Servizi consentiti e opzioni avanzate

Le opzioni avanzate nelle sezioni Protezione firewall e Protezione da attacchi di rete consentono all’utente di configurare l’accesso ad alcuni servizi in esecuzione sul computer in uso dall’area attendibile.

È possibile abilitare o disabilitare il rilevamento di vari tipi di attacchi ed exploit che potrebbero danneggiare il computer.

note

In alcuni casi, l'utente non riceverà una notifica della minaccia relativa alle comunicazioni bloccate. Consultare il paragrafo Registrazione e creazione di regole o eccezioni a partire dal rapporto per leggere le istruzioni per la visualizzazione di tutte le comunicazioni bloccate nel rapporto del firewall.

important

La disponibilità di specifiche opzioni in questa finestra può variare in base al tipo o alla versione del prodotto ESET e del modulo del Firewall in uso, nonché alla versione del sistema operativo dell'utente.

icon_section Servizi consentiti

Le impostazioni presenti in questo gruppo consentono di semplificare la configurazione dell'accesso ai servizi del computer in uso dall'area attendibile. Molti di essi consentono di attivare/disattivare regole firewall predefinite. È possibile modificare i servizi consentiti in Configurazione avanzata (F5) > Protezione di rete > Firewall > Avanzate > Servizi consentiti.

Consenti condivisione di file e stampanti nell'area sicura: consente ai computer remoti dell'area affidabile di accedere ai file e alle stampanti condivisi.

Consenti UPNP per i servizi di sistema nell'Area affidabile: consente le richieste in entrata e in uscita dei protocolli UPnP per i servizi di sistema. L'UPnP (Universal Plug and Play, noto anche con il nome di Microsoft Network Discovery) viene utilizzato in Windows Vista e nei sistemi operativi successivi.

Consenti comunicazioni RPC in entrata nell'area attendibile: attiva le connessioni TCP dall'area attendibile che consentono l'accesso ai servizi MS RPC Portmapper e RPC/DCOM.

Consenti desktop remoto nell'area attendibile: attiva le connessioni tramite Microsoft Remote Desktop Protocol (RDP) e consente ai computer nell'area attendibile di accedere al computer dell'utente tramite un programma che utilizza il protocollo RDP (ad esempio, Connessione desktop remoto).

Attiva registrazione in gruppi multicast tramite IGMPIGMP: consente flussi multicast IGMP in entrata/in uscita e UDP in entrata, ad esempio flussi video generati da applicazioni che utilizzano il protocollo IGMP (Internet Group Management Protocol).

Consenti la comunicazione per le connessioni con bridge: selezionare questa opzione per evitare l'interruzione delle connessioni con bridge. La rete con bridge connette una macchina virtuale a una rete utilizzando la scheda Ethernet del computer host. In caso di utilizzo di reti con bridge, la macchina virtuale può accedere ad altri dispositivi sulla rete e viceversa come se si trattasse di un computer fisico sulla rete.

Consenti Web Services Discovery (WSD) automatico per i servizi di sistema nell'area attendibile: consente le richieste Web Services Discovery in entrata dalle aree attendibili mediante il firewall. WSD è il protocollo utilizzato per la localizzazione dei servizi in una rete locale.

Consenti la risoluzione multicast degli indirizzi nell'area attendibile (LLMNR): l'LLMNR (Link-local Multicast Name Resolution) è un protocollo basato sul pacchetto DNS che consente agli host IPv4 e IPv6 di eseguire la risoluzione dei nomi degli host sullo stesso collegamento locale senza richiedere un server DNS o la configurazione di un client DNS. Questa opzione consente le richieste multicast in entrata del DNS dall’area attendibile attraverso il firewall.

Supporto gruppo home di Windows: attiva il supporto del gruppo home per Windows 7 e i sistemi operativi successivi. Un gruppo home consente di condividere file e stampanti in una rete domestica. Per configurare un Homegroup, accedere a Start > Pannello di controllo > Rete e Internet > HomeGroup.

icon_section Rilevamento intrusioni

Il rilevamento delle intrusioni monitora la comunicazione di rete del dispositivo per l'attività dannosa. È possibile modificare queste impostazioni in Configurazione avanzata (F5) > Protezione di rete > Protezione da attacchi di rete > Opzioni avanzate > Rilevamento delle intrusioni.

Protocollo SMB: rileva e blocca vari problemi di sicurezza nel protocollo SMB.

Protocollo RPC: rileva e blocca vari CVE nel sistema di chiamata di procedura remota sviluppato per il Distributed Computing Environment (DCE).

Protocollo RDP: rileva e blocca vari CVE nel protocollo RDP (vedere sezione precedente).

Rilevamento di attacchi poisoning ARP: rilevamento di attacchi poisoning ARP attivati da attacchi “man-in-the-middle” o dal rilevamento di attività di analisi durante la commutazione della rete. L'ARP (Address Resolution Protocol) viene utilizzato dall'applicazione o dispositivo di rete per la determinazione dell'indirizzo Ethernet.

TCP/UDPPort Scanning rilevamento attacco – rileva gli attacchi del software port scanning: applicazione ideata per sondare un host di porte aperte inviando richieste client a una gamma di indirizzi di porte, con l'obiettivo di ricercare porte attive e di sfruttare la vulnerabilità del servizio. Per ulteriori informazioni su questo tipo di attacco, consultare il glossario.

Blocca indirizzo non sicuro dopo il rilevamento di un attacco: gli indirizzi IP che sono stati rilevati come fonti di attacchi vengono aggiunti alla Blacklist allo scopo di prevenire la connessione per un determinato periodo di tempo.

Visualizza notifica dopo il rilevamento attacco: attiva la notifica sulla barra delle applicazioni nell'angolo in basso a destra della schermata.

Visualizza notifiche anche per gli attacchi in ingresso contro problemi di sicurezza: avvisa l'utente in caso di rilevamento di attacchi contro buchi di sicurezza o di tentativo di accesso illecito nel sistema da parte di una minaccia.

icon_section Ispezione pacchetto

Tipo di analisi dei pacchetti che filtra i dati trasferiti attraverso la rete. È possibile modificare queste impostazioni in Configurazione avanzata (F5) > Protezione di rete > Protezione da attacchi di rete > Opzioni avanzate > Ispezione del pacchetto.

Consenti connessione in entrata alle condivisioni admin nel protocollo SMB - Le condivisioni amministrative (admin shares) rappresentano le condivisioni di rete predefinite delle partizioni dell'hard disk (C$, D$,...) nel sistema insieme alla cartella di sistema (ADMIN$). La disattivazione della connessione ad admin shares dovrebbe ridurre numerosi rischi di protezione. Ad esempio, il worm Conficker esegue attacchi con dizionari allo scopo di connettersi alle condivisioni amministrative.

Nega vecchi dialetti SMB (non supportati): nega sessioni SMB che utilizzano un vecchio dialetto SMB non supportato dall'IDS. I moderni sistemi operativi Windows supportano vecchi dialetti SMB in virtù della compatibilità retroattiva con vecchi sistemi operativi quali Windows 95. L'autore di un attacco può utilizzare un vecchio dialetto in una sessione SMB allo scopo di eludere l'ispezione del traffico. Negare i vecchi dialetti SMB se il computer in uso non necessita di file di condivisione (o utilizzare la comunicazione SMB in generale) con un computer su cui è installata una vecchia versione di Windows.

Nega le sessioni SMB in assenza di estensioni di protezione: l'estensione della protezione può essere utilizzata durante la negoziazione della sessione SMB allo scopo di fornire un meccanismo di autenticazione più sicuro rispetto all'autenticazione LAN Manager Challenge/Response (LM). Poiché lo schema LM è considerato debole, se ne sconsiglia l'utilizzo.

Nega l'apertura di file eseguibili su un server esterno rispetto all'area attendibile nel protocollo SMB: interrompe la connessione durante il tentativo dell'utente di aprire un file eseguibile (.exe, .dll e così via) da una cartella condivisa sul server non appartenente all'area attendibile nel Firewall. Si tenga presente che la copia dei file eseguibili da origini attendibili può essere legittima. Si tenga presente che la copia di file eseguibili da fonti attendibili può essere legittima. Tuttavia, questo rilevamento dovrebbe ridurre i rischi derivanti dall'apertura indesiderata di un file su un server dannoso (ad esempio, un file aperto facendo clic su un collegamento ipertestuale a un file eseguibile dannoso condiviso).

Nega autenticazione NTLM nel protocollo SMB per la connessione a un server all'interno/esterno dell'area attendibile: i protocolli che utilizzano gli schemi di autenticazione NTLM (entrambe le versioni) sono soggetti a un attacco basato sull'inoltro di credenziali (noto con il nome di attacco SMB Relay nel caso del protocollo SMB). Negare l'autenticazione NTLM con un server esterno all'Area affidabile dovrebbe ridurre i rischi derivanti dall'inoltro delle credenziali da parte di un server dannoso all'esterno dell'Area affidabile. Allo stesso modo, è possibile negare l'autenticazione NTLM con i server nell'area sicura.

Consenti la comunicazione con il servizio Security Account Manager: per ulteriori informazioni su questo servizio, consultare [MS-SAMR].

Consenti la comunicazione con il servizio Local Security Authority: per ulteriori informazioni su questo servizio, consultare [MS-LSAD] e [MS-LSAT].

Consenti comunicazione con il servizio Remote Registry: per ulteriori informazioni su questo servizio, consultare [MS-RRP].

Consenti la comunicazione con il servizio Service Control Manager: per ulteriori informazioni su questo servizio, consultare [MS-SCMR].

Consenti la comunicazione con il servizio Server: per ulteriori informazioni su questo servizio, consultare [MS-SRVS].

Consenti comunicazione con gli altri servizi: altri servizi MSRPC.