Napredne možnosti filtriranja
V razdelkih »Požarni zid« in »Zaščita pred napadi iz omrežja« lahko konfigurirate napredne možnosti filtriranja, ki zaznajo različne vrste napadov, ki jih je mogoče izvesti na računalnik, in ranljivosti, ki jih je mogoče izkoristiti.
v nekaterih primerih ne boste prejeli obvestila o grožnji o blokirani komunikaciji. Navodila za ogled vseh blokiranih komunikacij v dnevniku požarnega zidu najdete v razdelku Pisanje dnevnika in ustvarjanje pravil ali izjem iz dnevnika. |
Razpoložljivost določenih možnosti v naprednih nastavitvah (F5) > Zaščita omrežja > Požarni zid in naprednih nastavitvah (F5) > Zaščita omrežja > Zaščita pred napadi iz omrežja se lahko razlikuje glede na vrsto vašega modula požarnega zidu in različico operacijskega sistema. |
Omogočene storitve
Nastavitve v tej skupini naj bi poenostavile konfiguracijo dostopa do storitev v tem računalniku iz zaupanja vrednega območja. Številne od njih omogočijo/onemogočijo vnaprej določena pravila požarnega zidu.
•Omogoči skupno rabo datotek in tiskalnikov v zaupanja vrednem območju – oddaljenim računalnikom v zaupanja vrednem območju omogoči dostop do datotek in tiskalnikov v skupni rabi.
•Omogoči UPNP za sistemske storitve v zaupanja vrednem območju – omogoči dohodne in odhodne zahteve protokolov UPnP za sistemske storitve. Protokol UPnP (Universal Plug and Play), znan tudi kot Microsoftovo odkrivanje omrežja, se uporablja v operacijskem sistemu Windows Vista in novejših operacijskih sistemih.
•Omogoči dohodno komunikacijo RPC v zaupanja vrednem območju – omogoči povezave TCP v zaupanja vrednem območju in s tem dostop do storitev MS RPC Portmapper in RPC/DCOM.
•Omogoči oddaljeno namizje v zaupanja vrednem območju – omogoči povezave prek Microsoftovega protokola RDP (Remote Desktop Protocol) in dovoli računalnikom v zaupanja vrednem območju dostop do vašega računalnika s programom, ki uporablja RDP (na primer povezavo z oddaljenim namizjem). Oglejte si tudi kako dovoliti povezave RDP zunaj zaupanja vrednega območja.
•Omogoči pisanje dnevnika za skupine večvrstnega oddajanja prek protokola IGMP – omogoči dohodne/odhodne tokove za večvrstno oddajanje IGMP in dohodne tokove za večvrstno oddajanje UDP, na primer videotoke, ki jih ustvarijo programi s protokolom IGMP (protokol za upravljanje internetnih skupin).
•Dovoli komunikacijo za mostične povezave – izberite to možnost in se tako izognite prekinjanju mostičnih povezav. Pri mostičnem omrežju se navidezni računalnik poveže v omrežje prek Ethernetnega vmesnika gostiteljskega računalnika. Če uporabljate mostično omrežje, lahko navidezni računalnik dostopa do drugih naprav v omrežju in obratno, torej enako kot fizični računalnik v omrežju.
•Omogoči samodejni WSD (Web Services Discovery) za sistemske storitve v zaupanja vrednem območju – omogoča dohodne zahteve WSD iz zaupanja vrednih območij prek požarnega zidu. WSD je protokol za iskanje storitev v lokalnem omrežju.
•Omogoči razreševanja naslovov za večvrstno oddajanje v zaupanja vrednem območju (LLMNR) – LLMNR (Link–local Multicast Name Resolution) je protokol, ki temelji na paketu DNS, in omogoča gostiteljem protokolov IPv4 in IPv6 prepoznavanje imena gostiteljev v isti lokalni povezavi, in sicer brez konfiguriranja strežnika DNS ali odjemalca DNS. Ta možnost omogoča dohodne zahteve za večvrstno oddajanje prek protokola DNS iz zaupanja vrednega območja prek požarnega zidu.
•Podpora domače skupine sistema Windows – omogoča podporo domače skupine za Windows 7 in novejše operacijske sisteme. Domača skupina lahko daje datoteke in tiskalnike v skupno rabo v domačem omrežju. Če želite konfigurirati domačo skupino, se pomaknite v razdelek Start > Nadzorna plošča > Omrežje in internet > Domača skupina.
Zaznavanje vdorov
•Protokol SMB – zazna in blokira različne varnostne težave v protokolu SMB, in sicer:
•Zaznavanje napada na preverjanje pristnosti s pozivom sleparskega strežnika – ščiti pred napadom sleparskega poziva med preverjanjem pristnosti, da bi pridobil uporabniške poverilnice.
•Zaznavanje napada z izogibanjem IDS–ja med odpiranjem poimenovane cevi – zaznavanje poznanih napadov z izogibanjem za odpiranje poimenovanih cevi MSRPC v protokolu SMB.
•Zaznavanje splošnih ranljivosti in nevarnosti (CVE – Common Vulnerabilities and Exposures) – implementirane metode zaznavanja različnih napadov, predpisov, varnostnih lukenj in zlorabe prek protokola SMB. Za podrobnejše informacije o identifikatorjih CVE obiščite spletno mesto CVE na naslovu cve.mitre.org.
•Protokol RPC – zazna in blokira različne splošne ranljivosti in nevarnosti v sistemu klica oddaljene procedure, zasnovanega za DCE (Distributed Computing Environment).
•Protokol RDP – zazna in blokira različne splošne ranljivosti in nevarnosti v protokolu RDP (glejte zgoraj).
•Zaznavanje napadov zastrupljanja ARP-ja – zaznavanje napada zastrupljanja ARP-ja, ki ga sprožijo napadi vmesnega člena, ali zaznavanje iskanja omrežnega preklopnika. Omrežni program ali naprava uporabljata ARP (Address Resolution Protocol) za določanje ethernetnega naslova.
•Zaznavanje napadov na pregled vrat TCP/UDP – zazna napade programske opreme za pregledovanje vrat – program, ki je zasnovan tako, da preverja, ali ima gostitelj odprta vrata, in sicer tako, da pošilja zahteve odjemalca na različne naslove vrat, da bi našel aktivna vrata in izkoristil ranljivost storitve. Več o tej vrsti napadov preberite v slovarju izrazov.
•Blokiraj nevaren naslov po zaznanem napadu – naslovi IP, ki so bili zaznani kot vir napadov, so dodani na seznam blokiranih pošiljateljev in povezava je nekaj časa onemogočena.
•Prikaži obvestilo, ko je zaznana napad – vklopi obvestilo opravilne vrstice v spodnjem desnem kotu zaslona.
•Prikaži obvestila tudi za dohodne napade varnostnih lukenj – opozori, če so zaznani napadi varnostnih lukenj ali če grožnja na ta način poskuša vstopiti v sistem.
Preverjanje paketov
•Dovoli dohodno povezavo s skrbniškimi omrežnimi pogoni v protokolu SMB – skrbniški omrežni pogoni so privzeti omrežni pogoni, ki omogočajo skupno rabo particij trdega diska (C$, D$, ...) v sistemu in sistemske mape (ADMIN$). Če onemogočite povezavo s skrbniškimi omrežnimi pogoni, zmanjšate številna varnostna tveganja. Črv Conficker na primer izvaja napade s slovarjem, da se poveže s skrbniškimi omrežnimi pogoni.
•Zavrni stare (nepodprte) dialekte SMB – zavrnite seje SMB s starim dialektom SMB, ki ga IDS ne podpira. Moderni operacijski sistemi Windows podpirajo stare dialekte SMB zaradi vzvratne združljivosti s starejšimi operacijskimi sistemi, kot je Windows 95. Napadalec lahko v seji SMB uporabi star dialekt SMB, da se izogne preverjanju prometa. Zavrnite stare dialekte SMB, če vam ni treba omogočiti skupne rabe datotek (ali uporabiti komunikacije SMB) z računalnikom s starejšo različico sistema Windows.
•Zavrni seje SMB brez razširjene varnosti – razširjeno varnost lahko uporabite med pogajanji o seji SMB, da bi zagotovili varnejši mehanizem preverjanja pristnosti od protokola preverjanja pristnosti izziv–odgovor za LAN Manager (LM). Shema LM se smatra za šibko in je ni priporočljivo uporabljati.
•Zavrni odpiranje izvedljivih datotek v protokolu SMB v strežniku, ki je zunaj zaupanja vrednega območja – prekine povezavo, ko poskušate odpreti izvedljivo datoteko (.exe, .dll ...) iz mape v skupni rabi v strežniku, ki ni v zaupanja vrednem območju požarnega zida. Kopiranje izvedljivih datotek iz zaupanja vrednih virov je lahko zakonito, vendar pa to zaznavanje poskuša zmanjšati tveganje neželenega odpiranja datotek v zlonamernih strežnikih (če datoteko na primer odprete tako, da kliknete hiperpovezavo do zlonamerne izvedljive datoteke v skupni rabi).
•Zavrni preverjanje pristnosti NTLM v protokolu SMB za vzpostavljanje povezave s strežnikom v zaupanja vrednem območju ali zunaj njega – protokoli, ki uporabljajo sheme preverjanja pristnosti NTLM (obe različici), so predmet napada na posredovanje poverilnic (znanega kot napad na rele SMB v primeru protokola SMB). Zavrnitev preverjanja pristnosti NTLM v strežniku zunaj zaupanja vrednega območja zmanjša tveganje posredovanja poverilnic zlonamernega strežnika zunaj zaupanja vrednega območja. Preverjanje pristnosti NTLM lahko zavrnete tudi v strežnikih v zaupanja vrednem območju.
•Dovoli komunikacijo s storitvijo upravitelja varnostnih računov – če želite več informacij o tej storitvi, glejte [MS–SAMR].
•Dovoli komunikacijo s storitvijo lokalnega varnostnega urada – če želite več informacij o tej storitvi, glejte [MS-LSAD] in [MS-LSAT].
•Dovoli komunikacijo s storitvijo oddaljenega registra – če želite več informacij o tej storitvi, glejte [MS–RRP].
•Dovoli komunikacijo s storitvijo upravitelja varnostnih računov – če želite več informacij o tej storitvi, glejte [MS–SCMR].
•Dovoli komunikacijo s strežniško storitvijo – če želite več informacij o tej storitvi, glejte [MS–SRVS].
•Dovoli komunikacijo z drugimi storitvami – MSRPC je Microsoftova izvedba mehanizma DCE RPC. Poleg tega lahko MSRPC uporablja tudi poimenovane cevi, ki jih vnese v protokol SMB (skupna raba omrežnih datotek) za prenos (prenos ncacn_np). Storitve MSRPC zagotavljajo vmesnike za oddaljeni dostop in oddaljeno upravljanje sistemov Windows. V sistemu Windows MSRPC je bilo odkritih in izkoriščenih več varnostnih ranljivosti (črv Conficker, črv Sasser ...). Če onemogočite komunikacijo s storitvami MSRPC, ki jih ne potrebujete, zmanjšate številna varnostna tveganja (na primer izvajanje oddaljene kode ali napadi zavrnitve storitve).