ความช่วยเหลือออนไลน์ ESET

เลือกหัวข้อ

ตัวเลือกขั้นสูง

คุณสามารถเปิดใช้หรือปิดใช้งานการตรวจหาการโจมตีและการโจมตีช่องโหว่หลายชนิดที่อาจเป็นอันตรายต่อคอมพิวเตอร์ของคุณได้ใน การตั้งค่าขั้นสูง > การป้องกัน > การป้องกันการเข้าถึงเครือข่าย > การป้องกันการโจมตีเครือข่าย > ตัวเลือกขั้นสูง

note

ในบางกรณี คุณจะไม่ได้รับการแจ้งเตือนภัยคุกคามเกี่ยวกับการสื่อสารที่ปิดกั้น โปรดศึกษาส่วน การบันทึกและการสร้างกฎหรือข้อยกเว้นการบันทึก สำหรับคำแนะนำในการดูการสื่อสารที่ปิดกั้นที่อยู่ในบันทึกไฟร์วอลล์

important

ความพร้อมในการใช้งานสำหรับตัวเลือกในหน้าต่างนี้อาจแตกต่างกันไป ทั้งนี้จะขึ้นอยู่กับประเภทหรือเวอร์ชันของผลิตภัณฑ์ของ ESET และโมดูลไฟร์วอลล์ รวมทั้งเวอร์ชันของระบบปฏิบัติการของคุณ

icon_section การตรวจหาการบุกรุก

  • โปรโตคอล SMB – ตรวจหาและปิดกั้นปัญหาด้านความปลอดภัยต่างๆ ในโปรโตคอล SMB กล่าวคือ:
  • การตรวจหาการตรวจสอบสิทธิ์การโจมตีด้วยการใช้เซิร์ฟเวอร์ลวง – ป้องกันการโจมตีที่ใช้การหลอกลวงระหว่างการตรวจสอบสิทธิ์เพื่อให้ได้ข้อมูลการเข้าสู่ระบบของผู้ใช้
  • การตรวจหาการหลีกเลี่ยง IDS ระหว่างการเปิดไปป์ที่กำหนดชื่อ – การตรวจหาเทคนิคการหลีกเลี่ยงที่รู้จักที่ใช้ในการเปิดไปป์ที่กำหนดชื่อ MSRPCS ในโปรโตคอล SMB
  • การตรวจหา CVE (Common Vulnerabilities and Exposures) – วิธีการตรวจหาการโจมตี รูปแบบ จุดอ่อน และการโจมตีด้านการรักษาความปลอดภัยจำนวนมากที่นำมาปรับใช้งานในโปรโตคอล SMB โปรดดู เว็บไซต์ CVE ที่ cve.mitre.org เพื่อค้นหาและดูข้อมูลโดยละเอียดเพิ่มเติมเกี่ยวกับตัวระบุ CVE (CVEs)
  • โปรโตคอล RPC – ตรวจหาและปิดกั้น CVE ต่างๆ ในระบบการเรียกขั้นตอนระยะไกลที่พัฒนาสำหรับ Distributed Computing Environment (DCE)
  • โปรโตคอล RDP – ตรวจหาและปิดกั้น CVE ต่างๆ ในโปรโตคอล RDP (ดูที่ด้านบน)
  • การตรวจหาการโจมตี ARP Poisoning – การตรวจหาการโจมตี ARP Poisoning ที่เรียกใช้การโจมตีแบบคนกลางในการสื่อสารหรือการตรวจหาการดักจับที่สวิตช์เครือข่าย ARP (Address Resolution Protocol) ถูกใช้โดยแอพพลิเคชันหรืออุปกรณ์ของเครือข่ายเพื่อระบุที่อยู่อีเธอร์เน็ต
  • การตรวจหาการโจมตี TCP/UDP Port Scanning – ตรวจหาการโจมตีซอฟต์แวร์การสแกนพอร์ต แอพพลิเคชันที่ออกแบบมาเพื่อโพรบโฮสต์สำหรับพอร์ตที่เปิดอยู่โดยการส่งคำขอของไคลเอ็นต์ไปยังช่วงของที่อยู่พอร์ต โดยมีเป้าหมายในการค้นหาพอร์ตที่เปิดใช้งานและการใช้ประโยชน์จากจุดอ่อนของบริการ อ่านเพิ่มเติมเกี่ยวกับการโจมตีประเภทนี้ได้ใน ประมวลศัพท์
  • บล็อกที่อยู่ที่ไม่ปลอดภัยหลังการตรวจหาการโจมตี – ที่อยู่ IP ที่ถูกตรวจพบว่าเป็นแหล่งที่มาของการโจมตีจะถูกเพิ่มไปยังบัญชีดำเพื่อป้องกันการเชื่อมต่อในช่วงเวลาหนึ่ง คุณสามารถกำหนด ระยะเวลาการเก็บรักษาบัญชีดำ ซึ่งก็คือระยะเวลาในการบล็อกที่อยู่ หลังจากถูกตรวจพบว่าเป็นการโจมตี
  • การแจ้งเตือนเกี่ยวกับการตรวจจับการโจมตี – เปิดการแจ้งเตือนที่พื้นที่แจ้งเตือนของ Windows ที่มุมขวาล่างสุดของหน้าจอ
  • แสดงการแจ้งเตือนยังใช้เพื่อแจ้งเมื่อมีการโจมตีจุดอ่อนด้านการรักษาความปลอดภัย – แจ้งให้คุณทราบถ้าตรวจพบการโจมตีจุดอ่อนด้านการรักษาความปลอดภัย หรือถ้าภัยคุกคามพยายามเข้าสู่ระบบด้วยวิธีนี้

icon_section การตรวจสอบแพ็คเก็ต

  • อนุญาตการเชื่อมต่อขาเข้าไปยังการใช้การดูแลระบบร่วมกันในโปรโตคอล SMB - การใช้การดูแลระบบร่วมกัน (admin shares) คือเครือข่ายเริ่มต้นที่ให้ใช้พาร์ติชันฮาร์ดไดรฟ์ร่วมกัน (C$, D$, ...) ในระบบพร้อมกับโฟลเดอร์ระบบ (ADMIN$) การปิดใช้งานการเชื่อมต่อกับการใช้การดูแลระบบร่วมกันจะช่วยลดความเสี่ยงทางด้านความปลอดภัยหลาย ๆ อย่างได้ ตัวอย่างเช่น เวิร์ม Conficker จะโจมตีพจนานุกรมเพื่อเชื่อมต่อกับการใช้การดูแลระบบร่วมกัน
  • ปฏิเสธ SMB dialect แบบเก่า (ที่ไม่มีการสนับสนุน) – ปฏิเสธเซสชัน SMB ที่ใช้ SMB dialect แบบเก่าที่ IDS ที่ไม่มีการสนับสนุน ระบบปฏิบัติการของ Windows ที่ทันสมัยรองรับ SMB dialect แบบเก่าเนื่องจากมีความเข้ากันได้แบบย้อนหลังกับระบบปฏิบัติการเก่า เช่น Windows 95 ผู้โจมตีสามารถใช้ dialect แบบเก่าในเซสชัน SMB เพื่อหลีกเลี่ยงการตรวจสอบข้อมูลการรับส่งได้ ปฏิเสธ SMB dialect แบบเก่าหากคอมพิวเตอร์ของคุณไม่จำเป็นต้องใช้ไฟล์ (หรือใช้การสื่อสาร SMB ทั่วไป) ร่วมกับคอมพิวเตอร์ที่มี Windows เวอร์ชันเก่า
  • ปฏิเสธเซสชัน SMB ที่ไม่มีความปลอดภัยแบบขยาย – สามารถใช้ความปลอดภัยแบบขยายได้ในระหว่างการเจรจาของเซสชัน SMB เพื่อให้กลไกการตรวจสอบสิทธิ์มีความปลอดภัยมากกว่าการตรวจสอบสิทธิ์แบบ LAN Manager Challenge/Response (LM) โครงร่างแบบ LM ถูกพิจารณาว่าอ่อนแอและไม่แนะนำให้ใช้
  • ปฏิเสธการเปิดไฟล์ที่เรียกใช้ได้ในเซิร์ฟเวอร์ที่อยู่นอกโซนที่เชื่อถือในโปรโตคอล SMB – ยกเลิกการเชื่อมต่อเมื่อคุณพยายามเปิดไฟล์ที่เรียกใช้ได้ (.exe, .dll เป็นต้น) จากโฟลเดอร์ที่ใช้งานร่วมกันในเซิร์ฟเวอร์ที่ไม่ได้เป็นของโซนที่เชื่อถือในไฟร์วอลล์ โปรดทราบว่าการคัดลอกไฟล์ที่เรียกใช้ได้จากแหล่งที่เชื่อถือได้นั้นถูกต้องตามกฏหมาย อย่างไรก็ตาม การตรวจหานี้จะช่วยลดความเสี่ยงจากการเปิดไฟล์ที่ไม่ต้องการในเซิร์ฟเวอร์ที่เป็นอันตราย (ตัวอย่างเช่น ไฟล์ที่เปิดด้วยการคลิกไฮเปอร์ลิงค์ไปยังไฟล์ที่เรียกใช้ได้ที่เป็นอันตรายร่วมกัน)
  • ปฏิเสธการตรวจสอบสิทธิ์ NTLM ในโปรโตคอล SMB สำหรับการเชื่อมต่อเซิร์ฟเวอร์ใน/นอกโซนที่เชื่อถือ – โปรโตคอลที่ใช้แบบแผนการตรวจสอบสิทธิ์ NTLM (ทั้งสองเวอร์ชัน) นั้นอยู่ภายใต้การโจมตีแบบส่งต่อข้อมูลการเข้าสู่ระบบ (ที่รู้จักในชื่อการโจมตี SMB Relay ในกรณีของโปรโตคอล SMB) การปฏิเสธการตรวจสอบสิทธิ์ NTLM ที่มีเซิร์ฟเวอร์อยู่ภายนอกโซนที่เชื่อถือจะช่วยลดความเสี่ยงจากการส่งต่อข้อมูลการเข้าสู่ระบบโดยเซิร์ฟเวอร์ที่เป็นอันตรายที่อยู่ภายนอกโซนที่เชื่อถือ ในทำนองเดียวกัน คุณสามารถปฏิเสธการตรวจสอบสิทธิ์ NTLM ที่มีเซิร์ฟเวอร์ในโซนที่เชื่อถือได้
  • อนุญาตการสื่อสารกับบริการ Security Account Manager – สำหรับข้อมูลเพิ่มเติมเกี่ยวกับบริการนี้ โปรดดู [MS-SAMR]
  • อนุญาตการสื่อสารกับบริการ Local Security Authority – สำหรับข้อมูลเพิ่มเติมเกี่ยวกับบริการนี้ โปรดดู [MS-LSAD] และ [MS-LSAT]
  • อนุญาตการสื่อสารกับบริการรีจิสตรีระยะไกล – สำหรับข้อมูลเพิ่มเติมเกี่ยวกับบริการนี้ โปรดดู [MS-RRP]
  • อนุญาตการสื่อสารกับบริการ Services Control Manager – สำหรับข้อมูลเพิ่มเติมเกี่ยวกับบริการนี้ โปรดดู [MS-SCMR]
  • อนุญาตการสื่อสารกับบริการเซิร์ฟเวอร์ – สำหรับข้อมูลเพิ่มเติมเกี่ยวกับบริการนี้ โปรดดู [MS-SRVS]
  • อนุญาตการสื่อสารกับบริการอื่นๆ – บริการ MSRPC อื่นๆ MSRPC เป็นการใช้งาน Microsoft ของกลไก DCE RPC นอกจากนี้ MSRPC สามารถใช้ไปป์ที่กำหนดชื่อที่ดำเนินการในโปรโตคอล SMB (การใช้ไฟล์ในเครือข่ายร่วมกัน) เพื่อส่ง (การส่ง ncacn_np) บริการ MSRPC ให้ส่วนติดต่อสำหรับการเข้าถึงและการจัดการระบบ Windows จากระยะไกล เราได้ค้นพบว่ามีจุดอ่อนของการรักษาความปลอดภัยหลายจุดซึ่งถูกนำไปใช้งานอย่างแพร่หลายในระบบ MSRPC ของ Windows (เวิร์ม Conficker, เวิร์ม Sasser,…) ปิดใช้งานการสื่อสารกับบริการ MSRPC ที่คุณไม่จำเป็นต้องใช้เพื่อลดความเสี่ยงด้านความปลอดภัยหลายอย่าง (เช่น การเรียกใช้รหัสทางไกลหรือการโจมตีความล้มเหลวของบริการ)