Správa prevence narušení

Výchozí nastavení prevence narušení chrání klientské počítače před hrozbami různých druhů. Výchozí nastavení vaší sítě můžete změnit.
Pokud je aplikace
Symantec Endpoint Protection
spuštěna na serverech, může mít prevence narušení vliv na prostředky serveru nebo dobu odezvy. Další informace najdete v části:
Klient pro systém Linux nepodporuje prevenci narušení.
Správa prevence narušení
Úloha
Popis
Zjistěte informace o prevenci narušení
Zjistěte, jak funkce prevence narušení zjišťuje a blokuje síťové útoky a napadení prohlížeče.
Povolení prevence narušení
Chcete-li, aby byly klientské počítače zabezpečeny, měli byste nechat prevenci narušení povolenou:
  • Prevence narušení ze sítě
  • Prevence napadení v prohlížeči (pouze počítače se systémem Windows)
    Prevenci narušení prohlížeče můžete nakonfigurovat tak, aby byla zjištění zaznamenána do protokolu, ale aby nebyla zablokována. Tuto konfiguraci byste měli používat jen dočasně, jelikož snižuje bezpečnostní profil klienta. Režim pouze s protokolováním byste například měli nastavit, pouze když u klienta řešíte potíže se zablokovaným provozem. Poté, co zkontrolujete protokol útoku a identifikujete a vyloučíte signatury, které blokují provoz, můžete zakázat režim pouze s protokolováním.
Oba typy prevence narušení i bránu firewall můžete také povolit, když spustíte příkaz
Povolit ochranu před síťovými hrozbami
nebo Zakázat ochranu před síťovými hrozbami.
Vytvoření výjimek za účelem změny výchozího nastavení chování signatur prevence narušení ze sítě společnosti Symantec
Můžete vytvořit výjimky za účelem změny výchozího chování výchozích signatur prevence narušení v síti společnosti Symantec. Některé signatury provoz standardně blokují, jiné provoz standardně povolují.
Nelze změnit chování signatur prevence narušení v počítači.
Můžete změnit výchozí chování některých signatur sítě z následujících důvodů:
  • Snížení spotřeby na klientských počítačích.
    Například můžete chtít snížit počet signatur, které blokují provoz. Ujistěte se však, že signatury útoku nepředstavují riziko, než je vyjmete z blokování.
  • Povolení některých signatur, které společnost Symantec standardně blokuje.
    Například můžete chtít vytvořit výjimky, které snižují falešnou pozitivitu, když neškodná činnost v síti odpovídá signatuře útoku. Pokud víte, že je činnost v síti bezpečná, můžete vytvořit výjimku.
  • Blokování některých signatur, které společnost Symantec povoluje.
    Společnost Symantec například zahrnuje signatury pro aplikace peer-to-peer a standardně provoz povoluje. Můžete místo toho vytvořit výjimky blokující provoz.
  • Použít audit signatury k monitorování určitých typů provozu (pouze Windows)
    Audit signatury mají jako výchozí akci u určitých typů provozu
    Neprotokolovat
    , např. u provozu v aplikacích rychlých zpráv. Pro protokolování provozu můžete vytvořit výjimku, díky níž můžete protokoly prohlížet a monitorovat tyto provozy ve vaší síti. Blokovat provoz můžete pomocí vytvoření výjimky, vytvořit pro blokaci firewallové pravidlo nebo ponechat provoz bez zásahu.
    Pro provoz můžete také vytvořit pravidlo aplikace.
Můžete použít ovládání aplikací k zabránění uživatelům ve spouštění aplikací peer-to-peer na jejich počítačích.
Chcete-li blokovat porty, které odesílají a přijímají provoz z aplikací peer-to-peer, použijte zásadu brány firewall.
Vytvoření výjimek za účelem ignorování signatur prohlížeče na klientských počítačích
(pouze systém Windows)
Můžete vytvořit výjimky, které vyjmou signatury prohlížeče z prevence narušení v prohlížeči na počítačích se systémem Windows.
Můžete ignorovat signatury prohlížeče, pokud prevence narušení prohlížeče způsobuje problémy s prohlížeči ve vaší síti.
Vyjmutí konkrétních počítačů z prověřování prevence narušení ze sítě
Z prevence narušení ze sítě můžete vyloučit určité počítače. Některé počítače v síti mohou být například nastaveny pro testování. Můžete chtít, aby produkt
Symantec Endpoint Protection
ignoroval provoz, který jde do těchto počítačů a z nich.
Když vyjmete počítače, vyjmete je také z ochrany před útoky denial of service a z ochrany před prověřováním portů, které poskytuje brána firewall.
Konfigurace upozornění prevence narušení
Standardně se při pokusu o narušení na klientském počítači zobrazují zprávy. Zprávu lze upravit.
Vytvoření vlastních signatur prevence narušení (pouze systém Windows)
Můžete vytvořit vlastní signaturu prevence narušení k identifikaci konkrétní hrozby. Když vytvoříte vlastní signaturu, můžete tak snížit riziko, že signatura způsobí falešnou pozitivitu.
Vlastní signatury prevence narušení můžete použít například k blokování a protokolování webových stránek.
Chcete-li používat vlastní signatury IPS, je nutné mít nainstalovanou a zapnutou bránu firewall.
Monitorování prevence narušení
Pravidelně kontrolujte, že je na klientských počítačích ve vaší síti povolena prevence narušení.