Ansichten:
Um die Nutzung der Systemressourcen auf dem Agenten zu verbessern, optimieren Sie bestimmte leistungsbezogene Einstellungen.
Für einen Überblick über das Modul zur Eindringungserkennung siehe Exploit-Versuche mit Eindringungserkennung sperren.
Systemressource
Einstellungen, die die Leistung beeinflussen
CPU-Nutzung
  • Ein Ereignis protokollieren, wenn ein Paket verworfen oder gesperrt wird. Das Protokollieren von Paketänderungen kann zu vielen Protokolleinträgen führen. (Siehe Ereignisprotokollierung für Regeln konfigurieren)
  • Paketdaten nur während der Fehlerbehebung im Ereignisprotokoll aufnehmen. (Siehe Ereignisprotokollierung für Regeln konfigurieren)
  • Weisen Sie nur Regeln zum Eindringschutz zu, die für das Betriebssystem und die Anwendungen des Computers gelten. Siehe Empfehlungsscans für Informationen zur Verwendung von Empfehlungsscans, um anwendbare Schwachstellen und Regeln zu entdecken.
  • Weisen Sie nicht mehr als 300 Regeln zu.
Netzwerknutzung oder Durchsatz
  • Ein Ereignis protokollieren, wenn ein Paket verworfen oder gesperrt wird. Das Protokollieren von Paketänderungen kann zu vielen Protokolleinträgen führen. (Siehe Ereignisprotokollierung für Regeln konfigurieren)
  • Paketdaten nur während der Fehlerbehebung im Ereignisprotokoll aufnehmen. (Siehe Ereignisprotokollierung für Regeln konfigurieren)
  • Überwachen Sie keine HTTP-Antworten vom Webserver, insbesondere wenn die Richtlinie viele Signaturen enthält:
    1. Klicken Sie auf RichtlinienRegeln zum Eindringschutz.
    2. Klicken Sie mit der rechten Maustaste auf eine Regel im Anwendungstyp Webserver Common und klicken Sie auf Application Type Properties.
    3. Auf der Registerkarte Konfiguration deaktivieren Sie Inherited and Monitor responses from Web Server.
Speichernutzung

Maximale Größe für Konfigurationspakete

Wenn einem Agenten eine große Anzahl von Regeln zum Eindringschutz zugewiesen wird, kann die Größe des Konfigurationspakets die maximal zulässige Größe überschreiten. Wenn die zulässige Größe überschritten wird, ändert sich der Status des Agenten zu "Konfigurationspaket des Agenten zu groß" und die Ereignismeldung "Konfigurationspaket zu groß" erscheint.
Hinweis
Hinweis
Es gibt ein Konfigurationslimit von 20 MB auf der Windows 32-Bit-Plattform, da weniger Kernel-Speicher verfügbar ist. Für andere Plattformen beträgt das Limit 32 MB.
Aus Leistungsgründen sollten weniger als 350 Regeln zum Eindringschutz einem Computer zugewiesen werden. Um die Anzahl der erforderlichen Regeln zu minimieren, stellen Sie sicher, dass alle verfügbaren Patches auf das Betriebssystem des Computers und alle installierte Drittanbieter-Software angewendet werden.
  1. Wenden Sie verfügbare Patches auf das Betriebssystem des Computers an.
  2. Wenden Sie verfügbare Patches auf alle installierten Drittanbieter-Software an.
  3. Wenden Sie nur die Regeln zum Eindringschutz an, die ein Empfehlungsscan empfiehlt. Entfernen Sie alle Regeln vom Computer oder der zugewiesenen Richtlinie, die zur Aufhebung der Zuweisung empfohlen werden. (Siehe Empfehlungsscans verwalten und ausführen.)
  4. Wenn Sie die Eindringungserkennung auf der Richtlinienebene verwalten und das Konfigurationspaket immer noch zu groß ist, konfigurieren Sie die Eindringungserkennung auf eine der folgenden Arten:
    • Gestalten Sie die Richtlinie detaillierter, sodass alle Server in dieser Richtlinie dasselbe Betriebssystem und dieselben Anwendungen haben.
    • Verwalten Sie die Eindringungsprävention auf Serverebene, sodass Regeln für den Computer automatisch hinzugefügt und entfernt werden.
Verwenden Sie das folgende Verfahren, um die Eindringungsprävention auf Serverebene zu verwalten.
  1. Öffnen Sie den Editor für die Richtlinie, die dem Computer zugewiesen ist.
  2. Klicken Sie auf Intrusion PreventionAllgemein.
  3. Im Abschnitt Recommendations setzen Sie Automatically implement Intrusion Prevention Recommendations (when possible) auf Ja.
  4. Entfernen Sie alle Regeln zum Eindringschutz aus der Richtlinie.
  5. Führen Sie einen Empfehlungsscan auf dem Computer durch.