Suodatuksen lisäasetukset
Palomuuri- ja Verkkohyökkäyssuojaus-osioissa voit määrittää suodatuksen lisäasetukset, jotka auttavat tunnistamaan useita erilaisia tietokonettasi vastaan tehtäviä hyökkäyksiä ja haavoittuvuuksia.
Joissakin tapauksissa estetystä tietoliikenteestä ei lähetetä uhkailmoitusta. Ohjeet siitä, kuinka näet kaiken estetyn tietoliikenteen palomuurin lokissa, voit lukea osiossa Kirjautuminen ja sääntöjen tai poikkeusten luominen lokista. |
Tiettyjen lisäasetusten – (F5) > Verkon suojaus > Palomuuri ja (F5) > Verkon suojaus > Verkkohyökkäyssuojaus – saatavuus saattaa vaihdella palomuurimoduulin tyypin tai version mukaan sekä käyttöjärjestelmäversion mukaan. |
Sallitut palvelut
Tässä ryhmässä olevien asetusten tarkoitus on yksinkertaistaa luotetun vyöhykkeen palveluihin pääsyn määrityksiä tällä tietokoneella. Monessa näistä asetuksista otetaan käyttöön ennalta määritettyjä palomuurisääntöjä tai poistetaan ne käytöstä.
•Salli tiedostojen ja tulostinten jakaminen luotettavalla vyöhykkeellä – Sallii tietokoneen jaettujen tiedostojen ja tulostimen käytön luotetun vyöhykkeen etätietokoneille.
•Salli UPNP luotettavalla vyöhykkeellä – Sallii UPnP-protokollien saapuvat ja lähtevät järjestelmäpalveluiden pyynnöt. UPnP (Universal Plug and Play also known as Microsoft Network Discovery) on käytössä Windows Vistassa ja uudemmissa käyttöjärjestelmissä.
•Salli saapuva RPC-tietoliikenne luotettavalla vyöhykkeellä – Sallii TCP-yhteydet luotettavalta vyöhykkeeltä mahdollistaen MS RPC Portmapper- ja RPC/DCOM-palveluiden käytön.
•Salli etätyöpöydän käyttö luotettavalla vyöhykkeellä – Sallii Microsoft Remote Desktop Protocol (RDP) ‑yhteydet ja sallii luotettavan vyöhykkeen tietokoneiden käyttää tietokonettasi RDP:tä käyttävällä ohjelmalla (esim. Remote Desktop Connection). Katso myös ohjeet RDP-yhteyksien sallimisesta luotettavien vyöhykkeiden ulkopuolella.
•Ota monilähetysryhmien kirjaus käyttöön IGMP:n kautta – Sallii saapuvat/lähtevät IGMP- ja UDP-monilähetysvirrat, esimerkiksi videovirrat, jotka on luotu IGMP-protokollaa (Internet Group Management Protocol) käyttävillä sovelluksilla.
•Salli sillattujen yhteyksien tietoliikenne – Valitse tämä asetus, jos haluat välttää sillattujen yhteyksien katkaisemisen. Sillattu yhteys yhdistää virtuaalikoneen verkkoon isäntätietokoneen Ethernet-sovittimella. Jos käytät sillattua yhteyttä, virtuaalikone voi käyttää verkon muita laitetta ja päinvastoin, aivan kuin kyseessä olisi verkossa oleva fyysinen tietokone.
•Salli järjestelmäpalvelujen automaattiset WSD (Web Services Discovery) -pyynnöt luotettavalla vyöhykkeellä – Sallii saapuvat WSD-pyynnöt luotettavilta vyöhykkeiltä palomuurin läpi. WSD on protokolla, jota käytetään palveluiden paikantamiseen lähiverkossa.
•Salli multicast-osoitteen aukeama luotettavalla vyöhykkeellä (LLMNR) – LLMNR (Link-local Multicast Name Resolution) on DNS-paketteihin perustuva protokolla, joka sallii sekä IPv4- että IPv6-isäntien selvittää samassa paikallisessa linkissä olevien isäntien nimiä ilman DNS-palvelimen tai DNS-sovelluksen määrittämistä. Tämä asetus sallii saapuvat monilähetysten DNS-pyynnöt luotettavalta alueelta palomuurin läpi.
•Windows Kotiryhmätuki – Sallii Windows 7:n tai uudemman käyttöjärjestelmän kotiryhmän tuen. Kotiryhmä voi jakaa tiedostoja ja tulostimia kotiverkossa. Voit määrittää kotiryhmän valitsemalla Käynnistä > Ohjauspaneeli > Verkko ja Internet > Kotiryhmä.
Tietomurtojen tunnistus
•Protokolla SMB – Havaitsee ja estää erilaisia tietoturvaongelmia SMB-protokollassa, kuten:
•Palvelintodennuksen poikkeamahaastehyökkäyksen tunnistus – Suojaa hyökkäyksiltä, jotka käyttävät todennuksen aikana poikkeamahaastetta saadakseen käyttäjän tunnistetiedot haltuunsa.
•IDS-väistön tunnistus nimetyn putken avaamisen yhteydessä – Nimettyjen MSRPC-putkien avaamisessa tunnettujen väistötekniikoiden tunnistus SMB-protokollassa.
•CVE-tunnistukset (yleiset heikkoudet ja alttiudet) – Erilaisten SMB-protokollaan kohdistuvien hyökkäysten, muotojen, tietoturva-aukkojen ja heikkouksien tunnistusmenetelmiä. Voit hakea lisätietoja CVE-tunnistimista CVE-sivustosta osoitteessa cve.mitre.org.
•DCE/RPC-protokolla – Havaitsee ja estää erilaisia etäproseduurien kutsujärjestelmän CVE:itä, jotka on kehitetty DCE (Distributed Computing Environment) -ympäristöön.
•RDP-protokolla – Havaitsee ja estää erilaisia CVE:itä RDP-protokollassa (lisätietoja on edellä).
•ARP Poisoning -hyökkäyksen tunnistus – Tunnistaa välistävetohyökkäyksen aiheuttaman ARP Poisoning -hyökkäyksen tai verkkokytkimen tutkinnan. ARP-protokollaa (Address Resolution Protocol) käytetään verkkosovelluksissa tai laitteissa määrittämään Ethernet-osoite.
•TCP/UDP-portin tutkimishyökkäyksen tunnistus – Tunnistaa portteja tutkivien ohjelmistojen hyökkäykset. Nämä ovat sovelluksia, jotka on suunniteltu etsimään isäntäkoneista avoimia portteja lähettämällä asiakaspyyntöjä porttiosoiteväleille tavoitteena löytää aktiivisia portteja ja hyödyntää palvelun heikkoutta. Lisätietoja tämän tyyppisistä hyökkäyksistä on sanastossa.
•Estä epäluotettavat osoitteet hyökkäyksen tunnistuksen jälkeen – Hyökkäysten lähteiksi havaitut IP-osoitteet lisätään estoluetteloon, jolla estetään yhteydet tietyksi ajaksi.
•Näytä ilmoitus, kun hyökkäys havaitaan – Ottaa käyttöön näytön oikean alareunan ilmaisinalueen ilmoituksen.
•Näytä ilmoitukset myös saapuvista hyökkäyksistä tietoturva-aukkoja vastaan – Hälyttää, jos havaitaan hyökkäyksiä tietoturva-aukkoja vastaan tai jos uhataan yrittää päästä tietokoneeseen tällä tavalla.
Pakettitarkistus
•Salli saapuva yhteys järjestelmänvalvojan jakamiin resursseihin SMB-protokollassa - Järjestelmänvalvojan resurssit ovat oletusarvoisia verkkojakoja, jotka jakavat järjestelmän kiintolevyosiot (C$, D$, ...) järjestelmäkansion (ADMIN$) kanssa. Järjestelmänvalvojan resurssien poistamisen käytöstä pitäisi vähentää monia tietoturvariskejä. Esimerkiksi Conficker-mato suorittaa sanakirjahyökkäyksiä järjestelmänvalvojan resursseihin yhdistämiseksi.
•Estä vanhat SMB-kielet (joita ei tueta) – Estä SMB-istunnot, jotka käyttävät vanhaa, IDS:n tukematonta SMB-kieltä. Nykyaikaiset Windows-käyttöjärjestelmät tukevat vanhoja SMB-kieliä ylläpitääkseen yhteensopivuutta vanhoihin käyttöjärjestelmiin, kuten Windows 95. Hyökkääjä voi käyttää vanhaa kieltä SMB-istunnossa välttääkseen liikenteen tarkistuksen. Estä vanhat SMB-kielet, jos tietokoneesi ei tarvitse jakaa tiedostoja (SMB-tietoliikennettä yleisesti) sellaisen tietokoneen kanssa, jossa on vanha Windows.
•Estä SMB-istunnot, joissa ei käytetä laajennettua suojausta – Laajennettua suojausta voidaan käyttää SMB-istunnon neuvottelun aikana, jotta saavutetaan turvallisempi todennusmekanismi kuin LAN Manager Challenge/Response (LM) -todennus. LM-mallia pidetään heikkona eikä sen käyttöä suositella.
•Estä ohjelmatiedostojen avaaminen palvelimessa, joka on luotettavan vyöhykkeen ulkopuolella SMB-protokollassa – Hylkää yhteyden, kun käyttäjä yrittää avata ohjelmatiedostoa (.exe, .dll) jaetusta kansiosta palvelimesta, joka ei kuulu palomuurin luotettavalle vyöhykkeelle. Huomaa, että luotettavista lähteistä tulevien suoritettavien tiedostojen kopioiminen voi olla laillista. Tämän havaitsemisen pitäisi kuitenkin pienentää haitallisilta palvelimilta avatun, ei-toivotun tiedoston riskiä (esimerkiksi tiedoston avaaminen napsauttamalla hyperlinkkiä, joka johtaa jaettuun, suoritettavaan haittatiedostoon).
•Estä NTLM-todellus SMB-protokollassa, kun palvelinyhteyttä muodostetaan luotettavalla vyöhykkeellä / luotettavan vyöhykkeen ulkopuolella – Protokollat, jotka käyttävät NTLM-todennusmalleja (molemmat versiot) ovat alttiina tunnistetietojen välityshyökkäykselle (SMB-protokollan tapauksessa SMB Relay -hyökkäyselle). NTLM-todennuksen estäminen luotettavan vyöhykkeen ulkopuolella olevan palvelimen kanssa pitäisi vähentää riskiä luotettavan vyöhykkeen ulkopuolella olevan haitallisen palvelimen suorittamasta tunnistetietojen välityksestä. Vastaavasti voit estää NTLM-todennuksen luotettavalla vyöhykkeellä olevien palvelimien kanssa.
•Salli tietoliikenne Security Account Manager -palvelun kanssa – Lisätietoja tästä palvelusta on osiossa[MS-SAMR].
•Salli tietoliikenne Local Security Authority -palvelun kanssa – Lisätietoja tästä palvelusta on osiossa [MS-LSAD] ja[MS-LSAT].
•Salli tietoliikenne Remote Registry -palvelun kanssa – Lisätietoja tästä palvelusta on osiossa [MS-RRP].
•Salli tietoliikenne Service Control Manager -palvelun kanssa – Lisätietoja tästä palvelusta on osiossa [MS-SCMR].
•Salli tietoliikenne Palvelin-palvelusta – Lisätietoja tästä palvelusta on osiossa[MS-SRVS].
•Salli tietoliikenne muiden palvelujen kanssa – MSRPC on Microsoftin toteutus DCE RPC -mekanismista. Lisäksi MSRPC voi käyttää SMB (network file sharing) -protokollan nimettyjä putkia kuljetukseen (ncacn_np transport). MSRPC-palvelut tarjoavat liittymiä Windows-järjestelmän etäkäyttöön ja -hallintaan. Windows MSRPC -järjestelmästä on löydetty ja hyödynnetty useita suojausaukkoja (Conficker-mato, Sasser-mato…). Estämällä tietoliikenteen tarpeettomiin MSRPC-palveluihin voit välttää useita tietoturvariskejä (kuten etäkoodin suorittamisen tai palveluvirhehyökkäykset).