Engedélyezett szolgáltatások és további beállítások

Az Engedélyezett szolgáltatások szakaszban konfigurálhatja a számítógépen futó egyes szolgáltatásokhoz a megbízható zónából való hozzáférést, és engedélyezheti vagy letilthatja azon különböző típusú támadások és biztonsági rések észlelését, amelyekkel károsíthatják a számítógépét.

note

Megjegyzés

Egyes esetekben nem kap kártevőkkel kapcsolatos értesítést a letiltott kommunikációkról. A Naplózás és szabályok vagy kivételek létrehozása naplóból című részből megtudhatja, hogy miként tekintheti meg az összes tiltott kommunikációt a tűzfal naplójában.

important

Fontos

Az ablakban található egyes beállítások elérhetősége az ESET-szoftver típusától, a tűzfal modultól, valamint az operációs rendszer verziójától függ.

icon_section Engedélyezett szolgáltatások

E csoport beállításaival egyszerűbben konfigurálható a számítógép szolgáltatásaihoz a megbízható zónából való hozzáférés. Számos közülük előre definiált tűzfalszabályokat engedélyez vagy tilt le.

Fájl- és nyomtatómegosztás engedélyezése a Megbízható zónában – Az opció bejelölésével engedélyezhető, hogy a megbízható zóna számítógépei hozzáférjenek a helyi számítógép megosztott fájljaihoz és nyomtatóihoz.

UPNP engedélyezése a rendszerszolgáltatásoknak a Megbízható zónában – Az opció bejelölésével engedélyezhető az UPnP protokoll összes bejövő és kimenő kérelme a rendszerszolgáltatásokhoz. Az UPnP (Universal Plug and Play, más néven Microsoft Hálózat felderítése) a Windows Vista és az újabb operációs rendszerekben használt funkció.

Bejövő RPC-kommunikáció engedélyezése a megbízható zónában – A beállítással engedélyezhetők az MS RPC Portmapper és RPC/DCOM szolgáltatáson keresztül létesített TCP-kapcsolatok a megbízható zónán belül.

Távoli asztal engedélyezése a megbízható zónában – Ezt az opciót bejelölve lehetővé teszi a Microsoft RDP protokollon keresztüli kapcsolatokat, és engedélyezi a megbízható zónában lévő számítógépeknek, hogy az RDP-t használó programokkal (például a Távoli asztali kapcsolat alkalmazással) hozzáférjenek ehhez a számítógéphez.

Naplózás engedélyezése csoportcímes küldési csoportokba az IGMP protokollon keresztül – Ezzel az opcióval engedélyezheti az IGMP protokollt használó bejövő vagy kimenő, illetve az UDP protokollt használó bejövő csoportos küldésű adatfolyamokat, például az IGMP protokollt használó programok által létrehozott video-adatfolyamokat.

Hálózati hídkapcsolatok kommunikációjának engedélyezése – A jelölőnégyzet bejelölésével elkerülheti a hálózati hídkapcsolatok megszakítását. A hálózati hídkapcsolatokkal egy virtuális gép csatlakoztatható egy hálózathoz a gazdaszámítógép Ethernet-adaptere segítségével. Hálózati hídkapcsolatok használatakor a virtuális gép el tud érni más eszközöket a hálózaton – és ez fordított irányban is lehetséges – épp úgy, mintha egy fizikai számítógép lenne a hálózaton.

Metro-alkalmazások engedélyezése – A Metro környezetben futó Windows áruházbeli alkalmazások kommunikációja a Metro-alkalmazásjegyzéknek megfelelően engedélyezett. Ez a beállítás felülírja a Metro-alkalmazások minden szabályát és kivételét attól függetlenül, hogy az ESET Tűzfalban az interaktív vagy a házirendalapú üzemmódot választotta.

Automatikus Web Services Discovery- (WSD) kérések engedélyezése a rendszerszolgáltatásoknak a megbízható zónában – Az opció bejelölésével engedélyezheti a megbízható zónából a tűzfalon keresztül bejövő WSD- (Web Services Discovery) kéréseket. A WSD a helyi hálózaton a szolgáltatások keresésére szolgáló protokoll.

Csoportos IP-címek feloldásának engedélyezése a megbízható zónában (LLMNR) – Az LLMNR (Link-local Multicast Name Resolution – Kapcsolati szintű csoportos küldés névfeloldása) egy DNS-csomagon alapuló protokoll, amely az IPv4 és az IPv6 rendszerű állomásokon egyaránt lehetővé teszi az azonos helyi hálózaton lévő állomások címének feloldását DNS-szerver és DNS-klienskonfiguráció igénybevétele nélkül. Ezzel a beállítással engedélyezhetők a megbízható zóna bejövő, csoportos címzésű DNS-kérései a tűzfalon keresztül.

A Windows otthoni csoport támogatása – Az opció bejelölésével engedélyezheti a Windows 7 vagy újabb operációs rendszerben megjelent otthoni csoportok funkciójának támogatását. Az otthoni csoportok révén fájlok és nyomtatók oszthatók meg az otthoni hálózatokban. Az otthoni csoport beállításához válassza a Start > Vezérlőpult > Hálózat és internet > Otthoni csoport lehetőséget.

 

icon_section Behatolásfelismerés

SMB protokollSMB – Számos biztonsági problémát észlel és blokkol az SMB protokollban, nevezetesen az alábbiakat:

Engedélyezetlen szerverekről érkező hitelesítéses támadás észlelése – Védelmet nyújt a felhasználói hitelesítő adatok megszerzése érdekében a hitelesítés során alkalmazott szerverkérdéses támadásokkal szemben.

IDS elkerülésének észlelése a folyamatok közötti kommunikáció megnyitásakor – Az MSRPCS nevesített csövek megnyitásához használt ismert elkerülési technikák felismerése az SMB protokollban.

Gyakori biztonsági rések és kitettségek felismerése – Az SMB protokollon keresztüli különféle támadások, férgek, biztonsági rések és kitettségek használt felismerési módszerei. A gyakori biztonsági rések és kitettségek (CVE-k) azonosítóiról a cve.mitre.org szervezet webhelyén talál részletesebb információkat.

RPC protokoll – Észleli és letiltja a különféle gyakori biztonsági réseket és kitettségeket az elosztott számítógépes környezethez (DCE) kifejlesztett távoli eljáráshívási rendszerben.

RDP protokollRDP – Észleli és letiltja a gyakori biztonsági réseket és kitettségeket az RDP protokollban (lásd fent).

ARPARP-mérgezés felismerése – A betolakodó illetéktelen személyek általi támadások vagy a hálózati kapcsolónál az elemzésészlelés által kiváltott ARP-mérgezés felismerése. Az ARP (Address Resolution Protocol) protokollt a hálózati alkalmazás vagy eszköz használja az Ethernet-cím meghatározására.

Válaszok engedélyezése a megbízható zónán kívülről érkező ARP-kérésekre – Az opció bejelölésével engedélyezheti, hogy az ARP protokoll szerinti címfeloldási kérelmekre a rendszer olyan IP-címekkel válaszoljon, amelyek nem a megbízható zónában vannak. Az ARP (Address Resolution Protocol) protokollt a hálózati alkalmazás használja az Ethernet-cím meghatározására.

DNSDNS-mérgezés felismerése – A DNS-mérgezéssel hamis válaszokat kap a DNS-kérelmekre (a támadóktól), amelyek hamis és kártékony webhelyekre irányíthatják át. A DNS (tartománynév-) rendszerek elosztott adatbázisrendszerek, amelyek a felhasználók számára ismert tartománynevek és a számból álló IP-címek közötti fordítást végzik, és lehetővé teszik a felhasználóknak, hogy tartománynevet használva egyszerűen hivatkozzanak egy webhelyre. Erről a támadástípusról további információt a szószedetben olvashat.

TCP/UDP-portszkennelés felismerése – Portszkenneléses szoftverek támadásait észleli. Ezek olyan alkalmazások, amelyek az állomásokon próbálnak nyitott portokat keresni úgy, hogy klienskérelmeket küldenek portcímek tartományára abból a célból, hogy aktív portokat találjanak, és kihasználják a szolgáltatás biztonsági réseit. Erről a támadástípusról további információt a szószedetben olvashat.

Nem biztonságos címek letiltása a támadások felismerése után – A támadások forrásaként felismert IP-címeket a program felveszi a tiltólistára, így bizonyos időszakra megakadályozza a kapcsolatot.

Értesítés megjelenítése támadás felismerése után – A jelölőnégyzet bejelölésével kikapcsolhatja a képernyő jobb alsó sarkában, a tálcán megjelenő értesítéseket.

Értesítések megjelenítése a biztonsági réseket kihasználó támadások esetén is – Riasztást jelenít meg a biztonsági rések elleni támadások észlelésekor, illetve ha egy kártevő ily módon kísérel meg belépni a rendszerbe.

 

icon_section Csomagellenőrzés

Rendszergazdai megosztások bejövő kapcsolatainak engedélyezése az SMB protokollban – A rendszergazdai megosztások azok az alapértelmezett hálózati megosztások, amelyek megosztják a merevlemez-partíciókat (C$, D$...) a rendszerben a rendszermappákkal (ADMIN$). A rendszergazdai megosztásokkal fennálló kapcsolat letiltása számos biztonsági kockázatot csökkent. A Conficker féreg például szótáras támadásokkal próbál meg a rendszergazdai megosztásokhoz kapcsolódni.

Régi (nem támogatott) SMB-dialektusok tiltása – Letiltja az IDS által nem támogatott régi SMB-dialektust használó SMB-munkameneteket. A modern Windows operációs rendszerek a korábbi operációs rendszerekkel (például Windows 95) való visszamenőleges kompatibilitásnak köszönhetően támogatják az SMB-dialektusokat. A támadó használhat régi dialektust az SMB-munkamenetben annak érdekében, hogy elkerülje a forgalom vizsgálatát. Tiltsa le a régi SMB-dialektusokat, ha számítógépének nem kell fájlokat megosztania (vagy általában használjon SMB-kommunikációt) a Windows korábbi verzióját futtató számítógéppel.

Biztonsági bővítmények nélküli SMB-munkamenetek tiltása – A kibővített biztonságot az SMB-munkamenet használata során lehet egyeztetni a LAN Manager kérdés-válasz hitelesítésénél biztonságosabb hitelesítési módszerek biztosítása céljából. A LAN Manager séma gyengének számít, és a használata nem javasolt.

Végrehajtható fájlok megbízható zónán kívüli szerveren való megnyitásának tiltása az SMB protokollban – Megszakad a kapcsolat, amikor megkísérli egy végrehajtható fájl (.exe, .dll) futtatását egy olyan szerveren lévő megosztott mappából, amely nem tartozik a tűzfal megbízható zónájához. A végrehajtható fájlok megbízható forrásokból való másolása szabályszerű lehet ugyan, ez a felismerés azonban csökkenti a kártékony szervereken lévő fájlok nem kívánt megnyitásából származó kockázatokat (például egy megosztott kártékony végrehajtható fájlra mutató hivatkozásra kattintva megnyitott fájl esetén).

NTLM-hitelesítés tiltása a megbízható zónában lévő/megbízható zónán kívüli szerver eléréséhez az SMB protokollban – Az NTLM (mindkét verziójának) hitelesítési sémáit használó protokollok ki vannak téve a hitelesítő adatok továbbításával járó (az SMB protokoll esetében SMB-továbbításos néven ismert) támadásnak. A megbízható zónán kívüli szerverrel való NTLM-hitelesítés tiltása csökkenti a megbízható zónán kívüli kártékony szerver által történő hitelesítőadat-továbbításból származó kockázatokat. Hasonlóképpen, a megbízható zónában lévő szerverekkel való NTLM-hitelesítés is tiltható.

A Biztonsági fiókkezelő szolgáltatással (SAM) való kommunikáció engedélyezése – A szolgáltatásról további információt itt talál: [MS-SAMR].

A Helyi biztonsági szervezet (LSA) szolgáltatással való kommunikáció engedélyezése – A szolgáltatásról további információt itt talál: [MS-LSAD] és [MS-LSAT].

A Távoli beállításjegyzék szolgáltatással való kommunikáció engedélyezése – További információ a szolgáltatásról: [MS-RRP].

A Szolgáltatásvezérlő szolgáltatással való kommunikáció engedélyezése – A szolgáltatásról további információt itt talál: [MS-SCMR].

A Kiszolgáló szolgáltatással való kommunikáció engedélyezése – A szolgáltatásról további információt itt talál: [MS-SRVS].

Más szolgáltatásokkal való kommunikáció engedélyezése – Egyéb MSRPC-szolgáltatások.

az MSRPC az elosztott számítógépes környezet (DCE) távoli eljáráshívási (RPC) mechanizmus megvalósítása a Microsoft által. AzMSRPC használhat továbbá az átvitelhez az SMB (hálózati fájlmegosztási) protokollba továbbított nevesített csöveket (ncacn_np transport). Az MSRPC szolgáltatások a Windows rendszerek távoli hozzáféréséhez és kezeléséhez szükséges felületeket biztosítanak. Mostanáig számos biztonsági rést fedeztek fel és használtak ki a Windows MSRPC rendszerében (Példa: Conficker féreg, Sasser féreg stb.). Tiltsa le a kommunikációt azokkal az MSRPC szolgáltatásokkal, amelyekre nincs szüksége, így csökkentheti a biztonsági kockázatokat (ilyen például a kódok távoli futtatása vagy a szolgáltatáshibát okozó támadások).

TCP-kapcsolat állapotának ellenőrzése – Az opció bejelölése esetén a program ellenőrzi, hogy minden TCP-csomag létező kapcsolathoz tartozik-e, és amelyik nem, azt elveti.

Inaktív TCP-kapcsolatok fenntartása – Néhány alkalmazás működéséhez szükséges az általuk létrehozott TCP -kapcsolatok fenntartása, még ha esetleg inaktívak is. A jelölőnégyzet bejelölésével elkerülheti az inaktív TCP-kapcsolatok megszakítását.

TCP-protokolltúlterhelés felismerése – A módszer lényege, hogy a támadók nagyszámú kéréssel árasztják el a számítógépeket vagy szervereket (lásd még: DoS, szolgáltatásmegtagadási támadások).

ICMP-protokollüzenet ellenőrzése – Az ilyen típusú támadások az ICMP protokoll gyenge pontjait használják ki (lásd még: DoS, szolgáltatásmegtagadási támadások).

Fedett adatok felismerése az ICMP-csomagokban – A jelölőnégyzet bejelölése esetén a program ellenőrzi, hogy az ICMP protokollt nem adatátvitelre használják-e. Számos kártékony technika az ICMP protokollt használja a tűzfal kikerülésére.

A súgóoldal frissített verzióját ebben az ESET-tudásbáziscikkben tekintheti meg.