IDS и расширенные функции

Раздел «IDS и расширенные параметры» предназначен для настройки доступа к некоторым службам, запущенным на вашем компьютере, из доверенной зоны и включения и отключения обнаружения некоторых типов атак и эксплойтов, которые могут повредить компьютер.

icon_details_hoverПРИМЕЧАНИЕ.

В некоторых случаях уведомление о заблокированном соединении не отображается. Сведения о том, как просматривать заблокированные соединения в журнале персонального файервола, см. в разделе Ведение журнала и создание правил и исключений в журнале.

MONITOR_ORANGE ВАЖНО!

Доступность отдельных параметров в этом окне зависит от типа или версии программы ESET и модуля персонального файервола, а также от версии операционной системы.

icon_section Разрешенные службы

Параметры в этой группе предназначены для облегчения настройки доступа к службам этого компьютера из доверенной зоны. С помощью многих из них можно включить или отключить предопределенные правила файервола.

Разрешить общий доступ к файлам и принтерам в доверенной зоне: позволяет открыть доступ к файлам и принтерам общего доступа удаленным компьютерам, расположенным в доверенной зоне.

Разрешить UPNP для системных служб в доверенной зоне: разрешает входящие и исходящие запросы протоколов UPnP для системных служб. Технология UPnP (Universal Plug and Play, также известная как Microsoft Network Discovery) используется в ОС Windows Vista и более поздних операционных системах.

Разрешить входящие соединения RPC в доверенной зоне: позволяет устанавливать TCP-подключения из доверенной зоны, предоставляя доступ к программе сопоставления портов MS RPC и службам RPC/DCOM.

Разрешить удаленный рабочий стол в доверенной зоне: дает возможность устанавливать подключения через протокол удаленного рабочего стола Майкрософт (RDP) и предоставляет компьютерам в доверенной зоне доступ к вашему компьютеру с помощью программы, которая использует протокол RDP (например, Remote Desktop Connection).

Разрешить вход в многоадресные группы по IGMP: разрешает входящие и исходящие многоадресные потоки IGMP и UDP, например потоковую передачу видеоданных, созданных программами, которые используют протокол IGMP (протокол управления группами Интернета).

Обслуживать неактивные TCP-соединения: для работы некоторых приложений требуется поддерживать установленные ими TCP-соединения, даже если соединение неактивно. Установите этот флажок, чтобы запретить обрыв неактивных TCP-соединений.

Включить связь для соединенных мостом соединений: установите этот флажок, чтобы запретить обрыв соединений типа «мост».

Разрешить ответ на ARP-запросы из-за пределов доверенной зоны: установите этот флажок, чтобы система отвечала на запросы по протоколу ARP с IP-адресов, которые находятся за пределами доверенной зоны. ARP (протокол разрешения адреса) используется сетевым приложением для определения адреса Ethernet.

Разрешить приложения Metro: для приложений, запущенных в среде Metro, разрешен обмен данными в соответствии с манифестом приложения Metro. Этот параметр переопределяет все правила и исключения для приложений Metro независимо от того, какой режим выбран для персонального файервола ESET: интерактивный или на основе политики.

Разрешить входящее подключение к общим ресурсам администратора по протоколу SMB : общие ресурсы администратора — это общие сетевые ресурсы по умолчанию, которые совместно используют разделы жесткого диска (C$, D$, ...) в системе вместе с системной папкой (ADMIN$). Отключение соединения с общими ресурсами администратора должны уменьшить возможные последствия угроз безопасности. Например, червь Conficker выполняет атаки перебором по словарю, чтобы подключиться к общим ресурсам администратора.

Разрешить автоматическое обнаружение веб-служб (WSD) для системных служб в доверенной зоне: разрешает входящие запросы обнаружения веб-служб из доверенных зон через файервол. WSD — это протокол, используемый для обнаружения служб в локальной сети.

Разрешить многоадресные разрешения в доверенной зоне (LLMNR): LLMNR — это протокол на основе пакетов DNS, который разрешает и узлам IPv4, и узлам IPv6 выполнять разрешение имен для узлов в той же локальной ссылке без необходимости в DNS-сервере или настройке клиента DNS. Этот параметр разрешает входящие многоадресные DNS-запросы из доверенной зоны через файервол.

Поддержка домашних групп Windows: включает поддержку домашних групп для ОС Windows 7 и более поздних операционных систем. Домашняя группа может использовать общий доступ к файлам и принтерам в домашней сети. Для настройки домашней группы воспользуйтесь меню Пуск > Панель управления > Сеть и Интернет > Домашняя группа.

icon_section Входящее соединение RPC по протоколу SMB

MSRPC — это реализация Microsoft механизма DCE RPC. Кроме того, MSRPC может использовать именованные каналы, перенесенные в протокол SMB (протокол общего доступа к файлам сети) для транспорта (транспорт ncacn_np). Службы MSRPC предоставляют интерфейсы для удаленного доступа к операционной системе Windows и удаленного управления ею. За последние годы обнаружено несколько уязвимостей, которые используются в среде системы Windows MSRPC (червь Conficker, червь Sasser и др.). Отключить обмен данными со службами MSRPC, которые не нужно предоставлять для уменьшения последствий угроз безопасности (например, удаленное выполнение кода или атаки типа «Отказ в обслуживании»). Для разрешения и запрещения доступа к индивидуальным службам доступны две указанные ниже возможности.

Разрешить подключение к службе диспетчера учетных записей безопасности: для получения дополнительных сведений об этой службе см. раздел [MS-SAMR].

Разрешить подключение к службе локальной системы безопасности: для получения дополнительных сведений об этой службе см. разделы [MS-LSAD] и [MS-LSAT].

Разрешить подключение к службе удаленного управления реестром: для получения дополнительных сведений об этой службе см. раздел [MS-RRP].

Разрешить подключение к службе диспетчера служб: для получения дополнительных сведений об этой службе см. раздел [MS-SCMR].

Разрешить подключение к службе сервера: для получения дополнительных сведений об этой службе см. раздел [MS-SRVS].

Разрешить подключение к другим службам: другие службы MSRPC.

icon_section Обнаружение вторжения

Протокол SMB: обнаруживает и блокирует разные проблемы с безопасностью в протоколе SMB (подробности приведены ниже).

Обнаружение атаки в виде нестандартной задачи сервера при проверке подлинности: обеспечивает защиту от атаки, которая использует нестандартную задачу во время аутентификации, чтобы получить учетные данные пользователя.

Обнаружение попытки обхода IDS при открытии именованного канала: обнаружение известных методов обхода именованных каналов MSRPCS в протоколе SMB.

Обнаружение общих уязвимостей и слабых мест (CVE): применяемые методы обнаружения различных атак, червей, брешей в системе безопасности и эксплойтов в протоколе SMB. Более подробные сведения об идентификаторах CVE приводятся на веб-сайте CVE по адресу cve.mitre.org.

Протокол RPC: обнаруживает и блокирует идентификаторы CVE в системе удаленного вызова процедур, разработанной для среды распределенных вычислений (DCE).

Протокол RDP: обнаруживает и блокирует различные идентификаторы CVE в протоколе RDP (см. выше в этом разделе).

Обнаружение подделки записей кэша ARP: обнаружение подделки записей кэша ARP, предпринятой с помощью атаки «злоумышленник в середине», или обнаружение сканирования сетевого коммутатора. Протокол ARP (протокол разрешения адреса) используется сетевым приложением или устройством для определения адреса Ethernet.

Обнаружение подделки записей кэша DNS: обнаружение подделки записей кэша DNS — получение неправильного ответа на DNS-запрос (отправляется злоумышленником), который может переадресовать вас на фиктивные и вредоносные веб-сайты. DNS (системы доменных имен) — это распределенные системы баз данных, которые переводят понятные для человека доменные имена в числовые IP-адреса и позволяют пользователям обращаться к веб-сайту с помощью его доменного имени. Дополнительную информацию об этом типе атаки см. в глоссарии.

Обнаружение сканирования портов TCP/UDP: обнаружение ПО сканирования портов, т. е. приложения, предназначенного для выявления открытых портов на узле путем отправления клиентских запросов на диапазон адресов портов и поиска активных портов для использования уязвимости службы. Дополнительную информацию об этом типе атаки см. в глоссарии.

Блокировать небезопасный адрес после обнаружения атаки: IP-адреса, которые были обнаружены в качестве источников атак, будут добавлены в «черный» список, чтобы на некоторое время предотвратить подключение.

Показывать уведомление при обнаружении атаки: включает уведомления на панели задач в правом нижнем углу экрана.

Показывать уведомление при обнаружении атаки, использующей бреши в системе безопасности: показывает уведомления, если обнаруживается атака с использованием бреши в системе безопасности, или если опасный объект пытается войти в систему через брешь.

icon_section Проверка пакетов

Запретить старые (неподдерживаемые) диалекты SMB: запретить сеансы SMB, в которых используется старый диалект SMB, не поддерживаемый IDS. Современные операционные системы Windows поддерживают старые диалекты SMB благодаря обратной совместимости со старыми операционными системами, такими как Windows 95. Злоумышленник может использовать старый диалект в сеансе SMB, чтобы избежать контроля трафика. Запретите старые диалекты SMB, если вашему компьютеру не нужно обмениваться файлами (или вообще осуществлять обмен данными SMB) с компьютером под управлением ОС Windows старой версии.

Запретить сеансы SMB без расширенной безопасности: во время согласования сеанса SMB может быть использована расширенная защита, чтобы обеспечить более безопасный механизм аутентификации, чем аутентификация LAN Manager Challenge/Response (LM). Схема LM считается слабой и не рекомендуется для использования.

Запретить открытие исполняемых файлов на сервере за пределами доверенной зоны в протоколе SMB: разрывает соединение при попытке запуска исполняемого файла (.exe, .dll) из общей папки или с IP-адреса, который не относится к доверенной зоне персонального файервола. Обратите внимание, что копирование исполняемых файлов из надежных источников может быть допустимо. С другой стороны, это обнаружение должно уменьшить риски нежелательного открытия файла на вредоносном сервере (например, если пользователь открыл файл, щелкнув гиперссылку на общий вредоносный исполняемый файл).

Запретить аутентификацию NTLM в протоколе SMB при подключении к серверу в доверенной зоне или за ее пределами: протоколы, которые используют схемы аутентификации NTLM (обе версии), могут подвергаться атакам с попыткой пересылки учетных данных (известны как атаки SMB Relay, если речь идет о протоколе SMB). Если запретить аутентификацию NTLM с использованием сервера, который находится за пределами доверенной зоны, это поможет снизить риски пересылки учетных данных вредоносным сервером, который находится за пределами доверенной зоны. Кроме того, можно запретить аутентификацию NTLM с использованием сервера из доверенной зоны.

Проверять состояние TCP-соединения: проверять, что все TCP-пакеты относятся к существующему подключению. Если пакет не относится к какому-либо подключению, он будет удален.

Обнаружение перегрузки протокола TCP: этот метод связан с отправкой на компьютер или сервер многочисленных запросов. См. также DoS-атаки (атаки типа «Отказ в обслуживании»).

Проверка сообщений, передаваемых по протоколу ICMP: предотвращает атаки с использованием слабых мест протокола ICMP, которые могут привести к зависанию компьютера. См. также DoS-атаки (атаки типа «Отказ в обслуживании»).

Обнаружение скрытых данных в протоколе ICMP: проверяется, используется ли протокол ICMP для передачи данных. Многие вредоносные методы используют протокол ICMP для обхода персонального файервола.

Обновленную версию этой страницы справочной системы см. в этой статье базы знаний ESET.