Verwalten von Intrusion Prevention

Die standardmäßigen Intrusion Prevention-Einstellungen schützen Clientcomputer vor einer großen Vielfalt an Bedrohungen. Sie können die Standardeinstellungen für Ihr Netzwerk ändern.
Wenn Sie
Symantec Endpoint Protection
auf Servern ausführen, kann der Angriffsschutz Serverressourcen oder die Reaktionszeiten beeinträchtigen. Weitere Informationen finden Sie hier:
Der Linux-Client unterstützt den Angriffsschutz nicht.
Verwalten von Intrusion Prevention
Aufgabe
Beschreibung
Kenntnisse zu Intrusion Prevention
Erfahren Sie, wie Intrusion Prevention Netzwerk- und Browserangriffe erkennt und blockiert.
Intrusion Prevention aktivieren
Damit die Clientcomputer weiterhin geschützt sind, sollten Sie den Angriffsschutz aktiviert lassen:
  • Netzwerk-Angriffsschutz
  • Browser-Angriffsschutz (nur Windows-Computer)
    Sie können den Browser-Angriffsschutz so konfigurieren, das Erkennungen nur protokolliert, aber nicht blockiert werden. Sie sollten diese Konfiguration nur vorübergehend einsetzen, da sie die Sicherheit auf dem Client verringert. Beispiel: Sie würden den Modus "Nur protokollieren" nur aktivieren, während Sie den blockierten Datenverkehr auf dem Client beheben. Nachdem Sie das Angriffsprotokoll überprüft haben, um Signaturen zu identifizieren und auszuschließen, die Datenverkehr blockieren, deaktivieren Sie den Modus "Nur protokollieren".
Sie können auch beide Typen des Angriffsschutzes sowie die Firewall aktivieren, wenn Sie den Befehl "
Netzwerkbedrohungsschutz aktivieren
" für eine Gruppe oder einen Client ausführen.
Erstellen Sie Ausnahmen, um das Standardverhalten der Signaturen der Funktion "Netzwerk-Angriffsschutz" zu ändern
Sie können Ausnahmen erstellen, um das Standardverhalten der Signaturen der Funktion "Netzwerk-Angriffsschutz" zu ändern. Einige Signaturen blockieren den Datenverkehr standardmäßig und andere Signaturen ermöglichen den Datenverkehr standardmäßig.
Sie können das Verhalten von Signaturen zur Verhinderung des unerwünschten Eindringens in Browser nicht ändern.
Sie können das Standardverhalten einiger Netzwerksignaturen aus folgenden Gründen ändern:
  • Reduzieren Sie den Verbrauch auf Ihren Clientcomputern.
    Beispielsweise sollten Sie die Anzahl der Signaturen reduzieren, die den Datenverkehr blockieren. Stellen Sie jedoch sicher, dass eine Angriffssignatur keine Bedrohung darstellt, bevor Sie sie vom Blockieren ausschließen.
  • Lassen Sie einige Netzwerksignaturen zu, die Symantec standardmäßig blockiert.
    Beispielsweise können Sie Ausnahmen erstellen, um Falscherkennungen zu reduzieren, wenn eine gutartige Netzwerkaktivität einer Angriffssignatur entspricht. Wenn Sie wissen, dass eine Netzwerkaktivität sicher ist, können Sie eine Ausnahme erstellen.
  • Blockieren Sie einige Signaturen, die Symantec zulässt.
    Beispielsweise enthält Symantec Signaturen für Peer-to-Peer-Anwendungen und lässt den Datenverkehr standardmäßig zu. Sie können Ausnahmen erstellen, um den Datenverkehr stattdessen zu blockieren.
  • Prüfungssignaturen verwenden, um bestimmte Datenverkehrsarten zu überwachen (nur Windows)
    Prüfungssignaturen haben für bestimmte Datenverkehrtypen die Standardaktion "
    Nicht protokollieren
    ", wie z. B. Datenverkehr aus Instant-Message-Anwendungen. Sie können eine Ausnahme erstellen, um den Datenverkehr zu protokollieren, damit Sie die Protokolle anzeigen und den Datenverkehr in Ihrem Netzwerk überwachen können. Sie können die Ausnahme dann verwenden, um den Datenverkehr zu blockieren, eine Firewall-Regel zu erstellen, um den Datenverkehr zu blockieren oder den Datenverkehr auf sich beruhen zu lassen.
    Sie können auch eine Anwendungsregel für den Datenverkehr erstellen.
Sie können die Anwendungssteuerung verwenden, um Benutzer daran zu hindern, Peer-to-Peer-Anwendungen auf ihren Computern auszuführen.
Wenn Sie die Ports blockieren möchten, die Peer-to-Peer-Datenverkehr senden und empfangen, verwenden Sie eine Firewall-Richtlinie.
Erstellen Sie Ausnahmen, um Browsersignaturen auf Clientcomputern zu ignorieren
(nur Windows)
Sie können Ausnahmen erstellen, um Browsersignaturen aus dem Browser-Angriffsschutz auf Windows-Computern auszuschließen.
Sie können Browsersignaturen ignorieren, wenn die Verhinderung des unerwünschten Eindringens in Browser Probleme mit Browsern in Ihrem Netzwerk verursacht.
Ausschließen bestimmter Computer von Scans zum Netzwerk-Angriffsschutz
Sie können bestimmte Computer aus dem Netzwerk-Angriffsschutz ausschließen. Unter Umständen sind bestimmte Computer in Ihrem internen Netzwerk eigens für Testzwecke eingerichtet. Möglicherweise möchten Sie, dass
Symantec Endpoint Protection
den Datenverkehr ignoriert, der von diesen Computern ausgeht und zu ihnen hinführt.
Wenn Sie Computer ausschließen, schließen Sie sie auch vom Denial-of-Service-Schutz und vom Port-Scan-Schutz aus, den die Firewall bietet.
Konfigurieren von Intrusion Prevention-Benachrichtigungen
Standardmäßig erscheinen bei unbefugten Zugriffsversuchen Meldungen auf Clientcomputern. Sie können die Meldung anpassen.
Benutzerdefinierte Angriffsschutzsignaturen bereitstellen (nur Windows)
Sie können Ihre eigene Intrusion Prevention-Signatur schreiben, um eine bestimmte Bedrohung zu identifizieren. Wenn Sie Ihre eigene Signatur schreiben, können Sie die Möglichkeit reduzieren, dass die Signatur eine Falscherkennung verursacht.
Beispielsweise können Sie Signaturen des benutzerdefinierter Angriffsschutzes verwenden, um Websites zu blockieren und zu protokollieren.
Die Firewall muss installiert und aktiviert sein, damit benutzerdefinierte IPS-Signaturen genutzt werden können.
Überwachen der Intrusion Prevention
Prüfen Sie regelmäßig, ob Intrusion Prevention auf den Clientcomputern in Ihrem Netzwerk aktiviert ist.