Dozwolone usługi i opcje zaawansowane

Opcje zaawansowane w sekcjach Zapora sieciowa i Ochrona przed atakami z sieci umożliwiają skonfigurowanie dostępu do niektórych usług uruchomionych na komputerze ze strefy zaufanej.

Można włączyć lub wyłączyć wykrywanie kilku typów ataków i exploitów, które mogą uszkodzić komputer.

note

W niektórych przypadkach użytkownik nie otrzyma powiadomienia o zablokowaniu komunikacji w związku z zagrożeniem. Instrukcje wyświetlania całej zablokowanej komunikacji w dzienniku zapory można znaleźć w sekcji Zapisywanie w dzienniku i tworzenie reguł oraz wyjątków na podstawie dziennika.

important

Dostępność poszczególnych opcji w tym oknie może być różna w zależności od typu lub wersji produktu ESET i modułu zapory, a także wersji systemu operacyjnego.

icon_section Dozwolone usługi

Ustawienia z tej grupy mają na celu uproszczenie konfiguracji dostępu do usług tego komputera ze strefy zaufanej. Wiele z nich służy do włączania/wyłączania zdefiniowanych wstępnie reguł zapory. Dozwolone usługi można edytować, otwierając Ustawienia zaawansowane (F5) > Ochrona sieci > Zapora > Zaawansowane > Dozwolone usługi.

Zezwól na udostępnianie plików i drukarek w strefie zaufanej — umożliwia komputerom zdalnym ze strefy zaufanej korzystanie z udostępnionych plików i drukarek.

Zezwól na używanie protokołu UPNP dla usług systemowych w strefie zaufanej — pozwala na przychodzenie i wychodzenie żądań protokołów UPnP dla usług systemowych. UPnP (Universal Plug and Play znany również jako Microsoft Network Discovery) jest używany w Windows Vista i nowszych systemach operacyjnych.

Zezwól na połączenie przychodzące RPC w strefie zaufanej — pozwala połączeniom TCP ze strefy zaufanej na uzyskiwanie dostępu do usług MS RPC Portmapper i RPC/DCOM.

Zezwól na używanie pulpitu zdalnego w strefie zaufanej — zezwala na połączenia za pośrednictwem protokołu RDP i pozwala komputerom ze strefy zaufanej uzyskiwać dostęp do komputera użytkownika (za pośrednictwem programu, który wykorzystuje RDP, np. Podłączanie pulpitu zdalnego).

Włącz logowanie do grup typu multicast za pośrednictwem protokołu IGMP — zezwala na wysyłanie i odbieranie strumieni typu multicast IGMP i UDP, na przykład przesyłanie strumienia wideo wygenerowanego przez programy korzystające z protokołu IGMP (Internet Group Management Protocol).

Włącz komunikację dla zmostkowanych połączeń — zaznaczenie tej opcji zapobiega przerywaniu połączeń mostkowych. Sieci mostkowe łączą maszynę wirtualną z siecią przy użyciu karty Ethernet komputera-hosta. W przypadku korzystania z sieci mostkowej maszyna wirtualna może uzyskać dostęp do innych urządzeń przez sieć i odwrotnie, tak jakby była komputerem fizycznym w sieci.

Zezwól na automatyczne używanie Protokołu odnajdywania usług sieci Web (WSD) dla usług systemowych w strefie zaufanej — zezwala na obsługę przychodzących żądań usługi Web Services Discovery ze stref zaufanych przez zaporę. WSD jest protokołem używanym do lokalizowania usług w sieci lokalnej.

Zezwól na rozwiązywanie adresów typu multicast w strefie zaufanej (LLMNR) — LLMNR (Link-local Multicast Name Resolution) to protokół pakietowy DNS, który umożliwia hostom protokołu IPv4 i IPv6 rozpoznawanie nazw hostów podłączonych do tego samego łącza lokalnego bez odwoływania się do serwera DNS czy do konfiguracji klienta DNS. Ta opcja zezwala na przychodzące żądania strumieni multicast systemu DNS ze strefy zaufanej przez zaporę.

Obsługa grupy domowej systemu Windows — umożliwia obsługę grupy domowej systemu operacyjnego Windows 7 i nowszych. Grupa domowa pozwala na udostępnianie plików i drukarek w sieci domowej. Aby ją skonfigurować, należy kliknąć kolejno opcje Start > Panel sterowania > Sieć i Internet > Grupa domowa.

icon_section Wykrywanie włamań

Wykrywanie włamań monitoruje komunikację sieciową urządzenia pod kątem szkodliwej aktywności. Można edytować te ustawienia, otwierając Ustawienia zaawansowane (F5) > Ochrona sieci > Ochrona przed atakami sieciowymi > Opcje zaawansowane > Wykrywanie włamań.

ProtokółSMB — wykrywanie i blokowanie różnego rodzaju problemów z zabezpieczeniami w protokole SMB.

Protokół RPC — wykrywa i blokuje różne identyfikatory CVE w zdalnym systemie wywołania procedur opracowanym dla środowiska Distributed Computing Environment (DCE).

Protokół RDP — wykrywa i blokuje różne identyfikatory CVE w protokole RDP (patrz wyżej).

Wykrywanie ataku z preparowaniem pakietów ARP — wykrywanie ataków z preparowaniem pakietów ARP spowodowanych przez atak typu man-in-the-middle lub „węszeniem” przy przełączniku sieciowym. Protokół ARP (Address Resolution Protocol) jest używany przez aplikację sieciową lub urządzenie do ustalenia adresu Ethernet.

Wykrywanie ataku ze skanowaniem portów TCP/UDP — wykrywa ataki z użyciem oprogramowania do skanowania portów, służącego do badania hosta pod kątem otwartych portów poprzez wysyłanie żądań programów do adresów portów. Celem tych działań jest znalezienie aktywnych portów i wykorzystanie luk w zabezpieczeniach usługi. Więcej informacji na temat ataków tego typu można znaleźć w słowniczku.

Blokowanie niebezpiecznych adresów po wykryciu ataku — adresy IP, które zostały wykryte jako źródło ataków są dodawane do czarnej listy w celu zablokowania połączenia przez podany okres.

Wyświetl powiadomienie po wykryciu ataku — umożliwia włączenie wyświetlania powiadomień na pasku zadań w prawym dolnym rogu ekranu.

Wyświetlaj także powiadomienia po wykryciu ataku przychodzącego na luki zabezpieczeń — w przypadku wykrycia ataków na luki w zabezpieczeniach lub prób uzyskania w ten sposób dostępu do systemu wyświetlane są powiadomienia.

icon_section Sprawdzanie pakietów

Typ analizy pakietów, który filtruje dane przesyłane za pośrednictwem sieci. Można edytować te ustawienia, otwierając Ustawienia zaawansowane (F5) > Ochrona sieci > Ochrona przed atakami sieciowymi > Opcje zaawansowane > Inspekcja pakietów.

Zezwól w protokole SMB na połączenia przychodzące do udziałów administracyjnych — udziały administracyjne (admin shares) to domyślne udziały sieciowe, które współdzielą partycje dysku twardego (C$, D$, ...) w systemie razem z folderem systemowym (ADMIN$). Wyłączenie połączenia z udziałami administracyjnymi może osłabić wiele zagrożeń. Na przykład, robak Conficker przeprowadza ataki słownikowe w celu podłączenia do udziałów administracyjnych.

Odmów starym (nieobsługiwanym) dialektom protokołuSMB — odmowa sesji SMB z nieaktualnym dialektem SMB, który nie jest obsługiwany przez IDS. Nowoczesne systemy Windows obsługują nieaktualne dialekty SMB ze względu na zgodność wsteczną z wcześniejszymi systemami operacyjnymi, np. Windows 95. Atakujący może użyć nieaktualnego dialektu w sesji SMB w celu uniknięcia kontroli ruchu. Należy odrzucić nieaktualne dialekty SMB, jeżeli komputer nie współdzieli plików (ogólnie komunikacji SMB) z komputerem, na którym zainstalowano wcześniejszą wersję Windows.

Odmów zabezpieczeniom protokołu SMB bez rozszerzeń zabezpieczeń — rozszerzone zabezpieczenia mogą zostać użyte podczas negocjacji sesji SMB w celu zapewnienia bezpieczniejszego mechanizmu uwierzytelniania niż uwierzytelnianie LAN Manager Challenge/Response (LM). Schemat LM jest traktowany jako słaby i nie zaleca się korzystania z niego.

Odmów otwierania plików wykonywalnych na serwerze poza strefą zaufaną w protokole SMB — odrzuca połączenie podczas próby uruchomienia pliku wykonywalnego (.exe, .dll itp.) z folderu udostępnionego na serwerze, który nie należy do strefy zaufanej w zaporze. Należy pamiętać, że kopiowanie plików wykonywalnych z zaufanych źródeł może być uzasadnione. Należy pamiętać, że kopiowanie wykonywalnych plików z zaufanych źródeł może być dozwolone, jednak to wykrywanie powinno zmniejszyć zagrożenia związane z niechcianym otwarciem pliku na serwerze ze złośliwym oprogramowaniem (na przykład poprzez kliknięcie przez użytkownika odnośnika do współdzielonego pliku wykonywalnego ze złośliwym oprogramowaniem).

Odmów uwierzytelniania NTLM w protokole SMB przy nawiązywaniu połączenia z serwerem w strefie zaufanej / spoza strefy zaufanej — protokoły, które wykorzystują schematy uwierzytelniające NTLM (obie wersje) są celem ataków związanych z przekazywaniem poświadczeń (znanych jako metoda SMB Relay w przypadku protokołu SMB). Odmowa uwierzytelniania NTLM przy nawiązywaniu połączenia z serwerem spoza strefy zaufanej zmniejsza zagrożenia związane z przekazywaniem poświadczeń przez serwer ze złośliwym oprogramowaniem spoza strefy zaufanej. W podobny sposób można odmówić uwierzytelniania NTLM w przypadku serwerów ze strefy zaufanej.

Zezwól na komunikację z usługą Menedżer konta zabezpieczeń — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–SAMR].

Zezwól na komunikację z usługą Urząd zabezpieczeń lokalnych — więcej informacji na temat tej usługi można znaleźć tutaj: [MS-LSAD] i [MS-LSAT].

Zezwól na komunikację z usługą Rejestr zdalny — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–RRP].

Zezwól na komunikację z usługą Services Control Manager — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–SCMR].

Zezwól na komunikację z Usługą serwera — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–SRVS].

Zezwól na komunikację z innymi usługami — inne usługi MSRPC.