Napredne opcije filtriranja

Odeljci o zaštitnom zidu i zaštiti od napada sa mreže vam omogućavaju da konfigurišete napredne opcije filtriranja za otkrivanje nekoliko tipova napada i ranjivosti koji mogu da upotrebe na štetu računara.

Dozvoljene usluge

Postavke u ovoj grupi su predviđene za lakše konfigurisanje pristupa uslugama ovog računara iz pouzdane zone. Veliki deo njih aktivira/deaktivira unapred definisana pravila zaštitnog zida.

•Dozvoli deljenje datoteka i štampača u pouzdanoj zoni – Dozvoljava daljinskim računarima iz pouzdane zone da pristupe datotekama i štampačima koje delite.

•Dozvoli UPNP za sistemske usluge u pouzdanoj zoni – Dozvoljava dolazne i odlazne zahteve UPnP protokola za sistemske usluge. UPnP (Universal Plug and Play poznato i kao Microsoft Network Discovery) koristi se u operativnom sistemu Windows Vista i novijim sistemima.

•Dozvoli dolaznu RPC komunikaciju u pouzdanoj zoni – Aktivira TCP veze iz pouzdane zone i tako omogućava pristup za usluge MS RPC Portmapper i RPC/DCOM.

•Dozvoli daljinsku radnu površinu u pouzdanoj zoni – Aktivira veze putem protokola Microsoft Remote Desktop Protocol (RDP) i dozvoljava računarima u pouzdanoj zoni da pristupe računaru pomoću programa koji koristi RDP (na primer, program za vezu sa daljinskom radnom površinom). Pogledajte i kako da omogućite RDP povezivanje izvan pouzdane zone.

•Aktiviraj evidentiranje u multicast grupama putem IGMP-a – Omogućava dolazne/odlazne IGMP i dolazne UDP multicast tokove, na primer, video tokove koje generišu aplikacije koristeći IGMP protokol.

•Dozvoli komunikaciju za premošćene veze – Izaberite ovu opciju da biste izbegli prekidanje premošćenih veza. Premošćeno umrežavanje povezuje virtuelnu mašinu sa mrežom pomoću ethernet adaptera host računara. Ako koristite premošćemo umrežavanje, virtualna mašina može da pristupi drugim uređajima na mreži i obratno, kao da je fizički računar na mreži.

•Dozvoli automatsko otkrivanje veb usluga (WSD) za sistemske usluge u pouzdanoj zoni – Omogućava dolazne zahteve otkrivanja veb usluga iz pouzdane zone kroz zaštitni zid. WSD je protokol koji se koristi za lociranje usluga na lokalnoj mreži.

•Dozvoli razrešavanje multicast adrese u pouzdanoj zoni (LLMNR) – LLMNR je protokol zasnovan na DNS paketu koji omogućava IPv4 i IPv6 hostovima da izvršavaju razrešavanje imena za hostove na istoj lokalnoj vezi bez konfiguracije DNS klijenta ili DNS servera. Ova opcija omogućava dolazne multicast DNS zahteve iz pouzdane zone kroz zaštitni zid.

•Podrška za Windows HomeGroup – Aktivira podršku za matičnu grupu za Windows 7 i novije operativne sisteme. Matična grupa može da deli datoteke i štampače na kućnoj mreži. Da biste konfigurisali matičnu grupu, idite na Start > Kontrolna tabla > Mreža i Internet > Matična grupa.

Otkrivanje upada

•Protokol SMB – Otkriva i blokira razne bezbednosne probleme u SMB protokolu i podrazumeva:

•Otkrivanje napada potvrde identiteta piratskog servera – Štiti od napada koji koriste piratske tehnike u toku potvrde identiteta da bi došli do korisničkih akreditiva.

•Otkrivanje IDS odstupanja tokom otvaranja navedenog prolaza – Otkrivanje poznatih tehnika odstupanja koje se koriste za otvaranje MSRPC navedenih prolaza u SMB protokolu.

•Otkrivanje uobičajenih ranjivih tačaka i izloženosti napadima (CVE) – Primenjene metode otkrivanja različitih napada, obrazaca, bezbednosnih propusta i zloupotrebe putem SMB protokola. Pogledajte CVE veb lokaciju na adresi cve.mitre.org da biste pretražili i pronašli detaljnije informacije o CVE identifikatorima.

•Protokol RPC – Otkriva i blokira razne CVE napade u sistemu poziva za daljinsku proceduru razvijene za distribuirano računarsko okruženje (DCE).

•Protokol RDP – Otkriva i blokira razne CVE napade u RDP protokolu (pogledajte gore).

•Otkrivanje napada trovanjem ARP-a – Otkrivanje napada trovanjem ARP-a prouzrokovanog napadom posrednika ili otkrivanje prisluškivanja prilikom promene mreže. Mrežna aplikacija ili uređaj koriste ARP (protokol za razrešavanje adresa) za određivanje ethernet adrese.

•Otkrivanje napada skeniranjem TCP/UDP porta – Otkriva napade softvera ili aplikacija za skeniranje porta koji su osmišljeni tako da traže otvorene portove na hostu slanjem zahteva klijenta velikom broju adresa porta sa ciljem pronalaženja aktivnih portova i iskorišćavanja ranjivosti usluge. Više o ovom tipu napada pročitajte u rečniku.

•Blokiranje nebezbednih adresa nakon otkrivanja napada – IP adrese koje su otkrivene kao izvor napada dodaju se na crnu listu da bi se sprečilo povezivanje na određeni vremenski period.

•Prikaži obaveštenje nakon otkrivanja napada – Uključuje obaveštenja sistemske palete u donjem desnom uglu ekrana.

•Prikaži obaveštenja i za dolazne napade na bezbednosne propuste – Upozorava vas ako se otkrije napad na bezbednosne propuste ili ako pretnja pokuša na taj način da uđe u sistem.

Provera paketa

•Dozvoli dolazne veze sa administratorskim deljenim resursima u SMB protokolu – Administratorski deljeni resursi su podrazumevana deljenja na mreži koja dele particije čvrstog diska (C$, D$...) u sistemu zajedno sa sistemskom fasciklom (ADMIN$). Deaktiviranje veze sa administratorskim deljenjima može da umanji brojne bezbednosne rizike. Na primer, ako crv Conficker izvrši napad na rečnik da bi se povezao sa deljenjima administratora.

•Zabrani stari (nepodržan) SMB dijalekat – Onemogućava SMB sesiju koja koristi stari SMB dijalekat koji IDS ne podržava. Moderni Windows operativni sistemi podržavaju stare SMB dijalekte zbog kompatibilnosti sa starim verzijama operativnih sistema kao što je Windows 95. Napadač može da koristi stari dijalekat u SMB sesiji da bi izbegao proveru saobraćaja. Zabranite stare SMB dijalekte ako računar ne mora da deli datoteke (ili koristi SMB komunikaciju uopšte) sa računarom koji ima staru verziju operativnog sistema Windows.

•Zabrani SMB sesije bez proširene bezbednosti – Proširena bezbednost može da se koristi prilikom SMB sesije da bi se osigurao bezbedniji mehanizam provere identiteta od potvrde identiteta LAN menadžera za pitanje i odgovor. Šema LAN menadžera se smatra slabom i ne preporučuje se za korišćenje.

•Zabrani otvaranje izvršnih datoteka na serveru van pouzdane zone u SMB protokolu – Prekida vezu kada pokušavate da pokrenete izvršnu datoteku (.exe, .dll) iz deljene fascikle na severu koja ne pripada pouzdanoj zoni u zaštitnom zidu. Imajte u vidu da kopiranje izvršnih datoteka iz pouzdanih izvora može da bude legitimno, međutim, ovo otkrivanje bi trebalo da smanji rizik od neželjenog otvaranja datoteke na zlonamernom serveru (na primer, datoteka koja je otvorena nakon klika na hipervezu u deljenoj zlonamernoj izvršnoj datoteci).

•Zabrani NTLM potvrdu identiteta u SMB protokolu za povezivanje servera u pouzdanoj zoni i van nje – Protokoli koji koriste NTLM (obe verzije) šeme potvrde identiteta su ciljevi napada sa prosleđivanjem akreditiva (poznatih kao napada „SMB Relay“ u slučaju SMB protokola). Zabrana NTLM potvrde identiteta sa serverom van pouzdane zone bi trebalo da smanji rizik od prosleđivanja podataka zlonamernih servera van pouzdane zone. Slično tome, može se zabraniti NTLM potvrda identiteta sa serverima u pouzdanoj zoni.

•Dozvoli komunikaciju sa uslugom upravljanja bezbednosnim nalozima – Više informacija o ovoj usluzi potražite u članku [MS-SAMR].

•Dozvoli komunikaciju sa uslugom lokalnog bezbednosnog autoriteta – Više informacija o ovoj usluzi potražite u člancima [MS-LSAD] i [MS-LSAT].

•Dozvoli komunikaciju sa uslugom daljinskog registra – Više informacija o ovoj usluzi potražite u članku [MS-RRP].

•Dozvoli komunikaciju sa uslugom kontrole upravljanja uslugama – Više informacija o ovoj usluzi potražite u članku [MS-SCMR].

•Dozvoli komunikaciju sa uslugom servera – Više informacija o ovoj usluzi potražite u članku [MS-SRVS].

•Dozvoli komunikaciju sa ostalim uslugama – MSRPC je Microsoft implementacija DCE RPC mehanizma. MSRPC može da koristi imenovane prolaze do SMB protokola (deljenje datoteka na mreži) za prenos (ncacn_np transport). MSRPC usluge obezbeđuju interfejse za daljinsko pristupanje Windows sistemima i upravljanje njima. Nekoliko bezbednosnih ranjivosti je otkriveno i iskorišćeno na novi način u Windows MSRPC sistemu (crv Conficker, crv Sasser…). Deaktivirajte komunikaciju sa MSRPC uslugama koje vam nisu potrebne da biste umanjili brojne bezbednosne rizike (kao što je daljinsko izvršavanje koda ili napadi na usluge).