Automatischen Blockieren von Verbindungen zu einem angreifenden Computer

Wenn der
Symantec Endpoint Protection
-Client einen Netzwerkangriff erkennt, kann er die Verbindung automatisch blockieren, um die Sicherheit des Clientcomputers zu gewährleisten. Der Client aktiviert eine Active Response, die automatisch jede Kommunikation vom und zum angreifenden Computer während eines festgelegten Zeitraums blockiert. Die IP-Adresse des angreifenden Computers wird für einen einzelnen Speicherort blockiert.
Die IP-Adresse des Angreifers wird im Sicherheitsprotokoll aufgezeichnet. Sie können die Blockierung eines Angriffs aufheben, indem Sie die Blockierung einer bestimmten IP-Adresse aufheben oder Active Response vollständig deaktivieren.
Wenn der Client auf gemischte Steuerung eingestellt ist, können Sie angeben, ob der Benutzer die Einstellung auf dem Client aktivieren kann. Ist dies nicht der Fall, müssen Sie sie im Dialogfeld
Einstellungen zur gemischten Steuerung für die Client-Benutzerschnittstelle
aktivieren.
Aktualisierte IPS-Signaturen, Denial-of-Service-Signaturen, Port-Scans und MAC-Spoofing lösen ebenfalls Active Response aus.
  1. So blockieren Sie Verbindungen zu einem angreifenden Computer automatisch
  2. Öffnen Sie in der Konsole eine Firewall-Richtlinie.
  3. Klicken Sie im linken Teilfenster auf der Seite
    Firewall-Richtlinie
    auf eine der folgenden Optionen:
    • Unter
      Windows-Einstellungen
      :
      Schutz und Stealth
    • Unter
      Mac-Einstellungen
      :
      Schutz
      Mac-Einstellungen sind erst ab Version 14.2 verfügbar.
  4. Aktivieren Sie unter
    Schutzeinstellungen
    IP-Adressen von Angreifern automatisch blockieren
    .
  5. Geben Sie im Textfeld
    Anzahl Sekunden, für die die IP-Adresse blockiert werden soll:
    an, wie lange potenzielle Angreifer blockiert werden sollen.
    Sie können einen Wert zwischen 1 und 999.999 eingeben.
  6. Klicken Sie auf
    OK
    .