Pokročilé možnosti

V sekcii Rozšírené nastavenia > Ochrana > Ochrana sieťového pripojenia > Ochrana pred sieťovými útokmi > Pokročilé možnosti môžete zapnúť alebo vypnúť detekciu rôznych typov útokov a zneužití, ktoré predstavujú nebezpečenstvo pre váš počítač.

Detekcia útokov

• Protokol SMB – deteguje a blokuje rôzne zraniteľnosti v SMB protokole:

• Detekcia útoku škodlivého servera challenge autentifikáciou – chráni pred útokom prebiehajúcim pri prihlasovaní sa a odosielaní prihlasovacích údajov na server.
• Detekcia úniku IDS počas otvárania pomenovaného presmerovania – detekcia únikových techník pri otváraní pomenovaných kanálov MSRPCS v protokole SMB.
• CVE detekcie (Common Vulnerabilities and Exposures) – implementované metódy detekcie rôznych útokov, foriem, bezpečnostných dier a zneužití cez protokol SMB. Viac informácií nájdete na webovej stránke CVE: cve.mitre.org.

• Protokol RPC – deteguje a blokuje rôzne zraniteľnosti (CVE) v RPC protokole, ktorý bol navrhnutý pre Distributed Computing Environment (DCE).
• Protokol RDP – deteguje a blokuje rôzne zraniteľnosti (CVE) v RDP protokole (pozri popis vyššie).
• Detekcia útoku ARP Poisoning – detekcia útokov typu ARP poisoning spôsobených útokmi typu man in the middle a detekcia tzv. sniffingu na sieťovom prepínači. Protokol ARP (Address Resolution Protocol) je sieťovými aplikáciami alebo zariadeniami využívaný na zistenie Ethernet adresy.
• Detekcia útoku skenovaním portov TCP/UDP – zabraňuje útokom softvéru, ktorý sa pokúša nájsť otvorené porty hostiteľského zariadenia posielaním požiadaviek na určitý rozsah adries portov za účelom nájdenia aktívneho portu, ktorý je možné zneužiť na napadnutie systému. Viac o tomto type útoku sa môžete dočítať v slovníku pojmov.

• Blokovať nebezpečnú adresu po detekcii útoku – ak je zistený útok z určitej IP adresy, pridá sa na blacklist a všetka komunikácia z nej bude na určitý čas blokovaná. Prostredníctvom nastavenia Obdobie uchovávania na blackliste môžete určiť, ako dlho bude adresa po zachytení útoku blokovaná.

• Upozorniť na detekciu útoku – pri zachytení útoku program zobrazí upozornenie v pravom dolnom rohu obrazovky v oblasti oznámení systému Windows.

• Zobraziť upozornenie pri pokusoch o zneužitie bezpečnostných dier – program zobrazí upozornenie, ak bude zachytený útok na bezpečnostné diery alebo pokus o preniknutie do systému týmto spôsobom.

Kontrola paketov

• Povoliť prichádzajúce spojenie k správcovským zdieľaným položkám cez SMB protokol – správcovské zdieľané položky (admin shares) sú predvolené zdieľané položky na sieti, ktoré zdieľajú oddiely pevného disku (C$, D$ atď.) spolu so systémovým priečinkom (ADMIN$). Zakázanie prístupu k správcovským zdieľaným položkám výrazne znižuje bezpečnostné riziká. Napríklad červ Conficker vykonáva slovníkové (dictionary) útoky v snahe získať prístup k týmto položkám.

• Zakázať staré (nepodporované) SMB dialekty – zakáže SMB reláciu so starým dialektom SMB, ktorý nepodporuje IDS. Najnovšie operačné systémy Windows podporujú staré dialekty SMB kvôli spätnej kompatibilite so staršími operačnými systémami, ako napríklad Windows 95. Útočník môže použiť starší dialekt SMB s úmyslom vyhnúť sa kontrole packetov. Zakážte staré SMB dialekty, ak váš počítač nepotrebuje zdieľať súbory so staršími verziami operačného systému Windows.
• Zakázať relácie SMB bez bezpečnostných rozšírení – bezpečnostné rozšírenia môžu byť použité počas nadväzovania SMB relácie na zaistenie bezpečnejšieho mechanizmu autentifikácie ako v prípade LAN Manager Challenge/Response (LM). Schéma LM je považovaná za slabú a neodporúča sa ju používať.
• Zakázať otvorenie spustiteľného súboru na serveroch mimo dôveryhodnej zóny cez SMB protokol – zabraňuje komunikácii v prípade, že sa používateľ snaží otvoriť spustiteľný súbor (.exe, .dll) zo zdieľaného priečinka na serveri, ktorý nie je v dôveryhodnej zóne firewallu. Kopírovanie spustiteľných súborov z dôveryhodných zdrojov je v poriadku, táto funkcionalita by však mala obmedziť nebezpečenstvo otvorenia spustiteľného súboru zo škodlivých serverov.
• Zakázať NTLM overenie cez SMB protokol pri pripojení na server v/mimo dôveryhodnej zóny – protokoly používajúce autentifikačnú schému NTLM (obe verzie) sú ohrozené útokmi, ktorých cieľom je preposielanie prihlasovacích údajov (v prípade SMB protokolu známe ako SMB Relay útoky). Zakázaním autentifikácie NTLM so servermi mimo dôveryhodnej zóny sa zníži riziko preposlania prihlasovacích údajov škodlivým serverom mimo dôveryhodnej zóny. Takisto môžete zakázať aj autentifikáciu NTLM so servermi v dôveryhodnej zóne.

• Povoliť komunikáciu so službou Security Account Manager (Správca zabezpečenia kont) – viac informácií o tejto službe nájdete v databáze znalostí spoločnosti Microsoft [MS-SAMR].

• Povoliť komunikáciu so službou Local Security Authority (Lokálna autorita zabezpečenia) – viac informácií o tejto službe nájdete v databáze znalostí spoločnosti Microsoft [MS-LSAD] a [MS-LSAT].

• Povoliť komunikáciu so službou Remote Registry (Vzdialená databáza Registry) – viac informácií o tejto službe nájdete v databáze znalostí spoločnosti Microsoft [MS-RRP].

• Povoliť komunikáciu so službou Service Control Manager (Správca riadenia služieb) – viac informácií o tejto službe nájdete v databáze znalostí spoločnosti Microsoft [MS-SCMR].

• Povoliť komunikáciu so službou Server – viac informácií o tejto službe nájdete v databáze znalostí spoločnosti Microsoft [MS-SRVS].
• Povoliť komunikáciu s ostatnými službami – ostatné MSRPC služby. MSRPC je implementáciou DCE RPC mechanizmu v systéme Microsoft Windows. MSRPC môže na prenos (ncacn_np) používať pomenované kanály v rámci SMB protokolu. Služby MSRPC poskytujú rozhranie na vzdialenú správu systémov Windows. V systéme MSRPC bolo objavených mnoho zraniteľných miest (tieto zraniteľnosti zneužíva napr. červ Conficker, červ Sasser atď.). Zakázaním komunikácie so službami MSRPC, ktoré nepotrebujete, predídete mnohým bezpečnostným rizikám (ako napríklad vzdialené spúšťanie kódu alebo zlyhávanie služieb kvôli útoku).