Tillåtna tjänster och avancerade alternativ

I avsnittet Skydd mot nätverksattacker kan du konfigurera avancerade filtreringsalternativ för att detektera flera olika typer av attacker och sårbarheter som datorn kan råka ut för.

Intrångsdetektering

• SMB-protokoll – identifierar och blockerar olika säkerhetsproblem i SMB-protokollet:

• Identifiera Rougue-anrop i NTLM-autentiseringsprotokoll – skyddar mot angrepp som använder Rouge-anrop för att komma åt användaridentifiering under autentisering.

• Identifiering av IDS-undvikande öppning av namngiven pipe – identifiering av kända tekniker för att undvika öppning i MSRPC-pipes i SMB-protokollet.

• CVE-detektering (Common Vulnerabilities and Exposures) – implementerade identifieringsmetoder för olika angrepp, formulär, säkerhetshål och kryphål över SMB-protokollet. Se CVE-webbplatsen på cve.mitre.org för sökning och ytterligare information om CVE-identifierare (CVEs).

• RPC-protokoll – identifierar och blockerar olika CVE:er i RPC-system som utvecklats för DCE (Distributed Computing Environment).
• RDP-protokoll – identifierar och blockerar olika CVE:er i RDP-protokollet (se ovan).
• Blockera osäkra adresser efter detektering av attacker – IP-adresser som har identifierats som attackkällor läggs till i svartlistan för att hindra att de ansluts under en viss tid.
• Visa meddelande efter identifiering av angrepp – stänger av systemmeddelanden som visas i nedre högra hörnet på skärmen.

• Visa meddelanden även för inkommande attacker mot säkerhetshål – varnar om attacker mot säkerhetshål upptäcks eller om ett försök gjorts av ett hot att ta sig in i systemet på det här sättet.

Paketkontroll

• Tillåt inkommande anslutning till admin shares i SMB-protokoll - administrativa resurser (admin shares) är standardnätverksresurser som delar hårddiskpartitioner (C$, D$, ...) i systemet tillsammans med systemmappen (ADMIN$). Genom att inaktivera anslutningen till admin shares bör du minimera många säkerhetsrisker. Conficker-masken till exempel utför ordlisteattacker för att ansluta till admin shares.

• Neka gamla (som inte stöds) SMB-dialekter – neka SMB-sessioner som använder en gammal SMB-dialekt som inte stöds av IDS. Moderna Windows-operativsystem stöder gamla SMB-dialekter på grund av att de är bakåtkompatibla med gamla operativsystem, som Windows 95. Angriparen kan använda en gammal dialekt i en SMB-session för att undvika trafikkontroll. Neka gamla SMB-dialekter om din dator inte behöver dela filer (eller använda SMB-kommunikation i allmänhet) med en dator som har en gammal Windows-version.
• Neka SMB-sessioner utan utökad säkerhet – utökad säkerhet kan användas för en SMB-session för att erbjuda en säkrare autentiseringsmekanism än LAN Manager (LM) anrop/svar-autentisering. LM-systemet anses vara svagt och rekommenderas inte.

• Tillåt kommunikation med tjänsten Hanterare för kontosäkerhet – för mer information om den här tjänsten, se [MS-SAMR].

• Tillåt kommunikation med tjänsten Lokal säkerhetskontroll – för mer information om den här tjänsten, se [MS-LSAD] och [MS-LSAT].

• Tillåt kommunikation med tjänsten Remote Registry – för mer information om den här tjänsten, se [MS-RRP].

• Tillåt kommunikation med tjänsten Service Control Manager – för mer information om den här tjänsten, se [MS-SCMR].

• Tillåt kommunikation med tjänsten Server Service – för mer information om den här tjänsten, se [MS-SRVS].
• Tillåt kommunikation med övriga tjänster – övriga MSRPC-tjänster. MSRPC är Microsofts implementering av DCE RPC-mekanismen. MSRPC kan dessutom använda namngivna pipes till SMB-protokollet (fildelning i nätverk) för transport (ncacn_np-transport). MSRPC-tjänster erbjuder gränssnitt för fjärråtkomst och -hantering av Windows-system. Flera sårbarheter har identifierats och utnyttjats på marknaden i Windows MSRPC-systemet (Conficker-mask, Sasser-mask osv.). Inaktivera kommunikation med MSRPC-tjänster som du inte behöver för att minimera många säkerhetsrisker (till exempel fjärrkörning av kod eller attacker som orsakar fel på tjänster).