Opcje zaawansowane
W obszarze Ustawienia zaawansowane > Zabezpieczenia > Ochrona dostępu do sieci > Ochrona przed atakami z sieci > Opcje zaawansowane, możesz włączyć lub wyłączyć wykrywanie kilku typów ataków i programów wykorzystujących luki w zabezpieczeniach, które mogą uszkodzić komputer.
W niektórych przypadkach użytkownik nie otrzyma powiadomienia o zablokowaniu komunikacji w związku z zagrożeniem. Instrukcje wyświetlania całej zablokowanej komunikacji w dzienniku zapory można znaleźć w sekcji Zapisywanie w dzienniku i tworzenie reguł oraz wyjątków na podstawie dziennika. |
Dostępność poszczególnych opcji w tym oknie może być różna w zależności od typu lub wersji produktu ESET i modułu zapory, a także wersji systemu operacyjnego. |
Wykrywanie włamań
- Protokół SMB — wykrywanie i blokowanie różnego rodzaju problemów z zabezpieczeniami w protokole SMB, takich jak:
- Wykrywanie ataków z wysyłaniem nieautoryzowanych żądań uwierzytelniania na serwerze — ochrona przed atakami z wysyłaniem nieautoryzowanych żądań podczas uwierzytelniania w celu uzyskania poświadczeń użytkownika.
- Wykrywanie prób uniknięcia rozpoznania przez system aktywnej ochrony (IDS) podczas otwierania potoku mającego nazwę — wykrywanie znanych technik unikania rozpoznania w nazwanych potokach MSRPC w protokole SMB.
- Wykrywanie CVE (Common Vulnerabilities and Exposures) — zaimplementowane metody wykrywania różnych ataków, formularzy oraz luk bezpieczeństwa i wykorzystujących je programów w protokole SMB. Witryna CVE pod adresem cve.mitre.org umożliwia wyszukanie i uzyskanie bardziej szczegółowych informacji o identyfikatorach CVE.
- Protokół RPC — wykrywa i blokuje różne identyfikatory CVE w zdalnym systemie wywołania procedur opracowanym dla środowiska Distributed Computing Environment (DCE).
- Protokół RDP — wykrywa i blokuje różne identyfikatory CVE w protokole RDP (patrz wyżej).
- Blokowanie niebezpiecznych adresów po wykryciu ataku — adresy IP, które zostały wykryte jako źródło ataków są dodawane do czarnej listy w celu zablokowania połączenia przez podany okres. Możesz zdefiniować okres przechowywania czarnej listy, który ustawia czas, przez jaki adres będzie blokowany po wykryciu ataku.
- Powiadamiaj o wykryciu ataku — aktywuje obszar powiadomień systemu Windows w prawym dolnym rogu ekranu.
- Wyświetlaj także powiadomienia po wykryciu ataku przychodzącego na luki zabezpieczeń — w przypadku wykrycia ataków na luki w zabezpieczeniach lub prób uzyskania w ten sposób dostępu do systemu wyświetlane są powiadomienia.
Sprawdzanie pakietów
- Zezwól w protokole SMB na połączenia przychodzące do udziałów administracyjnych — udziały administracyjne (admin shares) to domyślne udziały sieciowe, które współdzielą partycje dysku twardego (C$, D$, ...) w systemie razem z folderem systemowym (ADMIN$). Wyłączenie połączenia z udziałami administracyjnymi może osłabić wiele zagrożeń. Na przykład, robak Conficker przeprowadza ataki słownikowe w celu podłączenia do udziałów administracyjnych.
- Odmów starym (nieobsługiwanym) dialektom protokołu SMB — odmowa sesji SMB z nieaktualnym dialektem SMB, który nie jest obsługiwany przez IDS. Nowoczesne systemy Windows obsługują nieaktualne dialekty SMB ze względu na zgodność wsteczną z wcześniejszymi systemami operacyjnymi, np. Windows 95. Atakujący może użyć nieaktualnego dialektu w sesji SMB w celu uniknięcia kontroli ruchu. Należy odrzucić nieaktualne dialekty SMB, jeżeli komputer nie współdzieli plików (ogólnie komunikacji SMB) z komputerem, na którym zainstalowano wcześniejszą wersję Windows.
- Odmów zabezpieczeniom protokołu SMB bez rozszerzeń zabezpieczeń — rozszerzone zabezpieczenia mogą zostać użyte podczas negocjacji sesji SMB w celu zapewnienia bezpieczniejszego mechanizmu uwierzytelniania niż uwierzytelnianie LAN Manager Challenge/Response (LM). Schemat LM jest traktowany jako słaby i nie zaleca się korzystania z niego.
- Zezwól na komunikację z usługą Menedżer konta zabezpieczeń — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–SAMR].
- Zezwól na komunikację z usługą Urząd zabezpieczeń lokalnych — więcej informacji na temat tej usługi można znaleźć tutaj: [MS-LSAD] i [MS-LSAT].
- Zezwól na komunikację z usługą Rejestr zdalny — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–RRP].
- Zezwól na komunikację z usługą Services Control Manager — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–SCMR].
- Zezwól na komunikację z Usługą serwera — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–SRVS].
- Zezwól na komunikację z innymi usługami – MSRPC to wdrożenie Microsoft mechanizmu DCE RPC. Ponadto MSRPC może wykorzystywać nazwane potoki w protokole SMB (udostępnianie plików w sieci) do transportu (ncacn_np transport). Usługi MSRPC pozwalają interfejsom na zdalny dostęp do systemów Windows i zarządzanie nimi. Odkryto kilka luk w zabezpieczeniach, które były wykorzystywane w systemie Windows MSRPC (robak Conficker, robak Sasser itp.). Należy wyłączyć komunikację z usługami MSRPC, które nie są potrzebne. To pozwoli na zmniejszenie wielu zagrożeń (na przykład zdalne wykonywanie kodu lub ataki związane z awariami usług).