Avancerade alternativ
Du kan aktivera eller inaktivera detektering av flera typer av attacker och kryphål som kan skada datorn i Avancerade inställningar > Skydd > Nätverksåtkomstskydd > Skydd mot nätverksangrepp (IDS) > Avancerade alternativ.
I en del fall får du inget hotmeddelande om blockerad kommunikation. Se avsnittet Logga och skapa regler eller undantag från logg för anvisningar om hur du visar all blockerad kommunikation i brandväggsloggen. |
Vilka alternativ som finns i fönstret kan variera beroende på ESET-produktens och brandväggmodulens typ och version samt operativsystemets version. |
Intrångsdetektering
- SMB-protokoll – identifierar och blockerar olika säkerhetsproblem i SMB-protokollet:
- Identifiera Rougue-anrop i NTLM-autentiseringsprotokoll – skyddar mot angrepp som använder Rouge-anrop för att komma åt användaridentifiering under autentisering.
- Identifiering av IDS-undvikande öppning av namngiven pipe – identifiering av kända tekniker för att undvika öppning i MSRPC-pipes i SMB-protokollet.
- CVE-detektering (Common Vulnerabilities and Exposures) – implementerade identifieringsmetoder för olika angrepp, formulär, säkerhetshål och kryphål över SMB-protokollet. Se CVE-webbplatsen på cve.mitre.org för sökning och ytterligare information om CVE-identifierare (CVEs).
- RPC-protokoll – identifierar och blockerar olika CVE:er i RPC-system som utvecklats för DCE (Distributed Computing Environment).
- RDP-protokoll – identifierar och blockerar olika CVE:er i RDP-protokollet (se ovan).
- Identifiering av ARP-förgiftningsattacker – identifiering av ARP-förgiftningsattacker som orsakas av man-in-the-middle-attacker eller detektering av en nätverksanalysator. ARP (Address Resolution Protocol) används av nätverksprogrammet eller enheten för att fastställa Ethernet-adressen.
- Identifiering av TCP/UDP-portskanningsattacker – detekterar program för portskanningsattacker – program som avsöker värdar för att se om det finns öppna portar genom att skicka en klientförfrågan till flera olika portadresser i syfte att hitta aktiva portar och utnyttja tjänstens sårbarhet. Läs mer om den här attacktypen i ordlistan.
- Blockera osäkra adresser efter detektering av attacker – IP-adresser som har identifierats som attackkällor läggs till i svartlistan för att hindra att de ansluts under en viss tid. Du kan definiera Kvarhållningsperiod på svartlista vilket anger tiden för hur länge adressen ska blockeras efter attackdetektering.
- Meddela om detektering av attack – aktiverar Windows-meddelandefältet i nedre högra hörnet av skärmen.
- Visa meddelanden även för inkommande attacker mot säkerhetshål – varnar om attacker mot säkerhetshål upptäcks eller om ett försök gjorts av ett hot att ta sig in i systemet på det här sättet.
Paketkontroll
- Tillåt inkommande anslutning till admin shares i SMB-protokoll - administrativa resurser (admin shares) är standardnätverksresurser som delar hårddiskpartitioner (C$, D$, ...) i systemet tillsammans med systemmappen (ADMIN$). Genom att inaktivera anslutningen till admin shares bör du minimera många säkerhetsrisker. Conficker-masken till exempel utför ordlisteattacker för att ansluta till admin shares.
- Neka gamla (som inte stöds) SMB-dialekter – neka SMB-sessioner som använder en gammal SMB-dialekt som inte stöds av IDS. Moderna Windows-operativsystem stöder gamla SMB-dialekter på grund av att de är bakåtkompatibla med gamla operativsystem, som Windows 95. Angriparen kan använda en gammal dialekt i en SMB-session för att undvika trafikkontroll. Neka gamla SMB-dialekter om din dator inte behöver dela filer (eller använda SMB-kommunikation i allmänhet) med en dator som har en gammal Windows-version.
- Neka SMB-sessioner utan utökad säkerhet – utökad säkerhet kan användas för en SMB-session för att erbjuda en säkrare autentiseringsmekanism än LAN Manager (LM) anrop/svar-autentisering. LM-systemet anses vara svagt och rekommenderas inte.
- Neka att körbar fil öppnas på en server utanför Tillförlitliga platser med SMB-protokoll – släpper anslutningen när du försöker att öppna en körbar fil (.exe, .dll) från en delad mapp på en server som inte tillhör Tillförlitliga platser i brandväggen. Observera att det kan vara legitimt att kopiera körbara filer från betrodda källor. Denna identifiering minskar dock riskerna från oönskat öppnande av en fil på en skadlig server (orsakat till exempel genom en klickning på en länk till en delad skadlig körbar fil).
- Neka NTLM-autentisering med SMB-protokoll för att ansluta en server i/utanför Tillförlitliga platser – protokoll som använder NTLM-autentisering (båda versionerna) kan utsättas för en attack som vidarebefordrar autentiseringsuppgifter (kallas också SMB-reläattacker om det gäller SMB-protokoll). Genom att neka NTLM-autentisering med en server utanför Tillförlitliga platser bör riskerna minimeras för vidarebefordran av autentiseringsuppgifter av en skadlig server utanför Tillförlitliga platser. På samma sätt går det att neka NTLM-autentisering med servrar i Tillförlitliga platser.
- Tillåt kommunikation med tjänsten Hanterare för kontosäkerhet – för mer information om den här tjänsten, se [MS-SAMR].
- Tillåt kommunikation med tjänsten Lokal säkerhetskontroll – för mer information om den här tjänsten, se [MS-LSAD] och [MS-LSAT].
- Tillåt kommunikation med tjänsten Remote Registry – för mer information om den här tjänsten, se [MS-RRP].
- Tillåt kommunikation med tjänsten Service Control Manager – för mer information om den här tjänsten, se [MS-SCMR].
- Tillåt kommunikation med tjänsten Server Service – för mer information om den här tjänsten, se [MS-SRVS].
- Tillåt kommunikation med övriga tjänster – övriga MSRPC-tjänster. MSRPC är Microsofts implementering av DCE RPC-mekanismen. MSRPC kan dessutom använda namngivna pipes till SMB-protokollet (fildelning i nätverk) för transport (ncacn_np-transport). MSRPC-tjänster erbjuder gränssnitt för fjärråtkomst och -hantering av Windows-system. Flera sårbarheter har identifierats och utnyttjats på marknaden i Windows MSRPC-systemet (Conficker-mask, Sasser-mask osv.). Inaktivera kommunikation med MSRPC-tjänster som du inte behöver för att minimera många säkerhetsrisker (till exempel fjärrkörning av kod eller attacker som orsakar fel på tjänster).