Avancerede indstillinger
I Avanceret opsætning > Beskyttelser > Beskyttelse af netværksadgang > Beskyttelse mod netværksangreb > Avancerede indstillinger kan du aktivere eller deaktivere registrering af flere typer angreb og udnyttelser, der kan skade din computer.
I nogle tilfælde vises ikke en trusselsmeddelelse om blokeret kommunikation. I afsnittet Logføring og oprettelse af regler eller undtagelser fra log kan du finde en vejledning i, hvordan du får vist al blokeret kommunikation i loggen for firewallen. |
Visse indstillinger i dette vindue er kun tilgængelige i nogle typer eller versioner af ESET-sikkerhedsprodukter og moduler for firewallen samt i nogle versioner af operativsystemet. |
Indtrængningsregistrering
- Protokol-SMB – Registrerer og blokerer forskellige sikkerhedsproblemer i SMB-protokollen, og de er:
- Registrering af uautoriseret angreb med servergodkendelse – Beskytter dig mod angreb, som anvender en uautoriseret udfordring under godkendelsen med det formål at få fat i legitimationsoplysninger.
- Registrering af IDS-unddragelse under åbning af navngiven pipe – Detektion af kendte unddragelsesteknikker, som bruges til at åbne MSRPC-navngivne pipes i SMB-protokol.
- CVE-registrering (Common Vulnerabilities and Exposures (generelle sårbarheder og eksponeringer)) – Implementerede registreringsmetoder for forskellige angreb, formularer, sikkerhedshuller og udnyttelser via SMB-protokollen. Gå til CVE-webstedet på cve.mitre.org for at søge efter og få mere detaljerede oplysninger om CVE-identifikatorer (CVE'er).
- Protokol-RPC – Registrerer og blokerer forskellige CVE'er i opkaldssystemet for fjernprocedurer, der er udviklet til DCE (Distributed Computing Environment).
- RDP-protokol – Registrerer og blokerer forskellige CVE'er i RDP-protokollen (se ovenfor).
- Registrering af ARP Poisoning-angreb – Registrering af ARP Poisoning-angreb, som sker via "mellemmands"-angreb, eller registrering af snuseri ved netværksswitchen. ARP (Address Resolution Protocol) bruges af netværksprogrammet eller enheden til at bestemme Ethernet-adressen.
- Registrering af TCP/UDP-portscanningsangreb – Registrerer angreb fra portscanningssoftware – et program, der er beregnet til at undersøge, om der er åbne porte på en vært, ved at sende klientanmodninger til en række portadresser med det formål at finde aktive porte og udnytte tjenestens sårbarhed. Læs mere om denne type angreb i ordlisten.
- Bloker usikker adresse efter registrering af angreb – IP-adresser, der er registreret som en kilde til angreb, føjes til blacklisten for at forhindre, at der oprettes forbindelse i et bestemt tidsrum. Du kan definere opbevaringsperioden for sortlisten, som angiver tidspunktet for, hvor længe adressen blokeres efter registrering af angreb.
- Giv besked om registrering af angreb – Aktiverer Windows-meddelelsesområdet nederst til højre på skærmen.
- Vis også meddelelser for indgående angreb mod sikkerhedshuller – Advarer dig, hvis der registreres angreb mod sikkerhedshuller, eller hvis en trussel forsøger at komme ind i systemet på denne måde.
Pakkekontrol
- Tillad indgående forbindelse til administratorshares i SMB-protokol – De administrative shares (admin shares) er de standardnetværksshares, der deler harddiskpartitioner (C$, D$ osv.) i systemet sammen med systemmappen (ADMIN$). Ved at deaktivere forbindelsen til administrative shares mindskes mange sikkerhedsrisici. Conficker-ormen gennemfører for eksempel ordbogsangreb for at oprette forbindelse til administrative shares.
- Afvis gamle (ikke-understøttede) SMB-dialekter – Afvis SMB-sessioner, der bruger en gammel SMB-dialekt, som ikke understøttes af IDS. Moderne Windows-operativsystemer understøtter gamle SMB-dialekter på grund af bagudkompatibilitet med gamle operativsystemer, f.eks. Windows 95. Hackeren kan bruge en gammel dialekt i en SMB-session for at undgå trafikinspektion. Afvis gamle SMB-dialekter, hvis din computer ikke behøver at dele filer (eller at bruge SMB-kommunikation generelt) med en computer med en gammel version af Windows.
- Afvis SMB-sessioner uden sikkerhedsudvidelser – Sikkerhedsudvidelser kan bruges under SMB-sessionsforhandlingen med det formål at opnå en mere sikker godkendelsesfunktion end med LM-godkendelse (LAN Manager Challenge/Response). LM-skemaet anses for at være svagt og anbefales ikke.
- Afvis åbning af eksekverbare filer på en server uden for den zone, der er tillid til i SMB-protokollen – Dropper forbindelse, når du forsøger at åbne en eksekverbar fil (.exe, .dll osv.) fra en delt mappe på serveren, der ikke hører til den zone, der er tillid til, i firewallen. Bemærk, at det kan være lovligt at kopiere eksekverbare filer fra kilder, der er tillid til, men denne registrering mindsker risikoen for uønsket åbning af en fil på en skadelig server (du åbner f.eks. en fil ved at klikke på et link til en delt skadelig eksekverbar fil).
- Afvis NTLM-godkendelse i SMB-protokollen for oprettelse af forbindelse til en server uden for den zone, der er tillid til – Protokoller, der bruger NTLM-godkendelsesskemaer (begge versioner), kan udsættes for angreb med videresendelse af oplysninger (også kendt som SMB Relay-angreb i forbindelse med SMB-protokollen). Ved at afvise NTLM-godkendelse med en server uden for den zone, der er tillid til, mindskes risiciene for, at en ondsindet server videresender legitimationsoplysninger uden for den zone, der er tillid til. På tilsvarende måde kan du også afvise NTLM-godkendelse med servere i den zone, der er tillid til.
- Tillad kommunikation med tjenesten Security Account Manager – Du kan finde flere oplysninger om denne tjeneste i [MS-SAMR].
- Tillad kommunikation med tjenesten Local Security Authority – Du kan finde flere oplysninger om denne tjeneste i [MS-LSAD] og [MS-LSAT].
- Tillad kommunikation med tjenesten Remote Registry – Du kan finde flere oplysninger om denne tjeneste i [MS-RRP].
- Tillad kommunikation med tjenesten Service Control Manager – Du kan finde flere oplysninger om denne tjeneste i [MS-SCMR].
- Tillad kommunikation med servertjenesten – Du kan finde flere oplysninger om denne tjeneste i [MS-SRVS].
- Tillad kommunikation med andre tjenester – Andre MSRPC-tjenester. MSRPC er Microsofts implementering af DCE RPC-funktionen. Desuden kan MSRPC bruge navngivne pipes, der er overført til SMB-protokollen (netværksfildeling) for transport (ncacn_np-transport). MSRPC-tjenester leverer brugerflader, hvor du kan få adgang til og administrere Windows-systemer fra en fjerncomputer. Adskillige sårbarheder er blevet opdaget og udnyttet i Windows MSRPC-systemet (f.eks. Conficker-ormen, Sasser-ormen osv.). Deaktiver kommunikation med MSRPC-tjenester, som du ikke behøver at levere, for at mindske mange sikkerhedsrisici (f.eks. fjernkørsel af kode eller angreb i form af fejl i tjenester).