Opzioni di filtraggio avanzate

Le sezioni relative alla protezione firewall e alla protezione attacchi di rete consentono di configurare opzioni di filtraggio avanzate ai fini del rilevamento di vari tipi di attacchi e vulnerabilità che possono interessare un computer.


note

in alcuni casi, l'utente non riceverà una notifica della minaccia relativa alle comunicazioni bloccate. Consultare il paragrafo Registrazione e creazione di regole o eccezioni a partire dal rapporto per leggere le istruzioni per la visualizzazione di tutte le comunicazioni bloccate nel rapporto del firewall.


important

La disponibilità di particolari opzioni in Configurazione avanzata (F5) > Protezione di rete > Firewall e Configurazione avanzata (F5) > Protezione di rete > Protezione attacchi di rete potrebbe dipendere dal tipo o dalla versione del modulo firewall, nonché dalla versione del sistema operativo in uso.

icon_section Servizi consentiti

Le impostazioni presenti in questo gruppo consentono di semplificare la configurazione dell'accesso ai servizi del computer in uso dall'area attendibile. Molti di essi consentono di attivare/disattivare regole firewall predefinite.

Consenti condivisione di file e stampanti nell'area sicura: consente ai computer remoti dell'area affidabile di accedere ai file e alle stampanti condivisi.

Consenti UPNP per i servizi di sistema nell'Area affidabile: consente le richieste in entrata e in uscita dei protocolli UPnP per i servizi di sistema. L'UPnP (Universal Plug and Play, noto anche con il nome di Microsoft Network Discovery) viene utilizzato in Windows Vista e nei sistemi operativi successivi.

Consenti comunicazioni RPC in entrata nell'area attendibile: attiva le connessioni TCP dall'area attendibile che consentono l'accesso ai servizi MS RPC Portmapper e RPC/DCOM.

Consenti desktop remoto nell’area attendibile: abilita le connessioni tramite Microsoft Remote Desktop Protocol (RDP) e consente ai computer nell'area attendibile di accedere al computer dell'utente tramite un programma che utilizza il protocollo RDP (ad esempio, “Connessione desktop remoto”). Vedere anche come consentire le connessioni RDP all’esterno dell’area attendibile.

Attiva registrazione in gruppi multicast tramite IGMP: consente flussi multicast IGMP in entrata/in uscita e UDP in entrata, ad esempio flussi video generati da applicazioni che utilizzano il protocollo IGMP (Internet Group Management Protocol).

Consenti la comunicazione per le connessioni con bridge: selezionare questa opzione per evitare l'interruzione delle connessioni con bridge. La rete con bridge connette una macchina virtuale a una rete utilizzando la scheda Ethernet del computer host. In caso di utilizzo di reti con bridge, la macchina virtuale può accedere ad altri dispositivi sulla rete e viceversa come se si trattasse di un computer fisico sulla rete.

Consenti Web Services Discovery (WSD) automatico per i servizi di sistema nell'area attendibile: consente le richieste Web Services Discovery in entrata dalle aree attendibili mediante il firewall. WSD è il protocollo utilizzato per la localizzazione dei servizi in una rete locale.

Consenti la risoluzione multicast degli indirizzi nell'Area affidabile (LLMNR): l'LLMNR (Link-local Multicast Name Resolution) è un protocollo basato sul pacchetto DNS che consente agli host IPv4 e IPv6 di eseguire la risoluzione dei nomi degli host sullo stesso collegamento locale senza richiedere un server DNS o la configurazione di un client DNS. Questa opzione consente le richieste multicast DNS in entrata dall'area attendibile mediante il firewall.

Supporto gruppo home di Windows: attiva il supporto del gruppo home per Windows 7 e i sistemi operativi successivi. Un HomeGroup permette di condividere file e stampanti su una rete domestica. Per configurare un Homegroup, accedere a Start > Pannello di controllo > Rete e Internet > HomeGroup.

icon_section Rilevamento intrusioni

Protocollo SMB: rileva e blocca vari problemi di sicurezza nel protocollo SMB, tra cui:

È stata rilevata l'autenticazione dell'attacco Rogue server challenge: protegge da un attacco che utilizza un rogue challenge durante l'autenticazione allo scopo di ottenere le credenziali dell'utente.

Elusione di IDS durante il rilevamento dell'apertura di un pipe con nome: rilevamento di tecniche di evasione note per l'apertura di pipe con nome MSRPC nel protocollo SMB.

Rilevamenti CVE (vulnerabilità ed esposizioni comuni): metodi di rilevamento implementati di vari attacchi, moduli, buchi di sicurezza ed exploit sul protocollo SMB. Consultare il sito Web CVE all'indirizzo cve.mitre.org per ricercare e ottenere ulteriori informazioni sugli identificatori CVE.

Protocollo RPC: rileva e blocca vari CVE nel sistema di chiamata di procedura remota sviluppato per il Distributed Computing Environment (DCE).

Protocollo RDP: rileva e blocca vari CVE nel protocollo RDP (vedere sezione precedente).

Rilevamento attacco ARP poisoning: rilevamento degli attacchi ARP poisoning attivati da attacchi "man in the middle" o dal rilevamento di sniffing durante la commutazione della rete. L'ARP (Address Resolution Protocol) viene utilizzato dall'applicazione o dispositivo di rete per la determinazione dell'indirizzo Ethernet.

Rilevamento attacco TCP/UDP Port Scanning: rileva gli attacchi del software port scanning: applicazione ideata per sondare un host di porte aperte inviando richieste client a una gamma di indirizzi di porte, con l'obiettivo di ricercare porte attive e di sfruttare la vulnerabilità del servizio. Per ulteriori informazioni su questo tipo di attacco, consultare il glossario.

Blocca indirizzo non sicuro dopo il rilevamento di un attacco: gli indirizzi IP che sono stati rilevati come fonti di attacchi vengono aggiunti alla Blacklist allo scopo di prevenire la connessione per un determinato periodo di tempo.

Visualizza notifica dopo il rilevamento attacco: attiva la notifica sulla barra delle applicazioni nell'angolo in basso a destra della schermata.

Visualizza notifiche anche per gli attacchi in ingresso contro problemi di sicurezza: avvisa l'utente in caso di rilevamento di attacchi contro buchi di sicurezza o di tentativo di accesso illecito nel sistema da parte di una minaccia.

icon_section Ispezione pacchetto

Consenti la connessione in entrata ad admin shares nel protocollo SMB: Le condivisioni amministrative (admin shares) rappresentano le condivisioni di rete predefinite delle partizioni dell'hard disk (C$, D$,...) nel sistema insieme alla cartella di sistema (ADMIN$). La disattivazione della connessione ad admin shares dovrebbe ridurre numerosi rischi di protezione. Ad esempio, il worm Conficker esegue attacchi con dizionari allo scopo di connettersi alle condivisioni amministrative.

Nega vecchi dialetti SMB (non supportati): nega sessioni SMB che utilizzano un vecchio dialetto SMB non supportato dall'IDS. I moderni sistemi operativi Windows supportano vecchi dialetti SMB in virtù della compatibilità retroattiva con vecchi sistemi operativi, come ad esempio Windows 95. L'autore di un attacco può utilizzare un vecchio dialetto in una sessione SMB allo scopo di eludere l'ispezione del traffico. Nega i vecchi dialetti SMB se il computer in uso non necessita di file di condivisione (o utilizzare la comunicazione SMB in generale) con un computer su cui è installata una vecchia versione di Windows.

Nega le sessioni SMB in assenza di estensioni di protezione: l'estensione della protezione può essere utilizzata durante la negoziazione della sessione SMB allo scopo di fornire un meccanismo di autenticazione più sicuro rispetto all'autenticazione LAN Manager Challenge/Response (LM). Poiché lo schema LM è considerato debole, se ne sconsiglia l'utilizzo.

Nega l'apertura di file eseguibili su un server esterno rispetto all'area attendibile nel protocollo SMB: interrompe la connessione durante il tentativo dell'utente di aprire un file eseguibile (.exe, .dll e così via) da una cartella condivisa sul server non appartenente all'area attendibile nel firewall. Si tenga presente che la copia di file eseguibili da fonti attendibili può essere legittima. Tuttavia, questo rilevamento dovrebbe ridurre i rischi derivanti dall'apertura indesiderata di un file su un server dannoso (ad esempio, un file aperto facendo clic su un collegamento ipertestuale a un file eseguibile dannoso condiviso).

Nega autenticazione NTLM nel protocollo SMB per la connessione a un server all'interno/esterno dell'Area attendibile: i protocolli che utilizzano gli schemi di autenticazione NTLM (entrambe le versioni) sono soggetti a un attacco basato sull'inoltro di credenziali (noto con il nome di attacco SMB Relay nel caso del protocollo SMB). Negare l'autenticazione NTLM con un server esterno all'Area affidabile dovrebbe ridurre i rischi derivanti dall'inoltro delle credenziali da parte di un server dannoso all'esterno dell'Area affidabile. Allo stesso modo, è possibile negare l'autenticazione NTLM con i server nell'area attendibile.

Consenti la comunicazione con il servizio Security Account Manager: per ulteriori informazioni su questo servizio, consultare [MS-SAMR].

Consenti la comunicazione con il servizio Local Security Authority: per ulteriori informazioni su questo servizio, consultare [MS-LSAD] e [MS-LSAT].

Consenti comunicazione con il servizio Remote Registry: per ulteriori informazioni su questo servizio, consultare [MS-RRP].

Consenti la comunicazione con il servizio Service Control Manager: per ulteriori informazioni su questo servizio, consultare [MS-SCMR].

Consenti la comunicazione con il servizio Server: per ulteriori informazioni su questo servizio, consultare [MS-SRVS].

Consenti comunicazione con gli altri servizi – MSRPC è l'implementazione Microsoft del meccanismo DCE RPC. Inoltre, MSRPC utilizza pipe con nome riportati nel protocollo SMB (condivisione file di rete) per il trasporto (trasporto ncacn_np). I servizi MSRPC offrono interfacce di accesso e di gestione remoti per i sistemi Windows. Nel sistema MSRPC di Windows Sono state scoperte e utilizzate "in the wild" numerose vulnerabilità di sicurezza (worm Conficker, worm Sasser, ecc.). Disattivare la comunicazione con i servizi MSRPC che non è necessario fornire per ridurre numerosi rischi di sicurezza (come ad esempio attacchi dovuti all'esecuzione remota di codice o a errori di servizi).