詳細設定オプション
詳細設定 > 保護 > ネットワークアクセス保護 > ネットワーク攻撃保護 > 詳細オプションでは、コンピューターに損害を与える可能性のあるさまざまな種類の攻撃やエクスプロイトの検出を有効または無効にできます。
ブロックされた通信についての脅威の通知を受け取らないことがあります。ファイアウォールログでブロックされたすべての通信を表示する手順については、「ロギングとログからのルールまたは例外の作成」を参照してください。 |
このウィンドウで特定のオプションを使用できるかどうかは、ESET製品とファイアウォールモジュールの種類とバージョンおよびオペレーティングシステムのバージョンによって異なる場合があります。 |
侵入検出
侵入検出は、デバイスネットワーク通信で悪意のあるアクティビティを監視します。
•プロトコルSMB - SMBプロトコルのさまざまなセキュリティの問題を検出してブロックします。
•プロトコルRPC - 分散コンピューティング環境(DCE)のために開発されたリモートプロシージャコールシステムでのCVEを検出してブロックします。
•プロトコルRDP - RDPプロトコルでさまざまなCVEを検出してブロックします(前記を参照)。
•ARPポイズニング攻撃を検出 - 中間者攻撃によるARPポイズニング攻撃の検出、またはネットワークスイッチにおける盗聴の検出。ARP(アドレス解決プロトコル)は、Ethernetアドレスを決定するためにネットワークアプリケーションまたはデバイスによって使用されます。
•TCP/UDPポートスキャン攻撃攻撃を検出 - プロトコルポートスキャンソフトウェア、すなわち、アクティブなポートを見つけてサービスの脆弱性を悪用することを目的として、広い範囲のポートアドレスにクライアント要求を送信し、ホストの開いているポートを調べるように設計されたアプリケーションによる攻撃を検出します。この攻撃の詳細については、「用語集」を参照してください。
•攻撃の検出後に安全ではないアドレスをブロック - 攻撃の元であると検出されたIPアドレスは、一定の時間、接続を遮断するためにブラックリストに追加されます。ブラックリスト保持期間を定義し、攻撃の検出後にアドレスがブロックされる期間を設定できます。
•攻撃の検出について通知 - 画面の右下にあるWindows通知領域がオンになります。
•セキュリティホールに対する受信攻撃を通知 - セキュリティホールに対する攻撃が検出された場合や、脅威によってこの方法でシステムに侵入する試みが行われた場合に通知します。
パケットのチェック
ネットワーク経由で転送されるデータをフィルタ処理するパケット分析の一種。
•SMBプロトコルでの管理用共有への受信接続を許可 - 管理用共有は、既定のネットワーク共有で、システム内のハードドライブのパーティション(C$、D$、...)をシステムフォルダ(ADMIN$)と共有します。管理用要求への接続を無効にすると、多くのセキュリティリスクが低下します。たとえば、Confickerワームは管理用共有に接続するためにディクショナリアタックを行います。
•古い(サポート対象外) SMBダイアレクトを拒否 - SMBによってサポートされていない古いSMBダイアレクトを使用するIDSセッションを遮断します。最近のWindowsオペレーティングシステムは、Windows 95などの古いオペレーティングシステムとの後方互換性を確保するために、古いSMBダイアレクトをサポートしています。攻撃者は、SMBセッションで古いダイアレクトで使用することにより、トラフィック検査を逃れることができます。お使いのコンピューターで古いバージョンのWindowsを搭載したコンピューターとファイルを共有する必要がない場合は(または通常のSMB通信を使用)、古いSMBダイアレクトを遮断してください。
•セキュリティ拡張のないSMBセッションを拒否 - SMBセッションネゴシエーションの際、LAN Managerチャレンジ/レスポンス(LM)認証よりも安全な認証メカニズムを提供するために、拡張セキュリティを使用できます。LMスキームは、脆弱であると考えられ、使用は推奨されません。
•SMBプロトコルの信頼ゾーンの外部にあるサーバー上の実行可能ファイルを開くことを拒否 - ファイアウォールの信頼ゾーンに属していないサーバー上の共有フォルダにある実行可能ファイル(.exe、.dll)を開こうとすると、接続がドロップされます。信頼できるソースから実行可能ファイルをコピーすることは合法です。信頼できるソースから実行ファイルをコピーすることは合法ですが、この検出によって不審なファイルが悪意のあるサーバーで開かれるリスクを低減します(共有された悪意のある実行ファイルへのハイパーリンクをクリックして開くファイルなど)。
•信頼ゾーン内にあるサーバーに接続するためのNTLMプロトコルでのSMB認証を拒否 - NTLM (両方のバージョン)認証スキームを使用するプロトコルは、資格情報転送攻撃(SMBプロトコルではSMBリレー)攻撃の対象になります。信頼ゾーンの外側にあるサーバーでのNTLM認証を遮断すると、信頼ゾーンの外側にある悪意のあるサーバーによって資格情報が転送されるリスクが軽減されます。同様に、信頼ゾーン内のサーバーによるNTLM認証を遮断することも考えられます。
•セキュリティアカウントマネージャー(SAM)サービスとの通信を許可 - このサービスの詳細については、[MS-SAMR]を参照してください。
•ローカルセキュリティ機関(LSA)サービスとの通信を許可 - このサービスの詳細については、[MS-LSAD]と[MS-LSAT]を参照してください。
•リモートレジストリサービスとの通信を許可 - このサービスの詳細については、[MS-RRP]を参照してください。
•サービスコントロールマネージャサービスとの通信を許可 - このサービスの詳細については、[MS-SCMR]を参照してください。
•サーバーサービスとの通信を許可 - このサービスの詳細については、[MS-SRVS]を参照してください。
• 他のサービスとの通信を許可 - 他のMSRPCサービス。MSRPCは、MicrosoftによるDCE RPCメカニズムの実装です。また、MSRPCでは、転送(ncacn_np転送)のためにSMB(ネットワークファイル共有)プロトコルで名前付きパイプを使用できます。MSRPCサービスには、Windowsシステムをリモートからアクセスして管理するためのインタフェースが用意されています。Windows MSRPCシステムに関しては、いくつかのセキュリティ上の脆弱性が発見、悪用されてきました(Confickerワーム、Sasserワームなど)。多くのセキュリティリスク(リモートコード実行、サービス拒否攻撃など)低下させるために、提供する必要がないMSRPCサービスとの通信は無効にしてください。