Розширені параметри фільтрації
У розділі "Захист мережі від атак" можна налаштувати додаткові параметри фільтрації для виявлення деяких типів атак і вразливостей, які можуть бути використані проти вашого комп’ютера.
У деяких випадках сповіщення про заблоковані зв’язки не відображатимуться. Зверніться до розділу Ведення журналу й створення правил або виключень на основі журналу, щоб дізнатися, як переглянути всі заблоковані зв’язки в журналі брандмауера. |
Доступність певних параметрів у розділі "Додаткові параметри" (F5) > Захист мережі > Захист мережі від атак може різнитися залежно від типу або версії вашого продукту ESET Endpoint і модуля брандмауера, а також від версії операційної системи. Деякі з них можуть бути доступні тільки для ESET Endpoint Security. |
Виявлення вторгнення
- Протокол SMB: виявляє та блокує різноманітні проблеми, пов’язані з безпекою протоколу SMB, а саме:
- Виявлення виклику автентифікації неправомірним сервером: захищає від атак, які під час автентифікації використовують неправомірний виклик із метою отримання облікових даних користувача.
- Виявлення обходу IDS під час відкриття іменованого каналу: виявлення відомих методів обходу, які використовуються для відкриття іменованих каналів MSRPC в протоколі SMB.
- Виявлення CVE (Common Vulnerabilities and Exposures – поширені слабкі місця й помилки): упроваджені методи виявлення різноманітних атак, форм, слабких місць у системі безпеки та проникнень через протокол SMB. Відвідайте веб-сайт CVE за адресою cve.mitre.org, який надає можливості пошуку й отримання докладнішої інформації про ідентифікатори CVE.
- Протокол RPC: виявлення й блокування різноманітних слабких місць і помилок у системі віддаленого виклику процедур для середовища розподілених розрахунків (Distributed Computing Environment, DCE).
- Протокол RDP: виявлення й блокування різноманітних слабких місць у протоколі RDP (див. вище).
- Блокувати небезпечну адресу після виявлення атаки: додавання до чорного списку IP-адрес, визначених як джерело атаки, що запобігає з’єднанню з ними протягом певного періоду часу.
- Відображати сповіщення після виявлення атаки: вмикає відображення сповіщень у системному треї в нижньому правому куті екрана.
- Також відображати сповіщення про атаки, спрямовані на слабкі місця в системі безпеки: сповіщає про виявлені атаки, спрямовані на слабкі місця в системі безпеки, або про спроби проникнення загрози в систему в такий спосіб.
Перевірка пакетів
- Дозволити вхідні запити спільних адміністративних ресурсів у протоколі SMB – адміністративними спільними ресурсами називаються мережеві спільні ресурси, які використовують розділи на жорсткому диску в системі (C$, D$ тощо) разом із системною папкою (ADMIN$). Заборонивши підключення до адміністративних спільних ресурсів, можна усунути багато загроз для безпеки. Наприклад, черв’як Conficker для підключення до адміністративних спільних ресурсів здійснює атаки за словником.
- Відхилити застарілі (непідтримувані) діалекти SMB: відхилення сеансів SMB, що використовують застарілі діалекти SMB, не підтримувані IDS. Сучасні операційні системи Windows підтримують застарілі діалекти SMB з метою забезпечення сумісності з попередніми версіями (наприклад, Windows 95). Зловмисник може використовувати застарілий діалект під час сеансу SMB, щоб уникнути перевірки трафіку. Активуйте відхилення застарілих діалектів SMB, якщо ваш пристрій не використовується для обміну файлами (або комунікації SMB загалом) із комп’ютером під керуванням старих версій Windows.
- Відхилити SMB без розширення функції безпеки: розширена функція безпеки може використовуватися під час сеансу SMB з метою забезпечення надійнішого механізму автентифікації, ніж метод "запит–відповідь" для автентифікації диспетчера локальної мережі. Цей метод вважається слабким, і використовувати його не рекомендується.
- Дозволити виклики Security Account Manager: докладніше про цю службу див. у розділі [MS-SAMR].
- Дозволити виклики Local Security Authority: докладніше про цю службу див. у розділах [MS-LSAD] і [MS-LSAT].
- Дозволити виклики Remote Registry: докладніше про цю службу див. у розділі [MS-RRP].
- Дозволити виклики Service Control Manager: докладніше про цю службу див. у розділі [MS-SCMR].
- Дозволити виклики служби сервера: докладніше про цю службу див. у розділі [MS-SRVS].
- Дозволити виклики інших служб. MSRPC — це реалізація механізму DCE RPC від компанії Microsoft. Окрім того, MSRPC може використовувати іменовані канали, виконувані за протоколом SMB (обмін файлами в мережі), для транспортування даних (ncacn_np transport). Служби MSRPC дають змогу отримувати віддалений доступ до систем Windows і керувати ними. У системі Windows MSRPC було виявлено кілька вразливих місць, які використовувалися "дикими вірусами" (черв’яки Conficker, Sasser тощо). Заборонивши комунікацію з непотрібними службами MSRPC, можна усунути багато ризиків для безпеки (віддалене виконання коду, відмова в обслуговуванні тощо).