Gestione della prevenzione delle intrusioni

Le impostazioni predefinite di prevenzione delle intrusioni proteggono i computer client da numerosi tipi di minacce. È possibile modificare le impostazioni predefinite per la rete in uso.
Se si esegue
Symantec Endpoint Protection
su server, la prevenzione delle intrusioni potrebbe influire sulle risorse o sui tempi di risposta dei server. Per maggiori informazioni, consultare:
Il client Linux non supporta la prevenzione delle intrusioni.
Gestione della prevenzione delle intrusioni
Attività
Descrizione
Informazioni sulla prevenzione delle intrusioni
Informarsi sul modo in cui la prevenzione delle intrusioni rileva e blocca gli attacchi a browser e reti.
Attiva prevenzione delle intrusioni
Per mantenere protetti i computer client, è necessario mantenere attivata la prevenzione delle intrusioni:
  • Prevenzione delle intrusioni di rete
  • Prevenzione delle intrusioni del browser (solo computer Windows)
    È possibile anche configurare la prevenzione contro le intrusioni del browser affinché registri solo i rilevamenti senza bloccarli. Utilizzare questa configurazione su base temporanea, in quanto riduce la sicurezza del client. Ad esempio, configurare la modalità di sola registrazione solo quando è necessario risolvere problemi di traffico bloccato sul client. Dopo aver esaminato il registro di attacco per identificare ed escludere le firme che bloccano il traffico, disattivare la modalità solo registrazione.
È possibile anche attivare entrambi i tipi di prevenzione delle intrusioni, come pure il firewall, quando si esegue il comando
Attiva la protezione dalle minacce di rete
in un gruppo o client.
Creare eccezioni per cambiare il comportamento predefinito delle firme di prevenzione delle intrusioni di rete di Symantec
È possibile creare eccezioni per cambiare il comportamento predefinito delle firme predefinite di prevenzione delle intrusioni di rete di Symantec. Alcune firme bloccano il traffico impostazione predefinita del traffico e altre firme lo ammettono per impostazione predefinita.
non è possibile cambiare il comportamento delle firme di prevenzione contro le intrusioni del browser.
È possibile cambiare il comportamento predefinito di alcune firme della rete per i seguenti motivi:
  • Ridurre il consumo nei computer client.
    Ad esempio, è possibile ridurre il numero di firme che bloccano il traffico. Assicurarsi, tuttavia, che una firma di attacco non costituisca una minaccia prima di escluderla dal blocco.
  • Consentire alcune firme di rete che Symantec blocca per impostazione predefinita.
    Ad esempio, è possibile creare eccezioni per ridurre i falsi positivi quando l'attività di rete benigna corrisponde a una firma di attacco. Se si è certi che l'attività di rete è sicura, è possibile creare un'eccezione.
  • Bloccare alcune firme consentite da Symantec.
    Ad esempio, Symantec include le firme per le applicazioni peer-to-peer e ammette il traffico per impostazione predefinita. È però possibile creare eccezioni per bloccare il traffico.
  • Utilizzare le firme di controllo per monitorare determinati tipi di traffico (solo Windows)
    Le firme di controllo hanno un'azione predefinita di
    Non registro
    per determinati tipi di traffico, come quello delle applicazioni di messaggistica istantanea. È possibile creare un'eccezione per registrare il traffico, in modo da poter visualizzare i registri e monitorare il traffico stesso nella rete. È poi possibile utilizzare l'eccezione per bloccare il traffico, creare una regola firewall per bloccare il traffico, o semplicemente consentire liberamente il traffico.
    Si potrebbe anche creare una regola dell'applicazione per il traffico.
È possibile utilizzare il controllo applicazioni per impedire agli utenti di eseguire applicazioni peer-to-peer nei computer in uso.
Se si desidera bloccare le porte che inviano e ricevono traffico peer-to-peer, utilizzare una politica del firewall.
Creare eccezioni per ignorare le firme del browser sui computer client
(Solo Windows)
È possibile creare eccezioni per escludere le firme del browser dalla prevenzione contro le intrusioni del browser sui computer Windows.
È possibile ignorare le firme del browser se la prevenzione contro le intrusioni del browser causa problemi con i browser nella rete.
Escludere computer specifici dalle scansioni di prevenzione delle intrusioni di rete
È possibile escludere determinati computer dalla prevenzione delle intrusioni di rete. Ad esempio, alcuni computer della rete interna potrebbero essere configurati a scopo di prova. In
Symantec Endpoint Protection
è possibile ignorare il traffico verso e da tali computer.
Quando si escludono i computer, si escludono dalla protezione del Denial of Service e della protezione di scansione delle porte fornite dal firewall.
Configurare le notifiche di prevenzione delle intrusioni
Per impostazione predefinita, nei computer client vengono visualizzati messaggi che avvisano dei tentativi di intrusione. È possibile personalizzare il messaggio.
Creare firme di prevenzione delle intrusioni personalizzate (solo Windows)
È possibile scrivere la propria firma di prevenzione intrusioni per identificare una minaccia specifica. Quando si scrive la firma, è possibile ridurre la possibilità che tale firma causi un falso positivo.
Ad esempio, è possibile utilizzare firme di prevenzione delle intrusioni personalizzate per bloccare e registrare siti Web.
Il firewall deve essere installato e attivato per utilizzare le firme IPS personalizzate.
Controllare la prevenzione delle intrusioni
Controllare regolarmente che la prevenzione delle intrusioni sia attivata sui computer client in rete.