Opções de filtragem avançadas

A seção de Proteção contra ataque de rede permite a você configurar opções de filtragem avançadas para detectar vários tipos de ataques e vulnerabilidades que podem ser realizados contra seu computador.

Detecção de intruso

•Protocolo SMB - Detecta e bloqueia vários problemas de segurança em protocolo SMB, a saber:

•Detecção de ataque de autenticação no servidor por desafio por invasor - Protege você contra um ataque que use um desafio de invasor durante a autenticação para obter credenciais de usuário.

•Detecção de evasão do IDS durante abertura de pipe nomeado - Detecção de técnicas conhecidas de evasão para abertura de pipes nomeados MSRPC no protocolo SMB.

•Detecções de CVE (Exposições e vulnerabilidades comuns) - Métodos de detecção implementados de vários ataques, formulários, vulnerabilidades de segurança e explorações em protocolo SMB. Consulte o site de CVE em cve.mitre.org para pesquisar e obter informações mais detalhadas sobre identificadores de CVE (CVEs).

•Protocolo RPC - Detecta e bloqueia vários CVEs no sistema de chamada de procedimento remoto desenvolvido para o Distributed Computing Environment (DCE).

•Protocolo RDP - Detecta e bloqueia vários CVEs no protocolo RDP (veja acima).

•Bloquear endereço inseguro após detecção de ataque - Endereços IP que foram detectados como fontes de ataques são adicionados à lista de proibições para impedir a conexão por um período de tempo.

•Exibir notificação após detecção de ataque - Ativa a notificação da bandeja do sistema no canto inferior direito da tela.

•Exibir notificações também para ataques sendo recebidos contra buracos de segurança - Alerta você se ataques contra buracos de segurança forem detectados ou se uma ameaça fizer uma tentativa de entrar no sistema desta forma.

Verificação do pacote

•Permitir conexão de entrada aos compartilhamentos administrativos no protocolo SMB - Os compartilhamentos administrativos (compartilhamentos administrativos) são os compartilhamentos padrão da rede que compartilham partições de disco rígido (C$, D$, ...) no sistema, junto com a pasta do sistema (ADMIN$). Desabilitar conexão com compartilhamentos administrativos deve reduzir muitos riscos de segurança. Por exemplo, o worm Conficker realiza ataques de dicionário para conectar-se a compartilhamentos administrativos.

•Negar dialetos SMB antigos (não compatíveis) - Negar sessões SMB que usem um dialeto SMB anterior que não é aceito pelo IDS. Sistemas operacionais modernos do Windows suportam dialetos SMB antigos devido à compatibilidade retroativa com sistemas operacionais antigos, como o Windows 95. O agressor pode usar um dialeto antigo em uma sessão SMB para evitar inspeção de tráfego. Negar dialetos SMB antigos se o seu computador não precisa compartilhar arquivos (ou usar comunicação SMB em geral) com um computador com uma versão antiga do Windows.

•Negar sessões SMB sem segurança estendida - Segurança estendida pode ser usada durante a negociação de sessão SMB para proporcionar um mecanismo de autenticação mais seguro do que autenticação de LAN Manager Challenge/Response (LM). O esquema LM é considerado fraco e não é recomendado para uso.

•Permitir comunicação com o serviço de Gerenciamento de Conta de Segurança - Para obter mais informações sobre este serviço consulte [MS-SAMR].

•Permitir comunicação com o serviço Autoridade de Segurança Local - Para obter mais informações sobre este serviço consulte [MS-LSAD] e [MS-LSAT].

•Permitir comunicação com o serviço de Registro Remoto - Para obter mais informações sobre este serviço consulte [MS-RRP].

•Permitir comunicação com o serviço de Gerenciamento de Controle de Serviço - Para obter mais informações sobre este serviço consulte [MS-SCMR].

•Permitir comunicação com o serviço de Servidor - Para obter mais informações sobre este serviço consulte [MS-SRVS].

•Permitir comunicação com outros serviços – MSRPC é a implementação da Microsoft do mecanismo DCE RPC. Além disso, a MSRPC pode usar pipes nomeados levados para o protocolo de transporte (transporte ncacn_np) SMB (compartilhamento de arquivos de rede). Serviços MSRPC fornecem interfaces para acessar e gerenciar remotamente sistemas Windows. Várias vulnerabilidades de segurança foram descobertas e exploradas no estado natural no sistema do Windows MSRPC (worm Conficker, worm Sasser...). Desativar comunicação com serviços MSRPC que não precisam ser fornecidos para mitigar muitos riscos de segurança (como execução de código remoto ou ataques de falha de serviço).

•Verificar o status da conexão TCP - Verifica se todos os pacotes TCP pertencem a uma conexão existente. Se um pacote não existir em uma conexão, ele será descartado.

•Manter conexões TCP inativas - Para funcionarem, alguns aplicativos requerem que a conexão TCP que estabelecem seja mantida, mesmo que a conexão TCP possa estar inativa. Selecione essa opção para evitar o encerramento de conexões TCP inativas.

•Detecção de sobrecarga de protocolo TCP - O princípio desse método envolve a exposição do computador/servidor a diversas solicitações. Consulte também DoS (ataques de negação de serviço).

•Verificação de mensagens do protocolo ICMP - Impede ataques que exploram pontos fracos no protocolo ICMP, que pode fazer com que seu computador não responda - consulte também DoS (ataques de negação de serviço).

•Converter dados em detecção de protocolo ICMP - Verifica se o protocolo ICMP não é usado para transferência de dados. Muitas técnicas mal-intencionadas usam o protocolo ICMP para ignorar o Firewall.

Consulte o seguinte artigo da Base de Conhecimento ESET para obter uma versão atualizada desta página de ajuda.