Gelişmiş seçenekler
Gelişmiş ayarlar > Korumalar > Ağ erişimi koruması > Ağ saldırısı koruması (IDS) > Gelişmiş seçenekler'de, bilgisayarınıza zarar verebilecek çeşitli saldırı ve istismar türlerinin tespitini etkinleştirebilir veya devre dışı bırakabilirsiniz.
Bazı durumlarda, engellenen iletişimlerle ilgili tehdit bildirimi almazsınız. Güvenlik duvarı günlüğünde engellenen tüm iletişimleri görüntülemeye ilişkin talimatlar için Günlüğe kaydetme ve günlükten kurallar ve özel durumlar oluşturma bağlantısına başvurun. |
Bu penceredeki belirli seçeneklerin kullanılabilirliği, ESET ürününüzün türüne veya sürümüne ve Güvenlik duvarı modülünün yanı sıra işletim sisteminizin sürümüne bağlı olarak değişiklik gösterebilir. |
Yetkisiz giriş algılama
- SMB Protokolü – SMB protokolündeki çeşitli güvenlik sorunlarını algılar ve engeller, yani:
- Yetkisiz sunucu sınaması saldırısı kimlik doğrulaması algılama – Kimlik doğrulama sırasında kullanıcı kimlik bilgilerini elde etmek için yetkisiz sınama kullanan bir saldırıya karşı sizi korur.
- Adlandırılmış kanal açma sırasında IDS'den kaçınma algılama – SMB protokolünde MSRPCS adlandırılmış kanallarının açılması için kullanılan, bilinen kaçınma tekniklerinin algılanmasıdır.
- CVE algılaması (Yaygın Açıklar ve Riskler) – SMB protokolü üzerinden gerçekleştirilen çeşitli saldırı, form, güvenlik delikleri ve açıktan yararlanma durumlarına uygulanan algılama yöntemleri. CVE tanımlayıcıları (CVE'ler) ile ilgili araştırma yapmak ve daha ayrıntılı bilgi edinmek için cve.mitre.org adresindeki CVE web sitesine bakın.
- RPC Protokolü – Dağıtılmış Bilgi İşlem Ortamı (DCE) için geliştirilen uzaktan prosedür arama sistemindeki çeşitli CVE'leri algılar ve engeller.
- RDP Protokolü – RDP protokolündeki çeşitli CVE'leri algılar ve engeller (yukarıya bakın).
- ARP Zehirleme saldırısı algılama – Araya girme saldırılarının tetiklediği ARP zehirleme saldırılarını algılar veya ağ anahtarındaki dinlemeyi algılar. ARP (Adres Çözümleme Protokolü), Ethernet adresinin belirlenmesi için ağ uygulaması veya aygıt tarafından kullanılır.
- TCP/UDP Bağlantı Noktası Tarama saldırısı algılama – Bağlantı noktası tarama yazılımının (çeşitli bağlantı noktası adreslerine, etkin bağlantı noktaları bulmak ve hizmetin güvenlik açığından yararlanmak amacıyla istemci istekleri göndererek açık bağlantı noktaları için bir ana bilgisayarın incelenmesine yönelik olarak tasarlanmış uygulama) saldırılarını algılar. Bu saldırı türüyle ilgili daha fazla bilgi sözlük'ten edinilebilir.
- Saldırının algılanmasından sonra güvenli olmayan adresi engelle – Saldırıların kaynağı olarak algılanan IP adresleri, belirli bir süreliğine bağlantının önlenmesi için Kara Liste'ye eklenir. Saldırı tespitinden sonra adresin ne kadar süreyle engelleneceğini belirleyen Kara liste saklama süresini tanımlayabilirsiniz.
- Saldırı tespitini bildir - Ekranın sağ alt köşesindeki Windows bildirim alanındaki bildirimi açar.
- Güvenlik boşluklarına yönelik saldırılar için bildirimleri göster – Güvenlik boşluklarına yönelik saldırılar algılanırsa veya bir tehdit bu şekilde sisteme girmek için girişimde bulunursa sizi uyarır.
Paket denetleme
- SMB protokolündeki yönetici paylaşımlarına gelen bağlantıya izin ver – Yönetici paylaşımları, sistem klasörüyle (ADMIN$) birlikte sistemde sabit sürücü bölümlerini (C$, D$, ...) paylaşan varsayılan ağ paylaşımlarıdır. Yönetici paylaşımlarına gelen bağlantının devre dışı bırakılması birçok güvenlik riskini azaltacaktır. Örneğin, Conficker solucanı yönetici paylaşımlarıyla bağlantı kurmak için sözlük saldırılarında bulunur.
- Eski (desteklenmeyen) SMB lehçelerini reddet – IDS tarafından desteklenmeyen eski bir SMB lehçesi kullanan SMB oturumlarını reddeder. Modern Windows işletim sistemleri Windows 95 gibi eski işletim sistemleriyle geriye dönük uyumluluk nedeniyle eski SMB lehçelerini destekler. Saldırgan, trafik denetlemesinden kaçınmak için SMB oturumunda eski bir diyalekti kullanabilir. Bilgisayarınızın, dosyaları eski bir Windows sürümüne sahip bir bilgisayarla paylaşması gerekmiyorsa (veya genellikle SMB iletişimi kullanıyorsa) eski SMB lehçelerini reddedin.
- Genişletilmiş güvenlik olmadan SMB oturumlarını reddet – Genişletilmiş güvenlik, LAN Manager Sınama/Yanıt (LM) kimlik doğrulamasından daha güvenli kimlik doğrulama mekanizması sağlamak için SMB oturumu anlaşması sırasında kullanılabilir. LM şeması zayıf olarak değerlendirilir ve kullanım için önerilmez.
- SMB protokolünde Güvenilir bölgenin dışındaki bir sunucuda yürütülebilir dosyaların açılmasını reddet – Güvenlik duvarında Güvenilir Bölgeye ait olmayan, sunucuda paylaşılan bir klasördeki yürütülebilir dosyayı (.exe, .dll, ...) açmayı denediğinizde bağlantı kesilir. Güvenilir kaynaklardan yürütülebilir dosyaları kopyalamak yasal olabilir, ancak bu algılamanın kötü amaçlı bir sunucuda bir dosyanın istenmeyen bir şekilde açılması risklerini azaltması gerektiğini unutmayın (örneğin, paylaşılan kötü amaçlı bir yürütülebilir dosyaya giden köprü tıklatılarak açılan dosya).
- Güvenilir bölge içindeki/dışındaki bir sunucuya bağlanmak için SMB protokolünde NTLM kimlik doğrulamasını reddet – NTLM (her iki sürüm) kimlik doğrulama şemalarını kullanan protokoller, kimlik bilgileri iletme saldırısına (SMB protokolü durumunda SMB Geçişi saldırısı olarak bilinen) maruz kalır. Güvenilir bölgenin dışındaki bir sunucuyla olan NTLM kimlik doğrulamasının reddedilmesi, kimlik bilgilerinin Güvenilir bölge dışındaki kötü amaçlı bir sunucu tarafından iletilmesi risklerini azaltacaktır. Aynı şekilde, Güvenilir bölge içindeki sunucularla NTLM kimlik doğrulaması reddedilebilir.
- Güvenlik Hesabı Yöneticisi hizmeti ile iletişime izin ver – Bu hizmet hakkında daha fazla bilgi için [MS-SAMR] bölümüne bakın.
- Yerel Güvenlik Yetkilisi hizmeti ile iletişime izin ver – Bu hizmet hakkında daha fazla bilgi için [MS-LSAD] ve [MS-LSAT] bölümüne bakın.
- Uzak Kayıt Defteri hizmeti ile iletişime izin ver – Bu hizmet hakkında daha fazla bilgi için [MS-RRP] bölümüne bakın.
- Hizmet Denetimi Yöneticisi hizmeti ile iletişime izin ver – Bu hizmet hakkında daha fazla bilgi için [MS-SCMR] bölümüne bakın.
- Sunucu hizmeti ile iletişime izin ver – Bu hizmet hakkında daha fazla bilgi için [MS-SRVS] bölümüne bakın.
- Diğer hizmetlerle iletişime izin ver – Diğer MSRPC hizmetleri. MSRPC, DCE RPC mekanizmasının Microsoft uygulamasıdır. MSRPC ayrıca aktarma (ncacn_np aktarımı) için SMB (ağ dosya paylaşımı) protokolüne taşınan (ncacn_np transport) adlandırılmış kanalları kullanabilir. MSRPC hizmetleri, windows sistemlerinin uzaktan erişimi ve yönetimi için arabirimler sunar. Windows MSRPC sisteminde halihazırda çeşitli güvenlik açıkları keşfedilmiş ve bu açıklar kötüye kullanılmıştır (Conficker solucanı, Sasser solucanı,…). Birçok güvenlik riskini (uzaktan kod yürütme veya hizmet arızası saldırıları gibi) azaltmak için sağlamanız gerekmeyen MSRPC hizmetleriyle iletişimi devre dışı bırakın.