Išplėstinės filtravimo parinktys

Apsaugos nuo atakų iš tinklo dalis suteikia galimybę konfigūruoti išplėstines filtravimo parinktis, kad aptiktumėte įvairių tipų atakas ir pažeidžiamumus, kuriuos galima išnaudoti prieš jūsų kompiuterį.

Įsilaužimo aptikimas

• Protokolo SMB – aptinka ir užblokuota įvairias SMB protokolo saugumo problemas, pvz.:

• Apgaulingo serverio iškvietimo atakos atpažinimo aptikimas – saugo nuo atakos, atpažinimo metu naudojančios apgaulingą iškvietimą siekiant gauti vartotojo kredencialus.

• IDS vengimo atidarant įvardytąjį kanalą aptikimas – aptinka žinomus vengimo metodus, naudojamus atidarant MSRPC įvardytuosius kanalus.

• CVE aptikimas (bendras pažeidžiamumas ir atskleidimas) – įdiegti įvairių atakų, formų, saugos skylių ir išnaudojimų SMB protokole aptikimo metodai. Jei reikia išsamesnės informacijos apie CVE identifikatorius (CVEs), žr. CVE interneto svetainę cve.mitre.org.

• Protokolo RPC – aptinka ir užblokuoja įvairius CVE nuotolinių procedūrų iškvietimo sistemoje, sukurtoje paskirstytųjų skaičiavimų aplinkai (DCE).
• RDP protokolas – aptinka ir užblokuoja įvairius RDP protokole (žr. pirmiau).
• Blokuoti nesaugius adresus aptikus ataką – IP adresai, kurie buvo aptikti kaip atakų šaltiniai, pridedami prie juodojo sąrašo ir kuriam laikui uždraudžiamas ryšys.
• Rodyti pranešimą aptikus ataką – įjungia sistemos dėklo pranešimą apatiniame dešiniajame lango kampe.

• Rodyti pranešimus ir apie atakas panaudojant saugumo spragas – perspėja jus apie aptiktas atakas panaudojant saugumo spragas arba grėsmių bandymus tokiu būdu patekti į sistemą.

Paketo tikrinimas

• Leisti įeinantį ryšį su administratoriaus bendrinimais SMB protokolu – administratoriaus bendrinimai yra numatytieji tinklo bendrinimai, bendrinantys standžiojo disko skaidinius (C$, D$, ...) sistemoje kartu su sisteminiu aplanku (ADMIN$). Išjungus įeinantį ryšį prie administratoriaus bendrinimų turi sumažėti daugelis saugos pavojų. Pavyzdžiui, kirminas „Conficker“ vykdo žodyno atakas, siekdamas prisijungti prie administratoriaus bendrinimų.

• Uždrausti senus (nepalaikomus) SMB dialektus – draudžia SMB seansus, naudojančius seną SMB dialektą, kurio nepalaiko IDS. Šiuolaikinės „Windows“ operacinės sistemos palaiko senus SMB dialektus, kad būtų suderinamos su senomis operacinėmis sistemomis, pvz., „Windows 95“. Užpuolikas gali panaudoti seną dialektą SMB seansui, kad išvengtų duomenų srauto tikrinimo. Uždrauskite senus SMB dialektus, jei kompiuteriui nereikia bendrinti failų (ar naudoti SMB ryšį apskritai) su seną „Windows“ versiją turinčiu kompiuteriu.
• Uždrausti SMB seansus be išplėstinės apsaugos – SMB seanso pradžios metu galima naudoti išplėstinę apsaugą, siekiant užtikrinti saugesnį atpažinimo mechanizmą nei atpažinimas LAN tvarkytuvo iškvietimu / atsakymu (LM). LM schema laikoma silpna ir jos naudoti nerekomenduojama.

• Leisti ryšį su saugumo paskyrų tvarkytuvo tarnyba – papildomos informacijos apie šią tarnybą rasite [MS-SAMR].

• Leisti ryšį su vietinių saugumo institucijų tarnyba – papildomos informacijos apie šią tarnybą rasite [MS-LSAD] ir [MS-LSAT].

• Leisti ryšį su nuotolinio registravimo tarnyba – papildomos informacijos apie šią tarnybą rasite [MS-RRP].

• Leisti ryšį su tarnybų valdymo tvarkytuvo tarnyba – papildomos informacijos apie šią tarnybą rasite [MS-SCMR].

• Leisti ryšį su serverio tarnyba – papildomos informacijos apie šią tarnybą rasite [MS-SRVS].
• Leisti ryšį su kitomis tarnybomis – kitos MSRPC tarnybos. MSRPC yra „Microsoft“ būdas įdiegti DCE RPC mechanizmą. Be to, MSRPC dėl transportavimo gali naudoti įvardytuosius kanalus, perkeltus į SMB (tinklo failų bendrinimo) protokolą (ncacn_np transport). MSRPC paslaugos suteikia sąsajas nuotoliniu būdu pasiekti ir valdyti „Windows“ sistemoms. Buvo aptiktos kelios „Windows“ MSRPC sistemos saugumo spragos, kurias išnaudojo plintantys virusai (kirminai „Conficker“, „Sasser“…). Išjunkite nebūtiną ryšį su MSRPC tarnybomis daugeliui saugumo pavojų (tokių kaip nuotolinis kodo vykdymas ar tarnybų gedimo atakos) sumažinti.