Rozšířená nastavení

V části Rozšířená nastavení > Ochrany > Ochrana síťového připojení > Ochrana proti síťovým útokům > Další možnosti můžete povolit nebo zakázat detekci několika typů útoků a exploitů, které mohou poškodit váš počítač.

Detekce útoků

• Protokol SMB– k dispozici jsou možnosti pro blokování mnoha zranitelností v SMB protokolu:

• Detekce útoku škodlivého serveru challenge autentifikací – tato možnost chrání před útoky, které zneužívají autentifikaci pro získání uživatelských údajů.
• Detekce úniku IDS během otevírání pojmenované roury – detekce známých technik používaných pro navázání MSRPCS pojmenovaných rour v SMB protokolu.
• Detekce CVE (Common Vulnerabilities and Exposures) – detekce známých útoků, zranitelností a bezpečnostních děr pro zabránění útoku pomocí SMB protokolu. Pro více informací přejděte na webové stránky CVE na cve.mitre.org.

• Protokol RPC –  detekce a blokování CVE v systémové službě vzdálené volání procedur určené pro Distributed Computing Environment (DCE).
• Protocol RDP –  detekce a blokování CVE v RDP protokolu (viz výše).
• Detekce útoku ARP Poisoning – zabraňuje tzv. man-in-the-middle útokům a odhaluje odposlouchávání paketů síťových switchů, tedy stav, kdy útočník předává ostatním zařízením v síti falešné informace. ARP (Address Resolution Protocol) se používá při získávání a přiřazování IP adres zařízením v síti.
• Detekce útoku skenování TCP/UDP portů – zabraňuje útokům software, který se pokouší zjistit otevřené porty v počítači, které lze zneužít k napadení počítače. Více o tomto typu útoku se můžete dočíst ve slovníku pojmů.

• Blokovat nebezpečnou adresu po detekci útoku – IP adresy detekované jako zdroje útoků jsou přidány do seznamu blokovaných adres, aby se po určitou dobu zabránilo připojení. Můžete nastavit Dobu uchovávání adres na seznamu blokovaných, která nastavuje dobu, po kterou bude adresa po detekci útoku blokována.

• Upozornit na detekci útoků – po detekci útoku se zobrazí upozornění v pravém dolním rohu obrazovky v oznamovací oblasti.

• Upozornit na příchozí útoky využívající bezpečnostní zranitelnosti – k upozornění dojde, pokud bude zjištěn pokus o zneužití bezpečností díry, případně bude zaznamenán pokus o zneužití zranitelnosti k přístupu do systému.

Kontrola paketů

• Povolit příchozí spojení k správcovským sdíleným položkám prostřednictvím SMB protokol – administrativní sdílení jsou standardní síťová sdílení, které sdílí celé diskové oddíly (C$, D$, …) stejně jako systémové složky (ADMIN$). Zakázáním připojení k administrátorským sdíleným položkám snížíte bezpečnostní riziko. Například červ Conficker provádí slovníkový útok pro získání přístupu k administrátorským sdíleným položkám.

• Zakázat staré (nepodporované) SMB dialekty – zakáže SMB relaci se starým dialektem SMB, který nepodporuje IDS. Nejnovější operační systémy Windows podporují staré dialekty SMB z důvodu zpětné kompatibility s předchozími verzemi, například Windows 95. Útočník může využít starší dialekt SMB záměrně, aby se vyhnul kontrole paketů. Zakažte staré SMB dialekty, pokud nepotřebujete sdílet soubory se staršími verzemi operačního systému Windows.
• Zakázat zabezpečení SMB bez bezpečnostních rozšíření – bezpečnostní rozšíření mohou být využita během navazování SMB relace pro zajištění bezpečnostní autentifikace pomocí mechanismu LAN Manager Challenge/Response (LM). Schéma LM je považované za slabé a nedoporučuje se jej používat.
• Zakázat otevření spustitelného souboru na serveru mimo Důvěryhodnou zónu pomocí SMB protokolu – zabraňuje komunikaci v případe, že se snažíte otevřít spustitelný soubor (.exe, .dll) ze sdílené složky na serveru, který nepatří do důvěryhodné zóny v firewallu. Kopírování spustitelných souborů ze zdrojů v důvěryhodné zóně je legitimní. Tato funkce by měla minimalizovat nebezpečí otevření nežádoucího souboru na škodlivém serveru, například když omylem kliknete na odkaz vedoucí na spustitelný soubor umístěný na škodlivém serveru.
• Zakázat NTLM autentifikaci pomocí SMB protokolu při připojení na server v/mimo Důvěryhodnou zónu – protokoly využívající autentifikační schéma NTLM (obě verze) jsou ohrožené útoky přeposílající přihlašovací údaje (známé jako SMB relay). Zakázáním autentifikace NTLM se servery mimo důvěryhodnou zónu omezíte nebezpečí přeposílání přihlašovacích údajů škodlivým serverem mimo důvěryhodnou zónu. Můžete také zakázat NTLM autentifikaci se servery v Důvěryhodné zóně.

• Povolit komunikaci se službou Security Account Manager – pro více informací o této službě přejděte do databáze znalostí společnosti Microsoft, [MS-SAMR].

• Povolit komunikaci se službou Local Security Authority – pro více informací o této službě přejděte do databáze znalostí společnosti Microsoft, [MS-LSAD] a [MS-LSAT].

• Povolit komunikaci se službou Vzdálený registr – pro více informací o této službě přejděte do databáze znalostí společnosti Microsoft, [MS-RRP].

• Povolit komunikaci se službou Správce řízení služeb – pro více informací o této službě přejděte do databáze znalostí společnosti Microsoft, [MS-SCMR].

• Povolit komunikaci se službou Server – pro více informací o této službě přejděte do databáze znalostí společnosti Microsoft, [MS-SRVS].
• Povolit komunikaci s ostatními službami – ostatní MSRPC služby. MSRPC je implementace DCE RPC mechanismu ve Windows. Kromě toho MSRPC může používat pojmenované roury pro SMB (síťové sdílení souborů) protokol. Služba MSRPC (Microsoft RPC) poskytuje přístup k rozhraní pro vzdálený přístup a ovládání systému Windows. V systému MSRPC bylo objeveno několik zranitelností, které zneužil například červ Conficker, červ Sasser, aj. Zakázáním komunikace s MSRPC službami, které nepotřebujete, minimalizuje bezpečnostní riziko (jako například vzdálené spouštění kódu po sítí nebo pád služeb kvůli útoku).