Онлайн помощ на ESET

Изберете темата

Разширени опции

В Разширени настройки > Защити > Защита на мрежовия достъп > Защита от мрежови атаки > Разширени опции можете да активирате или дезактивирате откриването на няколко типа атаки и експлойти, които могат да навредят на компютъра ви.


note

В някои случаи няма да получавате известие за заплаха относно блокирани комуникации. Прегледайте раздела Регистриране и създаване на правила или изключения от регистрационен файл за инструкции как да видите всички блокирани комуникации в регистрационния файл на защитната стена.


important

Наличността на определени опции в този прозорец може да се различава в зависимост от типа или версията на вашия продукт на ESET и модула за защитна стена, както и от версията на вашата операционна система.

icon_section Откриване на проникване

  • Протокол SMB – открива и блокира различни проблеми със защитата в протокола SMB, а именно:
  • Откриване на упълномощаване на атаки за предизвикателства от фалшиви сървъри – защитава срещу атака, която използва фалшиво предизвикателство по време на удостоверяването, с цел да се сдобие с идентификационните данни на потребителя.
  • Откриване на избягване на IDS при отваряне на наименуван канал – откриване на известни техники, използвани за отваряне на наименувани MSRPC канали в SMB протокол.
  • Откриване на често срещани слаби места и излагане на риск – внедрени методи за откриване на различни атаки, формуляри, дупки в защитата и уязвими места през протокол SMB. Посетете следния уеб сайт за често срещани слаби места и излагане на риск на адрес cve.mitre.org, за да потърсите и получите подробна информация за идентификаторите на често срещани слаби места и излагане на риск.
  • Протокол RPC – открива и блокира различни често срещани слаби места и излагания на риск в системата за заявка за отдалечена процедура, разработена за Разпределена компютърна среда (DCE).
  • Протокол RDP – открива и блокира различни често срещани слаби места и излагане на риск в протокола RDP (вж. по-горе).
  • Откриване на атака за заразяване на ARP – откриване на атаки за заразяване на ARP, предизвикани от "посреднически" атаки, или откриване на прослушвания на мрежов превключвател. ARP (Address Resolution Protocol (Протокол за разрешаване на адреси)) се използва от мрежовото приложение или устройство за определяне на Ethernet адреса.
  • Откриване на атака със сканиране на TCP/UDP портове – открива атаки на софтуер, който сканира портове – приложение, предназначено да проучва хост за отворени портове, като изпраща клиентски заявки до набор от адреси на портове с цел да открие активни портове и да използва слабите места на услугата. Прочетете повече за този тип атака в речника.
  • Блокиране на опасния адрес след откриване на атаката – IP адреси, които са открити като източници на атаки, се добавят в списъка със забранени адреси, за да предотвратят връзка за определен период от време. Можете да определите период на задържане в списък със забранени адреси, който задава за колко време адресът ще бъде блокиран след откриване на атака.
  • Уведомяване за откриване на атака – включва известието в областта за уведомяване на Windows в долния десен ъгъл на екрана.
  • Известяване за входящи атаки срещу пробиви в защитата – предупреждава ви, ако бъдат открити атаки срещу дупки в защитата или ако заплаха извърши опит за влизане в системата по този начин.

icon_section Проверка на пакети

  • Разрешаване на входяща връзка с администраторските дялове в SMB протокола – Администраторските дялове (админ. дялове) са мрежовите дялове по подразбиране, които разделят дяловете на твърдия диск (C$, D$, ...) в системата, заедно със системната папка (ADMIN$). Със забраната на връзка до администраторски дялове ще се намалят много рискове за защитата. Например червеят Conficker извършва атаки на речника, за да се свърже с администраторските дялове.
  • Отказване на стари (неподдържани) SMB диалекти – отказване на SMB сесии, които използват стар SMB диалект, който не се поддържа от IDS. Модерните операционни системи Windows поддържат старите SMB диалекти благодарение на обратна съвместимост с предходни операционни системи, като например Windows 95. Атакуващият може да използва стар диалект в SMB сесия, за да избегне проверката на трафика. Отказвайте стари SMB диалекти, ако не е необходимо компютърът ви да споделя файлове (или използвайте обща SMB комуникация) с компютър със стара версия на Windows.
  • Отказване на SMB сесии без разширения на защитата – разширена защита може да се използва по време на съгласуване на SMB сесия, за да се предостави по-сигурен механизъм за удостоверяване в сравнение с удостоверяването от тип предизвикателство/отговор на LAN диспечер (LM). Схемата LM се счита за слаба и не се препоръчва за употреба.
  • Отказване на отваряне на изпълними файлове на сървър извън доверената зона в SMB протокола – прекъсва връзката, когато се опитвате да отворите изпълним файл (.exe, .dll, ...) от споделена папка на сървъра, която не принадлежи на доверената зона в защитната стена. Имайте предвид, че копирането на изпълними файлове от доверени източници може да е легитимно, но това откриване може да намали рисковете от нежелано отваряне на файл на злонамерен сървър (като например файл, отворен чрез щракване върху хипер връзка към споделен злонамерен изпълним файл).
  • Отказване на NTLM удостоверяване в SMB протокола за свързване със сървър в/извън доверената зона – протоколи, които използват схемите за NTLM удостоверяване (и двете версии), са обект на атака за препращане на идентификационни данни (известни като атаки на SMB препращане в случая с SMB протокол). Отричането на NTLM удостоверяване със сървър извън доверената зона трябва да намали рисковете от препращане на идентификационни данни от злонамерен софтуер извън доверената зона. Аналогично можете да откажете NTLM удостоверяване със сървъри в доверената зона.
  • Разрешаване на комуникацията с услугата за диспечер на акаунти за защитата – за повече информация относно тази услуга вж. [MS-SAMR].
  • Разрешаване на комуникацията с услугата за локален орган за защита – за повече информация относно тази услуга вж. [MS-LSAD] и [MS-LSAT].
  • Разрешаване на комуникацията с услугата за отдалечен системен регистър – за повече информация относно тази услуга вж. [MS-RRP].
  • Разрешаване на комуникацията с услугата за диспечер за управление на услуги – за повече информация относно тази услуга вж. [MS-SCMR].
  • Разрешаване на комуникацията с услугата за сървър – за повече информация относно тази услуга вж. [MS-SRVS].
  • Позволяване на комуникацията с други услуги – други MSRPC услуги. MSRPC е прилагането от страна на Microsoft на механизма DCE RPC. Освен това MSRPC може да използва наименувани канали, които водят до SMB (мрежово споделяне на файлове) протокол за пренасяне (ncacn_np transport). MSRPC услугите предоставят интерфейси за достъп и отдалечено управление на системите на Windows. Няколко уязвимости в защитата бяха открити и използвани на практика в Windows MSRPC системата (например червей Conficker, червей Sasser и т.н.). Забранете комуникация с MSRPC услуги, които не се налага да предоставяте, за да намалите многобройните рискове за защитата (като например отдалечено изпълнение на код или атаки за прекъсване на услуги).