خيارات التصفية المتقدمة
يسمح لك قسم "الشبكة" للحماية من الهجمات بتكوين خيارات التصفية المتقدمة للكشف عن عدة أنواع من الهجمات ونقاط الضعف التي يمكن تنفيذها ضد جهاز الكمبيوتر الخاص بك.
في بعض الحالات، لن تتلقى إعلاماً بتهديد حول الاتصالات التي تم حظرها. الرجاء مراجعة قسم التسجيل وإنشاء قواعد أو استثناءات من السجل للاطلاع على إرشادات لعرض جميع الاتصالات التي تم حظرها في سجل جدار الحماية. |
قد يختلف مدى توفر خيارات معينة في الإعداد المتقدم (F5) > حماية الشبكة > حماية هجوم الشبكة وفقاً لنوع منتج نقطة نهاية ESET ووحدة جدار الحماية لديك أو إصدارهما، بالإضافة إلى إصدار نظام التشغيل الخاص بك. قد يكون بعضها متاحاً فقط لـ ESET Endpoint Security. |
اكتشاف الاختراق
- البروتوكول SMB - يكتشف مختلف مشكلات الأمان في بروتوكول SMB ويحظرها، وبخاصة:
- اكتشاف مصادقة هجمة تحدٍ خادع للخادم - يحمي من الهجمة التي تستخدم تحدياً خادعاً أثناء المصادقة للحصول على بيانات اعتماد المستخدم.
- تهرب من نظام كشف التسلل أثناء اكتشاف فتح ممر بيانات مسمى - اكتشاف أساليب تهرب معروفة لفتح ممرات بيانات مسماة لـ MSRPCS في بروتوكول SMB.
- حالات اكتشاف CVE (الثغرات وعمليات التعرض الشائعة) - طرق اكتشاف منفذة لمختلف الهجمات والأشكال وفجوات الأمان وعمليات الاختراق عبر بروتوكول SMB. الرجاء مراجعة موقع CVE على الويب بعنوان cve.mitre.org للبحث عن مزيد من المعلومات التفصيلية حول أدوات تحديد CVE (CVEs) والحصول عليها.
- البروتوكول RPC - لاكتشاف مختلف الثغرات وعمليات التعرض الشائعة وحظرها في نظام استدعاء الإجراءات عن بُعد المطور لأجل بيئة الحوسبة الموزعة (DCE).
- البروتوكول RDP - لاكتشاف CVEs المختلفة وحظرها في بروتوكول RDP (انظر أعلاه).
- حظر عنوان غير آمن بعد اكتشاف هجمة - تتم إضافة عناوين IP المكتشفة كمصادر هجمات إلى قائمة الحظر لمنع الاتصال خلال مدة زمنية معينة.
- عرض الإعلام بعد اكتشاف هجمة - لتشغيل إعلام علبة النظام بالركن العلوي السفلي من الشاشة.
- عرض الإعلامات أيضاً لهجمات واردة ضد فجوات الأمان - لتنبيهك في حالة اكتشاف هجمات ضد فجوات الأمان أو في حالة إجراء محاولة عبر تهديد يهدف إلى دخول النظام بهذه الطريقة.
فحص الحزمة
- السماح بالاتصال الوارد بمشاركات المسؤول في بروتوكول SMB - تعد المشاركات الإدارية (مشاركات المسؤولين) مشاركات الشبكة الافتراضية التي تتشارك أقسام محرك الأقراص الثابت (C$ وD$...) في النظام مع مجلد النظام (ADMIN$). يجب أن يقلل تعطيل الاتصال بمشاركات المسؤولين الكثير من مخاطر الأمان. على سبيل المثال، ينفذ الفيروس المتنقل Conficker هجمات قواميس للاتصال بمشاركات المسؤولين.
- رفض لهجات SMB القديمة (غير المدعومة) - رفض جلسات SMB التي تستخدم لهجة SMB قديمة غير مدعومة بواسطة نظام كشف التسلل. تدعم أنظمة تشغيل Windows الحديثة لهجات SMB القديمة نظراً للتوافق مع إصدارات أقدم من أنظمة التشغيل مثل Windows 95. ويمكن للمهاجم استخدام لهجة قديمة في جلسة SMB للتهرب من فحص المرور. ارفض أي لهجات SMB قديمة إذا لم يكن الكمبيوتر الخاص بك بحاجة إلى مشاركة ملفات (أو استخدام اتصال SMB بشكل عام) مع كمبيوتر به إصدار أقدم من Windows.
- رفض جلسات SMB بدون أمان موسع - يمكن استخدام الأمان الموسع أثناء تفاوض جلسة SMB لتوفير آلية مصادقة أكثر أماناً من مصادقة LAN Manager Challenge/Response (LM). يعد مخطط LM ضعيفاً، ولا يوصى باستخدامه.
- السماح بالاتصال بخدمة مدير حساب الأمان – لمزيد من المعلومات حول هذه الخدمة، راجع [MS-SAMR].
- السماح بالاتصال بخدمة جهة الأمان المحلية - لمزيد من المعلومات حول هذه الخدمة، راجع [MS-LSAD] و[MS-LSAT].
- السماح بالاتصال بخدمة السجل البعيد - لمزيد من المعلومات حول هذه الخدمة، راجع [MS-RRP].
- السماح بالاتصال بخدمة مدير التحكم بالخدمة - لمزيد من المعلومات حول هذه الخدمة، راجع [MS-SCMR].
- السماح بالاتصال بخدمة الخادم - لمزيد من المعلومات حول هذه الخدمة، راجع [MS-SRVS].
- السماح بالاتصال بالخدمات الأخرى - خدمات MSRPC الأخرى. MSRPC هو تنفيذ Microsoft لآلية DCE RPC. علاوة على ذلك، يمكن أن يستخدم MSRPC ممرات بيانات مسماة محمولة في بروتوكول SMB (مشاركة ملفات الشبكة) للنقل (نقل ncacn_np). توفر خدمات MSRPC واجهات للوصول إلى أنظمة Windows وإدارتها عن بُعد. تم اكتشاف العديد من ثغرات الأمان واختراقها في الفضاء ضمن نظام Windows MSRPC (على سبيل المثال، الفيروس المتنقل Conficker والفيروس المتنقل Sasser وغيرها). قم بتعطيل الاتصال بخدمات MSRPC التي لا تحتاج إلى تقديمها للحد من مخاطر الأمان (مثل تنفيذ التعليمة البرمجية البعيدة أو هجمات فشل الخدمة).