Zaawansowane opcje filtrowania
Sekcja Ochrona przed atakami z sieci umożliwia skonfigurowanie zaawansowanych opcji filtrowania w celu wykrywania różnych typów ataków oraz luk w zabezpieczeniach, które mogą być wykorzystane przeciwko Twojemu komputerowi.
W niektórych przypadkach użytkownik nie otrzyma powiadomienia o zablokowaniu komunikacji w związku z zagrożeniem. Instrukcje wyświetlania całej zablokowanej komunikacji w dzienniku zapory można znaleźć w sekcji Zapisywanie w dzienniku i tworzenie reguł oraz wyjątków na podstawie dziennika. |
Dostępność poszczególnych opcji w Ustawieniach zaawansowanych (F5 > Ochrona sieci > Ochrona przed atakami z sieci może się różnić w zależności od typu lub wersji produktu ESET do obsługi punktów końcowych bądź modułu zapory, a także wersji systemu operacyjnego. Niektóre mogą być dostępne tylko w przypadku programu ESET Endpoint Security. |
Wykrywanie włamań
•Protokół SMB — wykrywanie i blokowanie różnego rodzaju problemów z zabezpieczeniami w protokole SMB, takich jak:
•Wykrywanie ataków z wysyłaniem nieautoryzowanych żądań uwierzytelniania na serwerze — ochrona przed atakami z wysyłaniem nieautoryzowanych żądań podczas uwierzytelniania w celu uzyskania poświadczeń użytkownika.
•Wykrywanie prób uniknięcia rozpoznania przez system aktywnej ochrony (IDS) podczas otwierania potoku mającego nazwę — wykrywanie znanych technik unikania rozpoznania w nazwanych potokach MSRPC w protokole SMB.
•Wykrywanie CVE (Common Vulnerabilities and Exposures) — zaimplementowane metody wykrywania różnych ataków, formularzy oraz luk bezpieczeństwa i wykorzystujących je programów w protokole SMB. Witryna CVE pod adresem cve.mitre.org umożliwia wyszukanie i uzyskanie bardziej szczegółowych informacji o identyfikatorach CVE.
•Protokół RPC — wykrywa i blokuje różne identyfikatory CVE w zdalnym systemie wywołania procedur opracowanym dla środowiska Distributed Computing Environment (DCE).
•Protokół RDP — wykrywa i blokuje różne identyfikatory CVE w protokole RDP (patrz wyżej).
•Blokowanie niebezpiecznych adresów po wykryciu ataku — adresy IP, które zostały wykryte jako źródło ataków są dodawane do czarnej listy w celu zablokowania połączenia przez podany okres.
•Wyświetl powiadomienie po wykryciu ataku — umożliwia włączenie wyświetlania powiadomień na pasku zadań w prawym dolnym rogu ekranu.
•Wyświetlaj także powiadomienia po wykryciu ataku przychodzącego na luki zabezpieczeń — w przypadku wykrycia ataków na luki w zabezpieczeniach lub prób uzyskania w ten sposób dostępu do systemu wyświetlane są powiadomienia.
Sprawdzanie pakietów
•Zezwól w protokole SMB na połączenia przychodzące do udziałów administracyjnych — udziały administracyjne (admin shares) to domyślne udziały sieciowe, które współdzielą partycje dysku twardego (C$, D$, ...) w systemie razem z folderem systemowym (ADMIN$). Wyłączenie połączenia z udziałami administracyjnymi może osłabić wiele zagrożeń. Na przykład, robak Conficker przeprowadza ataki słownikowe w celu podłączenia do udziałów administracyjnych.
•Odmów starym (nieobsługiwanym) dialektom protokołu SMB — odmowa sesji SMB z nieaktualnym dialektem SMB, który nie jest obsługiwany przez IDS. Nowoczesne systemy Windows obsługują nieaktualne dialekty SMB ze względu na zgodność wsteczną z wcześniejszymi systemami operacyjnymi, np. Windows 95. Atakujący może użyć nieaktualnego dialektu w sesji SMB w celu uniknięcia kontroli ruchu. Należy odrzucić nieaktualne dialekty SMB, jeżeli komputer nie współdzieli plików (ogólnie komunikacji SMB) z komputerem, na którym zainstalowano wcześniejszą wersję Windows.
•Odmów zabezpieczeniom protokołu SMB bez rozszerzeń zabezpieczeń — rozszerzone zabezpieczenia mogą zostać użyte podczas negocjacji sesji SMB w celu zapewnienia bezpieczniejszego mechanizmu uwierzytelniania niż uwierzytelnianie LAN Manager Challenge/Response (LM). Schemat LM jest traktowany jako słaby i nie zaleca się korzystania z niego.
•Zezwól na komunikację z usługą Menedżer konta zabezpieczeń — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–SAMR].
•Zezwól na komunikację z usługą Urząd zabezpieczeń lokalnych — więcej informacji na temat tej usługi można znaleźć tutaj: [MS-LSAD] i [MS-LSAT].
•Zezwól na komunikację z usługą Rejestr zdalny — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–RRP].
•Zezwól na komunikację z usługą Services Control Manager — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–SCMR].
•Zezwól na komunikację z Usługą serwera — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–SRVS].
•Zezwól na komunikację z innymi usługami – MSRPC to wdrożenie Microsoft mechanizmu DCE RPC. Ponadto MSRPC może wykorzystywać nazwane potoki w protokole SMB (udostępnianie plików w sieci) do transportu (ncacn_np transport). Usługi MSRPC pozwalają interfejsom na zdalny dostęp do systemów Windows i zarządzanie nimi. Odkryto kilka luk w zabezpieczeniach, które były wykorzystywane w systemie Windows MSRPC (robak Conficker, robak Sasser itp.). Należy wyłączyć komunikację z usługami MSRPC, które nie są potrzebne. To pozwoli na zmniejszenie wielu zagrożeń (na przykład zdalne wykonywanie kodu lub ataki związane z awariami usług).