官网挖到的：Recommended settings for Anti-Virus and HIPS（Sophos）

墨家小子

bbs2811125 发表于 2014-2-21 13:26
都那么喜欢整合系统组件啊，FSCS也把防火墙给整合了
只要防护跟得上整合倒是没什么关系

关键UAC比较烦啊

bbs2811125

墨家小子 发表于 2014-2-22 09:42
关键UAC比较烦啊

这个确实……我不习惯给程序限制权限的安全策略方式，因为这样会让我使用上感到不便，有些日常或者新安装的程序会因此出错或者bug

墨家小子

bbs2811125 发表于 2014-2-22 19:05
这个确实……我不习惯给程序限制权限的安全策略方式，因为这样会让我使用上感到不便，有些日常或者新安装 ...

要是UAC能够保存弹窗出现的行为就好了

bbs2811125

墨家小子 发表于 2014-2-23 11:27
要是UAC能够保存弹窗出现的行为就好了

可以给微软提个建议，应该不算难事，也就是让uac对自身已有的安全设置更丰富、更人性化些，至于uac监控的范围强度微软自己看着办，毕竟还要考虑到垄断的问题。一直认为MSE始终柔柔弱弱就是忌讳垄断

瞠凰韬晦

强大的翻译正在围观（感谢谷歌）
--------------------------------------------------------------------分割线-----------------------------------------------------------------------------------------------
推荐的防病毒和HIPS设置，它也设置为默认在全新安装控制台的新政策，被配置为提供最好的保护所推荐的SophosLabs的。

 在正常使用时， Sophos建议您运行防病毒和HIPS使用默认设置。如果需要额外的按访问扫描功能，更多的系统资源可以被消耗掉，启动时可能增加CPU的使用率。

 已知适用于以下的Sophos产品（第）和版本（ S）

 Sophos的端点安全和控制10.0

 默认的设置如下：

 文件扫描启用上读，写时，和上重命名。
 按访问扫描存档文件是“关闭”
 按访问扫描可能不需要的应用程序（PUA ）为“ON”
 文件扫描设置为“仅可执行文件和其他弱势文件'
 “检测恶意行为”已启用
 “检测可疑行为”被设置为“仅警报”
 启用“检测缓冲区溢出'
 实时保护功能
 系统内存扫描已启用
 “阻止访问恶意网站'是'上'
 “内含病毒/间谍软件自动清理项目”已启用
 对于没有清理，操作设置为“拒绝访问只” 。
 重要提示：请参阅知识库文章27267了解我们最新推荐的防护设置全部细节。这些默认情况下对所有新鲜的安装设置。

 下面的信息提供给解释主要设置。

 在读取扫描
 这应该在几乎所有的情况下被打开。按访问扫描提供病毒检查您的工作站。它们被执行之前由该计算机打开所有的文件被检查。

 写入时扫描
 跟踪网络上的传染源时，写时扫描是非常有用的，或者如果受感染的文件是从在互联网上写的。通过您的电脑或另一台计算机写入到你的硬盘上的文件，在创建时将被检查。这将防止病毒将在所有开放式股票在网络上传播感染的文件。

 写入时扫描追踪，是整个网络共享传播病毒特别有用，但你也应该检查您的网络，行政股尤其是安全上使用文件共享。

 上重命名扫描
 上重命名扫描可以在类似的情况下上写扫描有用的，但所涉及的文件将被写入，就好像它是一个不可执行的文件，然后重命名为使其可执行。你应该在相同的情况下使用的，命名为扫描上写扫描。

 按访问扫描归档文件
 按访问扫描存档文件会消耗大量的内存。如果按访问扫描归档文件正在使用中，每一次这样的文件被认为在Windows资源管理器中该文件的内容将被全面检查。如果该文件是一个自解压存档，该自解压组件将​​与访问时的默认扫描设置进行检查。所以，检查整个文件，每一次，与按访问扫描是不必要的。

 造成扫描归档的文件增加的内存和CPU使用率是浪费，如果没有则访问该文件。你不应该需要使用按访问扫描档案的工作站上。

 如果你需要打开它之前检查存档，使用右键扫描。该文件的内容将通过按访问扫描检查，无论如何，你运行它们。
 如果您需要检查一组归档的文件，将它们都在同一个文件夹，然后用鼠标右键单击扫描该文件夹。
 如果您需要检查一个文件服务器上的归档文件，使用排程扫描。
 其中一台服务器是检查它们转发到客户端工作站前的文件，如按访问扫描存档文件可能是有用的作为通过交通的一部分。它不应该是一个标准的网络设置的一部分。

 按访问扫描可能不想安装的应用程序
 潜在不受欢迎的应用程序（PUA ）的程序，而其使用必须慎重处理。有些人（如网络访问工具或即时消息客户端）可能是有用的某些工人。如果这样的程序已在您的网络上使用，而且它然后由Sophos的加入到潜在不受欢迎的应用程序列表，它会立即阻止。

 使用排程扫描，以在办公室环境管理的PUAs 。然后，您可以决定哪些应用程序允许，哪些阻止，没有你的网络上的破坏活动。

 扫描“所有文件”
 一个“所有文件”扫描应该被用来检查病毒的所有组成部分都消毒之后被去除，但它不是必需的一般使用。

 标准的“可执行文件只有”扫描会检查所有文件与可执行文件扩展名（如' DOC '，' 。 EXE '， ' LNK '，' 。 PIF '） 。它也很快会检查所有文件的结构，并扫描他们，如果他们的格式是一个可执行文件。

 如果你想扫描额外的文件类型，你可以添加这些文件类型的扩展名的可执行文件扫描列表中。
 如果你觉得安全作出偶尔检查您的计算机上的所有文件，设置每周调度扫描在一个安静的时间（如周日下午） 。
 当扫描一台计算机上的所有文件，切记：

 一个“所有文件”扫描可能会比一个可执行程序只扫描相当长的时间。
 你应该很少，如果有的话，需要删除一个非可执行文件。
 与“所有文件”扫描删除文件时要小心。你可能会删除邮箱与一个受感染的邮件在其中，或者只包含一个在许多人感染文件的存档文件。
 自动清除包含病毒/间谍软件项目
 在端点10的设置“自动清除包含病毒/间谍软件项目”按访问扫描是默认启用的。有启用此选项意味着在处理恶意软件向控制台报告较少的行政工作。此选项也意味着你不会看到惊动在仪表板和/或对客户端计算机的名称在控制台中为恶意软件的项目已成功处理的项目。警报历史记录和报告将包括恶意软件检测的所有事件虽然。

 我们强烈建议您不要采取跟进行动， “只拒绝访问” 。

 检测恶意行为
 恶意行为，必须启用HIPS保护，是家长选择可疑行为。禁止恶意行为完全切换殺关闭。我们建议您保留此选项选中。

 检测可疑行为
 可疑行为检测行为类似的恶意软件，但如果你认识到文件/程序可授权项目。默认情况下启用该选项，但的直通选项“仅警示”是指文件不会被阻塞。

 如果要升级到端点10 ，想知道更多关于如何设置将被迁移，请参阅文章114528 。

 检测缓冲区溢出
 缓冲区溢出攻击可能是一个风险。然而，与可疑行为，如果你认识到正在运行的文件/进程，那么你就可以批准该项目。

 现场保护
 的Sophos Live Protection可以提高检测新的恶意软件没有多余的检测的风险。这是通过做比对最新的已知恶意软件的即时查询实现。当新的恶意软件，Sophos可在几秒钟内发出的更新。为了得到这种保护水平高，您应该保留的“已启用”为默认设置。

 欲了解更多信息，请参阅文章110921 。

 在10.0版进一步最好的保护设置
 下面最好的保护设置也被列入10.0版本。

 自动清理排程扫描检测。

彷`徨DE鑀♂

墨家小子 发表于 2014-2-21 20:42
关键UAC比较烦啊

实际上UAC跟HIPS的烦人程度差不多，都是双击然后跳。

墨家小子

彷`徨DE鑀♂ 发表于 2014-3-21 03:59
实际上UAC跟HIPS的烦人程度差不多，都是双击然后跳。

可以设置白名单

彷`徨DE鑀♂

墨家小子 发表于 2014-3-20 20:05
可以设置白名单

HIPS可以，UAC也可以吗？

墨家小子

彷`徨DE鑀♂ 发表于 2014-3-21 13:48
HIPS可以，UAC也可以吗？

难道不可以吗？

彷`徨DE鑀♂

墨家小子 发表于 2014-3-21 05:43
难道不可以吗？

可以吗？如果可以的话，贫道真是井底之蛙了