Hinweise zur Nutzung des Sophos Malwareschutzes

Sophos Knowledgebase

Auf viele Fragen im Zusammenhang mit den Schutzprodukten der Firma Sophos können Sie in der Knowledgebase Antworten finden: Link


Die nachfolgend genannten Hinweise sind i.d.R. nur für Sophos-Administratoren relevant.

Fehler bei der Installation unter Windows

Wenn das Installationspaket ausführen wollen, erscheint eine Fehlermeldung in der Art "Windows Script Host - Skript: C:\Users ....\setup.vbs ... Fehler: Der angegebenen Datei ist keine Anwendung zugeordnet." oder das die Datei nicht gefunden werden kann. Das Setup wird nicht ausgeführt.
In diesem Fall ist wie folgt vorzugehen:

1. Laden Sie sich das Installationspaket für Ihren Bereich herunter:

http://sec.scc.uni-weimar.de/install/

2. Entpacken Sie das Paket

3. Öffnen Sie die Kommandozeile (Ausführen - Eingabe "cmd")

4. Navigieren Sie zur setup.exe "cd [Pfad zur Datei]", klick auf Enter, zum Beispiel "cd C:\Windows\Temp\SophosEndpointWindows_STANDARD\"

5. Kopieren Sie nun folgendes Kommando in die Kommandozeile (Markieren, re. Maustaste - Kopieren, re Maustaste - Einfügen) und klicken Sie auf Enter.

setup.exe -crt R -ni -mng yes -updp ""http://sec.scc.uni-weimar.de/CIDs/S000/SAVSCFXP/"" -g ""\SEC\STANDARD""

6. Die Installation sollte beginnen und fehlerfrei durchlaufen.

Mac OS X - Installation oder Deinstallation von Sophos Anti-Virus über die Befehlszeile

Gehen Sie wie hier beschrieben vor:

http://www.sophos.com/de-de/support/knowledgebase/14179.aspx

Prüfen der Aktualität der Virensignaturen

  1. Öffnen von Sophos Endpoint Security Endpoint and Control (Sophos-Symbol in der Taskleiste mit rechte Maustaste anklicken und entsprechende Option auswählen)
  2. ggf. die Meldung der Benutzerkontensteuerung bestätigen
  3. Im neuen Fenster links auf Produktinfo klicken. Unter “Antivirus und HIPS” auf ”+Software” klicken.
  4. Wert unter “Erkennungsdaten” merken.
  5. Aufrufen der Webseite: www.sophos.de/downloads/ide/
  6. Jetzt die Zeile auswählen in der der gemerkte Wert steht und die Zahl bei “Anzahl der IDEs” mit der Zahl bei “Erkennungsdateien” von Sophos Endpoint Security Endpoint and Control auf dem eigenen System überprüfen (Werte müssen übereinstimmen.

Manuelles Update der Viren-Signaturen

Sollten aus irgendeinem Grund die Update-Server nicht erreichbar sein, können die Viren-Signaturen auch manuell aktualisiert werden. Sophos aktualisiert die Signaturen mehrmals am Tag.

  1. Laden Sie die zip-Datei mit den aktuellen Signaturen (farbig unterlegt) herunter: Link
  2. Entpacken Sie den Inhalt der Datei in das entsprechende Verzeichnis (bei Windows standardmäßig nach C:\Program Files\Sophos\Sophos Anti-Virus).

Geplante Scans (On-Demand-Scans) mit niedriger Systemlast durchführen lassen

Die Option "Scan mit niedriger Priorität" ausführen steht erst ab Windows Vista zur Verfügung

Übersicht über Port-Konfigurationen in Sophos Anwendungen

Externer Link - Sophos KB38385

Konfiguration der Console für die Verwaltung großer Netzwerke

Externer Link - Sophos KB14243

Schutz von Computern in der Gruppe „Nicht zugewiesen" nicht möglich

"Die Gruppe "Nicht zugewiesen" ist für Computer gedacht, die noch in keine Gruppe eingegliedert wurden und auf die sich Richtlinien übertragen lassen.
Computer werden erst geschützt, wenn sie sich in einer Gruppe befinden."
(Quelle: Sophos Enterprise Console - Hilfe, Produktversion: 4.7, Stand: April 2011)

Sophos Anti-Virus für Windows: Zulassen verdächtiger Objekte

Externer Link - Sophos KB25227

Ausgeschlossene Datei wird trotzdem gemeldet

Erhält man von der Sophos Enterprise Console eine Meldung der Art
Prozess "C:\programme\…\xyz.exe" weist verdächtiges Verhaltensmuster 'HIPS/RegMod-009' auf.
obwohl man für die Datei xyz.exe einen Ausschluss definiert hat, liegt dieses in der Regel daran, dass sich die Checksumme der Datei - zum Beispiel durch ein Update - geändert hat. Folgende Handlungsmöglichkeiten stehen zur Verfügung:

Erneuter Ausschluss der geänderten Datei, mit dem Nachteil, dass dieses bei jeder Änderung wiederholt werden muss oder Ausschalten des HIPS (Host Intrusion Prevention Systems) bei diesem System mit der Folge, dass diese Schutzfunktion nicht mehr zur Verfügung steht. Eine teilweise Deaktivierung ist nicht möglich.

Der Dateiausschluss beim On-Access- und On-Demand-Scan hat keine Wirkung bezüglich der Erkennung durch das HIPS

Viele "$$$"-Dateien im Sophos Temp-Verzeichnis

Im Ordner "C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\Sophos\Sophos Anti-Virus\Temp." befinden sich viele Dateien mit "*.$$$"-Erweiterung, die über 1GB groß sind.

Es handelt sich hierbei um temporäre Dateien, die beim Scannen einer Archivdatei von der Scanning Engine extrahiert wurden und gelöscht werden können.

Vorgehensweise:

  1.     Beenden Sie den Dienst "Sophos Anti-Virus" (SavService.exe).
  2.     Löschen Sie die "$$$"-Dateien.
  3.     Starten Sie den Dienst "Sophos Anti-Virus" neu.

(Quelle: de.sophos.com/support/knowledgebase/article/43698.html)