Opções de filtragem avançadas

As seções de Firewall e Proteção contra ataque de rede permitem a você configurar opções de filtragem avançadas para detectar vários tipos de ataques e vulnerabilidades que podem ser realizados contra seu computador.

Serviços permitidos

As configurações neste grupo têm como objetivo simplificar a configuração do acesso aos serviços deste computador a partir da zona confiável. Muitas delas ativam/desativam regras de firewall predefinidas.

•Permitir compartilhamento de arquivos e impressoras na zona Confiável - Permite que computadores remotos na zona confiável acessem seus arquivos e impressoras compartilhados.

•Permitir UPNP para serviços do sistema na zona Confiável - permite a entrada e saída de solicitações de protocolos UPnP para serviços do sistema. UPnP (Universal Plug and Play, também conhecido como Microsoft Network Discovery) é usado no Windows Vista e sistemas operacionais posteriores.

•Permitir a entrada da comunicação RPC na zona Confiável - Permite conexões TCP da Zona confiável, permitindo o acesso aos serviços MS RPC Portmapper e RPC/DCOM.

•Permitir área de trabalho remota na Zona confiável - Permite conexões através do Microsoft Remote Desktop Protocol (RDP) e permite que computadores na Zona confiável acessem seu computador usando um programa que usa RDP (por exemplo, Remote Desktop Connection).

•Ativar o registro em relatório em grupos multicast por meio de IGMP - Permite a entrada/saída IGMP e entrada de correntes UDP multicast, por exemplo fluxo de vídeos gerado por aplicativos que utilizam o protocolo IGMP (Internet Group Management Protocol).

•Permitir comunicação para conexões em ponte – Quando ativado, a comunicação para conexões em ponte é permitida.

•Permitir aplicativos Metro - A comunicação de aplicativos do Windows Store que estão em execução no ambiente Metro é permitida de acordo com o manifesto do aplicativo Metro. Essa opção substituirá todas as regras e exceções para aplicativos Metro, independentemente de você ter selecionado o modo Interativo ou o modo com base em políticas em configurações do Firewall ESET.

•Permitir a Descoberta de Serviços Web (WSD) automática para serviços de sistema na zona Confiável - Permite a entrada de solicitações de Descoberta de Serviços Web das Zonas confiáveis através do firewall. WSD é um protocolo usado para encontrar serviços em uma rede local.

•Permitir a resolução de endereços multicast na zona Confiável (LLMNR) - O LLMNR (Link-local Multicast Name Resolution) é um protocolo com base em pacotes DNS que permite aos hosts IPv4 e IPv6 executarem a resolução de nomes para hosts no mesmo link local sem a necessidade de um servidor DNS ou configuração do cliente DNS. Esta opção permite a entrada de solicitações DNS multicast a partir da Zona confiável através do firewall.

•Grupo de Suporte Doméstico do Windows - Ativa o grupo de suporte doméstico do Windows 7 e sistemas operacionais posteriores. Um Grupo de Suporte Doméstico pode compartilhar arquivos e impressoras em uma rede doméstica. Para configurar um Grupo doméstico, acesse Iniciar > Painel de Controle > Rede e Internet > Grupo Doméstico.

Detecção de intruso

•Protocolo SMB - Detecta e bloqueia vários problemas de segurança em protocolo SMB, a saber:

•Detecção de ataque de autenticação no servidor por desafio por invasor - Protege você contra um ataque que use um desafio de invasor durante a autenticação para obter credenciais de usuário.

•Detecção de evasão do IDS durante abertura de pipe nomeado - Detecção de técnicas conhecidas de evasão para abertura de pipes nomeados MSRPC no protocolo SMB.

•Detecções de CVE (Exposições e vulnerabilidades comuns) - Métodos de detecção implementados de vários ataques, formulários, vulnerabilidades de segurança e explorações em protocolo SMB. Consulte o site de CVE em cve.mitre.org para pesquisar e obter informações mais detalhadas sobre identificadores de CVE (CVEs).

•Protocolo RPC - Detecta e bloqueia vários CVEs no sistema de chamada de procedimento remoto desenvolvido para o Distributed Computing Environment (DCE).

•Protocolo RDP - Detecta e bloqueia vários CVEs no protocolo RDP (veja acima).

•Detecção de Ataque por envenenamento ARP - Detecção de ataques por envenenamento ARP acionados por ataques "man-in-the-middle" (com envolvimento de pessoal) ou detecção de sniffing na chave de rede. ARP (Protocolo de resolução de endereço) é usado pelo aplicativo ou dispositivo de rede para determinar o endereço Ethernet.

•Permitir resposta para requisições ARP fora da zona Confiável - Selecione essa opção se desejar que o sistema responda às solicitações ARP com endereços IP que não são da Zona confiável. ARP (Protocolo de resolução de endereço) é usado pelo aplicativo de rede para determinar o endereço Ethernet.

•Detecção de ataque por envenenamento de DNS - Detecção de envenenamento de DNS - receber resposta falsa para solicitação de DNS (enviada pelo agressor) que pode enviar você para sites falsos e maliciosos. DNS (Domain Name Systems) são sistemas de banco de dados distribuídos que se traduzem entre nomes de domínio próprios para humanos e endereços de IP numéricos e permitem que os usuários consultem um site simplesmente usando seu nome de domínio. Leia mais sobre esse tipo de ataque no glossário.

•Detecção de ataque de rastreamento de porta TCP/UDP - Detecta ataques de software de rastreamento de porta - aplicativo projetado para investigar um host por portas abertas através do envio de pedidos de clientes a vários endereços de porta, com o objetivo de encontrar as portas ativas e explorar a vulnerabilidade do serviço. Leia mais sobre esse tipo de ataque no glossário.

•Bloquear endereço inseguro após detecção de ataque - Endereços IP que foram detectados como fontes de ataques são adicionados à lista de proibições para impedir a conexão por um período de tempo.

•Exibir notificação após detecção de ataque - Ativa a notificação da bandeja do sistema no canto inferior direito da tela.

•Exibir notificações também para ataques sendo recebidos contra buracos de segurança - Alerta você se ataques contra buracos de segurança forem detectados ou se uma ameaça fizer uma tentativa de entrar no sistema desta forma.

Verificação do pacote

•Permitir conexão de entrada aos compartilhamentos administrativos no protocolo SMB - Os compartilhamentos administrativos (compartilhamentos administrativos) são os compartilhamentos padrão da rede que compartilham partições de disco rígido (C$, D$, ...) no sistema, junto com a pasta do sistema (ADMIN$). Desabilitar conexão com compartilhamentos administrativos deve reduzir muitos riscos de segurança. Por exemplo, o worm Conficker realiza ataques de dicionário para conectar-se a compartilhamentos administrativos.

•Negar dialetos SMB antigos (não compatíveis) - Negar sessões SMB que usem um dialeto SMB anterior que não é aceito pelo IDS. Sistemas operacionais modernos do Windows suportam dialetos SMB antigos devido à compatibilidade retroativa com sistemas operacionais antigos, como o Windows 95. O agressor pode usar um dialeto antigo em uma sessão SMB para evitar inspeção de tráfego. Negar dialetos SMB antigos se o seu computador não precisa compartilhar arquivos (ou usar comunicação SMB em geral) com um computador com uma versão antiga do Windows.

•Negar sessões SMB sem segurança estendida - Segurança estendida pode ser usada durante a negociação de sessão SMB para proporcionar um mecanismo de autenticação mais seguro do que autenticação de LAN Manager Challenge/Response (LM). O esquema LM é considerado fraco e não é recomendado para uso.

•Negar a abertura de arquivos executáveis em um servidor fora da zona Confiável no protocolo SMB - Remove a conexão quando você está tentando abrir um arquivo executável (.exe, .dll) de uma pasta compartilhada no servidor que não pertence à zona Confiável no Firewall. Observe que copiar arquivos executáveis de fontes confiáveis pode ser legítimo; no entanto, essa detecção deve minimizar riscos de abrir sem querer um arquivo em um servidor malicioso (por exemplo, um arquivo aberto clicando em um hiperlink para um arquivo executável malicioso compartilhado).

•Negar autenticação NTLM no protocolo SMB para conexão de um servidor dentro/fora da Zona confiável - Protocolos que usam esquemas de autenticação NTLM (ambas as versões) estão sujeitos a ataques de encaminhamento de credenciais (conhecidos como ataque de relé SMB no caso de protocolo SMB). Negar autenticação NTLM com um servidor fora da Zona confiável devem mitigar os riscos de encaminhar credenciais por um servidor malicioso para fora da Zona confiável. Do mesmo modo, a autenticação NTLM pode ser negada com servidores da zona confiável.

•Permitir comunicação com o serviço de Gerenciamento de Conta de Segurança - Para obter mais informações sobre este serviço consulte [MS-SAMR].

•Permitir comunicação com o serviço Autoridade de Segurança Local - Para obter mais informações sobre este serviço consulte [MS-LSAD] e [MS-LSAT].

•Permitir comunicação com o serviço de Registro Remoto - Para obter mais informações sobre este serviço consulte [MS-RRP].

•Permitir comunicação com o serviço de Gerenciamento de Controle de Serviço - Para obter mais informações sobre este serviço consulte [MS-SCMR].

•Permitir comunicação com o serviço de Servidor - Para obter mais informações sobre este serviço consulte [MS-SRVS].

•Permitir comunicação com outros serviços – MSRPC é a implementação da Microsoft do mecanismo DCE RPC. Além disso, a MSRPC pode usar pipes nomeados levados para o protocolo de transporte (transporte ncacn_np) SMB (compartilhamento de arquivos de rede). Serviços MSRPC fornecem interfaces para acessar e gerenciar remotamente sistemas Windows. Várias vulnerabilidades de segurança foram descobertas e exploradas no estado natural no sistema do Windows MSRPC (worm Conficker, worm Sasser...). Desativar comunicação com serviços MSRPC que não precisam ser fornecidos para mitigar muitos riscos de segurança (como execução de código remoto ou ataques de falha de serviço).

•Verificar o status da conexão TCP - Verifica se todos os pacotes TCP pertencem a uma conexão existente. Se um pacote não existir em uma conexão, ele será descartado.

•Manter conexões TCP inativas - Para funcionarem, alguns aplicativos requerem que a conexão TCP que estabelecem seja mantida, mesmo que a conexão TCP possa estar inativa. Selecione essa opção para evitar o encerramento de conexões TCP inativas.

•Detecção de sobrecarga de protocolo TCP - O princípio desse método envolve a exposição do computador/servidor a diversas solicitações. Consulte também DoS (ataques de negação de serviço).

•Verificação de mensagens do protocolo ICMP - Impede ataques que exploram pontos fracos no protocolo ICMP, que pode fazer com que seu computador não responda - consulte também DoS (ataques de negação de serviço).

•Converter dados em detecção de protocolo ICMP - Verifica se o protocolo ICMP não é usado para transferência de dados. Muitas técnicas mal-intencionadas usam o protocolo ICMP para ignorar o Firewall.

Consulte o seguinte artigo da Base de Conhecimento ESET para obter uma versão atualizada desta página de ajuda.