Avanserte filtreringsalternativer

Delene for beskyttelse mot brannmur- og nettverksangrep lar deg konfigurere avanserte filtreringsalternativer for å oppdage flere typer angrep og sårbarheter som kan utføres mot datamaskinen din.

Tillatte tjenester

Innstillinger i denne gruppen er ment å forenkle konfigurasjonen av tilgang til tjenester som kjører på datamaskinen fra den klarerte sonen. Mange av dem aktiverer/deaktiverer forhåndsdefinerte brannmurregler.

•Tillat deling av filer og skrivere i Klarert sone– Gir eksterne datamaskiner i den klarerte sonen tilgang til dine delte filer og skrivere.

•Tillat UPNP for systemtjenester i Klarert sone – Tillater innkommende og utgående forespørsler fra UPnP-protokoller for systemtjenester. UPnP (Universal Plug and Play, også kjent som Microsoft Network Discovery) brukes i Windows Vista og senere operativsystemer.

•Tillat innkommende RPC-kommunikasjon i Klarert sone – Aktiverer at TCP-tilkoblinger fra den klarerte sonen gir tilgang til MS RPC-Portmapper og RPC/DCOM-tjenester.

•Tillat eksternt skrivebord i Klarert sone – Aktiverer tilkoblinger via Microsoft Remote Desktop Protocol (RDP) og gir datamaskiner i den klarerte sonen tilgang til datamaskinen din gjennom programmer som bruker RDP (for eksempel «Remote Desktop Connection»). Se også hvordan du tillater RDP-tilkoblinger utenfor Klarert sone.

•Aktiver innlogging til multicast-grupper gjennom IGMP – Tillater innkommende/utgående IGMP- og innkommende UDP-multicaststreamer, for eksempel videostreamer generert av programmer som bruker IGMP-protokollen (Internet Group Management Protocol).

•Tillat kommunikasjon for brokoblede tilkoblinger – Velg dette alternativet for å unngå å avslutte brokoblede tilkoblinger. Brokoblede nettverk kobler en virtuell maskin til et nettverk ved hjelp av vertsdatamaskinens Ethernet-adapter. Hvis du bruker brokoblede nettverk, kan den virtuelle maskinen få tilgang til andre enheter på nettverket, og omvendt, som om det var en fysisk datamaskin på nettverket.

•Tillat automatisk Web Services Discovery (WSD) for systemtjenester i Klarert sone – Tillater innkommende Web Services Discovery-forespørsler fra Klarert sone gjennom brannmuren. WSD er protokollen som brukes til å lokalisere tjenester i et lokalt nettverk.

•Tillatt oppslag av multicast-adresser fra Klarert sone (LLMNR) – LLMNR er en DNS-pakkebasert protokoll som tillater både IPv4- og IPv6-verter å utføre navnegjenkjenning for verter på samme lokale kobling uten å kreve DNS-server- eller DNS-klientkonfigurasjon. Dette alternativet tillater innkommende multicast DNS-forespørsler fra/til den klarerte sonen gjennom brannmuren.

•Windows HomeGroup-støtte – Aktiverer HomeGroup-støtte for Windows 7 og senere operativsystemer. En hjemmegruppe kan dele filer og skrivere på et hjemmenettverk. Du konfigurerer en hjemmegruppe ved å gå til Start > Kontrollpanel > Nettverk og Internett > Hjemmegruppe.

Inntrengingsgjenkjenning

•Protokoll SMB – Oppdager og blokkerer ulike sikkerhetsproblemer i SMB-protokollen, nærmere bestemt:

•Gjenkjenne autentisering av Rogue server challenge-angrep – Beskytter deg mot et angrep som benytter et svindelanrop under autentisering for å innhente opplysninger om brukeren.

•Gjenkjenning av IDS-unngåelse under åpning av navngitt datakanal– Gjenkjenning av kjente unngåelsesteknikker for navngitte MSRPCS-datakanaler i SMB-protokollen.

•CVE-gjenkjenninger (Common Vulnerabilities and Exposures) – Implementerte gjenkjenningsmetoder for ulike angrep, skjemaer, sikkerhetshull og utnyttelser av svakheter over SMB-protokollen. Se CVE-nettstedet på cve.mitre.org for å søke etter og innhente mer detaljert informasjon om CVE-identifikatorer (CVE-er).

•Protokoll RPC – Oppdager og blokkerer ulike CVE-er i det eksterne prosedyreanropssystemet for Distributed Computing Environment (DCE).

•Protocol RDP – Oppdager og blokkerer ulike CVE-er i RDP-protokollen (se ovenfor).

•Gjenkjenne ARP Poisoning-angrep – Gjenkjenner mellommannbaserte ARP poisoning-angrep eller avslører sniffing ved nettverkbryter. ARP (Address Resolution Protocol) brukes av nettverkprogrammet eller -enheten for å fastsette Ethernet-adressen.

•Gjenkjenne TCP/UDP Port Scanning-angrep – Gjenkjenner angrep fra portprogrammer som skanner porter – programvare som er utformet for å søke etter åpne porter hos en vert gjennom å sende klientforespørsler til en rekke portadresser. Formålet er å finne aktive porter og utnytte svakheten til tjenesten. Du kan lese mer om denne angrepstypen i ordlisten.

•Blokker usikker adresse når angrep avsløres – IP-adresser som er avslørt som kilder til angrep, føyes til Svartelisten for å hindre tilkobling i en bestemt periode.

•Vis melding etter angrepsgjenkjenning– Aktiverer meldinger i systemstatusfeltet nederst til høyre på skjermen.

•Vis melding også for innkommende angrep mot sikkerhetshull – Varsler deg hvis angrep mot sikkerhetshull oppdages, eller hvis en trussel prøver å komme inn i systemet denne veien.

Pakkekontroll

•Tillat innkommende kobling å administrere deler i SMB-protokollen – De administrative delene er standard nettverksdelene som deler harddisk-partisjoner (C$, D$, ...) i systemet sammen med systemmappen (ADMIN$). Det bør minske en rekke sikkerhetsrisikoer å deaktivere kobling til administrativ deling. For eksempel gjennomfører Conficker-ormen angrep på kataloger for å koble seg til administrative deler.

•Avvis gamle (ustøttede) SMB-dialekter – Avvis SMB-sesjoner som valgte en gammel SMB-dialekt som ikke støttes av IDS. Moderne Windows operativsystemer støtter gamle SMB-dialekter på grunn av kompatibilitet med gamle operativsystemer som Windows 95. Angriperen kan bruke en gammel dialekt i en SMB-sesjon for å omgå trafikkinspeksjon. Avvis gamle SMB-dialekter hvis datamaskinen din ikke trenger å dele filer (eller bruke SMB-kommunikasjon generelt) med en datamaskin som har en gammel Windows-versjon.

•Avvis SMB-sesjoner uten utvidet sikkerhet – Du kan bruke Utvidet sikkerhet under SMB-sesjonsvalg for å sørge for en sikrere autentiseringsmekanisme enn LAN Manager Challenge/Response (LM)-autentisering. LM-oppsettet betraktes som svakt og bør ikke brukes.

•Avvis åpning av kjørbare filer på en server utenfor Klarert sone i SMB-protokoll – Dropper tilkoblingen når du prøver å kjøre en kjørbar fil (.exe, .dll) fra en delt mappe på serveren som ikke tilhører Klarert sone i brannmuren. Merk at det kan være legitimt å kopiere kjørbare filer fra klarerte kilder. Denne avsløringen bør imidlertid minske risikoen for uønsket åpning av en fil på en skadelig server (for eksempel en fil som åpnes ved å klikke på en kobling til en delt skadelig kjørbar fil).

•Avvis NTLM-autentisering i SMB-protokollen for å koble til en server i/utenfor Klarert sone – Protokoller som benytter NTLM (begge versjoner)-autentiseringsoppsett utsettes for et angrep som fremmer opplysninger (kjent som SMB Relay-angrep i tilknytning til SMB-protokollen). Avvisning av NTLM-autentisering med en server utenfor Klarert sone bør minske risikoen ved å fremme opplysninger fra en skadelig server utenfor den klarerte sonen. På samme måte kan NTLM-autentisering også avvises for servere i den klarerte sonen.

•Tillat kommunikasjon med tjenesten Sikkerhetsbehandling for konto – For mer informasjon om denne tjenesten, se [MS-SAMR].

•Tillat kommunikasjon med tjenesten Lokal sikkerhetsautoritet – For mer informasjon om denne tjenesten, se [MS-LSAD] og [MS-LSAT].

•Tillat kommunikasjon med tjenesten Eksternt register – For mer informasjon om denne tjenesten, se [MS-RRP].

•Tillat kommunikasjon med tjenesten Tjenestekontrollbehandling – For mer informasjon om denne tjenesten, se [MS-SCMR].

•Tillat kommunikasjon med Servertjenesten – For mer informasjon om denne tjenesten, se [MS-SRVS].

•Tillat kommunikasjon med de andre tjenestene – MSRPC er Microsofts implementering av DCE RPC-mekanismen. Dessuten kan MSRPC bruke navngitte datakanaler i SMB- (nettverksfildelings-) protokollen for transport (ncacn_np transport). MSRPC-tjenester gjør grensesnitt tilgjengelig for tilgang og fjernstyring av Windows-systemer. En rekke svakheter ved sikkerheten ble oppdaget og utnyttet til det ytterste i Windows MSRPC-systemet (Conficker-ormer, Sasser-orm, …). Deaktiver kommunikasjon med MSRPC-tjeneste som du ikke trenger. Slik bidrar du til å minske mange sikkerhetsrisikoer (som fjernkodeutøvelse eller tjenestefeilangrep).