Configuration de la prévention d'intrusion
Par défaut, la prévention d'intrusion s'exécute en continu sur votre ordinateur. La prévention d'intrusion intercepte des données à la couche réseau. Elle utilise des signatures pour analyser des paquets ou des flux de paquets. Elle analyse chaque paquet individuellement en recherchant les configurations qui correspondent aux attaques réseau ou aux attaques de navigateur. La prévention d'intrusion est la deuxième couche de défense après le pare-feu pour protéger les ordinateurs client. La prévention d'intrusion est parfois appelée le système de prévention d'intrusion (IPS).
La prévention d'intrusion et le pare-feu font partie de la protection contre les menaces réseau. La protection contre les menaces réseau et la Prévention contre les exploits en mémoire constituent une partie intégrante de la Prévention contre les exploits réseau et hôte.
Pour gérer la prévention d'intrusion :
- Assurez-vous que les dernières signatures IPS sont téléchargées.Par défaut, les dernières signatures sont téléchargées sur le client. Cependant, vous pouvez choisir de télécharger les signatures manuellement immédiatement.
- Maintenez la prévention d'intrusion activée.Vous devez maintenir la prévention d'intrusion activée à tout moment.Symantec Endpoint Protectionenregistre les tentatives et les événements d'intrusion dans le journal de sécurité.Symantec Endpoint Protectionpeut également enregistrer les événements d'intrusion dans le journal des paquets si votre administrateur l'a configuré ainsi.
- Si vous pensez que la détection est un faux positif, notifiez votre administrateur.Ne supposez pas que les événements inattendus sont de faux positifs.
Votre administrateur a pu configurer ces options pour qu'elles soient indisponibles.
Activer la prévention d'intrusion
La prévention d'intrusion comprend deux types :
- Prévention d'intrusion réseauLa prévention d'intrusion réseau utilise des signatures pour identifier des attaques sur les ordinateurs client. Pour les attaques connues, la prévention d'intrusion rejette automatiquement les paquets qui correspondent aux signatures.
- Prévention d'intrusion du navigateurLa prévention d'intrusion du navigateur contrôle les attaques sur Internet Explorer et Firefox. La prévention d'intrusion du navigateur n'est prise en charge sur aucun autre navigateur. Pour obtenir les dernières informations sur les navigateurs protégés par la prévention d'intrusion du navigateur, consultez l'article : Supported browser versions for browser intrusion prevention (Versions de navigateur prises en charge par la prévention d'intrusion du navigateur).
Vous pouvez également activer ou désactiver les notifications lorsque le client détecte une attaque réseau.
Pour activer la prévention d'intrusion :
- Dans le client, dans la barre latérale, cliquez surChanger les paramètres.
- En regard dePrévention contre les exploits réseau et hôte, cliquez surConfigurer les paramètres.
- Dans l'ongletPrévention d'intrusion, assurez-vous que les options suivantes sont activées :
- Activer la prévention d'intrusion réseau
- Activer la prévention d'intrusion du navigateurVous pouvez également configurer la prévention d'intrusion du navigateur de façon à seulement consigner les détections, sans les bloquer. Vous devriez seulement utiliser cette configuration de façon temporaire, car elle réduit le profil de sécurité de votre ordinateur. Par exemple, vous pouvez configurer le mode de consignation uniquement pendant que vous dépannez un trafic bloqué. Après avoir passé en revue le journal de sécurité pour identifier et exclure les signatures qui bloquent le trafic, vous désactivez le mode de consignation uniquement.
- (Facultatif) Pour activer les notifications de prévention d'intrusion, dans l'ongletNotifications, assurez-vous que l'optionAfficher les notifications de Prévention d'intrusion et Prévention contre les exploits en mémoireest activée.
- Cliquez surOK.