Avancerade filtreringsalternativ

I avsnitten Brandvägg och Skydd mot nätverksattacker kan du konfigurera avancerade filtreringsalternativ för att detektera flera olika typer av attacker och sårbarheter som datorn kan råka ut för.


note

I en del fall får du inget hotmeddelande om blockerad kommunikation. Se avsnittet Logga och skapa regler eller undantag från logg för anvisningar om hur du visar all blockerad kommunikation i brandväggsloggen.


important

Tillgängligheten för särskilda alternativ i Avancerade inställningar (F5) > Nätverksskydd > Brandvägg och Avancerade inställningar (F5) > Nätverksskydd > Skydd mot nätverksattacker kan variera beroende på brandväggsmodulens typ eller version samt operativsystemets version.

icon_section Tillåtna tjänster

Inställningarna i gruppen är avsedda att förenkla konfigurationen av åtkomst till datorns tjänster från Tillförlitliga platser. Många av dem aktiverar/inaktiverar fördefinierade brandväggsregler.

Tillåt fil- och skrivardelning i Tillförlitliga platser – tillåter fjärrdatorer på Tillförlitliga platser att få åtkomst till dina delade filer och skrivare.

Tillåt UPNP för systemtjänster på Tillförlitliga platser – tillåter inkommande och utgående förfrågningar om UPnP-protokoll för systemtjänster. UPnP (Universal Plug and Play, även kallat Microsoft Network Discovery) används i Windows Vista och nyare operativsystem.

Tillåt inkommande RPC-kommunikation i Tillförlitliga platser – aktiverar TCP-anslutningar från Tillförlitliga platser vilket ger tillgång till MS RPC Portmapper och RPC/DCOM-tjänster.

Tillåt fjärrskrivbord i Tillförlitliga platser – aktiverar anslutningar via Microsoft RPD (Remote Desktop Protocol) och gör det möjligt för datorer i Tillförlitliga platser att få åtkomst till din dator med ett program som använder RPD (till exempel Anslutning till fjärrskrivbord). Se även hur du tillåter RDP-anslutningar utanför betrodda zoner.

Aktivera inloggning i multicast-grupper genom IGMP – tillåter inkommande/utgående IGMP- och inkommande UDP-multicastströmmar, till exempel videoströmmar som genererats av program som använder IGMP-protokollet (Internet Group Management Protocol).

Tillåt kommunikation för bryggade anslutningar – välj det här alternativet för att undvika att avsluta bryggade anslutningar. Med bryggade nätverk ansluts en virtuell dator till ett nätverk med hjälp av värddatorns Ethernet-adapter. Om du använder bryggade nätverk kan den virtuella datorn komma åt andra enheter i nätverket och vice versa, som om det vore en fysisk dator i nätverket.

Tillåt automatiska Web Services Discovery-förfrågningar (WSD) för systemtjänster på Tillförlitliga platser – tillåter inkommande Web Services Discovery-förfrågningar från Tillförlitliga platser genom brandväggen. WSD är det protokoll som används för att hitta tjänster i ett lokalt nätverk.

Tillåt uppslag av multicastadresser i Tillförlitliga platser (LLMNR) – LLMNR (Link-local Multicast Name Resolution) är ett DNS-paketbaserat protokoll som tillåter att både IPv4- och IPv6-värdar utför namnmatchning på samma lokala länk utan att kräva en DNS-server- eller DNS-klientkonfiguration. Med detta alternativ tillåts inkommande multicast-DNS-förfrågningar från Tillförlitliga platser genom brandväggen.

Stöd för hemgrupp i Windows – aktiverar stöd för hemgrupp i Windows 7 och senare operativsystem. En hemgrupp kan dela filer och skrivare på ett hemnätverk. Konfigurera en hemgrupp genom att gå till Start > Kontrollpanelen > Nätverk och Internet > Hemgrupp.

icon_section Intrångsdetektering

SMB-protokoll – identifierar och blockerar olika säkerhetsproblem i SMB-protokollet:

Identifiera Rougue-anrop i NTLM-autentiseringsprotokoll – skyddar mot angrepp som använder Rouge-anrop för att komma åt användaridentifiering under autentisering.

Identifiering av IDS-undvikande öppning av namngiven pipe – identifiering av kända tekniker för att undvika öppning i MSRPC-pipes i SMB-protokollet.

CVE-detektering (Common Vulnerabilities and Exposures) – implementerade identifieringsmetoder för olika angrepp, formulär, säkerhetshål och kryphål över SMB-protokollet. Se CVE-webbplatsen på cve.mitre.org för sökning och ytterligare information om CVE-identifierare (CVEs).

RPC-protokoll – identifierar och blockerar olika CVE:er i RPC-system som utvecklats för DCE (Distributed Computing Environment).

RDP-protokoll – identifierar och blockerar olika CVE:er i RDP-protokollet (se ovan).

Identifiering av ARP-förgiftningsattacker – identifiering av ARP-förgiftningsattacker som orsakas av man-in-the-middle-attacker eller detektering av en nätverksanalysator. ARP (Address Resolution Protocol) används av nätverksprogrammet eller enheten för att fastställa Ethernet-adressen.

Identifiering av TCP/UDP-portskanningsattacker – detekterar program för portskanningsattacker – program som avsöker värdar för att se om det finns öppna portar genom att skicka en klientförfrågan till flera olika portadresser i syfte att hitta aktiva portar och utnyttja tjänstens sårbarhet. Läs mer om den här attacktypen i ordlistan.

Blockera osäkra adresser efter detektering av attacker – IP-adresser som har identifierats som attackkällor läggs till i svartlistan för att hindra att de ansluts under en viss tid.

Visa meddelande efter identifiering av angrepp – stänger av systemmeddelanden som visas i nedre högra hörnet på skärmen.

Visa meddelanden även för inkommande attacker mot säkerhetshål – varnar om attacker mot säkerhetshål upptäcks eller om ett försök gjorts av ett hot att ta sig in i systemet på det här sättet.

Paketkontroll

Tillåt inkommande anslutning till admin shares i SMB-protokoll - administrativa resurser (admin shares) är standardnätverksresurser som delar hårddiskpartitioner (C$, D$, ...) i systemet tillsammans med systemmappen (ADMIN$). Genom att inaktivera anslutningen till admin shares bör du minimera många säkerhetsrisker. Conficker-masken till exempel utför ordlisteattacker för att ansluta till admin shares.

Neka gamla (som inte stöds) SMB-dialekter – neka SMB-sessioner som använder en gammal SMB-dialekt som inte stöds av IDS. Moderna Windows-operativsystem stöder gamla SMB-dialekter på grund av att de är bakåtkompatibla med gamla operativsystem, som Windows 95. Angriparen kan använda en gammal dialekt i en SMB-session för att undvika trafikkontroll. Neka gamla SMB-dialekter om din dator inte behöver dela filer (eller använda SMB-kommunikation i allmänhet) med en dator som har en gammal Windows-version.

Neka SMB-sessioner utan utökad säkerhet – utökad säkerhet kan användas för en SMB-session för att erbjuda en säkrare autentiseringsmekanism än LAN Manager (LM) anrop/svar-autentisering. LM-systemet anses vara svagt och rekommenderas inte.

Neka att körbar fil öppnas på en server utanför Tillförlitliga platser med SMB-protokoll – släpper anslutningen när du försöker att öppna en körbar fil (.exe, .dll) från en delad mapp på en server som inte tillhör Tillförlitliga platser i brandväggen. Observera att det kan vara legitimt att kopiera körbara filer från betrodda källor. Denna identifiering minskar dock riskerna från oönskat öppnande av en fil på en skadlig server (orsakat till exempel genom en klickning på en länk till en delad skadlig körbar fil).

Neka NTLM-autentisering med SMB-protokoll för att ansluta en server i/utanför Tillförlitliga platser – protokoll som använder NTLM-autentisering (båda versionerna) kan utsättas för en attack som vidarebefordrar autentiseringsuppgifter (kallas också SMB-reläattacker om det gäller SMB-protokoll). Genom att neka NTLM-autentisering med en server utanför Tillförlitliga platser bör riskerna minimeras för vidarebefordran av autentiseringsuppgifter av en skadlig server utanför Tillförlitliga platser. På samma sätt går det att neka NTLM-autentisering med servrar i Tillförlitliga platser.

Tillåt kommunikation med tjänsten Hanterare för kontosäkerhet – för mer information om den här tjänsten, se [MS-SAMR].

Tillåt kommunikation med tjänsten Lokal säkerhetskontroll – för mer information om den här tjänsten, se [MS-LSAD] och [MS-LSAT].

Tillåt kommunikation med tjänsten Remote Registry – för mer information om den här tjänsten, se [MS-RRP].

Tillåt kommunikation med tjänsten Service Control Manager – för mer information om den här tjänsten, se [MS-SCMR].

Tillåt kommunikation med tjänsten Server Service – för mer information om den här tjänsten, se [MS-SRVS].

Tillåt kommunikation med övriga tjänster – MSRPC är Microsofts implementering av DCE RPC-mekanismen. MSRPC kan dessutom använda namngivna pipes till SMB-protokollet (fildelning i nätverk) för transport (ncacn_np-transport). MSRPC-tjänster erbjuder gränssnitt för fjärråtkomst och -hantering av Windows-system. Flera sårbarheter har identifierats och utnyttjats på marknaden i Windows MSRPC-systemet (Conficker-mask, Sasser-mask osv.). Inaktivera kommunikation med MSRPC-tjänster som du inte behöver för att minimera många säkerhetsrisker (till exempel fjärrkörning av kod eller attacker som orsakar fel på tjänster).