進階選項
在 [進階設定] > [防護] > [網路存取防護] > [網路攻擊防護] > [進階選項] 中,您可以啟用或停用偵測可能危害電腦之幾種類型的攻擊和利用。
在某些情況中,您將不會收到與通訊封鎖有關的威脅通知。請參閱「記錄並從防護記錄建立規則或例外」一節以取得關於在防火牆防護記錄中檢視所有已封鎖通訊的指示。 |
此視窗中可使用的特定選項會視您的 ESET 產品的類型或版本和防火牆模組,以及作業系統的版本而異。 |
入侵偵測
- 通訊協定 SMB – 偵測並封鎖 SMB 通訊協定中的各種安全性問題,也就是:
- Rogue 伺服器挑戰攻擊驗證偵測 – 可保護您不會在驗證期間為了取得使用者驗證而受到使用 Rogue 挑戰的攻擊。
- 具名管道開啟期間 IDS 規避偵測 – 在 SMB 通訊協定中偵測已知的開啟 MSRPC 具名管道時所使用的規避技術。
- CVE 偵測 (一般弱點和暴露) – 針對透過 SMB 通訊協定進行的各種攻擊、形式、安全漏洞和弱點實作的偵測方法。請參閱位於 cve.mitre.org 的 CVE 網站搜尋及取得與 CVE 識別碼 (CVE) 有關的詳細資訊。
- 通訊協定 RPC – 偵測並封鎖針對分散式運算環境 (DCE) 所開發遠端程序呼叫系統中的各種 CVE。
- 通訊協定 RDP – 偵測並封鎖 RDP 通訊協定中的各種 CVE (請參閱上述內容)。
- ARP Poisoning 攻擊偵測 – 偵測「中間人」(man-in-the-middle) 發動而導致的 ARP Poisoning 攻擊或偵測網路交換器上的探查。網路應用程式或裝置會使用 ARP (位址解析通訊協定) 來判斷 Ethernet 位址。
- TCP/UDP 連接埠掃描攻擊偵測 – 偵測連接埠掃描軟體的攻擊 – 此應用程式可將用戶端要求傳送至特定的連接埠位址範圍以偵測已開啟連接埠的主機,其目的在於尋找作用中的連接埠並利用服務的弱點。請在字彙中閱讀更多有關此類型攻擊的資訊。
- 攻擊偵測之後封鎖不安全的位址 – 已偵測為攻擊來源的 IP 位址會新增至黑名單中以防止特定期間的連線。您可以定義黑名單保留期,其設定在偵測到攻擊後位址被封鎖的時長。
- [攻擊偵測後顯示通知] – 開啟畫面右下角的 Windows 通知區域通知。
- 也顯示針對安全漏洞傳入攻擊的通知 – 如果偵測到有針對安全漏洞的攻擊或者有威脅嘗試透過此方式進入系統,則也會警告您。
封包檢查
- 允許外來連線至 SMB 通訊協定中的管理共用 - 管理共用 (admin shares) 是一種預設網路共用,可與系統資料夾 (ADMIN$) 共用系統中的硬碟分割區 (C$、D$、...)。 停用與管理共用的連線將可減輕許多安全風險。例如,Conficker 蠕蟲會執行字典攻擊以連線至管理共用項目。
- 拒絕舊 (不支援) 的 SMB 方言 – 拒絕使用 IDS 不支援之舊 SMB 方言的 SMB 工作階段。最新的 Windows 作業系統會因為與舊版作業系統 (例如 Windows 95) 的舊版相容性而支援舊的 SMB 方言。攻擊者可在 SMB 工作階段中使用舊方言以規避流量檢查。如果您的電腦不需要與舊版 Windows 的電腦共用檔案 (或使用一般的 SMB 通訊),請拒絕舊的 SMB 方言。
- 拒絕不含延伸安全性的 SMB 工作階段 – 您可以在 SMB 工作階段交涉期間使用延伸的安全性,以提供比 LAN Manager 挑戰/回應 (LM) 驗證更安全的驗證機制。LM 配置是一種較薄弱的機制,因此不建議您使用。
- 拒絕在 SMB 通訊協定中開啟「信任區域」外伺服器上的執行檔 – 當您嘗試在防火牆中從不屬於信任區域的伺服器共用資料夾開啟可執行檔 (.exe、.dll) 時,連線將會中斷。請注意,從信任來源複製執行檔是合法的,然而,此偵測可減輕因在惡意伺服器上開啟不需要的檔案而造成的風險 (例如,因使用者按一下共用的惡意執行檔連結就能開啟的檔案)。
- 拒絕 SMB 通訊協定中用於連線「信任區域」中伺服器的 NTLM 驗證 – 使用 NTLM (兩種版本) 驗證配置的通訊協定可能會受到憑證轉送 (在 SMB 通訊協定的情況中亦稱為 SMB Relay 攻擊)。拒絕伺服器位於「信任區域」以外的 NTLM 驗證應可減輕「信任區域」以外之惡意伺服器轉送憑證所造成的風險。同樣地,您可以拒絕伺服器位於「信任區域」之內的 NTLM 驗證。
- 允許與「安全性帳戶管理員」服務通訊 – 如需有關此服務的詳細資訊,請參閱 [MS-SAMR]。
- 允許與「遠端登錄」服務通訊 – 如需有關此服務的詳細資訊,請參閱 [MS-RRP]。
- 允許與「服務控制管理員」服務通訊 – 如需有關此服務的詳細資訊,請參閱 [MS-SCMR]。
- 允許與「伺服器」服務通訊 – 如需有關此服務的詳細資訊,請參閱 [MS-SRVS]。
- 允許與其他服務通訊 – 其他 MSRPC 服務。MSRPC 是 Microsoft 對於 DCE RPC 機制的實作。此外,MSRPC 可使用在 SMB (網路檔案共用) 通訊協定中執行的具名管道進行傳輸 (ncacn_np 傳輸)。MSRPC 服務可提供遠端存取及管理 Windows 系統的介面。我們在 Windows MSRPC 系統中發現數種「逍遙法外」的安全性弱點 (Conficker 蠕蟲、Sasser 蠕蟲…)。停用一些您不需要的 MSRPC 服務通訊可減輕許多安全風險 (例如遠端程式碼執行或服務失敗攻擊)。