Avanserte alternativer

I Avansert oppsett > Beskyttelser > Beskyttelse for nettverkstilgang > Beskyttelser mot nettversangrep > Avanserte oppsett kan du aktivere eller deaktivere deteksjon av flere typer angrep og utnyttelser som kan skade datamaskinen din.

Inntrengingsgjenkjenning

• Protokoll SMB – Oppdager og blokkerer ulike sikkerhetsproblemer i SMB-protokollen, nærmere bestemt:

• Gjenkjenne autentisering av Rogue server challenge-angrep – Beskytter deg mot et angrep som benytter et svindelanrop under autentisering for å innhente opplysninger om brukeren.
• Gjenkjenning av IDS-unngåelse under åpning av navngitt datakanal– Gjenkjenning av kjente unngåelsesteknikker for navngitte MSRPCS-datakanaler i SMB-protokollen.
• CVE-gjenkjenninger (Common Vulnerabilities and Exposures) – Implementerte gjenkjenningsmetoder for ulike angrep, skjemaer, sikkerhetshull og utnyttelser av svakheter over SMB-protokollen. Se CVE-nettstedet på cve.mitre.org for å søke etter og innhente mer detaljert informasjon om CVE-identifikatorer (CVE-er).

• Protokoll RPC – Oppdager og blokkerer ulike CVE-er i det eksterne prosedyreanropssystemet for Distributed Computing Environment (DCE).
• Protocol RDP – Oppdager og blokkerer ulike CVE-er i RDP-protokollen (se ovenfor).
• Gjenkjenne ARP Poisoning-angrep – Gjenkjenner mellommannbaserte ARP poisoning-angrep eller avslører sniffing ved nettverkbryter. ARP (Address Resolution Protocol) brukes av nettverkprogrammet eller -enheten for å fastsette Ethernet-adressen.
• Gjenkjenne TCP/UDP Port Scanning-angrep – Gjenkjenner angrep fra portprogrammer som skanner porter – programvare som er utformet for å søke etter åpne porter hos en vert gjennom å sende klientforespørsler til en rekke portadresser. Du kan lese mer om denne angrepstypen i ordlisten.

• Blokker usikker adresse når angrep avsløres – IP-adresser som er avslørt som kilder til angrep, føyes til Svartelisten for å hindre tilkobling i en bestemt periode. Du kan definere oppbevaringsperiode for svarteliste, som angir tiden for hvor lenge adressen skal være blokkert etter deteksjon av et angrep.

• Varsle om angrepsdeteksjon – Slår på Windows-varslingsområdet nederst til høyre på skjermen.

• Vis melding også for innkommende angrep mot sikkerhetshull – Varsler deg hvis angrep mot sikkerhetshull oppdages, eller hvis en trussel prøver å komme inn i systemet denne veien.

Pakkekontroll

• Tillat innkommende kobling å administrere deler i SMB-protokollen – De administrative delene er standard nettverksdelene som deler harddisk-partisjoner (C$, D$, ...) i systemet sammen med systemmappen (ADMIN$). Det bør minske en rekke sikkerhetsrisikoer å deaktivere kobling til administrativ deling. For eksempel gjennomfører Conficker-ormen angrep på kataloger for å koble seg til administrative deler.

• Avvis gamle (ustøttede) SMB-dialekter – Avvis SMB-sesjoner som valgte en gammel SMB-dialekt som ikke støttes av IDS. Moderne Windows operativsystemer støtter gamle SMB-dialekter på grunn av kompatibilitet med gamle operativsystemer som Windows 95. Angriperen kan bruke en gammel dialekt i en SMB-sesjon for å omgå trafikkinspeksjon. Avvis gamle SMB-dialekter hvis datamaskinen din ikke trenger å dele filer (eller bruke SMB-kommunikasjon generelt) med en datamaskin som har en gammel Windows-versjon.
• Avvis SMB-sesjoner uten utvidet sikkerhet – Du kan bruke Utvidet sikkerhet under SMB-sesjonsvalg for å sørge for en sikrere autentiseringsmekanisme enn LAN Manager Challenge/Response (LM)-autentisering. LM-oppsettet betraktes som svakt og bør ikke brukes.
• Avvis åpning av kjørbare filer på en server utenfor Klarert sone i SMB-protokoll – Dropper tilkoblingen når du prøver å kjøre en kjørbar fil (.exe, .dll) fra en delt mappe på serveren som ikke tilhører Klarert sone i brannmuren. Merk at det kan være legitimt å kopiere kjørbare filer fra klarerte kilder. Denne avsløringen bør imidlertid minske risikoen for uønsket åpning av en fil på en skadelig server (for eksempel en fil som åpnes ved å klikke en kobling til en delt skadelig kjørbar fil).
• Avvis NTLM-autentisering i SMB-protokollen for å koble til en server i/utenfor Klarert sone – Protokoller som benytter NTLM (begge versjoner)-autentiseringsoppsett utsettes for et angrep som fremmer opplysninger (kjent som SMB Relay-angrep i tilknytning til SMB-protokollen). Avvisning av NTLM-autentisering med en server utenfor Klarert sone bør minske risikoen ved å fremme opplysninger fra en skadelig server utenfor den klarerte sonen. På samme måte kan NTLM-autentisering også avvises for servere i den klarerte sonen.

• Tillat kommunikasjon med tjenesten Sikkerhetsbehandling for konto – For mer informasjon om denne tjenesten, se [MS-SAMR].

• Tillat kommunikasjon med tjenesten Lokal sikkerhetsautoritet – For mer informasjon om denne tjenesten, se [MS-LSAD] og [MS-LSAT].

• Tillat kommunikasjon med tjenesten Eksternt register – For mer informasjon om denne tjenesten, se [MS-RRP].

• Tillat kommunikasjon med tjenesten Tjenestekontrollbehandling – For mer informasjon om denne tjenesten, se [MS-SCMR].

• Tillat kommunikasjon med Servertjenesten – For mer informasjon om denne tjenesten, se [MS-SRVS].
• Tillat kommunikasjon med de andre tjenestene – MSRPC er Microsofts implementering av DCE RPC-mekanismen. Dessuten kan MSRPC bruke navngitte datakanaler i SMB- (nettverksfildelings-) protokollen for transport (ncacn_np transport). MSRPC-tjenester gjør grensesnitt tilgjengelig for tilgang og fjernstyring av Windows-systemer. En rekke svakheter ved sikkerheten ble oppdaget og utnyttet til det ytterste i Windows MSRPC-systemet (Conficker-ormer, Sasser-orm, …). Deaktiver kommunikasjon med MSRPC-tjeneste som du ikke trenger. Slik bidrar du til å minske mange sikkerhetsrisikoer (som fjernkodeutøvelse eller tjenestefeilangrep).