Lubatud teenused ja täpsemad suvandid

Jaotis Kaitse võrgurünnakute eest võimaldab konfigureerida täpsemad filtreerimissuvandid, et tuvastada mitut tüüpi ründeid ja haavatavusi, mida võib teie arvuti vastu kasutada.

Sissetungi tuvastus

• Protokoll SMB – tuvastab ja tõkestab mitmesuguseid SMB-protokolli turbeprobleeme, nt järgmisi.

• Võltsserveri väljakutse-autentimisründe tuvastamine – kaitseb rünnaku eest, mis kasutab autentimise ajal võltsväljakutset, et selgitada välja kasutaja mandaate.

• IDS-i vältimise tuvastamine nimitoru avamisel – tuntud vältimisvõtete tuvastamine SMB-protokolli MSRPC-nimitorude avamiseks.

• CVE tuvastamine (levinud nõrkused ja potentsiaalsed kahjuriskid) – juurutatud tuvastusmeetodid mitmesuguste SMB-protokolli kasutavate rünnete, usside, turbeaukude ja vallutuste puhuks. CVE identifikaatorite (CVE-de) otsimiseks ja nende kohta lisateabe saamiseks vaadake CVE veebisaiti aadressil cve.mitre.org.

• Protokoll RPC – tuvastab ja tõkestab mitmesuguseid levinud nõrkuseid ja potentsiaalseid kahjuriske andmetöötluse hajuskeskkonna (DCE) jaoks arendatud kaugprotseduuri kutsesüsteemis.
• RDP-protokoll – tuvastab RDP-protokollides mitmesuguseid levinud nõrkuseid ja potentsiaalseid kahjuriske (CVE) (vt ülalpool).
• Tõkesta ebaturvalised aadressid pärast rünnaku tuvastamist – rünnakuallikatena tuvastatud IP-aadressid lisatakse musta nimekirja, et ühendus teatud ajaks tõkestada.
• Kuva rünnaku tuvastamise järel teavitus – lülitab sisse süsteemisalve (Windowsi teavitusala) teavituse ekraani parempoolses alumises nurgas.

• Kuva turvaaukude vastu suunatud rünnaku tuvastamise järel hoiatus – teavitab, kui tuvastatakse turvaaukude vastu suunatud rünnakud või süsteemi üritatakse sel viisil siseneda.

Paketikontroll

• Luba sissetulev ühendus administraatori ühiskasutusega kaustadega SMB-protokollis – administraatori ühiskasutusega kaustad on võrgu vaike-ühiskaustad, mis kasutavad süsteemis kõvakettasektsioone (C$, D$ jne) ühiselt koos süsteemikaustaga (ADMIN$). Ühenduse keelamine administraatori ühiskasutusega saitidega võib leevendada paljusid turberiske. Näiteks viib ussviirus Conficker administraatori ühiskasutusega saitidega ühendamiseks läbi sõnastikurünnakuid.

• Keela vana (toetamata) SMB-dialekt – keelab SMB-seansid, mis kasutavad vana SMB-dialekti, mida IDS ei toeta. Kaasaegsed Windowsi operatsioonisüsteemid toetavad SMB-dialekte tänu tagasiühilduvusele vanade operatsioonisüsteemidega, nt Windows 95. Ründaja võib kasutada SMB-seansis vana dialekti, et liikluse kontrollimisest kõrvale hiilida. Keelake vanad SMB-dialektid, kui teie arvuti ei vaja Windowsi vanemat versiooni kasutava arvutiga failide ühiskasutust (või SMB-sidet üldiselt).
• Keela turvalaienditeta SMB-seansid – SMB-seansi kooskõlastuse ajal saab kasutada turvalaiendeid, et pakkuda turvalisemat autentimismehhanismi kui teenuse LAN Manager Challenge/Response (LM) kaudu autentimine. LM-i skeemi peetakse nõrgaks ega soovitata kasutada.

• Luba side turvakonto halduri teenusega – lisateavet selle teenuse kohta vt jaotisest [MS-SAMR].

• Luba side kohaliku turvaülema teenusega – lisateavet selle teenuse kohta vt jaotistest [MS-LSAD] ja [MS-LSAT].

• Luba side kaugregistri teenusega – lisateavet selle teenuse kohta vt jaotisest [MS-RRP].

• Luba side teenuste juhtimishalduri teenusega – lisateavet selle teenuse kohta vt jaotisest [MS-SCMR].

• Luba side serveriteenusega – lisateavet selle teenuse kohta vt jaotisest [MS-SRVS].
• Luba side muude teenustega – muud MSRPC-teenused. MSRPC on DCE RPC-mehhanismi Microsofti rakendus. Lisaks saab MSRPC kasutada transportimiseks SMB-protokolli (failide ühiskasutus võrgus) kantud nimitoru (ncacn_np transport). MSRPC-teenused pakuvad liideseid Windowsi süsteemidele eemalt juurdepääsuks ja selle haldamiseks. Avastatud on mitmeid turbehaavatavusi ning nende loomust on ära kasutatud Windowsi MSRPC-süsteemis (ussviirused Conficker, Sasser jne). Paljusid turberiske saate leevendada, keelates side MSRPC-teenustega, mida te ei vaja (nt koodi kaugtäitmine või teenuse nurjamise ründed).