進階篩選選項
防火牆和網路攻擊防護區段可讓您配置針對您電腦執行的進階篩選選項來偵測數種攻擊和弱點。
在某些情況中,您將不會收到與通訊封鎖有關的威脅通知。請參閱「記錄並從防護記錄建立規則或例外」一節以取得關於在防火牆防護記錄中檢視所有已封鎖通訊的指示。 |
進階設定中可使用的特定選項 ([F5]) > [網路防護] > [防火牆] 和進階設定 ([F5]) > [網路防護] > [網路攻擊防護] 會根據您防火牆模組的類型或版本,以及作業系統的版本而可能有所不同。 |
允許的服務
這個群組中的設定會用來簡化從信任區域配置此電腦上服務存取權的程序。其中多數設定會啟用/停用預先定義的防火牆規則。
•允許「信任區域」中的檔案與印表機共用 – 允許「信任區域」中的遠端電腦存取您的共用檔案和印表機。
•允許在「信任區域」中使用系統服務的 UPNP – 允許系統服務的 UPnP 通訊協定對內及對外要求。UPnP (通用即插即用,亦稱為 Microsoft 網路探索) 適用於 Windows Vista 以及更新版的作業系統。
•允許在「信任區域」中使用外來的 RPC 通訊 – 可從「信任區域」啟用 TCP 連線以存取 MS RPC 連接埠對應程式和 RPC/DCOM 服務。
•允許在「信任區域」中使用遠端桌面 – 啟用透過 Microsoft 遠端桌面通訊協定 (RDP) 的連線,並允許「信任區域」中的電腦透過使用 RDP (例如「遠端桌面連線」) 的程式存取您的電腦。另請參閱如何允許「信任區域」外的 RDP 連線。
•啟動通過 IGMP 登入多點傳送群組 – 允許對內/對外的 IGMP 與外來的 UDP 多點傳送串流,例如由使用 IGMP 通訊協定 (網際網路群組管理通訊協定) 之應用程式產生的視訊串流。
•[允許已橋接連線的通訊] - 選取此選項,以避免終止橋接的連線。橋接網路使用主機的乙太網路介面卡將虛擬機器連線到網路。如果您使用橋接網路,則虛擬機器可以存取網路上的其他裝置,反之亦然,就如同它是網路上的物理電腦一樣。
•允許在「信任區域」中用於系統服務的自動 Web Services Discovery (WSD) – 允許「信任區域」通過防火牆的外來 Web Services Discovery 要求。WSD 通訊協定可用來尋找區域網路中的服務。
•允許「信任區域」中的多點傳送位址解析 (LLMNR) – LLMNR (連結本機多點傳送名稱解析) 就是 DNS 封包型的通訊協定,可允許 IPv4 及 IPv6 主機針對同一本機連結上的主機執行名稱解析,而不需要 DNS 伺服器或 DNS 用戶端配置。此選項允許通過防火牆源自「信任區域」的外來多點傳送 DNS 要求。
•Windows HomeGroup 支援 – 啟用 Windows 7 及更新版作業系統的 HomeGroup 支援。HomeGroup 能夠共用家用網路上的檔案及印表機。若要配置家用群組,請瀏覽至 [開始] > [控制台] > [網路及網際網路] > [HomeGroup]。
入侵偵測
•通訊協定 SMB – 偵測並封鎖 SMB 通訊協定中的各種安全性問題,也就是:
•Rogue 伺服器挑戰攻擊驗證偵測 – 可保護您不會在驗證期間為了取得使用者驗證而受到使用 Rogue 挑戰的攻擊。
•具名管道開啟期間 IDS 規避偵測 – 在 SMB 通訊協定中偵測已知的開啟 MSRPC 具名管道時所使用的規避技術。
•CVE 偵測 (一般弱點和暴露) – 針對透過 SMB 通訊協定進行的各種攻擊、形式、安全漏洞和弱點實作的偵測方法。請參閱位於 cve.mitre.org 的 CVE 網站搜尋及取得與 CVE 識別碼 (CVE) 有關的詳細資訊。
•通訊協定 RPC – 偵測並封鎖針對分散式運算環境 (DCE) 所開發遠端程序呼叫系統中的各種 CVE。
•通訊協定 RDP – 偵測並封鎖 RDP 通訊協定中的各種 CVE (請參閱上述內容)。
•ARP Poisoning 攻擊偵測 – 偵測「中間人」(man-in-the-middle) 發動而導致的 ARP Poisoning 攻擊或偵測網路交換器上的探查。網路應用程式或裝置會使用 ARP (位址解析通訊協定) 來判斷 Ethernet 位址。
•TCP/UDP 連接埠掃描攻擊偵測 – 偵測連接埠掃描軟體的攻擊 – 此應用程式可將用戶端要求傳送至特定的連接埠位址範圍以偵測已開啟連接埠的主機,其目的在於尋找作用中的連接埠並利用服務的弱點。請在字彙中閱讀更多有關此類型攻擊的資訊。
•攻擊偵測之後封鎖不安全的位址 – 已偵測為攻擊來源的 IP 位址會新增至黑名單中以防止特定期間的連線。
•攻擊偵測後顯示通知 – 開啟畫面右下角的系統匣通知。
•也顯示針對安全漏洞傳入攻擊的通知 – 如果偵測到有針對安全漏洞的攻擊或者有威脅嘗試透過此方式進入系統,則也會警告您。
封包檢查
•允許外來連線至 SMB 通訊協定中的管理共用 - 管理共用 (admin shares) 是一種預設網路共用,可與系統資料夾 (ADMIN$) 共用系統中的硬碟分割區 (C$、D$、...)。停用與管理共用的連線將可減輕許多安全風險。例如,Conficker 蠕蟲會執行字典攻擊以連線至管理共用項目。
•拒絕舊 (不支援) 的 SMB 方言 – 拒絕使用 IDS 不支援之舊 SMB 方言的 SMB 工作階段。最新的 Windows 作業系統會因為與舊版作業系統 (例如 Windows 95) 的舊版相容性而支援舊的 SMB 方言。攻擊者可在 SMB 工作階段中使用舊方言以規避流量檢查。如果您的電腦不需要與舊版 Windows 的電腦共用檔案 (或使用一般的 SMB 通訊),請拒絕舊的 SMB 方言。
•拒絕不含延伸安全性的 SMB 工作階段 – 您可以在 SMB 工作階段交涉期間使用延伸的安全性,以提供比 LAN Manager 挑戰/回應 (LM) 驗證更安全的驗證機制。LM 配置是一種較薄弱的機制,因此不建議您使用。
•拒絕在 SMB 通訊協定中開啟「信任區域」外伺服器上的執行檔 – 當您嘗試在防火牆中從不屬於信任區域的伺服器共用資料夾開啟可執行檔 (.exe、.dll) 時,連線將會中斷。請注意,從信任來源複製執行檔是合法的,然而,此偵測可減輕因在惡意伺服器上開啟不需要的檔案而造成的風險 (例如,因使用者按一下共用的惡意執行檔連結就能開啟的檔案)。
•拒絕 SMB 通訊協定中用於連線「信任區域」中伺服器的 NTLM 驗證 – 使用 NTLM (兩種版本) 驗證配置的通訊協定可能會受到憑證轉送 (在 SMB 通訊協定的情況中亦稱為 SMB Relay 攻擊)。拒絕伺服器位於「信任區域」以外的 NTLM 驗證應可減輕「信任區域」以外之惡意伺服器轉送憑證所造成的風險。同樣地,您可以拒絕伺服器位於「信任區域」之內的 NTLM 驗證。
•允許與「安全性帳戶管理員」服務通訊 – 如需有關此服務的詳細資訊,請參閱 [MS-SAMR]。
•允許與「本機安全性授權」服務通訊 – 如需有關此服務的詳細資訊,請參閱[MS-LSAD] 和 [MS-LSAT]。
•允許與「遠端登錄」服務通訊 – 如需有關此服務的詳細資訊,請參閱 [MS-RRP]。
•允許與「服務控制管理員」服務通訊 – 如需有關此服務的詳細資訊,請參閱 [MS-SCMR]。
•允許與「伺服器」服務通訊 – 如需有關此服務的詳細資訊,請參閱 [MS-SRVS]。
•允許與其他服務通訊 – 其他 MSRPC 服務。MSRPC 是 Microsoft 對於 DCE RPC 機制的實作。此外,MSRPC 可使用在 SMB (網路檔案共用) 通訊協定中執行的具名管道進行傳輸 (ncacn_np 傳輸)。MSRPC 服務可提供遠端存取及管理 Windows 系統的介面。我們在 Windows MSRPC 系統中發現數種「逍遙法外」的安全性弱點 (Conficker 蠕蟲、Sasser 蠕蟲…)。停用一些您不需要的 MSRPC 服務通訊可減輕許多安全風險 (例如遠端程式碼執行或服務失敗攻擊)。