单击64位操作系统

SophosEndpointSecurityandControl帮助文件10.
2产品版本:2013年3月文档日期:目录1关于SophosEndpointSecurityandControl.
32关于主页.
43Sophos组.
54SophosAnti-Virus.
85SophosApplicationControl.
486SophosDeviceControl.
497SophosDataControl.
518SophosWebControl.
539SophosClientFirewall.
5410SophosAutoUpdate.
8411SophosTamperProtection.
8712排疑解难.
9213用语表.
10014技术支持.
10615法律声明.
10721关于SophosEndpointSecurityandControlSophosEndpointSecurityandControl10.
2是集成式的安全软件套件.
SophosAnti-Virus会检测和清除病毒,特洛伊木马,蠕虫,以及间谍软件,还有广告软件和其它可能不想安装的应用程序.
我们的HIPS(HostIntrusionPreventionSystem,主机入侵防范系统)技术还可以保护您的计算机不受可疑文件和Rootkit的侵害.
SophosBehaviorMonitoring使用我们的HIPS技术保护Windows及以后的计算机免遭未被识别的或尚未有补丁的安全隐患,以及可疑行为的威胁.
SophosLiveProtection可以显著提高对新出现的恶意软件的检出率,同时也不会做无谓的检测活动.
能够做到这一点,是因为能够随时比对最新的已知的恶意软件.
一旦确认了新的恶意软件,Sophos即可立即发出更新文件.
SophosWebProtection通过防止访问已知的带有恶意软件的网站,提供增强的防范网页安全隐患的保护措施.
通过实时对比Sophos的在线恶意网站数据库,它会阻断终结点计算机访问恶意网站.
SophosApplicationControl会阻断未经批准的应用程序,诸如,语音IP,即时通讯,文件共享,以及游戏软件等.
SophosDeviceControl会阻断未经批准的外接存储设备,以及无线连接技术.
SophosDataControl会防止从受管理的计算机中意外泄漏个人识别信息.
SophosWebControl为在您的公司网络中,网络外,以及漫游的终结点计算机提供保护,控制,和报告.
SophosClientFirewall会防范蠕虫,特洛伊木马,以及间谍软件偷窃和敏感信息,并且还会防范黑客入侵.
SophosAutoUpdate提供安全可靠的更新,并且能够在低速网络连接中更新时,克制使用带宽.
SophosTamperProtection可以防范已知的恶意软件,以及防止未经授权的用户通过SophosEndpointSecurityandControl用户界面,卸载或禁用Sophos安全软件.
3帮助文件2关于主页当您打开SophosEndpointSecurityandControl窗口时,主页会出现在右手边的窗格板中.
它使您能够配置和使用此软件.
当您使用SophosEndpointSecurityandControl时,右手边的窗格板中的内容会改变.
要返回主页页面,单击工具栏上的主页按钮.
4SophosEndpointSecurityandControl3Sophos组3.
1关于Sophos组SophosEndpointSecurityandControl会限制某些Sophos组的成员访问软件的特定部分.
当SophosEndpointSecurityandControl安装后,计算机上的各个用户会根据它们所在Windows组被指派到Sophos组中.
Sophos组Windows组SophosAdministratorAdministratorsSophosPowerUserPowerUsersSophosUser用户没有被指派到Sophos组的用户,包括来宾用户,只能执行以下任务读写扫描单击右键扫描SophosUsersSophosUsers只能执行以上任务,以及执行以下任务打开SophosEndpointSecurityandControl.
设置和运行即时扫描配置单击右键扫描管理(只有限定的权限的)隔离项目创建和配置防火墙规则SophosPowerUsersSophosPowerUsers具备与SophosUsers相同的权限,并具有以下更多的权限更高的隔离区管理器的权限访问批准管理器的权限SophosAdministratorsSophosAdministrators可以使用和配置SophosEndpointSecurityandControl中的任何部分.
5帮助文件注:如果启用了介入防范,那么,SophosAdministrator组的成员必须知道介入防范密码,才能执行以下任务配置读写扫描.
配置可疑行为检测.
禁用介入防范.
要了解更多信息,请参见关于此计算机上的介入防范(第87页).
3.
2添加用户到Sophos组中如果您是计算机上的域管理员或WindowsAdministrators组中的成员,那么,您可以更改用户作为成员所在的Sophos组.
您这样做,尤其是为了更改它们访问SophosEndpointSecurityandControl的权限.
要添加用户到Sophos组中1.
使用Windows,打开计算机管理.
2.
在控制台树中,单击用户.
3.
右击用户帐户,然后单击属性.
4.
在隶属于标签页中,单击添加.
5.
在输入供选择的对象名称,输入一个Sophos组的名称SophosAdministratorSophosPowerUserSophosUser6.
如果您想要验证Sophos组名,请单击检查名称.
当用户下一次登录到计算机时,他们会发现访问SophosEndpointSecurityandControl的权限已被更改.
注意要打开"计算机管理",请单击开始,然后,单击控制面板.
双击管理工具,然后,双击计算机管理.
要从Sophos用户组删除用户,请在隶属于标签页中,选择用户隶属于的组,然后,单击删除.
6SophosEndpointSecurityandControl3.
3配置用户使用隔离区管理器的权限如果您是SophosAdministrator组的成员,您可以配置用户使用隔离区管理器的权限.
1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>配置>用户使用隔离区管理器的权限.
2.
选择执行各种类型的措施的用户类型.
注:除了批准选项之外,您在此设置的权限仅应用于隔离区管理器.
用户可以清除软盘引导区.
清除扇区用户可以清除文档和程序.
清除文件用户可以删除感染的文件.
删除文件用户可以移动受感染的文件到其它文件夹.
移动文件用户可以批准可疑项目,广告软件,以及可能不想安装的应用程序,以便它们能够在计算机上运行.
此选项应用于批准管理器和隔离区管理器.
批准7帮助文件4SophosAnti-Virus4.
1关于读写扫描和即时扫描读写扫描读写扫描是您防范病毒和其他安全隐患的主要方法.
当您复制,移动,或打开某个文件时,SophosAnti-Virus会扫描该文件,确保访问它不会对您的计算机造成安全隐患,或者,它已被批准使用.
要了解更多的信息,请参见配置读写扫描(第8页).
即时扫描即时扫描可以提供附加的保护.
正如扫描的名称所示,您可以即时启动扫描.
您可以扫描单一文件到整个计算机上的任何内容.
要了解更多信息,请参见即时扫描类型(第15页).
4.
2读写扫描4.
2.
1关于读写扫描的最佳使用方法本节中提供的建议将帮助您获得读写扫描的最佳效果.
我们建议您使用默认的读写扫描设置,因为它在保护您的计算机免遭安全隐患的威胁与不影响整个计算机系统之间取得了最佳的平衡.
要了解有关调整默认的读写扫描设置的详细建议,请参见Sophos技术支持知识库文章114345(http://www.
sophos.
com/en-us/support/knowledgebase/114345.
aspx)(英文).
4.
2.
2配置读写扫描小心:如果安装了某些加密软件,那么,读写扫描可能会检测不到病毒.
更改启动进程,确保在读写扫描开始时,加密的文件已被解密.
要了解更多有关怎样针对加密软件使用防病毒和HIPS策略的信息,请参见Sophos技术支持知识库文章12790http://www.
sophos.
com/en-us/support/knowledgebase/12790.
aspx(英文).
重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
依照默认值,SophosAnti-Virus会在进行读写扫描时,检测和删除以下的安全隐患病毒特洛伊木马8SophosEndpointSecurityandControl蠕虫间谍软件要配置读写扫描1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>配置>读写扫描.
2.
要更改进行读写扫描的时机,请在检查文件的时机中,按照以下说明设置选项.
描述选项当文件被复制,移动,或打开时,扫描文件.
读文件时当文件被重新命名时,扫描文件.
Rename当保存,或创建文件时,扫描文件.
写文件时3.
在扫描下,按照以下说明设置选项.
描述选项广告软件显示广告活动(例如弹出消息),它会影响用户的工作效率和系统的运行效率.
可能不想安装的应用程序(PUA)不是恶意软件,但是通常被认为不适合在公司网络中使用.
广告软件和可能不想安装的应用程序可疑文件是在文件中出现了病毒中普遍具有,但又不仅是病毒中才具有的一系列特征的一种文件.
可疑文件9帮助文件4.
在其它扫描选项下,按照以下说明设置选项.
描述选项开启此选项,可以允许访问被感染的,可以用于启动的移动介质,如CD启动盘,软盘,或者,USB闪存.
只在Sophos技术支持的建议下才使用此选项.
请同时参见"排疑解难"主题中的允许访问引导区受到感染的驱动器(第96页).
允许访问引导区受到感染的驱动器我们建议您关闭此选项,因为,它会显著增加扫描的时间.
只能在每周扫描期间扫描所有文件.
扫描所有文件打开此选项,扫描档案或压缩档的内容.
只有当下载和分配此类文件而未选取内容时需要执行此操作.
我们建议您关闭此选项,因为,它会显著增加扫描的时间.
您将仍然受到保护,免遭打包文件或压缩文件中的任何安全隐患的威胁,因为,打包文件或压缩文件中的任何可能是恶意软件的组件,都会被读写扫描阻断扫描打包文件内部当您打开解压缩自打包文件的文件时,该解压缩的文件会被扫描.
使用动态压缩工具,如PKLite,LZEXE,以及Diet压缩的文件都会被扫描.
打开此选项,可以每小时自动运行一次后台扫描,检测隐藏在计算机系统内存(操作系统所使用的内存)中的恶意软件.
注:此选项仅在32位操作系统上有效.
扫描系统内存4.
2.
3暂时禁用读写扫描如果您是SophosAdministrator组的成员,您可以为了进行维护或排错,而暂时禁用读写扫描,以后在重新启用它.
您可以禁用读写扫描保护,同时,仍然在您的计算机上运行即时扫描.
即使您重新启动计算机,SophosEndpointSecurityandControl还是会将您在此所作的设置保留.
如果您禁用读写扫描,您的计算机将处于非保护状态,直到您重新启用它.
1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>配置>读写扫描.
2.
取消勾选在本计算机上启用读写扫描勾选框.
10SophosEndpointSecurityandControl4.
2.
4配置读写扫描的清除重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
要配置读写扫描的清除1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>配置>读写扫描.
2.
单击清除标签.
3.
要自动清除感染的项目,请在病毒/间谍软件下勾选自动清除包含病毒/间谍软件的项目勾选框.
注:如果您开启此选项,清除某些病毒/间谍软件时将会触发完整系统扫描,它会试图清除您的计算机上的所有病毒.
这可能会耗费较长时间.
4.
在病毒/间谍软件下,请勾选某个SophosAnti-Virus的措施,在如果自动清除禁用时,或者,自动清除失败时,处理感染的项目描述选项在继续之前,SophosAnti-Virus会询问您做什么.
这是默认的设置.
仅拒绝访问只在Sophos技术支持的建议下才使用这些设置.
否则,请使用"隔离区管理器"来清除SophosAnti-Virus在您的计算机中发现的病毒间谍软件.
请参见处置隔离区中的病毒/间谍软件(第37页).
Delete拒绝访问并移至5.
在可疑文件下,请勾选某个SophosAnti-Virus措施,在当文件中发现通常在恶意软件中使用的代码时,采用该措施描述选项在继续之前,SophosAnti-Virus会询问您做什么.
这是默认的设置.
拒绝访问只在Sophos技术支持的建议下才使用这些设置.
否则,请使用"隔离区管理器"来清除SophosAnti-Virus在您的计算机中发现的可疑文件.
请参见处置隔离区中的可疑文件(第40页).
Delete拒绝访问并移至11帮助文件4.
2.
5重置已扫描文件的检查和当SophosAnti-Virus更新时,或者,当您重新启动计算机时,已扫描文件的检查和的列表会被重置.
当文件被SophosAnti-Virus扫描后,该列表会被使用新的数据重建.
如果不想重新启动计算机,您可以从SophosEndpointSecurityandControl中重置已扫描文件的检查和的列表.
要重置已扫描文件的检查和1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>配置>读写扫描.
2.
在扫描标签页中,单击清空缓存.
4.
2.
6指定读写扫描文件扩展名重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
您可以指定进行读写扫描时,扫描的文件扩展名.
1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>配置>读写扫描.
2.
单击扩展名标签页,按照以下说明设置选项.
扫描所有文件单击该选择,以启用扫描所有文件,该扫描忽略文件的扩展名.
允许精确控制扫描的项目单击该选择,以限制扫描仅针对那些在文件扩展名列表中所指定的,带有特定扩展名的文件.
小心:扩展名列表中包括了我们建议扫描的所有文件类型.
如果您要更改该列表,请按照以下的说明仔细地做.
要添加文件扩展名到该列表中,请单击添加.
您可以使用通配符替代任何单一的字符.
要从列表中删除文件扩展名,请选择该扩展名,然后,单击删除.
要从列表中更改文件扩展名,请选择该扩展名,然后,单击编辑.
当您选择允许精确控制扫描的项目选项时,扫描没有扩展名的文件选项会成为默认选项.
要禁用扫描不带文件扩展名的文件,请取消勾选扫描不带文件扩展名的文件.
12SophosEndpointSecurityandControl4.
2.
7添加,编辑,或删除读写扫描排除项目重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
要编辑从读写扫描中排除的文件,文件夹,和驱动器的列表1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>配置>读写扫描.
2.
单击排除项目标签页,然后选择以下选项之一.
要指定需要从读写扫描中排除的文件,文件夹,或驱动器,请单击添加.
要删除某个排除项目,请单击删除.
要更改某个排除项目,请单击编辑.
3.
要添加或编辑某个已排除的项目,请在排除项目对话框中,选择项目类型.
所有远程文件选项用于排除未存储在本地磁盘上的文件.
如果您想要加快访问此类文件的速度,并且您信任所提供的远程文件的来源,您可以勾选此选项.
4.
使用浏览按钮,或在文本框中输入,指定项目名称.
注:如果您使用的是64位的操作系统,浏览按钮在排除项目对话框中将不可见.
要了解更多有关指定项目名称的信息,请参见指定扫描排除项目的文件名和路径(第13页).
4.
2.
8指定扫描排除项目的文件名和路径标准命名协定SophosAnti-Virus会根据标准的Windows命名协定,校验扫描排除项目的文件名和路径.
例如,某个文件夹名可以使用空格,但是不能仅仅是空格.
排除特定文件同时指定文件名和路径,才能排除特定的文件.
路径中可以包含驱动器盘符或网络共享名.
C:\Documents\CV.
doc\\Server\Users\Documents\CV.
doc注:要确保排除项目能够正确地找到,请添加长文件名或文件夹名,以及8.
3文件名和文件夹名(8.
3-compliantfileandfoldernames)C:\ProgramFiles\Sophos\SophosAnti-Virus13帮助文件C:\Progra~1\Sophos\Sophos~1要了解更多信息,请参见http://www.
sophos.
com/en-us/support/knowledgebase/13045.
aspx(英文).
排除文件名相同的所有文件指定不带路径的文件名,可以排除文件系统中所有路径中以该名字命名的所有文件spacer.
gif排除驱动器或网络共享上的所有文件指定驱动器盘符,或网络共享,可以排除驱动器或网络共享上的所有文件C:\\Server排除特定文件夹指定的文件夹的路径中包含驱动器盘符,或网络共享名,可以排除该文件夹,及其所有子文件夹中的所有文件D:\Tools\logs排除文件夹名相同的所有文件夹指定的文件夹的路径中不包含驱动器盘符,或网络共享名,可以排除任何驱动器或网络共享中的该文件夹,及其所有子文件夹中的所有文件.
例如,\Tools\logs将排除以下的文件夹C:\Tools\logs\\Server\Tools\logs注:您必须指定包括驱动器盘符或网络共享名的完整路径.
在上面的示例中,指定\logs,将不会排除任何文件.
和*通配符在文件名或文件扩展名中使用通配符可以匹配任何单个字符.
在文件名或文件扩展名的结尾,使用通配符可以匹配任何单个字符,或无字符例如,file.
txt可以匹配file.
txt,file1.
txt,和file12.
txt,但是不匹配file123.
txt.
在文件名或文件扩展名中还可以使用通配符*,格式为[文件名].
*或*.
[扩展名]正确file.
**.
txt不正确file*.
txt14SophosEndpointSecurityandControlfile.
txt*file.
*txt多重文件扩展名在带有多个扩展名的文件名中,最后一个扩展名被视为扩展名,其余部分被视为文件名.
MySample.
txt.
doc=文件名MySample.
txt+扩展名.
doc.
4.
3即时扫描4.
3.
1即时扫描类型单击右键扫描随时扫描资源管理器中的文件,文件夹,或驱动器.
运行单击右键扫描(第21页)自定义扫描扫描特定的文件或文件夹集合.
您既可以手动运行自定义扫描,也可以计划运行自定义扫描.
运行自定义扫描(第26页)计划自定义扫描(第26页)完全的计算机扫描随时扫描您的整个计算机,包括引导区和系统内存.
运行完全的计算机扫描(第27页)4.
3.
2指定即时扫描文件扩展名重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
您可以指定进行即时扫描时,扫描的文件扩展名.
1.
在配置菜单中,单击即时扫描文件扩展名和排除文件.
15帮助文件2.
单击扩展名标签页,按照以下说明设置选项.
扫描所有文件单击该选择,以启用扫描所有文件,该扫描忽略文件的扩展名.
允许精确控制扫描的项目单击该选择,以限制扫描仅针对那些在文件扩展名列表中所指定的,带有特定扩展名的文件.
小心:扩展名列表中包括了我们建议扫描的所有文件类型.
如果您要更改该列表,请按照以下的说明仔细地做.
要添加文件扩展名到该列表中,请单击添加.
您可以使用通配符替代任何单一的字符.
要从列表中删除文件扩展名,请选择该扩展名,然后,单击删除.
要从列表中更改文件扩展名,请选择该扩展名,然后,单击编辑.
当您选择允许精确控制扫描的项目选项时,扫描没有扩展名的文件选项会成为默认选项.
要禁用扫描不带文件扩展名的文件,请取消勾选扫描不带文件扩展名的文件.
4.
3.
3添加,编辑,或删除即时扫描排除项目重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
以下所描述的过程,可以应用于所有的即时扫描.
要了解有关从自定义扫描中排除特定项目的信息,请参见创建自定义扫描(第21页).
要编辑从即时扫描中排除的文件,文件夹,和驱动器的列表1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>配置>即时扫描扩展名和排除项目.
2.
单击排除项目标签页,然后选择以下选项之一.
要指定需要从即时扫描中排除的文件,文件夹,或驱动器,请单击添加.
要删除某个排除项目,请单击删除.
要更改某个排除项目,请单击编辑.
3.
要添加或编辑某个已排除的项目,请在排除项目对话框中,选择项目类型.
16SophosEndpointSecurityandControl4.
使用浏览按钮,或在文本框中输入,指定项目名称.
注:如果您使用的是64位的操作系统,浏览按钮在排除项目对话框中将不可见.
要了解更多有关指定项目名称的信息,请参见指定扫描排除项目的文件名和路径(第13页).
4.
3.
4指定扫描排除项目的文件名和路径标准命名协定SophosAnti-Virus会根据标准的Windows命名协定,校验扫描排除项目的文件名和路径.
例如,某个文件夹名可以使用空格,但是不能仅仅是空格.
排除特定文件同时指定文件名和路径,才能排除特定的文件.
路径中可以包含驱动器盘符或网络共享名.
C:\Documents\CV.
doc\\Server\Users\Documents\CV.
doc注:要确保排除项目能够正确地找到,请添加长文件名或文件夹名,以及8.
3文件名和文件夹名(8.
3-compliantfileandfoldernames)C:\ProgramFiles\Sophos\SophosAnti-VirusC:\Progra~1\Sophos\Sophos~1要了解更多信息,请参见http://www.
sophos.
com/en-us/support/knowledgebase/13045.
aspx(英文).
排除文件名相同的所有文件指定不带路径的文件名,可以排除文件系统中所有路径中以该名字命名的所有文件spacer.
gif排除驱动器或网络共享上的所有文件指定驱动器盘符,或网络共享,可以排除驱动器或网络共享上的所有文件C:\\Server排除特定文件夹指定的文件夹的路径中包含驱动器盘符,或网络共享名,可以排除该文件夹,及其所有子文件夹中的所有文件D:\Tools\logs17帮助文件排除文件夹名相同的所有文件夹指定的文件夹的路径中不包含驱动器盘符,或网络共享名,可以排除任何驱动器或网络共享中的该文件夹,及其所有子文件夹中的所有文件.
例如,\Tools\logs将排除以下的文件夹C:\Tools\logs\\Server\Tools\logs注:您必须指定包括驱动器盘符或网络共享名的完整路径.
在上面的示例中,指定\logs,将不会排除任何文件.
和*通配符在文件名或文件扩展名中使用通配符可以匹配任何单个字符.
在文件名或文件扩展名的结尾,使用通配符可以匹配任何单个字符,或无字符例如,file.
txt可以匹配file.
txt,file1.
txt,和file12.
txt,但是不匹配file123.
txt.
在文件名或文件扩展名中还可以使用通配符*,格式为[文件名].
*或*.
[扩展名]正确file.
**.
txt不正确file*.
txtfile.
txt*file.
*txt多重文件扩展名在带有多个扩展名的文件名中,最后一个扩展名被视为扩展名,其余部分被视为文件名.
MySample.
txt.
doc=文件名MySample.
txt+扩展名.
doc.
4.
3.
5单击右键扫描4.
3.
5.
1配置单击右键扫描重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它将不会覆盖您在此所作的任何更改.
依照默认值,SophosAnti-Virus会在进行单击右键扫描时,检测和删除以下的安全隐患病毒18SophosEndpointSecurityandControl特洛伊木马蠕虫间谍软件广告软件和其它可能不想安装的应用程序(PUA)要配置单击右键扫描1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>配置>单击右键扫描.
2.
在扫描下,按照以下说明设置选项.
描述选项广告软件显示广告活动(例如弹出消息),它会影响用户的工作效率和系统的运行效率.
可能不想安装的应用程序(PUA)不是恶意软件,但是通常被认为不适合在公司网络中使用.
广告软件和可能不想安装的应用程序可疑文件是在文件中出现了病毒中普遍具有,但又不仅是病毒中才具有的一系列特征的一种文件.
可疑文件3.
在其它扫描选项下,按照以下说明设置选项.
描述选项我们建议您关闭此选项,因为,它会显著增加扫描的时间.
只能在每周扫描期间扫描所有文件.
扫描所有文件打开此选项,扫描档案或压缩档的内容.
只有当下载和分配此类文件而未选取内容时需要执行此操作.
我们建议您关闭此选项,因为,它会显著增加扫描的时间.
您将仍然受到保护,免遭打包文件或压缩文件中的任何安全隐患的威胁,因为,打包文件或压缩文件中的任何可能是恶意软件的组件,都会被读写扫描阻断扫描打包文件内部当您打开解压缩自打包文件的文件时,该解压缩的文件会被扫描.
使用动态压缩工具,如PKLite,LZEXE,以及Diet压缩的文件都会被扫描.
19帮助文件4.
3.
5.
2配置单击右键扫描的清除重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
要配置单击右键扫描的清除1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>配置>单击右键扫描.
2.
单击清除标签.
3.
要自动清除感染的项目,请在病毒/间谍软件下勾选自动清除包含病毒/间谍软件的项目勾选框.
4.
请选择,在如果您尚未启用自动清除,或者,如果自动清除失败时,SophosAnti-Virus针对感染项目所采用的措施描述选项SophosAnti-Virus不采取任何措施,只是将感染的项目记录到扫描日志中.
请参见查看扫描日志(第47页).
这是默认的设置.
仅日志记录只在Sophos技术支持的建议下才使用这些设置.
否则,请使用"隔离区管理器"来清除SophosAnti-Virus在您的计算机中发现的病毒间谍软件.
请参见处置隔离区中的病毒/间谍软件(第37页).
Delete移至5.
在可疑文件下,请勾选某个SophosAnti-Virus措施,在当文件中发现通常在恶意软件中使用的代码时,采用该措施描述选项SophosAnti-Virus不采取任何措施,只是将感染的项目记录到扫描日志中.
这是默认的设置.
仅日志记录只在Sophos技术支持的建议下才使用这些设置.
否则,请使用"隔离区管理器"来清除SophosAnti-Virus在您的计算机中发现的病毒间谍软件.
请参见处置隔离区中的可疑文件(第40页).
Delete移至20SophosEndpointSecurityandControl6.
要删除所有用户的计算机上的广告软件/可能不想安装的应用程序(PUA)的所有组件,请在广告软件和PUA下,勾选自动清除广告软件/PUA勾选框.
对此所作的清除,并不会修复广告软件或可能不想安装的应用程序,已经对计算机所做的任何改变.
要了解在Sophos网站详细查看广告软件或PUA造成损害的信息,请参见获取清除信息(第43页).
要了解有关通过隔离区管理器,清除计算机中的广告软件和可能不想安装的应用程序的信息,请参见处置隔离区中的广告软件和可能不想安装的应用程序(第38页).
4.
3.
5.
3运行单击右键扫描您可以通过单击右键扫描,从"资源管理器"或桌面扫描文件,文件夹和驱动器.
1.
通过"资源管理器",或者,在桌面上,选择您想要文件,文件夹,或磁盘驱动器.
您可以选择多个文件和文件夹.
2.
右击该选项,然后,选择用SophosAnti-Virus扫描.
如果发现了任何安全隐患或受控程序,请单击更多,然后,参见此帮助文件中的管理隔离项目部分.
4.
3.
6自定义扫描4.
3.
6.
1创建自定义扫描1.
在主页中的防病毒和HIPS下,单击扫描.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
单击设置新扫描.
3.
在扫描名称文本框中,输入扫描的名称.
4.
在扫描项目面板中,选择您想要扫描的驱动器和文件夹.
勾选各驱动器或文件左边的勾选框,可以进行选择.
要了解出现在勾选框中的各种图标的含义,请参见扫描项目的示意图标(第22页).
注:在显示不可用的驱动器或文件夹(因为它们是离线的,或者已被删除)时,会有删除线.
如果它们被取消了勾选,或者,如果更改了对它们的父驱动器或父文件夹的选择,它们会被从扫描项目窗格板中删除.
5.
要进一步配置选项,单击配置本扫描.
(请参见配置自定义扫描(第22页)获取更多的信息.
)21帮助文件6.
要计划本扫描,单击计划本扫描.
(请参见计划自定义扫描(第26页)获取更多的信息.
)7.
单击存盘保存本扫描,或者,单击存盘并启动,保存并运行该扫描.
4.
3.
6.
2扫描项目的示意图标在扫描项目窗格板中,各种不同的图标会出现在每个项目(驱动器或文件夹)的勾选框中,图标的不同取决于要扫描的项目.
对这些图标的说明如下.
释意图标该项目及其所有子项目都没有被选择为扫描对象.
该项目及其所有子项目都已被选择为扫描对象.
部分地被选择的项目该项目本身没有被选择,但是,该项目的一些子项目被选择进行扫描.
该项目及其所有子项目会被从特定的扫描中排除.
部分地排除的项目该项目本身被选择,但是,该项目的一些子项目被从该特定的扫描中排除.
该项目及其所有子项目都已被从所有即时扫描中排除,因为已经设定了一个即时扫描的排除列表.
要了解信息,请参见添加,编辑,或删除读写扫描排除项目(第13页).
4.
3.
6.
3配置自定义扫描重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
依照默认值,SophosAnti-Virus会在进行自定义扫描时,检测和删除以下的安全隐患病毒特洛伊木马蠕虫间谍软件广告软件和其它可能不想安装的应用程序(PUA)rootkit22SophosEndpointSecurityandControl要配置自定义扫描1.
在主页中的防病毒和HIPS下,单击扫描.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在可用的扫描列表中,选择您想要编辑的扫描,然后,单击编辑.
3.
单击配置此扫描.
4.
在扫描下,按照以下说明设置选项.
描述选项广告软件显示广告活动(例如弹出消息),它会影响用户的工作效率和系统的运行效率.
可能不想安装的应用程序(PUA)不是恶意软件,但是通常被认为不适合在公司网络中使用.
广告软件和可能不想安装的应用程序可疑文件是在文件中出现了病毒中普遍具有,但又不仅是病毒中才具有的一系列特征的一种文件.
可疑文件如果您是SophosAdministrator组的成员,那么,在您运行完整计算机扫描时,总是会扫描rootkit.
您也可以将扫描rootkit,作为自定义扫描的一部分.
Rootkit23帮助文件5.
在其它扫描选项下,按照以下说明设置选项.
描述选项我们建议您只每周进行一次扫描所有文件,因为,扫描所有文件会降低计算机系统的运行效率.
扫描所有文件打开此选项,扫描档案或压缩档的内容.
只有当下载和分配此类文件而未选取内容时需要执行此操作.
我们建议您关闭此选项,因为,它会显著增加扫描的时间.
您将仍然受到保护,免遭打包文件或压缩文件中的任何安全隐患的威胁,因为,打包文件或压缩文件中的任何可能是恶意软件的组件,都会被读写扫描阻断扫描打包文件内部当您打开解压缩自打包文件的文件时,该解压缩的文件会被扫描.
使用动态压缩工具,如PKLite,LZEXE,以及Diet压缩的文件都会被扫描.
打开此选项,可以每小时自动运行一次后台扫描,检测隐藏在计算机系统内存(操作系统所使用的内存)中的恶意软件.
注:此选项仅在32位操作系统上有效.
扫描系统内存在WindowsVista及以上的操作系统中,以较低的优先级运行自定义扫描,以便最大限度地降低对用户应用程序运行效率的影响.
以较低的优先级运行扫描4.
3.
6.
4配置自定义扫描的清除重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
要配置自定义扫描的清除1.
在主页中的防病毒和HIPS下,单击扫描.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在可用的扫描列表中,选择您想要编辑的扫描,然后,单击编辑.
3.
单击配置此扫描.
4.
单击清除标签.
5.
要自动清除感染的文件,请在病毒/间谍软件下勾选自动清除包含病毒/间谍软件的文件勾选框.
24SophosEndpointSecurityandControl6.
请选择,在如果您尚未启用自动清除,或者,如果自动清除失败时,SophosAnti-Virus针对感染项目所采用的措施描述选项SophosAnti-Virus不采取任何措施,只是将感染的项目记录到自定义扫描的日志中.
请参见查看自定义扫描日志(第27页).
这是默认的设置.
仅日志记录只在Sophos技术支持的建议下才使用这些设置.
否则,请使用"隔离区管理器"来清除SophosAnti-Virus在您的计算机中发现的病毒间谍软件.
请参见处置隔离区中的病毒/间谍软件(第37页).
删除移至7.
在可疑文件下,请勾选某个SophosAnti-Virus措施,在当文件中发现通常在恶意软件中使用的代码时,采用该措施描述选项SophosAnti-Virus不采取任何措施,只是将感染的项目记录到扫描日志中.
这是默认的设置.
仅日志记录只在Sophos技术支持的建议下才使用这些设置.
否则,请使用"隔离区管理器"来清除SophosAnti-Virus在您的计算机中发现的病毒间谍软件.
请参见处置隔离区中的可疑文件(第40页).
Delete移至8.
要删除所有用户的计算机上的广告软件/可能不想安装的应用程序(PUA)的所有组件,请在广告软件和PUA下,勾选自动清除广告软件/PUA勾选框.
对此所作的清除,并不会修复广告软件或可能不想安装的应用程序,已经对计算机所做的任何改变.
要了解在Sophos网站详细查看广告软件或PUA造成损害的信息,请参见获取清除信息(第43页).
要了解有关通过隔离区管理器,清除计算机中的广告软件和可能不想安装的应用程序的信息,请参见处置隔离区中的广告软件和可能不想安装的应用程序(第38页).
25帮助文件4.
3.
6.
5计划自定义扫描如果您是SophosAdministrator组的成员,您可以计划自定义扫描,或者,查看和编辑其它用户已创建的计划扫描.
1.
在主页中的防病毒和HIPS下,单击扫描.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在可用的扫描列表中,选择您想要编辑的扫描,然后,单击编辑.
3.
单击计划本扫描.
4.
在计划扫描对话框中,选择启用计划.
选择扫描应该运行的时间.
单击添加可添加时间.
如果需要,选择时间,然后分别单击删除或编辑,可以删除或编辑该时间.
5.
输入用户名和密码.
请确保密码不为空白.
该计划扫描将依据该用户的访问权限运行.
注:如果扫描检测到内存中有安全隐患的组件,并且您尚未设置为扫描发现的病毒/间谍软件进行自动清除,那么,扫描会中止.
这是因为继续扫描,有可能会扩散安全隐患.
您必须在清除该安全隐患之后,再运行扫描.
4.
3.
6.
6运行自定义扫描注:您不能手动运行计划的自定义扫描.
计划了的扫描会显示在可用的扫描列表中,并带有一个时钟图标.
1.
在主页中的防病毒和HIPS下,单击扫描.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在可用的扫描列表中,选择您想要运行的扫描,然后,单击启动.
这时会有一个扫描进程对话框出现,同时活动摘要面板会出现在SophosEndpointSecurityandContro窗口中.
注:如果扫描检测到内存中有安全隐患的组件,并且您尚未设置为扫描发现的病毒/间谍软件进行自动清除,那么,扫描会中止.
这是因为继续扫描,有可能会扩散安全隐患.
您必须在清除该安全隐患之后,再运行扫描.
如果发现了安全隐患或受控程序,单击更多信息,并参见"管理隔离区项目".
26SophosEndpointSecurityandControl4.
3.
6.
7重新命名自定义扫描1.
在主页中的防病毒和HIPS下,单击扫描.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在可用的扫描列表中,选择您想要编辑的扫描,然后,单击编辑.
3.
在扫描名称文本框中,为扫描输入新的名称.
4.
3.
6.
8查看自定义扫描日志1.
在主页中的防病毒和HIPS下,单击扫描.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在可用的扫描列表中,单击自定义扫描的摘要.
3.
在摘要对话框中,单击底部的链接文字.
您可以从日志记录页中,复制日志记录到剪贴板,也可以用电子邮件发送日志记录,或者,直接打印日志记录.
要在日志记录中查找特定的文本,单击查找并输入您想查找的文本内容.
4.
3.
6.
9查看自定义扫描摘要1.
在主页中的防病毒和HIPS下,单击扫描.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在可用的扫描列表中,单击自定义扫描的摘要.
4.
3.
6.
10删除自定义扫描1.
在主页中的防病毒和HIPS下,单击扫描.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在可用的扫描列表中,选择您想要删除的扫描,然后,单击删除.
4.
3.
7运行完全的计算机扫描要扫描整个计算机系统,包括引导区和系统内存在主页页面下的防病毒和HIPS中,单击扫描我的电脑.
要了解有关主页页面的信息,请参见关于主页(第4页).
这时会有一个扫描进程对话框出现,同时活动摘要会出现在SophosEndpointSecurityandContro窗口中.
27帮助文件注:如果扫描检测到内存中有安全隐患的组件,那么,扫描会中止.
这是因为继续扫描,有可能会扩散安全隐患.
您必须在清除该安全隐患之后,再运行扫描.
如果发现了安全隐患或受控程序,单击更多信息,并参见管理隔离项目部分.
4.
4SophosBehaviorMonitoring4.
4.
1关于行为监控作为读写扫描的一部分,SophosBehaviorMonitoring保护Windows计算机免遭未被识别的或"零天"安全隐患,以及可疑行为的威胁.
运行时检测可以中止那些在执行前无法检测到的安全隐患.
行为监控使用以下的运行时检测的方法中止安全隐患恶意和可疑行为检测缓冲区溢出检测恶意和可疑行为检测可疑行为检测,通过Sophos的主机入侵防范系统(HIPS),动态地分析所有在计算机上运行的程序,以检测并阻断可能带有恶意的程序活动.
可疑行为,包括更改注册表,使得在计算机启动时,病毒会自动运行.
可疑行为检测会监测所有系统进程中恶意软件的活动迹象,如可疑的注册表写入操作,或文件复制操作等.
可以设置提醒管理员和/或阻断进程.
恶意行为检测,可以对所有运行在计算机上的程序进行动态分析,以检测并阻断已知的恶意行为.
缓冲区溢出检测缓冲区溢出检测对于处理当天最新出现的安全隐患很重要.
它可以动态地分析正在系统中运行的程序的行为,以便及时检测到使用缓冲区溢出手段利用正在运行的进程的企图.
它可以捕捉针对操作系统软件和应用程序软件中的安全漏洞发起的攻击.
4.
4.
2启用行为监控重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
如果您是SophosAdministrator组的成员,您可以启用行为监控.
1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>配置>行为监控.
2.
在配置行为监控对话框中,选择启用行为监控勾选框.
28SophosEndpointSecurityandControl4.
4.
3阻断恶意行为重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
恶意行为检测,是对所有运行在计算机上的程序进行动态分析,以检测并阻断已知的恶意行为.
如果您是SophosAdministrator组的成员,您可以更改检测和报告恶意行为的设置1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>配置>行为监控.
2.
在配置行为监控对话框中,选择启用行为监控勾选框.
3.
要提醒管理员,并阻断恶意行为,请勾选检测恶意行为勾选框.
4.
4.
4阻止可疑行为重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
可疑行为检测会监测所有系统进程中恶意软件的活动迹象,如可疑的注册表写入操作,或文件复制操作等.
可以设置提醒管理员和/或阻断进程.
如果您是SophosAdministrator组的成员,您可以更改检测和报告可疑行为的设置1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>配置>行为监控.
2.
在配置行为监控对话框中,选择启用行为监控勾选框.
3.
勾选检测恶意行为勾选框.
4.
要提醒管理员,并阻断可疑进程,请勾选检测可疑行为勾选框.
5.
要提醒管理员,但并不阻断可疑进程,请勾选仅限警告,不阻断可疑行为勾选框.
为了获得最可靠的保护,我们建议您扫描可疑文件.
要了解更多信息,请参见以下主题配置读写扫描(第8页)配置单击右键扫描(第18页)配置自定义扫描(第22页)4.
4.
5防止缓冲区溢出重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
29帮助文件缓冲区溢出检测可以动态地分析正在系统中运行的程序的行为,以便及时检测到使用缓冲区溢出手段利用正在运行的进程的企图.
如果您是SophosAdministrator组的成员,您可以更改检测和报告缓冲区溢出的设置1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>配置>行为监控.
2.
在配置行为监控对话框中,选择启用行为监控勾选框.
3.
要提醒管理员,并阻断缓冲区溢出,请勾选检测缓冲区溢出勾选框.
4.
要提醒管理员,但并不阻断缓冲区溢出,请勾选仅限警告,不阻断勾选框.
4.
5SophosLiveProtection4.
5.
1关于SophosLiveProtectionSophosLiveProtection可以判断可疑文件是否成为安全隐患,并且,如果是安全隐患,便可以立即采取在SophosAnti-Virus清除配置中指定的措施.
SophosLiveProtection可以显著提高对新出现的恶意软件的检出率,同时也不会做无谓的检测活动.
能够做到这一点,是因为能够随时比对最新的已知的恶意软件.
一旦确认了新的恶意软件,Sophos即可立即发出更新文件.
SophosLiveProtection使用以下选项启用LiveProtection如果终结点计算机上的防病毒扫描发现某个文件可疑,但是又无法根据存储在计算机上的安全隐患识别文件(IDE)进一步确认该文件中是否有恶意代码,那么,某些文件数据(如文件的检查和,以及其它属性)会被发送给Sophos以便做进一步的分析.
云计算检查会在SophosLabs数据库中迅速查看可疑文件.
如果文件被确认为是正常的,或者是带有恶意代码的,确认意见会被寄给该计算机,并且该文件的状态会被自动更新.
自动发送文件样本给Sophos如果某文件可疑,但是却又不能仅仅根据其文件数据就肯定地确认它具有恶意代码,那么,您可以允许Sophos要求此文件的样本.
如果此选项已启用,并且Sophos尚未具有该文件的样本,那么,该文件会被自动提交.
提交文件样本,有助于Sophos不断增强检测恶意软件的能力,并且降低误报的几率.
30SophosEndpointSecurityandControl4.
5.
2开启或关闭SophosLiveProtection选项重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
如果您是SophosAdministrator组的成员,您将可以开启或关闭SophosLiveProtection.
1.
单击主页>防病毒HIPS>配置防病毒和HIPS>配置>SophosLiveProtection.
2.
在SophosLiveProtection对话框中要开启或关闭向Sophos发送文件数据,请勾选或取消勾选启用LiveProtection勾选框.
要开启或关闭向Sophos发送文件样本,请勾选或取消勾选自动发送文件样本给Sophos勾选框.
只有在您已经选择了启用LiveProtection后,此选项才可用.
注意当向Sophos寄送文件样本进行在线扫描时,总是将文件数据同样本一同寄送.
4.
5.
3查看SophosLiveProtection日志记录为进行Sophos在线扫描而发送的文件数据,以及在扫描完成后更新的文件状态的信息,都记录在此计算机的扫描日志记录中.
如果SophosLiveProtection已启用,那么,日志记录会显示数据发送给了Sophos的文件所在的路径.
数据发送的时间.
如果数据发送失败了,失败的原因(除非原因不明).
文件的当前状态(例如,"病毒/间谍软件",如果该文件被确定为带有恶意代码).
要查看扫描日志记录在主页页面的防病毒和HIPS下,单击查看防病毒和HIPS日志.
要了解有关主页页面的信息,请参见关于主页(第4页).
您可以从日志记录页中,复制日志记录到剪贴板,也可以用电子邮件发送日志记录,或者,直接打印日志记录.
要在日志记录中查找特定的文本,单击查找并输入您想查找的文本内容.
31帮助文件4.
6SophosWebProtection4.
6.
1关于SophosWebProtectionSophosWebProtection能加强对网页中的安全隐患的防范.
它可以查看Sophos的感染网站在线数据库中的网站URL,然后,阻断访问任何已知带有恶意软件的网站.
以下的浏览器支持网页保护IEFirefoxGoogleChromeSafariOpera当访问恶意网站被阻断时,此事件会被记录到扫描日志中.
要了解有关查看扫描日志的信息,请参见查看扫描日志(第47页).
4.
6.
2解除阻断访问恶意网站重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
要解除阻断访问恶意网站1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>配置>网页保护.
2.
在阻断访问恶意网站下拉列表中,单击关闭.
要了解有关怎样批准已被归类为恶意网站的某个网站,请参见批准使用网站(第35页).
3.
在下载扫描下拉列表中,单击关闭,开启或当读写扫描时.
当读写扫描时设置将保留您现有的读写扫描设置.
4.
7SophosApplicationControl4.
7.
1关于扫描受控程序受控程序,是公司的安全策略不允许在您的计算机上运行的应用程序.
扫描受控程序,属于读写扫描的一部分,可以通过管理控制台来启用或禁用,成为某应用程序控制策略的一部分.
要了解有关读写扫描的信息,请参见关于读写扫描和即时扫描(第8页).
32SophosEndpointSecurityandControl4.
7.
2禁用扫描受控应用程序重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
如果启用了扫描受控程序,则可能会使您无法卸载某些应用程序.
如果您是SophosAdministrator组的成员,您可以暂时禁用此计算机上的受控程序.
要禁用扫描受控应用程序1.
在配置菜单中,单击应用程序控制.
2.
取消勾选启用读写扫描勾选框.
4.
8批准使用项目4.
8.
1批准广告软件和可能不想安装的应用程序重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
如果您想运行被SophosAnti-Virus归类为可能不想安装的应用程序的某个广告软件或应用程序,您可以按照以下说明批准它.
要批准广告软件和可能不想安装的应用程序1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>配置>批准.
2.
在广告软件/可能不想安装的应用程序标签页中的已知的广告软件/可能不想安装的应用程序列表中,选择广告软件/可能不想安装的应用程序.
3.
单击添加.
广告软件或可能不想安装的应用程序会出现在已批准的广告软件/可能不想安装的应用程序列表中.
注:您也可以在隔离区管理器中批准广告软件和可能不想安装的应用程序.
要了解有关怎样做的信息,请参见处置隔离区中的广告软件和可能不想安装的应用程序(第38页).
4.
8.
2阻断已批准的广告软件和可能不想安装的应用程序要避免当前批准的广告软件和可能不想安装的在您的计算机上运行1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>配置>批准.
33帮助文件2.
在广告软件/可能不想安装的应用程序标签页中的批准的广告软件/可能不想安装的应用程序列表中,选择您想要阻断的广告软件/可能不想安装的应用程序.
3.
单击删除.
4.
8.
3批准可疑项目重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
如果您想运行被SophosAnti-Virus归类为可疑项目的项目,您可以按照以下说明预批准它.
1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>配置>批准.
2.
单击已检测到的项目类型的标签页(例如,缓冲溢出).
3.
在已知的列表中,选择可疑项目.
4.
单击添加.
可疑项目会出现在批准列表中.
注:您还可以在隔离管理器中批准可疑项目.
要了解有关怎样做的信息,请参见以下主题处置隔离区中的可疑文件(第40页)处置隔离区中的可疑行为(第41页)4.
8.
4预批准可疑项目如果您想运行被SophosEndpointSecurityandControl归类为可疑项目的项目,您可以预批准它.
要预批准某个可疑项目1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>配置>批准.
2.
单击已检测到的项目类型的标签页(例如,缓冲溢出).
3.
单击新项目.
4.
找到该可疑项目,然后双击它.
可疑项目会出现在批准列表中.
34SophosEndpointSecurityandControl4.
8.
5批准使用网站重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
如果您不想阻断已被Sophos归类为恶意网站的某个网站,那么,您可以将它添加到已批准的网站的列表中.
批准某个网站,将会使该网站的URL避免Sophos扫描网站过滤服务的验证.
小心:批准已被归类为恶意网站的网站,会使您处于安全隐患之中.
因此,请在批准网站之前,确保访问该网站是安全的.
要批准使用网站1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>配置>批准.
2.
单击网站标签页.
3.
单击添加.
4.
键入域名或IP地址.
网站会出现在批准的网站列表中.
4.
9管理隔离项目4.
9.
1关于隔离区管理器隔离区管理器使您能够处置,在运行扫描时发现的,并且没有自动清除的项目.
隔离区中的每个项目,都是由于以下之一的某个原因,而被隔离的.
在发现该项目的那个扫描类型的设置中,没有选择清除选项(清除,删除,移动).
在发现该项目的那个扫描类型的设置中,已经选择了清除选项,但是该选项不起作用.
该项目受到多重感染,并且仍然含有其它的安全隐患.
该安全隐患只是部分地被检测到,需要进行完整的计算机扫描,才能彻底检测该安全隐患.
要了解具体怎样做,请参见运行完全的计算机扫描(第27页).
具有可疑行为的项目.
受控程序项目.
注:在读写扫描中检测到的,广告软件,可能不想安装的应用程序和多组件感染,会在隔离区管理器中列表显示.
在读写扫描中,不能对广告软件,可能不想安装的应用程序和多组件感染进行自动清除.
35帮助文件清除选项不起作用,因为没有足够的访问权限.
如果您拥有更大的权限,您可以使用隔离区管理器处置项目.
在扫描网页时检测到的安全隐患,不会在隔离区管理器中列出,因为所检测到的安全隐患并没有下载到您的计算机上.
因此,不必采取任何操作.
4.
9.
2隔离区管理器的布局隔离区管理器中会列示在扫描中检测到的所有项目,并且使您能够处置这些项目.
隔离区管理器窗口的组成部分,显示如下单击显示列表,可以筛选显示的项目类型.
项目识别,以及Sophos网站对其分析的链接.
文件名和项目所在的路径.
如果该项目与某个rootkit相关联,它会显示为隐藏.
如果有更多信息链接出现在文件名旁,这说明该项目是多组件感染.
单击该链接,可以查看其它的感染组件的列表.
如果某些组件是与某个rootkit相关联的,那么,在对话框中会指明这些组件已被隐藏.
您可以用于处置此项目的措施.
除非该项目是隐藏的,否则,有三种措施清除,删除,以及移动.
如果您单击其中某个措施,该措施会立即在该项目上执行,并会给与确认信息.
隐藏文件只能被清除.
36SophosEndpointSecurityandControl已检测到的项目的列表.
要对项目排序,请单击栏标之一.
单击全选,可以在所有项目上执行同一个措施.
要取消勾选某个项目,请取消勾选类型栏目中的勾选框.
如果您已选择了所有的项目,但想要取消此选择,请单击取消全选.
要选择某个项目,请单击类型栏目中的勾选框.
单击从列表中清除,可以从列表中删除所选的项目,而不处置它们.
此操作不会从磁盘中删除该项目.
单击执行措施,可以显示您能在所选的项目上执行的措施的列表.
4.
9.
3处置隔离区中的病毒/间谍软件注:这里所称的病毒是指任何病毒,蠕虫,特洛伊木马,或者其他恶意软件.
1.
在主页页面下的防病毒和HIPS,单击管理隔离项目.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在显示列表中,单击病毒/间谍软件.
有关每个项目的信息都显示在此栏中.
名称显示SophosAnti-Virus检测到的项目名称.
要了解更多关于该病毒间谍软件的信息,单击该名称,然后SophosAnti-Virus会将您连接到Sophos网站的病毒间谍软件分析部分.
详情显示项目的名称和路径.
如果该项目与某个rootkit相关联,它会显示为"隐藏".
如果有更多信息链接出现在文件名旁,这说明该项目是多组件感染.
单击该链接,可以查看其它的感染组件的列表.
如果任一该组件的与某个rootkit相关联,对话框会表明某些组件被隐藏.
可用措施显示您可以针对该项目所采取的措施.
除非该项目是隐藏的,否则,有三种措施清除,删除,移动.
具体描述如下.
如果您单击其中一个措施,该措施会在该项目上执行,并会给与确认信息.
隐藏文件只能被清除.
处置感染项目要处置病毒/间谍软件,请使用以下说明的按钮.
全选/取消全选37帮助文件单击这两个按钮可以全选,或者取消全选所有的项目.
这使您能够针对一组项目,同时施行相同的措施.
要勾选或者取消勾选特定的项目,请勾选项目类型左边的勾选框.
从列表中清除单击它,可以将所选的项目从列表中清除,如果您确信这些项目中不含有病毒/间谍软件.
不过,这并不会从磁盘中删除该项目.
执行操作单击它,可以显示您可以针对所选项目而执行的操作的列表.
单击清除,可以删除所选项目中的病毒或间谍软件.
清除文档,并不会修复病毒已对文档造成的损害.
注:要从您的计算机中彻底清除某些涉及数个组件的病毒间谍软件,或者,要清除隐藏的文件,您需要重新启动计算机.
如果出现这种情况,会有选项出现,您可以选择立即重新启动计算机,或者稍后重新启动计算机.
在计算机重新启动之后,会进行清除的最终步骤.
注:清除某些病毒时,会导致进行完整系统扫描,以清除所有病毒.
这可能会耗费较长时间.
当扫描完成时,可用的措施会更改为清除.
单击删除可以从您的计算机中删除所选项目.
请谨慎使用此功能.
单击移至可以将所选的项目移至其它文件夹.
这些项目所移至的文件夹,是在设置清除时,所指定的那个文件夹.
移走可执行文件,可以减少它们被运行的机会.
请谨慎使用此功能.
小心:有些时候,如果您删除或者移除了某个被感染的文件,您的计算机系统可能会工作不正常,因为无法找到该文件.
还有,某个被感染的文件可能仅仅只是多重感染的一部分.
在这种情况下,删除或移除某个特定的文件,并不能彻底清除计算机中的感染.
出现这种情况时,请联系Sophos技术支持寻求处置该项目的帮助.
要了解有关联系技术支持的信息,请参见技术支持(第106页).
要配置您可以执行何种措施,请参见配置用户使用隔离区管理器的权限(第7页).
4.
9.
4处置隔离区中的广告软件和可能不想安装的应用程序1.
在主页页面下的防病毒和HIPS,单击管理隔离项目.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在显示列表中,单击广告软件或可能不想安装的应用程序.
有关每个项目的信息都显示在此栏中.
38SophosEndpointSecurityandControl名称显示SophosAnti-Virus检测到的项目名称.
要了解更多关于该广告软件或可能不想安装的应用程序的信息,单击该名称,然后SophosAnti-Virus会将您连接到Sophos网站的广告软件或可能不想安装的应用程序分析部分.
详情显示广告软件或可能不想安装的应用程序的子类型.
如果该项目与某个rootkit相关联,它会显示为"隐藏".
如果有更多信息链接出现在子类型旁,这说明该项目是多组件的广告软件可能不想安装的应用程序.
单击该链接,可以查看其它的广告软件或可能不想安装的应用程序组件的列表.
如果任一该组件的与某个rootkit相关联,对话框会表明某些组件被隐藏.
可用措施显示您可以针对该项目所采取的措施.
有两种措施可以采用批准和清除,说明如下.
如果您单击其中一个措施,该措施会在该项目上执行,并会给与确认信息.
处置广告软件和可能不想安装的应用程序要处置广告软件和可能不想安装的应用程序,请使用以下说明的按钮.
全选/取消全选单击这两个按钮可以全选,或者取消全选所有的项目.
这使您能够针对一组项目,同时施行相同的措施.
要勾选或者取消勾选特定的项目,请勾选项目类型左边的勾选框.
从列表中清除如果您信任该项目,单击该按钮,可以将所选择的项目从列表中清除.
不过,这并不会从磁盘中删除该项目.
执行操作单击它,可以显示您可以针对所选项目而执行的操作的列表.
单击批准以批准所选项目在计算机上运行,如果您信任这些项目.
这会将项目添加到已批准的广告软件和可能不想安装的应用程序的列表中,这样SophosAnti-Virus将不会阻止该项目在您的计算机上运行.
单击清除以从所有用户的计算机上删除所选项目的所有已知组件.
要从计算机中清除广告软件和可能不想安装的应用程序,用户必须同时是WindowsAdministrators和SophosAdministrator组的成员.
注:要从您的计算机中彻底清除某些涉及数个组件的广告软件和可能不想安装的应用程序,或者,要清除隐藏的文件,您需要重新启动计算机.
如果出现这种情况,会有选项出现,您可以选择立即重新启动计算机,或者稍后重新启动计算机.
在计算机重新启动之后,会进行清除的最终步骤.
要配置您可以执行何种措施,请参见配置用户使用隔离区管理器的权限(第7页).
要查看已知的和已批准的广告软件和可能不想安装的应用程序,请单击配置批准.
39帮助文件4.
9.
5处置隔离区中的可疑文件可疑文件是指具有通常,但不只是,在病毒中发现的各种特征的文件.
1.
在主页页面下的防病毒和HIPS,单击管理隔离项目.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在显示列表中,单击显示文件.
有关每个项目的信息都显示在此栏中.
名称显示SophosAnti-Virus检测到的项目名称.
要了解更多关于该可疑文件的信息,单击该名称,然后SophosAnti-Virus会将您连接到Sophos网站的可疑文件分析部分.
详情显示项目的名称和路径.
如果该项目与某个rootkit相关联,它会显示为"隐藏".
可用措施显示您可以针对该项目所采取的措施.
除非该项目是隐藏的,否则,有三种措施清除,删除,移动.
具体描述如下.
如果您单击其中一个措施,该措施会在该项目上执行,并会给与确认信息.
隐藏文件只能被批准.
处置可疑文件要处置可疑文件,请使用以下说明的按钮.
全选/取消全选单击这两个按钮可以全选,或者取消全选所有的项目.
这使您能够针对一组项目,同时施行相同的措施.
要勾选或者取消勾选特定的项目,请勾选项目类型左边的勾选框.
从列表中清除如果您信任该项目,单击该按钮,可以将所选择的项目从列表中清除.
不过,这并不会从磁盘中删除该项目.
执行操作单击它,可以显示您可以针对所选项目而执行的操作的列表.
单击批准以批准所选项目在计算机上运行,如果您信任这些项目.
这会将项目添加到已批准的可疑项目的列表中,这样SophosAnti-Virus将不会阻止对这些文件的访问.
单击删除可以从您的计算机中删除所选项目.
请谨慎使用此功能.
单击移至可以将所选的项目移至其它文件夹.
这些项目所移至的文件夹,是在设置清除时,所指定的那个文件夹.
移走可执行文件,可以减少它们被运行的机会.
请谨慎使用此功能.
小心:有些时候,如果您删除或者移除了某个被感染的文件,您的计算机系统可能会工作不正常,因为无法找到该文件.
40SophosEndpointSecurityandControl要配置您可以执行何种措施,请参见配置用户使用隔离区管理器的权限(第7页).
要查看已批准的可疑文件,请单击配置批准.
4.
9.
6处置隔离区中的可疑行为可疑行为是看起来带有恶意的程序活动.
1.
在主页页面下的防病毒和HIPS,单击管理隔离项目.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在显示列表中,单击可疑行为.
有关每个项目的信息都显示在此栏中.
名称显示SophosAnti-Virus检测到的项目名称.
要了解更多关于该可疑行为的信息,单击该名称,然后SophosAnti-Virus会将您连接到Sophos网站的可疑行为分析部分.
详情显示项目的名称和路径.
可用措施显示您可以针对该项目所采取的措施.
如果您已启用了阻断可疑行为,可采用的措施为批准,说明如下.
如果您单击该措施,该措施会在该项目上执行,并会给与确认信息.
处置可疑行为要处置可疑行为,请使用以下说明的按钮.
全选/取消全选单击这两个按钮可以全选,或者取消全选所有的项目.
这使您能够针对一组项目,同时施行相同的措施.
要勾选或者取消勾选特定的项目,请勾选项目类型左边的勾选框.
从列表中清除如果您信任该项目,单击该按钮,可以将所选择的项目从列表中清除.
不过,这并不会从磁盘中删除该项目.
执行操作单击它,可以显示您可以针对所选项目而执行的操作的列表.
单击批准以批准所选项目在计算机上运行,如果您信任这些项目.
这会将项目添加到已批准的可疑项目的列表中,这样SophosAnti-Virus将不会阻止该行为.
要配置您可以执行何种措施,请参见配置用户使用隔离区管理器的权限(第7页).
要查看已批准的可疑行为,请单击配置批准.
41帮助文件4.
9.
7处置隔离区中的受控程序受控程序,是公司的安全策略不允许在您的计算机上运行的应用程序.
1.
在主页页面下的防病毒和HIPS,单击管理隔离项目.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在显示列表中,单击受控程序.
有关每个项目的信息都显示在此栏中.
名称显示SophosAnti-Virus检测到的项目名称.
要了解更多关于该受控程序的信息,单击该名称,然后SophosAnti-Virus会将您连接到Sophos网站的受控程序分析部分.
详情显示受控程序的子类型.
如果更多信息的链接出现在子类型旁,单击它可以查看受控程序的其它组件的列表.
可用措施显示您可以针对该项目所采取的措施.
不过,除了以下说明的,从列表中清空该项目之外,没有措施可以用于受控程序.
处置受控程序要处置受控程序,请使用以下说明的按钮.
全选/取消全选单击这两个按钮可以全选,或者取消全选所有的项目.
这使您能够针对一组项目,同时施行相同的措施.
要勾选或者取消勾选特定的项目,请勾选项目类型左边的勾选框.
从列表中清除单击该按钮,可以从列表中删除所选择的项目.
不过,这并不会从磁盘中删除该项目.
受控程序必须通过中央控制台批准之后,才能使用.
4.
10清除4.
10.
1关于清除清除可以通过以下方式,消除您计算机上的安全隐患删除软盘引导区,文档,程序,以及任何被扫描的项目中的病毒/间谍软件.
移动或删除该可疑文件删除广告软件或可能不想安装的应用程序当SophosAnti-Virus自动清除带有病毒/间谍软件的项目时,会删除纯粹是恶意软件的项目,并且会清除其它项目中感染的病毒.
这些病毒感染被清除之后的文件,应被视42SophosEndpointSecurityandControl为已发生不可逆的损坏,因为病毒扫描程序并不知道文件在感染病毒之前所包含的内容.
清除文档清除文档,并不会修复病毒/间谍软件已对文档造成的损害.
请参见获取清除信息(第43页)以了解怎样从Sophos网站中查看有关病毒/间谍软件的破坏作用的详情.
清除程序清除程序,应该只是作为一种临时的措施.
您应该接着就用原盘或者无病毒的备份,重新替换被清除过的程序.
清除网页安全隐患对于扫描网页时检测到的安全隐患,则无需清除,因为所检测到的安全隐患并没有下载到您的计算机上.
注:清理威胁可能无法撤销威胁对计算机做出的所有更改.
例如,如果威胁更改了设定值,清理进程可能不知道原始设置.
您可能需要验证计算机的配置.
清除感染文档,并不会修复病毒已对文档所作的任何改变.
4.
10.
2获取清除信息当您的计算机中发现了安全隐患时,查看Sophos网站中的安全隐患分析,获取该安全隐患的相关信息,及其清除建议,是非常重要的.
您可以从以下位置进行此任务桌面消息警报(读写扫描)扫描进程对话框(自定义扫描和单击右键扫描)隔离区管理器(所有扫描类型)通过桌面消息警报获取信息如果您的计算机中启用了读写扫描,SophosAnti-Virus会在发现安全隐患时,出现桌面消息警报.
在消息框中,单击您想要获取相关信息的安全隐患的名称.
SophosAnti-Virus会将您连接到Sophos网站的安全隐患分析部分.
通过扫描进程对话框获取信息对于自定义扫描和单击右键扫描,请在扫描进程对话框(或者,在扫描结束后,出现的扫描摘要对话框)中的日志记录里,单击您想要了解的安全隐患的名称.
SophosAnti-Virus会将您连接到Sophos网站的安全隐患分析部分.
通过隔离区管理器获取信息1.
在主页页面下的防病毒和HIPS,单击管理隔离项目.
要了解有关主页页面的信息,请参见关于主页(第4页).
43帮助文件2.
在名称栏中,单击您想要了解的安全隐患的名称.
SophosAnti-Virus会将您连接到Sophos网站的安全隐患分析部分.
4.
11配置警报4.
11.
1配置防病毒桌面消息发送重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
要使SophosAnti-Virus在发现安全隐患时,显示桌面消息,请按照以下说明做.
这仅仅应用于读写扫描.
1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>警报>消息发送.
2.
在消息发送对话框中,单击桌面消息发送标签.
请按以下说明设置选项.
启用桌面消息发送选择该项,启用SophosAnti-Virus在发现安全隐患时,显示桌面消息.
要发送的消息选择您想要SophosAnti-Virus发送桌面消息的事件.
用户定义消息在此文本框中,您可以输入一段消息文字,它会被添加到标准的消息文字之后.
注:用户定义的消息不会在Windows8计算机中显示.
4.
11.
2配置防病毒电子邮件警报重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
要启用SophosAnti-Virus在发现安全隐患,或出现错误时,发送电子邮件警报,请按以下说明做.
这应用于读写扫描,即时扫描和单击右键扫描.
1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>警报>消息发送.
44SophosEndpointSecurityandControl2.
在消息发送对话框中,单击电子邮件警报标签.
请按以下说明设置选项.
启用电子邮件警报发送选择该项,以启用SophosAnti-Virus发送电子邮件警报.
要发送的消息选择您想要SophosAnti-Virus发送电子邮件警报的事件.
扫描错误中包括SophosAnti-Virus被拒绝访问试图扫描的项目的情况.
SophosAnti-Virus不会就扫描网页时检测到的安全隐患发出电子邮件警报,因为所检测到的安全隐患并没有下载到您的计算机上.
因此,不必采取任何操作.
收件人单击添加或删除分别添加或删除电子邮件警报的寄往地址.
单击编辑更改您所添加的电子邮件地址.
配置SMTP单击该项,更改SMTP服务器和电子邮件警报语言的设置.
(请参见以下表格.
)配置SMTP设置在文本框中,输入主机名或SMTP服务器的IP地址.
单击测试以测试到SMTP服务器的连接.
(这不会发送测试的电子邮件.
)SMTP服务器在文本框中,输入退回邮件和未送达报告将要寄往的地址.
SMTP"寄件人"地址由于电子邮件警报是从无人照管的邮箱发出的,您可以在文本框中,输入电子邮件警报的回复地址.
SMTP"回复"地址单击下拉箭头,然后选择寄送电子邮件警报所使用的语言.
语言4.
11.
3配置防病毒SNMP消息发送重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
要启用SophosAnti-Virus在发现安全隐患,或出现错误时,发送SNMP消息,请按以下说明做.
这应用于读写扫描,即时扫描和单击右键扫描.
1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>警报>消息发送.
45帮助文件2.
在消息发送对话框中,单击SNMP消息发送标签.
请按以下说明设置选项.
启用SNMP消息发送选择该项,以启用SophosAnti-Virus发送SNMP消息.
要发送的消息选择您想要SophosAnti-Virus发送SNMP消息的事件.
扫描错误中包括SophosAnti-Virus被拒绝访问试图扫描的项目的情况.
SophosAnti-Virus不会就扫描网页时检测到的安全隐患发送SNMP消息,因为所检测到的安全隐患并没有下载到您的计算机上.
因此,不必采取任何操作.
SNMP陷阱目标在文本框中,输入寄送警报的计算机的IP地址或名称.
SNMP团体名在文本框中,输入SNMP团体名.
测试单击该按钮,发送SNMP测试消息到您所指定的SNMP陷阱目标.
4.
11.
4配置防病毒事件日志记录要使SophosAnti-Virus在发现安全隐患,或出现错误时,能够将警报添加到Windows的事件日志中,请按照以下说明做.
这应用于读写扫描,即时扫描和单击右键扫描.
1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>警报>消息发送.
2.
在消息发送对话框中,单击事件日志标签.
请按以下说明设置选项.
启用事件日志记录选择该项,启用SophosAnti-Virus向Windows事件日志寄送消息.
要发送的消息选择您想要SophosAnti-Virus发送消息的事件.
扫描错误中包括SophosAnti-Virus被拒绝访问试图扫描的项目的情况.
SophosAnti-Virus不会就扫描网页时检测到的安全隐患发送消息,因为所检测到的安全隐患并没有下载到您的计算机上.
因此,不必采取任何操作.
46SophosEndpointSecurityandControl4.
12扫描日志4.
12.
1配置扫描日志此计算机的扫描日志存储在以下路径中C:\ProgramData\Sophos\SophosAnti-Virus\logs\SAV.
txtWindowsVista,Windows7,Windows8,WindowsServer2008,WindowsServer2008R2,WindowsServer2012C:\DocumentsandSettings\AllUsers\Application其它Windows操作平台Data\Sophos\SophosAnti-Virus\logs\SAV.
txt1.
单击主页>防病毒和HIPS>查看防病毒和HIPS日志>配置日志.
2.
在配置本计算机的日志记录对话框中,按照以下说明设置选项.
日志记录级别要停止所有日志记录,请单击无记录.
要记录摘要信息,出错消息等,单击普通记录.
要记录详细信息,包括被扫描的文件,扫描的主要阶段的情况等,单击详尽记录.
日志记录归档要启用每月归档日志文件,选择启用归档.
归档文件与日志文件存储在同一个文件夹中.
选择归档文件数设定最旧的文件被删除前,所能存储的归档文件数.
选择压缩日志记录以减少日志文件的大小.
4.
12.
2查看扫描日志在主页页面的防病毒和HIPS下,单击查看防病毒和HIPS日志.
要了解有关主页页面的信息,请参见关于主页(第4页).
您可以从日志记录页中,复制日志记录到剪贴板,也可以用电子邮件发送日志记录,或者,直接打印日志记录.
要在日志记录中查找特定的文本,单击查找并输入您想查找的文本内容.
47帮助文件5SophosApplicationControl5.
1关于扫描受控程序受控程序,是公司的安全策略不允许在您的计算机上运行的应用程序.
扫描受控程序,属于读写扫描的一部分,可以通过管理控制台来启用或禁用,成为某应用程序控制策略的一部分.
要了解有关读写扫描的信息,请参见关于读写扫描和即时扫描(第8页).
5.
2禁用扫描受控应用程序重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
如果启用了扫描受控程序,则可能会使您无法卸载某些应用程序.
如果您是SophosAdministrator组的成员,您可以暂时禁用此计算机上的受控程序.
要禁用扫描受控应用程序1.
在配置菜单中,单击应用程序控制.
2.
取消勾选启用读写扫描勾选框.
48SophosEndpointSecurityandControl6SophosDeviceControl6.
1关于此计算机上的设备控制如果在此计算机上没有使用管理控制台管理SophosEndpointSecurityandControl,那么,不会包括设备控制功能.
设备控制可以通过管理控制台启用或禁用.
如果设备控制是启用的,它可能会使您在维护或排疑解难时,不能连接设备.
如果出现这种情况,您可以暂时禁用此计算机上的设备控制.
要了解信息,请参见暂时禁用设备控制(第49页).
6.
2受控制的是什么类型的设备设备控制阻断或运行在计算机上的三种类型的设备存储设备,网络设备,以及短距设备(shortrange).
存储可移动存储设备(如USB闪存,PC读卡器,以及外置硬盘)光学介质驱动器(CD-ROM/DVD/Blu-ray驱动器)软盘驱动器安全的移动存储设备(例如,硬件加密的USB闪存)网络调制解调器无线连接(Wi-Fi接口,802.
11标准)此计算机上的设备控制策略可能处于阻断桥接模式,它会在计算机(通常是通过以太网连接的方式)连接到物理网络时,禁用无线或调制解调网络适配器.
一旦计算机与物理网络断开了连接,无线或调制解调网络适配器会顺畅地重新启用.
短距(shortrange)蓝牙接口红外接口((IrDA红外接口)6.
3暂时禁用设备控制重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
49帮助文件如果您是SophosAdministrator组的成员,而想要连接某设备到该计算机,进行维护工作,或障碍排除工作(例如从某CD上安装软件),您可以暂时禁用设备控制.
要禁用此计算机上的设备控制1.
在配置菜单中,单击设备控制.
2.
清除勾选启用SophosDeviceControl勾选框.
6.
4配置数据控制日志1.
在配置菜单中,单击设备控制.
2.
在日志记录级别下,选择以下选项之一单击无以停止日志记录.
单击普通以日志记录摘要信息,出错消息,等等.
单击详尽以提供比通常多得多的活动的信息.
仅在需要用它来处理出现的问题时,才使用这一设置,因为,日志记录的内容会迅速增加.
3.
在日志归档下,按照屏幕上显示的说明做.
6.
5查看设备控制日志在主页页面的设备控制下,单击查看设备控制日志.
要了解有关主页页面的信息,请参见关于主页(第4页).
您可以从日志记录页中,复制日志记录到剪贴板,也可以用电子邮件发送日志记录,或者,直接打印日志记录.
要在日志记录中查找特定的文本,单击查找并输入您想查找的文本内容.
50SophosEndpointSecurityandControl7SophosDataControl7.
1关于此计算机上的数据控制如果在此计算机上没有使用管理控制台管理SophosEndpointSecurityandControl,那么,不会包括数据控制功能.
可以通过管理控制台发布的策略可以启用或禁用数据控制.
不过,如果您是SophosAdministrator组的成员,您可以为了进行维护或排错,而暂时禁用计算机上的数据控制要了解信息,请参见暂时禁用数据控制(第51页).
7.
2暂时禁用数据控制重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
如果您是SophosAdministrator组的成员,您可以为了进行维护或排错,而暂时禁用计算机上的数据控制1.
在配置菜单中,单击数据控制.
2.
清除勾选启用SophosDataControl勾选框.
7.
3怎样添加文件到存储设备如果在计算上启用了数据控制,那么,数据控制策略可能会阻断使用以下方法将文件添加到受控制的存储设备的尝试从程序中保存数据使用DOS复制命令使用资源管理器在设备中创建新文件如果看到桌面警报对此发出的警告,您应该将文件保存到硬盘或网络驱动器上,然后,通过"资源管理器"将它复制到存储设备中.
7.
4配置数据控制日志1.
在配置菜单中,单击数据控制.
2.
在日志记录级别下,选择以下选项之一单击无以停止日志记录.
单击普通以日志记录摘要信息,出错消息,等等.
51帮助文件单击详尽以提供比通常多得多的活动的信息.
仅在您需要测试新的数据控制规则时使用此设置,因为,日志记录的内容会迅速增加.
3.
在日志归档下,按照屏幕上显示的说明做.
7.
5查看数据控制日志在主页页面的数据控制下,单击查看数据控制日志.
要了解有关主页页面的信息,请参见关于主页(第4页).
您可以从日志记录页中,复制日志记录到剪贴板,也可以用电子邮件发送日志记录,或者,直接打印日志记录.
要在日志记录中查找特定的文本,单击查找并输入您想查找的文本内容.
52SophosEndpointSecurityandControl8SophosWebControl8.
1关于此计算机上的网页控制SophosWebControl为在您的公司网络中,网络外,以及漫游的终结点计算机提供保护,控制,和报告.
注:此功能没有包括在所有的用户授权使用许可协议中.
如果您想要使用它,您可能需要更改您的用户授权使用许可协议.
如果在此计算机上没有使用管理控制台管理SophosEndpointSecurityandControl,那么,不会包括网页控制功能.
通过管理控制台发布的策略可以启用或禁用网页控制.
不过,如果您是SophosAdministrator组的成员,您可以暂时禁用计算机上的网页控制.
要了解有关怎样做的信息,请参见暂时禁用网页控制(第53页).
8.
2暂时禁用网页控制重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
如果您是SophosAdministrator组的成员,您可以为了进行维护或排错,而暂时禁用网页控制,以后在重新启用它.
要禁用此计算机上的网页控制1.
在配置菜单中,单击网页控制.
2.
取消勾选启用网页控制勾选框.
53帮助文件9SophosClientFirewall9.
1开始使用防火墙当防火墙首次安装后,您可能需要配置它.
您是否需要配置,取决于它是怎样被安装的.
有两种类型的安装安装在联网计算机上,并从管理控制台管理.
安装在独立使用的计算机上,并从该计算机管理.
从管理控制台管理的防火墙如果防火墙已安装并从管理控制台管理,那么,它会根据策略设置的规则来允许或阻断应用程序和通讯流.
除非策略将防火墙放入交互模式(见下)中,不会有任何消息提示您,您不需要对防火墙进行任何配置.
从计算机管理的防火墙如果防火墙是从计算机上管理的,那么,建议您先创建规则允许常用的应用程序和服务(如网络浏览器和电子邮件客户端)的网络访问.
要了解更多有关创建规则的信息,请参见关于配置防火墙(第55页).
防火墙也将从交互模式(见下)中开始.
保留防火墙在交互模式中一段时间,以便能够允许或阻断您使用的其它应用程序和服务.
一旦您配置了防火墙,它将识别您常用的应用程序,这时,建议您更换到某个非交互模式中去.
要了解信息,请参见更改到非交互模式(第64页).
什么是交互模式在交互模式中,防火墙会询问您允许或阻断任何没有应用规则的应用程序和通讯流.
要了解有关怎样处理来自防火墙的消息的信息,请参见关于交互式模式(第63页).
在Windows8操作系统中,交互式模式不可用.
您必须添加指定的策略规则来允许或阻断应用程序.
或者,您可以在管理控制台中使用事件查看器,以交互方式管理应用程序.
54SophosEndpointSecurityandControl9.
2配置防火墙9.
2.
1关于配置防火墙您可以用各种方式配置防火墙,然后启用它.
如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
一些常用的功能列示如下启用交互模式(第63页)筛选ICMP消息(第61页)允许LAN上所有的通讯流(第57页)允许FTP下载(第57页)创建全局规则(第68页)允许应用程序(第59页)允许应用程序启动隐藏进程(第74页)允许应用程序使用原始套接字(第74页)使用检查和鉴定应用程序(第75页)9.
2.
2临时禁用防火墙如果您是SophosAdministrator组的成员,您可以为了进行维护或排错,而暂时禁用防火墙,以后在重新启用它.
即使您重新启动计算机,SophosEndpointSecurityandControl还是会将您在此所作的设置保留.
如果您禁用防火墙,您的计算机将处于非保护状态,直到您重新启用防火墙.
1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,勾选主路径或副路径旁的允许所有的通讯流勾选框.
55帮助文件9.
2.
3允许电子邮件重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击应用程序标签.
4.
单击添加,找到该电子邮件应用程序,然后,双击它.
该电子邮件应用程序作为受信任的程序而被允许.
受信任的应用程序会被允许完全的,无条件的网络访问,包括访问因特网.
为了更安全,您可以应用Sophos提供的预置规则1.
在允许的应用程序列表中,单击电子邮件应用程序.
2.
单击自定义>从预置中添加规则>电子邮件客户端.
9.
2.
4允许使用网页浏览器注:如果您允许使用网页浏览器,您同时也允许FTP访问.
1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击应用程序标签.
4.
单击添加,找到该网页浏览器,然后,双击它.
该网页浏览器作为受信任的程序而被允许.
受信任的应用程序会被允许完全的,无条件的网络访问,包括访问因特网.
为了更安全,您可以应用Sophos提供的预置规则1.
在允许的应用程序列表中,单击网页浏览器应用程序.
2.
单击自定义>从预置中添加规则>浏览器.
56SophosEndpointSecurityandControl9.
2.
5允许FTP下载注:如果您已经允许使用可以访问FTP服务器的网页浏览器,那么,您不需要再次允许FTP下载.
1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击应用程序标签.
4.
单击添加,找到该FTP应用程序,然后,双击它.
该FTP应用程序作为受信任的程序而被允许.
受信任的应用程序会被允许完全的,无条件的网络访问,包括访问因特网.
为了更安全,您可以应用Sophos提供的预置规则1.
在允许的应用程序列表中,单击FTP应用程序.
2.
单击自定义>从预置中添加规则>FTP客户端.
9.
2.
6允许LAN上所有的通讯流要允许LAN(局域网)上的计算机之间的所有通讯流1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
在LAN标签页中,按照以下说明做单击检测LAN以检测您的计算机所在的LAN,并将其添加到网络地址列表中.
单击添加.
在选择地址对话框中,选择地址格式,输入域名或IP地址,然后,单击添加.
注:如果您勾选了本地网络(自动检测),那么,您不需要进行任何输入.
此选项目前在Windows8操作系统中不可用.
要了解关于本地网络检测的信息,请参见关于本地网络检测(第68页).
4.
单击确定,以关闭选择地址对话框.
5.
在LAN设置列表中,为网络勾选信任的勾选框.
57帮助文件注意如果您允许LAN(局域网)上的计算机之间的所有通讯流,您同时也就允许LAN上的文件和打印机共享.
9.
2.
7允许在LAN上共享所有的文件和打印机注:如果您已经LAN(局域网)上的计算机之间的所有通讯流,那么,您不必再进行允许文件和打印机共享的操作.
要允许在LAN上共享所有的文件和打印机1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
在LAN标签页中,按照以下说明做单击检测LAN以检测您的计算机所在的LAN,并将其添加到网络地址列表中.
单击添加.
在选择地址对话框中,选择地址格式,输入域名或IP地址,然后,单击添加.
注:如果您勾选了本地网络(自动检测),那么,您不需要进行任何输入.
此选项目前在Windows8操作系统中不可用.
要了解关于本地网络检测的信息,请参见关于本地网络检测(第68页).
4.
单击确定,以关闭选择地址对话框.
5.
在LAN设置列表中,为LAN勾选NetBIOS勾选框,以允许LAN上的文件和打印机共享.
要了解有关怎样阻断或允许在LAN设置列表中没有列示的其它的局域网(LAN)中的文件和打印机共享,请参见以下主题阻断不想要的文件和打印机共享(第59页)允许灵活控制文件和打印机共享(第58页)要了解怎样允许LAN上的所有通讯流,请参见允许LAN上所有的通讯流(第57页).
9.
2.
8允许灵活控制文件和打印机共享如果您想要更灵活地控制网络中的文件和打印机共享(例如单项NetBIOS通讯流),您可以这样做58SophosEndpointSecurityandControl1.
允许文件和打印机在LAN设置列表中没有列示的其它的局域网(LAN)中共享.
这将允许按照防火墙的规则来处理这些局域网中的NetBIOS通讯流.
2.
创建"高优先级通用规则",允许与具有适当的NetBIOS端口和协议的主机往来通讯.
建议您不是通过使用默认规则,而是通过创建通用规则,明确地阻断所有不想要的文件和打印机共享通讯流.
要允许文件和打印机在LAN设置列表中没有列示的其它的局域网(LAN)中共享1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
在LAN标签页中,取消勾选阻断其它网络的文件和打印机共享勾选框.
9.
2.
9阻断不想要的文件和打印机共享要阻断没有在LAN标签页中的LAN设置列表中指定的局域网上的文件和打印机共享1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
在LAN标签页中,勾选阻断其它网络的文件和打印机共享勾选框.
9.
2.
10允许应用程序1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击应用程序标签.
4.
单击添加,找到该应用程序,然后,双击它.
该程序将作为受信任的程序而被允许.
受信任的应用程序会被允许完全的,无条件的网络访问,包括访问因特网.
为了更安全,您可以应用一个或多个应用程序规则到特定的条件中,应用程序须满足该条件才能运行.
要创建应用程序规则(第71页)应用预置的应用程序规则(第71页)59帮助文件9.
2.
11阻断应用程序1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击应用程序标签.
4.
如果应用程序没有在列表中,请单击添加,找到该应用程序,然后,双击它.
5.
在列表中选择应用程序,然后,单击阻断.
9.
2.
12阻断IPv61.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
基于操作系统在Windows7或更早的操作系统中,在常规标签页中的阻断下,选择阻断IPv6包.
在Windows8操作系统中,在全局规则标签页中,选择阻断所有IPv6通讯流.
9.
2.
13开启或关闭使用检查和如果您启用使用检查和验证应用程序,那么,您将信任或阻断通过检查和来自动识别的应用程序(您也可以手动添加检查和).
如果应用程序不匹配检查和,那么,它会被阻断.
如果禁用此选项,应用程序通过它们的文件名来被识别.
要开启或关闭使用检查和验证应用程序1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
60SophosEndpointSecurityandControl3.
基于操作系统在Windows7及更早的操作系统中,在阻断下,取消勾选使用检查和验证应用程序勾选框.
在Windows8操作系统中,单击应用程序标签页,并取消勾选使用检查和验证应用程序勾选框.
要开启使用检查和验证应用程序,请勾选该勾选框.
9.
2.
14开启或关闭阻断已修改的进程注:Windows8系统中,该选项不可用,因为它通过"SophosAnti-VirusHIPS"技术自动进行处理.
恶意软件可能会通过修改所运行的受信任的程序在内存中的进程,而越过防火墙,然后,通过已修改的进程代表恶意软件自身访问网络.
您可以配置防火墙检测并阻断在内存中已修改的进程.
要开启或关闭阻断已修改的进程1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
在常规标签页的阻断部分中,取消勾选如果内存被其它应用程序修改,则阻断进程.
(仅限32位操作系统)勾选框,关闭阻断已修改的进程.
要开启阻断已修改的进程,请勾选该勾选框.
如果防火墙检测到内存中的某个进程已被修改,它会添加规则,以防止已修改的进程访问网络.
注意我们不建议您永久地关闭阻断已修改的进程.
您应该只在需要时,才关闭它.
在64位版的Windows上不支持阻断已修改的进程.
只会阻断已修改的进程.
不会阻断修改的程序访问网络.
9.
2.
15筛选ICMP消息Internet控制消息协议(ICMP)消息允许联网计算机共享出错和状态信息.
您可以允许或阻断特定类型的流入或流出的ICMP消息.
您应该只在熟悉网络协议的情况下,才筛选ICMP消息.
要了解对ICMP消息类型的说明,请参见ICMP消息类型说明(第62页).
61帮助文件要筛选ICMP消息1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击ICMP标签页.
界面会因操作系统的不同而不同在Windows7或更早的操作系统中,勾选流入或流出勾选框,以允许流入或流出特定类型的消息.
在Windows8中,ICMP消息是按照类型分为各个部分的.
您可以从下拉列表中选择通用的设置,或者,可以单击详情查看或编辑这些设置.
9.
2.
16ICMP消息类型说明网络错误报告当路由器不能送达某IP数据报时,会发出此消息.
数据报是在TCP/IP网络中传输的数据单元,或数据包.
目标不可访问,回显回复如果主机或路由器接收到数据的速度太快,而无法应付时,会发出此消息.
此消息是请求源降低数据报的传输率.
源抑制如果数据报在路由器中传输时,达到了路由器的最大限制,路由器会发出此消息.
超时如果在传输数据报的过程中,出现问题而无法继续时,路由器会发出此消息.
此问题的一个潜在根源是无效的数据报报头.
参数问题网络故障排除用于测试目标是否能够访问,及其状态.
主机会发送一个回显请求,并监听回应的回显回复.
最常见的做法是使用ping命令.
回显请求,回显回复IPv4网络地址和路由配置如果某路由器收到本应该发送给别的路由器的数据报,会发出此消息.
此消息包含源在今后应该定向发送数据报的地址.
它被用来优化网络通讯流的路由.
重定向允许主机知晓路由器的存在状况.
路由器通过路由器公告消息,定期播报它们的IP地址.
主机也会通过播报路由路由器公告,路由器请求器请求消息来请求某个路由器的地址,对此,路由器会使用路由器公告来回复62SophosEndpointSecurityandControl用于同步化主机之间的时钟,以及估计传输时间.
时间戳请求,时间戳回复已过时这些消息早先被主机用来决定它们的内部网络地址,但现在被认为已过时,不应该再使用.
信息请求,信息回复用于查找子网掩码(即定义网络的地址位).
主机向路由器发送地址掩码请求,并为此接收地址掩码回复.
地址掩码请求,地址掩码回复9.
2.
17恢复防火墙默认设置1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在管理配置下,单击恢复默认值.
9.
3在交互模式中工作9.
3.
1关于交互式模式注:在Windows8操作系统中,交互式模式不可用.
您必须添加指定的策略规则来允许或阻断应用程序.
或者,您可以在管理控制台中使用事件查看器,以交互方式管理应用程序.
在交互式模式中,每当未知的应用程序或服务请求网络访问时,防火墙会显示一个学习对话框.
学习对话框会询问您是否此次允许通讯流,或阻断通讯流,或是否为该类型的通讯流创建规则.
在交互式模式中,您将看到以下类型的学习对话框隐藏进程学习对话框(第64页)协议学习对话框(第65页)应用程序学习对话框(第65页)原始套接字学习对话框(第65页)检查和学习对话框(第65页)9.
3.
2启用交互模式1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
63帮助文件2.
在配置下,单击您想要配置的路径旁的配置.
3.
在常规标签页的工作模式下,单击交互式.
9.
3.
3更改到非交互模式有两种非交互模式默认允许默认阻断在非交互模式中,防火墙使用您的规则自动处理网络通讯流.
没有匹配任何规则的网络通讯流,要么全部被允许(如果它是流出通讯流),要么全部被阻断.
要更改到非交互模式1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
在常规标签的工作模式下,选择默认允许或默认阻断.
9.
3.
4隐藏进程学习对话框隐藏进程是应用程序启动另外的应用程序,为它执行某些网络访问的进程.
恶意的应用程序有时可以通过以下技巧避开防火墙它启动某个受信任的应用程序去访问网络,而不是自己去访问.
隐藏进程学习对话框,显示有关隐藏进程和启动它的应用程序的信息.
启用隐藏进程学习对话框(第64页)9.
3.
5启用隐藏进程学习对话框如果您使用交互模式,当检测到新的启动时,防火墙会显示学习对话框.
如果您使用交互模式而此选项没有被勾选,新的启动会被阻断启动隐藏线程.
要启用隐藏进程学习对话框1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击进程标签.
4.
请勾选就新的启动给出警告勾选框.
64SophosEndpointSecurityandControl9.
3.
6协议学习对话框如果防火墙检测到系统的网络活动无法与特定的应用程序关连,那么,它会提示创建协议规则.
协议学习对话框,显示有关未识别的网络活动(即协议和远程地址)的信息.
.
9.
3.
7应用程序学习对话框如果防火墙检测到某应用程序试图以没有遵照规则的方式访问网络时,它会提示创建应用程序规则.
应用程序学习对话框,显示有关未识别的网络活动(即远程服务和远程地址)的信息.
9.
3.
8原始套接字学习对话框低级插口允许进程控制数据在网络中传输的各个环节,这可以被用于恶意目的.
如果防火墙检测到低级插口试图以没有遵照规则的方式访问网络时,它会提示创建低级插口规则.
低级插口学习对话框,显示有关低级插口的信息.
启用低级插口学习对话框(第65页)9.
3.
9启用低级插口学习对话框如果您使用交互模式,当检测到低级插口试图以没有遵照规则的方式访问网络时,防火墙会显示学习对话框.
如果您使用交互模式而此选项没有被勾选,低级插口会被阻断访问网络.
要启用低级插口学习对话框1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击进程标签.
4.
请勾选就使用低级插口给出警告勾选框.
9.
3.
10检查和学习对话框如果防火墙检测到新的或修改了的应用程序,它会显示检查和学习对话框.
65帮助文件仅当使用校验和来鉴定应用程序时,才会显示校验和学习对话框.
详情参见开启或关闭使用检查和(第60页).
如果您想要允许该应用程序访问网络,您必须必须将它的检查和(独一无二的识别符)添加到识被的检查和列表中.
选择以下选项之一将此应用程序的检查和添加到现有的检查和中允许多个版本的此应用程序.
将此应用程序的检查和替换任何现有的检查和用请求访问的此应用程序的检查和,替换此应用程序的所有的现有的检查和,这样,便只允许此应用程序的最新版本进行访问.
阻断此应用程序直到重新启动它此时阻断此应用程序.
9.
4防火墙配置文件9.
4.
1关于防火墙配置文件SophosClientFirewall使您能够将防火墙的常规配置和规则作为配置文件导出.
您可以使用此功能,完成以下任务备份和恢复您全部的防火墙配置.
保存常规配置并将它安装到多个计算机上.
在一台计算机上为应用程序创建规则,并将这些规则导出,供具有同样应用程序设置的其它计算机使用.
使用管理控制台合并在数台不同的计算机上设置的配置,以创建对网络中所有计算机都有效的策略.
9.
4.
2导出防火墙配置文件1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
单击导出.
3.
提供您的配置文件的名称和路径,然后,单击保存.
9.
4.
3导入防火墙配置文件1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
66SophosEndpointSecurityandControl2.
单击导入.
3.
选择配置文件,并单击打开.
4.
按照屏幕上的说明做.
9.
5防火墙规则9.
5.
1关于防火墙规则全局规则全局规则应用于所有的网络通讯和应用程序,即使这些应用程序具有应用程序规则.
应用程序规则针对一个应用程序您可以具有一个或多个规则.
您可以既可以使用Sophos创建的预设的规则,也可以创建子定义的规则,更好地控制应用程序的访问.
要了解默认全局和应用程序规则的相关信息,请参见http://www.
sophos.
com/en-us/support/knowledgebase/57757.
aspx.
9.
5.
2关于规则应用的次序对于要使用低级插口的连接,只会检查全局规则.
对于不使用低级插口的连接,根据连接的网络地址是否在LAN标签页里的列表中,会检查不同的规则.
如果是在LAN标签页中列示的网络地址,那么,会检查以下规则如果该地址已标记为信任的,那么,该连接中的所有通讯流都会被允许,不会做进一步的检查.
如果该地址已标记为NetBIOS,那么,会允许在连接中满足以下标准的任何文件和打印机共享范围端口连接137-139或445远程TCP137-139或445本地TCP137或138远程UDP137或138本地UDP67帮助文件如果网络地址没有列示在LAN标签页中,那么,会按照以下次序检查其它的防火墙规则1.
任何在LAN标签页中不被允许的NetBIOS通讯流,会按照阻断其它网络的文件和打印机共享勾选框的设置情况来处理.
如果该勾选框是勾选的,那么,该通讯流会被阻断.
如果该勾选框是取消勾选的,那么,该通讯流会按照现存的规则处理.
2.
最优先的全局规则,会按照列示它们的次序,依次检查.
3.
如果尚未有任何规则应用到连接中,那么,会检查应用程序规则.
4.
如果连接仍然未被处理,那么,会按照列示它们的次序,应用通常优先的全局规则.
5.
如果没有找到用于处理连接的规则,那么在默认允许模式中,通讯流会被允许(如果它是流出通讯流).
在默认阻断模式中,通讯流会被阻断.
在交互模式中,用户会被要求决定如何处理.
此模式在Windows8操作系统中不可用.
注:如果您尚未更改工作模式,那么,防火墙将会处于默认阻断模式.
9.
5.
3关于本地网络检测注:此选项目前在Windows8操作系统中不可用.
您可以将计算机的本地网络指派给防火墙规则.
当它启动时,防火墙会确定在计算机的本地网络,然后,监控本地网络中发生的任何更改.
如果检测到任何更改,防火墙会为新的本地网络地址更新本地网络规则.
小心:我们强烈建议您在配置可能应用于"办公室之外"的路径中的本地网络规则时,谨慎从事.
要了解更多信息,请参见创建副路径配置(第77页).
9.
5.
4全局规则9.
5.
4.
1创建全局规则重要:我们建议您只有在熟悉网络协议的情况下,才创建全局规则.
全局规则应用于所有的网络通讯,以及尚未有任何规则的应用程序.
要创建全局规则1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
68SophosEndpointSecurityandControl2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击全局规则标签.
4.
单击添加.
5.
在规则名称下,输入规则的名称.
该规则名称必须不同于列表中的任何规则的名称.
两个全局规则不能具有相同的名称.
6.
在Windows8计算机中,在协议下,选择您想要使用的协议.
7.
要在任何应用程序规则或普通优先的全局规则之前应用规则,请勾选超过应用程序规则的优先级勾选框.
要了解有关规则应用的先后次序的信息,请参见关于规则应用的次序(第67页).
8.
在请选择规则将要处理的事件下,选择为了应用规则,连接必须满足的条件.
9.
在请选择规则响应措施中,选择允许它或阻断它.
10.
按照以下的说明之一做要在初始连接存在的同时,允许其它连接从同一个远程地址进行流入和流出,那么,请勾选并发连接.
此选项仅适用于TCP规则.
要灵活地允许来自基于初始连接的远程计算机的回答,请选择状态检查.
此选项仅适用于UDP规则.
注:Windows8系统中,这些选项不显示,因为始终会使用状态检测,且不支持并行连接.
11.
在规则描述下,单击一个下划线值.
9.
5.
4.
2编辑全局规则重要:我们建议您只有在熟悉网络协议的情况下,才更改全局规则.
要编辑全局规则1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击全局规则标签.
4.
在规则列表中,选择您想要编辑的规则.
69帮助文件5.
单击编辑.
要了解更多有关全局规则设置的信息,请参见创建全局规则(第68页).
9.
5.
4.
3复制全局规则要复制全局规则,并将它添加到规则列表中1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击全局规则标签.
4.
在规则列表中,选择您想要复制的规则.
5.
单击复制.
9.
5.
4.
4删除全局规则1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击全局规则标签.
4.
在规则列表中,选择您想要删除的规则.
5.
单击删除.
9.
5.
4.
5更改全局规则应用的次序全局规则是按照它们在规则列表中从上自下出现的次序来应用的.
要更改全局规则应用的次序1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击全局规则标签.
4.
在规则列表中,单击您想要在列表中移动的规则.
5.
单击上移或下移.
70SophosEndpointSecurityandControl9.
5.
5应用程序规则9.
5.
5.
1应用预置的应用程序规则Sophos创建了一组预置的应用程序规则.
要添加预置的规则到某应用程序的规则列表中1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击应用程序标签.
4.
在列表中选择应用程序,然后,单击Custom旁的箭头.
5.
指向从预置中添加规则,然后,单击预置.
9.
5.
5.
2要创建应用程序规则要创建允许精确地控制应用程序访问的自定义的规则1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击应用程序标签.
4.
在列表中选择应用程序,然后,单击自定义.
您还可以双击列表中的应用程序.
5.
在应用程序规则对话框中,单击添加.
6.
在规则名称下,输入规则的名称.
该规则名称必须不同于列表中的任何规则的名称.
两个应用程序规则,并能具有同样的名称,但是两个应用程序可以各有一个具有同样名称的规则.
7.
在Windows8计算机中,在协议下,选择您想要使用的协议.
8.
在请选择规则将要处理的事件下,选择为了应用规则,连接必须满足的条件.
9.
在请选择规则响应措施中,选择允许它或阻断它.
10.
按照以下的说明之一做要在初始连接存在的同时,允许其它连接从同一个远程地址进行流入和流出,那么,请勾选并发连接.
此选项仅适用于TCP规则.
71帮助文件要灵活地允许来自基于初始连接的远程计算机的回答,请选择状态检查.
此选项仅适用于UDP规则.
注:Windows8系统中,这些选项不显示,因为始终会使用状态检测,且不支持并行连接.
11.
在规则描述下,单击一个下划线值.
9.
5.
5.
3编辑应用程序规则1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击应用程序标签.
4.
在列表中选择应用程序,然后,单击自定义.
您还可以双击列表中的应用程序.
5.
在应用程序规则对话框,单击编辑.
6.
在规则名称下,输入规则的名称.
该规则名称必须不同于列表中的任何规则的名称.
两个应用程序规则,并能具有同样的名称,但是两个应用程序可以各有一个具有同样名称的规则.
7.
在Windows8计算机中,在协议下,选择您想要使用的协议.
8.
在请选择规则将要处理的事件下,选择为了应用规则,连接必须满足的条件.
9.
在请选择规则响应措施中,选择允许它或阻断它.
10.
按照以下的说明之一做要在初始连接存在的同时,允许其它连接从同一个远程地址进行流入和流出,那么,请勾选并发连接.
此选项仅适用于TCP规则.
要灵活地允许来自基于初始连接的远程计算机的回答,请选择状态检查.
此选项仅适用于UDP规则.
注:Windows8系统中,这些选项不显示,因为始终会使用状态检测,且不支持并行连接.
11.
在规则描述下,单击一个下划线值.
72SophosEndpointSecurityandControl9.
5.
5.
4复制应用程序规则要复制应用程序规则,并将它添加到规则列表中1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击应用程序标签.
4.
在列表中选择应用程序,然后,单击自定义.
您还可以双击列表中的应用程序.
5.
在应用程序规则对话框内,选择您希望复制的规则,单击复制.
9.
5.
5.
5删除应用程序规则1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击应用程序标签.
4.
在列表中选择应用程序,然后,单击自定义.
5.
在应用程序规则对话中,选择您想要计划的报告,并单击删除.
9.
5.
5.
6更改应用程序规则应用的次序应用程序规则是按照它们在规则列表中从上自下出现的次序来应用的.
要更改应用程序规则应用的次序1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击应用程序标签.
4.
在列表中选择应用程序,然后,单击自定义.
您还可以双击列表中的应用程序.
5.
在规则列表中,单击您想要在列表中移动的规则.
6.
单击上移或下移.
73帮助文件9.
5.
5.
7允许应用程序启动隐藏进程注:Windows8系统中,该选项不可用,因为它通过"SophosAnti-VirusHIPS"技术自动进行处理.
应用程序有时会启动另外的隐藏进程,为它执行某些网络访问.
恶意的应用程序可以通过以下技巧避开防火墙它启动某个受信任的应用程序去访问网络,而不是自己去访问.
在某个隐藏进程首次被检测到时,防火墙会向管理控制台发送警报(如果此功能已启用).
要允许应用程序启动隐藏进程1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击进程标签.
4.
在上方区域,单击添加按钮.
5.
找到该应用程序,然后,双击它.
如果您使用交互模式,当检测到新的启动时,防火墙会显示学习对话框.
启用交互模式(第63页)启用隐藏进程学习对话框(第64页)9.
5.
5.
8允许应用程序使用原始套接字注:在Windows8操作系统中,此选项不可用.
防火墙以与普通套接字相同的方式对待原始套接字.
某些应用程序可以通过原始套接字访问网络,这允许它们控制数据在网络中传输的各个环节.
恶意的应用程序可以通过虚假的IP地址利用原始套接字,或发送蓄意损坏的消息.
在某个低级插口首次被检测到时,防火墙会向管理控制台发送警报(如果此功能已启用).
要允许应用程序通过原始套接字访问网络1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击进程标签.
74SophosEndpointSecurityandControl4.
在下方区域,单击添加按钮.
5.
找到该应用程序,然后,双击它.
如果您使用交互模式,当检测到低级插口时,防火墙会显示学习对话框.
启用交互模式(第63页)启用低级插口学习对话框(第65页)9.
5.
5.
9使用检查和鉴定应用程序每个版本的应用程序都具有独一无二的检查和.
防火墙可以使用此检查和决定是否允许某个应用程序.
依照默认值,防火墙会检查每个运行的应用程序的检查和.
如果检查和是未知的或已更改,防火墙会阻断它,或者(在交互模式中)询问用户应该怎样做.
在某个新的或已修改的应用程序首次被检测到时,防火墙会向管理控制台发送警报(如果此功能已启用).
要添加检查和到允许的检查和列表中1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
单击检查和标签.
4.
单击添加.
5.
找到该应用程序,然后,双击它.
如果您使用交互模式,当检测到新的或修改过的应用程序时,防火墙会显示学习对话框.
启用交互模式(第63页)启用隐藏进程学习对话框(第64页)9.
6位置感知9.
6.
1关于位置感知位置感知是SophosClientFirewall中的功能,可以根据当前网络适配器的位置,将防火墙配置指派给您的计算机上的各个网络适配器.
75帮助文件最常使用此功能的情形是,您使用公司的笔记型电脑在家中工作.
您同时使用两个网络连接您通过VPN客户端和虚拟网络适配器,连接到办公网络,以便工作.
您通过网线和物理网络适配器,连接到您的ISP,以便个人使用.
在这种情形下,您需要将办公配置应用到虚拟的办公连接中,以及(通常限制更严格的)非办公配置应用到非办公的ISP连接中.
注:非办公配置将要求足够的规则,以允许建立"虚拟的"办公连接.
9.
6.
2设置位置感知1.
定义您的主路径的网关MAC地址或域名的列表.
一般地,它们是您的办公网络.
2.
创建将用于您的主路径的防火墙配置.
一般地,这些配置的限制相对较少.
3.
创建副路径的防火墙配置.
一般地,这些配置的限制相对较多.
4.
选择要应用的配置.
根据您使用的检测方法,防火墙会获得您的各个计算机网络适配器的DNS或网关地址,然后,将这些地址与您的地址列表进行匹配.
如果您的列表中的任何地址与任何网络适配器的地址匹配,那么,该适配器会被指派针对主路径的配置.
如果您的列表没有任何地址与任何网络适配器的地址匹配,那么,该适配器会被指派针对副路径的策略.
活动的路径会在SophosEndpointSecurityandControl窗口中的状态窗格板中出现.
如果两种配置都被应用了,那么,会出现Active=Both.
重要:当以下两个条件同时满足时,副路径的配置将从交互模式转到默认阻断模式主路径和副路径都处于活动状态.
主路径配置不是交互模式.
9.
6.
3定义主路径1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
单击路径检测标签页.
76SophosEndpointSecurityandControl3.
在检测方法下,单击您想要用来定义主路径的方法旁的配置您创建对应主路径的域名和预期IP地址的列表.
通过DNS识别路径您创建对应主路径的网关MAC地址的列表.
通过网关MAC地址识别路径4.
按照屏幕上的说明做.
9.
6.
4创建副路径配置当它检测到您没有连接到您的主路径时,防火墙会使用您的副路径配置.
1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
勾选为副路径添加配置勾选框.
现在可以设置您的副路径的配置.
要了解怎样做的信息,请参见关于配置防火墙(第55页)以及配置防火墙部分中的其它主题.
小心:如果此计算机是笔记型电脑,并且用于办公场所之外,那么,它可能会连接未知的本地网络.
如果发生这种情况,那么,将本地网络作为地址的副路径配置中的防火墙规则,可能会意想不到地允许未知的通讯流.
因此,我们强烈建议在将本地网络规则作为副路径配置的一部分时,谨慎从事.
9.
6.
5选择要应用的配置1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在常规标签页的应用的路径下,单击以下选项之一描述选项防火墙会根据位置感知的检测设置(按照设置位置感知(第76页)中的说明)将主路径或副路径的配置应用到各个网络连接中.
为检测到的路径应用配置防火墙会将主路径配置应用到所有的网络连接中.
应用主路径配置防火墙会将副路径配置应用到所有的网络连接中.
应用副路径配置77帮助文件9.
7防火墙报告发送9.
7.
1关于防火墙报告发送依照默认值,防火墙会向管理控制台报告状态更改,事件,以及错误.
防火墙状态更改防火墙将以下更改视为状态更改更改工作模式更改软件版本更改防火墙是否允许所有通讯流的配置更改防火墙是否遵照策略如果您工作在交互式模式中,您的防火墙配置可能会有意地与通过管理控制台应用的策略不同.
在这种情况下,当您更改某些防火墙配置时,您可以选择不向管理控制台发送"策略不一致"的警报.
要了解更多信息,请参见关闭或打开报告本地更改(第78页).
防火墙事件事件是指您的计算机上的未知的应用程序试图通过网络连接与另一台计算机通讯.
您可以阻止防火墙向管理控制台报告事件.
要了解更多信息,请参见关闭报告未知的网络通讯流(第79页).
9.
7.
2关闭或打开报告本地更改注:此选项在Windows8操作系统中不可用.
如果您的防火墙配置与策略不同,您可以关闭报告本地更改.
关闭报告本地更改,可以使防火墙停止向管理控制台发送,有关更改了全局策略,应用程序,进程,或检查和的"策略不同"的警报.
您想要这样做的原因可能是,例如,当您使用交互模式时,有些设置可能会被使用学习对话框而更改.
如果此计算机上的防火墙配置,应该与策略一致,那么,您应该打开报告本地更改.
要关闭报告本地更改1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
78SophosEndpointSecurityandControl3.
在常规标签页中的报告发送下,取消勾选如果对通用规则,应用程序,进程,或检查和进行了本地更改,那么,在管理控制台显示相关的警报.
勾选框,将报告本地更改关闭.
要打开报告本地更改,请勾选该勾选框.
9.
7.
3关闭报告未知的网络通讯流您可以使防火墙不向管理控制台报告未知的网络通讯流.
防火墙将没有规则可依照的通讯流,视为未知的通讯流.
要使防火墙不向管理控制台报告未知的网络通讯流1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
在规则标签页中的阻断,勾选使用检查和鉴定应用程序勾选框.
4.
在报告发送下,取消勾选向管理控制台报告未知的应用程序和通讯流勾选框.
9.
7.
4关闭报告防火墙错误重要:我们不建议您永久性地关闭报告防火墙错误.
您应该只在需要时,才关闭报告.
要防火墙不向管理控制台报告错误1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
3.
在常规标签页中的报告发送下,取消勾选向管理控制台报告出错勾选框.
9.
7.
5配置桌面消息发送您可以控制防火墙显示的桌面消息.
在交互模式中不会显示未知的应用程序和通讯流的通知,因为,同样的信息会显示在学习对话框中.
1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在配置下,单击您想要配置的路径旁的配置.
79帮助文件3.
在常规标签页中的桌面消息发送下,按照以下说明做要显示针对防火墙警告和错误的通知,请勾选显示警告和错误勾选框.
要显示针对未知的应用程序和通讯流的通知,请勾选显示未知的应用程序和通讯流勾选框.
9.
8防火墙日志记录9.
8.
1关于防火墙日志查看器SophosClientFirewall日志查看器使您能够查看,过滤,以及保存以下详情所有的连接被允许或阻断的连接防火墙事件系统日志9.
8.
2打开防火墙日志查看器在主页页面的防火墙下,单击查看防火墙日志.
要了解有关主页页面的信息,请参见关于主页(第4页).
9.
8.
3配置防火墙日志记录要管理防火墙的事件日志数据库的容量和内容1.
在主页页面中的防火墙下,单击配置防火墙.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
单击日志文件标签.
3.
要管理防火墙的事件日志数据库的容量和内容,选择以下选项之一要允许数据库没有限制地扩大,请单击保留所有记录.
要清空旧的日志记录,请单击删除旧的记录,然后,配置日志清除设置.
4.
在日志清除设置下,选择以下的一个或多个选项勾选删除勾选框,然后,在.
.
.
天之后的记录文本框中输入或选择数字.
勾选保留勾选框,然后,在.
.
.
条以下的记录文本框中输入或选择数字.
勾选保持勾选框,然后,在.
.
.
MB以下的大小文本框中输入或选择数字.
80SophosEndpointSecurityandControl9.
8.
4更改防火墙日志查看器的外观1.
在主页页面的防火墙下,单击查看防火墙日志.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在查看菜单中,单击布局.
3.
在自定义视图对话框中,选择要隐藏或显示的项目.
控制台树会出现在左手边的窗格板中.
工具栏会显示在防火墙日志查看器的顶端.
描述栏会显示在右手边的窗格板的数据的上方.
状态栏会出现在防火墙日志查看器的底端.
9.
8.
5自定义数据格式您可以更改用来在防火墙日志中显示以下数据项目的格式显示端口为数字或名称,例如HTTP或80.
显示应用程序为图标,文件路径,或图标和文件路径.
指定用于显示数据传输速度的单位的大小,例如KB或MB.
隐藏或显示分隔线.
要自定义数据格式1.
在主页页面的防火墙下,单击查看防火墙日志.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在查看菜单中,单击自定义.
3.
选择您想要的选项.
9.
8.
6隐藏或显示防火墙日志查看器中的栏目1.
在主页页面的防火墙下,单击查看防火墙日志.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在以详情窗格板显示栏目的控制台树中,单击某项目.
3.
在查看菜单中,选择添加/删除栏目.
您也可以右击任何栏目的栏标.
81帮助文件4.
在栏目对话框中,按照以下说明之一做要隐藏某个栏目,请取消勾选它的勾选框.
要显示某个栏目,请勾选它的勾选框.
9.
8.
7重排防火墙日志查看器中的栏目1.
在主页页面的防火墙下,单击查看防火墙日志.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在以详情窗格板显示栏目的控制台树中,单击某项目.
3.
在查看菜单中,选择添加/删除栏目.
您也可以右击任何栏目的栏标.
4.
在栏目对话框中,单击栏目名称,然后,单击上移或下移以更改栏目的位置.
注意您还可以使用鼠标左右拖曳栏目,在详情窗格板中重排栏目.
在您拖曳栏目时,栏目栏标之间的高亮显示,表明了栏目的新位置.
您可以使用鼠标拖曳栏标,调整栏目的尺寸.
9.
8.
8在防火墙日志中筛选记录您可以创建筛选器分类防火墙日志记录.
要筛选防火墙日志记录1.
在主页页面的防火墙下,单击查看防火墙日志.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在控制台树中,选择某个日志.
3.
在操作菜单,单击添加筛选.
4.
请按照筛选向导中的操作指导做.
筛选器会出现在控制台树中您想要进行筛选的日志的节点下方.
82SophosEndpointSecurityandControl9.
8.
9从防火墙日志中导出全部记录要从防火墙日志中将全部记录导出到文本或CSV文件中1.
在主页页面的防火墙下,单击查看防火墙日志.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在控制台树中,选择某个日志.
3.
请右击记录列表,然后,单击导出全部记录.
4.
在文件名文本框中,输入文件的名称.
5.
在保存类型列表中,单击您想要保存的文件类型.
9.
8.
10导出从防火墙日志中选择的记录要从防火墙日志中将所选的记录导出到文本或CSV文件中1.
在主页页面的防火墙下,单击查看防火墙日志.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在控制台树中,选择某个日志.
3.
选择您想要导出的记录.
如果记录更新迅速,请在查看菜单中,取消勾选自动刷新勾选框.
4.
在措施菜单中,单击导出所选记录.
5.
在文件名文本框中,输入文件的名称.
6.
在保存类型列表中,单击您想要保存的文件类型.
83帮助文件10SophosAutoUpdate10.
1立即更新依照默认值,如果您总是连接到公司网络中的,SophosAutoUpdate会每10分钟进行一次更新,或者,如果您总是连接到因特网络中的,则会每60分钟进行一次更新.
如果您是通过拨号连接因特网的,那么,SophosAutoUpdate会在您连接到因特网或您的网络中时,进行更新,并且,随后每60分钟进行一次更新.
要即时更新请右击SophosEndpointSecurityandControl系统托盘图标,然后,单击立即更新.
10.
2计划更新重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
您可以指定SophosAnti-Virus进行的更新时间或频率.
1.
在配置菜单中,单击更新.
2.
单击计划标签.
3.
选择启用自动更新,然后,输入SophosAutoUpdate将进行更新的频率(以分钟计).
如果是从公司网络中下载更新文件,那么,依照默认值,每隔10分钟更新一次.
如果是通过因特网从Sophos服务器下载更新文件,那么,SophosAutoUpdate的更新频率不能低于每60分钟进行一次.
10.
3设置更新源如果您想要SophosAutoUpdate能够进行自动更新,您就必须为SophosAnti-Virus指定下载更新文件的地方.
1.
在配置菜单中,单击更新.
2.
单击主路径标签.
3.
在地址列表中,更新服务器的输入UNC路径或网页地址.
要通过因特网从Sophos直接下载更新文件,请在地址列表中选择Sophos.
84SophosEndpointSecurityandControl4.
在用户名文本框中,请输入将要用来访问更新服务器的帐户的用户名.
如果"用户名"需要指明域,才算合格有效,请使用域\用户名.
5.
在密码文本框中,请输入将要用来访问更新服务器的帐户的密码.
10.
4设置备用更新源您可以设置一个备用更新源.
如果SophosAutoUpdate无法从常规更新源进行更新,它会尝试从备用更新源进行更新.
1.
在配置菜单中,单击更新.
2.
单击副路径标签.
3.
在地址列表中,更新服务器的输入UNC路径或网页地址.
要通过因特网从Sophos直接下载更新文件,请在地址列表中选择Sophos.
4.
在用户名文本框中,请输入将要用来访问更新服务器的帐户的用户名.
如果"用户名"需要指明域,才算合格有效,请使用域\用户名.
5.
在密码文本框中,请输入将要用来访问更新服务器的帐户的密码.
10.
5通过代理服务器更新如果SophosAutoUpdate是通过因特网来进行更新的,您就必须输入任何您用以连接到因特网的代理服务器的详情.
1.
在配置菜单中,单击更新.
2.
单击主路径或副路径标签页.
3.
单击代理详情.
4.
勾选通过代理服务器访问路径勾选框.
5.
输入代理服务器的地址和端口号.
6.
输入用来接入代理服务器的用户名和密码.
如果"用户名"需要指明域,才算合格有效,请使用域\用户名.
10.
6通过拨号连接进行更新要通过拨号连接到因特网进行更新1.
在配置菜单中,单击更新.
2.
单击计划标签.
85帮助文件3.
选择在拨号连接时作更新检查.
每当您连接到因特网时,SophosAutoUpdate就会进行更新.
10.
7限制更新使用的带宽要避免SophosAutoUpdate在您需要一些带宽以作它用时(如下载电子邮件),占用了所有的带宽,您可以限制它使用的带宽量.
1.
在配置菜单中,单击更新.
2.
单击主路径或副路径标签页.
3.
单击高级.
4.
勾选限制带宽使用量勾选框,移动滑块设定SophosAutoUpdate使用的带宽量.
注:如果您设定的带宽量超过了实际可用的带宽量,SophosAutoUpdate将使用所有的带宽.
10.
8日志记录更新活动您可以配置SophosAnti-Virus以便在日志文件中记录更新活动.
1.
在配置菜单中,单击更新.
2.
单击日志记录标签.
3.
勾选记录SophosAutoUpdate活动日志勾选框.
4.
在日志文件大小上限文本框中,输入或选择以MB计量的日志文件大小.
5.
在日志记录级别列表中,选择普通或详尽日志记录.
详尽的日志记录提供比通常的活动多得多的活动的信息,因而,日志文件的尺寸也会快速增大.
请仅在为了排解疑难而需要详尽的日志记录时,才使用此选项.
10.
9查看更新日志文件1.
在配置菜单中,单击更新.
2.
单击日志记录标签.
3.
单击查看日志文件.
86SophosEndpointSecurityandControl11SophosTamperProtection11.
1关于此计算机上的介入防范介入防范使您能够防范已知的恶意软件,以及防止未经授权的用户(对计算机安全了解不多的用户)通过SophosEndpointSecurityandControl用户界面,卸载或禁用Sophos安全软件.
注:介入防范不针对具备丰富的计算机技术知识的用户.
它无法防范专门瓦解操作系统的检测功能的恶意软件.
此类的软件只能通过对安全隐患和可疑行为的扫描,才能被发现.
要了解更多信息,请参见"SophosAnti-Virus"(第4章)部分.
介入防范对于此计算机的用户意味着什么SophosUsers和SophosPowerUsers介入防范不会影响到SophosUser和SophosPowerUser组中的成员.
当介入防范启用时,他们将能够执行所有通常已经授权执行的任务,并不需要输入介入防范密码.
SophosUsers或SophosPowerUsers组的成员不能启用或禁用介入防范.
要了解更多的有关各Sophos组经过授权可以执行的任务的信息,请参见关于Sophos组(第5页).
SophosAdministratorsSophosAdministrator组的成员可以启用或禁用介入防范.
如果在此计算机上使用了管理控制台管理SophosEndpointSecurityandControl,在控制台中设置的介入防范策略,决定介入防范配置和密码.
如果介入防范是从控制台启用的,那么,在需要执行任何以下任务时,请向控制台管理员要求密码.
如果您是SophosAdministrator组的成员,并且介入防范是启用的,那么,您必须知道介入防范密码,才能执行以下的任务重新配置读写扫描或可疑行为检测的设置.
要了解更多信息,请参见输入介入防范密码以配置软件(第89页).
禁用介入防范.
要了解更多信息,请参见禁用介入防范(第88页).
从"控制面板"卸载SophosEndpointSecurityandControl组件(SophosAnti-Virus,SophosClientFirewall,SophosAutoUpdate,SophosRemoteManagementSystem).
通过"控制面板"卸载SophosSafeGuardDiskEncryption.
不知道该密码的SophosAdministrator组成员可以执行除了上述的任务之外的其它任务.
87帮助文件如果介入防范是禁用的,但是介入防范的密码已事先设置,那么,在重新启用介入防范之前,您必须使用验证用户选项,验证您自身.
当介入防范禁用时,所有其它供SophosAdministrators组使用的配置选项都会启用.
要了解有关重新启用介入防范的信息,请参见重新启用介入防范(第88页).
11.
2启用介入防范重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
在首次安装SophosEndpointSecurityandControl时,介入防范是禁用的.
如果您是SophosAdministrator组的成员,您可以启用介入防范.
要启用介入防范1.
在主页的介入防范下,单击配置介入防范.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在介入防范配置对话框中,选择启用介入防范勾选框.
3.
单击密码文本框下的设置.
在介入防范密码对话框中,输入并确认密码.
提示:密码长度必须至少有8个字符,并且必须包含数字和大小写字母.
11.
3禁用介入防范重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
如果您是SophosAdministrator组的成员,您就可以禁用介入防范.
要禁用介入防范1.
如果您尚未验证您自身,并且在主页上的配置介入防范选项不可用,那么,在进行到步骤2之前,请按照输入介入防范密码以配置软件(第89页)中的操作指导做.
2.
在主页的介入防范下,单击配置介入防范.
要了解有关主页页面的信息,请参见关于主页(第4页).
3.
在介入防范配置对话框中,取消勾选启用介入防范勾选框,并单击确定.
11.
4重新启用介入防范重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
如果您是SophosAdministrator组的成员,您就可以重新启用介入防范.
88SophosEndpointSecurityandControl要重新启用介入防范1.
在主页中的介入防范下,单击验证用户.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在介入防范验证对话框中,输入介入防范密码,并单击确定.
3.
在主页的介入防范下,单击配置介入防范.
4.
在介入防范配置对话框中,选择启用介入防范勾选框.
11.
5关于介入防范密码当介入防范启用时,如果您想要配置读写扫描,配置可疑行为检测,或者,禁用介入防范,那么,您必须输入介入防范密码.
您必须是SophosAdministrator组的成员,才能这样做.
在打开SophosEndpointSecurityandControl后,您只需输入介入防范密码一次.
如果您关闭了SophosEndpointSecurityandControl,然后再次打开了它,您需要再次输入该密码.
如果您想要卸载任何SophosEndpointSecurityandControl组件,那么,您必须先输入介入防范密码,并禁用介入防范,然后,再卸载软件.
如果介入防范是禁用的,但是介入防范的密码已事先设置,那么,在重新启用介入防范之前,您必须输入密码.
您需要输入介入防范密码,以便启用介入防范,如果您先前已经启用了介入防范,创建了介入防范密码,然后又禁用了介入防范.
已在管理控制台中创建了介入防范密码,但是介入防范尚未启用.
11.
6输入介入防范密码以配置软件如果您是SophosAdministrator组的成员,您可以输入介入防范密码,对您自己进行身份验证.
要对自己进行身份验证1.
在主页中的介入防范下,单击验证用户.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在介入防范验证对话框中,输入介入防范密码,并单击确定.
89帮助文件11.
7更改介入防范密码重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
要更改介入防范密码,您必须是SophosAdministrator组的成员.
要更改介入防范密码1.
如果您尚未验证您自身,并且在主页上的配置介入防范选项不可用,那么,在进行到步骤2之前,请按照输入介入防范密码以配置软件(第89页)中的操作指导做.
2.
在主页的介入防范下,单击配置介入防范.
要了解有关主页页面的信息,请参见关于主页(第4页).
3.
在介入防范配置对话框中,单击密码文本框下的更改.
4.
在介入防范密码对话框中,输入并确认新的密码.
提示:密码长度应该至少有8个字符,并且包含数字和大小写字母.
11.
8卸载Sophos安全软件如果您是SophosAdministrator组的成员,您可以通过"控制面板"卸载Sophos安全软件SophosEndpointSecurityandControl组件(SophosAnti-Virus,SophosClientFirewall,SophosAutoUpdate,SophosRemoteManagementSystem).
SophosSafeGuardDiskEncryption要在介入防范启用的情况下,卸载Sophos安全软件1.
在主页中的介入防范下,单击验证用户.
要了解有关主页页面的信息,请参见关于主页(第4页).
2.
在介入防范验证对话框中,输入介入防范密码,并单击确定.
3.
在主页的介入防范下,单击配置介入防范.
4.
在介入防范配置对话框中,取消勾选启用介入防范勾选框,并单击确定.
介入防范会被禁用.
5.
在控制面板中,打开添加/删除程序,找到您想要删除的软件,并单击更改/删除或删除.
按照屏幕上的操作指导,卸载软件.
90SophosEndpointSecurityandControl11.
9查看介入防范日志介入防范日志将显示两种类型的事件顺利的介入防范验证事件,显示已验证的用户的名称,以及验证的时间.
不成功的介入尝试事件,显示涉及的Sophos软件产品或组件的名称,介入尝试的时间,以及进行介入尝试的用户的详情.
要查看介入防范日志,您必须是SophosAdministrator组的成员.
要查看介入防范日志在主页的介入防范下,单击查看介入防范日志.
要了解有关主页页面的信息,请参见关于主页(第4页).
您可以从日志记录页中,复制日志记录到剪贴板,也可以用电子邮件发送日志记录,或者,直接打印日志记录.
要在日志记录中查找特定的文本,单击查找并输入您想查找的文本内容.
91帮助文件12排疑解难12.
1更新失败12.
1.
1关于更新失败要了解某更新失败的更多信息,请查看更新日志记录,有关如何查看的信息,请参见查看更新日志文件(第86页).
以下各节将解释,为什么更新可能会失败,以及您可以怎样更改设置,以解决这个问题.
SophosEndpointSecurityandControl联系的是错误的更新源(第92页)SophosEndpointSecurityandControl无法使用您的代理服务器(第92页)没有正确地计划安排自动更新(第93页)没有进行维护的更新源(第93页)12.
1.
2SophosEndpointSecurityandControl联系的是错误的更新源1.
在配置菜单中,单击更新.
2.
在主路径标签页中,检查更新源的地址和帐户详情是否与您的系统管理员提供的一致.
(要了解有关配置主路径标签的信息,请参见设置更新源(第84页).
)12.
1.
3SophosEndpointSecurityandControl无法使用您的代理服务器如果SophosEndpointSecurityandControl是通过因特网进行更新的,您必须确保您设定代理服务器(如果有)是可以使用的.
1.
在配置菜单中,单击更新.
2.
在主路径标签页中,单击代理详情.
3.
确保代理服务器地址,端口号,以及帐户详情都是正确的.
要了解有关输入代理详情的信息,请参见通过代理服务器更新(第85页).
92SophosEndpointSecurityandControl12.
1.
4没有正确地计划安排自动更新1.
在配置菜单中,单击更新.
2.
单击计划标签.
(要了解有关计划标签的信息,请参见计划更新(第84页).
)3.
如果您的计算机是在网络中的,或者您的计算机是通过宽带连接因特网进行更新的,请选择启用自动更新,并输入更新频率.
如果您是通过拨号连接因特网进行更新的,请选择在拨号连接时进行更新检查.
12.
1.
5没有进行维护的更新源您的公司可能已经移走了,您通过其进行更新(在网络中,或者在网页服务器中)的目录.
另一种情况是,他们可能没有保留该目录.
如果您认为可能是这种情况,请联系您的网络管理员.
12.
2没有清除的安全隐患如果SophosAnti-Virus没有从您的计算机上清除安全隐患,这可能是因为以下的原因.
自动清除被禁用如果SophosAnti-Virus没有试图进行清除,请检查是否已启用了自动清除.
要了解有关怎样启用自动清除的信息,请参见以下主题配置读写扫描的清除(第11页)配置单击右键扫描的清除(第20页)配置自定义扫描的清除(第24页)在读写扫描中,不能对广告软件和可能不想安装的应用程序进行自动清除.
清除失败如果SophosAnti-Virus无法清除安全隐患("清除失败"),这可能是因为它无法清除该类型的安全隐患,或者,您没有足够的读写权限.
要求完全的计算机扫描在SophosAnti-Virus能够将安全隐患从您的计算机中清除之前,您可能需要对计算机进行完全扫描,检测多组件安全隐患所涉及的所有组件,或者,检测先前隐藏在文件中的安全隐患.
1.
要扫描计算机上的所有硬盘,包括其引导扇区,请运行扫描我的电脑.
要了解信息,请参见运行完全的计算机扫描(第27页).
93帮助文件2.
如果安全隐患还是没有被彻底检测到,这可能是因为您的读写权限不足,或者因为计算机中有些含有安全隐患的组件的驱动器,或文件夹,被排除在扫描外.
要了解信息,请参见添加,编辑,或删除读写扫描排除项目(第13页).
请检查排除扫描项目的列表.
如果有项目出现在列表中,请从列表中删除这些项目,然后,再次扫描您的计算机.
可移动介质被写保护如果处理的是可移动介质(如软盘,CD),请确保它没有被写保护.
NTFS卷被写保护如果处理的是NTFS卷(WindowsXP或以后),请确保它没有被写保护.
报告发现病毒间谍软件碎片SophosAnti-Virus不会对病毒间谍软件碎片进行清除,因为它并没有发现与之确切对应的病毒间谍软件.
请参见报告发现病毒/间谍软件碎片(第94页).
12.
3报告发现病毒/间谍软件碎片如果报告发现病毒/间谍软件碎片,请按照以下说明做1.
立即更新您的保护措施,这样,SophosAnti-Virus会有最新的病毒识别文件.
2.
运行完全的计算机扫描立即更新(第84页)运行完全的计算机扫描(第27页)如果仍然报告发现病毒/间谍软件碎片,请联系Sophos技术支持寻求建议.
技术支持(第106页)报告病毒/间谍软件碎片,表明文件的某一部分与病毒/间谍软件的某一部分一致.
出现这种情况,可能有三种原因已知病毒/间谍软件的变种许多新病毒/间谍软件都是建立在已知病毒/间谍软件的基础之上的,所以某些已知病毒/间谍软件的典型的病毒/间谍软件代码的碎片,就可能会出现在新的病毒/间谍软件中.
如果报告发现了病毒间谍软件碎片,这就有可能是SophosAnti-Virus发现了有可能会活动起来的新的病毒间谍软件.
已损坏的病毒许多病毒在复制自身的过程中出现缺陷,这使得它们在感染目标文件时出错.
病毒中不能起作用的部分(可能是实质部分)就可能出现在宿主文件中,而SophosAnti-Virus检测到的就是这一部分.
已损坏的病毒是不会传播的.
94SophosEndpointSecurityandControl含有病毒/间谍软件的数据库在运行完全计算机扫描时,SophosAnti-Virus可能会报告在数据库文件中有病毒间谍软件碎片.
如果出现这种情况,不要删除该数据库.
请联系Sophos技术支持寻求建议.
要了解有关联系技术支持的信息,请参见技术支持(第106页).
12.
4部分检测到的安全隐患要扫描所有的磁盘驱动器,包括引导区,请在计算机上运行完整计算机扫描.
运行完全的计算机扫描(第27页)如果安全隐患还是没有被彻底检测到,这可能是因为计算机中有些含有安全隐患的组件的驱动器,或文件夹,被排除在扫描外.
如果某些项目在排除列表中,请删除它们,然后再扫描您的计算机.
添加,编辑,或删除即时扫描排除项目(第16页)如果安全隐患还是没有被完全检测到,那么,可能是因为您没有足够的访问权限.
SophosAnti-Virus可能不能够彻底检测到或者删除,有组件安装在网络驱动器上的安全隐患.
12.
5广告软件或可能不想安装的应用程序(PUA)从隔离区中消失如果某个被SophosAnti-Virus检测到的广告软件或可能不想安装的项目,未经您采取任何措施,就从隔离区管理器中消失,那么,该广告软件或PUA可能已被其它用户通过管理控制台批准或清除了.
请查看批准的广告软件和可能不想安装的应用程序的列表,了解它是否已被批准.
要了解具体怎样做,请参见批准广告软件和可能不想安装的应用程序(第33页).
12.
6计算机的运行变慢如果您的计算机的运行变慢,这有可能是有可能不想安装的应用程序,正在您的计算机上运行和监控.
如果您启用了读写扫描,您也许可能会看到许多桌面消息警报,提醒您发现了可能不想安装的应用程序.
要解决这一问题,请按照以下说明做.
1.
运行扫描我的电脑,以检测该可能不想安装的应用程序的所有组件.
要了解信息,请参见运行完全的计算机扫描(第27页).
注:如果在扫描之后,该可能不想安装的应用程序只是部分被检测到,则请参见部分检测到的安全隐患(第95页)中的步骤2.
95帮助文件2.
清除您的计算机上的广告软件或可能不想安装的应用程序.
要了解具体怎样做,请参见处置隔离区中的广告软件和可能不想安装的应用程序(第38页).
12.
7允许访问引导区受到感染的驱动器重要:如果使用了管理控制台管理此计算机上的SophosEndpointSecurityandControl,那么,它会覆盖您在此所作的任何更改.
依照默认值,SophosAnti-Virus会阻止访问引导区感染了病毒的可移动介质.
要允许访问(例如,从感染了引导区病毒的软盘上复制文件)1.
单击主页>防病毒和HIPS>配置防病毒和HIPS>配置>读写扫描.
2.
在扫描标签页中,勾选t允许访问引导区感染病毒的驱动器勾选框.
重要:一旦您完成了访问磁盘,请取消勾选该勾选框,请将磁盘从计算机中移走,这样,计算机在重新启动时,不会因此而再次被感染.
12.
8无法访问SophosEndpointSecurityandControl区域如果您无法使用或者配置SophosEndpointSecurityandControl的某些特定部分,这可能是因为,特定的Sophos用户组的成员访问这些部分受到限制.
要了解更多有关Sophos用户组的信息,请参见关于Sophos组(第5页).
12.
9弥补病毒造成的破坏要弥补病毒造成的破坏,取决于病毒是怎样感染了计算机的.
病毒造成的破坏有些病毒不会造成什么损失,有的造成的损失则大到您要重置硬盘才能弥补.
有的病毒逐渐地对数据资料做微小的改变.
这种损害会很难发现.
做些什么阅读Sophos网站中的安全隐患分析部分是很重要的,并且要在清除之后,仔细检查文件.
请参见获取清除信息(第43页)以了解怎样从Sophos网站中查看有关病毒的破坏作用的详情.
完善的备份是关键.
如果您之前没有做这样的备份,请开始备份文件,以备将来之需.
有时,您可以从被病毒损坏的磁盘上恢复数据.
Sophos可以提供一些工具软件,修复某些病毒造成的损害.
请联系Sophos技术支持寻求建议.
96SophosEndpointSecurityandControl要了解有关联系技术支持的信息,请参见技术支持(第106页).
12.
10弥补广告软件和可能不想安装的应用程序造成的破坏在清除广告软件和可能不想安装的应用程序的过程中,并不一定能完全弥补已造成的破坏.
操作系统已被修改某些广告软件和可能不想安装的应用程序会修改Windows操作系统,比如,更改您的因特网连接设置.
SophosAnti-Virus无法总能够将系统中的设置,恢复到被安装了广告软件和可能不想安装的应用程序之前的值.
比如,如果某个广告软件可能不想安装的应用程序,更改了浏览器的默认主页,但SophosAnti-Virus是无法知道先前的那个默认主页是什么的.
没有清除的实用小程序某些广告软件和可能不想安装的应用程序会安装一些实用小程序到您的计算机上,如扩展名为.
dll或.
ocx等的文件.
如果这些实用小程序是无害的(也就是说,它们并不具有广告软件和可能不想安装的应用程序的那些特性),比如,某个语言库,而且也没有被整合到广告软件和可能不想安装的应用程序中,那么,SophosAnti-Virus并不会将其检测为广告软件和可能不想安装的应用程序的一部分.
在这种情况下,这样的文件不会在广告软件或可能不想安装的应用程序被清除后,也被从计算机中清除.
广告软件或可能不想安装的应用程序是您所需要的软件程序的一部分有时候某些广告软件或可能不想安装的应用程序,是您想要安装的软件程序的一部分,并且是运行该软件程序所必需的.
如果您删除这样的广告软件或可能不想安装的应用程序,则整个软件程序可能会停止在您的计算机上运行.
做些什么阅读Sophos网站中的安全隐患分析部分是很重要的.
请参见获取清除信息(第43页)以了解怎样从Sophos网站中查看有关广告软件或可能不想安装的应用程序的破坏作用的详情.
为了能够将您的系统及其设置恢复到先前的状态,您应该定时备份您的系统.
您还应该备份,您想要使用的软件的原始的可执行程序文件.
要了解更多有关弥补广告软件和可能不想安装的应用程序造成的破坏的信息和建议,请联系Sophos技术支持.
要了解有关联系技术支持的信息,请参见技术支持(第106页).
12.
11报告密码错误如果您在试图计划某个自定义扫描时,出现有关密码的出错消息,那么,请确保用户帐户的密码是正确的97帮助文件密码不能为空要确保密码正确,请检查控制面板用户帐户中的用户帐户的属性.
12.
12"服务失败"出错消息症状您看到以下出错消息之一出现在公告区域防病毒和HIPS服务失败防火墙服务失败原因您计算机上的SophosEndpointSecurityandControl服务之一失败,需要重新启动.
解决问题1.
通过Windows,打开服务.
2.
按照以下的说明之一做如果您看到防病毒和HIPS服务失败的出错消息,请右击SophosAnti-Virus,然后,单击重新启动.
如果您看到防火墙服务失败的出错消息,请右击SophosClientFirewallManager,然后,单击重新启动.
注意要打开服务,请单击开始,单击控制面板,双击管理工具,然后,双击服务.
12.
13防火墙日志记录数据库已损坏症状当使用防火墙日志记录查看器时,会出现出错消息"当前的SophosClientFirewall日志记录数据库已损坏.
"原因防火墙的事件日志数据库已损坏,需要重新创建.
解决问题您必须是该计算机上的WindowsAdministrators组的成员才能进行此任务.
1.
通过Windows,打开服务.
2.
右击SophosClientFirewallManager,然后,单击停止.
98SophosEndpointSecurityandControl3.
使用"资源管理"器,找到C:\DocumentsandSettings\AllUsers\ApplicationData\Sophos\SophosClientFirewall\logs.
要查看此隐藏的文件夹,您需要显示"资源管理器"中隐藏的文件或文件夹.
4.
删除op_data.
mdb.
5.
在"服务"中,右击SophosClientFirewallManager,然后,单击开始.
注意要打开服务,请单击开始,单击控制面板,双击管理工具,然后,双击服务.
99帮助文件13用语表广告软件显示广告,例如弹出消息,它会影响用户的工作效率和系统的运行效率.
PUA,可能不想安广告软件和可能不想安装的应用程序(adwareandPUAs)装的应用程序(PotentiallyUnwantedApplication),是一种应用程序,它不一定是恶意程序,但它通常会被认为是不适合安装在大多数的公司的网络中.
仅应用于往来于特定的应用程序的数据包(在网络中传输的数据)的规则.
应用程序规则(applicationrule)使您能够批准广告软件和可能不想安装的应用程序,可疑文件,以及出现可疑行为的应用程序和缓冲区溢出的程序模块.
批准管理器(Authorizationmanager)无需用户的任何干预或认可,而执行的清除.
自动清除一种状态,它显示应用程序(包括隐藏进程),连接,协议,ICMP消息,等等,已被拒绝网络访问.
已阻断(blocked)用于检测缓冲溢出攻击.
缓冲溢出检测(bufferoverflowdetection)每个版本的应用程序都具有独一无二的检查和.
防火墙可以使用此检查和决定是否允许某个应用程序.
检查和(checksum)清除是指通过消除文件或引导区中的病毒感染,移动或删除可疑文件,或者删除广告软件或可能不想清除安装的应用程序(PUA)的项目,来杜绝计算机上的安全隐患.
对于扫描网页时检测到的安全隐患,则无法清除,因为所检测到的安全隐患并没有下载到您的计算机上.
因此,不必采取任何操作.
指定文件内容的一组条件,例如,与其它形式的个人识别信息在一起的信用卡或借记卡号码,或银行内容控制列表(CCL)(ContentControlList(CCL))帐号详情.
有两种类型的内容控制列表SophosLabs内容控制列表,和自定义内容控制列表.
一种规则,它包括一个或多个内容控制列表,并指定,如果用户试图传输匹配了规则中的全部内容控内容规则(contentrule)100SophosEndpointSecurityandControl制列表的数据到指定目标路径(destination)时,采取的措施.
由于您公司的计算机安全策略,而被阻止在您的计算机上运行的程序.
受控程序(controlledapplication)用户创建的规则,用来指定允许运行应用程序的条件.
自定义规则(customrule)一种功能,用于减少从工作站计算机中意外丢失数据的机会.
当工作站计算机的用户试图传输的文数据控制件,满足在数据控制策略和规则中定义的标准时,数据控制功能会采取相应的措施.
例如,当某用户试图复制包含客户资料列表的电子表格文件到可移动的存储设备中时,或者,上传标记为机密的文档到Webmail帐户中时,数据控制功能会阻断此传输,如果事先的配置要求这样做.
根据在树视图中选择的项目,而显示不同的数据的视图.
数据视图(dataview)日志查看器中的栏,它出现在数据视图之上,显示当前在树视图中选择的项目的名称.
描述栏(descriptionbar)一种功能,用于减少从工作站计算机中意外丢失数据的机会,并且可以限制从网络外部引进和安装软设备控制(devicecontrol)件.
当工作站计算机用户试图在他们的计算机上,使用某个未经批准的存储设备或网络设备时,该功能会采取措施.
扫描每个文件的每个部分.
扩展扫描(extensivescanning)当计算机上未知的应用程序,或操作系统,与另一台联网计算机通讯时,所采用的方式不是该计算机所特别指定方式时,所出现的情形.
防火墙事件(firewallevent)管理控制台所发布的,防火墙用来监控计算机对因特网和其它网络的连接的各种设置.
防火墙策略(firewallpolicy)101帮助文件应用于网络中所有尚无任何规则的网络连接和应用程序的规则.
它们的优先性低于在"局域网全局规则(globalrules)(LAN)"页面中设置的规则.
它们的优先程度低于应用程序规则(除非用户另有指定).
应用程序有时会启动另外的隐藏进程,为它执行某些网络访问.
恶意的应用程序可能通过以下技巧避隐藏进程(hiddenprocess)开防火墙它启动某个受信任的应用程序去访问网络,而不是自己去访问.
在应用任何其它通用规则或应用程序规则之前,就应用的规则.
高优先级通用规则(high-priorityglobalrule)执行前行为分析和运行时行为分析的总称.
主机入侵防范系统(HIPS)"InternetControlMessageProtocol"(Internet控制消息协议)的缩写一种网络层的因特网协议,它提供与IP数据包处理有关的错误矫正和其它信息.
ICMPICMP设置指定允许哪些类型网络管理通讯.
ICMP设置(ICMPsettings)受控程序的一类,即时消息客户端应用程序(如MSN).
即时消息(instantmessaging)一种防火墙模式.
在这种模式中,当防火墙检测到没有相应的规则的网络通讯流时,它会显示一个或多个学习对话框.
交互模式当某个未知的应用程序请求网络访问时,要求用户选择是允许还是阻断网络活动的对话框.
学习对话框(learningdialog)控制何时删除记录的设置.
日志清除设置(logcleanupsettings)一种窗体,用户可以在其中查看事件数据库中的详情,诸如,已被允许或阻断的连接,系统日志,以及任何出现过的警报,等等.
日志查看器(logviewer)102SophosEndpointSecurityandControl使用特别的清除感染程序或实用工具,或者,通过手动方式删除文件,而执行的清除.
手动清除与在内容控制列表中定义的内容一致.
匹配(match)网络基本输入/输出系统(NetworkBasicInput/OutputSystem)的缩写.
为操作系统,I/O总NetBIOS(网络基本输入/输出系统)线,以及网络之间提供接口的软件.
几乎所有基于Windows的局域网(LAN)都是基于NetBIOS的.
使网络中的计算机能够相互连接,以及能够以最少的错误交换信息的一组规则或标准.
网络协议(networkprotocol)一种防火墙模式.
在这种模式中,对于没有相应的规则的网络通讯流,防火墙要么全部阻断它们,要么全部允许它们.
非交互模式(non-interactivemode)只扫描各个文件中最有可能被病毒感染的那些部分的扫描.
普通扫描(normalscanning)防范安全隐患的主要保护手段.
当您复制,移动,或打开文件,或启动程序时,SophosAnti-Virus会读写扫描(on-accessscan)扫描文件或程序,确保访问它不会对您的计算机造成安全隐患,或者,它已被批准使用.
由您启用的一种扫描.
您可以使用即时扫描计算机上您具有读权限的所有文件.
即时扫描(on-demandscan)用于公司网络的防火墙配置,用户使用该网络的连接进行日常工作.
主配置(primaryconfiguration)指定是否允许修改了或隐藏的线程进行网络访问的设置.
进程设置(processsettings)软件模块,它使您能够查看和处置被隔离的项目.
隔离管理器低级插口允许进程控制数据在网络中传输的各个环节,这可以被用于恶意目的.
低级插口(rawsocket)可以通过快捷菜单来运行的,扫描资源管理器中或桌面上的文件的一种扫描.
单击右键扫描(right-clickscan)103帮助文件一种特洛伊木马或类似的技术,它用来隐藏恶意的对象(进程,文件,注册键,或网络端口),避免计算机用户或系统管理员发现它们.
rootkit由可疑行为检测和缓冲溢出检测执行的动态分析.
运行时行为分析在扫描某个文件中出现的错误,例如拒绝访问.
扫描出错(scanningerror)在设定时间运行的,对您的计算机或计算机的某些部分进行的扫描.
计划扫描(scheduledscan)当用户没有连接到公司主网络中,但连接到了其它网络中(如旅馆,或机场的无线网络,或其它公司网络.
)时,所使用的防火墙配置.
副配置(secondaryconfiguration)通过隐蔽,欺骗,或劝诱等方式,将自身安装到用户的计算机上,并且未经用户的许可或知晓,将计算机上的信息发送给第三方的程序.
间谍软件一种使用云计算技术的功能,它能不断地判断可疑文件是否成为安全隐患,并随时采取在Sophos防病毒保护配置中所指定的相应措施.
SophosLiveProtection用于保留活动的TCPandUDP网络连接表的防火墙技术.
只有与已知的连接状态匹配的数据包,才会被防火墙允许.
状态查看(statefulinspection)可移动存储设备(例如USB闪存,PC读卡器,和外接硬盘驱动器),CD/DVD驱动器,软盘驱动存储设备(storagedevice)器,以及安全的可移动存储设备(例如SanDiskCruzerEnterprise,KingstonDataTraveller,IronKeyEnterprise,和带有硬件加密的IronKeyBasicUSB闪存).
对运行在系统中的所有程序的行为进行的动态分析,以检测和阻断可能的恶意活动.
可疑行为检测(suspiciousbehaviordetection)一种文件,在文件中出现了病毒中普遍具有,但又不仅是病毒中才具有的一系列特征.
可疑文件(suspiciousfile)104SophosEndpointSecurityandControl在应用程序和硬件处理的实际数据之间充当桥梁的内存.
它由操作系统使用.
系统内存(systemmemory)将被应用于所有应用程序,以及将允许或阻断低级别的系统网络活动的规则.
系统规则(systemrule)能够防范已知的恶意软件,以及防止未经授权的用户通过SophosEndpointSecurityandControl用户界面,卸载或禁用Sophos安全软件的一种功能.
介入防范(tamperprotection)检测或清除某安全隐患.
安全隐患事件(threatevent)一种视图,它控制日志查看器将在数据视图中显示什么数据.
树视图(treeview)经过分析文件的结构,而不是通过文件的文件扩展名,而确认的文件类型.
这是一种更加可靠的确认文件类型的方法.
真实文件类型(truefiletype)被允许完全地,无条件地访问网络的应用程序.
信任的应用程序(trustedapplication)没有特定识别的病毒.
未识别的病毒(unidentifiedvirus)防火墙没有相应的规则的,由某个应用程序或服务进行的网络访问.
未知的通讯流(unknowntraffic)使SophosAnti-Virus能够检测和清除特定的病毒,特洛伊木马,蠕虫的一种文件.
病毒识别文件(IDE)(virusidentityfile(IDE))受控程序的一类,语音IP电话客户端应用程序.
语音IP电话(VoiceoverIP)决定防火墙是要用户输入措施("交互"模式),还是自动应用措施("非交互模式")的设置.
工作模式(workingmode)105帮助文件14技术支持您可以通过以下各种方式获得Sophos产品的技术支持访问community.
sophos.
com/中的SophosTalk论坛,并搜索遇到相同问题的其它用户.
访问www.
sophos.
com/en-us/support.
aspx中的Sophos技术支持知识库.
在www.
sophos.
com/en-us/support/documentation/中下载产品的技术文档.
发送电子邮件至supportasia@sophos.
com,提供您的Sophos软件的版本号,计算机的操作系统,补丁级别,以及任何出错信息的原文.
106SophosEndpointSecurityandControl15法律声明版权所有1989-2013SophosLimited.
保留一切权利.
本出版物的任何部分,都不得被以电子的、机械的、复印的、记录的或其它的一切手段或形式,再生,存储到检索系统中,或者传输.
除非您是有效的被授权用户,并且根据您的用户授权使用许可协议中的条件,您可以再生本文档或者,除非您事先已经获得了版权所有者的书面许可.
Sophos,SophosAnti-Virus以及SafeGuard都是SophosLimited,SophosGroup和UtimacoSafewareAG的注册商标.
所有其它提及的产品和公司的名称都是其所有者的商标或注册商标.
CommonPublicLicenseTheSophossoftwarethatisreferencedinthisdocumentincludesormayincludesomesoftwareprogramsthatarelicensed(orsublicensed)totheuserundertheCommonPublicLicense(CPL),which,amongotherrights,permitstheusertohaveaccesstothesourcecode.
TheCPLrequiresforanysoftwarelicensedunderthetermsoftheCPL,whichisdistributedinobjectcodeform,thatthesourcecodeforsuchsoftwarealsobemadeavailabletotheusersoftheobjectcodeform.
ForanysuchsoftwarecoveredundertheCPL,thesourcecodeisavailableviamailorderbysubmittingarequesttoSophos;viaemailtosupportasia@sophos.
comorviathewebathttp://www.
sophos.
com/en-us/support/contact-support/contact-information.
aspx.
Acopyofthelicenseagreementforanysuchincludedsoftwarecanbefoundathttp://opensource.
org/licenses/cpl1.
0.
phpConvertUTFCopyright20012004Unicode,Inc.
ThissourcecodeisprovidedasisbyUnicode,Inc.
Noclaimsaremadeastofitnessforanyparticularpurpose.
Nowarrantiesofanykindareexpressedorimplied.
Therecipientagreestodetermineapplicabilityofinformationprovided.
IfthisfilehasbeenpurchasedonmagneticoropticalmediafromUnicode,Inc.
,thesoleremedyforanyclaimwillbeexchangeofdefectivemediawithin90daysofreceipt.
Unicode,Inc.
herebygrantstherighttofreelyusetheinformationsuppliedinthisfileinthecreationofproductssupportingtheUnicodeStandard,andtomakecopiesofthisfileinanyformforinternalorexternaldistributionaslongasthisnoticeremainsattached.
OpenSSLcryptographictoolkitTheOpenSSLtoolkitstaysunderaduallicense,i.
e.
boththeconditionsoftheOpenSSLLicenseandtheoriginalSSLeaylicenseapplytothetoolkit.
Seebelowfortheactuallicensetexts.
ActuallybothlicensesareBSD-styleOpenSourcelicenses.
IncaseofanylicenseissuesrelatedtoOpenSSLpleasecontactopenssl-core@openssl.
org.
OpenSSLlicenseCopyright1998-2011TheOpenSSLProject.
Allrightsreserved.
107帮助文件Redistributionanduseinsourceandbinaryforms,withorwithoutmodification,arepermittedprovidedthatthefollowingconditionsaremet:1.
Redistributionsofsourcecodemustretaintheabovecopyrightnotice,thislistofconditionsandthefollowingdisclaimer.
2.
Redistributionsinbinaryformmustreproducetheabovecopyrightnotice,thislistofconditionsandthefollowingdisclaimerinthedocumentationand/orothermaterialsprovidedwiththedistribution.
3.
Alladvertisingmaterialsmentioningfeaturesoruseofthissoftwaremustdisplaythefollowingacknowledgment:"ThisproductincludessoftwaredevelopedbytheOpenSSLProjectforuseintheOpenSSLToolkit.
(http://www.
openssl.
org/)"4.
Thenames"OpenSSLToolkit"and"OpenSSLProject"mustnotbeusedtoendorseorpromoteproductsderivedfromthissoftwarewithoutpriorwrittenpermission.
Forwrittenpermission,pleasecontactopenssl-core@openssl.
org.
5.
Productsderivedfromthissoftwaremaynotbecalled"OpenSSL"normay"OpenSSL"appearintheirnameswithoutpriorwrittenpermissionoftheOpenSSLProject.
6.
Redistributionsofanyformwhatsoevermustretainthefollowingacknowledgment:"ThisproductincludessoftwaredevelopedbytheOpenSSLProjectforuseintheOpenSSLToolkit(http://www.
openssl.
org/)"THISSOFTWAREISPROVIDEDBYTHEOpenSSLPROJECT"ASIS"ANDANYEXPRESSEDORIMPLIEDWARRANTIES,INCLUDING,BUTNOTLIMITEDTO,THEIMPLIEDWARRANTIESOFMERCHANTABILITYANDFITNESSFORAPARTICULARPURPOSEAREDISCLAIMED.
INNOEVENTSHALLTHEOpenSSLPROJECTORITSCONTRIBUTORSBELIABLEFORANYDIRECT,INDIRECT,INCIDENTAL,SPECIAL,EXEMPLARY,ORCONSEQUENTIALDAMAGES(INCLUDING,BUTNOTLIMITEDTO,PROCUREMENTOFSUBSTITUTEGOODSORSERVICES;LOSSOFUSE,DATA,ORPROFITS;ORBUSINESSINTERRUPTION)HOWEVERCAUSEDANDONANYTHEORYOFLIABILITY,WHETHERINCONTRACT,STRICTLIABILITY,ORTORT(INCLUDINGNEGLIGENCEOROTHERWISE)ARISINGINANYWAYOUTOFTHEUSEOFTHISSOFTWARE,EVENIFADVISEDOFTHEPOSSIBILITYOFSUCHDAMAGE.
ThisproductincludescryptographicsoftwarewrittenbyEricYoung(eay@cryptsoft.
com).
ThisproductincludessoftwarewrittenbyTimHudson(tjh@cryptsoft.
com).
OriginalSSLeaylicenseCopyright19951998EricYoung(eay@cryptsoft.
com)Allrightsreserved.
ThispackageisanSSLimplementationwrittenbyEricYoung(eay@cryptsoft.
com).
TheimplementationwaswrittensoastoconformwithNetscape'sSSL.
Thislibraryisfreeforcommercialandnon-commercialuseaslongasthefollowingconditionsareadheredto.
Thefollowingconditionsapplytoallcodefoundinthisdistribution,beittheRC4,RSA,lhash,DES,etc.
,code;notjusttheSSLcode.
TheSSLdocumentationincludedwiththisdistributioniscoveredbythesamecopyrighttermsexceptthattheholderisTimHudson(tjh@cryptsoft.
com).
108SophosEndpointSecurityandControlCopyrightremainsEricYoung's,andassuchanyCopyrightnoticesinthecodearenottoberemoved.
Ifthispackageisusedinaproduct,EricYoungshouldbegivenattributionastheauthorofthepartsofthelibraryused.
Thiscanbeintheformofatextualmessageatprogramstartuporindocumentation(onlineortextual)providedwiththepackage.
Redistributionanduseinsourceandbinaryforms,withorwithoutmodification,arepermittedprovidedthatthefollowingconditionsaremet:1.
Redistributionsofsourcecodemustretaintheabovecopyrightnotice,thislistofconditionsandthefollowingdisclaimer.
2.
Redistributionsinbinaryformmustreproducetheabovecopyrightnotice,thislistofconditionsandthefollowingdisclaimerinthedocumentationand/orothermaterialsprovidedwiththedistribution.
3.
Alladvertisingmaterialsmentioningfeaturesoruseofthissoftwaremustdisplaythefollowingacknowledgement:ThisproductincludescryptographicsoftwarewrittenbyEricYoung(eay@cryptsoft.
com).
Theword"cryptographic"canbeleftoutiftheroutinesfromthelibrarybeingusedarenotcryptographicrelated:-).
4.
IfyouincludeanyWindowsspecificcode(oraderivativethereof)fromtheappsdirectory(applicationcode)youmustincludeanacknowledgement:"ThisproductincludessoftwarewrittenbyTimHudson(tjh@cryptsoft.
com)"THISSOFTWAREISPROVIDEDBYTHEAUTHORANDCONTRIBUTORS"ASIS"ANDANYEXPRESSORIMPLIEDWARRANTIES,INCLUDING,BUTNOTLIMITEDTO,THEIMPLIEDWARRANTIESOFMERCHANTABILITYANDFITNESSFORAPARTICULARPURPOSEAREDISCLAIMED.
INNOEVENTSHALLTHEAUTHORORCONTRIBUTORSBELIABLEFORANYDIRECT,INDIRECT,INCIDENTAL,SPECIAL,EXEMPLARY,ORCONSEQUENTIALDAMAGES(INCLUDING,BUTNOTLIMITEDTO,PROCUREMENTOFSUBSTITUTEGOODSORSERVICES;LOSSOFUSE,DATA,ORPROFITS;ORBUSINESSINTERRUPTION)HOWEVERCAUSEDANDONANYTHEORYOFLIABILITY,WHETHERINCONTRACT,STRICTLIABILITY,ORTORT(INCLUDINGNEGLIGENCEOROTHERWISE)ARISINGINANYWAYOUTOFTHEUSEOFTHISSOFTWARE,EVENIFADVISEDOFTHEPOSSIBILITYOFSUCHDAMAGE.
Thelicenseanddistributiontermsforanypublicallyavailableversionorderivativeofthiscodecannotbechanged.
i.
e.
thiscodecannotsimplybecopiedandputunderanotherdistributionlicense[includingtheGNUPublicLicense.
]109帮助文件索引A安全信息43安全隐患分析43B报告发现碎片,排疑解难94病毒11,20,24,96弥补造成的破坏96自动清除11,20,24部分地检测95部分检测到的安全隐患95C查看27,47扫描日志47自定义扫描日志27处置隔离区中的病毒37处置隔离区中的广告软件38处置隔离区中的间谍软件37处置隔离区中的间谍软件,处置37处置隔离区中的可能不想安装的应用程序38处置隔离区中的可疑文件40处置隔离区中的可疑行为41处置受控程序42创建自定义扫描21从读写扫描中排除项目13从防火墙日志查看器中导出记录83从即时扫描中排除项目16D打包文件,扫描8,18,22打印机共享,允许58打印机共享,阻断59代理服务器85单个项目扫描21单击右键扫描21单击右键扫描,配置18单击右键扫描,运行21导出防火墙配置文件66导入防火墙配置文件66电子邮件,允许56读写扫描8,10,12–13禁用10排除项目13配置8启用10指定文件扩展名12读写扫描和即时扫描,区别8E恶意网站32保护32恶意行为29检测29FFTP下载,允许57防病毒44–46配置SNMP消息发送45配置电子邮件警报44配置事件日志记录46配置桌面消息发送44防火墙55禁用55防火墙配置文件66导出66导入66防火墙日志查看器83导出记录83防火墙日志记录80配置80访问磁盘8,96访问权限5,96非交互模式,更改到64副服务器85副路径配置77创建77G隔离管理器35110SophosEndpointSecurityandControl隔离区中的病毒,处置37隔离区中的广告软件,处置38隔离区中的可能不想安装的应用程序,处置38隔离区中的可疑文件,处置40隔离区中的可疑行为,处置41更新84,86,92更新使用的带宽,限制86工作模式,更改为交互式63挂起扫描49广告软件8,18,20,22,24,33,95,97批准33扫描8,18,22自动清除20,24规则69–70设置69–70规则优先性67HHIPS28缓冲区溢出29,34,41检测29批准34,41获取清除信息43IICMP消息61–62筛选61相关信息62IPv660阻断60J即时扫描15–16排除项目16指定文件扩展名15即时扫描,类型15即时扫描类型15计划更新84计划扫描97计划自定义扫描26计算机运行缓慢,排疑解难95记录更新日志86间谍软件11,20,24自动清除11,20,24检测恶意行为29检测缓冲区溢出29检测可疑行为29检查和,用于鉴定应用程序75检查和学习对话框60,65交互模式65启用60鉴定应用程序,使用检查和75交互模式64–65低级插口消息65检查和学习对话框65协议消息65隐藏进程消息64应用程序消息65交互模式,启用63交互式模式,关于63介入防范87–91概述87更改密码90关闭88禁用88开启88配置软件89启用88日志记录91输入密码89卸载SophosEndpointSecurityandControl90卸载Sophos安全软件90验证用户89重新启用88禁用读写扫描10禁用防火墙55禁用扫描49禁用扫描受控应用程序33,48禁用网页控制53K开始使用54首先要做的54可能不想安装的应用程序(PUA)8,18,20,22,24,33,95,97批准33扫描8,18,22自动清除20,24可疑文件8,11,18,20,22,24,34批准34扫描8,18,22自动清除11,20,24可疑项目,预批准34可疑行为29,34,41检测29批准34,41111帮助文件LLAN通讯流,允许57立即更新84两个网络适配器75使用75MMac病毒,扫描8弥补造成的破坏97密码错误97P配置7–8,18,22,44–47,78,80统一报告发送78单击右键扫描18读写扫描8防病毒SNMP消息发送45防病毒电子邮件警报44防病毒事件日志记录46防病毒桌面消息发送44防火墙日志记录80扫描日志47用户使用隔离区管理器的权限7自定义扫描22批准33–35,41–42广告软件33缓冲区溢出34,41可能不想安装的应用程序(PUA)33可疑文件34可疑行为34,41受控程序42网站35Q启用读写扫描10启用检查和学习对话框60清除42,93关于42排疑解难93清除感染93全局规则68,70设置68,70全局规则(globalrules)73设置73Rrootkit,扫描22日志查看器80关于80日志记录82筛选82SSophosEndpointSecurityandControl3SophosLiveProtection30–31概述30关闭31禁用31开启31启用31日志记录31云计算技术30Sophos组5–6添加用户到6扫描Mac病毒8扫描rootkit22扫描打包文件8,18,22扫描单个项目21扫描广告软件和可能不想安装的应用程序(PUA)8,18,22扫描可疑文件8,18,22扫描日志47查看47配置47扫描受控程序32,48扫描受控应用程序,禁用33,48扫描所有文件8,18,22扫描系统内存8,22筛选ICMP消息61筛选日志记录82删除自定义扫描27设备控制49受控设备49阻断网络桥接(bridging)49设置规则69–70设置全局规则68,70,73受感染的磁盘引导区8,96受控程序32,42,48处置42批准42扫描32,48数据控制,暂时禁用51112SophosEndpointSecurityandControl碎片93所有文件,扫描8,18,22T添加用户到Sophos组中6通过拨号连接进行更新84统一报告发送,配置78图标22要扫描的项目22W完全的计算机扫描,运行27网页保护32概述32网页控制53概述53禁用53网页浏览器,允许56网站35批准35位置感知75–77创建副路径配置77定义主路径76关于75使用两个网络适配器75文件共享,允许58文件共享,阻断59文件和打印机共享,允许58文件和打印机共享,阻断59X系统托盘图标92限制更新使用的带宽86卸载Sophos安全软件90行为监控28启用28Y已批准的广告软件,阻断33已批准的可能不想安装的应用程序,阻断33已扫描文件的检查和,重置12以较低的优先级运行扫描22隐藏进程,允许74应用程序59–60,75使用检查和鉴定75允许59应用程序(续)阻断60用户权限5,96用户使用隔离区管理器的权限,配置7用户组5,96优先级,扫描22有关清除的信息43预批准可疑项目34原始套接字,允许74云计算技术30允许56–59,74FTP下载57LAN通讯流57电子邮件56网页浏览器56文件和打印机共享58隐藏进程74应用程序59原始套接字74运行单击右键扫描21运行时行为分析28运行完全的计算机扫描27运行自定义扫描26Z造成的破坏97指定读写扫描文件扩展名12重新命名自定义扫描27重置已扫描文件的检查和12主服务器84主机入侵防范系统28主路径76定义76主页4自定义扫描21–22,26–27创建21计划26配置22删除27运行26重命名27自定义扫描日志27查看27自动清除11,20,24病毒11,20,24广告软件20,24间谍软件11,20,24可能不想安装的应用程序(PUA)20,24可疑文件11,20,24113帮助文件阻断32–33,59–60IPv660恶意网站32文件和打印机共享59阻断(续)已批准的广告软件33已批准的可能不想安装的应用程序33应用程序60114SophosEndpointSecurityandControl