie ab sofort steuern möchten.
■
Klicken Sie auf In Liste speichern.
12. In den Erkennungsoptionen: ■ ■
Wählen Sie Controlled Applications erkennen, wenn Benutzer darauf zugreifen. Wählen Sie Erkannte Anwendungen blockieren. Merke!: Wenn Sie die Verwendung neuer Anwendungen steuern möchten, die von Sophos hinzugefügt wurden, werden diese neuen Anwendungen jetzt blockiert.
103
Sophos Central
14.2.4 Mobile Device Management konfigurieren Mit der Richtlinie für Mobile Device Management können Sie die Sophos Mobile Control App auf mobilen Geräten wie Smartphones und Tablets verwalten. Sophos Mobile Control hilft Ihnen, Ihre Unternehmensdaten durch die Verwaltung und Steuerung von Apps und Sicherheitseinstellungen zu schützen. Es ermöglicht die Konfiguration und Software-Verteilung sowie und viele andere Funktionen des Gerätemanagements bei Mobilgeräten. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Sie können diese Funktion konfigurieren, wenn Sie eine Benutzerrichtlinie erstellen oder öffnen und auf die Registerkarte Mobile Device Management klicken. 1. Wählen Sie, für welche Unterfunktionen Sie in der Richtlinie, an der Sie aktuell arbeiten, spezielle Einstellungen vornehmen möchten. Diese Unterfunktion können zum Beispiel sein: Funktionszugriff deaktivieren/verbergen, Exchange-E-Mail-Einstellungen oder WLAN-Einstellungen. 2. Richten Sie jede Unterfunktion wie auf den folgenden Seiten beschrieben ein.
14.2.4.1 Kennwortrichtlinien konfigurieren Ein mobiles Gerät kann entweder vom Benutzer oder per Fernzugriff von Ihnen als Sophos Central Administrator gesperrt werden. Damit ein Gerät gesperrt werden kann, muss der Benutzer ein Kennwort festlegen. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Damit die Benutzer keine zu schwachen Kennwörter festlegen, verwenden Sie die folgenden Einstellungen: 1. Kennwortkomplexität: Die folgenden Auswahlen sind verfügbar: ■
PIN: Die Kennwörter dürfen nur Zahlen enthalten; sich wiederholende Zahlen oder Reihen (1234, 4444, 9876 ...) sind nicht erlaubt.
■
Alphanumerisch: Die Kennwörter müssen Zeichen von a-z und A-Z sowie Zahlen enthalten.
■
Komplex: Die Kennwörter müssen Zeichen sowie Zahlen und mindestens ein Sonderzeichen (%, &, $,...) enthalten.
■
Ohne: Es gibt keine Beschränkung, die Kennwörter können Zeichen, Zahlen und/oder Sonderzeichen enthalten.
2. Mindestlänge des Kennworts: Die Mindestanzahl an Zahlen oder Zeichen, die ein Kennwort enthalten muss. 3. Klicken Sie auf Erweitert für weitere Optionen der Kennworteinstellungen. 4. Maximale Anzahl der Login-Versuche: Der Benutzer hat bei der Eingabe des Kennworts so viele Versuche, wie hier angegeben, frei. Warnung: Wenn dem Benutzer kein Versuch mehr zur Kennworteingabe zur Verfügung steht, setzt sich das Gerät selbst zurück. Alle Daten gehen verloren. Der Grund hierfür ist, dass angenommen wird, dass das Gerät gestohlen wurde. Wenn der Benutzer das Kennwort nur vergessen hat, können Sie das Gerät auf der Seite mit den Informationen des mobilen Geräts entsperren. Für weitere Informationen sehen Sie die Mobilgeräteinformationen (Seite 63).
104
Hilfe
5. Maximalgültigkeit des Kennworts (Tage): Nach der hier angegebenen Zeit wird der Benutzer aufgefordert, das Kennwort zu ändern. Das neue Kennwort darf mit dem alten Kennwort nicht übereinstimmen. 6. Maximum bis automatischer Sperre (Minuten): Die automatische Sperre bedeutet, dass das Gerät sich nach einer bestimmten Zeit ohne Benutzerinteraktion selbst sperrt. Der Benutzer kann das Gerät durch Eingabe des Kennworts entsperren. Der Wert der automatischen Sperre kann vom Benutzer geändert werden, darf jedoch die hier angegebene Zeit nicht überschreiten. Wenn Sie den Wert beispielsweise auf 15 Minuten setzen, kann der Benutzer 5 Minuten auswählen.
14.2.4.2 Geräteeigenschaften konfigurieren Aktivieren Sie Geräteeigenschaften, um den Zugriff auf bestimmte Funktionen auf allen mobilen Geräten zu deaktivieren oder zu verbergen. Einige der Beschränkungen sind nicht auf allen mobilen Plattformen verfügbar. Dies ist auf unterschiedliche Funktionen von iOS und Android zurückzuführen. Die Symbole neben der Beschränkung geben an, für welche Plattform sie verfügbar ist. Hinweis: Wenn das Android-Symbol angezeigt wird, fahren Sie mit der Maus über das Symbol, um zu sehen, für welche Android-Geräte die Beschränkung gilt. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Die folgenden Funktionen können beschränkt werden: 1. App Store: Wenn Sie diese Option wählen, kann der App Store auf diesem Gerät nicht mehr verwendet werden. 2. Kamera: Wenn Sie diese Option wählen, kann die Kamera auf diesem Gerät nicht mehr verwendet werden. 3. Screenshots aufnehmen: Wenn Sie diese Option wählen, kann der Benutzer keine Screenshots mehr auf diesem Gerät aufnehmen. 4. Integrierter Browser: Wenn Sie diese Option wählen, kann der Benutzer den integrierten Browser (zum Beispiel Safari) nicht mehr verwenden, um im Internet zu surfen. 5. Diagnosedaten an den Anbieter des Geräts senden: Wenn Sie diese Option wählen, sendet das Gerät keine Diagnosedaten über Abstürze von Apps an Apple, Samsung oder LG. 6. Backup auf iCloud: Wenn Sie diese Option wählen, kann auf diesem Gerät kein Backup auf iCloud durchgeführt werden. 7. Touch ID verwenden, um Gerät zu entsperren: Wenn Sie diese Option wählen, kann die Fingerabdruckerkennung nicht mehr auf dem Gerät benutzt werden. 8. Dokumente von verwalteten Konten für nicht verwaltete Konten oder Apps freigeben: Wir empfehlen, diese Option auszuwählen. Ansonsten könnten sensible Unternehmensdaten an die Öffentlichkeit gelangen. 9. Dokumente von nicht verwalteten Konten für verwaltete Konten oder Apps freigeben: Wir empfehlen, diese Option auszuwählen. Ansonsten könnte Malware oder unerwünschter Inhalt in das Unternehmensnetzwerk gelangen. 10. Control Center/Widgets auf dem Sperrbildschirm (z. B.WLAN, Lautstärke, Bluetooth, ...): Wir empfehlen, diese Option auszuwählen. Ansonsten könnten Einstellungen, wie WLAN oder Bluetooth, auf dem Sperrbildschirm angezeigt werden. Es ist nicht notwendig, das Kennwort zu kennen und das Gerät zu entsperren, um Änderungen an diesen Einstellungen vorzunehmen.
105
Sophos Central
11. Benachrichtigungen auf dem Sperrbildschirm (z. B. SMS, E-Mails, Anrufe,...): Wir empfehlen, diese Option auszuwählen. Ansonsten werden Nachrichten oder verpasste Anrufe eventuell auf dem Sperrbildschirm angezeigt. Es ist nicht notwendig, das Kennwort zu kennen und das Gerät zu entsperren, um diese Informationen zu lesen.
14.2.4.3 E-Mail konfigurieren Aktivieren Sie E-Mail, um die Exchange-E-Mail-Einstellungen der Richtlinien hinzuzufügen. Über diese Einstellungen wird der Zugriff auf die unternehmenseigenen Exchange-E-Mail-Server konfiguriert. Wenn Sie die Richtlinie Ihren Benutzern zuweisen, wird der E-Mail-Zugriff auf ihren Mobilgeräten automatisch konfiguriert. Sie müssen die Exchange-E-Mail-Einstellungen konfigurieren, bevor Sie diese einer Richtlinie zuweisen können. Sehen Sie hierzu Exchange-Einstellungen (Seite 152). Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). ■
So fügen Sie eine Exchange-E-Mail-Einstellung der Richtlinie hinzu:
■
Klicken Sie in der Liste Verfügbare Einstellungen auf eine Einstellung und anschließend auf die Schaltfläche > und verschieben Sie sie in die Liste Ausgewählte Einstellungen. Oder klicken Sie auf >>, um alle verfügbaren Einstellungen zur Ausgewählte Einstellungen zu verschieben. Tipp: Sie können auch auf eine Einstellung doppelklicken, um sie von einer Liste zu einer anderen zu verschieben.
Nachdem die Richtlinie einem Benutzer zugewiesen wurde, werden alle Exchange-E-Mail-Einstellungen in der Liste Ausgewählte Einstellungen auf die Mobilgeräte des Benutzers angewendet.
14.2.4.4 WLAN konfigurieren Aktivieren Sie WLAN, um die WLAN-Einstellungen der Richtlinien hinzuzufügen. Mit diesen Einstellungen konfigurieren Sie die Verbindung von Mobilgeräten mit WLAN-Netzwerken. Wenn Sie die Richtlinie auf Ihre Benutzer anwenden, werden die WLAN-Netzwerke automatisch auf ihren Geräten konfiguriert. Sie müssen die WLAN-Einstellungen konfigurieren, bevor Sie diese einer Richtlinie zuweisen können. Sehen Sie hierzu WLAN-Einstellungen (Seite 153). Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). ■
So fügen Sie eine WLAN-Einstellung der Richtlinie hinzu:
■
Klicken Sie in der Liste Verfügbare Einstellungen auf eine Einstellung und anschließend auf die Schaltfläche > und verschieben Sie sie in die Liste Ausgewählte Einstellungen. Oder klicken Sie auf >>, um alle verfügbaren Einstellungen zur Ausgewählte Einstellungen zu verschieben. Tipp: Sie können auch auf eine Einstellung doppelklicken, um sie von einer Liste zu einer anderen zu verschieben.
Nachdem die Richtlinie einem Benutzer zugewiesen wurde, werden alle WLAN-Einstellungen in der Liste Ausgewählte Einstellungen auf die Mobilgeräte des Benutzers angewendet.
106
Hilfe
14.2.4.5 Compliance-Regeln konfigurieren Benutzer verbinden sich eventuell über mobile Geräte mit dem Unternehmensnetzwerk, die essentielle Sicherheitskriterien nicht erfüllen. Als Administrator möchten Sie darüber benachrichtigt werden, und eventuell möchten Sie diese Geräte vom E-Mail-Empfang oder sogar vom Netzwerkzugriff ausschließen. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Zur Konfiguration von Compliance-Regeln aktivieren Sie die Option Compliance. Aktivieren Sie anschließend das entsprechende Kontrollkästchen links, wenn Sie Benachrichtigungen erhalten möchten, und wählen Sie die jeweiligen Kontrollkästchen in den Spalten rechts, wenn Sie die E-Mail- oder WLAN-Einstellungen entfernen möchten. Sie können folgenden Compliance-Einstellungen konfigurieren: 1. Jailbreaking oder Rooting: Legen Sie Einstellungen für Geräte fest, die per Jailbreaking oder Rooting gehackt wurden. Geräte, die per Jailbreaking oder Rooting gehackt wurden, erlauben den erweiterten Zugriff auf OS-Funktionen, die vom Hersteller nicht vorgesehen sind. Dies kann ein erhöhtes Sicherheitsrisiko darstellen. 2. Überfälliger Check-in: Legen Sie Einstellungen für Geräte fest, die in letzter Zeit keinen Check-in durchgeführt haben. Durch den „Check-in“ werden die integrierte iOS-Geräteverwaltung (MDM) und die App Sophos Mobile Control auf Android-Systemen mit Sophos Central synchronisiert. Dieser Check-in wird bei jedem Neustart des Geräts sowie alle 24 Stunden (wenn das Gerät nicht abgeschaltet wird) durchgeführt. 3. iOS-Version zu niedrig: Legen Sie Einstellungen für Geräte fest, deren iOS-Version zu niedrig ist. Dies ist beispielsweise dann relevant, wenn es bekannte Sicherheitsprobleme von älteren iOS-Versionen gibt. 4. iOS-Version zu hoch: Legen Sie Einstellungen für Geräte fest, deren iOS-Version zu hoch ist. Dies kann relevant sein, wenn Sie benutzerdefinierte Apps verwenden, die nicht getestet wurden oder die auf einer neueren iOS-Version nicht laufen. 5. Android-Version zu niedrig: Legen Sie Einstellungen für Geräte fest, deren Android-Version zu niedrig ist. 6. Android-Version zu hoch: Legen Sie Einstellungen für Geräte fest, deren Android-Version zu hoch ist. 7. Überfällige Synchronisierung: Legen Sie Einstellungen für iOS-Geräte fest, auf welchen die Apps Sophos Mobile Control zuletzt nicht mehr synchronisiert hat. Durch die Synchronisierung wird die App Sophos Mobile Control auf iOS-Systemen mit Sophos Central synchronisiert. Dies wird bei jedem Start der App sowie alle 24 Stunden (wenn die App aktiv ist) durchgeführt. Folgende Daten werden ausgetauscht: Modell, OS-Version und Status der Jailbreak-Erkennung. 8. Sideloading: Legen Sie Einstellungen für Android-Geräte fest, die Sideloading erlauben. Die Einstellung „Sideloading“ auf Android-Geräten erlaubt dem Benutzer die Installation von Apps von anderen Quellen als Google Play Store (.apk-Dateien, andere Store Apps). Die Installation von Apps aus anderen Quellen als Google Play Store stellt ein erhöhtes Sicherheitsrisiko dar. 9. Deaktivierte Standortdaten: Legen Sie Ihre Einstellung für iOS-Geräte fest, auf denen die Standortbestimmung nicht erlaubt ist. Die Standortbestimmungsfunktion in Sophos Central funktioniert nur, wenn Sie sicherstellen, dass die Benutzer der Sophos Mobile Control App erlauben, ihr Gerät zu lokalisieren. 10. Sicherheitsrisiken: Legen Sie Ihre Einstellung für Geräte fest, bei denen der Mobile-Security-Status anzeigt, dass das Gerät gefährdet ist (z. B. wenn der Status rot ist).
107
Sophos Central
14.2.5 Mobile Security für Android konfigurieren Mit der App Sophos Mobile Security können Android Telefone und Tablets (mit Android 4.0 oder höher) vor bösartigen Apps und anderen Bedrohungen geschützt werden. Sie können die App mit oder ohne Sophos Mobile Device Management (MDM) nutzen. Standardmäßig scannt Sophos Mobile Security das mobile Gerät auf schädliche Apps und prüft, ob es gerootet ist. Sie können es auch so konfigurieren, dass potenziell unerwünschte Apps, Apps mit niedriger Reputation und schädliche Websites erkannt werden, wie unten beschrieben. Hinweis: Um Sophos Mobile Security verwenden zu können, müssen die Benutzer ihr Gerät anmelden. ■
Wenn Sie die MDM-Richtlinie bereits verwenden und die App Sophos Mobile Control ist auf Ihrem Gerät bereits installiert, müssen Sie nichts weiter tun. Die Anmeldung erfolgt automatisch.
■
Wenn Sie MDM nicht nutzen, gehen Sie auf die Seite Personen > Benutzer, und senden Sie den Benutzern einen Einrichtungslink, über welchen diese ihre Geräte registrieren können.
Hinweis: Wenn Sie eine Mobile Security-Richtlinie nicht auf alle Benutzer von Sophos Central anwenden möchten, deaktivieren Sie Mobile Security in der Basisrichtlinie und richten Sie anschließend eine neue Richtlinie ein, die Sie auf alle Benutzer anwenden. Wenn die Anzahl Ihrer Benutzer von Sophos Central die Grenze Ihrer Lizenz von Sophos Mobile Security übersteigt, empfiehlt sich dieser Schritt, um sicherzustellen, dass Ihre Nutzung den Grenzwert der Lizenz nicht übersteigt. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Sie können Mobile Security konfigurieren, wenn Sie eine Benutzerrichtlinie erstellen oder öffnen und auf die Registerkarte Einstellungen von Mobile Security klicken. 1. Stellen Sie sicher, dass Mobile Security aktiviert ist. Sie können diese Option jederzeit deaktivieren, wenn Sie diesen Teil der Richtlinie nicht mehr erzwingen möchten. 2. Geben Sie die Einstellungen für Scans (Seite 108) an. 3. Geben Sie die Einstellungen für Erlaubte Apps (Seite 109) an. Dies sind die Apps, die Sie Ihren Benutzern erlauben.
14.2.5.1 Konfigurieren der Scans Sophos Mobile Security scannt das mobile Gerät auf Malware und meldet alle schädlichen Apps. Apps werden bei ihrer Installation automatisch gescannt. Darüber hinaus können Sie Scans für das gesamte Gerät, einschließlich Systemanwendungen, SD-Karten und externe USB-Geräte, planen und Scans für potenziell unerwünschte Anwendungen (PUAs) und Apps mit niedriger Reputation konfigurieren. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Unter Scans können folgende Funktionen konfiguriert werden: 1. Geplanten Scan aktivieren alle: Wenn Sie diese Option wählen und auch ein Zeitintervall eingeben, wird auf dem gesamten Gerät eingeplante Scan durchgeführt.
108
Hilfe
2. Nach potenziell unerwünschten Anwendungen suchen: Wenn Sie diese Option wählen, erkennt die App Sophos Mobile Security potentiell unerwünschte Anwendungen (PUAs) im Rahmen von Scan-Vorgängen und benachrichtigt den Benutzer des Geräts. Der Benutzer kann dann entscheiden, ob er eine erkannte PUA erlauben möchte. Immer dann, wenn eine PUA erkannt wird und eine erkannte PUA vom Benutzer deinstalliert wird, wird in der Sophos Central Admin-Konsole ein Ereignis protokolliert. Hinweis: PUAs sind Apps, die zwar nicht schädlich sind, jedoch für Unternehmensnetzwerke als ungeeignet angesehen werden. PUAs unterteilen sich in Adware, Dialer, Systemüberwachungs- und Remote-Administrations-Tools und Hacking Tools. Einige Apps, die unter PUAs fallen, können für manche Benutzer jedoch hilfreich sein. 3. Nach Anwendungen mit niedriger Reputation suchen: Wenn Sie diese Option wählen, erkennt die App Sophos Mobile Security Anwendungen mit niedriger Reputation im Rahmen von Scan-Vorgängen und benachrichtigt den Benutzer des Geräts. Der Benutzer kann dann entscheiden, ob er eine erkannte App mit niedriger Reputation erlauben möchte. Immer dann, wenn eine App mit niedriger Reputation erkannt wird und eine erkannte App mit niedriger Reputation vom Benutzer deinstalliert wird, wird in der Sophos Central Admin-Konsole ein Ereignis protokolliert. Hinweis: Sophos ermittelt die Reputation einer App anhand von Quelle, Alter, Prävalenz und Rückmeldung zur Vertrauenswürdigkeit. 4. SD-Karten und externe USB-Geräte in Scans einbeziehen: Wenn Sie diese Option wählen, werden alle Android-Apps und Dateien auf diesen Geräten geprüft. 5. Dateien auf SD-Karte überwachen: Wenn diese Option aktiviert ist, werden alle neuen Apps und Dateien gescannt, die auf die SD-Karte oder USB-Speichermedien geschrieben werden. Für alle neu angeschlossenen Speichermedien wird automatisch ein Scan gestartet.
14.2.5.2 Konfigurieren erlaubter Apps Aktivieren Sie Erlaubte Apps, um erlaubte Apps zur Richtlinie hinzuzufügen. Hierbei handelt es sich um Apps, die der Benutzer verwenden darf und die bei einem Scan des Mobilgeräts nicht gemeldet werden. Sie müssen die erlaubten Apps konfigurieren, bevor Sie diese einer Richtlinie zuweisen können. Mehr hierzu unter Einstellungen für erlaubte Apps (Seite 159). Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). So fügen Sie eine erlaubte App einer Richtlinie hinzu: 1. Klicken Sie in der Liste Verfügbare Apps auf eine App und anschließend auf die Schaltfläche > und verschieben Sie sie in die Liste Ausgewählte Apps. Oder klicken Sie auf >>, um alle verfügbaren Apps zur Ausgewählte Apps zu verschieben. Tipp: Sie können auch auf eine App doppelklicken, um sie von einer Liste zu einer anderen zu verschieben. Nachdem die Richtlinie einem Benutzer zugewiesen wurde, werden die Apps in der Liste Ausgewählte Apps bei einem Scan des Mobilgeräts des Benutzers nicht gemeldet.
109
Sophos Central
14.2.6 Web Control konfigurieren Sie können diese Funktion konfigurieren, wenn Sie eine Benutzerrichtlinie erstellen oder öffnen und auf die Registerkarte Web Control klicken. Hinweis: Wenn Sie Web Control in einer von Ihnen erstellten Richtlinie aktivieren, werden die Optionen, die Sie nicht konfigurieren, in der nächsten gültigen Richtlinie festgelegt, die Web Control aktiviert hat. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Web Control aktivieren Stellen Sie sicher, dass Web Control aktiviert ist. Tipp: Sie können diese Option jederzeit deaktivieren, wenn Sie diesen Teil der Richtlinie nicht mehr erzwingen möchten.
Weitere Sicherheitsoptionen Wählen Sie Weitere Sicherheitsoptionen, um den Zugriff auf Werbung, nicht kategorisierte Websites und riskante Downloads zu konfigurieren. ■
Riskante Downloads blockieren: Diese Option blockiert riskante Dateitypen, erlaubt jedoch Werbung und nicht kategorisierte Dateien.
■
Ohne: Diese Option erlaubt riskante Dateitypen, Werbung und nicht kategorisierte Dateien.
■
Genauer festlegen: Damit können Sie Werbung und nicht kategorisierte Dateitypen auf Erlauben oder Blockieren setzen. Hier können die Riskanten Dateitypen auch festlegen auf: ■
Empfohlen: Die Einstellungen gelten wie in der Tabelle der Dateitypen unten gezeigt.
■
Erlauben: Alle riskanten Dateitypen sind erlaubt.
■
Warnen: Benutzer wird davor gewarnt, dass eine Datei eventuell riskant ist, bevor er sie herunterlädt.
■
Blockieren: Blockiert den Download aller riskanten Dateitypen.
■
Genauer festlegen: Hiermit können Sie mehrere einzelne Dateitypen auf Erlauben, Warnen oder Blockieren setzen.
Zulässige Internetnutzung Konfigurieren Sie die Einstellungen für Zulässige Internetnutzung. Dies steuert, welche Webseiten die Benutzer besuchen dürfen. Wählen Sie aus den folgenden Optionen:
110
■
Halten Sie das System sauber: Verhindert, dass Benutzer auf Websites mit jugendgefährdenden oder potentiell unangemessenen Inhalten zugreifen.
■
Sanfte Anleitung: Unangebrachte Aktivitäten im Browser blockieren und Benutzer vor dem Besuch von Websites warnen, die ihre Produktivität einschränken könnten.
Hilfe
■
Bandbreite erhalten: Unangebrachte Aktivitäten im Browser blockieren und Benutzer vor dem Besuch von Websites warnen, die ihre Produktivität einschränken. Seitenkategorien blockieren, die eine hohe Bandbreite verbrauchen.
■
Nur geschäftsrelevant: Nur Seitenkategorien erlauben, die generell geschäftsrelevant sind.
■
Genauer festlegen: Ermöglicht die Konfiguration von einzelnen Seitenkategorien. Für jede Gruppe von Kategorien (wie Produktivitätsbezogene Kategorien) können Sie das Verhalten auf Blockieren, Warnen, Erlauben oder Benutzerdefiniert setzen. Mit Benutzerdefiniert können Sie innerhalb dieser Gruppen einzelne Kategorien konfigurieren. Hinweis: Um mehr Kontrolle darüber zu erhalten, wie die Richtlinie Websites beeinflusst, nutzen Sie die Seite Systemeinstellungen > Website-Management.
Gegen Datenverlust schützen Wählen Sie Gegen Datenverlust schützen, um die Einstellungen gegen Datenverlust zu konfigurieren. Bei dieser Option können Sie zwischen Datenfreigabe blockieren, Datenfreigabe erlauben oder Genauer festlegen wählen. Diese Optionen kontrollieren den Zugriff auf webbasierte E-Mail-Programme und Dateidownloads.
Ereignisse protokollieren Mit Web Control-Ereignisse protokollieren können Sie Versuche protokollieren, blockierte Webseiten oder Webseiten mit Warnung zu besuchen. Hinweis: Wenn Sie die Protokollierung nicht aktivieren, werden nur die Versuche, infizierte Websites zu besuchen, protokolliert.
Websites, die im Website Management kategorisiert sind, kontrollieren Wählen Sie Websites, die im Website Management kategorisiert sind, kontrollieren können Sie den Zugriff auf Webseiten kontrollieren, die Sie gekennzeichnet haben, d. h. auf der Seite Systemeinstellungen > Website-Management in Ihre eigenen Kategorien eingeteilt haben. 1. Klicken Sie auf Neue hinzufügen. 2. Wählen Sie das Website-Kennzeichen und die Aktion, die Sie auf Webseiten mit diesem Tag anwenden möchten.
14.2.7 Web-Gateway konfigurieren Sophos Web-Gateway schützt Ihr Netzwerk vor riskantem oder unangemessenem Browsingverhalten. Es kann außerdem den Verlust vertraulicher Daten verhindern, bestimmte Netzwerke als vertrauenswürdig einordnen und Sie über das Browsingverhalten Ihrer Benutzer informieren. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Nutzung des Web-Gateway: 1. Erstellen oder bearbeiten Sie eine Benutzerrichtlinie und klicken Sie auf die Registerkarte Web-Gateway.
111
Sophos Central
2. Konfigurieren Sie die Web-Gateway-Einstellungen (Beschreibungen nachstehend). 3. Installieren Sie den Sophos Web-Gateway Agent auf den Geräten. Sehen Sie hierzu die Seite Geräte schützen. Sie können folgende Optionen konfigurieren:
Web-Gateway aktivieren Klicken Sie auf Web-Gateway, um die Web-Gateway-Einstellungen in die Richtlinie mit einzuschließen und ihre Anwendung auf die Benutzer zu erzwingen. Tipp: Sie können diese Option jederzeit deaktivieren, wenn Sie diesen Teil der Richtlinie nicht mehr erzwingen möchten.
Web-Filterung nach Kategorien Mit dieser Option können Sie kontrollieren, welche Websites Ihre Benutzer besuchen dürfen. Sie können Optionen für Sicherheitskategorien oder Produktivitätskategorien einrichten. Sicherheitskategorien In diesem Abschnitt können Sie den Zugriff auf bekanntermaßen hochriskante Websites steuern. Sie können folgende Optionen wählen: ■
Riskante Downloads blockieren: Diese Option blockiert alle hochriskanten Websites.
■
Blockieren: Blockiert den gesamten unter Sicherheit kategorisierten Datenverkehr.
■
Benutzerdefiniert: Hier können Sie auswählen, wie mit welchen Kategorien umgegangen werden soll: Zulassen, Prüfen, Warnen oder Blockieren. (Seite 115)
Die Auswirkungen einer Option auf die verschiedenen Kategorien von Websites und Downloads können Sie unter Details ansehen prüfen. Produktivitätskategorien Sie können folgende Optionen wählen. Die Auswirkungen einer Option auf die verschiedenen Kategorien von Websites können Sie unter Details ansehen prüfen.
112
■
Halten Sie das System sauber: Verhindert, dass Benutzer auf Websites mit jugendgefährdenden oder potenziell unangemessenen oder kontroversen Inhalten zugreifen.
■
Potenzielle Risiken prüfen: Ermöglicht Administratoren, Ereignisse zu markieren, bei denen Benutzer Websites mit jugendgefährdenden oder kontroversen Inhalten oder Daten-Sharing-Websites aufgerufen haben, die ein Risiko bergen könnten. Dem Benutzer wird keine Warnmeldung angezeigt.
■
Bandbreite erhalten: Blockiert unangebrachte Browsingsaktivitäten, die die Produktivität einschränken sowie Seitenkategorien, die vermutlich eine hohe Bandbreite verbrauchen.
■
Nur geschäftsrelevant: Nur Seitenkategorien erlauben, die generell geschäftsrelevant sind.
■
Datenfreigabe blockieren: Blockiert Daten-Sharing-Websites. Diese Funktion kann Datenverluste verhindern.
■
Benutzerdefiniert: Hier können Sie auswählen, wie mit welchen Kategoriegruppen oder einzelnen Kategorien umgegangen werden soll: Zulassen, Prüfen, Warnen oder Blockieren. (Seite 115)
Hilfe
Benutzerspezifischer Web-Filter Hier können Sie den Zugriff auf Webseiten kontrollieren, die sie gekennzeichnet haben, d. h. auf der Seite Systemeinstellungen > Website-Management in Ihre eigenen Kategorien eingeteilt haben. 1. Wählen Sie Benutzerspezifischer Web-Filter. 2. Klicken Sie auf Neue hinzufügen (rechts). 3. Wählen Sie das gewünschte Website-Kennzeichen und die Aktion aus: Zulassen, Prüfen, Warnen oder Blockieren (Seite 115). Hinweis: Unter Website-Management können Sie die Kategorie ändern, der eine Website zugeordnet wurde; Web-Gateway unterstützt diese Änderungen jedoch derzeit nicht.
Web Safe-Modus Hiermit können Sie den Zugriff auf unangemessene Bilder oder Videos beschränken. ■
Google SafeSearch aktivieren. Hiermit können Sie unangemessene oder pornografische Bilder in Google-Suchergebnissen blockieren.
■
Eingeschränkten Modus für YouTube aktivieren. Hiermit können Sie Videos, die eventuell unangemessene Inhalte enthalten können, verbergen (gekennzeichnet durch andere Benutzer und andere Kriterien).
Protokolle und Datenschutz Nutzen Sie diese Konfiguration, um festzulegen, wie Netzwerkereignisse protokolliert werden sollen. Sie können wählen, welche Typen von Ereignissen protokolliert werden und ob der Benutzer, der mit einem Ereignis verbunden ist, identifiziert wird. Parameterentfernung aktivieren Nutzen Sie diese Option, um einzustellen, ob sensible URL-Parameter (Parameter, die sensible Daten zeigen), aus URLs entfernt werden sollen, wenn diese in Protokollen gespeichert werden. Diese Einstellung ist wichtig, wenn außerdem SSL-Scans aktiviert sind, weil häufig Informationen wie Benutzernamen, Kennwörter, Konto-IDs und andere Daten in den URL-Parametern enthalten sind. Ein Beispiel: https://www.mysite.com/account?user=ben.allen&password=login1234&account=22486371&cvo_crid=25298130
SSL-Scans nach Kategorie Nutzen Sie diese Option, um festzulegen, ob Webseiten entschlüsselt werden sollen, um potenzielle Malware oder zu filternde Inhalte zu erkennen. Sie können SSL-Scans wählen für: ■
Riskante Websites.
■
Suchmaschinen und Social Media.
■
Genauer festlegen. Hier können Sie Optionen für einzelne Website-Kategorie festlegen.
Definieren Sie, ob alle Websites einer Kategorie gescannt werden sollen oder definieren Sie über Genauer festlegen, welche Unterkategorien gescannt werden sollen.
113
Sophos Central
Hinweis: Dieser Prozess ist automatisiert, es müssen also keine weiteren Zertifikate bereitgestellt werden. Die SSL-Entschlüsselung erfolgt vollständig über Sophos CA.
Individuelle Seiten für Blockieren und Warnen Hier können Sie die Seite anpassen, die dem Benutzer anstatt einer blockierten Webseite angezeigt wird oder die als Warnung erscheint, wenn der Benutzer eine riskante Webseite aufruft. Sie können den Text, die dem Benutzer angezeigt wird, selbst formulieren und Ihr Logo einbinden. Hinweis: Das Logo muss selbst gehostet werden.
IPs und Domains vertrauenswürdiger Ziele Nutzen Sie diese Option, um IPs und Domains festzulegen, an die gerichteter Traffic nicht durch das Web-Gateway geroutet werden soll. Diese Daten werden direkt an das Internet übergeben. Hinweis: Sie müssen keinen Port definieren. Legen Sie keinen Port fest, wird davon ausgegangen, dass die Regel auf ALLE Ports anzuwenden ist.
IPs vertrauenswürdiger Quellen Nutzen Sie diese Option, um IPs und Subnetze festzulegen, von denen kommender Traffic nicht durch das Web-Gateway geroutet werden soll. Wird der Web-Gateway-Agent auf der entsprechenden IP / im jeweiligen Subnetz eingesetzt, wird das Web-Gateway nicht betrieben. Diese Einstellung wird häufig für bekannte sichere Netze verwendet, die bereits gesichert sind.
Datenfilter Verwenden Sie diese Einstellung, um Stichworte und reguläre Ausdrücke anzugebene, die erkannt und zur Filterung der Webseiten eingesetzt werden sollen. Einrichtung einer Filterregel: 1. Klicken Sie auf Neue hinzufügen (rechts). Das Dialogfeld Datenfilter hinzufügen erscheint. 2. Geben Sie einen Namen für die Regel ein. 3. Wählen Sie, ob geprüft, gewarnt oder blockiert (Seite 115) werden soll, wenn der Inhalt auf eine Regel passt. 4. Wählen Sie, ob der Filter auf Download, Upload oder Beides angewendet werden soll. 5. Wählen Sie den Typ: ■
Manuell. Wenn Sie diese Option wählen, geben Sie ein Schlüsselwort und eine Anzahl ein (Anzahl der Ereignisse).
■
Vorlage. Wenn Sie diese Option aktivieren, wählen Sie aus der Dropdownliste eine Vorlage.
Die Regel wird angewendet, wenn alle Filterkriterien erfüllt werden.
114
Hilfe
Hinweis: Datenfilter werden auf alle Inhalte einschließlich Webseiten, Dateien (.pdf, .doc, .xls, etc.) und mehr angewandt. Datenfilter werden nur dann auf HTTPS-Inhalte angewendet, wenn außerdem die SSL-Entschlüsselung aktiviert wurde.
Wie wirken Zulassen, Prüfen, Warnen und Blockieren? Das Webfilter-Feature bietet Ihnen diese Optionen: Zulassen, Prüfen (Audit), Warnen und Blockieren. ■
Zulassen gewährt Zugriff auf die Website.
■
Audit gewährt Zugriff auf die Website, aktiviert aber zugleich eine Auditfunktion, die es Ihnen ermöglicht, diese Ereignisse zu filtern und Berichte dazu zu erstellen.
■
Warnen zeigt dem Benutzer einen Warnhinweis, erlaubt aber den Besuch der Webseite, wenn er dies wünscht.
■
Blockieren verhindert den Zugriff auf die Website, dem Benutzer wird eine Hinweisseite angezeigt (die Sie individualisieren können).
14.2.8 Email Security konfigurieren Email Security ist nur verfügbar, wenn Sie über eine Sophos Email-Lizenz verfügen. Email Security bietet Schutz vor Spam. Sofern noch nicht geschehen, richten Sie Email Security ein (siehe Email Security einrichten (Seite 157)). Sie können die Email Security-Einstellungen in der Basisbenutzerrichtlinie für die Konfiguration des Spamschutzes verwenden. Wichtig: Der Spamschutz wird standardmäßig auf alle geschützten Posteingänge angewendet. Bitte überprüfen Sie, ob Sie die korrekten Einstellungen eingegeben haben. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). So konfigurieren Sie den Spamschutz: 1. Bearbeiten Sie die Basisrichtlinie und klicken Sie auf die Registerkarte Email Security. 2. Konfigurieren Sie die Einstellungen für Email Security (siehe unten). 3. Klicken Sie auf Speichern. Wenn Sie keine Erfahrungen mit Richtlinien haben, sehen Sie Über Richtlinien (Seite 92).
Inhaltsfilterung Jede E-Mail wird analysiert und mit einem Spam-Score versehen. Je höher der Score, desto wahrscheinlicher handelt es sich bei der E-Mail um Spam. E-Mails mit den höchsten Spam-Scores werden als Bestätigter Spam eingestuft. Sie können die Stärke der Spamfilter festlegen. Sie können voreingestellte Spamfilter verwenden oder die Spamfilter-Einstellungen individuell festlegen. So legen Sie die Stärke der Spamfilter fest: 1. Klicken Sie auf Stärke des Spamfilters festlegen mit und wählen Sie zwischen Vordefinierte Einstellungen und Benutzerdefinierte Einstellungen. 2. Legen Sie die Optionen für den ausgewählten Spamfilter fest (wie unten beschrieben).
115
Sophos Central
Voreinstellungen Der Spam-Score, anhand dessen eine E-Mail als Bestätigter Spam eingestuft wird, hängt von der Stärke des Spamfilters ab. Sie können festlegen, dass als Bestätigter Spam eingestufte E-Mails automatisch gelöscht werden. Andernfalls werden diese E-Mails in die Quarantäne verschoben. Bestätigter Spam wird standardmäßig unter Quarantäne gestellt. E-Mails mit mittlerem bis hohem Spam-Score werden in die Quarantäne verschoben. Der Spam-Score, anhand dessen E-Mails in die Quarantäne verschoben werden, hängt von der Stärke des Spamfilters ab. Benutzer können in Quarantäne befindliche E-Mails über das Sophos Self Service Portal verwalten (siehe In Quarantäne befindliche E-Mails verwalten (Seite 159)). 1. Wählen Sie einen voreingestellten Schwellwert für den Spam-Filter aus, indem Sie den Schieberegler verschieben. 2. Wählen Sie: ■
Höchstwert: Dies ist die strengste Filtereinstellung. Nachrichten mit einem niedrigen Spam-Score werden zugestellt. Bestätigter Spam mit höherem Spam-Score wird in die Quarantäne verschoben oder gelöscht. Die verbleibenden Nachrichten werden in Quarantäne verschoben. Hinweis: Der Filter ist standardmäßig auf Höchstwert eingestellt.
■
Höher: Dies ist die moderate Filtereinstellung. Nachrichten mit einem mittleren oder niedrigen Spam-Score werden zugestellt. Bestätigter Spam mit dem höchsten Spam-Score wird in die Quarantäne verschoben oder gelöscht. Die verbleibenden Nachrichten werden in Quarantäne verschoben.
■
Hoch: Dies ist die mildeste Filtereinstellung. Nachrichten mit einem mittleren oder niedrigen Spam-Score werden zugestellt. Die verbleibenden Nachrichten werden in Quarantäne verschoben. Es werden keine E-Mails gelöscht.
3. Legen Sie fest, ob Bestätigter Spam gelöscht oder in die Quarantäne verschoben werden soll. Wählen Sie hierzu die entsprechende Option im Dropdown-Menü Verarbeitung von bestätigtem Spam aus.
Benutzerdefinierte Einstellungen E-Mails werden anhand ihres Spam-Scores kategorisiert. Sie können festlegen, wie die Kategorien verarbeitet werden sollen. E-Mails werden unterteilt in: ■
Bestätigter Spam: E-Mails, die bekannten und verifizierten Spammustern entsprechen. Standardmäßig werden diese E-Mails in die Quarantäne verschoben.
■
Bulk: E-Mails, bei denen es sich um zweifelhafte Massen-Mails handelt. Standardmäßig werden diese E-Mails zugestellt.
■
Spamverdacht: E-Mails, die als verdächtig identifiziert wurden. Standardmäßig werden diese E-Mails in die Quarantäne verschoben.
■
Kein Spam: E-Mails, bei denen feststeht, dass sie von einer vertrauenswürdigen Quelle stammen, und/oder die keine Spammerkmale aufweisen. Standardmäßig werden diese E-Mails zugestellt.
1. Wählen Sie für jede Kategorie eine Aktion. Folgende Optionen stehen zur Auswahl:
116
■
Quarantäne
■
Zustellen
Hilfe
■
Löschen
Erweiterter Malware-Scan für E-Mails Es handelt sich hierbei um einen erweiterten Scan für E-Mail-Content und Dateieigenschaften, der unseren höchsten Schutz vor E-Mail-Malware darstellt. Dieser ist standardmäßig aktiviert. Hinweis: Diese Option kann dazu führen, dass saubere E-Mails blockiert werden.
Täuschungsschutz Bei einer Spoofing-Mail stimmen die „Von“-Adresse und die Absenderadresse nicht überein. Diese E-Mails sind in der Regel die Vorstufe von Phishing-Angriffen. Sie können steuern, was mit Spoofing-Mails geschehen soll. Hinweis: Spoofing-Mails, die separat als Spam identifiziert wurden, werden wie Spam-Mails behandelt. Das bedeutet, dass sie entsprechend den Einstellungen für die Inhaltsfilterung gelöscht oder in die Quarantäne verschoben werden. Folgende Optionen stehen zur Auswahl: ■
Quarantäne: E-Mail wird in die Quarantäne verschoben. Diese Option ist voreingestellt.
■
Getaggt: Email Security fügt der Betreffzeile der E-Mail ein Tag als Hinweis hinzu, dass es sich um eine Spoofing-Mail handelt. Der Standardwert lautet SPOOF. Hinweis: Getaggte E-Mails werden zugestellt.
■
Gelöscht: Die E-Mail wird gelöscht.
14.2.9 Device Encryption konfigurieren Device Encryption bietet die Möglichkeit, BitLocker Drive Encryption auf Windows-Computern zu verwalten. Durch die Verschlüsselung von Festplatten sind die Daten auch bei Diebstahl oder Verlust eines Geräts sicher. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Die Verschlüsselung wird wie folgt eingerichtet: 1. Der Device Encryption Agent wird automatisch auf Computern installiert, wenn Sie den standardmäßigen Windows Agent Installer verwenden (sofern Sie über die erforderliche Lizenz verfügen). 2. Sie aktivieren Encryption in einer Richtlinie und wenden die Richtlinie auf Benutzer an. 3. Computer werden verschlüsselt, wenn sich die betreffenden Benutzer anmelden. Nähere Informationen darüber, wie Computer verschlüsselt werden, finden Sie in der Administratoranleitung für Sophos Central Device Encryption. Hinweis: Device Encryption kann auf Boot- und Datenlaufwerke angewendet werden, aber nicht auf Wechselmedien.
Verschlüsselung aktivieren Um BitLocker Drive Encryption auf Computern zu verwalten, müssen Sie die Funktion in der Basisrichtlinie aktivieren oder eine separate Device Encryption-Richtlinie erstellen.
117
Sophos Central
Hinweis: Wenn Sie Device Encryption nur für bestimmte Benutzer aktivieren möchten, müssen Sie eine separate Device Encryption-Richtlinie erstellen und diese auf die betreffenden Benutzer anwenden. Ein Computer wird verschlüsselt, sobald einer der Benutzer, für den die Richtlinie gilt, sich anmeldet. Er bleibt verschlüsselt, auch wenn ein anderer Benutzer, für den die Richtlinie nicht gilt, sich anmeldet.
Authentifizierung bei Start erforderlich Diese Option ist standardmäßig aktiviert. Mit dieser Option wird die Authentifizierung über TPM+PIN, Kennwort oder USB-Stick durchgesetzt. Ist diese Einstellung deaktiviert, wird der Schutz durch TPM-only-Anmeldung auf unterstützten Computern installiert. Weitere Informationen zu den Authentifizierungsmethoden finden Sie in der Administratoranleitung für Sophos Device Encryption.
Nur genutzte Festplattenbereiche verschlüsseln Diese Option ist standardmäßig deaktiviert. Mit dieser Option haben Sie die Möglichkeit, anstelle der Verschlüsselung des gesamten Laufwerks lediglich genutzten Speicherplatz zu verschlüsseln. Auf diese Weise können Sie die Erstverschlüsselung (wenn die Richtlinie zum ersten Mal auf einen Computer angewendet wird) beschleunigen. Warnung: Wenn Sie lediglich genutzten Speicherplatz verschlüsseln, werden gelöschte Daten auf dem Computer unter Umständen nicht verschlüsselt, daher sollten Sie diese Option nur für neu eingerichtete Computer verwenden. Hinweis: Diese Option hat keine Wirkung auf Endpoints mit Windows 7.
14.3 Serverrichtlinien In den Serverrichtlinien werden die Sicherheitsmaßnahmen definiert, die für Ihrer Server verwendet werden. Wenn Sie keine Erfahrungen mit Richtlinien haben, sehen Sie Über Richtlinien (Seite 92). Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Auf der Seite Serverrichtlinien können Sie:
118
■
Mehr dazu erfahren Sie unter Richtliniendetails (Seite 119)
■
Eine Richtlinie hinzufügen (Seite 119)
■
Eine Richtlinie bearbeiten (Seite 119)
■
Eine Richtlinie löschen, deaktivieren, klonen oder zurücksetzen. (Seite 119)
Hilfe
Mehr dazu erfahren Sie unter Richtliniendetails In der Liste der Richtlinien sehen Sie: ■
Ob eine Richtlinie aktiviert ist oder nicht. Wenn diese Option aktiviert ist, werden die Einstellungen in der Richtlinie auf den Servern durchgesetzt.
■
Welche Sicherheitsfunktionen, zum Beispiel Threat Protection, in der Richtlinie inbegriffen sind.
Um zu sehen, für welche Server die Richtlinie gilt und welche Optionen festgelegt wurden, klicken Sie auf den Richtliniennamen.
Eine Richtlinie hinzufügen Um eine neue Richtlinie hinzuzufügen, gehen Sie wie folgt vor: 1. 2. 3. 4.
Klicken Sie auf die Schaltfläche Richtlinie Hinzufügen über der Richtlinienliste. Geben Sie einen Namen für die neue Richtlinie ein. Wählen Sie, auf welche Server die Richtlinie angewendet werden soll. Diese Richtlinie aktivieren oder deaktivieren. Standardmäßig ist die Richtlinie aktiviert. Klicken Sie auf die Registerkarte, um die Optionen zu sehen. Sie können: ■
Deaktivieren Sie die Richtlinie, wenn Sie die Richtlinie im Vorfeld konfigurieren und später aktivieren möchten.
■
Legen Sie ein Ablaufdatum fest, wenn die Richtlinie automatisch deaktiviert werden soll.
5. Konfigurieren Sie die Funktionen in der Richtlinie. Klicken Sie auf eine Registerkarte, z. B. Threat Protection, und geben Sie Ihre Einstellungen ein. Hinweis: Weitere Informationen zu speziellen Funktionen finden Sie unter Server Threat Protection konfigurieren (Seite 120) und Server Lockdown konfigurieren (Seite 130). 6. Wenn Sie die Einrichtung der Optionen beendet haben, klicken Sie auf Speichern.
Eine Richtlinie bearbeiten Um eine Richtlinie zu bearbeiten: 1. Klicken Sie in der Richtlinienliste auf einen Richtliniennamen. Die Seite Richtlinie bearbeiten wird angezeigt. 2. Wählen Sie die Registerkarte der Funktion, die Sie bearbeiten möchten. Tipp: Sie können die Registerkarten in beliebiger Reihenfolge zur Bearbeitung öffnen. 3. Wenn Sie die Bearbeitung beendet haben, klicken Sie auf Speichern.
Sie können eine Richtlinie löschen, deaktivieren, klonen oder zurücksetzen. Sie können die Richtlinien über die Aktionsschaltflächen oben rechts auf der Seite verwalten. ■
Aktivieren oder Deaktivieren Durch Aktivierung einer deaktivierten Richtlinie wird diese wieder aktiv, sodass sie in Ihrem Netzwerk Gültigkeit hat.
119
Sophos Central
Hinweis: Sie können jede aktive Richtlinie, mit Ausnahme der Basisrichtlinie, deaktivieren. ■
Bearbeiten Klicken Sie auf diese Schaltfläche, um die Einstellungen einer Richtlinie zu bearbeiten. Sie können alle Aspekte der Konfiguration ändern.
■
Klonen Dies ist nützlich, wenn Sie eine ähnliche Richtlinie benötigen oder die Konfiguration nicht von Grund auf neu erstellen möchten.
■
Löschen Sie können alle Richtlinien, mit Ausnahme der Basisrichtlinie, löschen. Wenn Sie versuchen, eine aktive Richtlinie zu löschen, müssen Sie zuerst eine Warnmeldung bestätigten.
■
Zurücksetzen Diese Funktion ist nur für die Basisrichtlinie verfügbar. Sie können die Basisrichtlinie auf ihre ursprüngliche Konfiguration zurücksetzen, wenn Sie Änderungen an dieser Richtlinie rückgängig machen wollen.
Die Aktionsschaltflächen, die für eine bestimmte Richtlinie nicht angewendet werden können, sind ausgegraut.
14.3.1 Threat Protection für Server konfigurieren Achtung: Diese Hilfeseite beschreibt die Einstellungen der Richtlinien für Server. Für die Workstation-Benutzer (Seite 96) gelten andere Richtlinieneinstellungen. Threat Protection schützt Sie vor Malware, riskanten Dateitypen und Websites sowie bösartigem Netzwerkdatenverkehr. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Sie können diese Funktion konfigurieren, wenn Sie eine Serverrichtlinie erstellen oder öffnen und auf die Registerkarte Threat Protection klicken. Sie können entweder die Empfohlenen Einstellungen (Seite 121) verwenden oder diese ändern. Wenn Sie die Einstellungen ändern möchten, können Sie folgende Konfigurationen vornehmen: ■
Echtzeit-Scans (lokale Dateien und gemeinsam genutzte Dateien im Netzwerk) (Seite 121)
■
Echtzeit-Scans (Internet) (Seite 121)
■
Echtzeit-Scans (Optionen) (Seite 122)
■
Geplante Scans. (Seite 122)
■
Scan-Ausschlüsse. (Seite 123)
Hinweis: Einige der Optionen sind nur für Windows Server verfügbar. In den Spalten auf der rechten Seite sehen Sie, für welchen Servertyp die einzelnen Optionen gelten.
Threat Protection aktivieren Stellen Sie sicher, dass Threat Protection aktiviert ist. Tipp: Sie können diese Option jederzeit deaktivieren, wenn Sie diesen Teil der Richtlinie nicht mehr erzwingen möchten.
120
Hilfe
Empfohlene Einstellungen Wählen Sie Empfohlene Einstellungen verwenden, wenn Sie die von Sophos empfohlenen Einstellungen verwenden möchten. Diese Einstellungen bieten Ihnen optimalen Schutz, ohne dass Sie eine komplexe Konfiguration durchführen müssen. Hinweis: Wenn wir unsere Empfehlungen ändern, werden wir Ihre Richtlinie automatisch mit den neuen Einstellungen aktualisieren. Die empfohlenen Einstellungen bieten: ■
Erkennung bekannter Malware.
■
Überprüfungen in der Cloud zur Erkennung der aktuellsten Malware, die Sophos bekannt ist.
■
Proaktive Erkennung von Malware, die zum ersten Mal erkannt wird.
■
Automatische Bereinigung von Malware.
■
Automatischer Scan-Ausschluss von Aktivitäten bekannter Anwendungen. Sehen Sie hierzu den Knowledgebase Artikel 121461.
Echtzeit-Scans (lokale Dateien und gemeinsam genutzte Dateien im Netzwerk) Beim Echtzeit-Scan werden Dateien gescannt, wenn Benutzer versuchen, auf sie zuzugreifen. Der Zugriff wird verhindert, wenn die Datei nicht sauber ist. Sie können folgende Optionen für den Scan von lokalen Dateien und Netzwerkdateien wählen: ■
Lokale und Remote-Dateien. Wenn Sie stattdessen Lokal wählen, werden gemeinsam genutzte Dateien im Netzwerk nicht gescannt.
■
Beim Lesen. Die Dateien werden gescannt, wenn sie geöffnet werden.
■
Beim Schreiben. Die Dateien werden gescannt, wenn sie gespeichert werden.
Echtzeit-Scans (Internet) Beim Echtzeit-Scan werden Internetquellen gescannt, während der Benutzer auf diese zugreifen. Sie können folgende Optionen wählen: ■
Aktuelle Downloads scannen.
■
Zugriff auf schädliche Websites blockieren. Der Zugriff auf Websites, die bekannt dafür sind, dass sie Malware hosten, wird verweigert.
■
Nach Dateien mit geringer Reputation suchen. Der Endbenutzer wird gewarnt, wenn ein Download eine niedrige Reputation aufweist. Die Reputation wird anhand der Quelle der Datei, der Download-Häufigkeit und weiterer Faktoren ermittelt. Weitere Informationen finden Sie im Support-Artikel 121319. Sie können festlegen: ■
Welche Maßnahme durchgeführt wird. Wenn Sie Benutzer auffordern wählen, sehen die Benutzer eine Warnmeldung, sobald sie versuchen, eine Datei mit niedriger Reputation herunterzuladen. Diese Option ist voreingestellt.
■
Die Reputationsstufe. Wenn Sie Strikt wählen, werden auch Dateien mit mittlerer oder niedriger Reputation erkannt. Die Standardeinstellung ist Empfohlen.
121
Sophos Central
Echtzeit-Scans (Optionen) Sie können diese zusätzlichen Optionen wählen: ■
Aktivitäten bekannter Aufwendungen automatisch ausschließen. Dies verhindert, dass Sophos Central Dateien scannt, die von bestimmten weit verbreiteten Anwendungen genutzt werden. Eine Liste dieser Anwendungen sehen Sie im Knowledgebase Artikel 121461. Sie können Aktivitäten von anderen Anwendungen manuell ausschließen, indem Sie die Option Scan-Ausschlüsse (Seite 123) nutzen.
■
Erkennung schädlichen Verhaltens (HIPS). Diese Option schützt Sie gegen Bedrohungen, die noch nicht bekannt sind. Dies gelingt durch die Erkennung und Blockierung von Verhaltensweisen, die als bösartig oder verdächtig bekannt sind.
■
Live-Schutz verwenden. Verdächtige Dateien werden unter Bezugnahme der aktuellen Malware in der SophosLabs-Datenbank geprüft. ■
■
Beispiele von Malware automatisch an SophosLabs senden. Mit dieser Option werden Beispiele erkannter Malware an Sophos zur Analyse gesendet.
Automatische Bereinigung von Malware. Erkannte Bedrohungen werden automatisch bereinigt. Diese Option wird von Windows-Servern unterstützt sowie von Gast-VMs, die durch das Sophos VM-Sicherheitssystem geschützt werden (jedoch nur, wenn der Sophos Agent für VM-Gastsysteme installiert ist).
Geplante Scans Geplante Scans werden zu einer bestimmten Uhrzeit oder zu Zeiten durchgeführt, die Sie festlegen. Diese Art des Scans ist standardmäßig für Server aktiviert. Sie können folgende Optionen wählen: ■
Geplanten Scan aktivieren. Sie können eine Uhrzeit und einen oder mehrere Tage festlegen, an welchen der Scan ausgeführt werden soll. Hinweis: Die Uhrzeit des geplanten Scans entspricht der Uhrzeit auf dem Endpoint-Computer (keine UTC-Zeit).
■
Intensivscans aktivieren. Wenn Sie diese Option aktivieren, werden beim geplanten Scan auch Archive gescannt. Hierdurch kann sich die Systemlast erhöhen, wodurch sich der Scanvorgang eventuell erheblich verlangsamt. Hinweis: Scan-Archive können die Systemlast erhöhen, wodurch sich der Scanvorgang eventuell erheblich verlangsamt.
Erweiterte Sicherheit Hinweis: Sind die Advanced Security-Funktionen aktiviert, verwenden Server, die dieser Richtlinie zugewiesen sind, eine Server Advanced Protection-Lizenz. Sie können die folgende Option auswählen: Netzwerkdatenverkehr zu Command-and-Control-Servern erkennen. Diese Option erkennt Datenverkehr zwischen einem Endpoint-Computer und einem Server, der auf einen möglichen Versuch hinweist, die Kontrolle über den Endpoint-Computer zu übernehmen (ein sogenannter Command-and-Control-Angriff).
122
Hilfe
Scan-Ausschlüsse Die Aktivität einiger Anwendungen wird automatisch vom Echtzeit-Scan ausgenommen. Sehen Sie hierzu den Knowledgebase Artikel 121461. Sie können auch Elemente und Aktivitäten weiterer Anwendungen vom Scan ausnehmen. Dies kann relevant sein, wenn eine Datenbankanwendung auf viele Dateien zugreift und dadurch viele Scans auslöst, was die Leistung des Servers beeinflussen kann. Tipp: Um für eine Anwendung Ausschlüsse zu definieren, können Sie mit dieser Option Prozesse dieser Anwendung ausschließen. Das ist sicherer als der Ausschluss von Dateien oder Ordnern. Hinweis: Diese Anleitung enthält eine Kurzbeschreibung der möglichen Ausschlüsse. Umfassende Informationen zu Wildcards und Variablen finden Sie unter Ausschlüsse für Windows-Scans: Wildcards und Variablen (Seite 124) oder Ausschlüsse für Virtual Server-Scans: Wildcards (Seite 127). 1. Klicken Sie auf Ausschluss hinzufügen (rechts auf der Seite). Das Dialogfeld „Scan-Ausschluss hinzufügen“ erscheint. 2. Wählen Sie in der Dropdownliste Ausschlusstyp einen Elementtyp, der ausgeschlossen werden soll (Datei oder Ordner, Prozess, Website oder potentiell unerwünschte Anwendung). 3. Geben Sie im Textfeld Wert das Element oder die Elemente ein, die Sie ausschließen möchten. Es gelten die folgenden Regeln: ■
■
Datei oder Ordner (Windows). Auf Windows können Sie ein Laufwerk, einen Ordner oder eine Datei ausschließen. Sie können Wildcards und Variablen verwenden. Beispiele: ■
Ordner: C:\programdata\adobe\photoshop\ (für einen Ordner einen Backslash hinzufügen)
■
Gesamtes Laufwerk: D:
■
Datei: C:\program files\program\*.vmg
Datei oder Ordner (Linux). Auf Linux können Sie ein Laufwerk, einen Ordner oder eine Datei ausschließen. Sie können die Wildcards ? und * verwenden. Beispiel: ■
■
/mnt/hgfs/excluded
Datei oder Ordner (virtueller Server). Auf virtuellen Windows-Gastmaschinen, die mit einem Sophos VM-Sicherheitssystem geschützt werden, können Sie ein Laufwerk, einen Ordner oder eine Datei durch Angabe des kompletten Pfads ausschließen, wie Sie dies bei Windows-Computern gewöhnt sind. Sie können das Wildcard-Zeichen * verwenden, aber nur für Dateinamen. Hinweis: Die Ausschüsse gelten standardmäßig für alle virtuellen Gastmaschinen, die mit dem VM-Sicherheitssystem geschützt werden. Informationen zu Ausschüssen von einer oder mehreren virtuellen Gastmaschinen finden Sie unter Scanausschlüsse für bestimmte VMs (Seite 129).
■
Prozess. Sie können jeden Prozess einer Anwendung ausschließen. Dadurch werden auch die Dateien, die vom Prozess verwendet werden, ausgeschlossen (aber nur, der Prozess auf diese zugreift). Falls möglich, geben Sie den vollständigen Pfad der
123
Sophos Central
Anwendung und nicht nur den Prozessnamen an, der im Task-Manager angezeigt wird. Beispiel: ■
%PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe
Hinweis: Um alle Prozesse oder Elemente zu sehen, die Sie für eine Anwendung ausschließen müssen, schlagen Sie bitte in der Herstellerdokumentation der Anwendung nach. Hinweis: Sie können Wildcards und Variablen verwenden. ■
■
Website. Websites können in Form von IP-Adressen, IP-Adressbereichen (in CIDR Notation) oder Domänen angegeben werden. Beispiele: ■
IP-Adresse: 192.168.0.1
■
IP-Adressbereich: 192.168.0.0/24 Die Appendix /24 steht für die Anzahl der Bits im Präfix, die für alle IP-Adressen dieses Bereichs gilt. /24 entspricht der Netzmaske 11111111.11111111.11111111.00000000. In unserem Beispiel umfasst der Bereich alle IP-Adressen ab 192.168.0.
■
Domäne: google.com
Potentiell unerwünschte Anwendung. Hier können Sie Anwendungen ausschließen, die in der Regel als Spyware erkannt werden. Verwenden Sie bei Angabe des Ausschlusses denselben Namen, unter welchem die Anwendung vom System erkannt wurde. Weitere Informationen zu PUAs finden Sie im Sophos Bedrohungs-Center.
4. Bei Ausschlüssen von Dateien oder Ordnern geben Sie in der Dropdownliste Aktiv für an, ob der Ausschluss für Echtzeit-Scans, geplante Scans oder beide gelten soll. 5. Klicken Sie auf Hinzufügen oder Weitere hinzufügen. Der Ausschluss wird der Liste der Scan-Ausschlüsse hinzugefügt. Um einen Ausschluss später zu bearbeiten, wählen Sie diesen in der Ausschlussliste aus, geben Sie neue Einstellungen ein und klicken Sie auf Aktualisieren.
14.3.1.1 Ausschlüsse für Windows-Scans Wildcards und Variablen Achtung: Diese Hilfeseite beschreibt die Einstellungen der Richtlinien für Server. Diese Einstellungen gelten nicht für Arbeitsstationen. Zur Festlegung von Dateien, Ordner oder Prozesse, die Sie vom Scan ausnehmen möchten, verwenden Sie Wildcards oder Variablen. Hinweis: Diese Hilfeseite gilt für Windows Server, aber nicht für Linux. Für Linux können nur Wildcards mit * und ? verwendet werden. Hinweis: Einige Wildcards oder Variablen können für Ausschlüsse vom Echtzeit-Scan für Windows Server 2003 nicht verwendet werden. Wenn Sie auf Windows Server 2008 upgraden, können alle genutzt werden. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Wildcards Sie können die in dieser Tabelle aufgeführten Wildcards verwenden. Hinweis: Nur * und ? können für Windows Server 2003 verwendet werden.
124
Hilfe
Symbol
Treffer
Kommentare
* (Sternchen)
Null oder mehr Zeichen mit Ausnahme von \ oder /
** (Sternchen Sternchen)
Null oder mehr Zeichen einschließlich \ und /, wenn Zum Beispiel: umschlossen von \ oder / oder am Anfang oder c:\foo\**\bar ersetzt: Ende eines Ausschlusses verwendet. c:\foo\bar, c:\foo\more\bar, Jede andere Verwendung eines ** wird wie ein c:\foo\even\more\bar einzelnes * behandelt und kann null oder mehr Zeichen ohne \ und / ersetzen. **\bar ersetzt c:\foo\bar c:\foo\** ersetzt c:\foo\more\bar c:\foo**bar ersetzt c:\foomorebar, aber NICHT c:\foo\more\bar
\ (Backslash)
Entweder \ oder /
/ (Schrägstrich)
Entweder / oder \
? (Fragezeichen)
Einzelzeichen, wenn es sich nicht am Ende eines Strings befindet, wo es sich auf null Zeichen beziehen kann.
. (Punkt)
Ein Punkt ODER ein leerer String am Ende eines Beachten Sie, dass: Dateinamens, wenn das Muster mit einem Punkt *.* sich auf alle Dateien endet und der Dateiname keine Erweiterung hat. bezieht *. sich auf alle Dateien ohne Erweiterung bezieht „foo.“ meint „foo“ und „foo.“
Beispiele Hier finden Sie einige Beispiele zur Anwendung von Wildcards.
Ausdruck
Wird interpretiert als
Beschreibung
foo
**\foo
Schließt alle Dateien mit dem Namen foo aus (an jedem Speicherort).
foo\bar
**foo\bar
Schließt alle Dateien mit dem Namen bar in einem Ordner namens foo aus (an jedem Speicherort).
125
Sophos Central
Ausdruck
Wird interpretiert als
Beschreibung
*.txt
**\*.txt
Schließt alle Dateien mit dem Namen *.txt aus (an jedem Speicherort).
C:
C:
Schließt den Datenträger C: vom Scan aus (der Master Boot Record des Datenträgers mit eingeschlossen).
C:\
C:\
Schließt alle Dateien auf dem Datenträger C: vom Scan aus (der Master Boot Record des Datenträgers wird gescannt).
C:\foo\
C:\foo\
Alle Dateien und Ordner unterhalb von C:\foo, das Verzeichnis C:\foo mit eingeschlossen.
C:\foo\*.txt
C:\foo\*.txt
Alle Dateien oder Ordner mit dem Namen *.txt, die im Verzeichnis C:\foo enthalten sind
Variablen für Ausschlüsse Zur Einrichtung von Scan-Ausschlüssen können Sie Variablen verwenden. Die untere Tabelle zeigt Variablen und Beispiele von Speicherorten, mit denen sie auf dem jeweiligen Betriebssystem übereinstimmen.
Variable
Windows Server 2008 und höher Windows Server 2003
%allusersprofile%
C:\ProgramData
C:\Documents and Settings\All Users
%appdata%
C:\Users\*\AppData\Roaming
C:\Documents und Settings\*\Application Data Hinweis: Nicht für Echtzeit-Scans möglich.
%commonprogramfiles%
C:\Program Files\Common Files C:\Program Files\Common Files
%commonprogramfiles(x86)%
C:\Program Files (x86)\Common C:\Program Files (x86)\Common Files Files
%localappdata%
C:\Users\*\AppData\Local
C:\Documents and Settings\*\Local Settings\Application Data Hinweis: Nicht für Echtzeit-Scans möglich.
126
Hilfe
Variable
Windows Server 2008 und höher Windows Server 2003
%programdata%
C:\ProgramData
C:\Documents and Settings\All Users\Application Data
%programfiles%
C:\Program Files
C:\Program Files
%programfiles(x86)%
C:\Program Files (x86)
C:\Program Files (x86)
%systemdrive%
C:
C:
%systemroot%
C:\Windows
C:\Windows
%temp% oder %tmp%
C:\Users\*\AppData\Local\Temp C:\Documents and Settings\*\Local Settings\Temp Hinweis: Nicht für Echtzeit-Scans möglich.
%userprofile%
C:\Users\*
C:\Documents and Settings\*
%windir%
C:\Windows
C:\Windows
14.3.1.2 Ausschlüsse für Virtual Server-Scans: Wildcards Mit Ausschlüssen für Virtual Server können Sie Elemente von den Scans auf Windows VM-Gastsystemen, die durch ein Sophos VM-Sicherheitssystem geschützt sind, ausschließen. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Sie können ein Laufwerk, einen Ordner oder eine Datei durch Angabe des vollständigen Pfads ausschließen, so wie bei jedem anderen Windows-Computer. Es gibt jedoch bestimmte Beschränkungen bei der Angabe von Elementen ohne vollständigen Pfad sowie bei der Verwendung von Wildcards. Im Folgenden finden Sie nähere Informationen und Beispiele. Hinweis: Wenn Sie Ausschlüsse für spezifische VM-Gastsysteme (und nicht für alle vom Sophos VM-Sicherheitssystem geschützten VM-Gastsysteme) festlegen, gelten andere Beschränkungen. Siehe Scanausschlüsse für spezifische VMs (Seite 129). Elemente ohne vollständigen Pfad Sie können eine Datei ohne vollständigen Pfad angeben, z. B. datei.com. Sie müssen die Endung mit angeben. Das VM-Sicherheitssystem schließt alle Dateien mit diesem Namen aus. Sie können keine Ordner ohne vollständigen Pfad angeben. Wildcards Sie können die Wildcard-Zeichen * (Stern) und ? wie folgt verwenden: ■
Sie können Wildcard-Zeichen für Dateien, aber nicht für Ordner verwenden.
127
Sophos Central
■
Das * muss alleine stehen, wenn es für einen Dateinamen (*.exe), eine Endung (file.*) oder beides (*.*) stehen soll. Es kann nicht mit anderen Zeichen kombiniert werden (file*.com).
■
Sie können ? für die Übereinstimmung mit einer genauen Anzahl an Zeichen verwenden und dieses mit anderen Zeichen kombinieren. Beispiel: Bei C:\f??.exe würde C:\foo.exe ausgeschlossen werden, nicht aber C:\fooo.exe.
Wenn Sie ein ungültiges Wildcard-Zeichen verwenden, ignoriert das VM-Sicherheitssystem den Ausschluss.
Gültige Ausschlüsse Die in dieser Tabelle aufgeführten Ausdrücke sind gültige Virtual Server-Ausschlüsse.
Ausschluss
Hinweis
D:
Schließt das gesamte Laufwerk aus.
C:\programdata\adobe\photoshop\ Schließt den Ordner aus (der Backslash am Ende ist unbedingt notwendig). C:\program files\program\*.com
Schließt Dateien mit einer .com-Endung in dem angegebenen Ordner aus.
datei.com
Schließt Dateien mit diesem Namen an jedem Speicherort aus (vollständiger Pfad nicht erforderlich).
datei.*
Schließt alle Dateien mit dem Namen „datei“ aus, mit allen Endungen an allen Speicherorten.
*.com
Schließt alle Dateien mit einer .com-Endung an allen Speicherorten aus.
*.*
Schließt alle Dateien an allen Speicherorten aus.
C:\datei??.docx
Hier wird C:\file12.exe (aber nicht C:\file123.exe) ausgeschlossen.
UNGÜLTIGE Ausschlüsse Die in dieser Tabelle aufgeführten Ausdrücke sind keine gültigen Virtual Server-Ausschlüsse.
128
Ausschluss
Hinweis
datei
Es kann keine Datei ohne Dateiendung angegeben werden.
\ordner
Es kann kein Ordner ohne vollständigen Pfad angegeben werden.
Hilfe
Ausschluss
Hinweis
datei*
Es kann kein * innerhalb eines Dateinamens verwendet werden.
datei*.com
Es kann kein * innerhalb eines Dateinamens verwendet werden.
datei*.*
Es kann kein * innerhalb eines Dateinamens verwendet werden.
C:\?\
Der Ordnername kann nicht durch ein Wildcard-Zeichen ersetzt werden.
C:\ordner*\
Es kann kein * innerhalb eines Ordnernamens verwendet werden.
14.3.1.3 Scanausschlüsse für spezifische VMs Sie können Scanausschlüsse für spezifische VM-Gastsysteme festlegen, die durch ein Sophos VM-Sicherheitssystem geschützt sind. Hierzu müssen Sie bei der Festlegung des auszuschließenden Elements den Namen des VM-Gastsystems angeben (siehe Beschreibung unten). Hinweis: Sie können nur Ordner ausschließen. Das liegt daran, dass VMware-Software zurzeit noch keine Dateiausschlüsse für einzelne VM-Gastsysteme unterstützt. Bei der Einrichtung des Ausschlusses muss es einen lokalen Pfad zu dem Ordner geben. Hinweis: Sie können nicht unterschiedliche Ausschlüsse für einen Scantyp (Echtzeit und geplant) einrichten. Bei VM-Gastsystemen gelten Ausschlüsse immer für beide Typen. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). So legen Sie Ausschlüsse für ein VM-Gastsystem fest: 1. Gehen Sie zu Richtlinien > Serverrichtlinien und wählen Sie die Richtlinie aus, die auf Ihr Sophos VM-Sicherheitssystem anwendbar ist. 2. Wählen Sie Scanoptionen für Malware und riskante Dateitypen. 3. Klicken Sie auf den Dropdown-Pfeil neben Scan-Ausschlüsse. 4. Wählen Sie unter Ausschluss für die Option Datei und Ordner (virtueller Server). 5. Geben Sie bei Wert die Daten des Computers und des Ordners, den Sie ausschließen möchten, wie folgt ein: ■
■
■
Stellen Sie dem Pfad für den auszuschließenden Ordner den Namen des VM-Gastsystems voran. Sie können im Namen des VM-Gastsystems Wildcards verwenden. Geben Sie vor und nach dem Namen des VM-Gastsystems den senkrechten Strich (|) ein. Geben Sie nach dem Ordnernamen einen Backslash ein.
Beispiel |Window7_Computer1x64|c:\foo\ 6. Wählen Sie unter Aktivieren für die Option Echtzeit- und geplante Scans. Verwendung von Wildcards Sie können im VM-Namen das Wildcard-Zeichen * verwenden, um den Ausschluss auf mehrere VM-Gastsysteme anzuwenden.
129
Sophos Central
Sie können im Ordnernamen keine Wildcards verwenden. Das liegt daran, dass VMware-Software diese Option zurzeit noch nicht für Ausschlüsse für einzelne VM-Gastsysteme unterstützt. Das Wildcard-Zeichen kann am Anfang oder Ende des VM-Namens (oder an beiden Stellen) stehen. Hier einige Beispiele:
Beispiel
Wofür der Ausschluss gilt
|Window7*|c:\foo\
Alle VM-Gastsysteme, deren Name mit Windows 7 beginnt.
|*x64|c:\foo\
Alle VM-Gastsysteme, deren Name mit x64 endet.
|*Computer*|c:\foo\
Alle VM-Gastsysteme, deren Name „Computer“ enthält.
14.3.2 Server Lockdown konfigurieren Der Server Lockdown verhindert, dass unautorisierte Software auf den Servern ausgeführt wird. Hierfür stellt Sophos eine Liste der bereits installierten Software zusammen, überprüft, ob diese sicher sind, und autorisiert nur diese sichere Software zur Ausführung. Sie können einen Server auf seiner Informationsseite sperren. Sie können die Server Lockdown-Einstellungen in einer Richtlinie verwenden, um anzupassen, welche Aktionen zugelassen sind, ohne den Server entsperren zu müssen. Wenn Sie zum Beispiel neue Software hinzufügen und ausführen möchten. Mit diesen Einstellungen können Sie: ■
Ausführen von Software und Durchführung von Änderungen durch diese an anderen Dateien erlauben.
■
Software blockieren, deren Ausführung aktuell erlaubt ist.
Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Erlaubte Dateien/Ordner Mit dieser Option können Sie Software (zum Beispiel Updater) zur Ausführung und Durchführung von Änderungen an anderen Anwendungen autorisieren. Außerdem können Sie mit dieser Option neue Software zu einem gesperrten Server hinzufügen, ohne diesen entsperren zu müssen. Vorsicht: Diese Option „vertraut“ der Software, sodass alle Dateien, die von dieser erstellt werden, oder Änderungen ebenfalls erlaubt sind. Dies ist der Unterschied zum Server Lockdown, bei welchem nur die Software selbst zur Ausführung erlaubt wird. Sie können angeben, welche Dateien oder welcher Ordner mit Dateien erlaubt werden sollen. Tipp: Sie können einen Ordner angeben, in welchem die heruntergeladenen Installer zur Nutzung auf dem Server gespeichert werden. 1. Klicken Sie auf Erlaubte/n Datei/Ordner hinzufügen.
130
Hilfe
2. Wählen Sie den Typ des Elements, das Sie erlauben möchten (Datei oder Ordner). 3. Geben Sie den Pfad zur Datei oder zum Ordner an. Hinweis: Sie können die Wildcard * verwenden 4. Klicken sie auf Speichern.
Blockierte Dateien/Ordner Mit dieser Option können Sie Software blockieren, deren Ausführung aktuell erlaubt ist. Sie können angeben, welche Dateien oder welcher Ordner mit Dateien blockiert werden sollen. Tipp: Sie können einen Ordern, in welchem Anwendungen wie Installer gespeichert werden, blockieren, wenn Sie diese Anwendungen für andere Benutzer im Netzwerk zugänglich machen, sie aber nicht auf Ihrem Server ausführen möchten. 1. Klicken Sie auf Blockierte/n Datei/Ordner hinzufügen. 2. Wählen Sie den Typ des Elements, das Sie blockieren möchten (Datei oder Ordner). 3. Geben Sie den Pfad zur Datei oder zum Ordner an. Hinweis: Sie können die Wildcard * verwenden 4. Klicken sie auf Speichern.
14.3.3 Peripheral Control für Server konfigurieren Hinweis: Peripheral Control für Server ist möglicherweise noch nicht für alle Kunden verfügbar. Mit Peripheral Control können Sie den Zugriff auf Peripheriegeräte und Wechselmedien kontrollieren. Sie können außerdem einzelne Peripheriegeräte von der Steuerung ausschließen. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Sie können diese Funktion konfigurieren, wenn Sie eine Serverrichtlinie erstellen oder öffnen und auf die Registerkarte Peripheral Control klicken.
Peripheral Control aktivieren Stellen Sie sicher, dass Peripheral Control aktiviert ist. Sie können diese Option jederzeit deaktivieren, wenn Sie diesen Teil der Richtlinie nicht mehr erzwingen möchten.
Peripheriegeräte verwalten Unter „Peripheriegeräte verwalten“ wählen Sie, wie Sie Ihre Peripheriegeräte steuern möchten: ■
Überwachen, aber nicht blockieren. Wenn Sie diese Option auswählen, ist der Zugriff auf alle Peripheriegeräte erlaubt, unabhängig von den Einstellungen unten. Alle verwendeten Peripheriegeräte werden erkannt; Sie können jedoch keine Zugriffsregeln für sie einrichten.
■
Zugriff abhängig vom Peripheriegerätetyp überwachen und Ausnahmen hinzufügen. Wenn Sie diese Option auswählen, können Sie Zugriffsrichtlinien für Peripherietypen und für einzelne erkannte Peripheriegeräte einrichten.
131
Sophos Central
Zugriffsrichtlinien einrichten Richten Sie die Zugriffsrichtlinien in der Tabelle ein. In der Tabelle werden die erkannten Peripherietypen, die Anzahl der jeweils erkannten Typen und die aktuelle Zugriffsrichtlinie angezeigt. Hinweis: In den Summenwerten sind alle erkannten Peripheriegeräte0 an Endpoint-Computern und Servern berücksichtigt. Auf diese Weise ist es einfacher, einheitliche Richtlinien für alle Geräte festzulegen. Hinweis: Die Kategorie MTP/PTP umfasst Geräte wie Smartphones, Tablets, Kameras und Media Player, deren Verbindung über MTP- oder PTP-Protokolle erfolgt. Sie können die Zugriffsrichtlinie für jeden Peripherietyp ändern: ■
Erlauben: Peripheriegeräte sind auf keine Weise beschränkt.
■
Blockieren: Peripheriegeräte sind überhaupt nicht erlaubt.
■
Schreibgeschützt: Auf Peripheriegeräte kann nur schreibgeschützt zugegriffen werden.
Hinweis: Für die Kategorien Bluetooth, Infrarot und Modem gibt es keine Option Schreibgeschützt. Hinweis: Für die Kategorie „WLAN-Adapter“ ist die Option Netzwerkbrücken sperren verfügbar. Dadurch wird das Bridging von zwei Netzwerken verhindert.
Ausgenommene Peripheriegeräte Klicken Sie auf den ausklappbaren Bereich Peripherie-Ausnahmen, wenn Sie einzelne Peripheriegeräte ausschließen oder weniger restriktive Steuerungsregeln anwenden möchten. 1. Klicken Sie auf Ausnahmen hinzufügen. 2. Im Dialogfeld Peripherie-Ausnahmen hinzufügen sehen Sie eine Liste der erkannten Peripheriegeräte. Hinweis: Peripheriegeräte werden erkannt, wenn Sie den Überwachungsmodus nutzen oder wenn es eine Zugriffsbeschränkung für diesen Peripherietyp gibt. Hinweis: In dieser Liste sind alle erkannten Peripheriegeräte an Endpoint-Computern und Servern berücksichtigt. Auf diese Weise ist es einfacher, einheitliche Ausnahmen für alle Geräte festzulegen. 3. Wählen Sie ein Peripheriegerät. 4. In der Spalte Richtlinie können Sie optional die Dropdownliste verwenden, um eine bestimmte Zugriffsrichtlinie auf eine Peripherie-Ausnahme anzuwenden. Einschränkung: Wählen Sie für einzelne Peripheriegeräte keine strengere Zugriffsrichtlinie als für seinen Peripherietyp. In diesem Fall würden die Einstellungen der Richtlinie für das einzelne Gerät ignoriert und ein Warnsymbol angezeigt. 5. In der Spalte Erzwingen durch können Sie über das Dropdownmenü optional auswählen, ob die Richtlinie für alle Peripheriegeräte dieses Modells oder derselben ID gelten soll (in der Liste werden Modell und ID angezeigt). 6. Klicken Sie auf Ausnahme(n) hinzufügen.
132
Hilfe
14.3.4 Application Control für Server konfigurieren Mit Application Control können Sie Anwendungen erkennen und sperren, die zwar kein Sicherheitsrisiko darstellen, die Sie jedoch nicht für geeignet für den Einsatz im Unternehmen halten. Sie können diese Funktion konfigurieren, wenn Sie eine Richtlinie erstellen oder öffnen und Application Control auswählen. Hinweis: Wenn Sie Application Control nutzen möchten, achten Sie darauf, dass die Threat Protection-Funktion auch in der Richtlinie aktiviert ist. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Wir empfehlen Ihnen festzustellen, welche Anwendungen in Ihrem Netzwerk verwendet werden, und dann zu entscheiden, welche blockiert werden sollen. 1. Stellen Sie sicher, dass Application Control aktiviert ist. Tipp: Sie können diese Option jederzeit deaktivieren, wenn Sie diesen Teil der Richtlinie nicht mehr erzwingen möchten. 2. Klicken in der Liste Kontrollierte Anwendungen auf Liste hinzufügen/bearbeiten. Daraufhin öffnet sich ein Dialog, in dem die Kategorien von Anwendungen angezeigt werden, deren Verwendung Sie steuern können. Sophos stellt die Liste bereit und aktualisiert sie. 3. Klicken Sie auf eine Anwendungskategorie, zum Beispiel Browser-Plugins. Eine vollständige Liste der Anwendungen in dieser Kategorie wird in der Tabelle rechts angezeigt. 4. Wir empfehlen, die Option Alle Anwendungen auswählen auszuwählen. Sie können Ihre Auswahl später anpassen. 5. Klicken Sie auf In Liste speichern und wiederholen Sie dies für jede Kategorie, deren Verwendung Sie steuern möchten. Hinweis: Wenn Sie die Verwendung einer Anwendung steuern möchten, die nicht in der von Sophos bereitgestellten Liste steht, wenden Sie sich an Sophos, damit wir diese hinzufügen. Klicken Sie auf den Link „Application Control-Anfrage“ unten auf der Einstellungsseite von Application Control. 6. In den Erkennungsoptionen: ■
■
Wählen Sie Controlled Applications bei zeitgesteuerten und On-Demand-Scans erkennen. Wählen Sie noch keine anderen Optionen aus.
Hinweis: Application Control verwendet die geplanten Scans und Scanoptionen (welche Dateitypen gescannt werden), die Sie in den Einstellungen der Threat Protection festlegt haben. 7. Planen Sie genug Zeit ein, damit alle Ihre Computer einen zeitgesteuerten Scan ausführen können. 8. Gehen Sie zur Seite Protokolle und Berichte > Ereignisse.
133
Sophos Central
9. Deaktivieren Sie in der Liste der Ereignistypen alle Kontrollkästchen außer Application Control. Erkannte Anwendungen werden jetzt in der Liste der Ereignisse angezeigt. Notieren Sie sich, welche Sie weiterhin verwenden möchten. 10. Kehren Sie zu Ihrer Richtlinien-Seite zurück. 11. Klicken in der Liste Kontrollierte Anwendungen erneut auf Liste hinzufügen/bearbeiten. Anschließend: ■
■
Suchen Sie nach den Anwendungen, die Sie verwenden möchten, und deaktivieren Sie das danebenstehende Kontrollkästchen. Wählen Sie In Zukunft werden von Sophos neue Anwendungen zu dieser Kategorie hinzugefügt (optional). Neue Anwendungen, die von Sophos zu einem späteren Zeitpunkt zu dieser Kategorie hinzugefügt werden, werden automatisch zu Ihrer Controlled Applications-Liste hinzugefügt. Neuere Versionen von Anwendungen, die sich bereits in Ihrer Liste befinden, werden ebenfalls hinzugefügt. Wichtig: Wählen Sie diese Option nur aus, wenn Sie sicher sind, dass Sie die Verwendung von Anwendungen in dieser Kategorie ab sofort steuern möchten.
■
Klicken Sie auf In Liste speichern.
12. In den Erkennungsoptionen: ■ ■
Wählen Sie Controlled Applications erkennen, wenn Benutzer darauf zugreifen. Wählen Sie Erkannte Anwendungen blockieren. Merke!: Wenn Sie die Verwendung neuer Anwendungen steuern möchten, die von Sophos hinzugefügt wurden, werden diese neuen Anwendungen jetzt blockiert.
14.3.5 Web Control für Server konfigurieren Achtung: Diese Hilfeseite beschreibt die Einstellungen der Richtlinien für Server. Für die Workstation-Benutzer (Seite 110) gelten andere Richtlinieneinstellungen. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Sie können diese Funktion konfigurieren, wenn Sie eine Serverrichtlinie erstellen oder öffnen und auf die Registerkarte Web Control klicken. Hinweis: Die Einstellungen für Web Control gelten nur für Windows-Server. Hinweis: Alle Server, für die diese Richtlinie gilt, verwenden eine Server Advanced-Lizenz.
Web Control aktivieren Stellen Sie sicher, dass Web Control aktiviert ist. Tipp: Sie können diese Option in der Basisrichtlinie nicht deaktivieren. Sie können diese Option jedoch jederzeit in einer anderen Richtlinie deaktivieren, wenn Sie diesen Teil der Richtlinie nicht mehr erzwingen möchten.
134
Hilfe
Kontrolle unangebrachter Websites Wählen Sie Kontrolle unangebrachter Websites, um den Zugriff auf Webseiten, die eventuell nicht angemessen sind, zu steuern. Für jede Website-Kategorie können Sie wählen: ■
Erlauben: Alle Webseiten dieser Kategorie sind erlaubt.
■
Warnen: Benutzer wird vor Webseiten gewarnt, die eventuell nicht angemessen sind.
■
Blockieren: Alle Webseiten dieser Kategorie werden blockiert.
Ereignisse protokollieren Mit Web Control-Ereignisse protokollieren können Sie Versuche protokollieren, blockierte Webseiten oder Webseiten mit Warnung zu besuchen. Hinweis: Wenn Sie die Protokollierung nicht aktivieren, werden nur die Versuche, infizierte Websites zu besuchen, protokolliert.
Websites, die im Website Management kategorisiert sind, kontrollieren Wählen Sie Websites, die im Website Management kategorisiert sind, kontrollieren können Sie den Zugriff auf Webseiten kontrollieren, die Sie gekennzeichnet haben, d. h. auf der Seite Systemeinstellungen > Website-Management in Ihre eigenen Kategorien eingeteilt haben. 1. Klicken Sie auf Neue hinzufügen. 2. Wählen Sie das Website-Kennzeichen und die Aktion, die Sie auf Webseiten mit diesem Tag anwenden möchten.
135
Sophos Central
15 Systemeinstellungen Auf der Seite der Systemeinstellungen kennen Sie die Sicherheitseinstellungen festlegen, die für alle Ihre Benutzer und Geräte gelten. Welche Seiten angezeigt werden, hängt vom Funktionsumfang Ihrer Lizenz ab. Hinweis: Wenn Sie Einstellungen nur auf bestimmte Benutzer anwenden möchten, verwenden Sie stattdessen die Richtlinienseiten. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
15.1 Active Directory-Synchronisierung Sie können Benutzer und Gruppen von der Active Directory zu Sophos Central importieren. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Auf der Seite Active Directory-Synchronisierung können Sie den Active Directory-Dienst auswählen, den Sie verwenden möchten. ■
Sie finden dort einen Download-Link für das Sophos Central Active Directory-Synchronisierungstool.
■
Sie können auch Einstellungen für die Azure Active Directory-Synchronisierung konfigurieren. Hinweis: Wenn Sie Office 365 verwenden, kommt nur diese Option in Frage.
Die Einrichtungsanweisungen des Dienstprogramms finden Sie unter Einrichtung der Active Directory-Synchronisierung (Seite 138). Alle Informationen dazu finden Sie unter Mehr zur Active Directory-Synchronisierung (Seite 137). Sobald Sie die Synchronisierung eingerichtet haben, können Sie deren Status und andere Einstellungen abrufen (siehe Active Directory-Synchronisierungsstatus (Seite 136)). Die Konfigurationsanweisungen für die Azure Active Directory-Synchronisierung finden Sie unter Einrichtung der Azure Active Directory-Synchronisierung (Seite 140). Sobald Sie die Synchronisierung eingerichtet haben, können Sie deren Status und andere Einstellungen abrufen (siehe Azure AD-Synchronisierungsstatus (Seite 139)).
15.1.1 Active Directory-Synchronisierungsstatus Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Auf dieser Seite wird nach Einrichtung der Active Directory-Synchronisierung Folgendes angezeigt:
136
■
Der Status der Active Directory-Synchronisierung (ob die letzte Synchronisierung erfolgreich war oder ob Warnmeldungen oder Fehler aufgetreten sind).
■
Die Anzahl der Benutzer und Gruppen, die von der Active Directory importiert worden sind.
■
Der Zeitpunkt der letzten Synchronisierung mit Active Directory.
Hilfe
Standardmäßig ist der Active Directory Federation Service deaktiviert. Wenn Ihre Benutzer mit ihren Active Directory-Anmeldedaten Zugang zum Self-Service-Portal haben sollen, können Sie diese Option aktivieren. Auf der Seite Warnhinweise finden Sie die Warnhinweise zur Active Directory-Synchronisierung. Ereignisse, die während der Synchronisierung aufgetreten sind, finden Sie auf der Seite Protokolle und Berichte > Ereignisse.
Mehr zur Active Directory-Synchronisierung Die Active Directory-Synchronisierung ermöglicht es Administratoren, einen Dienst zu implementieren, der die Benutzer und Gruppen von Active Directory auf Sophos Central abbildet. Für eine Synchronisierung mit Active Directory müssen Sie das Active Directory-Synchronisierungstool für Sophos Central herunterladen und installieren. Das Tool funktioniert wie folgt. ■
Es synchronisiert aktive Benutzer und Gruppen, die mindestens einen aktiven Benutzer enthalten.
■
Es unterstützt die automatisierte, unidirektionale Synchronisierung von Active Directory auf die Sophos Central Admin-Konsole. Es unterstützt keine bidirektionale Synchronisierung zwischen der Sophos Central Admin-Konsole und Active Directory. Sie können von Active Directory importierte Gruppen nicht bearbeiten. Für von Active Directory importierte Benutzer gilt: ■
Sie können Namen, E-Mail-Adressen oder Exchange-Logindaten nicht ändern und keine verbundenen Gruppen oder Anmeldedaten, die von Active Directory verwaltet werden, hinzufügen oder entfernen.
■
Es ist möglich, Gruppen oder Anmeldedaten, die von Active Directory verwaltet werden, hinzuzufügen oder zu entfernen.
■
Die Synchronisierung kann automatisch und regelmäßig durchgeführt werden, wie vom Sophos Central-Administrator festgelegt.
■
Bestehende Benutzer werden nicht dupliziert, wenn ein bestehender Sophos Central-Benutzer mit einem Active Directory-Benutzer übereinstimmt. Wenn eine Übereinstimmung gefunden wird, wird der bestehende Benutzer mit den neuen oder veränderten Informationen aktualisiert. Zum Beispiel kann eine E-Mail-Adresse von Active Directory zu einem bestehenden Benutzer in der Sophos Central-Konsole hinzugefügt werden. Alle Informationen, die von Active Directory hinzugefügt oder aktualisiert wurden, können in der Konsole nicht bearbeitet werden.
■
Nur der Active Directory-Dienst wird unterstützt.
■
Es können mehrere Active Directory-Gesamtstrukturen synchronisiert werden. Installieren Sie dazu das Utility auf mehreren Rechnern und konfigurieren Sie jedes Utility so, dass jeweils eine andere AD-Gesamtstruktur synchronisiert wird. Wir empfehlen Ihnen dringend, unterschiedliche AD-Gesamtstrukturen zu verschiedenen Tageszeiten zu synchronisieren, damit sich die Synchronisierungen nicht überschneiden.
■
Die Bereitstellung einer Sophos Agent-Software auf den Geräten Ihrer Benutzer wird nicht unterstützt. Zur Bereitstellung mit Active Directory sind andere Methoden notwendig.
137
Sophos Central
15.1.1.1 Einrichtung der Active Directory-Synchronisierung Bevor Sie die Synchronisierung einrichten, stellen Sie sicher, dass .NET Framework 4 auf dem Computer, auf dem Sie das Sophos Central AD-Synchronisierungstool ausführen möchten, installiert ist. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Einrichtung der Synchronisierung mit Active Directory: 1. Klicken Sie auf der Seite Active Directory-Synchronisierung auf den Link zum Download des Installers für das Sophos Central AD-Synchronisierungstool und führen Sie diesen aus. 2. Geben Sie in den Einrichtungsassistenten die erforderlichen Informationen ein. Aktivieren Sie auf der letzten Seite Sophos Cloud AD Sync Utility starten das Kontrollkästchen und klicken Sie auf Fertigstellen. Alternativ: Gehen Sie zum Windows Startmenü > Alle Programme > Sophos > Central > AD-Sync. Wenn Sie mit Windows 8 oder höher arbeiten, ist die App AD Sync in der App-Liste unter Sophos zu finden. Folgen Sie den Anweisungen im Setup-Assistenten für das Sophos Central AD Sync Utility. 3. Geben Sie auf der Seite Sophos-Zugangsdaten die Zugangsdaten für Ihr Sophos Central-Konto ein. 4. Definieren Sie auf der Seite AD-Konfiguration Ihren Active Directory LDAP-Server und die Benutzerdaten für ein Benutzerkonto mit Leseberechtigungen für den gesamten Active Directory-Wald, den Sie synchronisieren möchten. Verwenden Sie zur Sicherheit ein Konto mit den geringstmöglichen Berechtigungen, die diesen Zugriff ermöglichen. Wir empfehlen Ihnen, eine sichere, über SSL verschlüsselte LDAP-Verbindung zu verwenden und das Kontrollkästchen LDAP über SSL-Verbindung verwenden (empfohlen) aktiviert zu lassen. Wenn Ihre LDAP-Umgebung SSL nicht unterstützt, deaktivieren Sie das Kontrollkästchen LDAP über SSL-Verbindung verwenden und ändern Sie die Portnummer entsprechend. Normalerweise lautet die Portnummer 636 für SSL-Verbindungen und 389 für unsichere Verbindungen. 5. Wenn keine Synchronisierung mit der Gesamtstruktur erfolgen soll, können Sie auf der Seite AD-Filter angeben, welche Domains ausgenommen werden sollen. Sie können auch zusätzliche Suchoptionen – Suchbasis und LDAP-Abfragefilter – für jede Domain angeben. Für Benutzer und Gruppen können unterschiedliche Optionen festgelegt werden. Hinweis: AD Sync erstellt nur Gruppen mit Mitgliedern, zu denen erkannte Benutzer gehören, unabhängig von Gruppen-Filtereinstellungen. ■
Suchbasis Sie können eine Suchbasis (auch „Base Distinguished Names“ genannt) festlegen. Wenn Sie z. B. nach Organizational Units (OUs) filtern möchten, können Sie eine Suchbasis in folgendem Format angeben: OU=Finance,DC=myCompany,DC=com
138
Hilfe
■
LDAP-Abfragefilter Um Benutzer zu filtern, z. B. nach Gruppenzugehörigkeit, können Sie einen Benutzer-Abfragefilter in folgendem Format verwenden: memberOf=CN=testGroup,DC=myCompany,DC=com Mit der vorstehenden Abfrage wird die Benutzererkennung auf Benutzer beschränkt, die zu „testGroup“ gehören. Bitte beachten Sie: Sofern nicht auch ein Gruppen-Abfragefilter festgelegt wurde, erkennt AD Sync alle Gruppen, denen diese erkannten Benutzer angehören. Wenn Sie die Erkennung von Gruppen ebenfalls auf „testGroup“ beschränken möchten, können Sie folgenden Gruppen-Abfragefilter festlegen: CN=testGroup
Wichtig: Wenn Sie Base Distinguished Names in Ihren Suchoptionen verwenden oder Ihre Filtereinstellungen ändern, kann es sein, dass einige der bestehenden Sophos Central-Benutzer und -Gruppen, die bei früheren Synchronisierungen angelegt wurden, aus dem Suchbereich herausfallen und von Sophos Central gelöscht werden. 6. Legen Sie auf der Seite Synchronisierungsplan die Zeiten fest, zu denen die Synchronisierung automatisch durchgeführt werden soll. Hinweis: Eine geplante Synchronisierung wird von einem Hintergrund-Dienst durchgeführt. Das AD Sync Utility muss für die geplanten Synchronisierungen nicht ausgeführt werden. Wenn Sie die Synchronisierung manuell durch Ausführen des AD Sync Utility und nicht automatisch auf regelmäßiger Basis durchführen möchten, wählen Sie Niemals. Only sync when manually initiated. 7. Für eine sofortige Synchronisierung klicken Sie auf Preview and Sync. Überprüfen Sie die Änderungen, die während der Synchronisierung vorgenommen werden. Wenn Sie mit den Änderungen einverstanden sind, klicken Sie auf Approve Changes and Continue. Die Active Directory-Benutzer und -Gruppen werden von Active Directory zur Sophos Central Admin-Konsole importiert. Um die laufende Synchronisierung zu beenden, klicken Sie auf Abbrechen.
15.1.2 Azure AD-Synchronisierungsstatus Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Auf dieser Seite wird nach Einrichtung der Azure AD-Synchronisierung Folgendes angezeigt: ■
Der Status der Azure AD-Synchronisierung (ob die letzte Synchronisierung erfolgreich war oder ob Warnmeldungen oder Fehler aufgetreten sind).
■
Die Anzahl der Benutzer und Gruppen, die aus Azure AD importiert wurden.
■
Der Zeitpunkt der letzten Synchronisierung mit Azure AD. Hinweis: Die automatische Synchronisierung findet alle 6 Stunden statt. Sie können dieses Intervall nicht ändern.
■
Die Konfigurationseinstellungen für die Azure AD-Synchronisierung. Sie können diese ändern, indem Sie auf Bearbeiten klicken (siehe Einrichtung der Azure Active Directory-Synchronisierung (Seite 140)).
Klicken Sie auf Synchronisieren, um die Synchronisierung zu starten.
139
Sophos Central
Sie können die Azure Sync-Verbindung überprüfen, indem Sie auf Verbindung testen klicken. Sie können die Warnhinweise, die während der Azure AD-Synchronisierung aufgetreten sind, auf der Seite Warnhinweise einsehen. Sie können die Synchronisierungsereignisse auf der Seite Protokolle & Berichte > Ereignisse einsehen.
15.1.2.1 Einrichtung der Azure Active Directory-Synchronisierung Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). So konfigurieren Sie die Azure Active Directory-Synchronisierung: 1. Klicken Sie auf der Seite Active Directory-Synchronisierung auf den Link zur Konfiguration der Einstellungen für die Azure AD Synchronisierung. 2. Richten Sie Ihre Azure-Anwendungen ein, falls erforderlich. Tipp: Klicken Sie auf den Link zu den Anweisungen, falls Sie dazu Hilfe benötigen. Sie können diesen Schritt überspringen, wenn Sie bereits eine Azure-Anwendung eingerichtet haben. 3. So konfigurieren Sie die Azure Sync-Einstellungen: a) Geben Sie die Client-ID ein. b) Legen Sie die Mandantendomäne fest. c) Geben Sie den Anwendungsschlüssel ein und legen Sie fest, wie lange dieser gültig sein soll. Sie müssen kein Ablaufdatum festlegen. Dies ist jedoch zu empfehlen, damit Sophos Central Ihnen kurz vor Ablauf des Schlüssels eine Benachrichtigung schicken kann. 4. Klicken Sie auf Verbindung testen, um die Azure Sync-Verbindung zu überprüfen. 5. Klicken Sie auf Speichern. Die Synchronisierung beginnt. Dieser Vorgang kann einige Zeit in Anspruch nehmen.
15.2 Rollenverwaltung Sie können Sicherheitsaufgaben mithilfe vordefinierter Administrationsrollen entsprechend der Verantwortungsebene der Administratoren verteilen. Auf der Seite Systemeinstellungen > Rollenverwaltung wird eine Liste der Administrationsrollen und die Anzahl der jeder Rolle zugewiesenen Benutzer angezeigt. Wichtig: Sie sehen diese Option nur, wenn Sie Superadmin-Administrator sind. Klicken Sie auf einen Rollennamen, um eine detaillierte Beschreibung der Rolle und die Namen der Personen, denen die betreffende Rolle zugewiesen wurde, anzuzeigen. Sie können die einer bestimmten Rolle zugewiesenen Personen auf der Seite der betreffenden Rolle verwalten. Wichtig: Eine Administratorrolle hat Einfluss auf die Handlungsmöglichkeiten.
15.2.1 Administrationsrollen Mithilfe von Administrationsrollen werden die Aufgaben zur Verwaltung der Sicherheit nach Verantwortungsebene verteilt. Sophos Central enthält mehrere vordefinierte Rollen. Diese Rollen können nicht bearbeitet oder gelöscht werden.
140
Hilfe
Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten. Hinweis: Die Rolle Benutzer hat nur Zugang zum Self-Service-Portal. Es gibt folgende Administrationsrollen:
Rolle
Administratoren mit dieser Rolle...
Administratoren mit dieser Rolle können nicht...
Beschränkungen Benutzeroberfläche
Superadmin
Haben Zugriff auf alles in Sophos Central.
Es gibt keine Einschränkungen.
Keine.
Wichtig: Es muss mindestens ein Administrator mit Superadmin-Rolle vorhanden sein.
Darüber hinaus können sie: Rollen und Rollenzuweisungen verwalten
Admin
Haben Zugriff auf alles in Sophos Central.
Rollen und Rollenzuweisungen verwalten.
Es werden keine Optionen für die Rollenverwaltung angezeigt.
Help Desk
Haben schreibgeschützten Zugriff auf alle Einstellungen in Sophos Central. Darüber hinaus können sie:
Rollen und Rollenzuweisungen verwalten. Darüber hinaus können sie nicht:
Es werden keine Optionen für die Rollenverwaltung angezeigt. Darüber hinaus:
Alerts empfangen und löschen. Die Sophos Agent-Software auf einem Computer aktualisieren. Computer scannen.
Richtlinien zuweisen. Sensible Protokolle oder Berichte einsehen. Einstellungen ändern.
Sensible Berichte und Protokolle werden nicht angezeigt. Alle anderen Optionen – abgesehen von denjenigen in Verbindung mit dem Empfangen und Löschen von Alerts – sind schreibgeschützt. Einige Optionen, wie die Schaltflächen zum Bearbeiten, werden nicht angezeigt.
Schreibgeschützt
Haben schreibgeschützten
Rollen und Es werden keine Rollenzuweisungen Optionen für die verwalten. Darüber Rollenverwaltung hinaus können sie nicht:
141
Sophos Central
Rolle
Administratoren mit dieser Rolle...
Zugriff auf alle Einstellungen in Sophos Central. Darüber hinaus können sie: Sensible Protokolle oder Berichte einsehen. Alerts empfangen.
Administratoren mit dieser Rolle können nicht...
Beschränkungen Benutzeroberfläche
Richtlinien zuweisen. angezeigt. Darüber hinaus: Einstellungen ändern. Alle Optionen sind schreibgeschützt. Alerts löschen. Die Sophos Agent-Software auf einem Computer aktualisieren.
Einige Optionen, wie die Schaltflächen zum Bearbeiten, werden nicht angezeigt.
Computer scannen.
Benutzer
Haben keine Administrationsrechte.
Rollen und Hat nur Zugriff auf das Rollenzuweisungen Self-Service-Portal. verwalten. Darüber hinaus können sie nicht: Richtlinien zuweisen. Einstellungen ändern. Alerts löschen. Die Sophos Agent-Software auf einem Computer aktualisieren. Computer scannen. Sensible Protokolle oder Berichte einsehen.
Berechtigungen Dies ist die Zugriffsebene für eine Rolle. Die Optionen lauten Vollständig, Helpdesk oder Read-only.
Zusätzliche Einstellungen Dies sind spezielle Funktionen für eine Rolle. Es gibt folgende Einstellungen: ■
Zugriff auf sensible Protokolle und Berichte: Diese Option bedeutet, dass ein Administrator sensible Protokolle und Berichte anzeigen kann, wie z. B. Audit-Protokolle.
■
Zugriff auf Richtlinienzuweisung zu Benutzern/Geräten: Diese Option bedeutet, dass ein Administrator Richtlinien zu Benutzern und Geräten zuweisen kann.
■
Benachrichtigungen: Diese Option bedeutet, dass ein Administrator Alerts empfangen und löschen kann. Hinweis: Read-only-Administratoren können nur Alerts empfangen.
142
Hilfe
Rollenmitglieder Dies ist eine Liste der Administratoren, die der Rolle zugewiesen sind. Klicken Sie auf einen Namen, um alle Details anzuzeigen (siehe Benutzerübersicht (Seite 50)). So fügen Sie Administratoren hinzu: Sie weisen Benutzern mit der Liste Verfügbare Benutzer Administrationsrollen zu.Vorhandene Administrationsrollen sind neben dem Namen des Benutzers angegeben. Hinweis: Ein Benutzer kann nur eine zugewiesene Rolle haben. Beispiel: Wenn Sie einen Read-only-Administrator zur Liste der Helpdesk-Administratoren hinzufügen, ändert sich deren zugewiesene Rolle in Helpdesk-Administrator. Sie sind dann keine Read-only-Administratoren mehr. 1. Klicken Sie auf Bearbeiten. Daraufhin öffnet sich das Fenster Rollenmitglieder bearbeiten. Hinweis: Sie sehen diese Option nur, wenn Sie Superadmin-Administrator sind. 2. Wählen Sie einen Benutzer in der Liste Verfügbare Benutzer aus und fügen Sie diesen mithilfe der Pfeile den Zugewiesenen Benutzern für die Rolle hinzu. Tipp: Geben Sie einen Namen oder einen Teil eines Namens in das Suchfeld ein, um die Liste der verfügbaren Benutzer zu filtern. So löschen Sie Administratoren: Wenn Sie die Administrationsrolle eines Benutzers entfernen, löschen Sie damit nicht den Benutzer. Hinweis: Sie können keinen Benutzer löschen, dem eine Administrationsrolle zugewiesen wurde. Sie müssen die zugewiesene Rolle entfernen, bevor Sie den Benutzer löschen können. 1. Klicken Sie auf Bearbeiten. Daraufhin öffnet sich das Fenster Rollenmitglieder bearbeiten. Hinweis: Sie sehen diese Option nur, wenn Sie Superadmin-Administrator sind. 2. Sie können zugewiesene Administratoren aus der Rolle entfernen, indem Sie einen Benutzer in der Liste Zugewiesene Benutzer auswählen und diesen dann mit den Pfeilen entfernen. Tipp: Geben Sie einen Namen oder einen Teil eines Namens in das Suchfeld ein, um die Liste der zugewiesenen Benutzer zu filtern.
15.3 Manipulationsschutz Sie können den Manipulationsschutz für alle Ihre Server und Computer Ihrer Benutzer konfigurieren. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Wenn der Manipulationsschutz aktiviert ist, kann ein lokaler Administrator auf deren Computern die folgenden Änderungen nicht vornehmen, wenn er nicht das nötige Kennwort hat: ■
Einstellungen für On-Access-Scans, die Erkennung von verdächtigem Verhalten (HIPS), Web Protection oder Sophos Live Protection ändern
■
den Manipulationsschutz deaktivieren
■
Deinstallieren Sie die Sophos Agent-Software.
143
Sophos Central
Hinweis: Sie können die Einstellungen für ein einzelnes Gerät oder einen Server ändern. Öffnen Sie die Detailseite des Geräts und wählen Sie die Registerkarte Manipulationsschutz. Dort können Sie das Kennwort anzeigen, ein neues erstellen oder den Manipulationsschutz für dieses Gerät vorübergehend deaktivieren.
15.4 Verwaltung API-Tokens Auf der Seite Systemeinstellungen > Verwaltung API-Tokens können Sie die für den sicheren Zugriff auf die Integrations-API für Security Information and Event Management (SIEM) verwendeten Tokens erzeugen und verwalten. Damit können Sie neue Ereignis- und Warnhinweisdaten von Sophos Central abrufen. Um nähere Informationen zu erhalten, klicken Sie auf den Knowledgebase-Link auf der Seite. So fügen Sie ein Token hinzu: 1. Klicken Sie auf Token hinzufügen. 2. Geben Sie einen Tokennamen ein und klicken Sie auf Speichern. Damit wird das API-Token erzeugt. Das Token ist ein Jahr gültig. Klicken Sie auf Verlängern um die Gültigkeit des Token zu verlängern. Klicken Sie auf Löschen, um das Token zu entfernen. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
15.5 Website-Management Diese Seite ist nicht verfügbar, wenn Sie für Web Control oder Web Gateway nicht lizenziert sind. Sie können die Filterung der Webseiten von Sophos Central erweitern. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Auf der Seite Systemeinstellungen > Website-Management können Sie mithilfe einer Website-Liste: ■
die Nutzung von Websites zu steuern, die nicht zu einer der Sophos-Kategorien gehören.
■
Websites zu kategorisieren, um sie Gruppen zuzuweisen, zum Beispiel anhand benutzerdefinierter Kategorien. Sie können die Nutzung dieser Websites anschließend für bestimmte Benutzer mithilfe von Richtlinien steuern.
■
Die Sophos-Kategorie für eine Website überschreiben. Damit ändert sich die Kategorie der Website für alle Ihre Benutzer.
Hinweis: Wenn Sie der Ansicht sind, dass Sophos eine Website einer falschen Kategorie zugeordnet hat, können wir dies auf Anfrage ändern. Gehen Sie zu https://www.sophos.com/de-de/threat-center/reassessment-request.aspx. Wir empfehlen Ihnen diese Vorgehensweise, anstatt die Kategorie zu überschreiben. Um eine Website zu dieser Liste hinzuzufügen: 1. Klicken Sie oben rechts auf der Seite auf Hinzufügen. Das Dialogfeld Website-Anpassung hinzufügen erscheint.
144
Hilfe
2. Geben Sie die Websites ein. Bei den Einträgen in der Website-Liste kann es sich um einzelne URLs, vollständige Domains, TLDs, IP-Adressen, CIDR-Bereiche oder sogar Top-Level-Domains handeln. 3. Wählen Sie Kategorie überschreiben aktivieren, um eine bestimmte Kategorie mit den Webseiten zu verbinden, die Sie eingefügt haben. Wählen Sie anschließend eine Kategorie aus. 4. Wählen Sie Tags aktivieren, um ein Tag mit der Website zu verbinden, die Sie eingefügt haben. Geben Sie dann einen Namen für das Tag ein. Tags können bei der Erstellung von Web Control-Richtlinien auf der Seite Richtlinien verwendet werden. 5. Geben Sie einen Text in das Textfeld Kommentar ein. Es kann bei künftigen Fehlersuchen und Problemen mit Richtlinien hilfreich sein, Informationen zu Tags, die Sie erstellen, und zu Kategorien, die Sie überschreiben, zur Verfügung zu stellen. 6. Klicken Sie auf Speichern. Ihr Eintrag wird der Website-Liste hinzugefügt. Sie können auch Einträge in der Liste bearbeiten oder löschen. Um einen Eintrag zu bearbeiten, klicken Sie auf das Bearbeiten-Symbol befindet sich rechts neben dem Eintrag.
. Das Symbol
Um einen Eintrag zu löschen, aktivieren Sie das Kontrollkästchen links neben dem Eintrag und klicken Sie auf Löschen.
15.6 Registrierte Firewall-Geräte Auf der Seite Registrierte Firewall-Geräte werden die Sophos Firewalls angezeigt, die bei Sophos Central registriert sind. Sie haben auch die Möglichkeit, die Registrierung von Firewalls aufzuheben (Option „Verbindung trennen“). Hinweis: Sie können eine Sophos Firewall ausschließlich über die Firewall-Konsole registrieren (gehen Sie zu System > System Services > Security Heartbeat). Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Registrierte Firewalls Wenn eine Sophos Firewall bei Sophos Central registriert ist, können Ihre Computer regelmäßige Berichte über ihren Sicherheitsstatus bzw. ihre Integrität an die Firewall senden. Diese Berichte werden als „Security Heartbeats“ bezeichnet. Ist mehr als eine Firewall registriert, senden Computer die Security Heartbeats an die nächstgelegene verfügbare Firewall. Wenn aus den „Security Heartbeat“-Berichten hervorgeht, dass ein Computer kompromittiert worden sein könnte, kann die Firewall den Netzwerkzugriff des Computers beschränken. Der Firewall- und der Sophos Central-Administrator erhalten außerdem auch Warnhinweise mit Informationen, wie die Integrität des Computers wiederhergestellt werden kann.
145
Sophos Central
Firewalls anzeigen Auf dieser Seite werden Ihnen Details zu Firewalls angezeigt, die bei Sophos Central registriert sind: ■
Name
■
IP-Adresse
■
Aktiv. Hieraus geht hervor, ob die Firewall innerhalb der letzten Stunde Security Heartbeats empfangen hat.
Um nach einer Firewall zu suchen, geben Sie den Namen in das Feld Nach Firewall suchen ein. Während Sie tippen, wird die Liste gefiltert und es werden nur mit Ihren Angaben übereinstimmende Firewalls angezeigt.
Registrierung von Firewalls aufheben Sie können die Registrierung von bei Sophos Central registrierten Firewalls aufheben. Wenn Sie eine Firewall beispielsweise nicht mehr nutzen, können Sie deren Registrierung aufheben, sodass sie nicht mehr hier angezeigt wird. Heben Sie die Registrierung einer Firewall auf, bleiben die ihr zugeordneten Computer weiterhin geschützt und verwaltet, aber die „Security Heartbeats“-Funktion funktioniert nicht mehr. 1. Wählen Sie eine oder mehrere Firewalls aus, deren Registrierung Sie aufheben möchten. 2. Klicken Sie oben rechts auf der Seite auf die Schaltfläche Verbindung trennen. 3. Klicken Sie bei Aufforderung auf OK, um zu bestätigen, dass Sie die Registrierung der Firewalls aufheben möchten. Die ausgewählten Firewalls werden aus der Liste entfernt. Wenn Sie die Registrierung aller Firewalls aufheben, wird diese Seite weiterhin angezeigt und Sie können nach wie vor alte Ereignisse und Warnhinweise zum „Security Heartbeat“-Feature einsehen.
15.7 Globale Scan-Ausschlüsse Sie können Dateien, Websites und Anwendungen vom Scan nach Bedrohungen ausschließen. So können Sie zum Beispiel eine Aktivität von weit verbreiteten Anwendungen ausschließen, um den Einfluss des Scans auf die Leistung zu reduzieren. Hinweis: Diese Ausschlüsse werden auf alle Ihre Benutzer (und deren Geräte) angewendet. Wenn diese nur für bestimmte Benutzer oder Server gelten sollen, nutzen Sie stattdessen die Scan-Ausschlüsse in den Richtlinien. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). 1. Klicken Sie auf Ausschluss hinzufügen (rechts auf der Seite). Das Dialogfeld Scan-Ausschluss hinzufügen erscheint. 2. Wählen Sie in der Dropdownliste Ausschlusstyp einen Elementtyp aus, der ausgeschlossen werden soll (Datei oder Ordner, Website oder potentiell unerwünschte Anwendung).
146
Hilfe
3. Geben Sie im Textfeld Wert die gewünschte Eingabe ein. Es gelten die folgenden Regeln: ■
Datei oder Ordner (Windows). Sie können ein Laufwerk, einen Ordner oder eine Datei durch Angabe des vollständigen Pfads ausschließen. Für Dateititel oder -erweiterungen kann die Wildcard * verwendet werden, *.* ist jedoch nicht gültig. Beispiele: ■
Ordner: C:\programdata\adobe\photoshop\ (für einen Ordner einen Backslash hinzufügen).
■
Gesamtes Laufwerk: D:
■
Datei: C:\program files\program\*.vmg
Nähere Informationen zu Ausschlüssen für Windows-Server finden Sie unter Scan-Ausschlüsse für Windows: Wildcards und Variablen (Seite 124). ■
■
Datei oder Ordner (Mac/Linux). Sie können einen Ordner oder eine Datei ausschließen. Sie können die Wildcards ? und * verwenden. Beispiele: ■
/Volumes/excluded (Mac)
■
/mnt/hgfs/excluded (Linux)
Datei oder Ordner (virtueller Server). Auf Windows VM-Gastsystemen, die durch ein Sophos VM-Sicherheitssystem geschützt sind, können Sie ein Laufwerk, einen Ordner oder eine Datei mit Angabe des vollständigen Pfads ausschließen. Sie können die Wildcard-Zeichen * und ? verwenden, aber nur für Dateinamen. Nähere Informationen finden Sie unter Scan-Ausschlüsse für virtuelle Server: Wildcards (Seite 127).
■
Prozess (Windows). Sie können jeden Prozess einer Anwendung ausschließen. Dadurch werden auch die Dateien, die vom Prozess verwendet werden, ausgeschlossen (aber nur, der Prozess auf diese zugreift). Falls möglich, geben Sie den vollständigen Pfad der Anwendung und nicht nur den Prozessnamen an, der im Task-Manager angezeigt wird. Beispiel: ■
%PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe
Hinweis: Um alle Prozesse oder Elemente zu sehen, die Sie für eine Anwendung ausschließen müssen, schlagen Sie bitte in der Herstellerdokumentation der Anwendung nach. Hinweis: Sie können Wildcards und Variablen verwenden. ■
Website. Websites können in Form von IP-Adressen, IP-Adressbereichen (in CIDR Notation) oder Domänen angegeben werden. Beispiele: ■
IP-Adresse: 192.168.0.1
■
IP-Adressbereich: 192.168.0.0/24
■
■
■
Die Appendix /24 steht für die Anzahl der Bits des Präfix, die für alle IP-Adressen dieses Bereichs gilt. /24 entspricht der Netzmaske 11111111.11111111.11111111.00000000. In unserem Beispiel umfasst der Bereich alle IP-Adressen ab 192.168.0. Domäne: google.com
Potentiell unerwünschte Anwendung. Hier können Sie Anwendungen ausschließen, die in der Regel als Spyware erkannt werden. Verwenden Sie bei Angabe des Ausschlusses denselben Namen, unter welchem die Anwendung vom System erkannt wurde. Weitere Informationen zu PUAs finden Sie im Sophos Bedrohungs-Center.
147
Sophos Central
4. Bei Ausschlüssen von Dateien oder Ordnern geben Sie in der Dropdownliste Aktivieren für an, ob der Ausschluss für Echtzeit-Scans, geplante Scans oder beide gelten soll. 5. Klicken Sie auf Hinzufügen oder Weitere hinzufügen. Der Ausschluss wird der Liste der Scan-Ausschlüsse hinzugefügt. Um einen Ausschluss später zu bearbeiten, wählen Sie diesen in der Ausschlussliste aus, geben Sie neue Einstellungen ein und klicken Sie auf Aktualisieren.
15.8 Ausschlüsse für Exploit-Mitigation Diese Funktion ist möglicherweise noch nicht für alle Kunden verfügbar. Zu Exploits, die Sophos verhindern kann, gehören Application Hijacking und Exploits, die Sicherheitslücken in Browsern, Browser-Plugins, Java-Anwendungen, Medienanwendungen und Microsoft Office-Anwendungen ausnutzen. Sie können Anwendungen vom Schutz vor Sicherheits-Exploits ausnehmen. Beispielsweise haben Sie die Möglichkeit, eine fälschlicherweise als Bedrohung erkannte Anwendung ausschließen, bis das Problem behoben ist. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Auf der Seite Ausschlüsse für Exploit-Mitigation wird eine Liste der Anwendungen angezeigt, die vom Schutz vor Sicherheits-Exploits ausgeschlossen sind. Hinweis: Diese Anwendungen sind vom Exploit-Schutz für alle Ihre Benutzer und deren Geräte ausgenommen. Sie können nur Anwendungen ausschließen, die als Bedrohung erkannt wurden. So schließen Sie eine Anwendung aus: 1. Klicken Sie auf Ausschluss hinzufügen (rechts auf der Seite). Das Dialogfeld Ausschluss für Exploit-Mitigation hinzufügen wird angezeigt. 2. Wählen Sie im Dropdown-Menü Anwendung die Anwendung aus, die Sie ausschließen möchten. Die hier angezeigten Namen sind dieselben wie im Ereignisbericht. 3. Klicken Sie auf Hinzufügen oder Weitere hinzufügen. Der Ausschluss wird zur Liste Ausgeschlossene Anwendungen hinzugefügt. 4. Klicken Sie auf Speichern (rechts auf der Seite), um Ihre Änderungen der Liste zu speichern. Um später einen Ausschluss zu löschen, klicken Sie rechts neben dem Ausschluss, den Sie entfernen möchten, auf .
15.9 Bandbreitennutzung Sie können die Aktualisierung der Sophos Agent-Software auf Ihren Endpoint-Computern konfigurieren. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
148
Hilfe
Festlegen der genutzten Bandbreite Sophos Central begrenzt die Bandbreite, die für die Updates verwendet wird. Die Standardbeschränkung liegt zurzeit bei 256 Kbps. Auf diese Weise wird sichergestellt, dass die Computer durch die Aktualisierung nicht verlangsamt werden. Sie können eine benutzerdefinierte Bandbreite oder unbegrenzte Bandbreite festlegen. Hinweis: Diese Einstellung betrifft nur Windows-Computer. Hinweis: Diese Einstellung gilt nicht für die Erstinstallation der Sophos Agent-Software oder für Updates, die über die Sophos Update-Caches (Seite 149) aktualisiert wurden.
15.10 Update-Cache verwalten Mit Sophos Update-Cache können Ihre Computer ihre Sophos Central-Updates aus einem Cache auf einem Server in Ihrem Netzwerk beziehen statt direkt von Sophos. Das schont Ihre Bandbreite, da Updates nur einmalig vom Server heruntergeladen werden müssen. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Wenn Sie auf einem Server einen Cache einrichten, führt Sophos Central Folgendes durch: ■
Installiert die Sophos Cachesoftware.
■
Ruft Updates von Sophos ab und legt diese in einem Cache ab.
■
Konfiguriert automatisch Windows-Computer in Ihrem Netzwerk, die Updates von einem Cache beziehen sollen.
Die Verwendung von Caches hat keinen Einfluss auf die Häufigkeit oder den Zeitpunkt von Computer-Updates. Hinweis: Workstations und Server können beide Updates über einen Cache beziehen. Hinweis: Windows Vista- und XP-Workstations können keine Updates von einem Cache beziehen.
Cache einrichten Stellen Sie vor der Einrichtung eines Caches Folgendes sicher: ■
Der Server hat mind. 5 GB freien Festplattenspeicher.
■
Port 8191 ist für Computer, die Updates von dem Cache beziehen sollen, verfügbar und erreichbar. Hinweis: Der Update-Cache-Installer öffnet Port 8191 in der Windows Firewall. Bei Deinstallation des Update-Caches wird der Port wieder geschlossen.
So richten Sie einen Cache ein: 1. Gehen Sie zur Seite Systemeinstellungen > Update-Cache verwalten. 2. Klicken Sie im Filter über der Tabelle auf den Dropdown-Pfeil und wählen Sie Cache-fähige Server, um zu sehen, welche Server für einen Cache geeignet sind. Wenn Sie bereits einen Cache auf bestimmten Servern eingerichtet haben, können Sie diese ausblenden, indem Sie Server ohne Update-Cache auswählen. 3. Wählen Sie den/die Server aus, auf dem/denen Sie einen Cache einrichten möchten.
149
Sophos Central
4. Klicken Sie auf Cache einrichten.
Cache entfernen Wenn Sie einen Cache entfernen, geschieht Folgendes: ■
Sophos Central deinstalliert die Caching-Software, entfernt den Cache der heruntergeladenen Updates und schließt Port 8191 in der Windows Firewall.
■
Computer, die derzeit Updates von diesem Server beziehen, werden automatisch so umkonfiguriert, dass sie Updates von einem anderen Update-Cache erhalten (falls verfügbar).
Wenn Sie alle Caches entfernen, beziehen die Computer ihre Updates direkt von Sophos. So entfernen Sie einen Cache: 1. Gehen Sie zur Seite Systemeinstellungen > Update-Cache verwalten. 2. Klicken Sie im Filter über der Tabelle auf den Dropdown-Pfeil und wählen Sie Server mit Update-Cache, um zu sehen, für welche Server ein Cache eingerichtet ist. 3. Wählen Sie den/die Server aus, von dem/denen Sie einen Cache entfernen möchten. 4. Klicken Sie auf Cache entfernen.
15.11 iOS-Einstellungen für MDM Wenn Sie mobile iOS-Geräte mit MDM (Mobile Device Management) schützen möchten, benötigen Sie ein gültiges Zertifikat für Apple Push (APNs), damit Sophos Central mit iOS-Geräten kommunizieren kann. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Sie können ein Zertifikat erstellen (Seite 150) oder ein bestehendes Zertifikat erneuern (Seite 151); gehen Sie hierzu auf die Seite Systemeinstellungen > iOS-Einstellungen für MDM. Hinweis: Wenn Ihr APNs-Zertifikat bald abläuft, erneuern Sie es so schnell wie möglich, damit jederzeit eine Kommunikation zwischen Sophos Central und Ihren iOS-Geräten möglich ist. Hinweis: Wenn Sie nur Android-Geräte schützen möchten, benötigen Sie kein APNs-Zertifikat.
15.11.1 APNs-Zertifikat erstellen Voraussetzung für diesen Prozess ist, dass Sie noch kein Zertifikat für Apple Push (APNs) zu Sophos Central hinzugefügt haben. Wie Sie ein bestehendes APNs-Zertifikat erneuern, lesen Sie unter APNs-Zertifikat erneuern (Seite 151). Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). 1. Auf der Seite iOS-Einstellungen für MDM klicken Sie auf Jetzt iOS-Unterstützung aktivieren. Das Dialogfeld Einrichtung iOS-Unterstützung wird angezeigt.
150
Hilfe
2. Beim Schritt Certificate Signing herunterladen klicken Sie auf Certificate Signing Request herunterladen. Die Datei der Zertifikatssignieranfrage apple.csr wird auf Ihrem lokalen Computer gespeichert. 3. Sie benötigen eine Apple-ID. Wenn Sie bereits eine ID haben, empfehlen wir dennoch, dass Sie eine neue ID zur Nutzung mit Sophos Central erstellen. Beim Schritt Apple-ID erstellen klicken Sie auf Apple-ID erstellen. Die Homepage von Apple wird geöffnet, wo Sie eine Apple-ID für Ihr Unternehmen erstellen können. Hinweis: Speichern Sie die Zugangsdaten an einem sicheren Ort, wo auch Ihre Kollegen darauf zugreifen können. Ihr Unternehmen benötigt diese Zugangsdaten, um das Zertifikat jedes Jahr zu erneuern. 4. Beim Schritt APNs-Zertifikat erstellen/erneuern klicken Sie auf Apple Push Certificate Portal. Das Apple Push Certificate Portal wird geöffnet. 5. Melden Sie sich mit Ihrer Apple-ID an und laden Sie die zuvor vorbereitete Datei der Zertifikatssignier-Anfrage apple.csr hoch. Laden Sie das APNS-Zertifikat (.pem-Datei) herunter und speichern Sie es auf Ihrem Computer. 6. Beim Schritt APNs-Zertifikat hochladen geben Sie Ihre Apple-ID ein. Klicken Sie dann auf Durchsuchen. Wählen Sie die .pem-Datei, die Sie vom Apple Push Certificate Portal erhalten haben. 7. Klicken Sie auf Speichern, um das APNs-Zertifikat zu Sophos Central hinzuzufügen, und schließen Sie das Dialogfeld. Nachdem Sie ein APNs-Zertifikat erstellt haben, werden die Zertifikatsdetails auf der Seite angezeigt.
15.11.2 APNs-Zertifikat erneuern Voraussetzung für diesen Prozess ist, dass Sie bereits ein Zertifikat für Apple Push (APNs) zu Sophos Central hochgeladen haben und dieses bald ausläuft und erneuert werden muss. Wie ein APNs-Zertifikat erstmalig erstellt und hochgeladen wird, lesen Sie unter APNs-Zertifikat erstellen (Seite 150). Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). 1. Auf der Seite iOS-Einstellungen für MDM notieren Sie sich die Apple-Id, die im Abschnitt Details angezeigt wird. Diese Apple-ID wurde verwendet, um das APNSs-Zertifikat erstmalig zu erstellen. Dieselbe Apple-ID muss auch bei der Erneuerung verwendet werden. 2. Klicken Sie im linken Fensterbereich auf Erneuern. Das Dialogfeld APNs-Zertifikat erneuern wird angezeigt. 3. Überspringen Sie die Schritte Certificate Signing herunterladen und Apple-ID erstellen. Diese Schritte sind nur erforderlich, wenn Sie zum ersten Mal ein APNS-Zertifikat für Sophos Cloud erstellen. 4. Beim Schritt APNs-Zertifikat erstellen/erneuern klicken Sie auf Apple Push Certificate Portal. Das Apple Push Certificate Portal wird geöffnet.
151
Sophos Central
5. Melden Sie sich beim Apple Push Certificate Portal mit Ihrer Apple-ID an und führen Sie folgende Schritte aus: a) Wenn mehr als ein Zertifikat in Ihrer Übersicht vorhanden ist, suchen Sie nach dem Zertifikat, das erneuert werden muss. Verwenden Sie hierzu die Zertifikatsdaten, die Sie im Vorfeld gesehen haben. b) Klicken Sie neben dem Zertifikat auf Herunterladen, um die .pem Datei des APNs-Zertifikats auf Ihrem Computer zu speichern. 6. Beim Schritt APNs-Zertifikat hochladen im Sophos Central-Dialog überprüfen Sie, dass die angezeigte Apple-ID der entspricht, die Sie für das Zertifikat verwendet haben, und klicken anschließend auf Durchsuchen. Wählen Sie die .pem-Datei, die Sie vom Apple Push Certificate Portal erhalten haben. 7. Klicken Sie auf Speichern, um das APNs-Zertifikat zu Sophos Central hinzuzufügen, und schließen Sie das Dialogfeld. Hinweis: Vorgehensweise, wenn Sie Ihr Zertifikat nicht erneuern können Falls Sie das Zertifikat nicht erneuern können, müssen Sie ein neues APNs-Zertifikat erstellen und hochladen. Dies bedeutet jedoch, dass Sie alle Ihre Geräte neu anmelden müssen. Das können Sie auf zwei Weisen tun: ■
■
Gehen Sie zu Mobilgeräte und entfernen Sie die Geräte aus Sophos Central. Senden Sie anschließend eine neue Einrichtungs-E-Mail an Ihre Benutzer, damit diese ihre Geräte erneut anmelden können. Da die App weiterhin installiert ist, ist der erste Schritt aus der Einrichtungs-E-Mail nicht notwendig. Alternativ können die Benutzer das Sophos Central-Profil manuell von ihren Geräten entfernen und die Konfiguration, wie in der Einrichtungs-E-Mail beschrieben, wiederholen. Benutzer können auch ihre ursprüngliche Bereitstellungs-E-Mail verwenden. Das Gerät stellt seinen Status von Von Benutzer dekommissioniert zurück auf Verwaltet.
15.12 Exchange-Einstellungen Auf der Seite Systemeinstellungen > Exchange-Einstellungen geben Sie die Microsoft Exchange-E-Mail Einstellungen ein, mit welchen die Benutzer ihre Unternehmens-E-Mails auf ihren Mobilgeräten abrufen können. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Die Einstellungen, die Sie hier eingeben, können später zu einer Benutzerrichtlinie hinzugefügt werden. Die Einstellungen gelten dann für alle Benutzer (und ihre Mobilgeräte), denen die Richtlinie zugewiesen wurde. Hinweis: Aufgrund von OS-Beschränkungen können Sie diese Einstellungen nur für iOSund folgende Android-Geräte einrichten: ■
Samsung SAFE Version 2 oder höher
■
LG GATE Version 1.0 oder höher
■
SONY Enterprise API Version 4 oder höher
So fügen Sie eine neue Exchange-Einstellung hinzu: 1. Klicken Sie auf Hinzufügen (rechts auf der Seite). Das Dialogfeld Exchange-Einstellungen hinzufügen erscheint.
152
Hilfe
2. Geben Sie in das Textfeld Serveradresse die Adresse des Microsoft Exchange Servers an. Beispiel: mail.mycompany.com Hinweis: Falls erforderlich, können Sie mehrere Exchange-Einstellungen mit derselben Serveradresse konfigurieren. 3. Geben Sie im Textfeld Domäne optional Ihren Domänennamen ein, wenn dies zur Authentifizierung beim Exchange-Server notwendig ist. 4. Wählen Sie aus der Dropdownliste Synchronisierungszeitraum den Zeitraum für die E-Mail-Synchronisierung. Nur E-Mails aus diesem Zeitraum werden mit dem Mobilgerät synchronisiert. Wenn Sie beispielsweise Zwei Wochen auswählen, werden nur die E-Mails von den letzten zwei Wochen synchronisiert. 5. Aktivieren Sie SSL verwenden, um eine sichere Verbindung (https) zur Kommunikation mit dem Exchange-Server zu verwenden. Dies muss auch auf dem Exchange-Server konfiguriert werden. 6. Wählen Sie in der Dropdownliste Kontoinformationen, ob Sie die Exchange-Einstellungen für ein bestimmtes Benutzerkonto konfigurieren möchten. Sie haben die folgenden Optionen: ■
■
■
Daten aus den Benutzerinformationen von Sophos Central übernehmen. Hierbei werden die E-Mail-Adresse und der Exchange-Login verwendet, die angegeben wurden, als der Benutzer hinzugefügt wurde. Um diese Daten zu prüfen, gehen Sie auf die Seite Benutzer und klicken Sie auf den Namen des Benutzers. Daten aus den Benutzerinformationen von Sophos Central mit E-Mail-Adresse als Anmeldename übernehmen. Hiermit wird die angegebene E-Mail-Adresse verwendet, wenn der Benutzer sowohl für den Anmeldename sowie für die E-Mail-Adresse des Exchange-Kontos hinzugefügt worden ist. Informationen für einen einzelnen Benutzer festlegen. Geben Sie für einen Benutzer spezifische Kontoinformationen ein. Für alle Benutzer, für welche die Exchange-Einstellungen gelten, werden dieselben Kontoinformationen verwendet.
Wenn Sie Informationen für einen einzelnen Benutzer festlegen ausgewählt haben, legen Sie in den folgenden zwei Feldern die Kontoinformationen fest. 7. Geben Sie im Textfeld Exchange-Login den Anmeldenamen des Exchange-Kontos ein. 8. Geben Sie im Textfeld Exchange-E-Mail die E-Mail-Adresse des Exchange-Kontos ein. 9. Klicken sie auf Speichern. Die Einstellungen werden zur Liste der Exchange-Einstellungen hinzugefügt. Um eine Exchange-Einstellung später zu bearbeiten, klicken Sie auf die Serveradresse in der Liste der Exchange-Einstellungen, geben Sie neue Einstellungen ein und klicken Sie auf Speichern. Um die Einstellungen auf Ihre Benutzer anzuwenden, fügen Sie diese zum Abschnitt Mobile Device Management einer Benutzerrichtlinie hinzu. Die Einstellungen gelten dann für alle Benutzer (und ihre Mobilgeräte), denen die Richtlinie zugewiesen wurde.
15.13 WLAN-Einstellungen Auf der Seite Systemeinstellungen > WLAN-Einstellungen konfigurieren Sie das Verbinden von Mobilgeräten mit Drahtlosnetzwerken. Für diese Geräte ist keine manuelle Konfiguration notwendig; die Geräte können sich automatisch mit den jeweiligen Netzwerken verbinden. Die Einstellungen, die Sie hier eingeben, können zu einer Benutzerrichtlinie hinzugefügt werden. Die Einstellungen gelten dann für alle Benutzer (und ihre Mobilgeräte), denen die Richtlinie zugewiesen wurde.
153
Sophos Central
Hinweis: WLAN-Einstellungen, die nur für iOS-Geräte gelten, werden mit dem iOS-Symbol markiert. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). So fügen Sie eine neue WLAN-Einstellung hinzu: 1. Klicken Sie auf Hinzufügen (rechts auf der Seite). Das Dialogfeld WLAN-Einstellungen hinzufügen erscheint. 2. Geben Sie im Textfeld Netzwerkname (SSID) die ID des Drahtlosnetzwerks ein. Beispiel: MyCompanyWiFi Hinweis: Falls erforderlich, können Sie mehrere WLAN-Einstellungen mit derselben SSID konfigurieren. 3. Wählen Sie aus der Dropdownliste Sicherheitstyp den Sicherheitstyp, der vom Netzwerk verwendet wird. 4. Wenn Sie als Sicherheitstyp nicht Keinen gewählt haben, geben Sie in das Textfeld Kennwort das Kennwort für das Verbinden mit dem Netzwerk ein. 5. Aktivieren Sie die Option Automatisch verbinden, damit das Mobilgerät sich automatisch mit dem Netzwerk verbindet, sobald dieses verfügbar ist. 6. Aktivieren Sie Ausgeblendetes Netzwerk, wenn das Netzwerk als verborgen konfiguriert ist. Ausgeblendeten Netzwerke können vom Gerät bei der Netzwerksuche nicht gefunden werden. 7. Im Abschnitt Proxy-Einstellungen können Sie einen Proxy konfigurieren, der für die WLAN-Verbindung verwendet wird. In der Dropdownliste Typ wählen Sie den Konfigurationstyp. Sie haben die folgenden Optionen: ■ ■
Keine. Keinen Proxy verwenden. Automatisch. Verwenden Sie einen Proxy und konfigurieren Sie diesen automatisch per PAC (Proxy Auto Configuration). Bei Auswahl dieser Option muss zudem die URL der PAC-Datei des Proxy-Servers angegeben werden.
■
Manuell. Verwenden Sie einen Proxy und konfigurieren Sie diesen manuell. Wenn Sie diese Option auswählen, müssen Sie die Serveradresse und den Port des Proxys sowie, falls zur Verbindungserstellung mit dem Proxy eine Authentifizierung erforderlich ist, den Benutzernamen und das Kennwort eingeben.
8. Klicken sie auf Speichern. Die Einstellungen werden zur Liste der WLAN-Einstellungen hinzugefügt. Um eine WLAN-Einstellung später zu bearbeiten, klicken Sie auf die SSID in der Liste der WLAN-Einstellungen, geben Sie neue Einstellungen ein und klicken Sie auf Speichern. Um die Einstellungen auf Ihre Benutzer anzuwenden, fügen Sie diese zum Abschnitt Mobile Device Management einer Benutzerrichtlinie hinzu. Die Einstellungen gelten dann für alle Benutzer (und ihre Mobilgeräte), denen die Richtlinie zugewiesen wurde.
15.14 Domains und Adressen erlauben/blockieren Die Liste Erlauben/Blockieren ist Teil von Email Security; diese Option ist nur verfügbar, wenn Sie eine Sophos Email-Lizenz besitzen.
154
Hilfe
Email Security bietet Schutz vor Spam. Sofern noch nicht geschehen, richten Sie Email Security ein (siehe Email Security einrichten (Seite 157)). Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Listen für Erlaubnisse und Blockierungen helfen Ihnen, Spam zu kontrollieren. Erstellen Sie eine Liste von E-Mail-Domains und -Adressen, denen Sie vertrauen oder nicht vertrauen. Dies Liste ist global und gilt für alle geschützten Posteingänge. Sie können eine gesamte Domain oder einzelne E-Mail-Adressen blockieren oder erlauben. Die Domain oder E-Mail-Adresse wird der Liste hinzugefügt und entweder als erlaubt oder blockiert angezeigt. Auf der Seite Systemeinstellungen > Email Security > Erlauben/Blockieren können Sie: ■
Eine erlaubte Domain oder Adresse hinzufügen (Seite 155)
■
Eine blockierte Domain oder Adresse hinzufügen (Seite 155)
■
Eine Domain oder Adresse entfernen (Seite 156)
Eine erlaubte Domain oder Adresse hinzufügen So fügen Sie eine erlaubte Domain oder Adresse hinzu: 1. Klicken Sie rechts auf der Seite über der Liste Erlauben/Blockieren auf Hinzufügen. 2. Wählen Sie in der Dropdownliste Erlaubnis hinzufügen aus. 3. Geben Sie einen einzelnen Domainnamen oder eine E-Mail-Adresse in das Textfeld E-Mail-Adresse oder Domain ein. Beispiel: example.com oder
[email protected]. 4. Klicken Sie auf OK. Die erlaubte E-Mail-Adresse oder Domain wird der Liste Erlauben/Blockieren hinzugefügt. Hinweis: Wenn die Domain oder E-Mail-Adresse in der Liste als blockierte Domain oder E-Mail-Adresse aufgeführt ist, können Sie diese Einstellung überschreiben. Der Status „Blockiert“ wird für die E-Mail Domain oder -Adresse auf „Erlaubt“ gesetzt.
Eine blockierte Domain oder Adresse hinzufügen So fügen Sie eine blockierte Domain oder Adresse hinzu: 1. Klicken Sie rechts auf der Seite über der Liste Erlauben/Blockieren auf Hinzufügen. 2. Wählen Sie in der Dropdown-Liste Blockierung hinzufügen aus. 3. Geben Sie einen einzelnen Domainnamen oder eine E-Mail-Adresse in das Textfeld E-Mail-Adresse oder Domain ein. Beispiel: example.com oder
[email protected]. 4. Klicken Sie auf OK. Die blockierte E-Mail-Adresse oder Domain wird der Liste Erlauben/Blockieren hinzugefügt. Hinweis: Wenn die Domain oder E-Mail-Adresse in der Liste als erlaubte Domain oder E-Mail-Adresse aufgeführt ist, können Sie diese Einstellung überschreiben. Der Status „Erlaubt“ wird für die E-Mail Domain oder -Adresse auf „Blockiert“ gesetzt.
155
Sophos Central
Eine Domain oder Adresse entfernen So entfernen Sie eine Domain oder Adresse: 1. Wählen Sie den Eintrag, den Sie aus der Liste „Erlauben/Blockieren“ entfernen möchten. 2. Klicken Sie rechts auf der Seite über der Liste Erlauben/Blockieren auf Löschen. 3. Klicken Sie auf Ja zur Bestätigung der Löschung.
15.15 Email Security-Einstellungen Email Security ist nur verfügbar, wenn Sie über eine Sophos Email-Lizenz verfügen. Email Security bietet Schutz vor Spam. Sofern noch nicht geschehen, richten Sie Email Security ein (siehe Email Security einrichten (Seite 157)). Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Sie können geschützte E-Mail-Domains auf der Seite Systemeinstellungen > Email Security > Einstellungen mithilfe der nachfolgend beschriebenen Optionen konfigurieren und verwalten. ■
Eine Domain hinzufügen (Seite 156).
■
Eine Domain löschen (Seite 157).
■
Eine Domain bearbeiten (Seite 157)
Eine Domain hinzufügen So fügen Sie eine Domain hinzu: 1. Klicken Sie auf Domain hinzufügen (rechts auf der Seite). Tipp: Anweisungen zur Einrichtung Ihrer Domain bei gängigen Anbietern stehen zur Verfügung. Beispiel: Office 365. So rufen Sie die Anweisungen auf: 1. 2. 3. 4.
Klappen Sie Informationen zum Konfigurieren von externen Abhängigkeiten auf. Klicken Sie auf Anweisungen für Anbieter. Klicken Sie auf den Link für Office 365. Die Informationen helfen Ihnen bei der Konfiguration Ihrer E-Mail-Domain.
2. Im Textfeld E-Mail-Domain geben Sie Ihre E-Mail-Domain ein. Beispiel: example.com. Der Domänenbesitz muss verifiziert werden, bevor E-Mails über Sophos Central zugestellt werden. Fügen Sie zur Verifizierung des Domänenbesitzes einen TXT-Eintrag zu Ihrer Domain hinzu. Das Hinzufügen dieses Eintrags hat keine Auswirkung auf Ihre E-Mail- oder sonstigen Dienste. 3. Klicken Sie auf Domänenbesitz verifizieren. 4. Verwenden Sie die Details unter Domänenbesitz verifizieren, um den TXT-Eintrag zu Ihrem Domain Name Server (DNS) hinzuzufügen. Hinweis: Es kann bis zu 10 Minuten dauern, bis die Daten übernommen wurden. 5. Klicken Sie auf Verifizieren.
156
Hilfe
Hinweis: Sie können keine nicht verifizierte Domain speichern. Korrigieren Sie etwaige Probleme mit der Verifizierung des Domänenbesitzes. 6. Wählen Sie aus der Dropdownliste Zieladresse, ob Sie einen E-Mail-Host oder einen MX-Datensatz (Mail Exchanger) verwenden möchten. Hinweis: Wenn Sie mehrere Zieladressen nutzen möchten, müssen Sie einen Mail Exchange-Datensatz verwenden. a. Wenn Sie E-Mail-Host gewählt haben, geben Sie eine IP-Adresse oder einen FQDN (Fully Qualified Domain Name) in das Textfeld IP/FQDN ein. Beispiel: 111.111.11.111 oder
[email protected]. b. Wenn Sie MX ausgewählt haben, geben Sie in das Textfeld FQDN einen FQDN ein. Beispiel:
[email protected]. 7. Geben Sie im Textfeld Port die Port-Daten Ihrer E-Mail-Domain ein. 8. Klappen Sie Informationen zum Konfigurieren von externen Abhängigkeiten auf. Auf der Registerkarte Einstellungen E-Mail-Routing werden die Sophos Zustell-IP-Adressen und Werte der MX-Einträge für die Konfiguration des E-Mail-Flusses für Ihre Region angezeigt. a. Notieren Sie die benötigten Einstellungen, damit Sie wissen, welcher eingehende SMTP-Datenverkehr zugelassen werden muss. b. Konfigurieren Sie den E-Mail-Fluss für Email Security. 9. Klicken Sie auf Speichern, um Ihre Einstellungen zu prüfen. 10. Klicken Sie auf den Link für die Basisrichtlinie, um Spamschutz zu konfigurieren (siehe Email Security konfigurieren (Seite 115). Wichtig: Der Spamschutz wird standardmäßig auf alle geschützten Posteingänge angewendet. Bitte überprüfen Sie, ob Sie die korrekten Einstellungen eingegeben haben. Sie können jederzeit weitere Domains hinzufügen.
Löschen einer Domain So löschen Sie eine Domain: 1. Klicken Sie rechts neben der Domain, die Sie entfernen möchten, auf
.
Eine Domain bearbeiten So bearbeiten Sie eine Domain: 1. Klicken Sie auf den Domain-Namen in der Liste, ändern Sie die Einstellungen und klicken Sie auf Speichern.
15.15.1 Email Security einrichten Email Security bietet Schutz vor Spam. Email Security ist nur verfügbar, wenn Sie über eine Sophos Email-Lizenz verfügen. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). So verwenden Sie Email Security:
157
Sophos Central
1. Stellen Sie sicher, dass die Benutzer und E-Mail-Adressen, die Sie schützen möchten, zu Sophos Central hinzugefügt wurden. Entsprechende Anweisungen finden Sie unter E-Mail-Adressen hinzufügen (Seite 158) oder Benutzer und E-Mail-Adressen hinzufügen (Seite 158) weiter unten. 2. Fügen Sie Ihre geschützten E-Mail-Domains hinzu (siehe Email Security-Einstellungen (Seite 156)). 3. Konfigurieren Sie den Spamschutz in der Basisbenutzerrichtlinie (siehe Email Security konfigurieren (Seite 115)). 4. Richten Sie globale Spamkontrollen mithilfe von Listen zum Erlauben und Blockieren von Absendern ein (siehe Domains und Adressen erlauben/blockieren (Seite 154)). Hinweis: Benutzer ohne E-Mail-Adresse werden nicht geschützt. E-Mails an eine E-Mail-Adresse, die mit keinem Benutzer verbunden ist, werden zugestellt.
E-Mail-Adressen hinzufügen Bei Benutzern ohne E-Mail-Adressen müssen Sie E-Mail-Daten hinzufügen. Sie können hierzu Ihre Active Directory-Synchronisierung aktualisieren und dann Ihre E-Mail-Domains hinzufügen. Verfahren Sie hierzu wie folgt: 1. Auf der Seite Systemeinstellungen > E-Mail- > Sicherheitseinstellungen klicken Sie auf den Link, um die Einstellungen der E-Mail-Verbindung zu konfigurieren. 2. Klicken Sie auf den Link im Dialogfeld Einrichtung Email Security, um die neueste Version des AD Sync Tools herunterzuladen und Ihre Benutzer neu zu synchronisieren. Sehen Sie hierzu auch Einrichtung der Synchronisierung mit Active Directory (Seite 138). 3. Sie können dann Ihre E-Mail-Domains hinzufügen, indem Sie auf Weiter klicken.
Benutzer und E-Mail-Adressen hinzufügen Falls Sie ein neuer Kunde ohne Benutzer oder Posteingänge sind, müssen Sie Benutzer und Posteingänge hinzufügen. Verfahren Sie hierzu wie folgt: 1. Auf der Seite Systemeinstellungen > E-Mail- > Sicherheitseinstellungen klicken Sie auf den Link, um die Einstellungen der E-Mail-Verbindung zu konfigurieren. Das Dialogfeld Einrichtung Email Security wird angezeigt. 2. Um Benutzer und Posteingänge (als neuer Kunde) hinzuzufügen, können Sie entweder das AD Sync Tool verwenden oder Posteingänge importieren. Klicken Sie auf den entsprechenden Link. ■
Laden Sie unser Ad Sync Tool herunter und synchronisieren Sie Ihre Benutzer und deren E-Mail-Adressen.
■
Nutzen Sie die Funktion zum Import von Posteingängen, um Ihre Benutzer und deren E-Mail-Adressen zu importieren. Hinweis: Wenn Sie Office 365 verwenden, kommt nur diese Option in Frage.
3. So importieren Sie Posteingänge: a. Klicken Sie im Dialogfeld Import Posteingänge auf den Link zum Herunterladen einer CSV-Vorlagendatei. Sie können zwischen einer leeren Vorlage oder einer Vorlage mit Beispieldaten wählen. b. Erstellen Sie die Daten für den Import der Posteingänge im richtigen Format und speichern Sie diese. Sie können die Posteingänge jetzt importieren. c. Klicken Sie auf Durchsuchen, wählen Sie Ihre CSV-Datei aus und klicken Sie auf Öffnen.
158
Hilfe
d. Klicken Sie auf Importieren. Hinweis: Die maximale Dateigröße beträgt 1 MB. Die Datei wird importiert und die Anzahl der erfolgreich importierten Posteingänge wird zusammen mit etwaigen Fehlern angezeigt. Posteingänge, die nicht importiert wurden, sind mit der Zeilennummer in der .CSV-Datei und einem Grund, z. B. doppelter Eintrag, angegeben. Sie können eine Liste der Posteingänge, die nicht importiert wurden, herunterladen, indem Sie auf den entsprechenden Link klicken. Sie können auch Details der fehlgeschlagenen Importe anzeigen, indem Sie auf Zeilen mit Fehlern anzeigen klicken. Diese Optionen sind nicht verfügbar, wenn keine Fehler vorliegen. 4. Klicken Sie auf Weiter. 5. Fügen Sie Ihre E-Mail-Domains hinzu (siehe Email Security-Einstellungen (Seite 156)).
15.15.2 In Quarantäne befindliche E-Mails verwalten Sie können in Quarantäne befindliche E-Mails über das Sophos Self Service Portal verwalten. Unter Quarantäne gestellt werden E-Mails, die als Spam markiert sind. Sie können diese E-Mails prüfen und dann entweder freigeben oder löschen. Freigegebene E-Mails werden zugestellt. 1. Melden Sie sich beim Sophos Self Service Portal an. 2. Klicken Sie auf E-Mail. Daraufhin öffnet sich die Seite Email Security und es wird die Anzahl der in Quarantäne befindlichen E-Mails angezeigt. 3. Klicken Sie auf Quarantäne. Daraufhin wird eine Liste der in Quarantäne befindlichen E-Mails angezeigt. Für jede E-Mail werden Absender, Empfänger, Betreff, Uhrzeit und Datum angezeigt. 4. Sie können eine unter Quarantäne gestellte E-Mail entweder freigeben (zustellen) oder löschen. ■ ■
Wählen Sie eine E-Mail aus und klicken Sie auf Freigeben, damit sie zugestellt wird. Wählen Sie eine E-Mail aus und klicken Sie auf Löschen, damit sie entfernt wird. Hinweis: Unter Quarantäne gestellte E-Mails werden nach 14 Tagen gelöscht.
5. Melden Sie sich ab, nachdem Sie die in Quarantäne befindlichen E-Mails geprüft haben.
15.16 Einstellungen für erlaubte Apps Auf der Seite Systemeinstellungen > Einstellungen für erlaubte Apps können Sie die Apps definieren, die die Benutzer verwenden dürfen und die während eines Scans auf dem Mobilgerät nicht als potenziell unerwünschte Anwendung (PUA) oder als App mit geringer Reputation gemeldet werden. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Die Einstellungen, die Sie hier eingeben, können später zu einer Benutzerrichtlinie hinzugefügt werden. Die Einstellungen gelten dann für alle Benutzer (und ihre Mobilgeräte), denen die Richtlinie zugewiesen wurde.
159
Sophos Central
Hinweis: ■
Die Einstellungen für erlaubte Apps können nur auf Android-Geräte angewendet werden.
■
Wird eine erlaubte App später als risikobehaftet umklassifiziert, z. B. von PUA zu Malware, wird sie wieder gemeldet.
So fügen Sie eine neue Einstellung für erlaubte Apps hinzu: 1. Klicken Sie auf Hinzufügen (rechts auf der Seite). Das Dialogfeld Einstellungen für erlaubte App hinzufügen erscheint. 2. Geben Sie im Textfeld App-Name den Namen der App ein. Der Name kann willkürlich gewählt werden und wird nur zur Identifizierung der App-Einstellung verwendet. 3. Geben Sie im Textfeld Paketname den Namen des Pakets ein, der die App eindeutig identifiziert. Tipp: Der Paketname kann über die URL der App im Google Play Store abgerufen werden. Die URL der Android-App Sophos Mobile Control im Play Store lautet zum Beispiel https://play.google.com/store/apps/details?id=com.sophos.mobilecontrol.client.android und der Paketname ist com.sophos.mobilecontrol.client.android. 4. Klicken sie auf Speichern. Die App-Einstellungen werden zur Liste der erlaubten Apps hinzugefügt. Um eine Einstellung für erlaubte Apps später zu bearbeiten, klicken Sie auf den Namen der App in der Liste der Einstellungen für erlaubte Apps, geben neue Einstellungen ein und klicken auf Speichern. Um die Einstellungen auf Ihre Benutzer anzuwenden, fügen Sie diese zum Abschnitt Mobile Security-Einstellungen einer Benutzerrichtlinie hinzu. Die Einstellungen gelten dann für alle Benutzer (und ihre Mobilgeräte), denen die Richtlinie zugewiesen wurde.
15.17 Amazon Web Services-Konten Diese Funktion ist unter Umständen noch nicht für alle Kunden verfügbar. Auf der Seite Systemeinstellungen > Amazon Web Services-Konten können Sie Ihre AWS-Konten mit Ihrem Sophos Central-Konto verknüpfen. Dies erleichtert die Verwaltung von Sophos Server Protection auf AWS EC2-Instanzen. Wenn Sie auf dieser Seite ein AWS-Konto hinzufügen, geschieht in Sophos Central Folgendes: ■
Die Daten der AWS-Instanz werden angezeigt.
■
Beendete AWS-Instanzen werden automatisch entfernt.
■
Sie haben die Möglichkeit, Serverrichtlinien auf Autoscaling-Gruppen anzuwenden.
Hinweis: Sie können AWS-Konten nur als Superadmin- oder Admin-Administrator hinzufügen (siehe Administrationsrollen (Seite 140)). So verknüpfen Sie ein AWS-Konto mit Sophos Central: 1. Klicken Sie auf Hinzufügen (rechts auf der Seite).
160
Hilfe
2. Führen Sie im Dialog AWS-Konto verknüpfen folgende Schritte aus: a) Geben Sie einen Anzeige-Kontonamen ein. Dieser wird für die Bezeichnung des Kontos in Sophos Central verwendet. b) Wählen Sie Zugangsdaten IAM-Benutzer (Zugriffsschlüssel und Geheimer Schlüssel) für das AWS-Konto, das Sie verknüpfen möchten. c) Wählen Sie Hinzufügen. Sophos Central überprüft die Zugangsdaten. Währenddessen wird für den Verbindungsstatus des Kontos ein Aktualisierungssymbol angezeigt. 3. Wenn die Seite aktualisiert wird, gibt es folgende Möglichkeiten: Das Konto wurde erfolgreich verknüpft, es wird weiter versucht, eine Verbindung herzustellen, oder der Verbindungsaufbau ist fehlgeschlagen. Schlägt der Verbindungsaufbau fehl, lesen Sie bitte in folgenden Artikeln nach: Anlegen eines IAM-Benutzers für Sophos Central Problembehebung Sophos Central-Verbindung zu AWS Wenn Sie das AWS-Konto hinzugefügt haben, geschieht Folgendes: ■
■
■
AWS-Instanzen, auf denen ein Sophos Agent installiert ist, werden auf der Seite Server aufgeführt. AWS-Autoscaling-Gruppen werden auf der Seite Servergruppen aufgeführt. Richtlinien, die AWS-Autoscaling-Gruppen zugewiesen sind, werden automatisch Instanzen zugewiesen, die sich in der betreffenden Gruppe befinden und auf denen ein Sophos Agent installiert ist.
161
Sophos Central
16 Geräte schützen Auf dieser Seite können Sie die Sophos-Installer herunterladen, um damit Ihre Geräte zu schützen. Es hängt von Ihrer Lizenz oder Ihren Lizenzen ab, welche Installer angezeigt werden. Bevor Sie beginnen, prüfen Sie, welche Betriebssysteme Sie mit Sophos Central schützen können. Hinweis: Sie können die Installer für Mobile Device Management oder Mobile Security hier nicht herunterladen. Gehen Sie hierzu stattdessen auf die Seite Benutzer, und senden Sie den Benutzern einen Einrichtungslink, über welchen diese ihre mobilen Geräte registrieren können. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Verwendung der Installer Nachdem Sie die Installer für Workstations oder Server heruntergeladen haben, können Sie: ■
Führen Sie den Installer aus, um Ihren lokalen Computer zu schützen.
■
Übermitteln Sie den Installer auf andere Computer und führen Sie ihn dort aus.
■
Nutzen Sie automatisierte Tools zur Bereitstellung der Software, wie System Center Configuration Manager (SCCM), um den Installer auf einer großen Anzahl an Computern auszuführen.
Weitere Informationen unter anderem dazu, welche Funktionen die einzelnen Produkte erfüllen und wie Sophos Central die Benutzer registriert und Richtlinien anwendet, finden Sie unter den weiteren Themen in diesem Abschnitt.
16.1 Endpoint Protection Installieren Sie einen Endpoint Protection-Agent auf Workstations, um diese gegen Malware, riskante Dateitypen und Websites sowie schädlichem Netzwerkverkehr zu schützen. Außerdem bietet das Tool die Möglichkeit zur Web- und Peripheriekontrolle. Sophos Device Encryption wird ebenfalls automatisch auf Windows-Arbeitsplatzrechnern installiert (sofern Sie über die erforderliche Lizenz verfügen). Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Installer herunterladen und ausführen Laden Sie den Installer für Ihr Betriebssystem herunter und führen Sie ihn auf den Workstations aus, die Sie schützen möchten. Bei Windows gibt es folgende Download-Möglichkeiten: ■
162
Klicken Sie auf Windows-Installer herunterladen für einen Installer mit allen Komponenten, die in Ihrer Lizenz enthalten sind.
Hilfe
■
Klicken Sie auf Komponenten für Windows-Installer auswählen, wenn Sie auswählen möchten, welche Komponenten im Installer enthalten sein sollen. Die Komponenten sind Endpoint Advanced (Schutz vor Malware), Intercept X (Schutz vor Ransomware und Exploits) und Device Encryption.
Für Linux folgen Sie bitte den Anweisungen in der Liste „Server Protection“. Sophos Central behandelt alle Linux-Computer als Server. Wenn Sie Workstations schützen: ■
Jeder Benutzer, der sich anmeldet, wird der Benutzerliste von Sophos Central automatisch hinzugefügt.
■
Für jeden Benutzer wird eine Benutzerrichtlinie angewendet (dies ist standardmäßig die Basisrichtlinie).
■
Jeder Computer wird der Computerliste in Sophos Central hinzugefügt.
Wie wir mit Windows-Benutzernamen und -Anmeldenamen verfahren Die Benutzer werden mit dem vollständigen Anmeldenamen aufgeführt, einschließlich der Domäne, falls verfügbar (zum Beispiel DOMAINNAME\jdoe). Wenn keine Domäne angegeben ist und ein Benutzer sich auf mehrere Computer anmeldet, werden für diesen Benutzer mehrere Benutzereinträge angezeigt, z. B. MACHINE1\user1 und MACHINE2\user1. Um diese Einträge zusammenzuführen, löschen Sie einen Eintrag und weisen Sie die Anmeldung dem anderen Eintrag zu (und benennen Sie den Benutzer um, falls notwendig). Näheres hierzu entnehmen Sie bitte dem Sophos Support-Artikel 119265.
16.2 Server Protection Installieren Sie einen Server Protection-Agent auf Servern, um diese vor Malware, riskanten Dateitypen und Websites sowie schädlichem Netzwerkverkehr zu schützen. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Laden Sie den Installer für Ihr Server-Betriebssystem herunter und führen Sie ihn auf dem Server aus, den Sie schützen möchten. Hinweis: Für Linux-Computer gibt es eine Alternative: Sophos Secure OS. Sehen Sie hierzu den Abschnitt Server Protection als Web-Service. Wenn Sie einen Server schützen: ■
Der Server wird der Liste Server in Sophos Central hinzugefügt.
■
Für den Server gilt eine Serverrichtlinie (dies ist standardmäßig die Basisrichtlinie).
16.3 Server Protection als Web-Service Sie können Linux-Computer mit Sophos Secure OS schützen. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Secure OS ist ein vordefiniertes Image des Betriebssystems CentOS Linux und verfügt über einen vorinstallierten Antivirenschutz für Linux von Sophos. Sie können Secure OS über Amazon Web Services beziehen und anschließend die Verwaltung über Sophos Central aktivieren.
163
Sophos Central
Um es zu verwenden, klicken Sie auf Sophos Secure OS einrichten und folgen Sie den Anweisungen. Melden Sie anschließend den Secure OS-Server bei Ihrem Sophos Central-Konto an (klicken Sie auf den Link, um den benötigten Befehl abzurufen).
16.4 Management und Sicherheit für mobile Geräte Sie können Ihre Mobilgeräte mit einer oder beiden der folgenden Apps schützen: ■
Sophos Mobile Control hilft Ihnen, Ihre Unternehmensdaten durch die Verwaltung und Steuerung von Apps und Sicherheitseinstellungen zu schützen.
■
Sophos Mobile Security scannt Ihr Mobilgerät nach schädlichen Apps und prüft, ob das Gerät gerootet ist. Sie können Sophos Mobile Security auch so konfigurieren, dass potenziell unerwünschte Apps, Apps mit niedriger Reputation und schädliche Websites erkannt werden.
Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Um eine personalisierte E-Mail mit Anweisungen zur Einrichtung dieser Apps an bestimmte Benutzer zu versenden, gehen Sie zur Seite Benutzer und klicken Sie auf den E-Mail-Einrichtungs-Link oben rechts auf der Seite. Wählen Sie anschließend eine oder beide dieser Optionen: ■
Für Sophos Mobile Control wählen Sie unter Mobile Device Management iOS- und Android-Mobilgeräte.
■
Für Sophos Mobile Security wählen Sie unter Endpoint Protection Android-Mobilgeräte.
Das Gerät wird bei Installation automatisch mit dem Benutzer in der Sophos Central verbunden.
16.5 Schutz für virtuelle Umgebungen Sie können Ihre virtuellen Rechner (VMs) mit Sophos Central schützen. Installieren Sie hierzu ein „Sophos VM-Sicherheitssystem“ auf Ihrem Host, um zentrale Virenscans für alle VM-Gastsysteme auf diesem Host bereitzustellen. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Klicken Sie auf Sophos Security Host VM Installer herunterladen und führen Sie dann den Installer auf Ihrem Host aus. Es empfiehlt sich, vorher die Startup-Anleitung zu lesen. Klicken Sie auf Installer für Sophos für VM-Gastsysteme, um den optionalen Sophos Agent herunterzuladen, und installieren Sie ihn auf Ihren VM-Gastsystemen. Dieser Agent ermöglicht die automatische Entfernung von Threats. Bei der Installation eines Sophos VM-Sicherheitssystems auf Ihrem Host: ■
Das Sophos VM-Sicherheitssystem wird der Liste Server in Sophos Central hinzugefügt.
■
Für das VM-Sicherheitssystem gilt eine Serverrichtlinie (standardmäßig die Basisrichtlinie).
16.6 Web-Gateway Die Sophos Web Gateway Installer sind nur dann verfügbar, wenn Sie für Web Gateway lizenziert sind.
164
Hilfe
Installieren Sie das Sophos Web-Gateway auf Workstations oder Mobilgeräte, um umfassende Websicherheit zu gewährleisten. Es blockiert schädliche, riskante und unangemessene Websites und bietet Scans für sichere Sites (SSL), eine Filterung nach Schlüsselwörtern, vertrauenswürdige Netzwerke und eine umfassende Berichterstellung an. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)).
Web Gateway auf Workstations installieren Laden Sie den Installer für Ihr Betriebssystem herunter und führen Sie ihn auf den Workstations aus, die Sie schützen möchten. Hinweis: Sie können den Web-Gateway einzeln oder gemeinsam mit dem Endpoint Protection-Agent installieren. Wenn Sie Workstations schützen: ■
Der Installer prüft, ob bereits ein Endpoint Protection-Agent auf dem Computer vorhanden ist. Ist dies nicht der Fall, werden Sie nach einem Benutzernamen gefragt.
■
Neue Benutzer werden zur Benutzerliste hinzugefügt und es wird eine Benutzerrichtlinie auf sie angewendet.
■
Falls sich der Computer noch nicht auf der Computerliste befindet, wird er hinzugefügt.
■
Sobald Sie Web-Gateway in einer für den Computer gültigen Benutzerrichtlinie aktiviert haben, beginnt die Software, den Computer zu schützen.
Web Gateway auf Mobilgeräten installieren Klicken Sie auf das gewünschte Betriebssystem. Erfahren Sie, wie Sie ein Konfigurationsprofil an ein Mobilgerät versenden und eine Richtlinie anwenden.
165
Sophos Central
17 Produkte kennenlernen Auf der Seite Produkte kennenlernen erfahren Sie mehr über weitere Produkte, die Sie zu Sophos Central hinzufügen können. Darüber hinaus können Sie: ■
Einen Produkttest starten
■
Eine Testlizenz verlängern
■
Ein Produkt kaufen
Produkttest starten Sie können einen Produkttest starten, ohne Sophos oder Ihren Sophos Partner kontaktieren zu müssen. Hinweis: Sie können mehrere Produkte gleichzeitig testen (außer die Funktionen der Produkte überlappen sich). Der Produkttest darf nicht für alle Produkte an demselben Datum beginnen. 1. Klicken Sie unter einem Produktnamen auf Produkttest starten. Der Produkttest wird automatisch gestartet. 2. Wählen Sie auf der angezeigten Seite das Produkt aus und laden Sie es herunter. Die Testlizenz für das betreffende Produkt wird auf der Seite Lizenzen angezeigt. Die Testlizenz endet nach 30 Tagen. Das Produkt erscheint dann erneut in der Liste auf der Seite Produkte kennenlernen.
Testlizenz verlängern Sie können eine Testlizenz verlängern oder das Produkt zu einem späteren Zeitpunkt erneut testen. Um eine Testlizenz zu verlängern, wenden Sie sich an Ihren Sophos Partner (oder das Sophos Account Team). Um das Produkt zu einem späteren Zeitpunkt erneut zu testen, gehen Sie auf die Seite Produkte kennenlernen und starten Sie den Produkttest wie beim letzten Mal. Hinweis: Nach Ablauf der Testlizenz müssen Sie 30 Tage warten, bis Sie das Produkt erneut testen können.
Produkt kaufen Sie können neue Produkte kaufen. 1. Klicken Sie unter einem Produktnamen auf Jetzt kaufen. Sie werden auf die Seite Partnerinfo geleitet, wo Sie nach einem Sophos Partner suchen können. 2. Wenden Sie sich an einen Sophos Partner, um das Produkt lizenzieren zu lassen.
166
Hilfe
18 Kontoinformationen Auf der Seite Kontoinformationen können Sie Benutzername oder Kennwort ändern, Ihre E-Mail-Abonnements verwalten, Ihre Konto- und Partnerinformationen einsehen uvm. Um zu dieser Seite zu gelangen, klicken Sie auf Ihren Kontonamen oben rechts in der Benutzeroberfläche und wählen Sie Kontoinformationen aus. Wichtig: Die Möglichkeit zum Verwalten Ihrer Kontoinformationen hängt von der Ihnen zugewiesenen Administratorrolle ab (siehe Administrationsrollen (Seite 140)).
Über das Unternehmen Klicken Sie auf Ihren Kontonamen (oben rechts in der Benutzeroberfläche), wählen Sie Kontoinformationen und klicken Sie auf die Registerkarte Firmeninfo. Auf dieser Registerkarte sind die Kontaktdaten Ihres Unternehmens angegeben. Ändern Sie bei Bedarf die Informationen und klicken Sie auf Speichern.
Info über mich Sie können Details zu Ihrer Administrationsrolle anzeigen und die E-Mail-Adresse und das Kennwort für die Anmeldung bei Sophos Central ändern. Klicken Sie auf Ihren Kontonamen (oben rechts in der Benutzeroberfläche), wählen Sie Kontoinformationen und klicken Sie auf die Registerkarte Info über mich. Ihre Administrationsrolle wird oben angezeigt. Klicken Sie für Details auf den Rollennamen. E-Mail-Adresse für das Login ändern: 1. Stellen Sie sicher, dass Sie Zugang zu Ihrer E-Mail-Adresse haben, die Sie für den Login verwenden möchten (Sie benötigen diese während des Prozesses). 2. Geben Sie eine Neue E-Mail-Adresse ein und klicken Sie auf Speichern. Sie erhalten einen Bestätigungslink an Ihre neue Adresse. 3. Bestätigen Sie die neue Adresse. Hinweis: Sie können nun die E-Mail-Adresse zur Anmeldung bei Sophos Central verwenden. Die alte E-Mail-Adresse ist nicht mehr gültig. So ändern Sie das Kennwort: 1. Geben Sie Ihr aktuelles Kennwort ein. 2. Erstellen Sie ein neues Kennwort, wiederholen Sie es und klicken Sie auf Speichern. Sie erhalten eine Benachrichtigung per E-Mail an Ihre konfigurierte Adresse. Hinweis: Sie können sich nun mit Ihrem neuen Kennwort anmelden. Das alte Kennwort ist nicht mehr gültig.
167
Sophos Central
Partner-Daten Klicken Sie auf Ihren Kontonamen (oben rechts in der Benutzeroberfläche), wählen Sie Kontoinformationen und klicken Sie auf die Registerkarte Partnerinfo. Auf dieser Registerkarte sind die Kontaktdaten Ihres Partners angegeben, sofern relevant.
Meine E-Mail-Abonnements Sie können Ihre E-Mail-Abonnements über die Registerkarte Meine E-Mail-Abonnements auf der Seite Kontoinformationen verwalten. Klicken Sie auf Ihren Kontonamen (oben rechts in der Benutzeroberfläche), wählen Sie Kontoinformationen und klicken Sie auf die Registerkarte Meine E-Mail-Abonnements. So verwalten Sie Abonnements: 1. Aktivieren Sie die benötigten E-Mail-Zusammenfassungen, wie z. B. E-Mail-Zusammenfassungen für Web Gateway aktivieren. 2. Wählen Sie die Häufigkeit aus. 3. Klicken Sie auf Speichern.
Sophos Support Sie können wählen, welchen Sophos Support Sie erhalten möchten. Klicken Sie auf Ihren Kontonamen (oben rechts in der Benutzeroberfläche), wählen Sie Kontoinformationen und klicken Sie auf die Registerkarte Sophos Support. Folgende Optionen stehen zur Verfügung: Remote-Unterstützung. Hiermit erhält Sophos Support für 72 Stunden direkten Zugriff auf Ihre Sophos Central-Instanz, um Ihnen helfen zu können. Diese Option ist standardmäßig deaktiviert. Hinweis: Diese Option lässt sich auch aktivieren, wenn Sie den Support über Klick auf Hilfe > Support-Ticket erstellen oben rechts auf der Seite aktivieren. Partner-Unterstützung. Damit erhält der von Ihnen benannte Partner Zugriff auf Ihr Sophos Central-Portal und kann den Sophos Central-Dienst in Ihrem Namen konfigurieren. Diese Option ist standardmäßig deaktiviert. Hinweis: Wenn Sie die Partner-Unterstützung nicht aktivieren, kann Ihr Partner nur die Informationen auf oberster Ebene einsehen, zum Beispiel die erworbenen Services und Zahlen zur aktuellen Verwendung.
168
Hilfe
19 Lizenzen Sie können Ihre Sophos Lizenzen in der Sophos Central Admin-Konsole aktivieren und verwalten. Wichtig: Die Ihnen zugewiesene Administratorrolle hat Einfluss auf Ihre Handlungsmöglichkeiten (siehe Administrationsrollen (Seite 140)). Klicken Sie auf Ihren Kontonamen (oben rechts in der Benutzeroberfläche) und wählen Sie Lizenzen. Sie können: ■
Eine Lizenz aktivieren (Seite 169)
■
Eine Lizenz kaufen (Seite 169)
■
Endbenutzer-Lizenzvereinbarung prüfen (Seite 169)
■
Ihre Lizenzen und Nutzung anzeigen (Seite 169)
Eine Lizenz aktivieren Sie können eine neue oder upgegradete Lizenz aktivieren. Geben Sie in das Feld Aktivierungscode anwenden den Aktivierungsschlüssel aus dem Lizenzplan ein, den Sie von Sophos per E-Mail erhalten haben, und klicken Sie auf Anwenden (siehe Lizenz aktivieren (Seite 6)).
Eine Lizenz kaufen Klicken Sie auf Jetzt kaufen, um auf eine Seite zu gelangen, auf welcher Sie sich für eine Lizenz anmelden können.
Endbenutzer-Lizenzvereinbarung prüfen Klicken Sie auf diesen Link, um die Endbenutzer-Lizenzvereinbarung von Sophos in einem separaten Fenster anzuzeigen. Wenn Sie die Vereinbarung ausdrucken möchten, drücken Sie STRG+P.
Ihre Lizenzen und Nutzung anzeigen In einer Liste werden Ihre aktuelle(n) Lizenz(en) mitsamt Informationen zu jeder Lizenz angezeigt. ■
Lizenz. Der Name der von Ihnen erworbenen Lizenz.
■
Typ. Der Typ Ihrer Lizenz, zum Beispiel eine Testversion.
■
Verwendung. Die Anzahl der Benutzer oder Server, die diese Lizenz verwenden. Hinweis: Bei Endnutzer-Lizenzen werden Benutzer mit eingeschlossen, denen mindestens ein Gerät zugewiesen wurde. Unter Umständen sind auch geschützte Geräte mit eingeschlossen, denen noch kein Benutzer zugewiesen wurde.
169
Sophos Central
Hinweis: Bei Endnutzer- und Serverlizenzen können unter Umständen geschützte virtuelle Rechner (VMs) in dieser Anzahl berücksichtigt sein. Fahren Sie mit der Maus über das Symbol, um sich eine Aufschlüsselung der Benutzer (oder Server) und VMs anzeigen zu lassen.
170
■
Beschränkung. Die maximale Anzahl an Benutzern oder Server, die diese Lizenz verwenden können. Die Beschränkung hängt vom Abonnement ab.
■
Läuft ab. Das Datum, an welchem die Lizenz abläuft.
■
Lizenz#. Lizenznummer.
Hilfe
20 Early Access-Programme Mit den Early Access-Programmen können Sie neue Produktfunktionen ausprobieren, bevor diese der Allgemeinheit zur Verfügung stehen. Sie können an mehreren Programmen gleichzeitig teilnehmen. Es gibt zwei Arten von Early Access-Programmen: ■
Offen. Jeder kann teilnehmen.
■
Nur mit Einladung. Wir laden Sie ein, am Programm teilzunehmen, und Sie erhalten von uns den Zugangscode.
Programmen beitreten So treten Sie Programmen bei: 1. Klicken Sie auf Ihren Kontonamen (oben rechts in der Bedienoberfläche) und wählen Sie Early Access-Programme. Auf der Seite Early Access-Programme sehen Sie eine Liste aller verfügbaren Programme. Hinweis: Wenn Sie einem Programm beitreten möchten, für das Sie eine Einladung benötigen, müssen Sie das Programm zunächst der Liste hinzufügen. Geben Sie unter Programme nur mit Einladung den Code aus der Einladung ein. 2. Klicken Sie auf die Schaltfläche Beitreten neben dem Programm. 3. Es wird eine Beschreibung des Programms angezeigt. Klicken Sie auf Weiter. 4. Rufen Sie im Dialog Sophos Lizenzvereinbarung für das Early Access-Programm die Vereinbarung auf und klicken Sie auf Zustimmen. Wichtig: Wenn sich das Programm auf Endpoint-Software bezieht, wird die Schaltfläche Geräte hinzufügen angezeigt. Fahren Sie fort, um den nächsten Schritt durchzuführen. 5. Klicken Sie auf die Schaltfläche Geräte hinzufügen. 6. Auf der Seite Geräte verwalten sehen Sie eine Liste der Berechtigten Geräte, auf welchen Sie die neue Funktion installieren können. Mithilfe der Pfeile können Sie die Geräte auswählen, mit welchen Sie die neue Funktion ausprobieren möchten. Klicken Sie auf Speichern. Hinweis: Sie können Geräte jederzeit während der Dauer des Programms hinzufügen oder entfernen. Gehen Sie hierzu erneut auf die Seite Early Access-Programme und klicken Sie auf die Schaltfläche Verwalten neben dem Programm. Die Software auf den ausgewählten Geräten wird aktualisiert, um die neue Funktion zu implementieren.
Programme verlassen Um ein Programm zu verlassen, klicken Sie auf die Schaltfläche Verlassen neben dem Programm. Wenn Sie eine neue Funktion nicht mehr verwenden möchten, können Sie Ihre Geräte auch einfach aus dem Programm entfernen:
171
Sophos Central
1. Klicken Sie auf der Seite Early Access-Programme auf die Schaltfläche Verwalten neben dem Programm. 2. Auf der Seite Geräte verwalten können Sie mithilfe des Pfeils alle Ihre Geräte aus der Liste zugewiesene Geräte löschen.
172
Hilfe
21 Unterstützte Web-Browser Die folgenden Browser werden aktuell unterstützt: ■
Microsoft Internet Explorer 11 und Microsoft Edge.
■
Google Chrome.
■
Mozilla Firefox.
■
Apple Safari (nur Mac).
Wir empfehlen die Installation oder ein Upgrade auf eine der unterstützten Versionen aus der obigen Liste sowie die Verwendung einer stets aktuellen Version. Wir planen, die jeweils neueste und vorherige Version von Google Chrome, Mozilla Firefox und Apple Safari zu unterstützen. Wenn ein Browser erkannt wird, der nicht unterstützt wird, werden Sie auf https://cloud.sophos.com/unsupported weitergeleitet.
173
Sophos Central
22 Sophos Support kontaktieren Hilfe erhalten So erhalten Sie Hilfe vom Sophos Support: 1. Klicken Sie ganz oben rechts auf der Bedienoberfläche auf Hilfe und wählen Sie Support-Ticket erstellen. 2. Füllen Sie das Formular aus. Bitte seien Sie so genau wie möglich, sodass der Support Ihnen bestmöglich helfen kann. 3. Optional können Sie Remote-Unterstützung aktivieren wählen. Der Support kann in diesem Fall direkt auf Ihre Sophos Central-Instanz zugreifen und Ihnen dadurch besser helfen. 4. Klicken Sie auf Senden. Sophos wird Sie innerhalb von 24 Stunden kontaktieren. Hinweis: Wenn Sie die Remote-Unterstützung gewählt haben, wird diese Funktion aktiviert, wenn Sie auf Senden klicken. Die Remote-Unterstützung wird nach 72 Stunden automatisch deaktiviert. Um sie früher zu deaktivieren, klicken Sie auf den Kontonamen (oben rechts in der Bedienoberfläche), wählen Sie Lizenzen und Administration und klicken Sie auf die Registerkarte Sophos Support.
Feedback geben So reichen Sie beim Sophos Support Feedback oder einen Vorschlag ein: 1. Klicken Sie ganz oben rechts auf der Bedienoberfläche auf Hilfe und wählen Sie Feedback geben. 2. Füllen Sie das Formular aus. 3. Klicken Sie auf Senden. Sie können den technischen Support auch folgendermaßen anfordern:
174
■
Besuchen Sie die Sophos Community unter community.sophos.de/ und suchen Sie nach Benutzern mit dem gleichen Problem.
■
Besuchen Sie die Support-Artikel von Sophos unter www.sophos.com/de-de/support.aspx.
Hilfe
23 Impressum Copyright © 2013-2016 Sophos Limited. Alle Rechte vorbehalten. Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronisch gespeichert oder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sie verfügen entweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmung mit dem Lizenzvertrag reproduziert werden darf, oder Sie verfügen über eine schriftliche Genehmigung des Urheberrechtsinhabers. Sophos, Sophos Anti-Virus und SafeGuard sind registrierte Marken der Sophos Limited, Sophos Group bzw. der Utimaco Safeware AG. Alle anderen erwähnten Produkt- und Unternehmensnamen sind Warenzeichen oder eingetragene Warenzeichen der jeweiligen Inhaber.
175
