허용된 서비스 및 고급 옵션

방화벽 및 네트워크 공격 보호 섹션의 고급 옵션을 사용하면 신뢰할 수 있는 영역의 컴퓨터에서 실행되는 일부 서비스에 대한 접근 권한을 구성할 수 있습니다.

컴퓨터에 유해할 수 있는 여러 유형의 공격과 Exploit을 탐지하는 기능을 활성화하거나 비활성화할 수 있습니다.

허용된 서비스

이 그룹의 설정은 신뢰 영역에서 이 컴퓨터의 서비스에 대한 접근 권한을 간단하게 구성할 수 있게 해줍니다. 이러한 설정 중 많은 부분은 미리 정의된 방화벽 규칙을 활성화/비활성화합니다. 허용된 서비스는 고급 설정(F5 키) > 네트워크 보호 > 방화벽 > 고급 > 허용된 서비스에서 편집할 수 있습니다.

•신뢰 영역에서 파일 및 프린터 공유 허용 - 신뢰 영역의 원격 컴퓨터에서 공유 파일 및 프린터에 접근하도록 허용합니다.

•신뢰 영역에서 시스템 서비스에 대해 UPNP 허용 - 시스템 서비스에 들어오고 나가는 UPnP(Microsoft 네트워크 검색이라고도 하는 범용 플러그 앤 플레이) 프로토콜 요청을 허용합니다.

•신뢰 영역에서 들어오는 RPC 통신 허용 - MS  Microsoft RPC Portmapper 및 RPC/DCOM 서비스에 대한 접근을 허용하는 신뢰 영역에서 TCP 연결을 활성화합니다.

•신뢰 영역에서 원격 데스크톱 허용 – Microsoft 원격 데스크톱 프로토콜(RDP)을 통한 연결을 활성화하고, 신뢰 영역의 컴퓨터가 RDP를 사용하는 프로그램(예: 원격 데스크톱 연결)을 통해 컴퓨터에 접근하도록 허용합니다.

•IGMP를 통한 멀티캐스트 그룹 로그인 활성화 - 들어오는/나가는 IGMP 및 들어오는 UDP 멀티캐스트 스트림(예: IGMP 프로토콜(Internet Group Management Protocol)을 사용하는 애플리케이션에서 생성된 비디오 스트림)을 허용합니다.

•브리지된 연결을 위한 통신 허용 - 브리지된 연결이 종료되지 않도록 하려면 이 옵션을 선택합니다. 브리지된 네트워킹은 호스트 컴퓨터의 이더넷 어댑터를 사용하여 가상 컴퓨터를 네트워크에 연결합니다. 브리지된 네트워킹을 사용하는 경우 가상 컴퓨터가 네트워크의 다른 장치에 액세스할 수 있으며, 그 반대의 경우도 네트워크에 있는 실제 컴퓨터인 것처럼 액세스할 수 있습니다.

•신뢰 영역에서 시스템 서비스에 대해 자동 웹 서비스 디스커버리(WSD) 허용 - 신뢰 영역에서 들어오는 웹 서비스 디스커버리 요청이 방화벽을 통과하도록 허용합니다. WSD는 로컬 네트워크에서 서비스를 찾는 데 사용되는 프로토콜입니다.

•신뢰 영역에서 멀티캐스트 주소 해석 허용(LLMNR) - LLMNR(링크-로컬 멀티캐스트 이름 해석)은 IPv4 및 IPv6 호스트가 DNS 서버 또는 DNS 클라이언트 구성을 요청하지 않고도 동일한 로컬 링크에서 호스트 이름을 해석할 수 있도록 허용하는 DNS 패킷 기반 프로토콜입니다. 이 옵션은 방화벽을 통해 신뢰 영역에서 들어오는 멀티캐스트 DNS 요청을 허용합니다.

•Windows 홈 그룹 지원 - 홈 그룹 지원을 활성화합니다. 홈 그룹은 홈 네트워크에서 파일과 프린터를 공유할 수 있습니다. 홈 그룹을 구성하려면 시작 > 설정 > 네트워크 및 인터넷 > 홈 그룹으로 이동합니다.

침입 검출

침입 탐지에서는 악의적인 활동에 대한 장치 네트워크 통신을 모니터링합니다. 이러한 설정은 고급 설정(F5 키) > 네트워크 보호 > 네트워크 공격 보호 > 고급 옵션 > 침입 탐지에서 편집할 수 있습니다.

•프로토콜 SMB - SMB 프로토콜에서 다양한 보안 문제를 검출하고 차단합니다.

•프로토콜 RPC - DCE(Distributed Computing Environment)용으로 개발된 원격 프로시저 호출 시스템에서 다양한 CVE를 검출하고 차단합니다.

•프로토콜 RDP - RDP 프로토콜에서 다양한 CVE를 검출하고 차단합니다(위 참조).

•ARP 악성 공격 탐지 – 메시지 가로채기 공격으로 트리거되는 ARP 악성 공격이나 네트워크 스위치의 스니핑을 탐지합니다. ARP (주소 해석 프로토콜)은 네트워크 애플리케이션이나 장치가 이더넷 주소를 확인하는 데 사용됩니다.

•TCP/UDP 포트 검사 공격 검출 - 활성 포트를 찾고 서비스 취약점을 악용하려는 목적으로 다양한 포트 주소에 클라이언트 요청을 보내 열린 포트에 대한 호스트를 조사하도록 고안된 애플리케이션인 포트 검사 소프트웨어의 공격을 검출합니다. 이러한 공격 유형에 대한 자세한 내용은 용어집을 참조하십시오.

•공격 검출 후 안전하지 않은 주소 차단 - 공격의 근원지로 검출된 IP 주소는 특정 기간 동안 연결하지 못하도록 차단 목록에 추가됩니다.

•공격 탐지에 대해 알림 – 화면 오른쪽 하단에 있는 Windows 알림 영역의 알림을 켭니다.

•보안 허점을 통해 들어오는 공격도 알림 표시 - 보안 허점을 통한 공격이 감지되었거나 이러한 방식으로 위협이 시스템에 침투하려는 경우 경고합니다.

패킷 검사

네트워크를 통해 전송되는 데이터를 필터링하는 패킷 분석의 유형입니다. 이러한 설정은 고급 설정(F5 키) > 네트워크 보호 > 네트워크 공격 보호 > 고급 옵션 > 패킷 검사에서 편집할 수 있습니다.

•SMB 프로토콜에서 관리자 공유에 대해 들어오는 연결 허용 - 관리 공유는 시스템의 하드 드라이브 파티션(C$, D$ 등)을 시스템 폴더(ADMIN$)와 공유하는 기본 네트워크 공유입니다. 관리 공유에 대한 연결을 비활성화하면 많은 보안 위험이 줄어듭니다. 예를 들어 Conficker 웜은 관리 공유에 연결하기 위해 사전 공격을 수행합니다.

•이전(지원되지 않는) SMB 언어 거부 - IDS에서 지원하지 않는 이전 SMB 언어를 사용하는 SMB 세션을 거부합니다. 최신 Windows 운영 체제는 Windows 95와 같은 이전 운영 체제와의 호환성 문제 때문에 이전 SMB 언어를 지원합니다. 공격자는 트래픽 조사를 회피하기 위해 SMB 세션에 이전 언어를 사용할 수 있습니다. 컴퓨터가 이전 버전의 Windows를 사용하는 컴퓨터와 파일을 공유(또는 일반적으로 SMB 통신을 사용)할 필요가 없으면 이전 SMB 언어를 거부하십시오.

•확장된 보안이 없는 SMB 세션 거부 - LM(LAN Manager) Challenge/Response 인증보다 안전한 인증 메커니즘을 제공하기 위해 SMB 세션 협상 중에 확장된 보안이 사용될 수 있습니다. LM 체계는 약한 것으로 간주되므로 사용하지 않는 것이 좋습니다.

•신뢰 영역 외부에 있는 서버에 대해 SMB 프로토콜에서 실행 파일 열기 거부 - 방화벽의 신뢰 영역에 속해 있지 않은 서버의 공유 폴더에서 실행 파일(.exe, .dll, ...)을 열려고 하면 연결이 끊어집니다. 신뢰할 수 있는 소스에서 실행 파일을 복사하는 것은 합법적일 수 있습니다. 신뢰할 수 있는 소스의 실행 파일을 복사하는 것은 적법할 수 있지만, 이 검출에서는 악의적인 서버에 있는 파일을 원치 않는 방식으로 열 때(예: 공유 악성 실행 파일의 하이퍼링크를 클릭하여 파일이 열림) 발생하는 위험을 완화해야 합니다.

•신뢰 영역에서 서버 연결 시 SMB 프로토콜의 NTLM 인증 거부 - NTLM(두 버전 모두 해당) 인증 체계를 사용하는 프로토콜은 자격 증명 전달 공격(SMB 프로토콜의 경우 SMB 릴레이 공격으로 알려져 있음)을 받기 쉽습니다. 신뢰 영역 외부에 있는 서버의 NTLM 인증을 거부하면 신뢰 영역 밖에 있는 악의적인 서버에서 자격 증명을 전달하여 발생하는 위험이 줄어듭니다. 마찬가지로 신뢰 영역의 서버를 통한 NTLM 인증을 거부할 수 있습니다.

•Security Account Manager 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-SAMR]을 참조하십시오.

•Local Security Authority 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-LSAD] 및 [MS-LSAT]를 참조하십시오.

•Remote Registry 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-RRP]를 참조하십시오.

•Service Control Manager 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-SCMR]을 참조하십시오.

•Server 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-SRVS]를 참조하십시오.

•기타 서비스와의 통신 허용 - 기타 MSRPC 서비스입니다.