Lisäasetukset
Kohdassa Lisäasetukset > Suojaukset > Verkon käytön suojaus > Verkkohyökkäyssuojaus > Lisäasetukset voit ottaa käyttöön tai poistaa käytöstä useiden tietokonettasi mahdollisesti vahingoittavien hyökkäysten havaitsemisen.
Joissakin tapauksissa estetystä tietoliikenteestä ei lähetetä uhkailmoitusta. Ohjeet siitä, kuinka näet kaiken estetyn tietoliikenteen palomuurin lokissa, voit lukea osiossa Kirjautuminen ja sääntöjen tai poikkeusten luominen lokista. |
Tässä ikkunassa olevien asetusten käytettävyys saattaa vaihdella ESET-tietoturvatuotteen tyypin tai version ja palomuurimoduulin sekä myös käyttöjärjestelmäversion mukaan. |
Tietomurtojen tunnistus
- Protokolla SMB – Havaitsee ja estää erilaisia tietoturvaongelmia SMB-protokollassa, kuten:
- Palvelintodennuksen poikkeamahaastehyökkäyksen tunnistus – Suojaa hyökkäyksiltä, jotka käyttävät todennuksen aikana poikkeamahaastetta saadakseen käyttäjän tunnistetiedot haltuunsa.
- IDS-väistön tunnistus nimetyn putken avaamisen yhteydessä – Nimettyjen MSRPC-putkien avaamisessa tunnettujen väistötekniikoiden tunnistus SMB-protokollassa.
- CVE-tunnistukset (yleiset heikkoudet ja alttiudet) – Erilaisten SMB-protokollaan kohdistuvien hyökkäysten, muotojen, tietoturva-aukkojen ja heikkouksien tunnistusmenetelmiä. Voit hakea lisätietoja CVE-tunnistimista CVE-sivustosta osoitteessa cve.mitre.org.
- DCE/RPC-protokolla – Havaitsee ja estää erilaisia etäproseduurien kutsujärjestelmän CVE:itä, jotka on kehitetty DCE (Distributed Computing Environment) -ympäristöön.
- RDP-protokolla – Havaitsee ja estää erilaisia CVE:itä RDP-protokollassa (lisätietoja on edellä).
- ARP Poisoning -hyökkäyksen tunnistus – Tunnistaa välistävetohyökkäyksen aiheuttaman ARP Poisoning -hyökkäyksen tai verkkokytkimen tutkinnan. ARP-protokollaa (Address Resolution Protocol) käytetään verkkosovelluksissa tai laitteissa määrittämään Ethernet-osoite.
- TCP/UDP-portin tutkimishyökkäyksen tunnistus – Tunnistaa portteja tutkivien ohjelmistojen hyökkäykset. Nämä ovat sovelluksia, jotka on suunniteltu etsimään isäntäkoneista avoimia portteja lähettämällä asiakaspyyntöjä porttiosoiteväleille tavoitteena löytää aktiivisia portteja ja hyödyntää palvelun heikkoutta. Lisätietoja tämän tyyppisistä hyökkäyksistä on sanastossa.
- Estä epäluotettavat osoitteet hyökkäyksen tunnistuksen jälkeen – Hyökkäysten lähteiksi havaitut IP-osoitteet lisätään estoluetteloon, jolla estetään yhteydet tietyksi ajaksi. Voit määrittää estettyjen osoitteiden luettelon säilytysajan, joka määrittää, kuinka kauan osoite estetään hyökkäyksen havaitsemisen jälkeen.
- Näytä ilmoitus, kun hyökkäys havaitaan – Ottaa käyttöön Windowsin oikean alareunan ilmaisinalueen ilmoituksen.
- Näytä ilmoitukset myös saapuvista hyökkäyksistä tietoturva-aukkoja vastaan – Hälyttää, jos havaitaan hyökkäyksiä tietoturva-aukkoja vastaan tai jos uhataan yrittää päästä tietokoneeseen tällä tavalla.
Pakettitarkistus
- Salli saapuva yhteys järjestelmänvalvojan jakamiin resursseihin SMB-protokollassa - Järjestelmänvalvojan resurssit ovat oletusarvoisia verkkojakoja, jotka jakavat järjestelmän kiintolevyosiot (C$, D$, ...) järjestelmäkansion (ADMIN$) kanssa. Järjestelmänvalvojan resurssien poistamisen käytöstä pitäisi vähentää monia tietoturvariskejä. Esimerkiksi Conficker-mato suorittaa sanakirjahyökkäyksiä järjestelmänvalvojan resursseihin yhdistämiseksi.
- Estä vanhat SMB-kielet (joita ei tueta) – Estä SMB-istunnot, jotka käyttävät vanhaa, IDS:n tukematonta SMB-kieltä. Nykyaikaiset Windows-käyttöjärjestelmät tukevat vanhoja SMB-kieliä ylläpitääkseen yhteensopivuutta vanhoihin käyttöjärjestelmiin, kuten Windows 95. Hyökkääjä voi käyttää vanhaa kieltä SMB-istunnossa välttääkseen liikenteen tarkistuksen. Estä vanhat SMB-kielet, jos tietokoneesi ei tarvitse jakaa tiedostoja (SMB-tietoliikennettä yleisesti) sellaisen tietokoneen kanssa, jossa on vanha Windows.
- Estä SMB-istunnot, joissa ei käytetä laajennettua suojausta – Laajennettua suojausta voidaan käyttää SMB-istunnon neuvottelun aikana, jotta saavutetaan turvallisempi todennusmekanismi kuin LAN Manager Challenge/Response (LM) -todennus. LM-mallia pidetään heikkona eikä sen käyttöä suositella.
- Estä ohjelmatiedostojen avaaminen palvelimessa, joka on luotettavan vyöhykkeen ulkopuolella SMB-protokollassa – Hylkää yhteyden, kun käyttäjä yrittää avata ohjelmatiedostoa (.exe, .dll) jaetusta kansiosta palvelimesta, joka ei kuulu palomuurin luotettavalle vyöhykkeelle. Huomaa, että luotettavista lähteistä tulevien suoritettavien tiedostojen kopioiminen voi olla laillista. Tämän havaitsemisen pitäisi kuitenkin pienentää haitallisilta palvelimilta avatun, ei-toivotun tiedoston riskiä (esimerkiksi tiedoston avaaminen napsauttamalla hyperlinkkiä, joka johtaa jaettuun, suoritettavaan haittatiedostoon).
- Estä NTLM-todellus SMB-protokollassa, kun palvelinyhteyttä muodostetaan luotettavalla vyöhykkeellä / luotettavan vyöhykkeen ulkopuolella – Protokollat, jotka käyttävät NTLM-todennusmalleja (molemmat versiot) ovat alttiina tunnistetietojen välityshyökkäykselle (SMB-protokollan tapauksessa SMB Relay -hyökkäyselle). NTLM-todennuksen estäminen luotettavan vyöhykkeen ulkopuolella olevan palvelimen kanssa pitäisi vähentää riskiä luotettavan vyöhykkeen ulkopuolella olevan haitallisen palvelimen suorittamasta tunnistetietojen välityksestä. Vastaavasti voit estää NTLM-todennuksen luotettavalla vyöhykkeellä olevien palvelimien kanssa.
- Salli tietoliikenne Security Account Manager -palvelun kanssa – Lisätietoja tästä palvelusta on osiossa[MS-SAMR].
- Salli tietoliikenne Local Security Authority -palvelun kanssa – Lisätietoja tästä palvelusta on osiossa [MS-LSAD] ja[MS-LSAT].
- Salli tietoliikenne Remote Registry -palvelun kanssa – Lisätietoja tästä palvelusta on osiossa [MS-RRP].
- Salli tietoliikenne Service Control Manager -palvelun kanssa – Lisätietoja tästä palvelusta on osiossa [MS-SCMR].
- Salli tietoliikenne Palvelin-palvelusta – Lisätietoja tästä palvelusta on osiossa[MS-SRVS].
- Salli tietoliikenne muiden palveluiden kanssa – Muut MSRPC-palvelut. MSRPC on Microsoftin toteutus DCE RPC -mekanismista. Lisäksi MSRPC voi käyttää SMB (network file sharing) -protokollan nimettyjä putkia kuljetukseen (ncacn_np transport). MSRPC-palvelut tarjoavat liittymiä Windows-järjestelmän etäkäyttöön ja -hallintaan. Windows MSRPC -järjestelmästä on löydetty ja hyödynnetty useita suojausaukkoja (Conficker-mato, Sasser-mato…). Estämällä tietoliikenteen tarpeettomiin MSRPC-palveluihin voit välttää useita tietoturvariskejä (kuten etäkoodin suorittamisen tai palveluvirhehyökkäykset).