Avanserte filtreringsalternativer
Delene for beskyttelse mot brannmur- og nettverksangrep lar deg konfigurere avanserte filtreringsalternativer for å oppdage flere typer angrep og sårbarheter som kan utføres mot datamaskinen din.
I enkelte tilfeller mottar du ikke en trusselvarsling om blokkert kommunikasjon. Se Logging og oppretting av regler eller unntak fra logg-kapittelet for instruksjoner for å vise all blokkert kommunikasjon i brannmurens logg. |
Tilgjengeligheten av bestemte alternativer i Avansert oppsett (F5)> Nettverksbeskyttelse > Brannmur og Avansert oppsett (F5) > Nettverksbeskyttelse > Beskyttelse mot nettverksangrep kan variere avhengig av type eller versjon av brannmurmodulen din, så vel som versjonen av operativsystemet ditt. |
Tillatte tjenester
Innstillinger i denne gruppen er ment å forenkle konfigurasjonen av tilgang til tjenester som kjører på datamaskinen fra den klarerte sonen. Mange av dem aktiverer/deaktiverer forhåndsdefinerte brannmurregler.
- Tillat deling av filer og skrivere i Klarert sone– Gir eksterne datamaskiner i den klarerte sonen tilgang til dine delte filer og skrivere.
- Tillat UPNP for systemtjenester i Klarert sone – Tillater innkommende og utgående forespørsler fra UPnP-protokoller for systemtjenester. UPnP (Universal Plug and Play, også kjent som Microsoft Network Discovery) brukes i Windows Vista og senere operativsystemer.
- Tillat innkommende RPC-kommunikasjon i Klarert sone – Aktiverer at TCP-tilkoblinger fra den klarerte sonen gir tilgang til MS RPC-Portmapper og RPC/DCOM-tjenester.
- Tillat eksternt skrivebord i Klarert sone – Aktiverer tilkoblinger via Microsoft Remote Desktop Protocol (RDP) og gir datamaskiner i den klarerte sonen tilgang til datamaskinen din gjennom programmer som bruker RDP (for eksempel «Remote Desktop Connection»). Se også hvordan du tillater RDP-tilkoblinger utenfor Klarert sone.
- Aktiver innlogging til multicast-grupper gjennom IGMP – Tillater innkommende/utgående IGMP- og innkommende UDP-multicaststreamer, for eksempel videostreamer generert av programmer som bruker IGMP-protokollen (Internet Group Management Protocol).
- Tillat kommunikasjon for brokoblede tilkoblinger – Velg dette alternativet for å unngå å avslutte brokoblede tilkoblinger. Brokoblede nettverk kobler en virtuell maskin til et nettverk ved hjelp av vertsdatamaskinens Ethernet-adapter. Hvis du bruker brokoblede nettverk, kan den virtuelle maskinen få tilgang til andre enheter på nettverket, og omvendt, som om det var en fysisk datamaskin på nettverket.
- Tillat automatisk Web Services Discovery (WSD) for systemtjenester i Klarert sone – Tillater innkommende Web Services Discovery-forespørsler fra Klarert sone gjennom brannmuren. WSD er protokollen som brukes til å lokalisere tjenester i et lokalt nettverk.
- Tillatt oppslag av multicast-adresser fra Klarert sone (LLMNR) – LLMNR er en DNS-pakkebasert protokoll som tillater både IPv4- og IPv6-verter å utføre navnegjenkjenning for verter på samme lokale kobling uten å kreve DNS-server- eller DNS-klientkonfigurasjon. Dette alternativet tillater innkommende multicast DNS-forespørsler fra/til den klarerte sonen gjennom brannmuren.
- Windows HomeGroup-støtte – Aktiverer HomeGroup-støtte for Windows 7 og senere operativsystemer. En hjemmegruppe kan dele filer og skrivere på et hjemmenettverk. Du konfigurerer en hjemmegruppe ved å gå til Start > Kontrollpanel > Nettverk og Internett > Hjemmegruppe.
Inntrengingsgjenkjenning
- Protokoll SMB – Oppdager og blokkerer ulike sikkerhetsproblemer i SMB-protokollen, nærmere bestemt:
- Gjenkjenne autentisering av Rogue server challenge-angrep – Beskytter deg mot et angrep som benytter et svindelanrop under autentisering for å innhente opplysninger om brukeren.
- Gjenkjenning av IDS-unngåelse under åpning av navngitt datakanal– Gjenkjenning av kjente unngåelsesteknikker for navngitte MSRPCS-datakanaler i SMB-protokollen.
- CVE-gjenkjenninger (Common Vulnerabilities and Exposures) – Implementerte gjenkjenningsmetoder for ulike angrep, skjemaer, sikkerhetshull og utnyttelser av svakheter over SMB-protokollen. Se CVE-nettstedet på cve.mitre.org for å søke etter og innhente mer detaljert informasjon om CVE-identifikatorer (CVE-er).
- Protokoll RPC – Oppdager og blokkerer ulike CVE-er i det eksterne prosedyreanropssystemet for Distributed Computing Environment (DCE).
- Protocol RDP – Oppdager og blokkerer ulike CVE-er i RDP-protokollen (se ovenfor).
- Gjenkjenne ARP Poisoning-angrep – Gjenkjenner mellommannbaserte ARP poisoning-angrep eller avslører sniffing ved nettverkbryter. ARP (Address Resolution Protocol) brukes av nettverkprogrammet eller -enheten for å fastsette Ethernet-adressen.
- Gjenkjenne TCP/UDP Port Scanning-angrep – Gjenkjenner angrep fra portprogrammer som skanner porter – programvare som er utformet for å søke etter åpne porter hos en vert gjennom å sende klientforespørsler til en rekke portadresser. Du kan lese mer om denne angrepstypen i ordlisten.
- Blokker usikker adresse når angrep avsløres – IP-adresser som er avslørt som kilder til angrep, føyes til Svartelisten for å hindre tilkobling i en bestemt periode.
- Vis melding etter angrepsgjenkjenning– Aktiverer meldinger i systemstatusfeltet nederst til høyre på skjermen.
- Vis melding også for innkommende angrep mot sikkerhetshull – Varsler deg hvis angrep mot sikkerhetshull oppdages, eller hvis en trussel prøver å komme inn i systemet denne veien.
Pakkekontroll
- Tillat innkommende kobling å administrere deler i SMB-protokollen – De administrative delene er standard nettverksdelene som deler harddisk-partisjoner (C$, D$, ...) i systemet sammen med systemmappen (ADMIN$). Det bør minske en rekke sikkerhetsrisikoer å deaktivere kobling til administrativ deling. For eksempel gjennomfører Conficker-ormen angrep på kataloger for å koble seg til administrative deler.
- Avvis gamle (ustøttede) SMB-dialekter – Avvis SMB-sesjoner som valgte en gammel SMB-dialekt som ikke støttes av IDS. Moderne Windows operativsystemer støtter gamle SMB-dialekter på grunn av kompatibilitet med gamle operativsystemer som Windows 95. Angriperen kan bruke en gammel dialekt i en SMB-sesjon for å omgå trafikkinspeksjon. Avvis gamle SMB-dialekter hvis datamaskinen din ikke trenger å dele filer (eller bruke SMB-kommunikasjon generelt) med en datamaskin som har en gammel Windows-versjon.
- Avvis SMB-sesjoner uten utvidet sikkerhet – Du kan bruke Utvidet sikkerhet under SMB-sesjonsvalg for å sørge for en sikrere autentiseringsmekanisme enn LAN Manager Challenge/Response (LM)-autentisering. LM-oppsettet betraktes som svakt og bør ikke brukes.
- Avvis åpning av kjørbare filer på en server utenfor Klarert sone i SMB-protokoll – Dropper tilkoblingen når du prøver å kjøre en kjørbar fil (.exe, .dll) fra en delt mappe på serveren som ikke tilhører Klarert sone i brannmuren. Merk at det kan være legitimt å kopiere kjørbare filer fra klarerte kilder. Denne avsløringen bør imidlertid minske risikoen for uønsket åpning av en fil på en skadelig server (for eksempel en fil som åpnes ved å klikke en kobling til en delt skadelig kjørbar fil).
- Avvis NTLM-autentisering i SMB-protokollen for å koble til en server i/utenfor Klarert sone – Protokoller som benytter NTLM (begge versjoner)-autentiseringsoppsett utsettes for et angrep som fremmer opplysninger (kjent som SMB Relay-angrep i tilknytning til SMB-protokollen). Avvisning av NTLM-autentisering med en server utenfor Klarert sone bør minske risikoen ved å fremme opplysninger fra en skadelig server utenfor den klarerte sonen. På samme måte kan NTLM-autentisering også avvises for servere i den klarerte sonen.
- Tillat kommunikasjon med tjenesten Sikkerhetsbehandling for konto – For mer informasjon om denne tjenesten, se [MS-SAMR].
- Tillat kommunikasjon med tjenesten Lokal sikkerhetsautoritet – For mer informasjon om denne tjenesten, se [MS-LSAD] og [MS-LSAT].
- Tillat kommunikasjon med tjenesten Eksternt register – For mer informasjon om denne tjenesten, se [MS-RRP].
- Tillat kommunikasjon med tjenesten Tjenestekontrollbehandling – For mer informasjon om denne tjenesten, se [MS-SCMR].
- Tillat kommunikasjon med Servertjenesten – For mer informasjon om denne tjenesten, se [MS-SRVS].
- Tillat kommunikasjon med de andre tjenestene – MSRPC er Microsofts implementering av DCE RPC-mekanismen. Dessuten kan MSRPC bruke navngitte datakanaler i SMB- (nettverksfildelings-) protokollen for transport (ncacn_np transport). MSRPC-tjenester gjør grensesnitt tilgjengelig for tilgang og fjernstyring av Windows-systemer. En rekke svakheter ved sikkerheten ble oppdaget og utnyttet til det ytterste i Windows MSRPC-systemet (Conficker-ormer, Sasser-orm, …). Deaktiver kommunikasjon med MSRPC-tjeneste som du ikke trenger. Slik bidrar du til å minske mange sikkerhetsrisikoer (som fjernkodeutøvelse eller tjenestefeilangrep).