Разрешени услуги и разширени опции
Разделът „Защита от мрежови атаки“ ви позволява да конфигурирате разширени опции за филтриране за откриване на няколко типа атаки срещу и уязвимости на вашия компютър.
В някои случаи няма да получавате известие за заплаха относно блокирани комуникации. Прегледайте раздела Регистриране и създаване на правила или изключения от регистрационен файл за инструкции как да видите всички блокирани комуникации в регистрационния файл на защитната стена. |
Наличността на конкретни опции в Разширени настройки (F5) > Мрежова защита > Защита от мрежови атаки може да се различава в зависимост от типа или версията на продукта за endpoint на ESET и модула на защитната стена и версията на операционната система. Някои от тях може да са налични само за ESET Endpoint Security. |
Откриване на проникване
- Протокол SMB – открива и блокира различни проблеми със защитата в протокола SMB, а именно:
- Откриване на упълномощаване на атаки за предизвикателства от фалшиви сървъри – защитава срещу атака, която използва фалшиво предизвикателство по време на удостоверяването, с цел да се сдобие с идентификационните данни на потребителя.
- Откриване на избягване на IDS при отваряне на наименуван канал – откриване на известни техники, използвани за отваряне на наименувани MSRPC канали в SMB протокол.
- Откриване на често срещани слаби места и излагане на риск – внедрени методи за откриване на различни атаки, формуляри, дупки в защитата и уязвими места през протокол SMB. Посетете следния уеб сайт за често срещани слаби места и излагане на риск на адрес cve.mitre.org, за да потърсите и получите подробна информация за идентификаторите на често срещани слаби места и излагане на риск.
- Протокол RPC – открива и блокира различни често срещани слаби места и излагания на риск в системата за заявка за отдалечена процедура, разработена за Разпределена компютърна среда (DCE).
- Протокол RDP – открива и блокира различни често срещани слаби места и излагане на риск в протокола RDP (вж. по-горе).
- Блокиране на опасния адрес след откриване на атаката – IP адреси, които са открити като източници на атаки, се добавят в списъка със забранени адреси, за да предотвратят връзка за определен период от време.
- Показване на известие след откриване на атака – включване на известията в системната област (област за уведомяване на Windows) в долния десен ъгъл на екрана.
- Показване на известия също и за входящи атаки срещу дупки в защитата – предупреждава ви, ако бъдат открити атаки срещу дупки в защитата или ако заплаха извърши опит за влизане в системата по този начин.
Проверка на пакети
- Разрешаване на входяща връзка с администраторските дялове в SMB протокола – Администраторските дялове (админ. дялове) са мрежовите дялове по подразбиране, които разделят дяловете на твърдия диск (C$, D$, ...) в системата, заедно със системната папка (ADMIN$). Със забраната на връзка до администраторски дялове ще се намалят много рискове за защитата. Например червеят Conficker извършва атаки на речника, за да се свърже с администраторските дялове.
- Отказване на стари (неподдържани) SMB диалекти – отказване на SMB сесии, които използват стар SMB диалект, който не се поддържа от IDS. Модерните операционни системи Windows поддържат старите SMB диалекти благодарение на обратна съвместимост с предходни операционни системи, като например Windows 95. Атакуващият може да използва стар диалект в SMB сесия, за да избегне проверката на трафика. Отказвайте стари SMB диалекти, ако не е необходимо компютърът ви да споделя файлове (или използвайте обща SMB комуникация) с компютър със стара версия на Windows.
- Отказване на SMB сесии без разширения на защитата – разширена защита може да се използва по време на съгласуване на SMB сесия, за да се предостави по-сигурен механизъм за удостоверяване в сравнение с удостоверяването от тип предизвикателство/отговор на LAN диспечер (LM). Схемата LM се счита за слаба и не се препоръчва за употреба.
- Разрешаване на комуникацията с услугата за диспечер на акаунти за защитата – за повече информация относно тази услуга вж. [MS-SAMR].
- Разрешаване на комуникацията с услугата за локален орган за защита – за повече информация относно тази услуга вж. [MS-LSAD] и [MS-LSAT].
- Разрешаване на комуникацията с услугата за отдалечен системен регистър – за повече информация относно тази услуга вж. [MS-RRP].
- Разрешаване на комуникацията с услугата за диспечер за управление на услуги – за повече информация относно тази услуга вж. [MS-SCMR].
- Разрешаване на комуникацията с услугата за сървър – за повече информация относно тази услуга вж. [MS-SRVS].
- Позволяване на комуникацията с други услуги – други MSRPC услуги. MSRPC е прилагането от страна на Microsoft на механизма DCE RPC. Освен това MSRPC може да използва наименувани канали, които водят до SMB (мрежово споделяне на файлове) протокол за пренасяне (ncacn_np transport). MSRPC услугите предоставят интерфейси за достъп и отдалечено управление на системите на Windows. Няколко уязвимости в защитата бяха открити и използвани на практика в Windows MSRPC системата (например червей Conficker, червей Sasser и т.н.). Забранете комуникация с MSRPC услуги, които не се налага да предоставяте, за да намалите многобройните рискове за защитата (като например отдалечено изпълнение на код или атаки за прекъсване на услуги).