Zaawansowane opcje filtrowania
Sekcja Zapora oraz Ochrona przed atakami z sieci umożliwia skonfigurowanie zaawansowanych opcji filtrowania w celu wykrywania różnych typów ataków oraz luk w zabezpieczeniach, które mogą być wykorzystane przeciwko Twojemu komputerowi.
W niektórych przypadkach użytkownik nie otrzyma powiadomienia o zablokowaniu komunikacji w związku z zagrożeniem. Instrukcje wyświetlania całej zablokowanej komunikacji w dzienniku zapory można znaleźć w sekcji Zapisywanie w dzienniku i tworzenie reguł oraz wyjątków na podstawie dziennika. |
Dostępność poszczególnych opcji w Ustawieniach zaawansowanych (F5 > Ochrona sieci > Zapora oraz Ustawienia zaawansowane (F5) > Ochrona sieci > Ochrona przed atakami z sieci może się różnić w zależności od typu lub wersji modułu zapory, a także wersji systemu operacyjnego. |
Dozwolone usługi
Ustawienia z tej grupy mają na celu uproszczenie konfiguracji dostępu do usług tego komputera ze strefy zaufanej. Wiele z nich służy do włączania/wyłączania zdefiniowanych wstępnie reguł zapory.
- Zezwól na udostępnianie plików i drukarek w strefie zaufanej — umożliwia komputerom zdalnym ze strefy zaufanej korzystanie z udostępnionych plików i drukarek.
- Zezwól na używanie protokołu UPNP dla usług systemowych w strefie zaufanej — pozwala na przychodzenie i wychodzenie żądań protokołów UPnP dla usług systemowych. UPnP (Universal Plug and Play znany również jako Microsoft Network Discovery) jest używany w Windows Vista i nowszych systemach operacyjnych.
- Zezwól na połączenie przychodzące RPC w strefie zaufanej — pozwala połączeniom TCP ze strefy zaufanej na uzyskiwanie dostępu do usług MS RPC Portmapper i RPC/DCOM.
- Zezwól na używanie pulpitu zdalnego w strefie zaufanej — zezwala na połączenia za pośrednictwem protokołu RDP i pozwala komputerom ze strefy zaufanej uzyskiwać dostęp do komputera użytkownika (za pośrednictwem programu, który wykorzystuje RDP, np. Zobacz też, jak zezwolić na połączenia za pośrednictwem protokołu RDP poza strefą zaufaną.
- Włącz logowanie do grup typu multicast za pośrednictwem protokołu IGMP — zezwala na wysyłanie i odbieranie strumieni typu multicast IGMP i UDP, na przykład przesyłanie strumienia wideo wygenerowanego przez programy korzystające z protokołu IGMP (Internet Group Management Protocol).
- Włącz komunikację dla zmostkowanych połączeń — zaznaczenie tej opcji zapobiega przerywaniu połączeń mostkowych. Sieci mostkowe łączą maszynę wirtualną z siecią przy użyciu karty Ethernet komputera-hosta. W przypadku korzystania z sieci mostkowej maszyna wirtualna może uzyskać dostęp do innych urządzeń przez sieć i odwrotnie, tak jakby była komputerem fizycznym w sieci.
- Zezwól na automatyczne używanie Protokołu odnajdywania usług sieci Web (WSD) dla usług systemowych w strefie zaufanej — zezwala na obsługę przychodzących żądań usługi Web Services Discovery ze stref zaufanych przez zaporę. WSD jest protokołem używanym do lokalizowania usług w sieci lokalnej.
- Zezwól na rozwiązywanie adresów typu multicast w strefie zaufanej (LLMNR) — LLMNR (Link-local Multicast Name Resolution) to protokół pakietowy DNS, który umożliwia hostom protokołu IPv4 i IPv6 rozpoznawanie nazw hostów podłączonych do tego samego łącza lokalnego bez odwoływania się do serwera DNS ani do konfiguracji klienta DNS. Ta opcja pozwala na obsługę przychodzących żądań DNS typu multicast ze strefy zaufanej przez zaporę.
- Obsługa grupy domowej systemu Windows — umożliwia obsługę grupy domowej systemu operacyjnego Windows 7 i nowszych. Grupa domowa pozwala na udostępnianie plików i drukarek w sieci domowej. Aby ją skonfigurować, należy kliknąć kolejno opcje Start > Panel sterowania > Sieć i Internet > Grupa domowa.
Wykrywanie włamań
- Protokół SMB — wykrywanie i blokowanie różnego rodzaju problemów z zabezpieczeniami w protokole SMB, takich jak:
- Wykrywanie ataków z wysyłaniem nieautoryzowanych żądań uwierzytelniania na serwerze — ochrona przed atakami z wysyłaniem nieautoryzowanych żądań podczas uwierzytelniania w celu uzyskania poświadczeń użytkownika.
- Wykrywanie prób uniknięcia rozpoznania przez system aktywnej ochrony (IDS) podczas otwierania potoku mającego nazwę — wykrywanie znanych technik unikania rozpoznania w nazwanych potokach MSRPC w protokole SMB.
- Wykrywanie CVE (Common Vulnerabilities and Exposures) — zaimplementowane metody wykrywania różnych ataków, formularzy oraz luk bezpieczeństwa i wykorzystujących je programów w protokole SMB. Witryna CVE pod adresem cve.mitre.org umożliwia wyszukanie i uzyskanie bardziej szczegółowych informacji o identyfikatorach CVE.
- Protokół RPC — wykrywa i blokuje różne identyfikatory CVE w zdalnym systemie wywołania procedur opracowanym dla środowiska Distributed Computing Environment (DCE).
- Protokół RDP — wykrywa i blokuje różne identyfikatory CVE w protokole RDP (patrz wyżej).
- Wykrywanie ataku z preparowaniem pakietów ARP — wykrywanie ataków z preparowaniem pakietów ARP spowodowanych przez atak typu man-in-the-middle lub „węszeniem” przy przełączniku sieciowym. Protokół ARP (Address Resolution Protocol) jest używany przez aplikację sieciową lub urządzenie do ustalenia adresu Ethernet.
- Wykrywanie ataku ze skanowaniem portów TCP/UDP — wykrywa ataki z użyciem oprogramowania do skanowania portów, służącego do badania hosta pod kątem otwartych portów poprzez wysyłanie żądań programów do adresów portów. Więcej informacji na temat ataków tego typu można znaleźć w słowniczku.
- Blokowanie niebezpiecznych adresów po wykryciu ataku — adresy IP, które zostały wykryte jako źródło ataków są dodawane do czarnej listy w celu zablokowania połączenia przez podany okres.
- Wyświetl powiadomienie po wykryciu ataku — umożliwia włączenie wyświetlania powiadomień na pasku zadań w prawym dolnym rogu ekranu.
- Wyświetlaj także powiadomienia po wykryciu ataku przychodzącego na luki zabezpieczeń — w przypadku wykrycia ataków na luki w zabezpieczeniach lub prób uzyskania w ten sposób dostępu do systemu wyświetlane są powiadomienia.
Sprawdzanie pakietów
- Zezwól w protokole SMB na połączenia przychodzące do udziałów administracyjnych — udziały administracyjne (admin shares) to domyślne udziały sieciowe, które współdzielą partycje dysku twardego (C$, D$, ...) w systemie razem z folderem systemowym (ADMIN$). Wyłączenie połączenia z udziałami administracyjnymi może osłabić wiele zagrożeń. Na przykład, robak Conficker przeprowadza ataki słownikowe w celu podłączenia do udziałów administracyjnych.
- Odmów starym (nieobsługiwanym) dialektom protokołu SMB — odmowa sesji SMB z nieaktualnym dialektem SMB, który nie jest obsługiwany przez IDS. Nowoczesne systemy Windows obsługują nieaktualne dialekty SMB ze względu na zgodność wsteczną z wcześniejszymi systemami operacyjnymi, np. Windows 95. Atakujący może użyć nieaktualnego dialektu w sesji SMB w celu uniknięcia kontroli ruchu. Należy odrzucić nieaktualne dialekty SMB, jeżeli komputer nie współdzieli plików (ogólnie komunikacji SMB) z komputerem, na którym zainstalowano wcześniejszą wersję Windows.
- Odmów zabezpieczeniom protokołu SMB bez rozszerzeń zabezpieczeń — rozszerzone zabezpieczenia mogą zostać użyte podczas negocjacji sesji SMB w celu zapewnienia bezpieczniejszego mechanizmu uwierzytelniania niż uwierzytelnianie LAN Manager Challenge/Response (LM). Schemat LM jest traktowany jako słaby i nie zaleca się korzystania z niego.
- Odmów otwierania plików wykonywalnych na serwerze poza strefą zaufaną w protokole SMB — odrzuca połączenie podczas próby uruchomienia pliku wykonywalnego (.exe, .dll itp.) z folderu udostępnionego na serwerze, który nie należy do strefy zaufanej w zaporze. Należy pamiętać, że kopiowanie wykonywalnych plików z zaufanych źródeł może być dozwolone, jednak to wykrywanie powinno zmniejszyć zagrożenia związane z niechcianym otwarciem pliku na serwerze ze złośliwym oprogramowaniem (na przykład poprzez kliknięcie przez użytkownika odnośnika do współdzielonego pliku wykonywalnego ze złośliwym oprogramowaniem).
- Odmów uwierzytelniania NTLM w protokole SMB przy nawiązywaniu połączenia z serwerem w strefie zaufanej/spoza strefy zaufanej — protokoły, które wykorzystują schematy uwierzytelniające NTLM (obie wersje) są celem ataków związanych z przekazywaniem poświadczeń (znanych jako metoda SMB Relay w przypadku protokołu SMB). Odmowa uwierzytelniania NTLM przy nawiązywania połączenia z serwerem spoza strefy zaufanej zmniejsza zagrożenia związane z przekazywaniem poświadczeń przez serwer ze złośliwym oprogramowaniem spoza strefy zaufanej. W podobny sposób można odmówić uwierzytelniania NTLM w przypadku serwerów ze strefy zaufanej.
- Zezwól na komunikację z usługą Security Account Manager — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–SAMR].
- Zezwól na komunikację z usługą Local Security Authority — więcej informacji na temat tej usługi można znaleźć tutaj: [MS-LSAD] i [MS-LSAT].
- Zezwól na komunikację z usługą Remote Registry — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–RRP].
- Zezwól na komunikację z usługą Service Control Manager — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–SCMR].
- Zezwól na komunikację z Usługą serwera — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–SRVS].
- Zezwól na komunikację z innymi usługami – MSRPC to wdrożenie Microsoft mechanizmu DCE RPC. Ponadto MSRPC może wykorzystywać nazwane potoki w protokole SMB (udostępnianie plików w sieci) do transportu (ncacn_np transport). Usługi MSRPC pozwalają interfejsom na zdalny dostęp do systemów Windows i zarządzanie nimi. Odkryto kilka luk w zabezpieczeniach, które były wykorzystywane w systemie Windows MSRPC (robak Conficker, robak Sasser itp.). Należy wyłączyć komunikację z usługami MSRPC, które nie są potrzebne. To pozwoli na zmniejszenie wielu zagrożeń (na przykład zdalne wykonywanie kodu lub ataki związane z awariami usług).