Povolené služby a rozšířené možnosti

V rozšířených nastaveních firewallu a ochrany proti síťovým útokům můžete konfigurovat přístup z Důvěryhodné zóny k vybraným službám běžícím ve vašem počítači.

Dále zde můžete nastavit detekci různých typů útoků a zranitelností, které mohou poškodit váš počítač.

Povolené služby

Nastavení v této části souvisí s umožněním přístupu k počítači z Důvěryhodné zóny. Některé z nich aktivují/deaktivují předdefinovaná pravidla firewallu. Možnosti konfigurace naleznete v Rozšířeném nastavení (dostupném po stisknutí klávesy F5 v hlavním okně programu) v sekci Síťová ochrana > Firewall > Rozšířené > Povolené služby.

•Povolit sdílení souborů a tiskáren v Důvěryhodné zóně – zajišťuje, že vzdálené počítače zařazené do Důvěryhodné zóny budou moci přistupovat ke sdíleným souborům a tiskárnám.

•Povolit UPNP v Důvěryhodné zóně pro systémové služby – povolí UPnP (Universal Plug and Play), který používají síťová zařízení pro automatickou konfiguraci v síti. UPnP (Universal Plug and Play známý jako Microsoft Network Discovery) používá Windows Vista a novější operační systémy.

•Povolit příchozí RPC komunikaci v Důvěryhodné zóně – povolí TCP komunikaci prostřednictvím systému Microsoft RPC Portmapper a RPC/DCOM, která je navazována v rámci Důvěryhodné zóny.

•Povolit vzdálenou plochu v Důvěryhodné zóně – povoluje připojení prostřednictvím Microsoft Remote Desktop Protocol (RDP) a ostatním počítačům v Důvěryhodné zóně umožní připojení k vašemu počítači prostřednictvím programů využívajících RDP (například Připojení ke vzdálené ploše).

•Povolit přihlašování do multicastových skupin prostřednictvím IGMP – povolí příchozí/odchozí IGMP a UDP multicastové streamy, například video stream generovaný aplikací, která využívá IGMP protokol (Internet Group Management Protocol).

•Povolit komunikaci nepatřící danému počítači – most – Vyberte tuto možnost, pokud chcete zabránit ukončení připojení typu most. Síťový most spojují virtuální počítač se sítí pomocí ethernetového adaptéru hostitelského počítače. Pokud používáte síťový most, virtuální počítač může přistupovat k dalším zařízením v síti a naopak, jako by to byl fyzický počítač v síti.

•Povolit automatické zjišťování sítě (WSD) v Důvěryhodné zóně – povolí příchozí WSD komunikaci z Důvěryhodných zón ve firewallu. WSD je protokol pro zjišťování služeb v lokální síti.

•Povolit překlad multicastových adres v Důvěryhodné zóně (LLMNR) – LLMNR (Link-local Multicast Name Resolution) je protokol založený na DNS paketech umožňující překlad názvů IPv4 či IPv6 hostitelů ve stejném lokálním segmentu bez nutnosti dotazovat se DNS serveru nebo konfigurace DNS klienta. Vybráním této možnosti povolíte ve firewallu příchozí multicastové DNS žádosti z důvěryhodné zóny.

•Podpora pro Windows domácí skupinu– zapne podporu pro HomeGroup (domácí skupinu) v operačním systému Windows 7 a novějším. Pomocí HomeGroup můžete sdílet soubory a tiskárny v rámci domácí sítě. Pro konfiguraci klikněte na Start > Ovládací panely > Síť a Internet > Domácí skupina.

Detekce útoků

Systém pro odhalení průniku vyhledává v síťové komunikaci škodlivou aktivitu. Možnosti konfigurace naleznete v Rozšířeném nastavení (dostupném po stisknutí klávesy F5 v hlavním okně programu) v sekci Síťová ochrana > Ochrana proti síťovým útokům > Další možnosti > Detekce útoků.

•Protokol SMB – k dispozici jsou možnosti pro detekování a blokování mnoha zranitelností v SMB protokolu.

•Protokol RPC – detekce a blokování CVE v systémové službě vzdálené volání procedur určené pro Distributed Computing Environment (DCE).

•Protokol RDP – detekce a blokování CVE v RDP protokolu (viz výše).

•Detekce útoku ARP Poisoning – zabraňuje tzv. man-in-the-middle útokům a odhaluje odposlouchávání paketů síťových switchů, tedy stav, kdy útočník předává ostatním zařízením v síti falešné informace. ARP (Address Resolution Protocol) se používá při získávání a přiřazování IP adres zařízením v síti.

•Detekce útoku skenování TCP/UDP portů – zabraňuje útokům softwaru, který se pokouší zjistit otevřené porty v počítači, přes něž lze zařízení napadnout. Více o tomto typu útoku se můžete dočíst ve slovníku pojmů.

•Blokovat nebezpečnou adresu po detekci útoku – pokud je zjištěn útok z určité adresy, veškerá komunikace z ní bude blokována.

•Upozornit na detekci útoků – po detekci útoku se zobrazí upozornění v pravém dolním rohu obrazovky.

•Upozornit na příchozí útoky využívající bezpečnostní zranitelnosti – k upozornění dojde, pokud bude zjištěn pokus o zneužití bezpečností díry, případně bude zaznamenán pokus o zneužití zranitelnosti k přístupu do systému.

Kontrola paketů

Vyberte si způsob analýzy paketů, která bude filtrovat data přenášená ve vaší síti. Možnosti konfigurace naleznete v Rozšířeném nastavení (dostupném po stisknutí klávesy F5 v hlavním okně programu) v sekci Síťová ochrana > Ochrana proti síťovým útokům > Další možnosti > Kontrola paketů.

•Povolit příchozí spojení k administrativním sdílením prostřednictvím SMB protokolu – administrativní sdílení jsou standardní síťová sdílení, které sdílí celé diskové oddíly (C$, D$, atd.) stejně jako systémové složky (ADMIN$). Zakázáním připojení k administrátorským sdíleným položkám snížíte bezpečnostní riziko. Například červ Conficker provádí slovníkový útok pro získání přístupu k administrátorským sdíleným položkám.

•Zakázat staré (nepodporované) SMB dialekty – zakáže SMB relaci se starým dialektem SMB, který nepodporuje IDS. Nejnovější operační systémy Windows podporují staré dialekty SMB z důvodu zpětné kompatibility s předchozími verzemi, například Windows 95. Útočník může využít starší dialekt SMB záměrně, aby se vyhnul kontrole paketů. Zakažte staré SMB dialekty, pokud nepotřebujete sdílet soubory se staršími verzemi operačního systému Windows.

•Zakázat zabezpečení SMB bez bezpečnostních rozšíření – bezpečnostní rozšíření mohou být využita během navazování SMB relace pro zajištění bezpečnostní autentifikace pomocí mechanismu LAN Manager Challenge/Response (LM). Schéma LM je považované za slabé a nedoporučuje se jej používat.

•Zakázat otevření spustitelného souboru na serveru mimo Důvěryhodnou zónu pomocí SMB protokolu – zabraňuje komunikaci v případě, že se snažíte otevřít spustitelný soubor (exe, dll) ze sdílené složky na serveru, který nepatří do důvěryhodné zóny definované ve firewallu. Mějte na paměti, že kopírování spustitelných souborů ze zdrojů v důvěryhodné zóně může být legitimní. Tato funkce by měla minimalizovat nebezpečí otevření nežádoucího souboru na škodlivém serveru, například když omylem kliknete na odkaz vedoucí na spustitelný soubor umístěný na sdíleném škodlivém serveru.

•Zakázat NTLM autentifikaci pomocí SMB protokolu při připojení na server v/mimo Důvěryhodnou zónu – protokoly využívající autentifikační schéma NTLM (obě verze) jsou ohrožené útoky přeposílajícími přihlašovací údaje (známé jako SMB relay útok v případě SMB protokolů). Zakázáním autentifikace NTLM se servery mimo důvěryhodnou zónu omezíte nebezpečí přeposílání přihlašovacích údajů škodlivým serverem mimo důvěryhodnou zónu. Můžete také zakázat NTLM autentifikaci se servery v důvěryhodné zóně.

•Povolit komunikaci se službou Security Account Manager – pro více informací o této službě přejděte do databáze znalostí společnosti Microsoft, [MS-SAMR].

•Povolit komunikaci se službou Local Security Authority – pro více informací o této službě přejděte do databáze znalostí společnosti Microsoft, [MS-LSAD] a [MS-LSAT].

•Povolit komunikaci se službou Vzdálený registr – pro více informací o této službě přejděte do databáze znalostí společnosti Microsoft, [MS-RRP].

•Povolit komunikaci se službou Správce řízení služeb – pro více informací o této službě přejděte do databáze znalostí společnosti Microsoft, [MS-SCMR].

•Povolit komunikaci se službou Server – pro více informací o této službě přejděte do databáze znalostí společnosti Microsoft, [MS-SRVS].

•Povolit komunikaci s ostatními službami – ostatní MSRPC služby.