Protezione attacchi di rete

Copia l’URL dell’articolo corrente Invia tramite e-mail

Questo articolo (PDF) Tutta la documentazione (PDF)

Attiva protezione attacchi di rete (IDS)

Consente all'utente di configurare l’accesso ad alcuni dei servizi in esecuzione sul computer dall’Area attendibile e di attivare o disattivare il rilevamento di vari tipi di attacchi ed exploit che potrebbero essere utilizzati per arrecare danni al computer in uso.

Attiva protezione botnet

Rileva e blocca le comunicazioni con comandi dannosi e controlla i server in base a sequenze tipiche in caso di infezione del computer e di tentativo di comunicazione di un bot. Per ulteriori informazioni sulla Protezione botnet, consultare il glossario ESET.

Regole IDS

È possibile immaginare le eccezioni Intrusion Detection System (IDS) come regole di protezione di rete. Fare clic su Modifica per definire le regole IDS.

Se nell’ambiente è in esecuzione una rete ad alta velocità (10 GbE e superiori), consultare l’articolo della Knowledge Base per informazioni sulle prestazioni relative alla velocità di rete e ESET Server Security.

Protezione attacchi di forza bruta

ESET Server Security controlla il contenuto del traffico di rete e blocca i tentativi di individuazione delle password.

Opzioni avanzate

Configurare le opzioni di filtraggio avanzate per rilevare i vari tipi di attacchi e di vulnerabilità che potrebbero essere eseguiti sul computer in uso.

Rilevamento intrusioni

Protocollo SMB: rileva e blocca vari problemi di protezione nel protocollo SMB
Protocollo RPC: rileva e blocca vari CVE nel sistema di chiamata procedura remota sviluppato per il DCE (Distributed Computing Environment).
Protocollo RDP: rileva e blocca vari CVE nel protocollo RDP (vedere sopra).
Blocca indirizzo non sicuro dopo il rilevamento di un attacco: gli indirizzi IP rilevati come origine degli attacchi vengono aggiunti alla blacklist per impedire la connessione per uno specifico periodo di tempo. È possibile definire il periodo di conservazione della blacklist allo scopo di impostare il periodo di tempo durante il quale l’indirizzo verrà bloccato in seguito al rilevamento di un attacco.
Invia una notifica sul rilevamento di un attacco: consente di attivare l’area di notifica di Windows nell’angolo in basso a destra della schermata.
Invia una notifica sul rilevamento di attacchi in ingresso in caso di vulnerabilità di sicurezza: avvisa l’utente in caso di rilevamento di attacchi in presenza di vulnerabilità di sicurezza o in caso di tentativi di accesso al sistema da parte di una minaccia in base a tali modalità.

Ispezione pacchetto

Consenti connessione in entrata alle condivisioni admin nel protocollo SMB: le condivisioni amministrative (condivisioni admin) sono le condivisioni di rete predefinite che condividono le partizioni dell’hard disk (C$, D$, ...) nel sistema insieme alla cartella di sistema (ADMIN$). Se si disattiva la connessione alle condivisioni admin, si dovrebbero ridurre molti rischi per la protezione. Ad esempio, il worm Conficker esegue attacchi a dizionario per potersi connettere alle condivisioni admin.
Nega vecchi (non supportati) dialetti SMB: consente di negare le sessioni SMB che utilizzano un vecchio dialetto SMB non supportato da IDS. I moderni sistemi operativi Windows supportano i vecchi dialetti SMB grazie alla compatibilità con i vecchi sistemi operativi quali Windows 95. L’autore dell’attacco può utilizzare un vecchio dialetto in una sessione SMB per poter eludere l’ispezione sul traffico. Negare i vecchi dialetti SMB se il computer in uso non deve condividere file (o utilizzare in generale la comunicazione SMB) con un computer sul quale è in esecuzione una vecchia vrsione di Windows.
Nega sessioni SMB in assenza di estensioni di protezione: le estensioni di protezione possono essere utilizzate durante la negoziazione delle sessioni SMB al fine di offrire un meccanismo di autenticazione più sicuro rispetto all’autenticazione LAN Manager Challenge/Response (LM). La protezione di tipo LM è considerata debole e se ne sconsiglia l’utilizzo.
Consenti comunicazione con il servizio Security Account Manager: per ulteriori informazioni su questo servizio, vedere [MS-SAMR].
Consenti comunicazione con il servizio Local Security Authority: per ulteriori informazioni su questo servizio, vedere [MS-LSAD] e [MS-LSAT].
Consenti comunicazione con il servizio Remote Registry: per ulteriori informazioni su questo servizio, vedere [MS-RRP].
Consenti comunicazione con il servizio Service Control Manager: per ulteriori informazioni su questo servizio, vedere [MS-SCMR].
Consenti comunicazione con il servizio Server: per ulteriori informazioni su questo servizio, vedere [MS-SRVS].
Consenti comunicazione con gli altri servizi: altri servizi MSRPC.

˄˅