Opțiuni de filtrare avansată
Secțiunile Firewall și Protecție împotriva atacurilor de rețea vă permit să configurați opțiuni de filtrare avansată pentru a detecta câteva tipuri de atacuri și vulnerabilități care pot fi încercate împotriva computerului dvs.
În unele cazuri nu veți primi o notificare de amenințare despre comunicațiile blocate. Consultați secțiunea Scriere în log și creare de reguli sau excepții din log pentru instrucțiuni de vizualizare a tuturor comunicațiilor blocate din logul componentei Firewall. |
Disponibilitatea anumitor opțiuni din Setare avansată (F5) > Protecție rețea > Firewall și Setare avansată (F5) > Protecție rețea > Protecție împotriva atacurilor de rețea depinde de tipul sau versiunea modulului firewall, precum și de versiunea sistemului de operare. |
Servicii permise
Setările din acest grup au rolul de a facilita configurarea accesului la serviciile de pe acest computer din Zona de încredere. Multe dintre aceste setări activează/dezactivează regulile predefinite pentru firewall.
- Permite partajare fișiere și imprimante în Zona de încredere – permite computerelor la distanță din Zona de încredere să acceseze fișierele și imprimantele dvs. partajate.
- Permitere UPNP pentru servicii de sistem în Zona de încredere – permite trimiterea și primirea de solicitări de protocoale UPnP pentru serviciile de sistem. Setul de protocoale UPnP (Universal Plug and Play, denumit și Microsoft Network Discovery) este utilizat în Windows Vista și sistemele de operare ulterioare.
- Permitere comunicare RPC de intrare în Zona de încredere – activează conexiunile TCP din Zona de încredere care permit accesul la serviciile Microsoft RPC Portmapper și RPC/DCOM.
- Permitere desktop la distanță în Zona de încredere – activează conexiunile prin Microsoft Remote Desktop Protocol (RDP) și le permite computerelor din Zona de încredere să vă acceseze computerul utilizând un program care folosește RDP (de exemplu, „Remote Desktop Connection”). Vedeți și cum să permiteți conexiuni RDP în afara Zonei de încredere.
- Activare conectare în grupuri multicast prin IGMP – permite fluxuri multicast IGMP de intrare/ieșire și UDP de intrare, de exemplu, fluxuri video generate de aplicații care utilizează protocolul IGMP (Internet Group Management Protocol).
- Permitere comunicație pentru conexiuni bridged – selectați această opțiune pentru a evita închiderea conexiunilor bridged. Rețeaua bridged conectează o mașină virtuală la o rețea utilizând adaptorul Ethernet al computerului gazdă. Dacă utilizați o rețea bridged, mașina virtuală poate accesa alte dispozitive din rețea și invers, ca și cum ar fi un computer fizic din rețea.
- Permitere automată Web Services Discovery (WSD) pentru servicii de sistem în Zona de încredere – permite primirea de solicitări Web Services Discovery din Zona de încredere prin firewall. WSD este protocolul utilizat pentru localizarea serviciilor într-o rețea locală.
- Permitere rezolvare adrese multicast în Zona de încredere (LLMNR) – LLMNR (Link-local Multicast Name Resolution) este un protocol DNS bazat pe pachete care permite gazdelor IPv4 și IPv6 să efectueze rezolvarea numelor pentru gazdele din același local link fără a necesita configurarea unui server DNS sau a unui client DNS. Această opțiune permite primirea de solicitări DNS multicast din/în Zona de încredere prin firewall.
- Suport pentru Windows HomeGroup – activează suportul HomeGroup pentru Windows 7 și sistemele de operare ulterioare. Un homegroup poate partaja fișiere și imprimante într-o rețea de acasă. Pentru a configura un homegroup, navigați la Start > Control Panel > Network and Internet > HomeGroup.
Detectare intruziuni
- Protocol SMB – detectează și blochează diverse probleme de securitate în protocolul SMB, și anume:
- Detectare autentificare atac de interogare răuvoitoare a unui server – protejează împotriva unui atac care utilizează o interogare răuvoitoare în timpul autentificării în scopul obținerii acreditărilor utilizatorului.
- Evadare IDS în timpul detectării deschiderii unui canal denumit – detectare a tehnicilor de evadare cunoscute, utilizate pentru deschiderea canalelor denumite MSRPCS în protocolul SMB.
- Detectări CVE (Vulnerabilități și expuneri obișnuite) - metode implementate de detectare a diverselor atacuri, formulare, breșe de securitate și exploatări prin protocolul SMB. Consultați site-ul Web CVE la cve.mitre.org pentru a căuta și a obține mai multe informații detaliate despre identificatorii CVE (CVE-uri).
- Protocol RPC – detectează și blochează CVE-uri din sistemul Remote Procedure Call (RPC) dezvoltate pentru Distributed Computing Environment (DCE).
- Protocol RDP – detectează și blochează CVE-uri în protocolul RDP (a se vedea mai sus).
- Detectare atac de tip Intoxicare ARP – detectare a atacurilor de tip Intoxicare ARP declanșate de atacuri de tip Man in the middle sau detectare a sondării switch-ului de rețea. Protocolul ARP (Address Resolution Protocol) este utilizat de aplicația sau de dispozitivul de rețea pentru a determina adresa Ethernet.
- Detectare atac de tip Scanare port TCP/UDP – detectează atacuri prin software de scanare a porturilor, adică printr-o aplicație destinată sondării unei gazde pentru detectarea de porturi deschise; această aplicație trimite solicitări client către un interval de adrese de port cu scopul de a găsi porturi active și de a exploata vulnerabilitatea serviciului. Citiți detalii despre acest tip de atac în glosar.
- Blocare adresă nesigură după detectarea unui atac – adresele IP care au fost detectate ca surse ale unor atacuri sunt adăugate la lista neagră pentru a împiedica conexiunea o anumită perioadă de timp.
- Afișare notificare după detectare atac – activează notificarea din bara de sistem, în colțul din partea dreaptă, jos, a ecranului.
- Afișare notificări și pentru atacurile sosite împotriva breșelor de securitate – vă alertează dacă se detectează atacuri împotriva breșelor de securitate sau o amenințare efectuează o încercare de intrare în sistem în acest mod.
Verificare pachete
- Permitere conexiune de intrare la partajări de administrator în protocolul SMB – partajările administrative sunt partajările în rețea implicite care utilizează în comun partițiile de hard disk (C$, D$, ...) din sistem împreună cu directorul de sistem (ADMIN$). Dezactivarea conexiunilor la partajările administrative ar trebui să reducă multe riscuri de securitate. De exemplu, viermele Conficker inițiază atacuri de tip Dictionnary attack pentru a se conecta la partajările administrative.
- Interzicere a dialectelor SMB vechi (neacceptate) – interzice sesiunile SMB care utilizează un dialect SMB vechi care nu este acceptat de IDS. Sistemele de operare Windows moderne acceptă dialectele SMB vechi datorită retrocompatibilității cu sistemele de operare vechi, precum Windows 95. Atacatorul poate negocia un dialect vechi într-o sesiune SMB pentru a evita inspectarea traficului. Interziceți dialectele SMB vechi în cazul în care computerul dvs. nu trebuie să partajeze fișiere (sau să utilizeze comunicații SMB, în general) cu un computer pe care este instalată o versiune veche de Windows.
- Interzicere sesiuni SMB fără securitate extinsă – securitatea extinsă poate fi utilizată în timpul sesiunii SMB în vederea asigurării unui mecanism de autentificare mai sigur decât autentificarea interogare-răspuns prin LAN Manager (LM). Schema LM este considerată vulnerabilă și nu se recomandă utilizarea ei.
- Interzicere a deschiderii fișierelor executabile pe un server din afara Zonei de încredere în protocolul SMB – întrerupe conexiunea atunci când încercați să deschideți un fișier executabil (.exe, .dll etc.) dintr-un director partajat aflat pe un server care nu face parte din Zona de încredere în componenta Firewall. Copierea de fișiere executabile din surse de încredere poate fi legitimă, însă această metodă de detectare ar trebui să reducă riscurile asociate cu deschiderea nedorită a unui fișier de pe un server dăunător (de exemplu, deschiderea unui fișier făcând clic pe o legătură către un fișier executabil dăunător partajat).
- Interzicere a autentificării NTLM în protocolul SMB pentru conectarea unui server în Zona de încredere – protocoale care utilizează schemele de autentificare NTLM (ambele versiuni) sunt expuse la atacuri prin redirecționarea acreditărilor (cunoscute și cu denumirea de atacuri de tip SMB Relay în cazul protocolului SMB). Interzicerea autentificării NTLM printr-un server din afara Zonei de încredere ar trebui să reducă riscurile asociate cu redirecționarea acreditărilor de către un server dăunător din afara Zonei de încredere. În mod similar, puteți refuza autentificarea NTLM prin servere care fac parte din Zona de încredere.
- Permitere comunicație cu serviciul Security Account Manager – pentru mai multe informații despre acest serviciu, consultați [MS-SAMR].
- Permitere comunicație cu serviciul Local Security Authority – pentru mai multe informații despre acest serviciu, consultați [MS-LSAD] și [MS-LSAT].
- Permitere comunicare cu serviciul Remote Registry – pentru mai multe informații despre acest serviciu, consultați [MS-RPP].
- Permitere comunicare cu serviciul Service Control Manager – pentru mai multe informații despre acest serviciu, consultați [MS-SCMR].
- Permitere comunicație cu serviciul Server – pentru mai multe informații despre acest serviciu, consultați [MS-SRVS].
- Permitere comunicare cu celelalte servicii – alte servicii MSRPC. MSRPC este implementarea Microsoft a mecanismului DCE RPC. În plus, MSRPC poate utiliza canalele declarate integrate în protocolul SMB (partajare de fișiere în rețea) pentru transport (ncacn_np transport). Serviciile MSRPC asigură interfețe pentru accesarea și gestionarea la distanță a sistemelor Windows. În sistemul MSRPC Windows au fost descoperite și exploatate mai multe vulnerabilități de securitate (viermele Conficker, viermele Sasser etc.). Dezactivați comunicațiile cu serviciile MSRPC de care nu aveți nevoie, pentru a reduce multe dintre riscurile de securitate (precum executarea la distanță a codurilor sau atacuri pentru afectarea serviciilor).