詳細フィルタリングオプション

ファイアウォールおよびネットワーク攻撃保護セクションでは、詳細フィルタリングオプションを設定し、コンピューターに対して実行される可能性があるさまざまな種類の攻撃および脆弱性を検出できます。

許可するサービス

このグループの設定は、信頼ゾーンからこのコンピュータのサービスにアクセスするための構成を簡素化するためのものです。ほとんどが定義済みファイアウォールルールを有効または無効にします。

•信頼ゾーンでファイルとプリンタの共有を許可 - 信頼済みゾーン内のリモートコンピュータに共有ファイルおよび共有プリンタへのアクセスを許可します。

•信頼ゾーンでのシステムサービスに対するUPNPを許可 - システムサービスに関して受信および送信されるUPnPプロトコルの要求を許可します。UPnP(ユニバーサルプラグアンドプレイ。Microsoft Network Discoveryとも呼びます)は、Windows Vista以降のオペレーティングシステムで使用されています。

•信頼ゾーンでの内向きのRPC通信を許可 - 信頼ゾーンからのTCP接続を有効にして、MS RPC PortmapperおよびRPC/DCOMサービスへのアクセスを許可します。

•信頼ゾーンでのリモートデスクトップを許可 - Microsoft Remote Desktop Protocol (RDP)プロトコル経由の接続を有効にし、RDPを利用するプログラム(リモートデスクトップ接続など)を信頼ゾーン内のコンピュータで使用して、お使いのコンピュータにアクセスすることを許可します。

•IGMP経由でのマルチキャストグループへのログインの有効化 - IGMPプロトコル(インターネットグループ管理プロトコル)を使用するプログラムによって生成されたビデオストリーミングなど、内向きおよび外向きのIGMPおよび内向きUDPマルチキャストストリームを許可します。

•ブリッジ接続の通信を許可する – 有効にすると、ブリッジ接続の通信が許可されます。

•Metroアプリケーションを許可 - Metro環境で実行しているWindows Storeアプリケーションの通信を、Metroアプリケーションマニフェストに従って許可します。 ESETファイアウォール設定で対話モードまたはポリシーベースモードを選択しているかどうかにかかわらず、このオプションはMetroアプリケーションのすべてのルールと例外より優先されます。

•信頼ゾーンでのシステムサービスに対する自動Webサービス探索(WSD)を許可 - 信頼ゾーンからファイアウォールを通じてWebサービス探索要求の送受信を行うことを許可します。WSDは、ローカルネットワーク上でサービスを見つけるために使用されるプロトコルです。

•信頼ゾーンでマルチキャストアドレスの解決を許可(LLMNR) - LLMNR(リンクローカルマルチキャスト名前解決)とは、DNSサーバーやDNSクライアントを設定しなくてもIPv4とIPv6の両方のホストで同じローカルリンク上のホストの名前解決が可能な、DNSパケットベースのプロトコルです。このオプションでは、信頼ゾーンからファイアウォールを通じたDNS要求の受信が許可されます。

•Windows 7ホームグループサポート - Windows 7以降のオペレーティングシステムのホームグループサポートを有効にします。ホームグループは、ホームネットワーク上のファイルやプリンタを共有できます。ホームグループを構成するには、[スタート] > [コントロール パネル] > [ネットワークとインターネット] > [ホームグループ]に移動します。

侵入検出

•[プロトコル SMB]- SMBプロトコルのさまざまなセキュリティの問題を検出してブロックします。

•不正サーバーチャレンジ攻撃認証を検出 - 認証の際にユーザー認証を取得しようとして不正なチャレンジを使用する攻撃から保護します。

•名前付きパイプを開くときのIDS回避を検出 - SMBプロトコルでMSRPC名前付きパイプを開くために使用される既知の回避方法を検出します。

•CVE検出 (Common Vulnerabilities and Exposures) - SMBプロトコルでのさまざまな攻撃、フォーム、セキュリティホール、悪用に関する実装済みの検出方法です。CVE識別子(CVEs)に関する詳細については、cve.mitre.orgのCVE Webサイトを参照してください。

•プロトコルRPC - 分散コンピューティング環境(DCE)のために開発されたリモートプロシージャコールシステムでのCVEを検出してブロックします。

•プロトコルRDP - RDPプロトコルでさまざまなCVEを検出してブロックします(前記を参照)。

•ARPポイズニング攻撃を検出 - 中間者攻撃によるARPポイズニング攻撃の検出、またはネットワークスイッチにおける盗聴の検出。ARP(アドレス解決プロトコル)は、Ethernetアドレスを決定するためにネットワークアプリケーションまたはデバイスによって使用されます。

•信頼ゾーンの外部からのARP要求への応答を許可 - 信頼ゾーン以外のIPアドレスを含むARP要求にシステムが応答するようにする場合は、このオプションを選択します。ARP(アドレス解決プロトコル)は、Ethernetアドレスを決定するためにネットワークアプリケーションによって使用されます。

•DNSポイズニング攻撃を検出 - DNSポイズニング、すなわち、DNS要求に対して悪意のある偽のWebサイトに誘導する偽の回答(攻撃者が送信)が受信されたことを検出します。DNS(ドメインネームシステム)は、人間が扱いやすいドメイン名と数値によるIPアドレスの間の変換を行う分散データベースシステムで、これによってユーザーは、ドメイン名を使用するだけでWebサイトを参照することができます。この攻撃の詳細については、「用語集」を参照してください。

•TCPポートスキャニング攻撃を検出 - ポートスキャニングソフトウェア、すなわち、アクティブなポートを見つけてサービスの脆弱性を悪用することを目的として、広い範囲のポートアドレスにクライアント要求を送信し、ホストの開いているポートを調べるように設計されたソフトウェアによる攻撃を検出します。この攻撃の詳細については、「用語集」を参照してください。

•攻撃を検出したら安全ではないアドレスを遮断 - 攻撃の元であると検出されたIPアドレスは、一定の時間、接続を遮断するためにブラックリストに追加されます。

•攻撃の検出後に通知を表示 - 画面の右下にあるシステムトレイ通知が無効になります。

•セキュリティホールに対する受信攻撃の通知も表示 - セキュリティホールに対する攻撃が検出された場合や、脅威によってこの方法でシステムに侵入する試みが行われた場合に通知します。

パケットのチェック

•SMBプロトコルでの管理用共有への内向き接続を許可 - 管理用共有は、既定のネットワーク共有で、システム内のハードドライブのパーティション(C$、D$、...)をシステムフォルダ(ADMIN$)と共有します。管理用要求への接続を無効にすると、多くのセキュリティリスクが低下します。たとえば、Confickerワームは管理用共有に接続するためにディクショナリアタックを行います。

•古い(サポート対象外) SMBダイアレクトを遮断 - IDSによってサポートされていない古いSMBダイアレクトを使用するSMBセッションを遮断します。最近のWindowsオペレーティングシステムは、Windows 95などの古いオペレーティングシステムとの後方互換性を確保するために、古いSMBダイアレクトをサポートしています。攻撃者は、SMBセッションで古いダイアレクトで使用することにより、トラフィック検査を逃れることができます。お使いのコンピュータで古いバージョンのWindowsを搭載したコンピュータとファイルを共有する必要がない場合は(または通常のSMB通信を使用)、古いSMBダイアレクトを遮断してください。

•拡張セキュリティのないSMBセキュリティを遮断 - SMBセッションネゴシエーションの際、LAN Managerチャレンジ/レスポンス(LM)認証よりも安全な認証メカニズムを提供するために、拡張セキュリティを使用できます。LMスキームは、脆弱であると考えられ、使用は推奨されません。

•SMBプロトコルで信頼ゾーンの外部にあるサーバ上の実行可能ファイルをオープンすることを遮断 - ファイアウォールの信頼ゾーンに属していないサーバー上の共有フォルダにある実行可能ファイル(.exe、.dll)を開こうとすると、接続がドロップされます。信頼できるソースから実行ファイルをコピーすることは合法ですが、この検出によって不審なファイルが悪意のあるサーバーで開かれるリスクを低減します(共有された悪意のある実行ファイルへのハイパーリンクをクリックして開くファイルなど)。

•信頼ゾーン内にあるサーバーへの接続に対するSMBプロトコルでのNTLM認証を遮断 - NTLM (両方のバージョン)認証スキームを使用するプロトコルは、資格情報転送攻撃(SMBプロトコルではSMBリレー)攻撃の対象になります。信頼ゾーンの外側にあるサーバーでのNTLM認証を遮断すると、信頼ゾーンの外側にある悪意のあるサーバーによって資格情報が転送されるリスクが軽減されます。同様に、信頼ゾーン内のサーバーによるNTLM認証を遮断することも考えられます。

•セキュリティアカウントマネージャー(SAM)サービスとの通信を許可 - このサービスの詳細については、[MS-SAMR]を参照してください。

•ローカルセキュリティ機関(LSA)サービスとの通信を許可 - このサービスの詳細については、[MS-LSAD]と[MS-LSAT]を参照してください。

•リモートレジストリサービスとの通信を許可 - このサービスの詳細については、[MS-RRP]を参照してください。

•サービスコントロールマネージャサービスとの通信を許可 - このサービスの詳細については、[MS-SCMR]を参照してください。

•サーバーサービスとの通信を許可 - このサービスの詳細については、[MS-SRVS]を参照してください。

•他のサービスとの通信を許可 - MSRPCは、MicrosoftによるDCE RPCメカニズムの実装です。また、MSRPCでは、転送(ncacn_np転送)のためにSMB(ネットワークファイル共有)プロトコルで名前付きパイプを使用できます。MSRPCサービスには、Windowsシステムをリモートからアクセスして管理するためのインタフェースが用意されています。Windows MSRPCシステムに関しては、いくつかのセキュリティ上の脆弱性が発見、悪用されてきました(Confickerワーム、Sasserワームなど)。多くのセキュリティリスク(リモートコード実行、サービス拒否攻撃など)低下させるために、提供する必要がないMSRPCサービスとの通信は無効にしてください。

•TCP接続状態のチェック - すべてのTCPパケットが既存の接続に属しているかどうかを調べます。接続に属さないパケットがある場合、パケットは削除されます。

•アクティブでないTCP接続を維持 - 一部のアプリケーションを機能させるためには、アプリケーションで確立されたTCP接続を、TCP接続が無効な場合でも保持する必要があります。無効なTCP接続を切断しないようにするには、このオプションを選択します。

•TCPプロトコルオーバーロードを検出 - この方法の原則では、コンピュータまたはサーバを複数の要求に公開することが含まれます。「DoS(サービス拒否攻撃)」も参照してください。

•ICMPプロトコルメッセージチェック - ICMPプロトコルの脆弱性を利用する攻撃を防止します。これにより、コンピュータが応答しなくなる可能性があります。DoS(サービス妨害攻撃)を参照してください。

•秘密データを埋め込んだICMPプロトコルを検出 - ICMPプロトコルがデータ転送に使用されていないかどうかを調べます。多くの悪質な技法が、ICMPプロトコルを使用してファイアウォールをバイパスします。

IDSと詳細オプションに関する最新のヘルプは、ESETナレッジベース（英語）の記事を参照してください。