Omogočene storitve in napredne možnosti
V razdelku »Zaščita pred napadi iz omrežja« lahko konfigurirate napredne možnosti filtriranja, ki zaznajo različne vrste napadov, ki jih je mogoče izvesti na računalnik, in ranljivosti, ki jih je mogoče izkoristiti.
v nekaterih primerih ne boste prejeli obvestila o grožnji o blokirani komunikaciji. Navodila za ogled vseh blokiranih komunikacij v dnevniku požarnega zidu najdete v razdelku Pisanje dnevnika in ustvarjanje pravil ali izjem iz dnevnika. |
Razpoložljivost določenih možnosti v naprednih nastavitvah (F5) > Zaščita omrežja > Zaščita pred napadi iz omrežja se lahko razlikuje glede na vrsto ali različico vašega izdelka ESET Endpoint in modula požarnega zidu ter različico operacijskega sistema. Nekatere so morda na voljo samo za program ESET Endpoint Security. |
Zaznavanje vdorov
- Protokol SMB – zazna in blokira različne varnostne težave v protokolu SMB, in sicer:
- Zaznavanje napada na preverjanje pristnosti s pozivom sleparskega strežnika – ščiti pred napadom sleparskega poziva med preverjanjem pristnosti, da bi pridobil uporabniške poverilnice.
- Zaznavanje napada z izogibanjem IDS–ja med odpiranjem poimenovane cevi – zaznavanje poznanih napadov z izogibanjem za odpiranje poimenovanih cevi MSRPC v protokolu SMB.
- Zaznavanje splošnih ranljivosti in nevarnosti (CVE – Common Vulnerabilities and Exposures) – implementirane metode zaznavanja različnih napadov, predpisov, varnostnih lukenj in zlorabe prek protokola SMB. Za podrobnejše informacije o identifikatorjih CVE obiščite spletno mesto CVE na naslovu cve.mitre.org.
- Protokol RPC – zazna in blokira različne splošne ranljivosti in nevarnosti v sistemu klica oddaljene procedure, zasnovanega za DCE (Distributed Computing Environment).
- Protokol RDP – zazna in blokira različne splošne ranljivosti in nevarnosti v protokolu RDP (glejte zgoraj).
- Blokiraj nevaren naslov po zaznanem napadu – naslovi IP, ki so bili zaznani kot vir napadov, so dodani na seznam blokiranih pošiljateljev in povezava je nekaj časa onemogočena.
- Prikaži obvestilo, ko je zaznana napad – vklopi obvestilo opravilne vrstice (območje za obvestila sistema Windows) v spodnjem desnem kotu zaslona.
- Prikaži obvestila tudi za dohodne napade varnostnih lukenj – opozori, če so zaznani napadi varnostnih lukenj ali če grožnja na ta način poskuša vstopiti v sistem.
Preverjanje paketov
- Dovoli dohodno povezavo s skrbniškimi omrežnimi pogoni v protokolu SMB – skrbniški omrežni pogoni so privzeti omrežni pogoni, ki omogočajo skupno rabo particij trdega diska (C$, D$, ...) v sistemu in sistemske mape (ADMIN$). Če onemogočite povezavo s skrbniškimi omrežnimi pogoni, zmanjšate številna varnostna tveganja. Črv Conficker na primer izvaja napade s slovarjem, da se poveže s skrbniškimi omrežnimi pogoni.
- Zavrni stare (nepodprte) dialekte SMB – zavrnite seje SMB s starim dialektom SMB, ki ga IDS ne podpira. Moderni operacijski sistemi Windows podpirajo stare dialekte SMB zaradi vzvratne združljivosti s starejšimi operacijskimi sistemi, kot je Windows 95. Napadalec lahko v seji SMB uporabi star dialekt SMB, da se izogne preverjanju prometa. Zavrnite stare dialekte SMB, če vam ni treba omogočiti skupne rabe datotek (ali uporabiti komunikacije SMB) z računalnikom s starejšo različico sistema Windows.
- Zavrni seje SMB brez razširjene varnosti – razširjeno varnost lahko uporabite med pogajanji o seji SMB, da bi zagotovili varnejši mehanizem preverjanja pristnosti od protokola preverjanja pristnosti izziv–odgovor za LAN Manager (LM). Shema LM se smatra za šibko in je ni priporočljivo uporabljati.
- Dovoli komunikacijo s storitvijo upravitelja varnostnih računov – če želite več informacij o tej storitvi, glejte [MS–SAMR].
- Dovoli komunikacijo s storitvijo lokalnega varnostnega urada – če želite več informacij o tej storitvi, glejte [MS-LSAD] in [MS-LSAT].
- Dovoli komunikacijo s storitvijo oddaljenega registra – če želite več informacij o tej storitvi, glejte [MS–RRP].
- Dovoli komunikacijo s storitvijo upravitelja varnostnih računov – če želite več informacij o tej storitvi, glejte [MS–SCMR].
- Dovoli komunikacijo s strežniško storitvijo – če želite več informacij o tej storitvi, glejte [MS–SRVS].
- Dovoli komunikacijo z drugimi storitvami – druge storitve MSRPC. MSRPC je Microsoftova izvedba mehanizma DCE RPC. Poleg tega lahko MSRPC uporablja tudi poimenovane cevi, ki jih vnese v protokol SMB (skupna raba omrežnih datotek) za prenos (prenos ncacn_np). Storitve MSRPC zagotavljajo vmesnike za oddaljeni dostop in oddaljeno upravljanje sistemov Windows. V sistemu Windows MSRPC je bilo odkritih in izkoriščenih več varnostnih ranljivosti (črv Conficker, črv Sasser ...). Če onemogočite komunikacijo s storitvami MSRPC, ki jih ne potrebujete, zmanjšate številna varnostna tveganja (na primer izvajanje oddaljene kode ali napadi zavrnitve storitve).