ESET interneto žinynas

Paieška Lietuviškai
Pasirinkite temą

Išplėstinės parinktys

Pasirinkę Išplėstinis nustatymas > Apsaugos priemonės > Tinklo prieigos apsauga > Apsauga nuo atakos iš tinklo (IDS) > Išplėstinės parinktys, galite įjungti arba išjungti naudojimosi ir kelių tipų atakų, kurie gali pakenkti jūsų kompiuteriui, aptikimą.


note

Kai kuriais atvejais negausite grėsmės pranešimo apie užblokuotus ryšius. Žr. skyrių Registravimas ir taisyklių arba išimčių kūrimas iš žurnalo, kur rasite instrukcijų, kaip peržiūrėti visus užblokuotus ryšius užkardos žurnale.


important

Konkrečios parinktys šiame lange gali būti pateikiamos atsižvelgiant į jūsų ESET produkto ir užkardos modulio tipą arba versiją bei operacinės sistemos versiją.

icon_section Įsilaužimo aptikimas

Įsilaužimo aptikimas stebi, ar įrenginio tinklo ryšyje nėra kenkėjiškos veiklos.

Protokolo SMB – aptinka ir užblokuota įvairias SMB protokolo saugumo problemas.

Protokolo RPC – aptinka ir užblokuoja įvairius CVE nuotolinių procedūrų iškvietimo sistemoje, sukurtoje paskirstytųjų skaičiavimų aplinkai (DCE).

RDP Protokolas – aptinka ir užblokuoja įvairius RDP protokole (žr. pirmiau).

ARP Nuodijimo atakos aptikimas – tarpininko atakų sukeltų ARP nuodijimo atakų arba tinklo komutatoriaus šnipinėjimo aptikimas. ARP (adresų nustatymo protokolas) yra naudojamas tinklo programų ir įrenginių eterneto adresui nustatyti.

TCP/UDP prievadų nuskaitymo atakos aptikimas – aptinka atakas, atliekamas prievadų nuskaitymo programine įranga – programomis, sukurtomis tikrinti atviriems pagrindinio kompiuterio prievadams siunčiant klientų užklausas įvairiais prievadų adresais, siekiant aptikti aktyvius prievadus ir išnaudoti tarnybos saugumo spragas. Išsamiau apie šio tipo atakas skaitykite terminų žodyne.

Blokuoti nesaugius adresus aptikus ataką – IP adresai, kurie buvo aptikti kaip atakų šaltiniai, pridedami prie juodojo sąrašo ir kuriam laikui uždraudžiamas ryšys. Galite nustatyti juodojo sąrašo saugojimo laikotarpį, kuris nustato laiką, kiek laiko adresas bus užblokuotas aptikus ataką.

Rodyti pranešimą aptikus ataką – įjungia „Windows“ pranešimų srities pranešimą apatiniame dešiniajame lango kampe.

Rodyti pranešimus ir apie atakas panaudojant saugumo spragas – perspėja jus apie aptiktas atakas panaudojant saugumo spragas arba grėsmių bandymus tokiu būdu patekti į sistemą.

icon_section Paketo tikrinimas

Paketų analizės tipas, filtruojantis duomenis, perduodamus tinklu.

Leisti įeinantį ryšį su administratoriaus bendrinimais SMB protokolu – administratoriaus bendrinimai yra numatytieji tinklo bendrinimai, bendrinantys standžiojo disko skaidinius (C$, D$, ...) sistemoje kartu su sisteminiu aplanku (ADMIN$). Išjungus įeinantį ryšį prie administratoriaus bendrinimų turi sumažėti daugelis saugos pavojų. Pavyzdžiui, kirminas „Conficker“ vykdo žodyno atakas, siekdamas prisijungti prie administratoriaus bendrinimų.

Uždrausti senus (nepalaikomus) SMB dialektus – draudžia SMB seansus, naudojančius seną SMB dialektą, kurio nepalaiko IDS. Šiuolaikinės „Windows“ operacinės sistemos palaiko senus SMB dialektus, kad būtų suderinamos su senomis operacinėmis sistemomis, pvz., „Windows 95“. Užpuolikas gali panaudoti seną dialektą SMB seansui, kad išvengtų duomenų srauto tikrinimo. Uždrauskite senus SMB dialektus, jei kompiuteriui nereikia bendrinti failų (ar naudoti SMB ryšį apskritai) su seną „Windows“ versiją turinčiu kompiuteriu.

Uždrausti SMB seansus be išplėstinės apsaugos – SMB seanso pradžios metu galima naudoti išplėstinę apsaugą, siekiant užtikrinti saugesnį atpažinimo mechanizmą nei atpažinimas LAN tvarkytuvo iškvietimu / atsakymu (LM). LM schema laikoma silpna ir jos naudoti nerekomenduojama.

Uždrausti atidaryti SMB protokolu vykdomuosius failus iš serverio, kuris nėra patikimoje zonoje – nutraukia ryšį, kai bandote atidaryti vykdomąjį failą (.exe, .dll, ...) iš bendrinamo aplanko serveryje, kuris nepriklauso patikimai zonai užkardoje. Atminkite, kad vykdomųjų failų kopijavimas iš patikimų šaltinių gali būti teisėtas. Atminkite: vykdomųjų failų kopijavimas iš patikimų šaltinių gali būti teisėtas, tačiau šis aptikimo būdas turėtų sumažinti pavojų nepageidaujamai atidaryti kenkimo serveryje esantį failą (pvz., atidaryti failą spustelint bendrinamo kenkimo vykdomojo failo saitą).

Uždrausti NTLM atpažinimą SMB protokole prisijungiant prie serverio, esančio arba nesančio patikimoje zonoje – NTLM (abiejų versijų) atpažinimo schemas naudojantys protokolai yra pažeidžiami kredencialų persiuntimo atakomis (SMB protokolo atveju jos vadinamos „SMB relay“ atakomis). Uždraudžiant NTLM atpažinimą serveriams ne iš patikimos zonos turi sumažinti kredencialų persiuntimo atakos grėsmę iš kenkėjiškų serverių už patikimos zonos. Analogiškai NTLM atpažinimą galima uždrausti ir serveriams patikimoje zonoje.

Leisti ryšį su saugumo paskyrų tvarkytuvo tarnyba – papildomos informacijos apie šią tarnybą rasite [MS-SAMR].

Leisti ryšį su vietinių saugumo institucijų tarnyba – papildomos informacijos apie šią tarnybą rasite [MS-LSAD] ir [MS-LSAT].

Leisti ryšį su nuotolinio registravimo tarnyba – papildomos informacijos apie šią tarnybą rasite [MS-RRP].

Leisti ryšį su tarnybų valdymo tvarkytuvo tarnyba – papildomos informacijos apie šią tarnybą rasite [MS-SCMR].

Leisti ryšį su serverio tarnyba – papildomos informacijos apie šią tarnybą rasite [MS-SRVS].

Leisti ryšį su kitomis tarnybomis – kitos MSRPC tarnybos. MSRPC yra „Microsoft“ būdas įdiegti DCE RPC mechanizmą. Be to, MSRPC dėl transportavimo gali naudoti įvardytuosius kanalus, perkeltus į SMB (tinklo failų bendrinimo) protokolą (ncacn_np transport). MSRPC paslaugos suteikia sąsajas nuotoliniu būdu pasiekti ir valdyti „Windows“ sistemoms. Buvo aptiktos kelios „Windows“ MSRPC sistemos saugumo spragos, kurias išnaudojo plintantys virusai (kirminai „Conficker“, „Sasser“…). Išjunkite nebūtiną ryšį su MSRPC tarnybomis daugeliui saugumo pavojų (tokių kaip nuotolinis kodo vykdymas ar tarnybų gedimo atakos) sumažinti.