允許的服務及進階選項
網路攻擊防護區段可讓您配置針對您電腦執行的進階篩選選項來偵測數種攻擊和弱點。
在某些情況中,您將不會收到與通訊封鎖有關的威脅通知。請參閱「記錄並從防護記錄建立規則或例外」一節以取得關於在防火牆防護記錄中檢視所有已封鎖通訊的指示。 |
進階設定中可使用的特定選項 ([F5]) > [網路防護] > [網路攻擊防護] 會根據 ESET 端點產品和防火牆模組的類型或版本,以及作業系統的版本而有所不同。有些選項可能僅適用於 ESET Endpoint Security。 |
入侵偵測
- 通訊協定 SMB – 偵測並封鎖 SMB 通訊協定中的各種安全性問題,也就是:
- Rogue 伺服器挑戰攻擊驗證偵測 – 可保護您不會在驗證期間為了取得使用者驗證而受到使用 Rogue 挑戰的攻擊。
- 具名管道開啟期間 IDS 規避偵測 – 在 SMB 通訊協定中偵測已知的開啟 MSRPC 具名管道時所使用的規避技術。
- CVE 偵測 (一般弱點和暴露) – 針對透過 SMB 通訊協定進行的各種攻擊、形式、安全漏洞和弱點實作的偵測方法。請參閱位於 cve.mitre.org 的 CVE 網站搜尋及取得與 CVE 識別碼 (CVE) 有關的詳細資訊。
- 通訊協定 RPC – 偵測並封鎖針對分散式運算環境 (DCE) 所開發遠端程序呼叫系統中的各種 CVE。
- 通訊協定 RDP – 偵測並封鎖 RDP 通訊協定中的各種 CVE (請參閱上述內容)。
- 攻擊偵測之後封鎖不安全的位址 – 已偵測為攻擊來源的 IP 位址會新增至黑名單中以防止特定期間的連線。
- 攻擊偵測後顯示通知 – 開啟畫面右下角的系統匣 (Windows 通知區域) 通知。
- 也顯示針對安全漏洞傳入攻擊的通知 – 如果偵測到有針對安全漏洞的攻擊或者有威脅嘗試透過此方式進入系統,則也會警告您。
封包檢查
- 允許外來連線至 SMB 通訊協定中的管理共用 - 管理共用 (admin shares) 是一種預設網路共用,可與系統資料夾 (ADMIN$) 共用系統中的硬碟分割區 (C$、D$、...)。 停用與管理共用的連線將可減輕許多安全風險。例如,Conficker 蠕蟲會執行字典攻擊以連線至管理共用項目。
- 拒絕舊 (不支援) 的 SMB 方言 – 拒絕使用 IDS 不支援之舊 SMB 方言的 SMB 工作階段。最新的 Windows 作業系統會因為與舊版作業系統 (例如 Windows 95) 的舊版相容性而支援舊的 SMB 方言。攻擊者可在 SMB 工作階段中使用舊方言以規避流量檢查。如果您的電腦不需要與舊版 Windows 的電腦共用檔案 (或使用一般的 SMB 通訊),請拒絕舊的 SMB 方言。
- 拒絕不含延伸安全性的 SMB 工作階段 – 您可以在 SMB 工作階段交涉期間使用延伸的安全性,以提供比 LAN Manager 挑戰/回應 (LM) 驗證更安全的驗證機制。LM 配置是一種較薄弱的機制,因此不建議您使用。
- 允許與「安全性帳戶管理員」服務通訊 – 如需有關此服務的詳細資訊,請參閱 [MS-SAMR]。
- 允許與「遠端登錄」服務通訊 – 如需有關此服務的詳細資訊,請參閱 [MS-RRP]。
- 允許與「服務控制管理員」服務通訊 – 如需有關此服務的詳細資訊,請參閱 [MS-SCMR]。
- 允許與「伺服器」服務通訊 – 如需有關此服務的詳細資訊,請參閱 [MS-SRVS]。
- 允許與其他服務通訊 – 其他 MSRPC 服務。MSRPC 是 Microsoft 對於 DCE RPC 機制的實作。此外,MSRPC 可使用在 SMB (網路檔案共用) 通訊協定中執行的具名管道進行傳輸 (ncacn_np 傳輸)。MSRPC 服務可提供遠端存取及管理 Windows 系統的介面。我們在 Windows MSRPC 系統中發現數種「逍遙法外」的安全性弱點 (Conficker 蠕蟲、Sasser 蠕蟲…)。停用一些您不需要的 MSRPC 服務通訊可減輕許多安全風險 (例如遠端程式碼執行或服務失敗攻擊)。