Servicii permise și opțiuni avansate

Secțiunea Opțiuni servicii permise vă permite configurarea accesului la unele dintre serviciile care se execută pe computerul dvs. din Zona de încredere și activarea/dezactivarea detectării mai multor tipuri de atacuri și exploatări care pot fi utilizate pentru a vă afecta computerul.


note

În unele cazuri nu veți primi o notificare de amenințare despre comunicațiile blocate. Consultați secțiunea Scriere în log și creare de reguli sau excepții din log pentru instrucțiuni de vizualizare a tuturor comunicațiilor blocate din logul componentei Firewall.


important

Disponibilitatea opțiunilor particulare din această fereastră poate varia în funcție de tipul sau de versiunea produsului ESET și a modulului Firewall, precum și de versiunea sistemului de operare.

icon_section Servicii permise

Setările din acest grup au rolul de a facilita configurarea accesului la serviciile de pe acest computer din Zona de încredere. Multe dintre aceste setări activează/dezactivează regulile predefinite pentru firewall.

Permite partajare fișiere și imprimante în Zona de încredere – permite computerelor la distanță din Zona de încredere să acceseze fișierele și imprimantele dvs. partajate.

Permitere UPNP pentru servicii de sistem în Zona de încredere – permite trimiterea și primirea de solicitări de protocoale UPnP pentru serviciile de sistem. Setul de protocoale UPnP (Universal Plug and Play, denumit și Microsoft Network Discovery) este utilizat în Windows Vista și sistemele de operare ulterioare.

Permitere comunicare RPC de intrare în Zona de încredere – activează conexiunile TCP din Zona de încredere care permit accesul la serviciile MS RPC Portmapper și RPC/DCOM.

Permitere desktop la distanță în Zona de încredere – activează conexiunile prin Microsoft Remote Desktop Protocol (RDP) și le permite computerelor din Zona de încredere să vă acceseze computerul utilizând un program care folosește RDP (de exemplu, Remote Desktop Connection).

Activare conectare în grupuri multicast prin IGMP – permite fluxuri multicast IGMP de intrare/ieșire și UDP de intrare, de exemplu, fluxuri video generate de aplicații care utilizează protocolul IGMP (Internet Group Management Protocol).

Permitere comunicație pentru conexiuni bridged – selectați această opțiune pentru a evita închiderea conexiunilor bridged. Rețeaua bridged conectează o mașină virtuală la o rețea utilizând adaptorul Ethernet al computerului gazdă. Dacă utilizați o rețea bridged, mașina virtuală poate accesa alte dispozitive din rețea și invers, ca și cum ar fi un computer fizic din rețea.

Permitere automată Web Services Discovery (WSD) pentru servicii de sistem în Zona de încredere – permite primirea de solicitări Web Services Discovery din Zona de încredere prin firewall. WSD este protocolul utilizat pentru localizarea serviciilor într-o rețea locală.

Permitere rezolvare adrese multicast în Zona de încredere (LLMNR) – LLMNR (Link-local Multicast Name Resolution) este un protocol DNS bazat pe pachete care permite gazdelor IPv4 și IPv6 să efectueze rezolvarea numelor pentru gazdele din același local link fără a necesita configurarea unui server DNS sau a unui client DNS. Această opțiune permite primirea de solicitări DNS multicast din/în Zona de încredere prin firewall.

Suport pentru Windows HomeGroup – activează suportul HomeGroup pentru Windows 7 și sistemele de operare ulterioare. Un homegroup poate partaja fișiere și imprimante într-o rețea de acasă. Pentru a configura un homegroup, navigați la Start > Control Panel > Network and Internet > HomeGroup.

icon_section Detectare intruziuni

Protocol SMB – detectează și blochează diverse probleme de securitate în protocolul SMB, și anume:

oDetectare autentificare atac de interogare răuvoitoare a unui server – protejează împotriva unui atac care utilizează o interogare răuvoitoare în timpul autentificării în scopul obținerii acreditărilor utilizatorului.

oEvadare IDS în timpul detectării deschiderii unui canal denumit – detectare a tehnicilor de evadare cunoscute, utilizate pentru deschiderea canalelor denumite MSRPCS în protocolul SMB.

oDetectări CVE (Vulnerabilități și expuneri obișnuite) - metode implementate de detectare a diverselor atacuri, formulare, breșe de securitate și exploit-uri prin protocolul SMB. Consultați site-ul Web CVE la cve.mitre.org pentru a căuta și a obține mai multe informații detaliate despre identificatorii CVE (CVE-uri).

Protocol RPC – detectează și blochează CVE-uri din sistemul Remote Procedure Call (RPC) dezvoltate pentru Distributed Computing Environment (DCE).

Protocol RDP – detectează și blochează CVE-uri în protocolul RDP (a se vedea mai sus).

Detectare atac de tip Intoxicare ARP – detectare a atacurilor de tip Intoxicare ARP declanșate de atacuri de tip Man in the middle sau detectare a sondării switch-ului de rețea. Protocolul ARP (Address Resolution Protocol) este utilizat de aplicația sau de dispozitivul de rețea pentru a determina adresa Ethernet.

Permitere răspuns la cereri ARP din afara Zonei de încredere – selectați această opțiune dacă doriți ca sistemul să răspundă solicitărilor ARP cu adrese IP care nu fac parte din Zona de încredere. Protocolul ARP (Address Resolution Protocol) este utilizat de aplicația de rețea pentru a determina adresa Ethernet.

Detectare atac de tip Intoxicare DNS – detectare a intoxicărilor DNS – primirea de răspunsuri false la solicitările DNS (trimise de un atacator); acest lucru poate avea ca rezultat direcționarea dvs. către site-uri Web false sau dăunătoare. Sistemele DNS(Domain name systems) sunt sisteme de baze de date distribuite care asigură translatarea numelor de domeniu prietenoase în adrese IP numerice și le permite utilizatorilor să facă referire la un site Web prin simpla utilizare a numelui său de domeniu. Citiți detalii despre acest tip de atac în glosar.

Detectare atac de tip Scanare port TCP/UDP – detectează atacuri prin software de scanare a porturilor, adică printr-o aplicație destinată sondării unei gazde pentru detectarea de porturi deschise; această aplicație trimite solicitări client către un interval de adrese de port cu scopul de a găsi porturi active și de a exploata vulnerabilitatea serviciului. Citiți detalii despre acest tip de atac în glosar.

Blocare adresă nesigură după detectarea unui atac – adresele IP care au fost detectate ca surse ale unor atacuri sunt adăugate la lista neagră pentru a împiedica conexiunea o anumită perioadă de timp.

Afișare notificare după detectare atac – activează notificarea din bara de sistem, în colțul din partea dreaptă, jos, a ecranului.

Afișare notificări și pentru atacurile sosite împotriva breșelor de securitate – vă alertează dacă se detectează atacuri împotriva breșelor de securitate sau o amenințare efectuează o încercare de intrare în sistem în acest mod.

icon_section Verificare pachete

Permitere conexiune de intrare la partajări de administrator în protocolul SMB - partajările administrative sunt partajările în rețea implicite care utilizează în comun partițiile de hard disk (C$, D$, ...) din sistem împreună cu directorul de sistem (ADMIN$). Dezactivarea conexiunilor la partajările administrative ar trebui să reducă multe riscuri de securitate. De exemplu, viermele Conficker inițiază atacuri de tip Dictionnary attack pentru a se conecta la partajările administrative.

Interzicere a dialectelor SMB vechi (neacceptate) – interzice sesiunile SMB care utilizează un dialect SMB vechi care nu este acceptat de IDS. Sistemele de operare Windows moderne acceptă dialectele SMB vechi datorită retrocompatibilității cu sistemele de operare vechi, precum Windows 95. Atacatorul poate negocia un dialect vechi într-o sesiune SMB pentru a evita inspectarea traficului. Interziceți dialectele SMB vechi în cazul în care computerul dvs. nu trebuie să partajeze fișiere (sau să utilizeze comunicații SMB, în general) cu un computer pe care este instalată o versiune veche de Windows.

Interzicere sesiuni SMB fără securitate extinsă – securitatea extinsă poate fi utilizată în timpul sesiunii SMB în vederea asigurării unui mecanism de autentificare mai sigur decât autentificarea interogare-răspuns prin LAN Manager (LM). Schema LM este considerată vulnerabilă și nu se recomandă utilizarea ei.

Interzicere a deschiderii fișierelor executabile pe un server din afara Zonei de încredere în protocolul SMB – întrerupe conexiunea atunci când încercați să deschideți un fișier executabil (.exe, .dll etc.) dintr-un director partajat aflat pe un server care nu face parte din Zona de încredere în componenta Firewall. Copierea de fișiere executabile din surse de încredere poate fi legitimă, însă această metodă de detectare ar trebui să reducă riscurile asociate cu deschiderea nedorită a unui fișier de pe un server dăunător (de exemplu, deschiderea unui fișier făcând clic pe o legătură către un fișier executabil dăunător partajat).

Interzicere a autentificării NTLM în protocolul SMB pentru conectarea unui server în Zona de încredere – protocoale care utilizează schemele de autentificare NTLM (ambele versiuni) sunt expuse la atacuri prin redirecționarea acreditărilor (cunoscute și cu denumirea de atacuri de tip SMB Relay în cazul protocolului SMB). Interzicerea autentificării NTLM printr-un server din afara Zonei de încredere ar trebui să reducă riscurile asociate cu redirecționarea acreditărilor de către un server dăunător din afara Zonei de încredere. În mod similar, puteți refuza autentificarea NTLM prin servere care fac parte din Zona de încredere.

Permitere comunicație cu serviciul Manager cont de securitate – pentru mai multe informații despre acest serviciu, consultați [MS-SAMR].

Permitere comunicație cu serviciul Autoritate de securitate locală – pentru mai multe informații despre acest serviciu, consultați [MS-LSAD] și [MS-LSAT].

Permitere comunicare cu serviciul Registry la distanță – pentru mai multe informații despre acest serviciu, consultați [MS-RPP].

Permitere comunicare cu serviciul Manager control servicii – pentru mai multe informații despre acest serviciu, consultați [MS-SCMR].

Permitere comunicație cu serviciul Server – pentru mai multe informații despre acest serviciu, consultați [MS-SRVS].

Permitere comunicare cu celelalte servicii – Alte servicii MSRPC.

MSRPC este implementarea Microsoft a mecanismului DCE RPC. În plus, MSRPC poate utiliza canalele declarate integrate în protocolul SMB (partajare de fișiere în rețea) pentru transport (ncacn_np transport). Serviciile MSRPC asigură interfețe pentru accesarea și gestionarea la distanță a sistemelor Windows. În sistemul MSRPC Windows au fost descoperite și exploatate mai multe vulnerabilități de securitate (exemplu: viermele Conficker, viermele Sasser etc.). Dezactivați comunicațiile cu serviciile MSRPC de care nu aveți nevoie, pentru a reduce multe dintre riscurile de securitate (precum executarea la distanță a codurilor sau atacuri pentru afectarea serviciilor).

Verificare stare conexiune TCP – verifică dacă toate pachetele TCP aparțin unei conexiuni existente. Dacă un pachet nu există într-o conexiune, acesta va fi abandonat.

Menține inactive conexiunile TCP – pentru a funcționa, unele aplicații necesită menținerea conexiunii TCP stabilite, chiar dacă acea conexiune TCP este inactivă. Selectați această opțiune pentru a evita închiderea conexiunilor TCP inactive.

detectare suprasolicitare protocol TCP – principiul acestei metode implică expunerea computerului/serverului la solicitări multiple - consultați și DoS (atacuri de tip Refuzare a serviciilor).

Verificare mesaj protocol ICMP – previne atacurile care exploatează slăbiciunile protocolului ICMP, care ar putea cauza blocarea computerului - vezi și atac ICMP.

Detectare date ascunse la protocolul ICMP – verifică dacă protocolul ICMP este utilizat pentru transferul de date. Numeroase tehnici dăunătoare utilizează protocolul ICMP pentru a ocoli componenta Firewall.