Разширени опции за филтриране
Разделите „Защитна стена“ и „Защита от мрежови атаки“ ви позволяват да конфигурирате разширени опции за филтриране за откриване на няколко типа атаки срещу и уязвимости на вашия компютър.
В някои случаи няма да получавате известие за заплаха относно блокирани комуникации. Прегледайте раздела Регистриране и създаване на правила или изключения от регистрационен файл за инструкции как да видите всички блокирани комуникации в регистрационния файл на защитната стена. |
Наличността на конкретни опции в Разширени настройки (F5) > Мрежова защита > Защитна стена и Разширени настройки (F5) > Мрежова защита > Защита от мрежови атаки може да се различава в зависимост от типа или версията на модула на защитната стена и версията на операционната система. |
Разрешени услуги
Настройките в тази група имат за цел да улеснят конфигурирането на достъпа до услугите на този компютър от доверената зона. Много от тях разрешават/забраняват предварително определени правила на защитната стена.
•Разрешаване на споделяне на файлове и принтери в доверената зона – разрешаване на достъп на отдалечените компютри в доверената зона до споделените файлове и принтери.
•Разрешаване на UPNP за системни услуги в доверената зона – позволява входящи и изходящи заявки на UPnP протоколи за системни услуги. UPnP (Universal Plug and Play, известен още като "Откриване на мрежа на Microsoft") се използва в Windows Vista и по-нови операционни системи.
•Разрешаване на входяща RPC комуникация в доверената зона – разрешава TCP връзки от доверената зона, като дава достъп до услугите MS RPC Portmapper и RPC/DCOM.
•Позволение за отдалечен работен плот в доверената зона – разрешава връзки чрез протокола за отдалечен работен плот на Microsoft (RDP) и позволява на компютрите в доверената зона да осъществяват достъп до вашия компютър с помощта на програма, която използва RDP (като например „Връзка с отдалечен работен плот“). Вижте също как да позволите връзките чрез RDP извън доверената зона.
•Разрешаване на регистрирането в мултикастови групи чрез IGMP – разрешава входящи/изходящи IGMP и входящи UDP мултикаст потоци, като например поточно предаване на видео, генерирано от приложения, които използват протокола IGMP (Internet Group Management Protocol (протокол за групово управление в интернет)).
•Позволяване на комуникация за обединени връзки – изберете тази опция, за да избегнете прекратяване на обединените връзки. Обединената мрежа свързва виртуална машина към мрежа с помощта на Ethernet адаптер на компютъра на хоста. Ако използвате обединена мрежа, виртуалната машина може да има достъп до други устройства в мрежата и обратно, както физически компютър в мрежата.
•Разрешаване на автоматичното откриване на уеб услуги (WSD) за системни услуги в доверената зона – разрешава входящи заявки за откриване на уеб услуги от доверената зона през защитната стена. WSD е протоколът, който се използва за откриване на услуги в локалната мрежа.
•Разрешаване на разрешаването на мултикаст адреси в доверената зона (LLMNR) – LMNR (Link-local Multicast Name Resolution – Локален протокол за преобразуване на имена, използващ мултикаст съобщения) е DNS пакет, базиран на протокол, който разрешава на IPv4 и IPv6 хостове да извършват преобразуване на имена на хостове в същата локална връзка без задължително конфигуриране на DNS сървър или DNS клиент. Тази опция позволява входящи мултикаст DNS заявки от доверената зона през защитната стена.
•Поддръжка на домашна група за Windows – разрешава поддръжка на домашна група за Windows 7 и по-нови операционни системи. Чрез домашната група може да се споделят файлове и принтери в домашна мрежа. За да конфигурирате домашна група, навигирайте до Старт > Контролен панел > Мрежа и интернет > Домашна група.
Откриване на проникване
•Протокол SMB – открива и блокира различни проблеми със защитата в протокола SMB, а именно:
•Откриване на упълномощаване на атаки за предизвикателства от фалшиви сървъри – защитава срещу атака, която използва фалшиво предизвикателство по време на удостоверяването, с цел да се сдобие с идентификационните данни на потребителя.
•Откриване на избягване на IDS при отваряне на наименуван канал – откриване на известни техники, използвани за отваряне на наименувани MSRPC канали в SMB протокол.
•Откриване на често срещани слаби места и излагане на риск – внедрени методи за откриване на различни атаки, формуляри, дупки в защитата и уязвими места през протокол SMB. Посетете следния уеб сайт за често срещани слаби места и излагане на риск на адрес cve.mitre.org, за да потърсите и получите подробна информация за идентификаторите на често срещани слаби места и излагане на риск.
•Протокол RPC – открива и блокира различни често срещани слаби места и излагания на риск в системата за заявка за отдалечена процедура, разработена за Разпределена компютърна среда (DCE).
•Протокол RDP – открива и блокира различни често срещани слаби места и излагане на риск в протокола RDP (вж. по-горе).
•Откриване на атака за заразяване на ARP – откриване на атаки за заразяване на ARP, предизвикани от "посреднически" атаки, или откриване на прослушвания на мрежов превключвател. ARP (Address Resolution Protocol (Протокол за разрешаване на адреси)) се използва от мрежовото приложение или устройство за определяне на Ethernet адреса.
•Откриване на атака със сканиране на TCP/UDP портове – открива атаки на софтуер, който сканира портове – приложение, предназначено да проучва хост за отворени портове, като изпраща клиентски заявки до набор от адреси на портове с цел да открие активни портове и да използва слабите места на услугата. Прочетете повече за този тип атака в речника.
•Блокиране на опасния адрес след откриване на атаката – IP адреси, които са открити като източници на атаки, се добавят в списъка със забранени адреси, за да предотвратят връзка за определен период от време.
•Показване на известие след откриване на атака – включване на известията в системната област в долния десен ъгъл на екрана.
•Показване на известия също и за входящи атаки срещу дупки в защитата – предупреждава ви, ако бъдат открити атаки срещу дупки в защитата или ако заплаха извърши опит за влизане в системата по този начин.
Проверка на пакети
•Разрешаване на входяща връзка с администраторските дялове в SMB протокола – Администраторските дялове (админ. дялове) са мрежовите дялове по подразбиране, които разделят дяловете на твърдия диск (C$, D$, ...) в системата, заедно със системната папка (ADMIN$). Със забраната на връзка до администраторски дялове ще се намалят много рискове за защитата. Например червеят Conficker извършва атаки на речника, за да се свърже с администраторските дялове.
•Отказване на стари (неподдържани) SMB диалекти – отказване на SMB сесии, които използват стар SMB диалект, който не се поддържа от IDS. Модерните операционни системи Windows поддържат старите SMB диалекти благодарение на обратна съвместимост с предходни операционни системи, като например Windows 95. Атакуващият може да използва стар диалект в SMB сесия, за да избегне проверката на трафика. Отказвайте стари SMB диалекти, ако не е необходимо компютърът ви да споделя файлове (или използвайте обща SMB комуникация) с компютър със стара версия на Windows.
•Отказване на SMB сесии без разширения на защитата – разширена защита може да се използва по време на съгласуване на SMB сесия, за да се предостави по-сигурен механизъм за удостоверяване в сравнение с удостоверяването от тип предизвикателство/отговор на LAN диспечер (LM). Схемата LM се счита за слаба и не се препоръчва за употреба.
•Отказване на отваряне на изпълними файлове на сървър извън доверената зона в SMB протокола – прекъсва връзката, когато се опитвате да отворите изпълним файл (.exe, .dll, ...) от споделена папка на сървъра, която не принадлежи на доверената зона в защитната стена. Имайте предвид, че копирането на изпълними файлове от доверени източници може да е легитимно, но това откриване може да намали рисковете от нежелано отваряне на файл на злонамерен сървър (като например файл, отворен чрез щракване върху хипер връзка към споделен злонамерен изпълним файл).
•Отказване на NTLM удостоверяване в SMB протокола за свързване със сървър в/извън доверената зона – протоколи, които използват схемите за NTLM удостоверяване (и двете версии), са обект на атака за препращане на идентификационни данни (известни като атаки на SMB препращане в случая с SMB протокол). Отричането на NTLM удостоверяване със сървър извън доверената зона трябва да намали рисковете от препращане на идентификационни данни от злонамерен софтуер извън доверената зона. Аналогично можете да откажете NTLM удостоверяване със сървъри в доверената зона.
•Разрешаване на комуникацията с услугата за диспечер на акаунти за защитата – за повече информация относно тази услуга вж. [MS-SAMR].
•Разрешаване на комуникацията с услугата за локален орган за защита – за повече информация относно тази услуга вж. [MS-LSAD] и [MS-LSAT].
•Разрешаване на комуникацията с услугата за отдалечен системен регистър – за повече информация относно тази услуга вж. [MS-RRP].
•Разрешаване на комуникацията с услугата за диспечер за управление на услуги – за повече информация относно тази услуга вж. [MS-SCMR].
•Разрешаване на комуникацията с услугата за сървър – за повече информация относно тази услуга вж. [MS-SRVS].
•Позволяване на комуникацията с други услуги – други MSRPC услуги. MSRPC е прилагането от страна на Microsoft на механизма DCE RPC. Освен това MSRPC може да използва наименувани канали, които водят до SMB (мрежово споделяне на файлове) протокол за пренасяне (ncacn_np transport). MSRPC услугите предоставят интерфейси за достъп и отдалечено управление на системите на Windows. Няколко уязвимости в защитата бяха открити и използвани на практика в Windows MSRPC системата (например червей Conficker, червей Sasser и т.н.). Забранете комуникация с MSRPC услуги, които не се налага да предоставяте, за да намалите многобройните рискове за защитата (като например отдалечено изпълнение на код или атаки за прекъсване на услуги).