خيارات متقدمة
في الإعداد المتقدم > وسائل الحماية > حماية الوصول إلى الشبكة > الحماية ضد هجمات الشبكة > الخيارات المتقدمة، يمكنك تمكين أو تعطيل اكتشاف العديد من أنواع الهجمات وعمليات الاختراق التي قد تضر بجهاز الكمبيوتر لديك.
في بعض الحالات، لن تتلقى إعلاماً بتهديد حول الاتصالات التي تم حظرها. الرجاء مراجعة قسم التسجيل وإنشاء قواعد أو استثناءات من السجل للاطلاع على إرشادات لعرض جميع الاتصالات التي تم حظرها في سجل جدار الحماية. |
قد يختلف توفر خيارات معينة في هذه النافذة حسب نوع منتج ESET ووحدة جدار الحماية أو إصدارهما، وكذلك إصدار نظام التشغيل المثبت لديك. |
اكتشاف الاختراق
يراقب الكشف عن التطفل اتصال شبكة الجهاز بحثاً عن أنشطة ضارة.
- البروتوكولSMB - يكتشف مختلف مشكلات الأمان في بروتوكول SMB ويحظرها.
- البروتوكول RPC - لاكتشاف مختلف الثغرات وعمليات التعرض الشائعة وحظرها في نظام استدعاء الإجراءات عن بُعد المطور لأجل بيئة الحوسبة الموزعة (DCE).
- البروتوكول RDP - لاكتشاف CVEs المختلفة وحظرها في بروتوكول RDP (انظر أعلاه).
- ARP اكتشاف هجمة تسمم بروتوكول - اكتشاف هجمات تسمم ARP التي يتم تشغيلها بواسطة شخص في الهجمات الوسيطة أو اكتشاف عمليات التعرف في محول الشبكة. يُستخدم ARP (بروتوكول تحليل العنوان) بواسطة تطبيق أو جهاز الشبكة لتحديد عنوان Ethernet.
- اكتشاف هجمة فحص منفذ TCP/UDP - لاكتشاف هجمات برنامج فحص المنفذ - تطبيق مصمم لاكتشاف مضيف للمنافذ المفتوحة بإرسال طلبات عملاء إلى مجموعة من عناوين المنافذ بهدف العثور على منافذ نشطة، واختراق ثغرات الخدمة. اقرأ المزيد حول هذا النوع من الهجمات في المسرد.
- حظر عنوان غير آمن بعد اكتشاف هجمة - تتم إضافة عناوين IP المكتشفة كمصادر هجمات إلى قائمة الحظر لمنع الاتصال خلال مدة زمنية معينة. يمكنك تحديد فترة استبقاء القائمة السوداء، والتي تحدد الوقت الذي سيتم فيه حظر العنوان بعد اكتشاف الهجوم.
- إعلام بشأن اكتشاف الهجمة – لتشغيل إعلام منطقة Windows بفي الزاوية اليمنى السفلية من الشاشة.
- عرض الإعلامات أيضاً لهجمات واردة ضد فجوات الأمان - لتنبيهك في حالة اكتشاف هجمات ضد فجوات الأمان أو في حالة إجراء محاولة عبر تهديد يهدف إلى دخول النظام بهذه الطريقة.
فحص الحزمة
نوع من تحليل الحزمة يقوم بتصفية البيانات التي يتم نقلها عبر الشبكة.
- السماح بالاتصال الوارد بمشاركات المسؤول في بروتوكول SMB - تعد المشاركات الإدارية (مشاركات المسؤولين) مشاركات الشبكة الافتراضية التي تتشارك أقسام محرك الأقراص الثابت (C$ وD$...) في النظام مع مجلد النظام (ADMIN$). يجب أن يقلل تعطيل الاتصال بمشاركات المسؤولين الكثير من مخاطر الأمان. على سبيل المثال، ينفذ الفيروس المتنقل Conficker هجمات قواميس للاتصال بمشاركات المسؤولين.
- رفض لهجات SMB القديمة (غير المدعومة) - رفض جلسات SMB التي تستخدم لهجة SMB قديمة غير مدعومة بواسطة IDS. تدعم أنظمة تشغيل Windows الحديثة لهجات SMB القديمة نظراً للتوافق مع إصدارات أقدم من أنظمة التشغيل مثل Windows 95. ويمكن للمهاجم استخدام لهجة قديمة في جلسة SMB للتهرب من فحص المرور. ارفض أي لهجات SMB قديمة إذا لم يكن الكمبيوتر الخاص بك بحاجة إلى مشاركة ملفات (أو استخدام اتصال SMB بشكل عام) مع كمبيوتر به إصدار أقدم من Windows.
- رفض جلسات SMB بدون أمان موسع - يمكن استخدام الأمان الموسع أثناء تفاوض جلسة SMB لتوفير آلية مصادقة أكثر أماناً من مصادقة LAN Manager Challenge/Response (LM). يعد مخطط LM ضعيفاً، ولا يوصى باستخدامه.
- رفض فتح الملفات القابلة للتنفيذ على أحد الخوادم الموجودة خارج المنطقة الموثوق بها في بروتوكول SMB - لإبعاد الاتصال عندما تحاول فتح ملف تنفيذي (.exe, .dll, ...) من مجلد مشترك على الخادم لا ينتمي إلى المنطقة الموثوقة في جدار الحماية. لاحظ أن نسخ الملفات القابلة للتنفيذ من مصادر موثوقة يمكن أن يكون قانونياً. لاحظ أن نسخ الملفات التنفيذية من مصادر موثوقة يمكن أن يكون قانونياً، ولكن هذا الاكتشاف يجب أن يحد من مخاطر الفتح غير المرغوب فيه لملف على خادم ضار (كملف يُفتح بالنقر فوق ارتباط تشعبي إلى ملف تنفيذي ضار مشترك مثلاً).
- رفض مصادقة NTLM في بروتوكول SMB لتوصيل أحد الخوادم خارج المنطقة الموثوق بها - تخضع البروتوكولات التي تستخدم مخططات مصادقة NTLMNTLM (الإصدارين كليهما) لهجمة إعادة توجيه بيانات اعتماد (تُعرف بهجمة ترحيل SMB في حالة بروتوكول SMB). يجب أن يحد رفض مصادقة NTLM بخادم خارج المنطقة الموثوق بها من المخاطر الناتجة عن إعادة توجيه بيانات الاعتماد بواسطة خادم ضار خارج المنطقة الموثوق بها. وبالمثل، يمكنك رفض مصادقة NTLM مع الخوادم في المنطقة الموثوق بها.
- السماح بالاتصال بخدمة مدير حساب الأمان – لمزيد من المعلومات حول هذه الخدمة، راجع [MS-SAMR].
- السماح بالاتصال بخدمة جهة الأمان المحلية - لمزيد من المعلومات حول هذه الخدمة، راجع [MS-LSAD] و[MS-LSAT].
- السماح بالاتصال بخدمة السجل البعيد - لمزيد من المعلومات حول هذه الخدمة، راجع [MS-RRP].
- السماح بالاتصال بخدمة مدير التحكم بالخدمة - لمزيد من المعلومات حول هذه الخدمة، راجع [MS-SCMR].
- السماح بالاتصال بخدمة الخادم - لمزيد من المعلومات حول هذه الخدمة، راجع [MS-SRVS].
- السماح بالاتصال بالخدمات الأخرى - خدمات MSRPC الأخرى. MSRPC هو تنفيذ Microsoft لآلية DCE RPC. علاوة على ذلك، يمكن أن يستخدم MSRPC ممرات بيانات مسماة محمولة في بروتوكول SMB (مشاركة ملفات الشبكة) للنقل (نقل ncacn_np). توفر خدمات MSRPC واجهات للوصول إلى أنظمة Windows وإدارتها عن بُعد. تم اكتشاف العديد من ثغرات الأمان واختراقها في الفضاء ضمن نظام Windows MSRPC (على سبيل المثال، الفيروس المتنقل Conficker والفيروس المتنقل Sasser وغيرها). قم بتعطيل الاتصال بخدمات MSRPC التي لا تحتاج إلى تقديمها للحد من مخاطر الأمان (مثل تنفيذ التعليمة البرمجية البعيدة أو هجمات فشل الخدمة).