Tillatte tjenester og avanserte alternativer

Avanserte alternativer i delene for beskyttelse mot brannmur- og nettverksangrep lar deg konfigurere tilgang til noen av tjenestene som kjører på datamaskinen, fra sonen Klarert.

Du kan aktivere eller deaktivere deteksjon av flere typer angrep og utnyttelser som kan skade datamaskinen.

Tillatte tjenester

Innstillinger i denne gruppen er ment å forenkle konfigurasjonen av tilgang til tjenester som kjører på datamaskinen fra den klarerte sonen. Mange av dem aktiverer/deaktiverer forhåndsdefinerte brannmurregler. Du kan redigere tillatte tjenester i Avanserte oppsett (F5) > Nettverksbeskyttelse > Brannmur > Avansert > Tillatte tjenester.

•Tillat deling av filer og skrivere i Klarert sone– Gir eksterne datamaskiner i den klarerte sonen tilgang til dine delte filer og skrivere.

•Tillat UPNP for systemtjenester i Klarert sone – Tillater innkommende og utgående forespørsler fra UPnP-protokoller for systemtjenester. UPnP (Universal Plug and Play, også kjent som Microsoft Network Discovery) brukes i Windows Vista og senere operativsystemer.

•Tillat innkommende RPC-kommunikasjon i Klarert sone – Aktiverer at TCP-tilkoblinger fra den klarerte sonen gir tilgang til MS RPC-Portmapper og RPC/DCOM-tjenester.

•Tillat eksternt skrivebord i Klarert sone – Aktiverer tilkoblinger via Microsoft Remote Desktop Protocol (RDP) og gir datamaskiner i den klarerte sonen tilgang til datamaskinen din ved hjelp av et program som bruker RDP (for eksempel Remote Desktop Connection).

•Aktiver innlogging til multicast-grupper gjennom IGMP – Tillater innkommende/utgående IGMP- og innkommende UDP-multicaststreamer, for eksempel videostreamer generert av programmer som bruker IGMP-protokollen (Internet Group Management Protocol).

•Tillat kommunikasjon for brokoblede tilkoblinger – Velg dette alternativet for å unngå å avslutte brokoblede tilkoblinger. Brokoblede nettverk kobler en virtuell maskin til et nettverk ved hjelp av vertsdatamaskinens Ethernet-adapter. Hvis du bruker brokoblede nettverk, kan den virtuelle maskinen få tilgang til andre enheter på nettverket, og omvendt, som om det var en fysisk datamaskin på nettverket.

•Tillat automatisk Web Services Discovery (WSD) for systemtjenester i Klarert sone – Tillater innkommende Web Services Discovery-forespørsler fra Klarert sone gjennom brannmuren. WSD er protokollen som brukes til å lokalisere tjenester i et lokalt nettverk.

•Tillatt oppslag av multicast-adresser fra Klarert sone (LLMNR) – LLMNR er en DNS-pakkebasert protokoll som tillater både IPv4- og IPv6-verter å utføre navnegjenkjenning for verter på samme lokale kobling uten å kreve DNS-server- eller DNS-klientkonfigurasjon. Dette alternativet tillater innkommende DNS-multikastingsforespørsler fra den klarerte sonen gjennom brannmuren.

•Windows HomeGroup-støtte – Aktiverer HomeGroup-støtte for Windows 7 og senere operativsystemer. En hjemmegruppe kan dele filer og skrivere på et hjemmenettverk. Du konfigurerer en hjemmegruppe ved å gå til Start > Kontrollpanel > Nettverk og Internett > Hjemmegruppe.

Inntrengingsgjenkjenning

Inntrengingsdeteksjon overvåker enhetens nettverkskommunikasjon for å oppdage ondsinnet aktivitet. Du kan redigere disse innstillingene Avanserte oppsett (F5) > Nettverksbeskyttelse > Nettverksangrepsbeskyttelse > Avanserte alternativer > Inntrengingsdeteksjon.

•Protokoll SMB – Oppdager og blokkerer ulike sikkerhetsproblemer i SMB-protokollen.

•Protokoll RPC – Oppdager og blokkerer ulike CVE-er i det eksterne prosedyreanropssystemet for Distributed Computing Environment (DCE).

•Protocol RDP – Oppdager og blokkerer ulike CVE-er i RDP-protokollen (se ovenfor).

•Deteksjon av ARP Poisoning-angrep – Deteksjon av mellommannbaserte ARP poisoning-angrep eller deteksjon av sniffing ved nettverkssvitsjen. ARP (Address Resolution Protocol) brukes av nettverkprogrammet eller -enheten for å fastsette Ethernet-adressen.

•Gjenkjenne TCP/UDP Port Scanning-angrep – Gjenkjenner angrep fra portprogrammer som skanner porter – programvare som er utformet for å søke etter åpne porter hos en vert gjennom å sende klientforespørsler til en rekke portadresser. Formålet er å finne aktive porter og utnytte svakheten til tjenesten. Formålet er å finne aktive porter og utnytte svakheten til tjenesten. Du kan lese mer om denne angrepstypen i ordlisten.

•Blokker usikker adresse når angrep avsløres – IP-adresser som er avslørt som kilder til angrep, føyes til Svartelisten for å hindre tilkobling i en bestemt periode.

•Vis melding etter angrepsgjenkjenning– Aktiverer meldinger i systemstatusfeltet nederst til høyre på skjermen.

•Vis melding også for innkommende angrep mot sikkerhetshull – Varsler deg hvis angrep mot sikkerhetshull oppdages, eller hvis en trussel prøver å komme inn i systemet denne veien.

Pakkekontroll

En type pakkeanalyse som filtrerer data som overføres via nettverket. Du kan redigere disse innstillingene Avanserte oppsett (F5) > Nettverksbeskyttelse > Nettverksangrepsbeskyttelse > Avanserte alternativer > Pakkeinspeksjon.

•Tillat innkommende kobling å administrere deler i SMB-protokollen – De administrative delene er standard nettverksdelene som deler harddisk-partisjoner (C$, D$...) i systemet sammen med systemmappen (ADMIN$). Det bør minske en rekke sikkerhetsrisikoer å deaktivere kobling til administrativ deling. For eksempel gjennomfører Conficker-ormen angrep på kataloger for å koble seg til administrative deler.

•Avvis gamle (ustøttede) SMB-dialekter – Avvis SMB-sesjoner som valgte en gammel SMB-dialekt som ikke støttes av IDS. Moderne Windows operativsystemer støtter gamle SMB-dialekter på grunn av kompatibilitet med gamle operativsystemer som Windows 95. Angriperen kan bruke en gammel dialekt i en SMB-sesjon for å omgå trafikkinspeksjon. Avvis gamle SMB-dialekter hvis datamaskinen din ikke trenger å dele filer (eller bruke SMB-kommunikasjon generelt) med en datamaskin som har en gammel Windows-versjon.

•Avvis SMB-sesjoner uten utvidet sikkerhet – Du kan bruke Utvidet sikkerhet under SMB-sesjonsvalg for å sørge for en sikrere autentiseringsmekanisme enn LAN Manager Challenge/Response (LM)-autentisering. LM-oppsettet betraktes som svakt og bør ikke brukes.

•Avvis åpning av kjørbare filer på en server utenfor Klarert sone i SMB-protokoll – Dropper tilkoblingen når du prøver å kjøre en kjørbar fil (.exe, .dll) fra en delt mappe på serveren som ikke tilhører Klarert sone i brannmuren. Vær oppmerksom på at kopiering av kjørbare filer fra klarerte kilder kan være legitimt. Merk at det kan være legitimt å kopiere kjørbare filer fra klarerte kilder. Denne avsløringen bør imidlertid minske risikoen for uønsket åpning av en fil på en skadelig server (for eksempel en fil som åpnes ved å klikke en kobling til en delt skadelig kjørbar fil).

•Avvis NTLM-autentisering i SMB-protokollen for å koble til en server i/utenfor Klarert sone – Protokoller som benytter NTLM (begge versjoner)-autentiseringsoppsett utsettes for et angrep som fremmer opplysninger (kjent som SMB Relay-angrep i tilknytning til SMB-protokollen). Avvisning av NTLM-autentisering med en server utenfor Klarert sone bør minske risikoen ved å fremme opplysninger fra en skadelig server utenfor Klarert sone. På samme måte kan NTLM-autentisering også avvises for servere i den klarerte sonen.

•Tillat kommunikasjon med tjenesten Sikkerhetsbehandling for konto – For mer informasjon om denne tjenesten, se [MS-SAMR].

•Tillat kommunikasjon med tjenesten Lokal sikkerhetsautoritet – For mer informasjon om denne tjenesten, se [MS-LSAD] og [MS-LSAT].

•Tillat kommunikasjon med tjenesten Eksternt register – For mer informasjon om denne tjenesten, se [MS-RRP].

•Tillat kommunikasjon med tjenesten Tjenestekontrollbehandling – For mer informasjon om denne tjenesten, se [MS-SCMR].

•Tillat kommunikasjon med Servertjenesten – For mer informasjon om denne tjenesten, se [MS-SRVS].

•Tillat kommunikasjon med de andre tjenestene – Andre MSRPC-tjenester.