Configuración de la prevención de intrusiones

La prevención de intrusiones se ejecuta de forma predeterminada en el equipo. La prevención de intrusiones intercepta datos en la capa de red. Usa firmas para analizar los paquetes o las secuencias de paquetes. Analiza cada paquete individualmente buscando los modelos que corresponden a los ataques de la red o del navegador. La prevención de intrusiones es la segunda capa de defensa después del firewall para proteger los equipos cliente. La prevención de intrusiones a veces se llama sistema de prevención de intrusiones (IPS).
La prevención de intrusiones y el firewall son parte de la Protección contra amenazas de red. La protección contra amenazas de red y la mitigación de puntos vulnerables en la memoria forman parte de la mitigación de puntos vulnerables de red y host.
Para administrar la prevención de intrusiones:
  1. Asegúrese de que las firmas IPS más recientes se descarguen.
    De forma predeterminada, las firmas más actuales se descargan al cliente. Sin embargo, es posible que desee descargar manualmente las firmas de forma inmediata.
  2. Mantenga la prevención de intrusiones habilitada.
    Debe mantener la prevención de intrusiones habilitada en todo momento.
    Symantec Endpoint Protection
    registra los eventos y los intentos de intrusión en el registro de seguridad. Es posible que
    Symantec Endpoint Protection
    también registre los eventos de intrusión en el registro de paquetes si el administrador configuró esta opción.
  3. Si piensa que la detección de un falso positivo, notifique al administrador.
    No asuma que los eventos inesperados son falsos positivos.
El administrador puede haber configurado estas opciones de forma que no estén disponibles.
Habilitar la prevención de intrusiones
La prevención de intrusiones incluye dos tipos:
  • Prevención de intrusiones de red
    La prevención de intrusiones de red usa firmas para identificar ataques en los equipos cliente. Para los ataques conocidos, la prevención de intrusiones desecha automáticamente los paquetes que coinciden con las firmas.
  • Prevención contra intrusiones de navegador
    La prevención contra intrusiones de navegador supervisa ataques en Internet Explorer y Firefox. La prevención contra intrusiones de navegador no se admite en ningún otro navegador. Para obtener la información más reciente acerca de los exploradores que protege la prevención contra intrusiones de navegador, consulte: Versiones de navegador compatibles con la prevención contra intrusiones de navegador.
Es posible también habilitar o deshabilitar las notificaciones cuando el cliente detecta un ataque de red.
Para habilitar la prevención de intrusiones:
  1. En el cliente, en la barra lateral, haga clic en
    Cambiar configuración
    .
  2. Al lado de
    Mitigación de puntos vulnerables de red y host
    , haga clic en
    Configurar opciones
    .
  3. En la ficha
    Prevención de intrusiones
    , asegúrese de que las siguientes opciones estén seleccionadas:
    • Habilitar la prevención de intrusiones de red
    • Habilitar Prevención contra intrusiones de navegador
      Es posible también configurar la prevención contra intrusiones de navegador para registrar solamente las detecciones, pero no para bloquearlas. Esta configuración se debe usar solamente de forma temporal, ya que disminuye la seguridad de equipo. Por ejemplo, configuraría el modo de solo registro cuando soluciona problemas de tráfico bloqueado. Después de revisar el registro de seguridad para identificar y excluir las firmas que bloquean el tráfico, deshabilita el modo de solo registro.
  4. (Opcional) Para habilitar las notificaciones de prevención de intrusiones, en la ficha
    Notificaciones
    , asegúrese de que la opción
    Mostrar notificaciones de prevención de intrusiones y mitigación de puntos vulnerables en la memoria
    esté seleccionada.
  5. Haga clic en
    Aceptar
    .