Разширени опции за филтриране

Разделът „Защита от мрежови атаки“ ви позволява да конфигурирате разширени опции за филтриране за откриване на няколко типа атаки срещу и уязвимости на вашия компютър.


note

В някои случаи няма да получавате известие за заплаха относно блокирани комуникации. Прегледайте раздела Регистриране и създаване на правила или изключения от регистрационен файл за инструкции как да видите всички блокирани комуникации в регистрационния файл на защитната стена.


important

Наличността на конкретни опции в Разширени настройки (F5) > Мрежова защита > Защита от мрежови атаки може да се различава в зависимост от типа или версията на продукта за endpoint на ESET и модула на защитната стена и версията на операционната система. Някои от тях може да са налични само за ESET Endpoint Security.

icon_section Откриване на проникване

Протокол SMB – открива и блокира различни проблеми със защитата в протокола SMB, а именно:

Откриване на упълномощаване на атаки за предизвикателства от фалшиви сървъри – защитава срещу атака, която използва фалшиво предизвикателство по време на удостоверяването, с цел да се сдобие с идентификационните данни на потребителя.

Откриване на избягване на IDS при отваряне на наименуван канал – откриване на известни техники, използвани за отваряне на наименувани MSRPC канали в SMB протокол.

Откриване на често срещани слаби места и излагане на риск – внедрени методи за откриване на различни атаки, формуляри, дупки в защитата и уязвими места през протокол SMB. Посетете следния уеб сайт за често срещани слаби места и излагане на риск на адрес cve.mitre.org, за да потърсите и получите подробна информация за идентификаторите на често срещани слаби места и излагане на риск.

Протокол RPC – открива и блокира различни често срещани слаби места и излагания на риск в системата за заявка за отдалечена процедура, разработена за Разпределена компютърна среда (DCE).

Протокол RDP – открива и блокира различни често срещани слаби места и излагане на риск в протокола RDP (вж. по-горе).

Блокиране на опасния адрес след откриване на атаката – IP адреси, които са открити като източници на атаки, се добавят в списъка със забранени адреси, за да предотвратят връзка за определен период от време.

Показване на известие след откриване на атака – включване на известията в системната област в долния десен ъгъл на екрана.

Показване на известия също и за входящи атаки срещу дупки в защитата – предупреждава ви, ако бъдат открити атаки срещу дупки в защитата или ако заплаха извърши опит за влизане в системата по този начин.

icon_section Проверка на пакети

Разрешаване на входяща връзка с администраторските дялове в SMB протокола – Администраторските дялове (админ. дялове) са мрежовите дялове по подразбиране, които разделят дяловете на твърдия диск (C$, D$, ...) в системата, заедно със системната папка (ADMIN$). Със забраната на връзка до администраторски дялове ще се намалят много рискове за защитата. Например червеят Conficker извършва атаки на речника, за да се свърже с администраторските дялове.

Отказване на стари (неподдържани) SMB диалекти – отказване на SMB сесии, които използват стар SMB диалект, който не се поддържа от IDS. Модерните операционни системи Windows поддържат старите SMB диалекти благодарение на обратна съвместимост с предходни операционни системи, като например Windows 95. Атакуващият може да използва стар диалект в SMB сесия, за да избегне проверката на трафика. Отказвайте стари SMB диалекти, ако не е необходимо компютърът ви да споделя файлове (или използвайте обща SMB комуникация) с компютър със стара версия на Windows.

Отказване на SMB сесии без разширения на защитата – разширена защита може да се използва по време на съгласуване на SMB сесия, за да се предостави по-сигурен механизъм за удостоверяване в сравнение с удостоверяването от тип предизвикателство/отговор на LAN диспечер (LM). Схемата LM се счита за слаба и не се препоръчва за употреба.

Разрешаване на комуникацията с услугата за диспечер на акаунти за защитата – за повече информация относно тази услуга вж. [MS-SAMR].

Разрешаване на комуникацията с услугата за локален орган за защита – за повече информация относно тази услуга вж. [MS-LSAD] и [MS-LSAT].

Разрешаване на комуникацията с услугата за отдалечен системен регистър – за повече информация относно тази услуга вж. [MS-RRP].

Разрешаване на комуникацията с услугата за диспечер за управление на услуги – за повече информация относно тази услуга вж. [MS-SCMR].

Разрешаване на комуникацията с услугата за сървър – за повече информация относно тази услуга вж. [MS-SRVS].

Позволяване на комуникацията с други услуги – други MSRPC услуги. MSRPC е прилагането от страна на Microsoft на механизма DCE RPC. Освен това MSRPC може да използва наименувани канали, които водят до SMB (мрежово споделяне на файлове) протокол за пренасяне (ncacn_np transport). MSRPC услугите предоставят интерфейси за достъп и отдалечено управление на системите на Windows. Няколко уязвимости в защитата бяха открити и използвани на практика в Windows MSRPC системата (например червей Conficker, червей Sasser и т.н.). Забранете комуникация с MSRPC услуги, които не се налага да предоставяте, за да намалите многобройните рискове за защитата (като например отдалечено изпълнение на код или атаки за прекъсване на услуги).