Επιλογές για προχωρημένους
Στη διαδρομή Ρυθμίσεις για προχωρημένους > Προστασίες > Προστασία πρόσβασης στο δίκτυο > Προστασία από επιθέσεις δικτύου (IDS) > Επιλογές για προχωρημένους, μπορείτε να ενεργοποιήσετε ή να απενεργοποιήσετε την ανίχνευση διαφόρων τύπων επιθέσεων και προγραμμάτων εκμετάλλευσης που ενδέχεται να βλάψουν τον υπολογιστή σας.
Σε ορισμένες περιπτώσεις δεν θα λάβετε ειδοποίηση απειλής για επικοινωνίες που έχουν αποκλειστεί. Συμβουλευτείτε την ενότητα Καταγραφή και δημιουργία κανόνων ή εξαιρέσεων από το αρχείο καταγραφής για οδηγίες σχετικά με την προβολή όλων των αποκλεισμένων επικοινωνιών στο αρχείο καταγραφής του τείχος προστασίας. |
Η διαθεσιμότητα συγκεκριμένων επιλογών σε αυτό το παράθυρο μπορεί να διαφέρει ανάλογα με τον τύπο ή την έκδοση του προϊόντος ESET και τη μονάδα Firewall που διαθέτετε, καθώς και την έκδοση του λειτουργικού συστήματός σας. |
Ανίχνευση εισβολής
- Πρωτόκολλο SMB – Ανιχνεύει και αποκλείει διάφορα προβλήματα ασφαλείας στο πρωτόκολλο SMB, συγκεκριμένα:
- Ανίχνευση επιθετικής πρόκλησης του πρωτοκόλλου ελέγχου ταυτότητας – Προστατεύει από επίθεση που χρησιμοποιεί επιθετική πρόκληση κατά τον έλεγχο ταυτότητας για να υποκλέψει τα διαπιστευτήρια του χρήστη.
- Ανίχνευση εισβολής στο IDS κατά το άνοιγμα ενός επώνυμου διαύλου – Ανίχνευση γνωστών τεχνικών εισβολής που χρησιμοποιούνται για να ανοίξουν τους επώνυμους διαύλους MSRPCS στο πρωτόκολλο SMB.
- Ανίχνευση CVE (Συνήθεις ευπάθειες και κενά ασφαλείας – Common Vulnerabilities and Exposures) – Υλοποιημένες μέθοδοι ανίχνευσης διαφόρων επιθέσεων, μορφών και ευπαθειών ασφαλείας και προσβολών στο πρωτόκολλο SMB. Ανατρέξτε στον ιστότοπο CVE στη διεύθυνση cve.mitre.org για αναζήτηση και λήψη πιο λεπτομερών πληροφοριών για τα αναγνωριστικά CVE.
- Πρωτόκολλο DCE/RPC – Ανιχνεύει και αποκλείει διάφορα κενά ασφαλείας CVE στο σύστημα απομακρυσμένης κλήσης διαδικασίας που αναπτύχθηκε για το Περιβάλλον κατανεμημένων υπολογιστών (DCE).
- Πρωτόκολλο RDP – Ανιχνεύει και αποκλείει διάφορα κενά ασφαλείας CVE στο πρωτόκολλο RDP (βλ. παραπάνω).
- Αποκλεισμός μη ασφαλούς διεύθυνσης μετά την ανίχνευση της επίθεσης – Οι διευθύνσεις IP που έχουν ανιχνευτεί ως πηγές επιθέσεων προστίθενται στη Λίστα αποκλεισμένων διευθύνσεων για να αποτρέπεται η σύνδεση για ένα ορισμένο χρονικό διάστημα. Μπορείτε να ορίσετε το στοιχείο Περίοδος διατήρησης Λίστας αποκλεισμένων διευθύνσεων, η οποία ρυθμίζει το χρονικό διάστημα για το οποίο θα αποκλείεται η διεύθυνση μετά την ανίχνευση επίθεσης.
- Εμφάνιση ειδοποίησης μετά την ανίχνευση της επίθεσης – Ενεργοποιεί την ειδοποίηση στην περιοχή ειδοποιήσεων των Windows στην κάτω δεξιά γωνία της οθόνης.
- Εμφάνιση ειδοποιήσεων και για εισερχόμενες επιθέσεις σε κενά ασφαλείας – Σας ειδοποιεί εάν ανιχνευτούν επιθέσεις σε κενά ασφαλείας ή εάν κάποια απειλή επιχειρήσει να εισβάλει στο σύστημα με αυτό τον τρόπο.
Επιθεώρηση πακέτου
- Να επιτρέπεται εισερχόμενη σύνδεση με κοινόχρηστα στοιχεία διαχείρισης σε πρωτόκολλο SMB – Τα κοινόχρηστα αρχεία διαχείρισης είναι τα προεπιλεγμένα κοινόχρηστα αρχεία δικτύου που έχουν κοινόχρηστα διαμερίσματα σκληρού δίσκου (C$, D$ κ.λπ.) στο σύστημα μαζί με το φάκελο συστήματος (ADMIN$). Η απενεργοποίηση της σύνδεσης με τα κοινόχρηστα αρχεία διαχείρισης θα πρέπει περιορίσει πολλούς κινδύνους ασφαλείας. Για παράδειγμα, το Conficker worm εκτελεί επιθέσεις σε λεξικά για να συνδεθεί με κοινόχρηστα αρχεία διαχείρισης.
- Να μην επιτρέπονται παλαιές (μη υποστηριζόμενες) διάλεκτοι SMB – Να μην επιτρέπονται περίοδοι λειτουργίας SMB που χρησιμοποιούν παλιά διάλεκτο SMB η οποία δεν υποστηρίζεται από το IDS. Τα σύγχρονα λειτουργικά συστήματα των Windows υποστηρίζουν παλιές διαλέκτους SMB λόγω της συμβατότητάς τους με παλαιότερες εκδόσεις λειτουργικών συστημάτων όπως τα Windows 95. Ο εισβολέας μπορεί να χρησιμοποιήσει μια παλιά διάλεκτο σε περίοδο λειτουργίας SMB για να αποφύγει την επιθεώρηση κυκλοφορίας. Μην επιτρέπετε παλιές διαλέκτους SMB αν ο υπολογιστής σας δεν χρειάζεται να κάνει κοινή χρήση αρχείων (ή να χρησιμοποιεί επικοινωνία SMB γενικότερα) με έναν υπολογιστή με παλιά έκδοση των Windows.
- Να μην επιτρέπονται περίοδοι λειτουργίας SMB χωρίς εκτενή ασφάλεια – Η εκτεταμένη ασφάλεια μπορεί να χρησιμοποιηθεί κατά τη διάρκεια της διαπραγμάτευσης της περιόδου λειτουργίας SMB για την παροχή πιο ασφαλούς μηχανισμού ελέγχου ταυτότητας από αυτόν που παρέχει ο έλεγχος ταυτότητας της Διαχείρισης προκλήσεων/αποκρίσεων LAN (LM). Το σχήμα LM θεωρείται αδύναμο και η χρήση του δεν συνιστάται.
- Να επιτρέπεται επικοινωνία με την υπηρεσία Διαχείρισης λογαριασμών ασφαλείας – Για περισσότερες πληροφορίες σχετικά με αυτή την υπηρεσία, ανατρέξτε στη σελίδα [MS-SAMR].
- Να επιτρέπεται επικοινωνία με την υπηρεσία Τοπικής αρχής ασφαλείας – Για περισσότερες πληροφορίες σχετικά με αυτή την υπηρεσία, ανατρέξτε στις σελίδες [MS-LSAD] και [MS-LSAT].
- Να επιτρέπεται επικοινωνία με την υπηρεσία Απομακρυσμένου μητρώου – Για περισσότερες πληροφορίες σχετικά με αυτή την υπηρεσία, ανατρέξτε στη σελίδα [MS-RRP].
- Να επιτρέπεται επικοινωνία με την υπηρεσία Διαχείρισης ελέγχου υπηρεσιών – Για περισσότερες πληροφορίες σχετικά με αυτή την υπηρεσία, ανατρέξτε στη σελίδα [MS-SCMR].
- Να επιτρέπεται επικοινωνία με την υπηρεσία διακομιστή – Για πληροφορίες σχετικά με αυτή την υπηρεσία, ανατρέξτε στη σελίδα [MS-SRVS].
- Να επιτρέπεται επικοινωνία με τις άλλες υπηρεσίες – Άλλες υπηρεσίες MSRPC. Το MSRPC είναι η υλοποίηση της Microsoft του μηχανισμού DCE RPC. Επιπλέον, το MSRPC μπορεί να χρησιμοποιεί επώνυμους διαύλους στο πρωτόκολλο SMB (κοινή χρήση αρχείων δικτύου) για μεταφορά (ncacn_np transport). Οι υπηρεσίες MSRPC παρέχουν διασυνδέσεις για την απομακρυσμένη πρόσβαση και διαχείριση συστημάτων Windows. Έχουν ανακαλυφθεί πολλά κενά ασφαλείας τα οποία έγιναν αντικείμενο κατάχρησης στο σύστημα Windows MSRPC (Conficker worm, Sasser worm κ.λπ.). Απενεργοποιήστε την επικοινωνία με υπηρεσίες MSRPC που δεν χρειάζεται να παρέχετε για να ελαχιστοποιηθούν πολλοί κίνδυνοι ασφάλειας (όπως η απομακρυσμένη εκτέλεση κώδικα ή οι επιθέσεις αποτυχίας υπηρεσιών).