Leidžiamos tarnybos ir išplėstinės parinktys

Išplėstinių parinkčių skiltyje galima sukonfigūruoti prieigą iš patikimos zonos prie kai kurių jūsų kompiuteryje veikiančių tarnybų ir įjungti (išjungti) kelių tipų atakų ir spragų išnaudojimo, kurie gali pakenkti jūsų kompiuteriui, aptikimo funkciją.

note

Pastaba

Kai kuriais atvejais negausite grėsmės pranešimo apie užblokuotus ryšius. Žr. skyrių Registravimas ir taisyklių arba išimčių kūrimas iš žurnalo, kur rasite instrukcijų, kaip peržiūrėti visus užblokuotus ryšius užkardos žurnale.

important

Svarbu

Konkrečios parinktys šiame lange gali būti pateikiamos atsižvelgiant į jūsų ESET produkto ir užkardos modulio tipą arba versiją bei operacinės sistemos versiją.

icon_section Leidžiamos paslaugos

Šios grupės parametrai skirti supaprastinti prieigos prie kompiuterio tarnybų iš patikimos zonos konfigūravimą. Daugelis jų įjungia / išjungia iš anksto apibrėžtas užkardos taisykles.

Leisti bendrai naudoti failus ir spausdintuvus patikimoje zonoje – leidžia patikimoje zonoje esantiems nuotoliniams kompiuteriams pasinaudoti jūsų bendrinamais failais ir spausdintuvais.

Leisti UPNP sistemos paslaugoms patikimoje zonoje – leidžia gaunamas ir siunčiamas UPnP protokolų užklausas sistemos paslaugoms. UPnP (universalus savaiminis diegimas, taip pat žinomas kaip „Microsoft“ tinklo radimas) yra naudojamas „Windows Vista“ ir naujesnėse operacinėse sistemose.

Leisti gaunamus RPC ryšius patikimoje zonoje – leidžia TCP ryšius iš patikimos zonos, suteikiant prieigą prie „MS RPC Portmapper“ ir RPC / DCOM tarnybų.

Leisti nuotolinį darbalaukį patikimoje zonoje – įjungia ryšius „Microsoft“ nuotolinio darbalaukio protokolu (RDP) ir leidžia patikimoje zonoje esantiems kompiuteriams pasiekti jūsų kompiuterį RDP naudojančia programa (pvz., nuotolinio prisijungimo prie darbalaukio programa).

Įjungti registravimą į daugiaadresio perdavimo grupes per IGMP – leidžia priimti / siųsti IGMP ir priimamus UDP daugiaadresius srautus, pvz., vaizdo įrašų srautus, generuojamus IGMP protokolą (interneto grupinių adresų valdymo protokolas – angl. „Internet Group Management Protocol“) naudojančių programų.

Leisti ryšį susietoms jungtims – pasirinkite šią parinktį, kad nebūtų nutraukiami tarpiniai ryšiai.

Leisti „Metro“ programas – „Metro“ aplinkoje veikiančių „Windows“ parduotuvės programų ryšys leidžiamas pagal „Metro“ programų deklaraciją. Ši parinktis apeina visas „Metro“ taikomųjų programų taisykles ir išimtis, neatsižvelgiant į tai, ar pasirinkote interaktyvųjį režimą, ar politika pagrįstą režimą ESET užkardoje.

Leisti automatinį saityno paslaugų radimą (WSD) sistemos paslaugoms patikimoje zonoje – leidžia per užkardą iš patikimų zonų priimti saityno paslaugų radimo užklausas. WSD protokolas yra naudojamas rasti paslaugas vietiniame tinkle.

Leisti daugiaadresio perdavimo adresų nustatymą patikimoje zonoje (LLMNR) – LLMNR (vietinio saito daugiaadresio pavadinimo vertimas) yra DNS paketų protokolas, kuris leidžia tiek IPv4, tiek IPv6 pagrindiniams kompiuteriams atlikti pagrindinių kompiuterių vardų vertimą tame pačiame vietiniame saite, nereikalaujant DNS serverio arba DNS kliento konfigūravimo. Ši parinktis leidžia per užkardą iš patikimos zonos priimti daugiaadreses DNS užklausas.

„Windows HomeGroup“ palaikymas – įjungia „HomeGroup“ palaikymą „Windows 7“ ir naujesnėse operacinėse sistemose. „HomeGroup“ gali bendrinti failus ir spausdintuvus namų tinkle. Norėdami konfigūruoti namų grupę, eikite į Pradėti > Valdymo skydas > Tinklas ir internetas > Namų grupė.

 

icon_section Įsilaužimo aptikimas

Protokolo SMB – aptinka ir užblokuota įvairias SMB protokolo saugumo problemas, pvz.:

Apgaulingo serverio iškvietimo atakos atpažinimo aptikimas – saugo nuo atakos, atpažinimo metu naudojančios apgaulingą iškvietimą siekiant gauti vartotojo kredencialus.

IDS vengimo atidarant įvardytąjį kanalą aptikimas – aptinka žinomus vengimo metodus, naudojamus atidarant MSRPCS įvardytuosius kanalus SMB protokole.

CVE aptikimas (bendras pažeidžiamumas ir atskleidimas) – įdiegti įvairių atakų, formų, saugos skylių ir išnaudojimų SMB protokole aptikimo metodai. Jei reikia išsamesnės informacijos apie CVE identifikatorius (CVEs), žr. CVE interneto svetainę cve.mitre.org.

Protokolo RPC – aptinka ir užblokuoja įvairius CVE nuotolinių procedūrų iškvietimo sistemoje, sukurtoje paskirstytųjų skaičiavimų aplinkai (DCE).

RDP protokolas – aptinka ir užblokuoja įvairius RDP protokole (žr. pirmiau).

ARPARP nuodijimo atakos aptikimas – aptinka ARP nuodijimo atakas, sukeltas tarpininko atakų, arba tinklo komutatoriaus šnipinėjimą. ARP (adresų nustatymo protokolas) yra naudojamas tinklo programų ir įrenginių eterneto adresui nustatyti.

Leisti atsakyti į ARP užklausas iš nepatikimos zonos – nurodykite šią parinktį, jei norite, kad sistema atsakytų į ARP užklausas iš IP adresų, nesančių patikimoje zonoje. Tinklo programa naudoja ARP (adresų nustatymo protokolą) eterneto adresui nustatyti.

DNS nuodijimo atakos aptikimas – aptinka DNS nuodijimo ataką – suklastotą atsaką į DNS užklausą (atsiųstą užpuoliko), kuris gali nukreipti jus į suklastotas ir kenkimo interneto svetaines. DNS (domenų vardų sistemos) yra paskirstytos duomenų bazių sistemos, kurios verčia žmonėms suprantamus domenų vardus į skaitinius IP adresus ir leidžia vartotojams rasti svetaines vien pagal domeno vardą. Išsamiau apie šio tipo atakas skaitykite terminų žodyne.

TCP/UDP prievadų nuskaitymo atakos aptikimas – aptinka atakas, atliekamas prievadų nuskaitymo programine įranga – programomis, sukurtomis tikrinti atviriems pagrindinio kompiuterio prievadams siunčiant klientų užklausas įvairiais prievadų adresais, siekiant aptikti aktyvius prievadus ir išnaudoti tarnybos saugumo spragas. Išsamiau apie šio tipo atakas skaitykite terminų žodyne.

Blokuoti nesaugius adresus aptikus ataką – IP adresai, kurie buvo aptikti kaip atakų šaltiniai, pridedami prie juodojo sąrašo ir kuriam laikui uždraudžiamas ryšys.

Rodyti pranešimą aptikus ataką – įjungia sistemos dėklo pranešimą apatiniame dešiniajame lango kampe.

Rodyti pranešimus ir apie atakas panaudojant saugumo spragas – perspėja jus apie aptiktas atakas panaudojant saugumo spragas arba grėsmių bandymus tokiu būdu patekti į sistemą.

 

icon_section Paketo tikrinimas

Leisti įeinantį ryšį su administratoriaus bendrinimais SMB protokolu – administratoriaus bendrinimai yra numatytieji tinklo bendrinimai, bendrinantys standžiojo disko skaidinius (C$, D$, ...) sistemoje kartu su sisteminiu aplanku (ADMIN$). Išjungus įeinantį ryšį prie administratoriaus bendrinimų turi sumažėti daugelis saugos pavojų. Pavyzdžiui, kirminas „Conficker“ vykdo žodyno atakas, siekdamas prisijungti prie administratoriaus bendrinimų.

Uždrausti senus (nepalaikomus) SMB dialektus – draudžia SMB seansus, naudojančius seną SMB dialektą, kurio nepalaiko IDS. Šiuolaikinės „Windows“ operacinės sistemos palaiko senus SMB dialektus, kad būtų suderinamos su senomis operacinėmis sistemomis, pvz., „Windows 95“. Užpuolikas gali panaudoti seną dialektą SMB seansui, kad išvengtų duomenų srauto tikrinimo. Uždrauskite senus SMB dialektus, jei kompiuteriui nereikia bendrinti failų (ar naudoti SMB ryšį apskritai) su seną „Windows“ versiją turinčiu kompiuteriu.

Uždrausti SMB seansus be išplėstinės apsaugos – SMB seanso pradžios metu galima naudoti išplėstinę apsaugą, siekiant užtikrinti saugesnį atpažinimo mechanizmą nei atpažinimas LAN tvarkytuvo iškvietimu / atsakymu (LM). LM schema laikoma silpna ir jos naudoti nerekomenduojama.

Uždrausti atidaryti SMB protokolu vykdomuosius failus iš serverio, kuris nėra patikimoje zonoje – nutraukia ryšį, kai bandote atidaryti vykdomąjį failą (.exe, .dll, ...) iš bendrinamo aplanko serveryje, kuris nepriklauso patikimai zonai užkardoje. Atminkite: vykdomųjų failų kopijavimas iš patikimų šaltinių gali būti teisėtas, tačiau šis aptikimo būdas turėtų sumažinti pavojų nepageidaujamai atidaryti kenkimo serveryje esantį failą (pvz., atidaryti failą spustelint bendrinamo kenkimo vykdomojo failo saitą).

Uždrausti NTLM atpažinimą SMB protokole prisijungiant prie serverio, esančio arba nesančio patikimoje zonoje – NTLM (abiejų versijų) atpažinimo schemas naudojantys protokolai yra pažeidžiami kredencialų persiuntimo atakomis (SMB protokolo atveju jos vadinamos „SMB relay“ atakomis). Uždraudžiant NTLM atpažinimą serveriams ne iš patikimos zonos turi sumažinti kredencialų persiuntimo atakos grėsmę iš kenkėjiškų serverių už patikimos zonos. Analogiškai NTLM atpažinimą galima uždrausti ir serveriams patikimoje zonoje.

Leisti ryšį su saugumo paskyrų tvarkytuvo tarnyba – papildomos informacijos apie šią tarnybą rasite [MS-SAMR].

Leisti ryšį su vietinių saugumo institucijų tarnyba – papildomos informacijos apie šią tarnybą rasite [MS-LSAD] ir [MS-LSAT].

Leisti ryšį su nuotolinio registravimo tarnyba – papildomos informacijos apie šią tarnybą rasite [MS-RRP].

Leisti ryšį su tarnybų valdymo tvarkytuvo tarnyba – papildomos informacijos apie šią tarnybą rasite [MS-SCMR].

Leisti ryšį su serverio tarnyba – papildomos informacijos apie šią tarnybą rasite [MS-SRVS].

Leisti ryšį su kitomis tarnybomis – kitos MSRPC tarnybos.

MSRPC yra „Microsoft“ būdas įdiegti DCE RPC mechanizmą. Be to, MSRPC dėl transportavimo gali naudoti įvardytuosius kanalus, perkeltus į SMB (tinklo failų bendrinimo) protokolą (ncacn_np transport). MSRPC paslaugos suteikia sąsajas nuotoliniu būdu pasiekti ir valdyti „Windows“ sistemoms. Buvo aptiktos kelios „Windows“ MSRPC sistemos saugumo spragos, kurias išnaudojo plintantys virusai (pavyzdžiui: kirminai „Conficker“, „Sasser“…). Išjunkite nebūtiną ryšį su MSRPC tarnybomis daugeliui saugumo pavojų (tokių kaip nuotolinis kodo vykdymas ar tarnybų gedimo atakos) sumažinti.

Tikrinti TCP ryšio būseną – tikrina, ar visi TCP paketai priklauso esamam ryšiui. Jeigu paketo ryšyje nėra, jis bus išmestas.

Palaikyti neaktyvius TCP ryšius – kad kai kurios programos galėtų veikti, reikia, jog jų užmegztas TCP ryšys būtų palaikomas, net kai TCP ryšys yra neaktyvus. Pasirinkite šią parinktį, kad neaktyvūs TCP ryšiai nebūtų nutraukiami.

TCP protokolo perkrovimo aptikimas – šio metodo principas remiasi didelio kiekio užklausų siuntimu kompiuteriui / serveriui – be to, žiūrėkite DoS (aptarnavimo perkrovos atakos).

ICMP protokolo pranešimo tikrinimas – užkerta kelią atakoms, kurios išnaudoja ICMP protokolo saugumo spragas ir kurios gali priversti kompiuterį nustoti reaguoti. Taip pat žr. ICMP ataka.

Paslėptų duomenų ICMP protokole aptikimas – tikrina, ar ICMP protokolas naudojamas perduodant duomenis. Daugelis kenkėjiškų metodų naudoja ICMP protokolą užkardai apeiti.

Atnaujintą šio žinyno puslapio versiją rasite šiame ESET žinių bazės straipsnyje.