Zaawansowane opcje filtrowania

Sekcja Ochrona przed atakami z sieci umożliwia skonfigurowanie zaawansowanych opcji filtrowania w celu wykrywania różnych typów ataków oraz luk w zabezpieczeniach, które mogą być wykorzystane przeciwko Twojemu komputerowi.

Wykrywanie włamań

•Protokół SMB — wykrywanie i blokowanie różnego rodzaju problemów z zabezpieczeniami w protokole SMB, takich jak:

•Wykrywanie ataków z wysyłaniem nieautoryzowanych żądań uwierzytelniania na serwerze — ochrona przed atakami z wysyłaniem nieautoryzowanych żądań podczas uwierzytelniania w celu uzyskania poświadczeń użytkownika.

•Wykrywanie prób uniknięcia rozpoznania przez system aktywnej ochrony (IDS) podczas otwierania potoku mającego nazwę — wykrywanie znanych technik unikania rozpoznania w nazwanych potokach MSRPC w protokole SMB.

•Wykrywanie CVE (Common Vulnerabilities and Exposures) — zaimplementowane metody wykrywania różnych ataków, formularzy oraz luk bezpieczeństwa i wykorzystujących je programów w protokole SMB. Witryna CVE pod adresem cve.mitre.org umożliwia wyszukanie i uzyskanie bardziej szczegółowych informacji o identyfikatorach CVE.

•Protokół RPC — wykrywa i blokuje różne identyfikatory CVE w zdalnym systemie wywołania procedur opracowanym dla środowiska Distributed Computing Environment (DCE).

•Protokół RDP — wykrywa i blokuje różne identyfikatory CVE w protokole RDP (patrz wyżej).

•Blokowanie niebezpiecznych adresów po wykryciu ataku — adresy IP, które zostały wykryte jako źródło ataków są dodawane do czarnej listy w celu zablokowania połączenia przez podany okres.

•Wyświetl powiadomienie po wykryciu ataku — umożliwia włączenie wyświetlania powiadomień na pasku zadań w prawym dolnym rogu ekranu.

•Wyświetlaj także powiadomienia po wykryciu ataku przychodzącego na luki zabezpieczeń — w przypadku wykrycia ataków na luki w zabezpieczeniach lub prób uzyskania w ten sposób dostępu do systemu wyświetlane są powiadomienia.

Sprawdzanie pakietów

•Zezwól w protokole SMB na połączenia przychodzące do udziałów administracyjnych — udziały administracyjne (admin shares) to domyślne udziały sieciowe, które współdzielą partycje dysku twardego (C$, D$, ...) w systemie razem z folderem systemowym (ADMIN$). Wyłączenie połączenia z udziałami administracyjnymi może osłabić wiele zagrożeń. Na przykład, robak Conficker przeprowadza ataki słownikowe w celu podłączenia do udziałów administracyjnych.

•Odmów starym (nieobsługiwanym) dialektom protokołu SMB — odmowa sesji SMB z nieaktualnym dialektem SMB, który nie jest obsługiwany przez IDS. Nowoczesne systemy Windows obsługują nieaktualne dialekty SMB ze względu na zgodność wsteczną z wcześniejszymi systemami operacyjnymi, np. Windows 95. Atakujący może użyć nieaktualnego dialektu w sesji SMB w celu uniknięcia kontroli ruchu. Należy odrzucić nieaktualne dialekty SMB, jeżeli komputer nie współdzieli plików (ogólnie komunikacji SMB) z komputerem, na którym zainstalowano wcześniejszą wersję Windows.

•Odmów zabezpieczeniom protokołu SMB bez rozszerzeń zabezpieczeń — rozszerzone zabezpieczenia mogą zostać użyte podczas negocjacji sesji SMB w celu zapewnienia bezpieczniejszego mechanizmu uwierzytelniania niż uwierzytelnianie LAN Manager Challenge/Response (LM). Schemat LM jest traktowany jako słaby i nie zaleca się korzystania z niego.

•Zezwól na komunikację z usługą Menedżer konta zabezpieczeń — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–SAMR].

•Zezwól na komunikację z usługą Urząd zabezpieczeń lokalnych — więcej informacji na temat tej usługi można znaleźć tutaj: [MS-LSAD] i [MS-LSAT].

•Zezwól na komunikację z usługą Rejestr zdalny — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–RRP].

•Zezwól na komunikację z usługą Services Control Manager — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–SCMR].

•Zezwól na komunikację z Usługą serwera — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–SRVS].

•Zezwól na komunikację z innymi usługami – MSRPC to wdrożenie Microsoft mechanizmu DCE RPC. Ponadto MSRPC może wykorzystywać nazwane potoki w protokole SMB (udostępnianie plików w sieci) do transportu (ncacn_np transport). Usługi MSRPC pozwalają interfejsom na zdalny dostęp do systemów Windows i zarządzanie nimi. Odkryto kilka luk w zabezpieczeniach, które były wykorzystywane w systemie Windows MSRPC (robak Conficker, robak Sasser itp.). Należy wyłączyć komunikację z usługami MSRPC, które nie są potrzebne. To pozwoli na zmniejszenie wielu zagrożeń (na przykład zdalne wykonywanie kodu lub ataki związane z awariami usług).

•Sprawdź stan połączenia TCP — sprawdza, czy wszystkie pakiety TCP należą do istniejącego połączenia. Pakiety, które nie należą do połączenia, zostaną porzucone.

•Obsługuj nieaktywne połączenia TCP — niektóre aplikacje do poprawnego działania wymagają utrzymywania ustanowionych połączeń protokołu TCP, nawet jeśli takie połączenia są nieaktywne. Opcję tę należy zaznaczyć, aby zapobiec przerywaniu nieaktywnych połączeń protokołu TCP.

•Wykrywanie przeciążeń protokołów TCP — zasada działania tej metody polega na narażeniu komputera/serwera na liczne żądania. Patrz również: ataki typu odmowa usługi (DoS).

•Sprawdzanie komunikatów protokołu ICMP — zapobiega atakom polegającym na wykorzystaniu niedoskonałości protokołu ICMP, które mogą doprowadzać do braku reakcji komputera. Patrz również: Ataki typu „odmowa usługi” (DoS).

•Wykrywanie ukrytych danych skonwertowanych w protokole ICMP — powoduje sprawdzenie, czy protokół ICMP jest używany do transferu danych. W wielu szkodliwych technikach jest używany protokół ICMP do ominięcia zapory.

Aby uzyskać zaktualizowaną wersję tej strony pomocy, zapoznaj się z następującym artykułem w bazie wiedzy ESET.