Avancerade filtreringsalternativ
I avsnittet Skydd mot nätverksattacker kan du konfigurera avancerade filtreringsalternativ för att detektera flera olika typer av attacker och sårbarheter som datorn kan råka ut för.
I en del fall får du inget hotmeddelande om blockerad kommunikation. Se avsnittet Logga och skapa regler eller undantag från logg för anvisningar om hur du visar all blockerad kommunikation i brandväggsloggen. |
Tillgängligheten för särskilda alternativ i Avancerade inställningar (F5) > Nätverksskydd > Skydd mot nätverksattacker kan variera beroende på ESET-endpoint-produktens och brandväggsmodulens typ eller version samt operativsystemets version. Vissa av dem är endast tillgängliga för ESET Endpoint Security. |
Intrångsdetektering
•SMB-protokoll – identifierar och blockerar olika säkerhetsproblem i SMB-protokollet:
•Identifiera Rougue-anrop i NTLM-autentiseringsprotokoll – skyddar mot angrepp som använder Rouge-anrop för att komma åt användaridentifiering under autentisering.
•Identifiering av IDS-undvikande öppning av namngiven pipe – identifiering av kända tekniker för att undvika öppning i MSRPC-pipes i SMB-protokollet.
•CVE-detektering (Common Vulnerabilities and Exposures) – implementerade identifieringsmetoder för olika angrepp, formulär, säkerhetshål och kryphål över SMB-protokollet. Se CVE-webbplatsen på cve.mitre.org för sökning och ytterligare information om CVE-identifierare (CVEs).
•RPC-protokoll – identifierar och blockerar olika CVE:er i RPC-system som utvecklats för DCE (Distributed Computing Environment).
•RDP-protokoll – identifierar och blockerar olika CVE:er i RDP-protokollet (se ovan).
•Blockera osäkra adresser efter detektering av attacker – IP-adresser som har identifierats som attackkällor läggs till i svartlistan för att hindra att de ansluts under en viss tid.
•Visa meddelande efter identifiering av angrepp – stänger av systemmeddelanden som visas i nedre högra hörnet på skärmen.
•Visa meddelanden även för inkommande attacker mot säkerhetshål – varnar om attacker mot säkerhetshål upptäcks eller om ett försök gjorts av ett hot att ta sig in i systemet på det här sättet.
Paketkontroll
•Tillåt inkommande anslutning till admin shares i SMB-protokoll - administrativa resurser (admin shares) är standardnätverksresurser som delar hårddiskpartitioner (C$, D$, ...) i systemet tillsammans med systemmappen (ADMIN$). Genom att inaktivera anslutningen till admin shares bör du minimera många säkerhetsrisker. Conficker-masken till exempel utför ordlisteattacker för att ansluta till admin shares.
•Neka gamla (som inte stöds) SMB-dialekter – neka SMB-sessioner som använder en gammal SMB-dialekt som inte stöds av IDS. Moderna Windows-operativsystem stöder gamla SMB-dialekter på grund av att de är bakåtkompatibla med gamla operativsystem, som Windows 95. Angriparen kan använda en gammal dialekt i en SMB-session för att undvika trafikkontroll. Neka gamla SMB-dialekter om din dator inte behöver dela filer (eller använda SMB-kommunikation i allmänhet) med en dator som har en gammal Windows-version.
•Neka SMB-sessioner utan utökad säkerhet – utökad säkerhet kan användas för en SMB-session för att erbjuda en säkrare autentiseringsmekanism än LAN Manager (LM) anrop/svar-autentisering. LM-systemet anses vara svagt och rekommenderas inte.
•Tillåt kommunikation med tjänsten Hanterare för kontosäkerhet – för mer information om den här tjänsten, se [MS-SAMR].
•Tillåt kommunikation med tjänsten Lokal säkerhetskontroll – för mer information om den här tjänsten, se [MS-LSAD] och [MS-LSAT].
•Tillåt kommunikation med tjänsten Remote Registry – för mer information om den här tjänsten, se [MS-RRP].
•Tillåt kommunikation med tjänsten Service Control Manager – för mer information om den här tjänsten, se [MS-SCMR].
•Tillåt kommunikation med tjänsten Server Service – för mer information om den här tjänsten, se [MS-SRVS].
•Tillåt kommunikation med övriga tjänster – MSRPC är Microsofts implementering av DCE RPC-mekanismen. MSRPC kan dessutom använda namngivna pipes till SMB-protokollet (fildelning i nätverk) för transport (ncacn_np-transport). MSRPC-tjänster erbjuder gränssnitt för fjärråtkomst och -hantering av Windows-system. Flera sårbarheter har identifierats och utnyttjats på marknaden i Windows MSRPC-systemet (Conficker-mask, Sasser-mask osv.). Inaktivera kommunikation med MSRPC-tjänster som du inte behöver för att minimera många säkerhetsrisker (till exempel fjärrkörning av kod eller attacker som orsakar fel på tjänster).