IPS 警告への対処
侵入防御システム (IPS) は、ネットワークトラフィックを監視し、検出された脅威に対応します。
これによって、エクスプロイトを悪用して、攻撃者がローカルデバイスを乗っ取ることを防止できます。受信トラフィックと送信トラフィックが監視されます。
特定のアプリケーションやネットワークトラフィックをインスペクションから除外することができます。たとえば、特定のプロトコル (HTTP など) を許可したり、アプリケーションの誤った IPS 警告を防止したりすることができます。
これには、次の手順を実行します。
- デバイス上のファイルまたはフォルダを除外します。これによって、送信 IPS インスペクションからアプリケーションが除外されます。
- 「悪意のあるネットワークトラフィックの防止 (IPS) (Windows)」除外を使用して、ネットワークトラフィックを除外します。
除外の詳細は、グローバル除外を参照してください。
ローカルデバイス上のアプリケーションの除外
IPS 警告 (送信検出) からアプリケーションを除外するには、次の手順を実行します。
- 「マイプロダクト > 全般設定 > グローバル除外」の順に選択します。
-
「除外の追加」をクリックします。
「除外の追加」ダイアログが表示されます。
-
「除外の種類」で、「ファイルまたはフォルダ (Windows)」を選択します。
- 「値」に、除外する実行ファイルやフォルダのパスを入力します。
- 「除外対象」で、リアルタイム検索に対して除外を指定することを選択します。
- 「追加」をクリックします。
詳細は、アプリケーション検出の停止を参照してください。
ネットワークトラフィックの除外
注
このような除外では、除外に一致するトラフィックは、IPS によって監視されません。ファイアウォールを個別に設定する必要があります。
ネットワークトラフィックを除外するには、次の手順を実行します。
- 「マイプロダクト > 全般設定 > グローバル除外」の順に選択します。
-
「除外の追加」をクリックします。
「除外の追加」ダイアログが表示されます。
-
「除外の種類」で、「悪意のあるネットワークトラフィックの防止 (IPS) (Windows)」を選択します。
-
除外するトラフィックを指定するには、次の設定を使用します。
- 方向: 受信または送信接続。
- リモートアドレス: トラフィックの送受信先コンピュータのアドレス。
- リモートポート: 他のコンピュータとの間でトラフィックが送受信されるポート。
- ローカルポート: ローカルコンピュータでトラフィックが送受信されるポート。
少なくともアドレスまたはポートのいずれか 1つを設定してください。
-
「追加」をクリックします。
ほとんどの TCP 接続では、元のポートとして、ランダムなポート番号が使用されます。ローカルポートを使用し、特定のプロトコル (RDP (3389) または HTTP (80) トラフィックなど) を許可リストに追加することを推奨します。
たとえば、管理者のコンピュータ 10.10.10.15
から他のコンピュータへの RDP 接続を許可するには、次の設定を使用します。
- 方向: 受信接続
- ローカルポート:
3389
- リモートポート: 空白のままにする
- リモートアドレス:
10.10.10.15