Tillåtna tjänster och avancerade alternativ

Med avancerade alternativ avsnitten Brandvägg och Skydd mot nätverksattacker kan du konfigurera åtkomsten till vissa av de tjänster som körs på datorn från Tillförlitliga platser.

Du kan aktivera eller inaktivera detektering av flera typer av attacker och kryphål som kan skada datorn.

Tillåtna tjänster

Inställningarna i gruppen är avsedda att förenkla konfigurationen av åtkomst till datorns tjänster från Tillförlitliga platser. Många av dem aktiverar/inaktiverar fördefinierade brandväggsregler. Du kan redigera tillåtna tjänster i Avancerade inställningar (F5) > Nätverksskydd > Brandvägg > Avancerat > Tillåtna tjänster.

•Tillåt fil- och skrivardelning i Tillförlitliga platser – tillåter fjärrdatorer på Tillförlitliga platser att få åtkomst till dina delade filer och skrivare.

•Tillåt UPNP för systemtjänster på Tillförlitliga platser – tillåter inkommande och utgående förfrågningar om UPnP-protokoll (Universal Plug and Play, även kallat Microsoft Network Discovery) för systemtjänster.

•Tillåt inkommande -RPCkommunikation i Tillförlitliga platser – aktiverar TCP-anslutningar från Tillförlitliga platser vilket ger åtkomst till Microsoft RPC Portmapper och RPC/DCOM-tjänster.

•Tillåt fjärrskrivbord i Tillförlitliga platser – aktiverar anslutningar via Microsoft RDP (Remote Desktop Protocol) och gör det möjligt för datorer i Tillförlitliga platser att få åtkomst till din dator med ett program som använder RDP (till exempel Anslutning till fjärrskrivbord).

•Aktivera inloggning i multicast-grupper genomIGMP – tillåter inkommande/utgående IIGMP- och inkommande UDP-multicastströmmar, till exempel videoströmmar genererade av program som använder IGMP-protokollet (Internet Group Management Protocol).

•Tillåt kommunikation för bryggade anslutningar – välj det här alternativet för att undvika att avsluta bryggade anslutningar. Med bryggade nätverk ansluts en virtuell dator till ett nätverk med hjälp av värddatorns Ethernet-adapter. Om du använder bryggade nätverk kan den virtuella datorn komma åt andra enheter i nätverket och vice versa, som om det vore en fysisk dator i nätverket.

•Tillåt automatiska Web Services Discovery-förfrågningar (WSD) för systemtjänster på Tillförlitliga platser – tillåter inkommande Web Services Discovery-förfrågningar från Tillförlitliga platser genom brandväggen. WSD är det protokoll som används för att hitta tjänster i ett lokalt nätverk.

•Tillåt uppslag av multicastadresser i Tillförlitliga platser (LLMNR) – LLMNR (Link-local Multicast Name Resolution) är ett DNS-paketbaserat protokoll som tillåter att både IPv4- och IPv6-värdar utför namnmatchning på samma lokala länk utan att kräva en DNS-server- eller DNS-klientkonfiguration. Med det här alternativet tillåts inkommande multicast-DNS-begäranden från den betrodda zonen via brandväggen.

•Stöd för hemgrupp i Windows – aktiverar stöd för hemgrupp. En hemmagrupp kan dela filer och skrivare i ett hemnätverk. Konfigurera en hemgrupp genom att gå till Start > Inställningar > Nätverk och Internet > Hemgrupp.

Intrångsdetektering

Intrångsdetektering söker efter skadlig aktivitet i enhetsnätverkskommunikationen. Du kan redigera de här inställningarna i Avancerade inställningar (F5) > Nätverksskydd > Skydd mot nätverksattacker > Avancerade alternativ > Intrångsdetektering.

•Protokollet SMB – identifierar och blockerar olika säkerhetsproblem i SMB-protokollet.

•RPC-protokoll – identifierar och blockerar olika CVE:er i RPC-system som utvecklats för DCE (Distributed Computing Environment).

•Protokollet RDP – identifierar och blockerar olika CVE i RDP-protokollet (se ovan).

•Identifiering av ARP-förgiftningsattacker – identifiering av ARP-förgiftningsattacker som orsakas av man-in-the-middle-attacker eller detektering av en nätverksanalysator. ARP (Address Resolution Protocol) används av nätverksprogrammet eller enheten för att fastställa Ethernet-adressen.

•Identifiering av TCP/UDP-portskanningsattacker – detekterar program för portskanningsattacker – program som avsöker värdar för att se om det finns öppna portar genom att skicka en klientförfrågan till flera olika portadresser i syfte att hitta aktiva portar och utnyttja tjänstens sårbarhet. Läs mer om den här attacktypen i ordlistan.

•Blockera osäkra adresser efter detektering av attacker – IP-adresser som har identifierats som attackkällor läggs till i svartlistan för att hindra att de ansluts under en viss tid.

•Meddela om detektering av attack – aktiverar Windows-meddelandefältet i nedre högra hörnet av skärmen.

•Visa meddelanden även för inkommande attacker mot säkerhetshål – varnar om attacker mot säkerhetshål upptäcks eller om ett försök gjorts av ett hot att ta sig in i systemet på det här sättet.

Paketkontroll

En typ av paketanalys som filtrerar data som överförs över nätverket. Du kan redigera de här inställningarna Avancerade inställningar (F5) > Nätverksskydd > Skydd > mot nätverksattacker Avancerade alternativ > Paketkontroll.

•Tillåt inkommande anslutning till admin shares i SMB-protokoll - administrativa resurser (admin shares) är standardnätverksresurser som delar hårddiskpartitioner (C$, D$, ...) i systemet tillsammans med systemmappen (ADMIN$). Genom att inaktivera anslutningen till admin shares bör du minimera många säkerhetsrisker. Conficker-masken till exempel utför ordlisteattacker för att ansluta till admin shares.

•Neka gamla (som inte stöds) SMB-dialekter – neka SMB-sessioner som använder en gammal SMB-dialekt som inte stöds av IDS. Moderna Windows-operativsystem stöder gamla SMB-dialekter på grund av att de är bakåtkompatibla med gamla operativsystem, som Windows 95. Angriparen kan använda en gammal dialekt i en SMB-session för att undvika trafikkontroll. Neka gamla SMB-dialekter om datorn inte behöver dela filer (eller använda SMB-kommunikation i allmänhet) med en dator som har en gammal Windows-version.

•Neka SMB-sessioner utan utökad säkerhet – utökad säkerhet kan användas för en SMB-session för att erbjuda en säkrare autentiseringsmekanism än LAN Manager (LM) anrop/svar-autentisering. LM-systemet anses vara svagt och rekommenderas inte.

•Neka att körbar fil öppnas på en server utanför Tillförlitliga platser med SMB-protokoll – släpper anslutningen när du försöker att öppna en körbar fil (.exe, .dll) från en delad mapp på en server som inte tillhör Tillförlitliga platser i brandväggen. Observera att kopiering av körbara filer från betrodda källor kan vara legitimt. Observera att det kan vara legitimt att kopiera körbara filer från betrodda källor. Denna identifiering minskar dock riskerna från oönskat öppnande av en fil på en skadlig server (orsakat till exempel genom en klickning på en länk till en delad skadlig körbar fil).

•Neka NTLM-autentisering med SMB-protokoll för att ansluta en server i/utanför Tillförlitliga platser – protokoll som använder NTLM-autentisering (båda versionerna) kan utsättas för en attack som vidarebefordrar autentiseringsuppgifter (kallas också SMB-reläattacker om det gäller SMB-protokoll). Genom att neka NTLM-autentisering med en server utanför Tillförlitliga platser bör riskerna minimeras för vidarebefordran av autentiseringsuppgifter av en skadlig server utanför Tillförlitliga platser. På samma sätt går det att neka NTLM-autentisering med servrar i Tillförlitliga platser.

•Tillåt kommunikation med tjänsten Hanterare för kontosäkerhet – för mer information om den här tjänsten, se [MS-SAMR].

•Tillåt kommunikation med tjänsten Lokal säkerhetskontroll – för mer information om den här tjänsten, se [MS-LSAD] och [MS-LSAT].

•Tillåt kommunikation med tjänsten Remote Registry – för mer information om den här tjänsten, se [MS-RRP].

•Tillåt kommunikation med tjänsten Service Control Manager – för mer information om den här tjänsten, se [MS-SCMR].

•Tillåt kommunikation med tjänsten Server Service – för mer information om den här tjänsten, se [MS-SRVS].

•Tillåt kommunikation med övriga tjänster – övriga MSRPC-tjänster.