Додаткові параметри

У меню Додаткові параметри (відкрийте розділ Додаткові параметри й виберіть пункти Модулі захисту > Захист доступу до мережі > Захист мережі від атак) можна ввімкнути або вимкнути виявлення кількох типів атак і експлойтів, які можуть завдати шкоди комп’ютеру.

Виявлення вторгнення

Виявлення вторгнення відстежує обмін даними в мережі пристроїв для ідентифікації зловмисної активності.

•ПротоколSMB: виявляє та блокує різноманітні проблеми, пов’язані з безпекою протоколу SMB.

•Протокол RPC – виявлення й блокування різноманітних слабких місць і помилок у системі віддаленого виклику процедур для середовища розподілених розрахунків (Distributed Computing Environment, DCE).

•ПротоколRDP: виявлення й блокування різноманітних слабких місць у протоколі RDP (див. вище).

•Виявлення атаки ARP Poisoning: виявлення атак ARP Poisoning, ініційованих атаками типу "незаконний посередник", або прослуховування на мережевих комутаторах. ARP (Address Resolution Protocol – протокол перетворення адрес) використовується мережевою програмою або пристроєм для визначення адреси Ethernet.

•Виявлення атаки сканування порту TCP/UDP – виявлення атаки за допомогою програмного забезпечення для сканування портів (тобто застосунків, розроблених для перевірки хосту на наявність відкритих портів шляхом надсилання клієнтських запитів на ряд адрес портів із метою виявлення активних і використання слабких місць у системі безпеки служби). Докладніше про цей тип атаки див. у глосарії.

•Блокувати небезпечну адресу після виявлення атаки: додавання до чорного списку IP-адрес, визначених як джерело атаки, що запобігає з’єднанню з ними протягом певного періоду часу. Можна визначити період зберігання чорного списку, що визначає час, протягом якого адресу буде заблоковану після виявлення атаки.

•Сповіщати про виявлення атаки: вмикає відображення сповіщень Windows в нижньому правому куті екрана.

•Також відображати сповіщення про атаки, спрямовані на слабкі місця в системі безпеки: сповіщає про виявлені атаки, спрямовані на слабкі місця в системі безпеки, або про спроби проникнення загрози в систему в такий спосіб.

Перевірка пакетів

Тип аналізу пакетів, який фільтрує дані, що передаються через мережу.

•Дозволити вхідні запити спільних адміністративних ресурсів у протоколі SMB – адміністративними спільними ресурсами називаються мережеві спільні ресурси, які використовують розділи на жорсткому диску в системі (C$, D$ тощо) разом із системною папкою (ADMIN$). Заборонивши підключення до адміністративних спільних ресурсів, можна усунути багато загроз для безпеки. Наприклад, черв’як Conficker для підключення до адміністративних спільних ресурсів здійснює атаки за словником.

•Відхилити застарілі (непідтримувані) діалекти SMB: відхилення сеансів SMB, які використовують застарілі діалекти SMB, що не підтримуються IDS. Сучасні операційні системи Windows підтримують застарілі діалекти SMB з метою забезпечення сумісності з попередніми версіями (наприклад, Windows 95). Зловмисник може використовувати застарілий діалект під час сеансу SMB, щоб уникнути перевірки трафіку. Активуйте відхилення застарілих діалектів SMB, якщо ваш пристрій не використовується для обміну файлами (або комунікації SMB загалом) із комп’ютером під керуванням старих версій Windows.

•Відхилити SMB без розширення функції безпеки – розширена функція безпеки може використовуватися під час сеансу SMB з метою забезпечення надійнішого механізму автентифікації, ніж метод "запит–відповідь" для автентифікації диспетчера локальної мережі. Цей метод вважається слабким, і використовувати його не рекомендується.

•Відхилити відкриття виконуваних файлів на сервері поза межами довіреної зони у протоколі SMB – відхиляє підключення в разі спроби відкриття виконуваного файлу (.exe, .dll) зі спільної папки на сервері, який не належить до довіреної зони в налаштуваннях брандмауера. Зауважте, що копіювання виконуваних файлів із довірених джерел може бути прийнятним. Зверніть увагу, що копіювання виконуваних файлів із довірених джерел може бути допустимим, проте такий спосіб виявлення усуває ризики, пов’язані з небажаним відкриттям файлів на зловмисному сервері (наприклад, якщо натиснуто посилання на шкідливий виконуваний файл, що перебуває у спільному доступі).

•Відхилити автентифікацію NTLM у протоколі SMB для підключення до сервера в довіреній зоні/поза межами довіреної зони: протоколи, що використовують механізми автентифікації NTLM (обох версій), уразливі до атак за методом переадресації прав (для протоколу SMB — атак трансляції SMB. Заборонивши автентифікацію NTLM під час установлення зв’язку із сервером поза межами довіреної зони, можна зменшити ризик переадресації прав зловмисним сервером поза межами довіреної зони. Подібним чином ви можете встановити заборону на автентифікацію NTLM для серверів, що входять до довіреної зони.

•Дозволити виклики диспетчера облікових записів: докладніше про цю службу див. у розділі [MS-SAMR].

•Дозволити виклики локального центру безпеки: докладніше про цю службу див. у розділах [MS-LSAD] і [MS-LSAT].

•Дозволити виклики віддаленого реєстру: докладніше про цю службу див. у розділі [MS-RRP].

•Дозволити виклики диспетчера керування службами: докладніше про цю службу див. у розділі [MS-SCMR].

•Дозволити виклики служби сервера: докладніше про цю службу див. у розділі [MS-SRVS].

•Дозволити виклики інших служб. MSRPC — це реалізація механізму DCE RPC від компанії Microsoft. Окрім того, MSRPC може використовувати іменовані канали, виконувані за протоколом SMB (обмін файлами в мережі), для транспортування даних (ncacn_np transport). Служби MSRPC дають змогу отримувати віддалений доступ до систем Windows і керувати ними. У системі Windows MSRPC було виявлено кілька вразливих місць, які використовувалися "дикими вірусами" (черв’яки Conficker, Sasser тощо). Заборонивши комунікацію з непотрібними службами MSRPC, можна усунути багато ризиків для безпеки (віддалене виконання коду, відмова в обслуговуванні тощо).