Расширенные параметры фильтрации

В разделе «Защита от сетевых атак» можно настроить расширенные параметры фильтрации для обнаружения нескольких типов атак и уязвимостей, которые злоумышленники могут применить против вашего компьютера.


note

В некоторых случаях уведомление о заблокированном соединении не отображается. См. раздел Ведение журнала и создание правил и исключений на основе журнала, чтобы узнать, как просматривать заблокированные соединения в журнале файервола.


important

Доступность отдельных параметров в разделе «Расширенные параметры» (F5) > Защита сети > Защита от сетевых атак зависит от типа или версии продукта ESET для конечных точек и модуля файервола, а также от версии операционной системы. Некоторые из них могут быть доступными только для ESET Endpoint Security.

icon_section Обнаружение вторжения

Протокол SMB: обнаруживает и блокирует разные проблемы с безопасностью в протоколе SMB (подробности указаны ниже).

Обнаружение атаки в виде нестандартной задачи сервера при проверке подлинности: обеспечивает защиту от атаки, использующей нестандартную задачу во время аутентификации, чтобы получить учетные данные пользователя.

Обнаружение попытки обхода IDS при открытии именованного канала: обнаружение известных методов обхода именованных каналов MSRPCS в протоколе SMB.

Обнаружение общих уязвимостей и слабых мест (CVE): применяемые методы обнаружения различных атак, червей, брешей в системе безопасности и эксплойтов в протоколе SMB. Более подробные сведения об идентификаторах CVE приводятся на веб-сайте CVE по адресу cve.mitre.org.

Протокол RPC: обнаруживает и блокирует различные идентификаторы CVE в системе удаленного вызова процедур, разработанной для среды распределенных вычислений (DCE).

Протокол RDP: обнаруживает и блокирует различные идентификаторы CVE в протоколе RDP (см. выше в этом разделе).

Блокировать небезопасный адрес после обнаружения атаки: IP-адреса, которые были обнаружены в качестве источников атак, будут добавлены в «черный» список, чтобы на некоторое время предотвратить подключение.

Показывать уведомление при обнаружении атаки: включает уведомления на панели задач в правом нижнем углу экрана.

Показывать уведомление при обнаружении атаки, использующей бреши в системе безопасности: показывает уведомления, если обнаруживается атака, использующая бреши в системе безопасности, или если опасный объект пытается войти в систему через брешь.

icon_section Проверка пакетов

Разрешить входящее подключение к общим ресурсам администратора по протоколу SMB : общие ресурсы администратора — это общие сетевые ресурсы по умолчанию, которые совместно используют разделы жесткого диска (C$, D$, ...) в системе вместе с системной папкой (ADMIN$). Отключение соединения с общими ресурсами администратора должны уменьшить возможные последствия угроз безопасности. Например, червь Conficker выполняет атаки перебором по словарю, чтобы подключиться к общим ресурсам администратора.

Запретить старые (неподдерживаемые) диалекты SMB: запрет сеансов SMB, использующих старый диалект SMB, который не поддерживается IDS. Современные операционные системы Windows поддерживают старые диалекты SMB благодаря обратной совместимости со старыми операционными системами, такими как Windows 95. Злоумышленник может использовать старый диалект в сеансе SMB, чтобы избежать контроля трафика. Запретите старые диалекты SMB, если вашему компьютеру не нужно обмениваться файлами (или вообще осуществлять обмен данными SMB) с компьютером под управлением ОС Windows старой версии.

Запретить сеансы SMB без расширенной безопасности: расширенная безопасность может быть использована во время согласования сеанса SMB, чтобы обеспечить более безопасный механизм аутентификации, чем аутентификация LAN Manager Challenge/Response (LM). Схема LM считается слабой и не рекомендуется для использования.

Разрешить подключение к службе диспетчера учетных записей безопасности: для получения дополнительных сведений об этой службе см. раздел [MS-SAMR].

Разрешить подключение к службе локальной системы безопасности: для получения дополнительных сведений об этой службе см. разделы [MS-LSAD] и [MS-LSAT].

Разрешить подключение к службе удаленного управления реестром: для получения дополнительных сведений об этой службе см. раздел [MS-RRP].

Разрешить подключение к службе диспетчера служб: для получения дополнительных сведений об этой службе см. раздел [MS-SCMR].

Разрешить подключение к службе сервера: для получения дополнительных сведений об этой службе см. раздел [MS-SRVS].

Разрешить подключение к другим службам – MSRPC — это реализация Microsoft механизма DCE RPC. Кроме того, MSRPC может использовать именованные каналы, перенесенные в протокол SMB (протокол общего доступа к файлам сети) для транспорта (транспорт ncacn_np). Службы MSRPC предоставляют интерфейсы для удаленного доступа к операционной системе Windows и удаленного управления ею. За последние годы обнаружено несколько уязвимостей, которые используются в среде системы Windows MSRPC (червь Conficker, червь Sasser и др.). Отключите обмен данными со службами MSRPC, которые не нужно предоставлять для уменьшения последствий угроз безопасности (например, удаленное выполнение кода или атаки типа «Отказ в обслуживании»).