Quarantäne-Schutzrichtlinien und -Regeln

Wenn ein Client nach längerer Abwesenheit in das Netzwerk zurückkehrt, schränken die Quarantänerichtlinien seine Kommunikationsmöglichkeiten mit dem Netzwerk ein, bis der ePolicy Orchestrator überprüft hat, dass der Client alle neuen Richtlinien, Software-Updates und DAT-Dateien besitzt.

 

Die Host Intrusion Prevention setzt die Quarantäneregeln für alle von ePolicy Orchestrator verwalteten Anwendungen durch. Wenn Sie daher Clients mit VirusScan Enterprise mithilfe von ePolicy Orchestrator verwalten, isoliert die Host Intrusion Prevention alle in das Netzwerk zurückkehrenden Clients, auf denen die Ausführung von VirusScan Enterprise-Tasks fehlschlägt. Dies ist z. B. der Fall, wenn eine Update-Task die neuesten DAT-Dateien nicht abrufen kann.

Veraltete Richtlinien und Dateien können Sicherheitslücken verursachen und Systeme für Angriffe verletzbar machen. Indem Benutzer bis zur Aktualisierung durch ePolicy Orchestrator isoliert bleiben, werden unnötige Sicherheitsrisiken vermieden. Beispielsweise ist eine Quarantänerichtlinie nützlich für Notebooks, deren Richtlinien und Dateien möglicherweise veralten, wenn sie sich mehrere Tage außerhalb des Firmennetzwerkes befinden.

Wenn Sie die Quarantänerichtlinie aktivieren, arbeiten ePolicy Orchestrator und die Host Intrusion Prevention zusammen. ePolicy Orchestrator erkennt, ob ein Benutzer die erforderlichen aktuellsten Informationen besitzt. Die Host Intrusion Prevention setzt die Isolierung des Clients bis zur Aktualisierung der notwendigen Richtlinien und Dateien durch.

 

Wenn sich ein Benutzer mittels VPN-Software mit Ihrem Netzwerk verbindet, dann sollten Sie sicherstellen, dass die Quarantäneregeln den Datenverkehr zulassen, der für die Verbindung und die Authentifizierung über VPN erforderlich ist.

Beim Konfigurieren der Richtlinie für Quarantäneoptionen geben Sie eine Liste isolierter IP-Adressen und Subnetze an. Alle einer dieser Adressen zugewiesenen Benutzer werden durch die Host Intrusion Prevention bei der Rückkehr in das Netzwerk isoliert.

Wenn eine Richtlinie für Quarantäneoptionen auf einen Client angewendet wird, verwendet die Host Intrusion Prevention den ePolicy Orchestrator-Agenten, um herauszufinden, ob der Client die aktuellsten Richtlinien und Dateien besitzt. Dabei wird auch geprüft, ob alle ePolicy Orchestrator-Tasks korrekt ausgeführt wurden.

Wenn der Benutzer auf dem aktuellen Stand ist, hebt die Host Intrusion Prevention die Isolierung des Clients sofort auf.

Wenn mindestens eine ePolicy Orchestrator-Task nicht ausgeführt wurde, besitzt der Benutzer jedoch keine aktuellen Daten, und die Host Intrusion Prevention hebt die Isolierung des Clients nicht automatisch auf. Der Client bleibt dann gegebenenfalls für einige Minuten isoliert, während der ePolicy Orchestrator-Agent die Richtlinien und Dateien aktualisiert. Host Intrusion Prevention kann die Isolierung fortsetzen oder anhalten – dies wird durch die Einstellungen in der Richtlinie für die Quarantäneoptionen festgelegt. Wenn Sie die Host Intrusion Prevention so konfigurieren, dass die Quarantäne weiterhin durchgesetzt wird, kann es passieren, dass Clients über einen längeren Zeitraum isoliert bleiben.

Mit der Quarantänerichtlinie setzt die Host Intrusion Prevention einen strikten Satz von Firewall-Quarantäneregeln durch, die festlegen, mit wem isolierte Clients kommunizieren dürfen.

 

Für den Quarantänemodus muss die Firewall aktiviert sein. Die Aktivierung des Quarantänemodus findet nur statt, wenn auch die Firewall aktiviert ist.

Copyright © 2005 McAfee, Inc. Alle Rechte vorbehalten.