Serviços permitidos e opções avançadas
As seções de Firewall e Proteção contra ataque de rede permitem a você configurar opções de filtragem avançadas para detectar vários tipos de ataques e vulnerabilidades que podem ser realizados contra seu computador.
em alguns casos, você não receberá uma modificação de ameaça sobre comunicações bloqueadas. Consulte a seção Registrando e criando regras ou exceções de relatório para obter instruções para visualizar todas as comunicações bloqueadas no relatório do Firewall. |
A disponibilidade de opções em particular na Configuração avançada (F5) > Proteção da rede > Firewall e Configuração avançada (F5) > Proteção da rede > Proteção contra ataque de rede pode variar dependendo do tipo ou versão do seu módulo de firewall, e também da versão do seu sistema operacional. |
Serviços permitidos
As configurações neste grupo têm como objetivo simplificar a configuração do acesso aos serviços deste computador a partir da zona confiável. Muitas delas ativam/desativam regras de firewall predefinidas.
- Permitir compartilhamento de arquivos e impressoras na zona Confiável - Permite que computadores remotos na zona confiável acessem seus arquivos e impressoras compartilhados.
- Permitir UPNP para serviços do sistema na zona Confiável - permite a entrada e saída de solicitações de protocolos UPnP para serviços do sistema. UPnP (Universal Plug and Play, também conhecido como Microsoft Network Discovery) é usado no Windows Vista e sistemas operacionais posteriores.
- Permitir a entrada da comunicação RPC na zona Confiável - Permite conexões TCP da Zona confiável, permitindo o acesso aos serviços MS RPC Portmapper e RPC/DCOM.
- Permitir área de trabalho remota na Zona confiável – permite conexões através do Microsoft Remote Desktop Protocol (RDP) e permite que computadores na Zona confiável acessem seu computador usando um programa que usa RDP (por exemplo, "Remote Desktop Connection"). Veja também como permitir conexões RDP fora da Zona confiável.
- Ativar o registro em relatório em grupos multicast por meio de IGMP - Permite a entrada/saída IGMP e entrada de correntes UDP multicast, por exemplo fluxo de vídeos gerado por aplicativos que utilizam o protocolo IGMP (Internet Group Management Protocol).
- Permitir comunicação para conexões em ponte – Selecione essa opção para evitar o encerramento de conexões em ponte. A rede conectada em ponte conecta uma máquina virtual a uma rede usando o adaptador Ethernet do computador host. Se você usar redes conectadas em ponte, a máquina virtual pode acessar outros dispositivos na rede e vice-versa, como se fosse um computador físico na rede.
- Permitir a Descoberta de Serviços Web (WSD) automática para serviços de sistema na zona Confiável - Permite a entrada de solicitações de Descoberta de Serviços Web das Zonas confiáveis através do firewall. WSD é um protocolo usado para encontrar serviços em uma rede local.
- Permitir a resolução de endereços multicast na zona Confiável (LLMNR) - O LLMNR (Link-local Multicast Name Resolution) é um protocolo com base em pacotes DNS que permite aos hosts IPv4 e IPv6 executarem a resolução de nomes para hosts no mesmo link local sem a necessidade de um servidor DNS ou configuração do cliente DNS. Esta opção permite a entrada de solicitações DNS multicast a partir da Zona confiável através do firewall.
- Suporte ao grupo doméstico Windows – ativa o suporte ao grupo doméstico. Um Grupo de Suporte Doméstico pode compartilhar arquivos e impressoras em uma rede doméstica. Para configurar um Grupo doméstico, acesse Iniciar > Painel de Controle > Rede e Internet > Grupo Doméstico.
Detecção de intruso
- Protocolo SMB - Detecta e bloqueia vários problemas de segurança em protocolo SMB, a saber:
- Detecção de ataque de autenticação no servidor por desafio por invasor - Protege você contra um ataque que use um desafio de invasor durante a autenticação para obter credenciais de usuário.
- Detecção de evasão do IDS durante abertura de pipe nomeado - Detecção de técnicas conhecidas de evasão para abertura de pipes nomeados MSRPC no protocolo SMB.
- Detecções de CVE (Exposições e vulnerabilidades comuns) - Métodos de detecção implementados de vários ataques, formulários, vulnerabilidades de segurança e explorações em protocolo SMB. Consulte o site de CVE em cve.mitre.org para pesquisar e obter informações mais detalhadas sobre identificadores de CVE (CVEs).
- Protocolo RPC - Detecta e bloqueia vários CVEs no sistema de chamada de procedimento remoto desenvolvido para o Distributed Computing Environment (DCE).
- Protocolo RDP - Detecta e bloqueia vários CVEs no protocolo RDP (veja acima).
- Detecção de Ataque por envenenamento ARP - Detecção de ataques por envenenamento ARP acionados por ataques "man-in-the-middle" (com envolvimento de pessoal) ou detecção de sniffing na chave de rede. ARP (Protocolo de resolução de endereço) é usado pelo aplicativo ou dispositivo de rede para determinar o endereço Ethernet.
- Detecção de ataque de rastreamento de porta TCP/UDP - Detecta ataques de software de rastreamento de porta - aplicativo projetado para investigar um host por portas abertas através do envio de pedidos de clientes a vários endereços de porta, com o objetivo de encontrar as portas ativas e explorar a vulnerabilidade do serviço. Leia mais sobre esse tipo de ataque no glossário.
- Bloquear endereço inseguro após detecção de ataque - Endereços IP que foram detectados como fontes de ataques são adicionados à lista de proibições para impedir a conexão por um período de tempo.
- Exibir notificação após detecção de ataque - Ativa a notificação da bandeja do sistema (área de notificação do Windows) no canto inferior direito da tela.
- Exibir notificações também para ataques sendo recebidos contra buracos de segurança - Alerta você se ataques contra buracos de segurança forem detectados ou se uma ameaça fizer uma tentativa de entrar no sistema desta forma.
Verificação do pacote
- Permitir conexão de entrada aos compartilhamentos administrativos no protocolo SMB - Os compartilhamentos administrativos (compartilhamentos administrativos) são os compartilhamentos padrão da rede que compartilham partições de disco rígido (C$, D$, ...) no sistema, junto com a pasta do sistema (ADMIN$). Desabilitar conexão com compartilhamentos administrativos deve reduzir muitos riscos de segurança. Por exemplo, o worm Conficker realiza ataques de dicionário para conectar-se a compartilhamentos administrativos.
- Negar dialetos SMB antigos (não compatíveis) - Negar sessões SMB que usem um dialeto SMB anterior que não é aceito pelo IDS. Sistemas operacionais modernos do Windows suportam dialetos SMB antigos devido à compatibilidade retroativa com sistemas operacionais antigos, como o Windows 95. O agressor pode usar um dialeto antigo em uma sessão SMB para evitar inspeção de tráfego. Negar dialetos SMB antigos se o seu computador não precisa compartilhar arquivos (ou usar comunicação SMB em geral) com um computador com uma versão antiga do Windows.
- Negar sessões SMB sem segurança estendida - Segurança estendida pode ser usada durante a negociação de sessão SMB para proporcionar um mecanismo de autenticação mais seguro do que autenticação de LAN Manager Challenge/Response (LM). O esquema LM é considerado fraco e não é recomendado para uso.
- Negar a abertura de arquivos executáveis em um servidor fora da zona Confiável no protocolo SMB - Remove a conexão quando você está tentando abrir um arquivo executável (.exe, .dll) de uma pasta compartilhada no servidor que não pertence à zona Confiável no Firewall. Observe que copiar arquivos executáveis de fontes confiáveis pode ser legítimo; no entanto, essa detecção deve minimizar riscos de abrir sem querer um arquivo em um servidor malicioso (por exemplo, um arquivo aberto clicando em um hiperlink para um arquivo executável malicioso compartilhado).
- Negar autenticação NTLM no protocolo SMB para conexão de um servidor dentro/fora da Zona confiável - Protocolos que usam esquemas de autenticação NTLM (ambas as versões) estão sujeitos a ataques de encaminhamento de credenciais (conhecidos como ataque de relé SMB no caso de protocolo SMB). Negar autenticação NTLM com um servidor fora da Zona confiável devem mitigar os riscos de encaminhar credenciais por um servidor malicioso para fora da Zona confiável. Do mesmo modo, a autenticação NTLM pode ser negada com servidores da zona confiável.
- Permitir comunicação com o serviço de Gerenciamento de Conta de Segurança - Para obter mais informações sobre este serviço consulte [MS-SAMR].
- Permitir comunicação com o serviço Autoridade de Segurança Local - Para obter mais informações sobre este serviço consulte [MS-LSAD] e [MS-LSAT].
- Permitir comunicação com o serviço de Registro Remoto - Para obter mais informações sobre este serviço consulte [MS-RRP].
- Permitir comunicação com o serviço de Gerenciamento de Controle de Serviço - Para obter mais informações sobre este serviço consulte [MS-SCMR].
- Permitir comunicação com o serviço de Servidor - Para obter mais informações sobre este serviço consulte [MS-SRVS].
- Permitir comunicação com outros serviços - Outros serviços MSRPC. MSRPC é a implementação da Microsoft do mecanismo DCE RPC. Além disso, a MSRPC pode usar pipes nomeados levados para o protocolo de transporte (transporte ncacn_np) SMB (compartilhamento de arquivos de rede). Serviços MSRPC fornecem interfaces para acessar e gerenciar remotamente sistemas Windows. Várias vulnerabilidades de segurança foram descobertas e exploradas no estado natural no sistema do Windows MSRPC (worm Conficker, worm Sasser...). Desativar comunicação com serviços MSRPC que não precisam ser fornecidos para mitigar muitos riscos de segurança (como execução de código remoto ou ataques de falha de serviço).