Zarządzanie systemem zapobiegania włamaniom

Domyślne ustawienia systemu zapobiegania włamaniom chronią komputery klienckie przed wieloma rodzajami zagrożeń. Ustawienia domyślne można dostosować do potrzeb danej sieci.
Uruchomiona na serwerach aplikacja zapobiegająca włamaniom
Symantec Endpoint Protection
może wpływać na ich zasoby lub na czas odpowiedzi. Aby uzyskać więcej informacji, patrz:
Klient systemu Linux nie obsługuje funkcji zapobiegania włamaniom.
Zarządzanie systemem zapobiegania włamaniom
Zadanie
Opis
Zapoznanie się z systemem zapobiegania włamaniom
Należy zapoznać się ze sposobem, w jaki system zapobiegania włamaniom wykrywa ataki sieciowe i ataki na przeglądarkę.
Włącz funkcję Zapobieganie włamaniom
Aby zapewnić ochronę komputerom, należy mieć włączoną funkcję Zapobieganie włamaniom:
  • Zapobieganie włamaniom sieciowym
  • Zapobieganie włamaniom do przeglądarki (tylko komputery z systemem Windows)
    Zapobieganie włamaniom do przeglądarki można również skonfigurować tak, aby jedynie rejestrować zdarzenia wykrycia, ale ich nie blokować. Takiej konfiguracji należy używać jedynie tymczasowo, gdyż zmniejsza ona poziom zabezpieczeń klienta. Tryb jedynie rejestrowania można na przykład włączyć na czas rozwiązywania problemów z blokowaniem ruchu na kliencie. Po przejrzeniu dziennika ataków w celu zidentyfikowania i wykluczenia sygnatur blokujących ruch tryb ten należy wyłączyć.
Oba typy zapobiegania włamaniom oraz zaporę można także włączyć, wykonując polecenie
Włącz ochronę przed zagrożeniami sieciowymi
na grupie lub kliencie.
Utworzenie wyjątków w celu zmiany domyślnego sposobu działania sygnatur systemu zapobiegania włamaniom sieciowym dostarczanych przez firmę Symantec
Możliwe jest utworzenie wyjątków w celu zmiany domyślnego sposobu działania domyślnych sygnatur systemu zapobiegania włamaniom sieciowym dostarczanych przez firmę Symantec. Niektóre sygnatury blokują domyślnie ruch, a inne zezwalają domyślnie na ruch.
Nie można zmienić sposobu działania sygnatur zapobiegania włamaniom do przeglądarki.
Zmiana domyślnego działania niektórych sygnatur sieciowych może być konieczna z następujących powodów:
  • Zmniejszenie obciążenia komputerów klienckich.
    Można na przykład zmniejszyć liczbę sygnatur blokujących ruch. Niemniej jednak, należy upewnić się, że sygnatura ataku nie stwarza zagrożenia, zanim się ją wykluczy z blokowania.
  • Zezwolenie na niektóre sygnatury sieciowe blokowane domyślnie przez firmę Symantec.
    Można na przykład utworzyć wyjątki, aby zmniejszyć liczbę fałszywych alarmów dotyczących zwykłej operacji sieciowej podobnej do sygnatury ataku. Jeśli wiadomo, że operacja sieciowa jest bezpieczna, można utworzyć wyjątek.
  • Blokowanie niektórych sygnatur, na które zezwala firma Symantec.
    Firma Symantec dostarcza na przykład sygnatury aplikacji peer-to-peer i domyślnie zezwala na ruch. Można jednak utworzyć wyjątki, aby blokować ten ruch.
  • Używanie sygnatur inspekcji do monitorowania pewnych typów ruchu (tylko system Windows)
    Do sygnatur inspekcji w przypadku pewnych typów ruchu, na przykład ruchu wiadomości komunikatora internetowego, jest przypisane domyślne działanie
    Nie rejestruj
    . Można utworzyć wyjątek, tak aby rejestrować taki ruch, a następnie przeglądać go w dziennikach i monitorować w sieci. Takiego wyjątku można użyć do blokowania ruchu, utworzenia reguły zapory blokującej ruch lub pozostawienia ruchu bez zmian.
    Można również utworzyć regułę aplikacji dotyczącą ruchu.
Użytkownikom można uniemożliwić uruchamianie aplikacji peer-to-peer na komputerach za pomocą kontroli aplikacji.
W celu blokowania portów wysyłających i odbierających ruch sieciowy aplikacji P2P należy użyć zasady zapory.
Utworzenie wyjątków w celu ignorowania sygnatur przeglądarek na komputerach klienckich
(Dotyczy tylko systemu Windows).
Na komputerach z systemem Windows można utworzyć wyjątki w celu wykluczenia sygnatur przeglądarek z systemu zapobiegania włamaniom do przeglądarki.
Sygnatury przeglądarek można zignorować, jeśli funkcja zapobiegania włamaniom do przeglądarki wywołuje problemy z przeglądarkami w sieci.
Wykluczenie określonych komputerów ze skanowań systemu zapobiegania włamaniom sieciowym
Z zapobiegania włamaniom sieciowym można wykluczyć konkretne komputery. Niektóre komputery w sieci wewnętrznej mogą na przykład być skonfigurowane do celów testowych. W niektórych sytuacjach program
Symantec Endpoint Protection
powinien być może ignorować ruch do i z tych komputerów.
Wykluczone komputery są wykluczane również z zapewnianej przez zaporę ochrony przed atakiem typu „odmowa obsługi” i ochrony przed skanowaniem portów.
Konfigurowanie powiadomień funkcji zapobiegania włamaniom
Domyślnie na komputerach klienckich wyświetlane są komunikaty o próbach włamania. Komunikat ten można dostosować.
Utworzenie sygnatur niestandardowego systemu zapobiegania włamaniom (dotyczy tylko systemu Windows)
Można napisać własne sygnatury systemu zapobiegania włamaniom, aby identyfikować określone zagrożenie. Można w ten sposób zmniejszyć prawdopodobieństwo, że sygnatura wywoła fałszywe alarmy.
Można na przykład użyć sygnatur niestandardowego systemu zapobiegania włamaniom w celu blokowania i rejestrowania stron internetowych.
Aby używać niestandardowych sygnatur systemu zapobiegania włamaniom, należy zainstalować i włączyć zaporę.
Monitorowanie zapobiegania włamaniom
Należy regularnie sprawdzać, czy funkcja zapobiegania włamaniom jest włączona na komputerach klienckich w sieci.