Opțiuni de filtrare avansată
Secțiunea Protecție împotriva atacurilor de rețea vă permite să configurați opțiuni de filtrare avansată pentru a detecta câteva tipuri de atacuri și vulnerabilități care pot fi încercate împotriva computerului dvs.
În unele cazuri nu veți primi o notificare de amenințare despre comunicațiile blocate. Consultați secțiunea Scriere în log și creare de reguli sau excepții din log pentru instrucțiuni de vizualizare a tuturor comunicațiilor blocate din logul componentei Firewall. |
Disponibilitatea anumitor opțiuni din Setare avansată (F5) > Protecție rețea > Protecție împotriva atacurilor de rețea depinde de tipul sau versiunea produsului endpoint ESET și a modulului firewall, precum și de versiunea sistemului de operare. Unele opțiuni este posibil să fie disponibile numai pentru ESET Endpoint Security. |
Detectare intruziuni
•Protocol SMB – detectează și blochează diverse probleme de securitate în protocolul SMB, și anume:
•Detectare autentificare atac de interogare răuvoitoare a unui server – protejează împotriva unui atac care utilizează o interogare răuvoitoare în timpul autentificării în scopul obținerii acreditărilor utilizatorului.
•Evadare IDS în timpul detectării deschiderii unui canal denumit – detectare a tehnicilor de evadare cunoscute, utilizate pentru deschiderea canalelor denumite MSRPCS în protocolul SMB.
•Detectări CVE (Vulnerabilități și expuneri obișnuite) - metode implementate de detectare a diverselor atacuri, formulare, breșe de securitate și exploatări prin protocolul SMB. Consultați site-ul Web CVE la cve.mitre.org pentru a căuta și a obține mai multe informații detaliate despre identificatorii CVE (CVE-uri).
•Protocol RPC – detectează și blochează CVE-uri din sistemul Remote Procedure Call (RPC) dezvoltate pentru Distributed Computing Environment (DCE).
•Protocol RDP – detectează și blochează CVE-uri în protocolul RDP (a se vedea mai sus).
•Blocare adresă nesigură după detectarea unui atac – adresele IP care au fost detectate ca surse ale unor atacuri sunt adăugate la lista neagră pentru a împiedica conexiunea o anumită perioadă de timp.
•Afișare notificare după detectare atac – activează notificarea din bara de sistem, în colțul din partea dreaptă, jos, a ecranului.
•Afișare notificări și pentru atacurile sosite împotriva breșelor de securitate – vă alertează dacă se detectează atacuri împotriva breșelor de securitate sau o amenințare efectuează o încercare de intrare în sistem în acest mod.
Verificare pachete
•Permitere conexiune de intrare la partajări de administrator în protocolul SMB – partajările administrative sunt partajările în rețea implicite care utilizează în comun partițiile de hard disk (C$, D$, ...) din sistem împreună cu directorul de sistem (ADMIN$). Dezactivarea conexiunilor la partajările administrative ar trebui să reducă multe riscuri de securitate. De exemplu, viermele Conficker inițiază atacuri de tip Dictionnary attack pentru a se conecta la partajările administrative.
•Interzicere a dialectelor SMB vechi (neacceptate) – interzice sesiunile SMB care utilizează un dialect SMB vechi care nu este acceptat de IDS. Sistemele de operare Windows moderne acceptă dialectele SMB vechi datorită retrocompatibilității cu sistemele de operare vechi, precum Windows 95. Atacatorul poate negocia un dialect vechi într-o sesiune SMB pentru a evita inspectarea traficului. Interziceți dialectele SMB vechi în cazul în care computerul dvs. nu trebuie să partajeze fișiere (sau să utilizeze comunicații SMB, în general) cu un computer pe care este instalată o versiune veche de Windows.
•Interzicere sesiuni SMB fără securitate extinsă – securitatea extinsă poate fi utilizată în timpul sesiunii SMB în vederea asigurării unui mecanism de autentificare mai sigur decât autentificarea interogare-răspuns prin LAN Manager (LM). Schema LM este considerată vulnerabilă și nu se recomandă utilizarea ei.
•Permitere comunicație cu serviciul Manager cont de securitate – pentru mai multe informații despre acest serviciu, consultați [MS-SAMR].
•Permitere comunicație cu serviciul Autoritate de securitate locală – pentru mai multe informații despre acest serviciu, consultați [MS-LSAD] și [MS-LSAT].
•Permitere comunicare cu serviciul Registry la distanță – pentru mai multe informații despre acest serviciu, consultați [MS-RPP].
•Permitere comunicare cu serviciul Manager control servicii – pentru mai multe informații despre acest serviciu, consultați [MS-SCMR].
•Permitere comunicație cu serviciul Server – pentru mai multe informații despre acest serviciu, consultați [MS-SRVS].
•Permitere comunicare cu celelalte servicii – MSRPC este implementarea Microsoft a mecanismului DCE RPC. În plus, MSRPC poate utiliza canalele declarate integrate în protocolul SMB (partajare de fișiere în rețea) pentru transport (ncacn_np transport). Serviciile MSRPC asigură interfețe pentru accesarea și gestionarea la distanță a sistemelor Windows. În sistemul MSRPC Windows au fost descoperite și exploatate mai multe vulnerabilități de securitate (viermele Conficker, viermele Sasser etc.). Dezactivați comunicațiile cu serviciile MSRPC de care nu aveți nevoie, pentru a reduce multe dintre riscurile de securitate (precum executarea la distanță a codurilor sau atacuri pentru afectarea serviciilor).