ESET 联机帮助

选择主题

高级选项

高级设置 > 保护 > 网络访问保护 > 网络攻击防护(IDS) > 高级选项中,可以启用或禁用对可能损害您计算机的多种类型的攻击和漏洞利用的检测。

note

在某些情况下,您不会收到有关阻止的通信的威胁通知。有关查看防火墙日志中所有已阻止的通信的说明,请参见记录日志并从中创建规则或例外部分。

important

此窗口中特定选项的可用性可能不同,具体取决于 ESET 产品和防火墙模块的类型或版本,以及操作系统的版本。

icon_section 入侵检测

  • 协议 SMB - 检测和阻止 SMB 协议中的各种安全问题,即:
  • 流氓服务器挑战攻击身份验证检测 - 保护您免受身份验证期间使用流氓挑战获取用户凭据的攻击。
  • 命名管道打开期间 IDS 逃避检测 - 检测 SMB 协议中用于打开 MSRPC 命名管道的已知逃避技术。
  • CVE 检测(常见漏洞和暴露)- 对各种攻击、形式、安全漏洞和 SMB 协议漏洞实施的检测方法。请参阅 CVE 网站 (cve.mitre.org),搜索和获取有关 CVE 标识符 (CVE) 的更详细信息。
  • 协议 RPC - 检测和阻止为分布式计算环境 (DCE) 开发的远程过程调用系统中的各种 CVE。
  • 协议 RDP - 检测和阻止 RDP 协议中的各种 CVE(如上所述)。
  • ARP 投毒攻击检测 - 检测在中间人攻击时人为触发的 ARP 投毒攻击,或检测网络切换时的探查。网络应用程序或设备使用 ARP(地址解析协议)来确定以太网地址。
  • TCP/UDP 端口扫描攻击检测 - 检测端口扫描软件的攻击。请阅读词汇表中关于此类攻击的更多信息。
  • 检测到攻击后阻止不安全的地址 - 检测为攻击源的 IP 地址会添加到黑名单,以在一定时间内阻止连接。可以定义黑名单保留期,该保留期设置在检测到攻击后地址将被阻止的时长。
  • 通知攻击检测 - 启用屏幕右下角的 Windows 通知区域通知。
  • 还为针对安全漏洞的传入攻击显示通知 - 如果检测到针对安全漏洞的攻击或威胁试图以此方式进入系统,则会发出警报。

icon_section 数据包检测

  • 允许在 SMB 协议下对管理员共享的传入连接 - 管理员共享是默认的网络共享,它和系统文件夹 (ADMIN$) 共享系统中的硬盘分区(C$D$ 等等)。禁用对管理员共享的连接将降低许多安全风险。例如,Conficker 蠕虫会执行字典攻击,以便连接到管理员共享。
  • 拒绝旧的(不受支持的)SMB 方言 - 拒绝使用旧的 SMB 方言(不受 IDS 支持)的 SMB 会话。由于现代 Windows 操作系统可向后兼容旧的操作系统(例如 Windows 95),因此它支持旧的 SMB 方言。攻击者可以在 SMB 会话中使用一种旧方言从而避免通信检测。如果计算机无需与使用旧版本的 Windows 的计算机共享文件(或使用一般的 SMB 通信),请拒绝旧的 SMB 方言。
  • 拒绝无扩展安全性的 SMB 会话 - 可以在 SMB 会话协商期间使用扩展的安全性,以便提供比 LAN 管理器挑战/响应 (LM) 身份验证更安全的身份验证机制。LM 方案是一种较弱的验证机制,因而不建议使用。
  • 拒绝在 SMB 协议下在信任区域外的服务器上打开可执行文件 - 当您尝试从不属于防火墙中信任区域的服务器上的共享文件夹打开可执行文件(.exe、.dll...)时,将弃用连接。 请注意,从受信任的源复制可执行文件可能合法,但是此检测应降低在恶意服务器上意外打开某个文件的风险(例如,通过单击指向共享的恶意可执行文件的超链接而打开的文件)。
  • 拒绝在 SMB 协议下对连接信任区域内/外的服务器的 NTLM 身份验证 - 使用 NTLM(两种版本)身份验证方案的协议受到用于转发攻击(在 SMB 协议下,也称为 SMB 中继攻击)的凭据的约束。拒绝对信任区域外的服务器的 NTLM 身份验证可以降低由信任区域外恶意服务器转发凭据而带来的风险。同样地,您可以拒绝对信任区域内的服务器的 NTLM 身份验证。
  • 允许与安全帐户管理器服务的通信 - 有关此服务的详细信息,请参阅 [MS-SAMR]
  • 允许与本地安全验证服务的通信 - 有关此服务的详细信息,请参阅 [MS-LSAD][MS-LSAT]
  • 允许与远程注册表服务的通信 - 有关此服务的详细信息,请参阅 [MS-RRP]
  • 允许与服务控制管理器服务的通信 - 有关此服务的详细信息,请参阅 [MS-SCMR]
  • 允许与服务器服务的通信 - 有关此服务的信息,请参阅 [MS-SRVS]
  • 允许与其他服务的通信 - 其他 MSRPC 服务。MSRPC 是指 DCE RPC 机制的 Microsoft 实现。此外,MSRPC 可以将 SMB(网络文件共享)协议中的命名管道用于传输 (ncacn_np transport)。MSRPC 服务提供用于远程访问和管理 Windows 系统的接口。在 Windows MSRPC 系统中发现了很多被恣意使用的安全漏洞(Conficker 蠕虫和 Sasser 蠕虫等等)。禁用与不需要的 MSRPC 服务的通信可降低许多安全风险(例如,远程代码执行或服务故障攻击)。