Tilladte tjenester og avancerede indstillinger
I sektionen Beskyttelse mod netværksangreb kan du konfigurere avancerede filtreringsindstillinger for at registrere flere typer angreb og sårbarheder, der kan opstå på din computer.
I nogle tilfælde vises ikke en trusselsmeddelelse om blokeret kommunikation. I afsnittet Logføring og oprettelse af regler eller undtagelser fra log kan du finde en vejledning i, hvordan du får vist al blokeret kommunikation i loggen for firewallen. |
Tilgængeligheden af bestemte indstillinger i Avanceret opsætning (F5) > Netværksbeskyttelse > Beskyttelse mod netværksangreb kan variere afhængigt af typen eller versionen af dit ESET-slutpunktsprodukt og firewallmodul samt af versionen af dit operativsystem. Nogle af dem er muligvis kun tilgængelige for ESET Endpoint Security. |
Indtrængningsregistrering
- Protokol-SMB – Registrerer og blokerer forskellige sikkerhedsproblemer i SMB-protokollen, og de er:
- Registrering af uautoriseret angreb med servergodkendelse – Beskytter dig mod angreb, som anvender en uautoriseret udfordring under godkendelsen med det formål at få fat i legitimationsoplysninger.
- Registrering af IDS-unddragelse under åbning af navngiven pipe – Detektion af kendte unddragelsesteknikker, som bruges til at åbne MSRPC-navngivne pipes i SMB-protokol.
- CVE-registrering (Common Vulnerabilities and Exposures (generelle sårbarheder og eksponeringer)) – Implementerede registreringsmetoder for forskellige angreb, formularer, sikkerhedshuller og udnyttelser via SMB-protokollen. Gå til CVE-webstedet på cve.mitre.org for at søge efter og få mere detaljerede oplysninger om CVE-identifikatorer (CVE'er).
- Protokol-RPC – Registrerer og blokerer forskellige CVE'er i opkaldssystemet for fjernprocedurer, der er udviklet til DCE (Distributed Computing Environment).
- RDP-protokol – Registrerer og blokerer forskellige CVE'er i RDP-protokollen (se ovenfor).
- Bloker usikker adresse efter registrering af angreb – IP-adresser, der er registreret som en kilde til angreb, føjes til blacklisten for at forhindre, at der oprettes forbindelse i et bestemt tidsrum.
- Vis meddelelse efter registrering af angreb – Aktiverer meddelelser på proceslinjen (Windows-meddelelsesområdet) nederst til højre på skærmen.
- Vis også meddelelser for indgående angreb mod sikkerhedshuller – Advarer dig, hvis der registreres angreb mod sikkerhedshuller, eller hvis en trussel forsøger at komme ind i systemet på denne måde.
Pakkekontrol
- Tillad indgående forbindelse til administratorshares i SMB-protokol – De administrative shares (admin shares) er de standardnetværksshares, der deler harddiskpartitioner (C$, D$ osv.) i systemet sammen med systemmappen (ADMIN$). Ved at deaktivere forbindelsen til administrative shares mindskes mange sikkerhedsrisici. Conficker-ormen gennemfører for eksempel ordbogsangreb for at oprette forbindelse til administrative shares.
- Afvis gamle (ikke-understøttede) SMB-dialekter – Afvis SMB-sessioner, der bruger en gammel SMB-dialekt, som ikke understøttes af IDS. Moderne Windows-operativsystemer understøtter gamle SMB-dialekter på grund af bagudkompatibilitet med gamle operativsystemer, f.eks. Windows 95. Hackeren kan bruge en gammel dialekt i en SMB-session for at undgå trafikinspektion. Afvis gamle SMB-dialekter, hvis din computer ikke behøver at dele filer (eller at bruge SMB-kommunikation generelt) med en computer med en gammel version af Windows.
- Afvis SMB-sessioner uden sikkerhedsudvidelser – Sikkerhedsudvidelser kan bruges under SMB-sessionsforhandlingen med det formål at opnå en mere sikker godkendelsesfunktion end med LM-godkendelse (LAN Manager Challenge/Response). LM-skemaet anses for at være svagt og anbefales ikke.
- Tillad kommunikation med tjenesten Security Account Manager – Du kan finde flere oplysninger om denne tjeneste i [MS-SAMR].
- Tillad kommunikation med tjenesten Local Security Authority – Du kan finde flere oplysninger om denne tjeneste i [MS-LSAD] og [MS-LSAT].
- Tillad kommunikation med tjenesten Remote Registry – Du kan finde flere oplysninger om denne tjeneste i [MS-RRP].
- Tillad kommunikation med tjenesten Service Control Manager – Du kan finde flere oplysninger om denne tjeneste i [MS-SCMR].
- Tillad kommunikation med servertjenesten – Du kan finde flere oplysninger om denne tjeneste i [MS-SRVS].
- Tillad kommunikation med andre tjenester – Andre MSRPC-tjenester. MSRPC er Microsofts implementering af DCE RPC-funktionen. Desuden kan MSRPC bruge navngivne pipes, der er overført til SMB-protokollen (netværksfildeling) for transport (ncacn_np-transport). MSRPC-tjenester leverer brugerflader, hvor du kan få adgang til og administrere Windows-systemer fra en fjerncomputer. Adskillige sårbarheder er blevet opdaget og udnyttet i Windows MSRPC-systemet (f.eks. Conficker-ormen, Sasser-ormen osv.). Deaktiver kommunikation med MSRPC-tjenester, som du ikke behøver at levere, for at mindske mange sikkerhedsrisici (f.eks. fjernkørsel af kode eller angreb i form af fejl i tjenester).