Zum Inhalt

Umgang mit IPS-Warnungen

Das Intrusion Prevention System (IPS) überwacht den Netzwerkverkehr und reagiert auf erkannte Bedrohungen.

Dadurch wird verhindert, dass ein Angreifer einen Exploit verwendet, um ein lokales Gerät zu übernehmen. Wir überwachen eingehenden und ausgehenden Datenfluss.

Sie können bestimmte Anwendungen oder bestimmten Netzwerkverkehr von der Prüfung ausschließen. Zum Beispiel können Sie spezifische Protokolle (wie HTTP) zulassen oder falsche IPS-Warnungen für eine Anwendung verhindern.

Verfahren Sie wie folgt:

  • Schließen Sie eine Datei oder einen Ordner auf einem Gerät aus. Dies schließt eine Anwendung von ausgehenden IPS-Inspektionen aus.
  • Schließen Sie Netzwerkverkehr mit einem Malicious Network Traffic Prevention (IPS) (Windows)-Ausschluss aus.

Für weitere Hilfe zu Ausschlüssen siehe Globale Ausschlüsse.

Schließen Sie eine Anwendung auf einem lokalen Gerät aus

Gehen Sie wie folgt vor, um eine Anwendung von IPS-Warnungen (ausgehende Erkennungen) auszuschließen:

  1. Gehen Sie zu Globale Einstellungen > Globale Ausschlüsse.
  2. Klicken Sie auf Ausschluss hinzufügen.

    Das Dialogfeld Ausschluss hinzufügen wird angezeigt.

  3. Wählen Sie Datei oder Ordner (Windows) in Ausschlusstyp.

  4. Geben Sie unter WERT den Pfad zu der ausführbaren Datei oder dem Ordner ein, den Sie ausschließen möchten.
  5. Geben Sie in Aktiv für an, dass der Ausschluss für Echtzeit-Scans gültig sein soll.
  6. Klicken Sie auf Hinzufügen.

Für weitere Hilfe siehe Erkennung einer Anwendung unterbinden.

Netzwerkverkehr ausschließen

Hinweis

Diese Ausschlüsse bedeuten, dass IPS den Datenverkehr, der dem Ausschluss entspricht, nicht überwacht. Sie müssen Ihre Firewall separat konfigurieren.

So schließen Sie Netzwerkverkehr aus:

  1. Gehen Sie zu Globale Einstellungen > Globale Ausschlüsse.
  2. Klicken Sie auf Ausschluss hinzufügen.

    Das Dialogfeld Ausschluss hinzufügen wird angezeigt.

  3. Wählen Sie Malicious Network Traffic Prevention (IPS) (Windows) in Ausschlusstyp.

  4. Verwenden Sie die folgenden Einstellungen, um festzulegen, welcher Datenverkehr ausgeschlossen werden soll:

    • Richtung: Eingehende oder ausgehende Verbindungen.
    • Remote-Adresse: Die Adresse eines anderen Computers, an den oder von dem Datenverkehr übertragen wird.
    • Remote-Port: Der Port, an den oder von dem Datenverkehr auf anderen Computern übertragen wird.
    • Lokaler Port: Der Port, an den oder von dem Datenverkehr auf dem lokalen Computer übertragen wird. Sie müssen mindestens eine der Optionen für Adresse oder Port einstellen.
  5. Klicken Sie auf Hinzufügen.

Die meisten TCP-Verbindungen haben als Ursprungsport eine zufällige Portnummer. Es wird empfohlen, einen lokalen Port zu verwenden und spezifische Protokolle (wie RDP (3389) oder HTTP (80)-Datenverkehr) zur „Erlauben“-Liste hinzuzufügen.

Um beispielsweise RDP-Verbindungen vom Administrator-Computer von 10.10.10.15 zu anderen Computern zu ermöglichen, verwenden Sie die folgenden Einstellungen:

  • Richtung: Eingehende Verbindungen
  • Lokaler Port: 3389
  • Remote-Port: Lassen Sie das Feld leer
  • Remote-Adresse: 10.10.10.15