Para gerenciar a prevenção contra intrusões

As configurações padrão da prevenção contra intrusões protegem os computadores-cliente contra uma grande variedade de ameaças. É possível alterar as configurações padrão da rede.
Se você executar o
Symantec Endpoint Protection
em servidores, a prevenção contra intrusões poderá afetar recursos ou o tempo de resposta do servidor. Para obter mais informações, consulte:
O cliente Linux não suporta a prevenção contra intrusões.
Para gerenciar a prevenção contra intrusões
Tarefa
Descrição
Saber mais sobre a prevenção contra intrusões
Saiba como a prevenção contra intrusões detecta e bloqueia ataques à rede e ao navegador.
Ativar a prevenção contra intrusões
Para manter seus computadores cliente protegidos, a prevenção contra intrusões deve permanecer ativada:
  • Prevenção contra intrusões na rede
  • Prevenção contra intrusão no navegador (computadores Windows somente)
    Você também pode configurar a prevenção contra intrusão no navegador para somente registrar em log as detecções, sem bloqueá-las. Você deve usar esta configuração temporariamente, pois ela reduz o perfil de segurança do cliente. Por exemplo, você configurará o modo somente log apenas quando solucionar problemas do tráfego bloqueado no cliente. Depois de verificar o log do ataque para identificar e excluir as assinaturas que bloqueiam o tráfego, desative o modo somente log.
Você também poderá ativar os dois tipos de prevenção contra intrusões, assim como o firewall, quando executar o comando
Ativar proteção contra ameaças à rede
em um grupo ou cliente.
Crie exceções o comportamento para alterar o padrão de assinaturas da Prevenção contra intrusões à rede da Symantec
Convém criar exceções para alterar o comportamento padrão das assinaturas padrão da prevenção contra intrusões à rede da Symantec. Algumas assinaturas bloqueiam o tráfego por padrão e outras assinaturas permitem o tráfego por padrão.
Você não pode mudar o comportamento de assinaturas da prevenção contra intrusões no navegador.
Convém mudar o comportamento padrão de algumas assinaturas da rede pelas seguintes razões:
  • Reduzir o consumo em seu computador-cliente.
    Por exemplo, talvez você queira reduzir o número de assinaturas que bloqueiam o tráfego. Certifique-se, porém, de que uma assinatura de ataque não ofereça nenhuma ameaça antes de excluí-la do bloqueio.
  • Permitir algumas assinaturas de rede que a Symantec bloqueia por padrão.
    Por exemplo, talvez você queira criar exceções para reduzir falsos positivos quando a atividade benigna da rede corresponder a uma assinatura de ataque. Se você souber que a atividade da rede é segura, será possível criar uma exceção.
  • Bloquear algumas assinaturas que a Symantec permite.
    Por exemplo, a Symantec inclui assinaturas para aplicativos ponto a ponto e permite o tráfego por padrão. Você pode criar exceções para bloquear o tráfego.
  • Usar assinaturas da auditoria para monitorar determinados tipos de tráfego (Windows somente)
    As assinaturas da auditoria têm uma ação padrão de
    Não registrar
    para certos tipos do tráfego, tais como o tráfego dos aplicativos de mensagem instantânea. Você pode criar uma exceção para registrar em log o tráfego de modo que possa exibir os logs e monitorar esse tráfego em sua rede. Você pode então usar a exceção para bloquear o tráfego, criar uma regra de firewall para bloquear o tráfego ou ignorá-lo.
    Você pode também criar uma regra do aplicativo para o tráfego.
Você pode usar o controle de aplicativos para impedir que os usuários executem aplicativos ponto a ponto em seus computadores.
Se desejar bloquear as portas que enviam e recebem o tráfego ponto a ponto, use uma política de firewall.
Criar exceções para ignorar assinaturas do navegador em computadores cliente
(somente Windows)
Você pode criar exceções para excluir assinaturas do navegador da prevenção contra intrusão no navegador em computadores Windows.
Talvez você queira ignoras assinaturas do navegador se a prevenção contra intrusão no navegador causar problemas com navegadores em sua rede.
Excluir computadores específicos das verificações da prevenção contra intrusões na rede
Talvez você queira excluir determinados computadores da prevenção contra intrusões na rede. Por exemplo, alguns computadores na sua rede interna podem estar configurados para testes. É possível que você queira que o
Symantec Endpoint Protection
ignore o tráfego que entra e sai desses computadores.
Quando excluir os computadores, você também os excluirá da proteção contra negação de serviço e da proteção da verificação de portas que o firewall fornece.
Configurar as notificações da prevenção contra intrusões
Por padrão, as mensagens aparecem nos computadores cliente para tentativas de intrusão. Você pode personalizar a mensagem.
Criar assinaturas de prevenção contra intrusões personalizada (Windows somente)
Você pode gravar sua própria assinatura de prevenção contra intrusões para identificar uma ameaça específica. Quando você gravar sua própria assinatura, será possível reduzir a possibilidade de a assinatura causar um falso positivo.
Por exemplo, convém usar assinaturas de prevenção contra intrusões personalizada para bloquear e registrar sites.
Você deve ter o firewall instalado e ativado para usar assinaturas IPS personalizadas.
Monitorar a prevenção contra intrusões
Verifique regularmente que a prevenção contra intrusões esteja ativada nos computadores cliente em sua rede.