ESET-onlinehjælp

Søg Dansk
Vælg emnet

Avancerede filtreringsindstillinger

I sektionerne Firewall og Beskyttelse mod netværksangreb kan du konfigurere avancerede filtreringsindstillinger for at registrere flere typer angreb og sårbarheder, der kan opstå på din computer.


note

I nogle tilfælde vises ikke en trusselsmeddelelse om blokeret kommunikation. I afsnittet Logføring og oprettelse af regler eller undtagelser fra log kan du finde en vejledning i, hvordan du får vist al blokeret kommunikation i loggen for firewallen.


important

Tilgængeligheden af bestemte indstillinger i Avanceret opsætning (F5) > Netværksbeskyttelse > Firewall og Avanceret opsætning (F5) > Netværksbeskyttelse > Beskyttelse mod netværksangreb kan variere afhængigt af typen eller versionen af dit firewallmodul samt af versionen af dit operativsystem.

icon_section Tilladte tjenester

Indstillinger i denne gruppe skal gøre det nemmere at konfigurere adgang til tjenester på denne computer fra zonen, der er tillid til. Mange af dem aktiverer eller deaktiverer foruddefinerede firewallregler.

  • Tillad fil- og printerdeling i zonen, der er tillid til – Tillader fjerncomputere i den zone, der er tillid til, at få adgang til dine delte filer og printere.
  • Tillad UPNP for systemtjenester i den zone, der er tillid til – Tillader indkommende og udgående anmodninger fra UPnP-protokoller om systemtjenester. UPnP (Universal Plug and Play også kaldet Microsoft Network Discovery) bruges i Windows Vista og nyere operativsystemer.
  • Tillad indgående RPC-kommunikation i den zone, der er tillid til – Aktiverer TCP-forbindelser fra zonen, der er tillid til, hvilket giver adgang til MS RPC Portmapper og RPC/DCOM-tjenester.
  • Tillad fjernskrivebord i den zone, der er tillid til – Aktiverer forbindelser via Microsoft Remote Desktop Protocol (RDP) og giver computere i den zone, der er tillid til, adgang til din computer ved hjælp af et program, der bruger RDP (f.eks. Forbindelse til Fjernskrivebord). Se også, hvordan du tillader RDP-forbindelser uden for zonen, der er tillid til.
  • Aktivér logføring i multicastgrupper via IGMP – Tillader indgående og udgående IGMP- og UDP-multicaststreams, f.eks. videostreams, som er genereret af programmer ved hjælp af IGMP-protokollen (Internet Group Management Protocol).
  • Aktiver kommunikation for broforbundne forbindelser – Vælg denne indstilling for at undgå at afslutte broforbundne forbindelser. Broforbundne netværk forbinder en virtuel maskine med et netværk ved hjælp af værtscomputerens Ethernet-adapter. Hvis du bruger broforbundne netværk, kan den virtuelle maskine få adgang til andre enheder på netværket og omvendt, som om det var en fysisk computer på netværket.
  • Tillad automatisk Web Service Discovery (WSD) for systemtjenester i den zone, der er tillid til – Tillader indgående eller udgående Web Services Discovery-anmodninger fra zoner, der er tillid til, via firewallen. WSD er den protokol, der bruges til at finde tjenester på et lokalt netværk.
  • Tillad opslag af multicast adresser i zonen, der er tillid til (LLMNR) – LLMNR (Link-local Multicast Name Resolution) er en DNS-pakkebaseret protokol, der tillader både IPv4- og IPv6-værter at udføre navneopslag for værter på samme lokale link uden at kræve en DNS-server eller DNS-klientkonfiguration. Denne indstilling muliggør indgående DNS-multicastanmodninger fra den zone, der er tillid til, via firewallen.
  • Understøttelse af hjemmegrupper i Windows – Muliggør understøttelse af hjemmegrupper til Windows 7 og nyere operativsystemer. En hjemmegruppe kan dele filer og printere på et hjemmenetværk. Hvis du vil konfigurere en hjemmegruppe, skal du navigere til Start > Kontrolpanel > Netværk og internet > Hjemmegruppe.

icon_section Indtrængningsregistrering

  • Protokol-SMB – Registrerer og blokerer forskellige sikkerhedsproblemer i SMB-protokollen, og de er:
  • Registrering af uautoriseret angreb med servergodkendelse – Beskytter dig mod angreb, som anvender en uautoriseret udfordring under godkendelsen med det formål at få fat i legitimationsoplysninger.
  • Registrering af IDS-unddragelse under åbning af navngiven pipe – Detektion af kendte unddragelsesteknikker, som bruges til at åbne MSRPC-navngivne pipes i SMB-protokol.
  • CVE-registrering (Common Vulnerabilities and Exposures (generelle sårbarheder og eksponeringer)) – Implementerede registreringsmetoder for forskellige angreb, formularer, sikkerhedshuller og udnyttelser via SMB-protokollen. Gå til CVE-webstedet på cve.mitre.org for at søge efter og få mere detaljerede oplysninger om CVE-identifikatorer (CVE'er).
  • Protokol-RPC – Registrerer og blokerer forskellige CVE'er i opkaldssystemet for fjernprocedurer, der er udviklet til DCE (Distributed Computing Environment).
  • RDP-protokol – Registrerer og blokerer forskellige CVE'er i RDP-protokollen (se ovenfor).
  • Registrering af ARP Poisoning-angreb – Registrering af ARP Poisoning-angreb, som sker via "mellemmands"-angreb, eller registrering af snuseri ved netværksswitchen. ARP (Address Resolution Protocol) bruges af netværksprogrammet eller enheden til at bestemme Ethernet-adressen.
  • Registrering af TCP/UDP-portscanningsangreb – Registrerer angreb fra portscanningssoftware – et program, der er beregnet til at undersøge, om der er åbne porte på en vært, ved at sende klientanmodninger til en række portadresser med det formål at finde aktive porte og udnytte tjenestens sårbarhed. Læs mere om denne type angreb i ordlisten.
  • Bloker usikker adresse efter registrering af angreb – IP-adresser, der er registreret som en kilde til angreb, føjes til blacklisten for at forhindre, at der oprettes forbindelse i et bestemt tidsrum.
  • Vis meddelelse efter registrering af angreb – Aktiverer systembakkemeddelelsen nederst til højre på skærmen.
  • Vis også meddelelser for indgående angreb mod sikkerhedshuller – Advarer dig, hvis der registreres angreb mod sikkerhedshuller, eller hvis en trussel forsøger at komme ind i systemet på denne måde.

icon_section Pakkekontrol

  • Tillad indgående forbindelse til administratorshares i SMB-protokol – De administrative shares (admin shares) er de standardnetværksshares, der deler harddiskpartitioner (C$, D$ osv.) i systemet sammen med systemmappen (ADMIN$). Ved at deaktivere forbindelsen til administrative shares mindskes mange sikkerhedsrisici. Conficker-ormen gennemfører for eksempel ordbogsangreb for at oprette forbindelse til administrative shares.
  • Afvis gamle (ikke-understøttede) SMB-dialekter – Afvis SMB-sessioner, der bruger en gammel SMB-dialekt, som ikke understøttes af IDS. Moderne Windows-operativsystemer understøtter gamle SMB-dialekter på grund af bagudkompatibilitet med gamle operativsystemer, f.eks. Windows 95. Angriberen kan bruge en gammel dialekt i en SMB-session for at undgå trafikinspektion. Afvis gamle SMB-dialekter, hvis din computer ikke behøver at dele filer (eller at bruge SMB-kommunikation generelt) med en computer med en gammel version af Windows.
  • Afvis SMB-sessioner uden sikkerhedsudvidelser – Sikkerhedsudvidelser kan bruges under SMB-sessionsforhandlingen med det formål at opnå en mere sikker godkendelsesfunktion end med LM-godkendelse (LAN Manager Challenge/Response). LM-skemaet anses for at være svagt og anbefales ikke.
  • Afvis åbning af eksekverbare filer på en server uden for den zone, der er tillid til i SMB-protokollen – Dropper forbindelse, når du forsøger at åbne en eksekverbar fil (.exe, .dll osv.) fra en delt mappe på serveren, der ikke hører til den zone, der er tillid til, i firewallen. Bemærk, at det kan være lovligt at kopiere eksekverbare filer fra kilder, der er tillid til, men denne registrering mindsker risikoen for uønsket åbning af en fil på en skadelig server (du åbner f.eks. en fil ved at klikke på et link til en delt skadelig eksekverbar fil).
  • Afvis NTLM-godkendelse i SMB-protokollen for oprettelse af forbindelse til en server uden for den zone, der er tillid til – Protokoller, der bruger NTLM-godkendelsesskemaer (begge versioner), kan udsættes for angreb med videresendelse af oplysninger (også kendt som SMB Relay-angreb i forbindelse med SMB-protokollen). Ved at afvise NTLM-godkendelse med en server uden for den zone, der er tillid til, mindskes risiciene for, at en ondsindet server videresender legitimationsoplysninger uden for den zone, der er tillid til. På tilsvarende måde kan du også afvise NTLM-godkendelse med servere i den zone, der er tillid til.
  • Tillad kommunikation med tjenesten Security Account Manager – Du kan finde flere oplysninger om denne tjeneste i [MS-SAMR].
  • Tillad kommunikation med tjenesten Local Security Authority – Du kan finde flere oplysninger om denne tjeneste i [MS-LSAD] og [MS-LSAT].
  • Tillad kommunikation med tjenesten Remote Registry – Du kan finde flere oplysninger om denne tjeneste i [MS-RRP].
  • Tillad kommunikation med tjenesten Service Control Manager – Du kan finde flere oplysninger om denne tjeneste i [MS-SCMR].
  • Tillad kommunikation med servertjenesten – Du kan finde flere oplysninger om denne tjeneste i [MS-SRVS].
  • Tillad kommunikation med andre tjenester – Andre MSRPC-tjenester. MSRPC er Microsofts implementering af DCE RPC-funktionen. Desuden kan MSRPC bruge navngivne pipes, der er overført til SMB-protokollen (netværksfildeling) for transport (ncacn_np-transport). MSRPC-tjenester leverer brugerflader, hvor du kan få adgang til og administrere Windows-systemer fra en fjerncomputer. Adskillige sårbarheder er blevet opdaget og udnyttet i Windows MSRPC-systemet (f.eks. Conficker-ormen, Sasser-ormen osv.). Deaktiver kommunikation med MSRPC-tjenester, som du ikke behøver at levere, for at mindske mange sikkerhedsrisici (f.eks. fjernkørsel af kode eller angreb i form af fejl i tjenester).