خيارات التصفية المتقدمة

تسمح لك أقسام "جدار الحماية والشبكة" للحماية من الهجمات بتكوين خيارات التصفية المتقدمة للكشف عن عدة أنواع من الهجمات ونقاط الضعف التي يمكن تنفيذها ضد جهاز الكمبيوتر الخاص بك.

note

الإعلامات والتسجيل

في بعض الحالات، لن تتلقى إعلاماً بتهديد حول الاتصالات التي تم حظرها. الرجاء مراجعة قسم التسجيل وإنشاء قواعد أو استثناءات من السجل للاطلاع على إرشادات لعرض جميع الاتصالات التي تم حظرها في سجل جدار الحماية.

important

توفر خيارات معينة في صفحة المساعدة هذه

قد يختلف مدى توفر خيارات معينة في الإعداد المتقدم (F5) > حماية الشبكة > جدار الحماية والإعداد المتقدم (F5) > حماية الشبكة > حماية الشبكة الهجومية اعتماداً على نوع وحدة جدار الحماية أو إصدارها، وكذلك إصدار نظام التشغيل الخاص بك.

icon_section الخدمات المسموح بها

الإعدادات الواردة بهذه المجموعة تهدف لتسهيل تكوين الوصول إلى الخدمات المثبتة على هذا الكمبيوتر من المنطقة الموثوق بها. ويمكِّن/يعطِّل الكثير منها قواعد جدار الحماية المحددة مسبقاً.

السماح بمشاركة الملفات والطابعة في المنطقة الموثوق بها – للسماح لأجهزة الكمبيوتر البعيدة في المنطقة الموثوق بها بالوصول إلى الملفات والطابعات المشتركة.

السماح بتقنية UPNP لخدمات النظام في المنطقة الموثوق بها – للسماح بالطلبات الواردة والصادرة لبروتوكولات UPnP لخدمات النظام. يُستخدم UPnP (تقنية التوصيل والتشغيل العالمي والمعروف أيضاً باسم اكتشاف الشبكة من Microsoft) في Windows Vista وأنظمة التشغيل من الإصدارات الأحدث.

السماح باتصال RPC الوارد في المنطقة الموثوق بها – لتمكين اتصالات TCP من المنطقة الموثوق بها بما يسمح بالوصول إلى خدمات MS RPC Portmapper وRPC/DCOM.

السماح بسطح المكتب البعيد في المنطقة الموثوق بها – لتمكين الاتصالات عبر ‏‏بروتوكول سطح المكتب البعيد منMicrosoft ‏(RDP)، كما يسمح لأجهزة الكمبيوتر في المنطقة الموثوق بها بالوصول إلى الكمبيوتر الخاص بك باستخدام برنامج يستخدم RDP (الاتصال بسطح المكتب البعيد مثلاً).

تمكين التسجيل في المجموعات متعددة البث من خلال IGMP – للسماح تدفقات البث المتعدد لـ IGMP الصادرة/الواردة وUDP الواردة، مثل تدفقات الفيديو التي يتم إنشاؤها بواسطة تطبيقات تستخدم بروتوكول IGMP (بروتوكول إدارة مجموعة الإنترنت).

السماح بتوصيل الاتصالات الواردة عبر جسر – عند تمكين هذا الخيار، يُسمح بالاتصالات الواردة عبر جسر.

السماح بتطبيقات الحركة – يتم السماح باتصال تطبيقات متجر Windows التي تعمل في بيئة حركة وفقاً لبيان تطبيق الحركة. سيتجاوز هذا الخيار جميع القواعد والاستثناءات لتطبيقات الحركة، بصرف النظر عما إذا كنت قد حددت الوضع التفاعلي أو وضع البوليصة المحدد في إعدادات جدار الحماية من ESET.

السماح باكتشاف خدمات ويب (WSD) التلقائي لخدمات النظام في المنطقة الموثوق بها – للسماح بطلبات اكتشاف خدمات ويب الواردة من المناطق الموثوق بها عبر جدار الحماية. WSD هو البروتوكول المستخدم لتحديد مواقع خدمات على شبكة محلية.

السماح بتحليل العناوين متعدد البث في المنطقة الموثوق بها (LLMNR) ‏– LLMNR (Link-local Multicast Name Resolution) هو بروتوكول حزمة DNS الذي يسمح لمضيفي IPv4 وIPv6 بتنفيذ تحليل أسماء للأجهزة المضيفة على الارتباط المحلي نفسه دون الحاجة إلى تكوين خادم DNS أو عميل DNS. يسمح هذا الخيار بطلبات DNS للبث المتعدد الواردة من المنطقة الموثوق بها عبر جدار الحماية.

دعم المجموعة المنزلية لنظام Windows – لتمكين دعم HomeGroup لنظام تشغيل Windows 7 وأنظمة التشغيل الأحدث. يمكن للمجموعة المنزلية مشاركة ملفات وطابعات على شبكة منزلية. لتكوين شبكة منزلية، انتقل إلى ابدأ > لوحة التحكم > الشبكة والإنترنت > المجموعة المنزلية.

icon_section اكتشاف الاختراق

البروتوكول SMB - يكتشف مختلف مشكلات الأمان في بروتوكول SMB ويحظرها، وبخاصة:

اكتشاف مصادقة هجمة تحدٍ خادع للخادم - يحمي من الهجمة التي تستخدم تحدياً خادعاً أثناء المصادقة للحصول على بيانات اعتماد المستخدم.

تهرب من نظام كشف التسلل أثناء اكتشاف فتح ممر بيانات مسمى - اكتشاف أساليب تهرب معروفة لفتح ممرات بيانات مسماة لـ MSRPCS في بروتوكول SMB.

حالات اكتشاف CVE (الثغرات وعمليات التعرض الشائعة) - طرق اكتشاف منفذة لمختلف الهجمات والأشكال وفجوات الأمان وعمليات الاختراق عبر بروتوكول SMB. الرجاء مراجعة موقع CVE على الويب بعنوان cve.mitre.org للبحث عن مزيد من المعلومات التفصيلية حول أدوات تحديد CVE ‏(CVEs) والحصول عليها.

البروتوكول RPC - لاكتشاف مختلف الثغرات وعمليات التعرض الشائعة وحظرها في نظام استدعاء الإجراءات عن بُعد المطور لأجل بيئة الحوسبة الموزعة (DCE).

البروتوكول RDP - لاكتشاف CVEs المختلفة وحظرها في بروتوكول RDP (انظر أعلاه).

اكتشاف هجمة تسمم بروتوكول ARP - اكتشاف هجمات تسمم ARP التي يتم تشغيلها بواسطة شخص في الهجمات الوسيطة أو اكتشاف عمليات التعرف في محول الشبكة. يُستخدم ARP (بروتوكول تحليل العنوان) بواسطة تطبيق أو جهاز الشبكة لتحديد عنوان Ethernet.

السماح بالرد على طلبات ARP الواردة من خارج المنطقة الموثوق بها – حدد هذا الخيار إذا كنت تريد أن يستجيب النظام لطلبات ARP بعناوين IP التي ليست من المنطقة الموثوق بها. يُستخدم ARP (بروتوكول تحليل العنوان) بواسطة تطبيق الشبكة لتحديد عنوان Ethernet.

اكتشاف هجمة تسمم DNS - اكتشاف تسمم DNS - تخفيف إجابة زائفة لطلب DNS (أرسله مهاجم) يمكنه توجيهك إلى مواقع ويب زائفة وضارة. أنظمة اسم المجال (DNS) هي أنظمة قواعد بيانات موزعة تقوم بالترجمة بين أسماء المجالات التي يتعرف عليها البشر وعناوين IP الرقمية، وتسمح للمستخدمين الرجوع إلى موقع ويب بسهولة عبر استخدام اسم المجال الخاص به. اقرأ المزيد حول هذا النوع من الهجمات في المسرد.

اكتشاف هجمة فحص منفذ TCP/UDP - لاكتشاف هجمات برنامج فحص المنفذ - تطبيق مصمم لاكتشاف مضيف للمنافذ المفتوحة بإرسال طلبات عملاء إلى مجموعة من عناوين المنافذ بهدف العثور على منافذ نشطة، واختراق ثغرات الخدمة. اقرأ المزيد حول هذا النوع من الهجمات في المسرد.

حظر عنوان غير آمن بعد اكتشاف هجمة - تتم إضافة عناوين IP المكتشفة كمصادر هجمات إلى قائمة الحظر لمنع الاتصال خلال مدة زمنية معينة.

عرض الإعلام بعد اكتشاف هجمة - لتشغيل إعلام علبة النظام بالركن العلوي السفلي من الشاشة.

عرض الإعلامات أيضاً لهجمات واردة ضد فجوات الأمان - لتنبيهك في حالة اكتشاف هجمات ضد فجوات الأمان أو في حالة إجراء محاولة عبر تهديد يهدف إلى دخول النظام بهذه الطريقة.

icon_section فحص الحزمة

السماح بالاتصال الوارد بمشاركات المسؤول في بروتوكول SMB - تعد المشاركات الإدارية (مشاركات المسؤولين) مشاركات الشبكة الافتراضية التي تتشارك أقسام محرك الأقراص الثابت (C$ وD$...) في النظام مع مجلد النظام (ADMIN$). يجب أن يقلل تعطيل الاتصال بمشاركات المسؤولين الكثير من مخاطر الأمان. على سبيل المثال، ينفذ الفيروس المتنقل Conficker هجمات قواميس للاتصال بمشاركات المسؤولين.

رفض لهجات SMB القديمة (غير المدعومة) - رفض جلسات SMB التي تستخدم لهجة SMB قديمة غير مدعومة بواسطة نظام كشف التسلل. تدعم أنظمة تشغيل Windows الحديثة لهجات SMB القديمة نظراً للتوافق مع إصدارات أقدم من أنظمة التشغيل مثل Windows 95. ويمكن للمهاجم استخدام لهجة قديمة في جلسة SMB للتهرب من فحص المرور. ارفض أي لهجات SMB قديمة إذا لم يكن الكمبيوتر الخاص بك بحاجة إلى مشاركة ملفات (أو استخدام اتصال SMB بشكل عام) مع كمبيوتر به إصدار أقدم من Windows.

رفض جلسات SMB بدون أمان موسع - يمكن استخدام الأمان الموسع أثناء تفاوض جلسة SMB لتوفير آلية مصادقة أكثر أماناً من مصادقة LAN Manager Challenge/Response (LM). يعد مخطط LM ضعيفاً، ولا يوصى باستخدامه.

رفض فتح الملفات القابلة للتنفيذ على أحد الخوادم الموجودة خارج المنطقة الموثوق بها في بروتوكول SMB - لإبعاد الاتصال عندما تحاول فتح ملف تنفيذي (.exe, .dll, ...) من مجلد مشترك على الخادم لا ينتمي إلى المنطقة الموثوقة في جدار الحماية. لاحظ أن نسخ الملفات التنفيذية من مصادر موثوقة يمكن أن يكون قانونياً، ولكن هذا الاكتشاف يجب أن يحد من مخاطر الفتح غير المرغوب فيه لملف على خادم ضار (كملف يُفتح بالنقر فوق ارتباط تشعبي إلى ملف تنفيذي ضار مشترك مثلاً).

رفض مصادقة NTLM في بروتوكول SMB لتوصيل أحد الخوادم خارج المنطقة الموثوق بها - تخضع البروتوكولات التي تستخدم مخططات مصادقة NTLM (الإصدارين كليهما) لهجمة إعادة توجيه بيانات اعتماد (تُعرف بهجمة ترحيل SMB في حالة بروتوكول SMB). يجب أن يحد رفض مصادقة NTLM بخادم خارج المنطقة الموثوق بها من المخاطر الناتجة عن إعادة توجيه بيانات الاعتماد بواسطة خادم ضار خارج المنطقة الموثوق بها. وبالمثل، يمكنك رفض مصادقة NTLM مع الخوادم في المنطقة الموثوق بها.

السماح بالاتصال بخدمة مدير حساب الأمان – لمزيد من المعلومات حول هذه الخدمة، راجع [MS-SAMR].

السماح بالاتصال بخدمة جهة الأمان المحلية - لمزيد من المعلومات حول هذه الخدمة، راجع [MS-LSAD] و[MS-LSAT].

السماح بالاتصال بخدمة السجل البعيد - لمزيد من المعلومات حول هذه الخدمة، راجع [MS-RRP].

السماح بالاتصال بخدمة مدير التحكم بالخدمة - لمزيد من المعلومات حول هذه الخدمة، راجع [MS-SCMR].

السماح بالاتصال بخدمة الخادم - لمزيد من المعلومات حول هذه الخدمة، راجع [MS-SRVS].

السماح بالاتصال بالخدمات الأخرى - خدمات MSRPC الأخرى. MSRPC هو تنفيذ Microsoft لآلية DCE RPC. علاوة على ذلك، يمكن أن يستخدم MSRPC ‏‏ممرات بيانات مسماة محمولة في بروتوكول SMB (مشاركة ملفات الشبكة) للنقل (نقل ncacn_np). توفر خدمات MSRPC واجهات للوصول إلى أنظمة Windows وإدارتها عن بُعد. تم اكتشاف العديد من ثغرات الأمان واختراقها في الفضاء ضمن نظام Windows MSRPC (على سبيل المثال، الفيروس المتنقل Conficker والفيروس المتنقل Sasser وغيرها). قم بتعطيل الاتصال بخدمات MSRPC التي لا تحتاج إلى تقديمها للحد من مخاطر الأمان (مثل تنفيذ التعليمة البرمجية البعيدة أو هجمات فشل الخدمة).

فحص حالة اتصال TCP - للفحص لمعرفة ما إذا كانت جميع حزم TCP تنتمي إلى اتصال موجود. في حالة عدم وجود حزمة ما في اتصال، سيتم إبعادها.

الاحتفاظ باتصالات TCP غير النشطة – تتطلب بعض التطبيقات، حتى تعمل، الاحتفاظ باتصال TCP الذي تقوم بإنشائه حتى وإن كان اتصال TCP غير نشط. حدد هذا الخيار لتجنب إنهاء اتصالات TCP غير النشطة.

اكتشاف تحميل زائد ببروتوكول TCP - تتضمن مبادئ هذه الطريقة تعريض الكمبيوتر/الخادم لعدة طلبات - راجع أيضاً DoS (هجمات رفض الخدمة).

فحص رسائل بروتوكول ICMP - لمنع الهجمات التي تستغل تطاق ضعف بروتوكول ICMP، ما يمكن أن يؤدي إلى عدم استجابة الكمبيوتر - راجع أيضاً DoS (هجمات رفض الخدمة).

بيانات خفية في اكتشاف بروتوكول ICMP - للتحقق لمعرفة ما إذا كان بروتوكول ICMP يُستخدم لنقل بيانات. يستخدم الكثير من الأساليب الضارة بروتوكول ICMP لتخطي جدار الحماية.

الرجاء مراجعة مقالة قاعدة معارف ESET للحصول على إصدار محدَّث من صفحة التعليمات هذه.