Avanserte filtreringsalternativer
Delen for beskyttelse mot nettverksangrep lar deg konfigurere avanserte filtreringsalternativer for å oppdage flere typer angrep og sårbarheter som kan utføres mot datamaskinen din.
I enkelte tilfeller mottar du ikke en trusselvarsling om blokkert kommunikasjon. Se Logging og oppretting av regler eller unntak fra logg-kapittelet for instruksjoner for å vise all blokkert kommunikasjon i brannmurens logg. |
Tilgjengeligheten av bestemte alternativer i Avansert oppsett (F5)> Nettverksbeskyttelse > Beskyttelse mot nettverksangrep kan variere avhengig av type eller versjon av ESET-endepunktproduktet og brannmurmodulen, så vel som versjonen av operativsystemet ditt. Noen av dem kan være tilgjengelige bare for ESET Endpoint Security. |
Inntrengingsgjenkjenning
•Protokoll SMB – Oppdager og blokkerer ulike sikkerhetsproblemer i SMB-protokollen, nærmere bestemt:
•Gjenkjenne autentisering av Rogue server challenge-angrep – Beskytter deg mot et angrep som benytter et svindelanrop under autentisering for å innhente opplysninger om brukeren.
•Gjenkjenning av IDS-unngåelse under åpning av navngitt datakanal– Gjenkjenning av kjente unngåelsesteknikker for navngitte MSRPCS-datakanaler i SMB-protokollen.
•CVE-gjenkjenninger (Common Vulnerabilities and Exposures) – Implementerte gjenkjenningsmetoder for ulike angrep, skjemaer, sikkerhetshull og utnyttelser av svakheter over SMB-protokollen. Se CVE-nettstedet på cve.mitre.org for å søke etter og innhente mer detaljert informasjon om CVE-identifikatorer (CVE-er).
•Protokoll RPC – Oppdager og blokkerer ulike CVE-er i det eksterne prosedyreanropssystemet for Distributed Computing Environment (DCE).
•Protocol RDP – Oppdager og blokkerer ulike CVE-er i RDP-protokollen (se ovenfor).
•Blokker usikker adresse når angrep avsløres – IP-adresser som er avslørt som kilder til angrep, føyes til Svartelisten for å hindre tilkobling i en bestemt periode.
•Vis melding etter angrepsgjenkjenning– Aktiverer meldinger i systemstatusfeltet nederst til høyre på skjermen.
•Vis melding også for innkommende angrep mot sikkerhetshull – Varsler deg hvis angrep mot sikkerhetshull oppdages, eller hvis en trussel prøver å komme inn i systemet denne veien.
Pakkekontroll
•Tillat innkommende kobling å administrere deler i SMB-protokollen – De administrative delene er standard nettverksdelene som deler harddisk-partisjoner (C$, D$, ...) i systemet sammen med systemmappen (ADMIN$). Det bør minske en rekke sikkerhetsrisikoer å deaktivere kobling til administrativ deling. For eksempel gjennomfører Conficker-ormen angrep på kataloger for å koble seg til administrative deler.
•Avvis gamle (ustøttede) SMB-dialekter – Avvis SMB-sesjoner som valgte en gammel SMB-dialekt som ikke støttes av IDS. Moderne Windows operativsystemer støtter gamle SMB-dialekter på grunn av kompatibilitet med gamle operativsystemer som Windows 95. Angriperen kan bruke en gammel dialekt i en SMB-sesjon for å omgå trafikkinspeksjon. Avvis gamle SMB-dialekter hvis datamaskinen din ikke trenger å dele filer (eller bruke SMB-kommunikasjon generelt) med en datamaskin som har en gammel Windows-versjon.
•Avvis SMB-sesjoner uten utvidet sikkerhet – Du kan bruke Utvidet sikkerhet under SMB-sesjonsvalg for å sørge for en sikrere autentiseringsmekanisme enn LAN Manager Challenge/Response (LM)-autentisering. LM-oppsettet betraktes som svakt og bør ikke brukes.
•Tillat kommunikasjon med tjenesten Sikkerhetsbehandling for konto – For mer informasjon om denne tjenesten, se [MS-SAMR].
•Tillat kommunikasjon med tjenesten Lokal sikkerhetsautoritet – For mer informasjon om denne tjenesten, se [MS-LSAD] og [MS-LSAT].
•Tillat kommunikasjon med tjenesten Eksternt register – For mer informasjon om denne tjenesten, se [MS-RRP].
•Tillat kommunikasjon med tjenesten Tjenestekontrollbehandling – For mer informasjon om denne tjenesten, se [MS-SCMR].
•Tillat kommunikasjon med Servertjenesten – For mer informasjon om denne tjenesten, se [MS-SRVS].
•Tillat kommunikasjon med de andre tjenestene – MSRPC er Microsofts implementering av DCE RPC-mekanismen. Dessuten kan MSRPC bruke navngitte datakanaler i SMB- (nettverksfildelings-) protokollen for transport (ncacn_np transport). MSRPC-tjenester gjør grensesnitt tilgjengelig for tilgang og fjernstyring av Windows-systemer. En rekke svakheter ved sikkerheten ble oppdaget og utnyttet til det ytterste i Windows MSRPC-systemet (Conficker-ormer, Sasser-orm, …). Deaktiver kommunikasjon med MSRPC-tjeneste som du ikke trenger. Slik bidrar du til å minske mange sikkerhetsrisikoer (som fjernkodeutøvelse eller tjenestefeilangrep).