Napredne možnosti

V razdelku Napredne nastavitve > Zaščite > Zaščita omrežnega dostopa > Zaščita pred napadi iz omrežja > Napredne možnosti lahko omogočite ali onemogočite zaznavanje več vrst napadov in izkoriščanj, ki lahko škodujejo vašemu računalniku.

Zaznavanje vdorov

Zaznavanje vdora spremlja omrežno komunikacijo naprave in išče v njej zlonamerno dejavnost.

•Protokol SMB – zazna in blokira različne varnostne težave v protokolu SMB.

•Protokol RPC – zazna in blokira različne splošne ranljivosti in nevarnosti v sistemu klica oddaljene procedure, zasnovanega za DCE (Distributed Computing Environment).

•Protokol RDP – zazna in blokira različne splošne ranljivosti in nevarnosti v protokolu RDP (glejte zgoraj).

•Zaznavanje napadov zastrupljanja ARP-ja – zaznavanje napada zastrupljanja ARP-ja, ki ga sprožijo napadi vmesnega člena, ali zaznavanje iskanja omrežnega preklopnika. Omrežni program ali naprava uporabljata ARP (Address Resolution Protocol) za določanje ethernetnega naslova.

•Zaznavanje napadov na pregled vrat TCP/UDP – zazna napade programske opreme za pregledovanje vrat – program, ki je zasnovan tako, da preverja, ali ima gostitelj odprta vrata, in sicer tako, da pošilja zahteve odjemalca na različne naslove vrat, da bi našel aktivna vrata in izkoristil ranljivost storitve. Več o tej vrsti napadov preberite v slovarju izrazov.

•Blokiraj nevaren naslov po zaznanem napadu – naslovi IP, ki so bili zaznani kot vir napadov, so dodani na seznam blokiranih pošiljateljev in povezava je nekaj časa onemogočena. Določite lahko obdobje hranjenja za seznam blokiranih pošiljateljev, ki določa čas, kako dolgo po zaznanem napadu bo naslov blokiran.

•Prikaži obvestilo, ko je zaznan napad – vklopi obvestilo v območju za obvestila sistema Windows v spodnjem desnem kotu zaslona.

•Prikaži obvestila tudi za dohodne napade varnostnih lukenj – opozori, če so zaznani napadi varnostnih lukenj ali če grožnja na ta način poskuša vstopiti v sistem.

Preverjanje paketov

Vrsta analize paketov, ki filtrira podatke, prenesene prek omrežja.

•Dovoli dohodno povezavo s skrbniškimi omrežnimi pogoni v protokolu SMB – skrbniški omrežni pogoni so privzeti omrežni pogoni, ki omogočajo skupno rabo particij trdega diska (C$, D$, ...) v sistemu in sistemske mape (ADMIN$). Če onemogočite povezavo s skrbniškimi omrežnimi pogoni, zmanjšate številna varnostna tveganja. Črv Conficker na primer izvaja napade s slovarjem, da se poveže s skrbniškimi omrežnimi pogoni.

•Zavrni stare (nepodprte) dialekte SMB – zavrnite seje SMB s starim dialektom SMB, ki ga IDS ne podpira. Moderni operacijski sistemi Windows podpirajo stare dialekte SMB zaradi vzvratne združljivosti s starejšimi operacijskimi sistemi, kot je Windows 95. Napadalec lahko v seji SMB uporabi star dialekt, da se izogne preverjanju prometa. Zavrnite stare dialekte SMB, če vam ni treba omogočiti skupne rabe datotek (ali uporabiti komunikacije SMB) z računalnikom s starejšo različico sistema Windows.

•Zavrni seje SMB brez razširjene varnosti – razširjeno varnost lahko uporabite med pogajanji o seji SMB, da bi zagotovili varnejši mehanizem preverjanja pristnosti od protokola preverjanja pristnosti izziv–odgovor za LAN Manager (LM). Shema LM se smatra za šibko in je ni priporočljivo uporabljati.

•Zavrni odpiranje izvedljivih datotek v protokolu SMB v strežniku, ki je zunaj zaupanja vrednega območja – prekine povezavo, ko poskušate odpreti izvedljivo datoteko (.exe, .dll ...) iz mape v skupni rabi v strežniku, ki ni v zaupanja vrednem območju požarnega zida. Upoštevajte, da je kopiranje izvedljivih datotek iz zaupanja vrednih virov lahko legitimno. Kopiranje izvedljivih datotek iz zaupanja vrednih virov je lahko zakonito, vendar pa to zaznavanje poskuša zmanjšati tveganje neželenega odpiranja datotek v zlonamernih strežnikih (če datoteko na primer odprete tako, da kliknete hiperpovezavo do zlonamerne izvedljive datoteke v skupni rabi).

•Zavrni preverjanje pristnosti NTLM v protokolu SMB za vzpostavljanje povezave s strežnikom v zaupanja vrednem območju ali zunaj njega – protokoli, ki uporabljajo sheme preverjanja pristnosti NTLM (obe različici), so predmet napada na posredovanje poverilnic (znanega kot napad na rele SMB v primeru protokola SMB). Zavrnitev preverjanja pristnosti NTLM v strežniku zunaj zaupanja vrednega območja zmanjša tveganje posredovanja poverilnic zlonamernega strežnika zunaj zaupanja vrednega območja. Preverjanje pristnosti NTLM lahko zavrnete tudi v strežnikih v zaupanja vrednem območju.

•Dovoli komunikacijo s storitvijo upravitelja varnostnih računov – če želite več informacij o tej storitvi, glejte [MS–SAMR].

•Dovoli komunikacijo s storitvijo lokalnega varnostnega urada – če želite več informacij o tej storitvi, glejte [MS-LSAD] in [MS-LSAT].

•Dovoli komunikacijo s storitvijo oddaljenega registra – če želite več informacij o tej storitvi, glejte [MS–RRP].

•Dovoli komunikacijo s storitvijo upravitelja varnostnih računov – če želite več informacij o tej storitvi, glejte [MS–SCMR].

•Dovoli komunikacijo s strežniško storitvijo – če želite več informacij o tej storitvi, glejte [MS–SRVS].

•Dovoli komunikacijo z drugimi storitvami – druge storitve MSRPC. MSRPC je Microsoftova izvedba mehanizma DCE RPC. Poleg tega lahko MSRPC uporablja tudi poimenovane cevi, ki jih vnese v protokol SMB (skupna raba omrežnih datotek) za prenos (prenos ncacn_np). Storitve MSRPC zagotavljajo vmesnike za oddaljeni dostop in oddaljeno upravljanje sistemov Windows. V sistemu Windows MSRPC je bilo odkritih in izkoriščenih več varnostnih ranljivosti (črv Conficker, črv Sasser ...). Če onemogočite komunikacijo s storitvami MSRPC, ki jih ne potrebujete, zmanjšate številna varnostna tveganja (na primer izvajanje oddaljene kode ali napadi zavrnitve storitve).