Zaawansowane opcje filtrowania

Sekcja Zapora oraz Ochrona przed atakami z sieci umożliwia skonfigurowanie zaawansowanych opcji filtrowania w celu wykrywania różnych typów ataków oraz luk w zabezpieczeniach, które mogą być wykorzystane przeciwko Twojemu komputerowi.

Dozwolone usługi

Ustawienia z tej grupy mają na celu uproszczenie konfiguracji dostępu do usług tego komputera ze strefy zaufanej. Wiele z nich służy do włączania/wyłączania zdefiniowanych wstępnie reguł zapory.

•Zezwól na udostępnianie plików i drukarek w strefie zaufanej — umożliwia komputerom zdalnym ze strefy zaufanej korzystanie z udostępnionych plików i drukarek.

•Zezwól na używanie protokołu UPNP dla usług systemowych w strefie zaufanej — pozwala na przychodzenie i wychodzenie żądań protokołów UPnP dla usług systemowych. UPnP (Universal Plug and Play znany również jako Microsoft Network Discovery) jest używany w Windows Vista i nowszych systemach operacyjnych.

•Zezwól na połączenie przychodzące RPC w strefie zaufanej — pozwala połączeniom TCP ze strefy zaufanej na uzyskiwanie dostępu do usług MS RPC Portmapper i RPC/DCOM.

•Zezwól na używanie pulpitu zdalnego w strefie zaufanej — zezwala na połączenia za pośrednictwem protokołu RDP i pozwala komputerom ze strefy zaufanej uzyskiwać dostęp do komputera użytkownika (za pośrednictwem programu, który wykorzystuje RDP, np. Podłączanie pulpitu zdalnego).

•Włącz logowanie do grup typu multicast za pośrednictwem protokołu IGMP — zezwala na wysyłanie i odbieranie strumieni typu multicast IGMP i UDP, na przykład przesyłanie strumienia wideo wygenerowanego przez programy korzystające z protokołu IGMP (Internet Group Management Protocol).

•Zezwalaj na komunikację dla połączeń mostkowych — po włączeniu tej opcji komunikacja dla połączeń mostkowych jest dozwolona.

•Zezwól na aplikacje Metro— komunikacja aplikacji ze Sklepu Windows uruchomionych w środowisku Metro jest dozwolona zgodnie z manifestem aplikacji Metro. Ta opcja zastępuje wszystkie reguły i wyjątki dla aplikacji Metro niezależnie od tego, czy w ustawieniach zapory ESET wybrano tryb interaktywny, czy oparty na regułach.

•Zezwól na automatyczne używanie Protokołu odnajdywania usług sieci Web (WSD) dla usług systemowych w strefie zaufanej — zezwala na obsługę przychodzących żądań usługi Web Services Discovery ze stref zaufanych przez zaporę. WSD jest protokołem używanym do lokalizowania usług w sieci lokalnej.

•Zezwól na rozwiązywanie adresów typu multicast w strefie zaufanej (LLMNR) — LLMNR (Link-local Multicast Name Resolution) to protokół pakietowy DNS, który umożliwia hostom protokołu IPv4 i IPv6 rozpoznawanie nazw hostów podłączonych do tego samego łącza lokalnego bez odwoływania się do serwera DNS ani do konfiguracji klienta DNS. Ta opcja pozwala na obsługę przychodzących żądań DNS typu multicast ze strefy zaufanej przez zaporę.

•Obsługa grupy domowej systemu Windows — umożliwia obsługę grupy domowej systemu operacyjnego Windows 7 i nowszych. Grupa domowa pozwala na udostępnianie plików i drukarek w sieci domowej. Aby ją skonfigurować, należy kliknąć kolejno opcje Start > Panel sterowania > Sieć i Internet > Grupa domowa.

Wykrywanie włamań

•Protokół SMB — wykrywanie i blokowanie różnego rodzaju problemów z zabezpieczeniami w protokole SMB, takich jak:

•Wykrywanie ataków z wysyłaniem nieautoryzowanych żądań uwierzytelniania na serwerze — ochrona przed atakami z wysyłaniem nieautoryzowanych żądań podczas uwierzytelniania w celu uzyskania poświadczeń użytkownika.

•Wykrywanie prób uniknięcia rozpoznania przez system aktywnej ochrony (IDS) podczas otwierania potoku mającego nazwę — wykrywanie znanych technik unikania rozpoznania w nazwanych potokach MSRPC w protokole SMB.

•Wykrywanie CVE (Common Vulnerabilities and Exposures) — zaimplementowane metody wykrywania różnych ataków, formularzy oraz luk bezpieczeństwa i wykorzystujących je programów w protokole SMB. Witryna CVE pod adresem cve.mitre.org umożliwia wyszukanie i uzyskanie bardziej szczegółowych informacji o identyfikatorach CVE.

•Protokół RPC — wykrywa i blokuje różne identyfikatory CVE w zdalnym systemie wywołania procedur opracowanym dla środowiska Distributed Computing Environment (DCE).

•Protokół RDP — wykrywa i blokuje różne identyfikatory CVE w protokole RDP (patrz wyżej).

•Wykrywanie ataku z preparowaniem pakietów ARP — wykrywanie ataków z preparowaniem pakietów ARP spowodowanych przez atak typu man-in-the-middle lub „węszeniem” przy przełączniku sieciowym. Protokół ARP (Address Resolution Protocol) jest używany przez aplikację sieciową lub urządzenie do ustalenia adresu Ethernet.

•Zezwól na odpowiadanie na żądania ARP spoza strefy zaufanej — opcja ta umożliwia odpowiadanie przez system na żądania protokołu rozpoznawania adresów z adresów IP, które nie pochodzą ze strefy zaufanej. Protokół ARP (Address Resolution Protocol) jest używany przez aplikację sieciową do określania adresu Ethernet.

•Wykrywanie ataku z preparowaniem pakietów DNS — wykrywanie ataków z preparowaniem pakietów DNS — ograniczanie fałszywych odpowiedzi na żądanie DNS (wysłane przez atakującego), które może skierować na fałszywe lub szkodliwe strony internetowe. DNS (Domain name systems — systemy nazw domeny) to rozpowszechniane systemy baz danych, które przemieszczają się między nazwami domen oraz numerycznymi adresami IP przyjaznymi dla użytkownika i pozwalają użytkownikom odnieść się do strony za pomocą nazwy domeny. Więcej informacji na temat ataków tego typu można znaleźć w słowniczku.

•Wykrywanie ataku ze skanowaniem portów TCP/UDP — wykrywa ataki z użyciem oprogramowania do skanowania portów, służącego do badania hosta pod kątem otwartych portów poprzez wysyłanie żądań programów do adresów portów. Celem tych działań jest znalezienie aktywnych portów i wykorzystanie luk w zabezpieczeniach usługi. Więcej informacji na temat ataków tego typu można znaleźć w słowniczku.

•Blokowanie niebezpiecznych adresów po wykryciu ataku — adresy IP, które zostały wykryte jako źródło ataków są dodawane do czarnej listy w celu zablokowania połączenia przez podany okres.

•Wyświetl powiadomienie po wykryciu ataku — umożliwia włączenie wyświetlania powiadomień na pasku zadań w prawym dolnym rogu ekranu.

•Wyświetlaj także powiadomienia po wykryciu ataku przychodzącego na luki zabezpieczeń — w przypadku wykrycia ataków na luki w zabezpieczeniach lub prób uzyskania w ten sposób dostępu do systemu wyświetlane są powiadomienia.

Sprawdzanie pakietów

•Zezwól w protokole SMB na połączenia przychodzące do udziałów administracyjnych — udziały administracyjne (admin shares) to domyślne udziały sieciowe, które współdzielą partycje dysku twardego (C$, D$, ...) w systemie razem z folderem systemowym (ADMIN$). Wyłączenie połączenia z udziałami administracyjnymi może osłabić wiele zagrożeń. Na przykład, robak Conficker przeprowadza ataki słownikowe w celu podłączenia do udziałów administracyjnych.

•Odmów starym (nieobsługiwanym) dialektom protokołu SMB — odmowa sesji SMB z nieaktualnym dialektem SMB, który nie jest obsługiwany przez IDS. Nowoczesne systemy Windows obsługują nieaktualne dialekty SMB ze względu na zgodność wsteczną z wcześniejszymi systemami operacyjnymi, np. Windows 95. Atakujący może użyć nieaktualnego dialektu w sesji SMB w celu uniknięcia kontroli ruchu. Należy odrzucić nieaktualne dialekty SMB, jeżeli komputer nie współdzieli plików (ogólnie komunikacji SMB) z komputerem, na którym zainstalowano wcześniejszą wersję Windows.

•Odmów zabezpieczeniom protokołu SMB bez rozszerzeń zabezpieczeń — rozszerzone zabezpieczenia mogą zostać użyte podczas negocjacji sesji SMB w celu zapewnienia bezpieczniejszego mechanizmu uwierzytelniania niż uwierzytelnianie LAN Manager Challenge/Response (LM). Schemat LM jest traktowany jako słaby i nie zaleca się korzystania z niego.

•Odmów otwierania plików wykonywalnych na serwerze poza strefą zaufaną w protokole SMB — odrzuca połączenie podczas próby uruchomienia pliku wykonywalnego (.exe, .dll itp.) z folderu udostępnionego na serwerze, który nie należy do strefy zaufanej w zaporze. Należy pamiętać, że kopiowanie wykonywalnych plików z zaufanych źródeł może być dozwolone, jednak to wykrywanie powinno zmniejszyć zagrożenia związane z niechcianym otwarciem pliku na serwerze ze złośliwym oprogramowaniem (na przykład poprzez kliknięcie przez użytkownika odnośnika do współdzielonego pliku wykonywalnego ze złośliwym oprogramowaniem).

•Odmów uwierzytelniania NTLM w protokole SMB przy nawiązywaniu połączenia z serwerem w strefie zaufanej/spoza strefy zaufanej — protokoły, które wykorzystują schematy uwierzytelniające NTLM (obie wersje) są celem ataków związanych z przekazywaniem poświadczeń (znanych jako metoda SMB Relay w przypadku protokołu SMB). Odmowa uwierzytelniania NTLM przy nawiązywania połączenia z serwerem spoza strefy zaufanej zmniejsza zagrożenia związane z przekazywaniem poświadczeń przez serwer ze złośliwym oprogramowaniem spoza strefy zaufanej. W podobny sposób można odmówić uwierzytelniania NTLM w przypadku serwerów ze strefy zaufanej.

•Zezwól na komunikację z usługą Menedżer konta zabezpieczeń — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–SAMR].

•Zezwól na komunikację z usługą Urząd zabezpieczeń lokalnych — więcej informacji na temat tej usługi można znaleźć tutaj: [MS-LSAD] i [MS-LSAT].

•Zezwól na komunikację z usługą Rejestr zdalny — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–RRP].

•Zezwól na komunikację z usługą Services Control Manager — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–SCMR].

•Zezwól na komunikację z Usługą serwera — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–SRVS].

•Zezwól na komunikację z innymi usługami – MSRPC to wdrożenie Microsoft mechanizmu DCE RPC. Ponadto MSRPC może wykorzystywać nazwane potoki w protokole SMB (udostępnianie plików w sieci) do transportu (ncacn_np transport). Usługi MSRPC pozwalają interfejsom na zdalny dostęp do systemów Windows i zarządzanie nimi. Odkryto kilka luk w zabezpieczeniach, które były wykorzystywane w systemie Windows MSRPC (robak Conficker, robak Sasser itp.). Należy wyłączyć komunikację z usługami MSRPC, które nie są potrzebne. To pozwoli na zmniejszenie wielu zagrożeń (na przykład zdalne wykonywanie kodu lub ataki związane z awariami usług).

•Sprawdź stan połączenia TCP — sprawdza, czy wszystkie pakiety TCP należą do istniejącego połączenia. Pakiety, które nie należą do połączenia, zostaną porzucone.

•Obsługuj nieaktywne połączenia TCP — niektóre aplikacje do poprawnego działania wymagają utrzymywania ustanowionych połączeń protokołu TCP, nawet jeśli takie połączenia są nieaktywne. Opcję tę należy zaznaczyć, aby zapobiec przerywaniu nieaktywnych połączeń protokołu TCP.

•Wykrywanie przeciążeń protokołów TCP — zasada działania tej metody polega na narażeniu komputera/serwera na liczne żądania. Patrz również: ataki typu odmowa usługi (DoS).

•Sprawdzanie komunikatów protokołu ICMP — zapobiega atakom polegającym na wykorzystaniu niedoskonałości protokołu ICMP, które mogą doprowadzać do braku reakcji komputera. Patrz również: Ataki typu „odmowa usługi” (DoS).

•Wykrywanie ukrytych danych skonwertowanych w protokole ICMP — powoduje sprawdzenie, czy protokół ICMP jest używany do transferu danych. W wielu szkodliwych technikach jest używany protokół ICMP do ominięcia zapory.

Aby uzyskać zaktualizowaną wersję tej strony pomocy, zapoznaj się z następującym artykułem w bazie wiedzy ESET.