Konfigurieren der Richtlinie für den IPS-Schutz
Die Richtlinie IPS-Schutz legt die Schutzreaktion für Signatur-Schweregrade fest. Diese Einstellungen geben Agenten vor, was zu tun ist, wenn ein Angriff oder ein verdächtiges Verhalten entdeckt wird. Jede Signatur besitzt einen von vier Schweregraden:
- Hoch (Rot) – Signatur von eindeutig identifizierbaren Sicherheitsbedrohungen oder schädlichen Aktionen. Diese Signaturen sind spezifisch für gut identifizierte Schwachstellen und sind in den meisten Fällen nicht verhaltensauffällig. Verhindern Sie diese Signaturen auf allen Systemen.
- Mittel (Orange) – Signatur einer verhaltensauffälligen Aktivität, bei der Anwendungen außerhalb ihres Bereichs arbeiten. Verhindern Sie diese Signaturen auf kritischen Systemen sowie auf Web- und SQL-Servern.
- Gering (Gelb) – Signatur einer verhaltensauffälligen Aktivität, bei der Anwendungen und Systemressourcen gesperrt werden und nicht geändert werden können. Wenn Sie diese Signaturen verhindern, steigert dies die Sicherheit des zugrundeliegenden Systems, es ist jedoch eine zusätzliche Feineinstellung erforderlich.
- Information (Blau) – Signatur einer verhaltensauffälligen Aktivität, bei der Anwendungen und Systemressourcen geändert werden, was auf ein Sicherheitsrisiko oder einen ungefährlichen Versuch hinweisen kann, auf sensible Systeminformationen zuzugreifen. Ereignisse dieser Ebene treten im Laufe der normalen Systemaktivität auf und weisen in der Regel nicht auf einen Angriff hin.
Diese Ebenen zeigen die potentiellen Gefahren für ein System an. Damit definieren Sie spezifische Reaktionen für unterschiedliche Ebenen potentieller Schäden. Sie können die Schweregrade und die Reaktionen für alle Signaturen ändern. Wenn eine verdächtige Aktivität beispielsweise wahrscheinlich keinen Schaden anrichtet, können Sie als Reaktion ignorieren wählen. Wenn eine Aktivität wahrscheinlich Schaden anrichtet, können Sie als Reaktion verhindern festlegen.
Die Richtlinie IPS-Schutz besitzt mehrere voreingestellte Richtlinien, die Sie auswählen können. Wenn die voreingestellten Richtlinien nicht die gewünschte Kombination der Optionen besitzt, dann erstellen Sie eine neue Richtlinie, und aktivieren Sie die entsprechenden Optionen. Die im Dialogfeld der Richtlinie IPS-Schutz verfügbaren Optionen hängen von der ausgewählten Richtlinie ab.
So konfigurieren Sie die Richtlinie für den IPS-Schutz:
- Erweitern Sie die IPS-Funktion in der Kategoriezeile IPS-Schutz, und klicken Sie auf Bearbeiten.
- Um eine voreingestellte Richtlinie anzuwenden, wählen Sie diese in der Richtlinienliste. Wenn Sie auf das Symbol des Richtliniennamens klicken, werden folgende Einstellungen angezeigt:
Wählen Sie folgende Richtlinie...
|
Für folgende Optionen...
|
(Basic Protection (McAfee Default))
|
Verhindert Signaturen hoher Schweregrade und ignoriert die restlichen.
|
(Enhanced Protection)
|
Verhindert Signaturen hoher und mittlerer Schweregrade und ignoriert die restlichen.
|
(Maximum Protection)
|
Verhindert Signaturen hoher, mittlerer und geringer Schweregrade und protokolliert die restlichen.
|
(Prepare for Enhanced Protection)
|
Verhindert Signaturen hoher Schweregrade, protokolliert Signaturen mittlerer Schweregrade und ignoriert die restlichen.
|
(Prepare for Maximum Protection)
|
Verhindert Signaturen hoher und mittlerer Schweregrade, protokolliert Signaturen geringer Schweregrade und ignoriert die restlichen.
|
(Warning)
|
Protokolliert Signaturen hoher Schweregrade und ignoriert die restlichen.
|
- Klicken Sie auf Anwenden.
So erstellen Sie eine neue Richtlinie für den IPS-Schutz:
- Klicken Sie in der Kategoriezeile IPS-Schweregrad auf Bearbeiten, und wählen Sie in der Richtlinienliste Neue Richtlinie.
- Wählen Sie im Dialogfeld Neue Richtlinie erstellen die Richtlinie, die dupliziert werden soll, geben Sie den Namen der neuen Richtlinie ein, und klicken Sie auf OK.
|
Erstellen Sie eine neue duplizierte Richtlinie, wenn Sie die Einzelheiten zu einer vordefinierten Richtlinie anzeigen, indem Sie unten im Dialogfeld für die Richtlinie auf Duplizieren klicken. Geben Sie den Namen der neuen Richtlinie ein, und geben Sie an, ob die Richtlinie augenblicklich dem aktuellen Knoten zugewiesen werden soll.
|
Das Dialogfeld IPS-Schutz wird geöffnet.
- Wählen Sie den Reaktionstyp für jeden Schweregrad aus:
Für...
|
Wählen Sie...
|
Hoch
|
Ignorieren, um das Ereignis zuzulassen, ohne es zu protokollieren.
Protokollieren, um das Ereignis zuzulassen und zu protokollieren.
Verhindern, um das Ereignis zu verhindern und zu protokollieren.
|
Mittel
|
Ignorieren, um das Ereignis zuzulassen, ohne es zu protokollieren.
Protokollieren, um das Ereignis zuzulassen und zu protokollieren.
Verhindern, um das Ereignis zu verhindern und zu protokollieren.
|
Gering
|
Ignorieren, um das Ereignis zuzulassen, ohne es zu protokollieren.
Protokollieren, um das Ereignis zuzulassen und zu protokollieren.
Verhindern, um das Ereignis zu verhindern und zu protokollieren.
|
Information
|
Ignorieren, um das Ereignis zuzulassen, ohne es zu protokollieren.
Protokollieren, um das Ereignis zuzulassen und zu protokollieren.
|
- Klicken Sie auf Anwenden und anschließend auf Schließen.
- Klicken Sie in der Kategoriezeile IPS-Schutz auf Anwenden.
|
Richtlinien können nur auf der Richtlinienkatalogseite von ePolicy Orchestrator gelöscht werden. Hierzu sind ausschließlich globale Administratoren berechtigt.
|
Copyright © 2005 McAfee, Inc. Alle Rechte vorbehalten.