ESET onlinehjälp

Sök Svenska
Välj ämne

Avancerade alternativ

Du kan aktivera eller inaktivera detektering av flera typer av attacker och kryphål som kan skada datorn i Avancerade inställningar > Skydd > Nätverksåtkomstskydd > Skydd mot nätverksangrepp (IDS) > Avancerade alternativ.

note

I en del fall får du inget hotmeddelande om blockerad kommunikation. Se avsnittet Logga och skapa regler eller undantag från logg för anvisningar om hur du visar all blockerad kommunikation i brandväggsloggen.

important

Vilka alternativ som finns i fönstret kan variera beroende på ESET-produktens och brandväggmodulens typ och version samt operativsystemets version.

icon_section Intrångsdetektering

  • SMB-protokoll – identifierar och blockerar olika säkerhetsproblem i SMB-protokollet:
  • Identifiera Rougue-anrop i NTLM-autentiseringsprotokoll – skyddar mot angrepp som använder Rouge-anrop för att komma åt användaridentifiering under autentisering.
  • Identifiering av IDS-undvikande öppning av namngiven pipe – identifiering av kända tekniker för att undvika öppning i MSRPC-pipes i SMB-protokollet.
  • CVE-detektering (Common Vulnerabilities and Exposures) – implementerade identifieringsmetoder för olika angrepp, formulär, säkerhetshål och kryphål över SMB-protokollet. Se CVE-webbplatsen på cve.mitre.org för sökning och ytterligare information om CVE-identifierare (CVEs).
  • RPC-protokoll – identifierar och blockerar olika CVE:er i RPC-system som utvecklats för DCE (Distributed Computing Environment).
  • RDP-protokoll – identifierar och blockerar olika CVE:er i RDP-protokollet (se ovan).
  • Blockera osäkra adresser efter detektering av attacker – IP-adresser som har identifierats som attackkällor läggs till i svartlistan för att hindra att de ansluts under en viss tid. Du kan definiera Kvarhållningsperiod på svartlista vilket anger tiden för hur länge adressen ska blockeras efter attackdetektering.
  • Meddela om detektering av attack – aktiverar Windows-meddelandefältet i nedre högra hörnet av skärmen.
  • Visa meddelanden även för inkommande attacker mot säkerhetshål – varnar om attacker mot säkerhetshål upptäcks eller om ett försök gjorts av ett hot att ta sig in i systemet på det här sättet.

icon_section Paketkontroll

  • Tillåt inkommande anslutning till admin shares i SMB-protokoll - administrativa resurser (admin shares) är standardnätverksresurser som delar hårddiskpartitioner (C$, D$, ...) i systemet tillsammans med systemmappen (ADMIN$). Genom att inaktivera anslutningen till admin shares bör du minimera många säkerhetsrisker. Conficker-masken till exempel utför ordlisteattacker för att ansluta till admin shares.
  • Neka gamla (som inte stöds) SMB-dialekter – neka SMB-sessioner som använder en gammal SMB-dialekt som inte stöds av IDS. Moderna Windows-operativsystem stöder gamla SMB-dialekter på grund av att de är bakåtkompatibla med gamla operativsystem, som Windows 95. Angriparen kan använda en gammal dialekt i en SMB-session för att undvika trafikkontroll. Neka gamla SMB-dialekter om din dator inte behöver dela filer (eller använda SMB-kommunikation i allmänhet) med en dator som har en gammal Windows-version.
  • Neka SMB-sessioner utan utökad säkerhet – utökad säkerhet kan användas för en SMB-session för att erbjuda en säkrare autentiseringsmekanism än LAN Manager (LM) anrop/svar-autentisering. LM-systemet anses vara svagt och rekommenderas inte.
  • Tillåt kommunikation med tjänsten Hanterare för kontosäkerhet – för mer information om den här tjänsten, se [MS-SAMR].
  • Tillåt kommunikation med tjänsten Lokal säkerhetskontroll – för mer information om den här tjänsten, se [MS-LSAD] och [MS-LSAT].
  • Tillåt kommunikation med tjänsten Remote Registry – för mer information om den här tjänsten, se [MS-RRP].
  • Tillåt kommunikation med tjänsten Service Control Manager – för mer information om den här tjänsten, se [MS-SCMR].
  • Tillåt kommunikation med tjänsten Server Service – för mer information om den här tjänsten, se [MS-SRVS].
  • Tillåt kommunikation med övriga tjänster – övriga MSRPC-tjänster. MSRPC är Microsofts implementering av DCE RPC-mekanismen. MSRPC kan dessutom använda namngivna pipes till SMB-protokollet (fildelning i nätverk) för transport (ncacn_np-transport). MSRPC-tjänster erbjuder gränssnitt för fjärråtkomst och -hantering av Windows-system. Flera sårbarheter har identifierats och utnyttjats på marknaden i Windows MSRPC-systemet (Conficker-mask, Sasser-mask osv.). Inaktivera kommunikation med MSRPC-tjänster som du inte behöver för att minimera många säkerhetsrisker (till exempel fjärrkörning av kod eller attacker som orsakar fel på tjänster).