Options avancées
Dans Configuration avancée > Protections > Protection de l'accès au réseau > Protection contre les attaques réseau (IDS) > Options avancées, vous pouvez activer ou désactiver la détection de plusieurs types d’attaques et d’exploits qui peuvent endommager votre ordinateur.
Dans certains cas, vous ne recevrez pas de notification de menace sur les communications bloquées. Voir la section Journalisation et création de règles ou d'exceptions à partir du journal pour des instructions sur la consultation de toutes les communications bloquées dans le journal de pare-feu. |
Certaines options spécifiques de cette fenêtre peuvent varier selon le type ou la version de votre produit ESET et du module de pare-feu ainsi que de la version de votre système d'exploitation. |
Détection d'intrusion
- Protocole SMB - Détecte et bloque les divers problèmes de sécurité dans le protocole SMB, à savoir :
- Détection d'attaque par détection de serveurs non autorisés - Cette option protège l'ordinateur contre une attaque qui utilise un serveur non autorisé pendant l'authentification afin d'obtenir les identifiants de l'utilisateur.
- Détection d'évasion IDS pendant l'ouverture d'un canal nommé - Détection de techniques d'évasion connues pour ouvrir les canaux nommés MSRPC dans le protocole SMB.
- Détection CVE (Common Vulnerabilities and Exposures) - Méthodes de détection mises en œuvre de diverses attaques, formes, trous de sécurité et exploits sur le protocole SMB. Voir le site Web CVE cve.mitre.org pour plus de détails sur les identificateurs CVE (CVE).
- Protocole RPC - Détecte et bloque divers CVE dans le système d'appel de la procédure distante développé pour le Distributed Computing Environment (DCE).
- Protocole RDP - Détecte et bloque divers CVE dans le protocole RDP (voir ci-haut).
- Détection d'attaque par empoisonnement ARP - Détection des attaques par empoisonnement ARP causées par le type « l'homme du milieu » (man-in-the-middle) ou par la détection du reniflage au commutateur de réseau. Le protocole ARP (Protocole de résolution d'adresse) est utilisé par l'application réseau ou le périphérique pour déterminer l'adresse Ethernet.
- Détection des attaques de balayage des ports UDP - Détecte les attaques des logiciels de balayage de ports - une application conçue pour sonder un hôte afin d'y détecter des ports ouverts. Il envoie, pour ce faire, des requêtes client à un vaste éventail d'adresses de port dans l'objectif de trouver des ports actifs et d'exploiter les vulnérabilités du service. Pour en savoir plus sur ce type d'attaque, consultez le glossaire.
- Bloquer l'adresse dangereuse après la détection d'une attaque - Les adresses IP ayant été détectées comme des sources d'attaque sont ajoutées à la liste noire pour éviter toute connexion pendant un certain temps. Vous pouvez définir la période de rétention de la liste noire, qui détermine la durée pendant laquelle l'adresse sera bloquée après la détection d'une attaque.
- Afficher une notification à la détection d'une attaque – Active la notification de la zone de notification de Windows dans le coin inférieur droit de l'écran.
- Afficher également des notifications à la détection d'une attaque sur des failles de sécurité - Vous averti lorsque des attaques sur des failles de sécurité sont détectées ou si une menace tente d'entrer dans le système en utilisant des failles de sécurité.
Inspection des paquets
- Autoriser les connexions entrantes sur les partages admin dans le protocole SMB - Les partages d'administration constituent les partages réseau par défaut qui partagent par défaut les partitions du disque dur (C$, D$, ...) du système, et du dossier de fichiers (ADMIN$). Désactiver la connexion aux partages d'administration devrait réduire bon nombre de risques pour la sécurité. Par exemple, le ver Conficker utilise les attaques par dictionnaire pour se connecter aux partages d'administration.
- Refuser les anciens dialectes SMB (non pris en charge) - Refuser des sessions SMB utilisant un ancien dialecte SMB, non pris en charge par IDS. Les systèmes d'exploitation Windows modernes prennent en charge les anciens dialectes SMB en raison de la rétrocompatibilité avec les anciens systèmes d'exploitation comme Windows 95. Le pirate peut utiliser un ancien dialecte dans une session SMB pour éviter l'inspection. Refusez les anciens dialectes SMB si votre ordinateur n'a pas à partager de fichiers (ou utiliser la communication SMB en général) avec un ordinateur utilisant une version antérieure de Windows.
- Refuser les sessions SMB sans sécurité étendue - La sécurité étendue peut être utilisée pendant la négociation de session SMB afin de fournir un mécanisme d'authentification plus sécurisé que l'authentification par question/réponse du gestionnaire du réseau local (LM). Le schéma LM est jugé faible et son utilisation n'est pas recommandée.
- Refuser l'ouverture de fichiers exécutables sur un serveur hors de la zone de confiance dans le protocole SMB - Refuse la connexion lorsque vous tentez d'ouvrir un fichier exécutable (.exe, .dll, etc.) à partir d'un dossier partagé sur le serveur qui n'appartient pas à la zone de confiance du pare-feu. Veuillez prendre note que copier des fichiers exécutables à partir de sources fiables peut être légitime, mais cette détection devrait atténuer les risques de l'ouverture non désirée d'un fichier sur un serveur malveillant (par exemple, un fichier ouvert en cliquant sur un lien hypertexte vers un fichier exécutable malveillant commun).
- Refuser l'authentification NTLM dans le protocole SMB pour la connexion à un serveur à l'intérieure ou à l'extérieure de la zone de confiance - Les protocoles qui utilisent les schémas d'authentification NTLM (dans ses deux versions) sont sujets à une attaque avec transfert d'identifiants (appelée attaque par relais SMB dans le cas du protocole SMB). Refuser l'authentification NTLM à un serveur à l'extérieur de la zone de confiance devrait réduire les risques d'attaques avec transferts d'identifiants effectuée par un serveur malveillant se trouvant en dehors de la zone de confiance. Vous pouvez également refuser l'authentification NTLM aux serveurs se trouvant dans la zone de confiance.
- Autoriser les communications avec le service Security Account Manager - Pour de plus amples renseignements sur ces services, voir [MS-SAMR].
- Autoriser les communications avec le service Local Security Authority - Pour de plus amples renseignements sur ces services, voir [MS-LSAD] et [MS-LSAT].
- Autoriser les communications avec le service Remote Registry - Pour de plus amples renseignements sur ces services, voir [MS-RRP].
- Autoriser les communications avec le service Service Control Manager - Pour de plus amples renseignements sur ces services, voir [MS-SCMR].
- Autoriser les communications avec le service Server - Pour de plus amples renseignements sur ces services, voir [MS-SRVS].
- Autoriser les communications avec les autres services - Autres services MSRPC. MSRPC est la version Microsoft du mécanisme DCE RPC. MSRPC peut également utiliser des canaux nommés intégrés dans le protocole SMB (partage de fichiers réseau) pour le transport (ncacn_np transport). Les services MSRPC fournissent les interfaces permettant d'accéder à distance à vos systèmes Windows et de les gérer. Plusieurs vulnérabilités connexes à la sécurité ont été découvertes dans le système MSRPC de Windows puis utilisées à mauvais escient (vers Conficker, Sasser, etc.). Désactiver la communication avec les services MSRPC dont vous n'avez pas besoin peut permettre de réduire bon nombre de risques pour la sécurité (comme l'exécution de code à distance ou des attaques par déni de service).