Интернет-справка ESET

Поиск Русский
Выберите тему

Разрешенные службы и параметры

Расширенные параметры в разделах «Файервол» и «Защита от сетевых атак» позволяют настроить доступ из доверенной зоны к некоторым службам, запущенным на компьютере.

Можно включить или отключить обнаружение нескольких типов атак и эксплойтов, которые могут навредить компьютеру.

note

В некоторых случаях уведомление о заблокированном соединении не отображается. См. раздел Ведение журнала и создание правил и исключений на основе журнала, чтобы узнать, как просматривать заблокированные соединения в журнале файервола.

important

Доступность отдельных параметров в этом окне зависит от типа или версии программы ESET и модуля файервола, а также от версии операционной системы.

icon_section Разрешенные службы

Параметры в этой группе предназначены для облегчения настройки доступа к службам этого компьютера из доверенной зоны. С помощью многих из них можно включить или отключить предопределенные правила файервола. Изменять разрешенные службы можно в разделе Расширенные параметры (F5) > Защита сети > Файервол > Дополнительно > Разрешенные службы.

Разрешить общий доступ к файлам и принтерам в доверенной зоне: позволяет открыть доступ к файлам и принтерам общего доступа c удаленных компьютеров, расположенных в доверенной зоне.

Разрешить UPNP для системных служб в доверенной зоне: разрешает протоколы UPnP входящих и исходящих запросов для системных служб. Технология UPnP (Universal Plug and Play, также известная как Microsoft Network Discovery) используется в Windows Vista и более поздних версиях операционной системы.

Разрешить входящие соединения RPC в доверенной зоне: позволяет устанавливать TCP-соединения из доверенной зоны, предоставляя доступ к программе сопоставления портов Microsoft RPC Portmapper и службам RPC/DCOM.

Разрешить удаленный рабочий стол в доверенной зоне: позволяет подключаться по протоколу удаленного рабочего стола Microsoft (RDP) и предоставляет компьютерам в доверенной зоне доступ к вашему компьютеру с помощью программы, которая использует протокол RDP (например, программы для подключения к удаленному рабочему столу).

Разрешить вход в многоадресные группы по протоколу IGMP: разрешает входящие и исходящие многоадресные потоки IGMP и входящие многоадресные потоки UDP, например потоковую передачу видеоданных, созданных программами, которые используют протокол IGMP (протокол управления группами Интернета).

Разрешить соединенные мостом подключения: выберите этот параметр, чтобы избежать прерывания соединенных мостом подключений. Сетевой мост подключает виртуальную машину к сети с помощью адаптера Ethernet главного компьютера. При использовании сетевых мостов виртуальная машина может получать доступ к другим устройствам в сети и наоборот, как если бы это был физический компьютер в сети.

Разрешить автоматическое обнаружение веб-служб (WSD) для системных служб в доверенной зоне: разрешает входящие запросы обнаружения веб-служб из доверенных зон через файервол. WSD — это протокол, используемый для обнаружения служб в локальной сети.

Использовать разрешение групповых адресов в доверенной зоне (LLMNR): LLMNR (Link-local Multicast Name Resolution) — это протокол на основе пакетов DNS, который разрешает и узлам IPv4, и узлам IPv6 выполнять разрешение имен для узлов по той же локальной ссылке без необходимости в DNS-сервере или настройке клиента DNS. Этот параметр разрешает входящие многоадресные DNS-запросы из доверенной зоны через файервол.

Поддержка домашних групп Windows: включает поддержку домашних групп для Windows 7 и более поздних версий операционной системы. Домашняя группа может обеспечивать общий доступ к файлам и принтерам в домашней сети. Для настройки домашней группы воспользуйтесь меню Пуск > Панель управления > Сеть и Интернет > Домашняя группа.

icon_section Обнаружение вторжения

Функция обнаружения вторжений отслеживает вредоносные действия при обмене данными в сети устройства. Эти настройки можно изменить в разделе Расширенные параметры (F5) > Защита сети > Защита от сетевых атак > Расширенные параметры > Обнаружение вторжений.

Протокол SMB: обнаруживает и блокирует разные проблемы с безопасностью в протоколе SMB (подробности указаны ниже).

Протокол RPC: обнаруживает и блокирует различные идентификаторы CVE в системе удаленного вызова процедур, разработанной для среды распределенных вычислений (DCE).

Протокол RDP: обнаруживает и блокирует различные идентификаторы CVE в протоколе RDP (см. выше).

Обнаружение подделки записей кэша ARP: обнаружение подделки записей кэша ARP, предпринятой с помощью атаки «злоумышленник в середине», или обнаружение сканирования сетевого коммутатора. Протокол ARP (протокол разрешения адреса) используется сетевым приложением или устройством для определения адреса Ethernet.

Обнаружение сканирования портов TCP/UDP: обнаружение ПО сканирования портов, т. е. приложения, предназначенного для выявления открытых портов на узле путем отправления клиентских запросов на диапазон адресов портов и поиска активных портов для использования уязвимости службы. Дополнительную информацию об этом типе атаки см. в глоссарии.

Блокировать небезопасный адрес после обнаружения атаки: IP-адреса, которые были обнаружены в качестве источников атак, будут добавлены в «черный» список, чтобы на некоторое время предотвратить подключение.

Уведомлять об обнаружении атаки: включение уведомлений в области уведомлений Windows в правом нижнем углу экрана.

Показывать уведомление при обнаружении атаки, использующей бреши в системе безопасности: показывает уведомления, если обнаруживается атака, использующая бреши в системе безопасности, или если опасный объект пытается войти в систему через брешь.

icon_section Проверка пакетов

Тип анализа пакетов, который фильтрует данные, передаваемые по сети. Эти настройки можно изменить в разделе Расширенные параметры (F5) > Защита сети > Защита от сетевых атак > Расширенные параметры > Проверка пакетов.

Разрешить входящее подключение к общим ресурсам администратора по протоколу SMB : общие ресурсы администратора — это общие сетевые ресурсы по умолчанию, которые совместно используют разделы жесткого диска (C$, D$, ...) в системе вместе с системной папкой (ADMIN$). Отключение соединения с общими ресурсами администратора должны уменьшить возможные последствия угроз безопасности. Например, червь Conficker выполняет атаки перебором по словарю, чтобы подключиться к общим ресурсам администратора.

Запретить старые (неподдерживаемые) диалекты SMB: запрет сеансов SMB, использующих старый диалект SMB, который не поддерживается IDS. Современные операционные системы Windows поддерживают старые диалекты SMB благодаря обратной совместимости со старыми операционными системами, такими как Windows 95. Злоумышленник может использовать старый диалект в сеансе SMB, чтобы избежать контроля трафика. Запретите старые диалекты SMB, если вашему компьютеру не нужно обмениваться файлами (или вообще осуществлять обмен данными SMB) с компьютером под управлением ОС Windows старой версии.

Запретить сеансы SMB без расширенной безопасности: расширенная безопасность может быть использована во время согласования сеанса SMB, чтобы обеспечить более безопасный механизм аутентификации, чем аутентификация LAN Manager Challenge/Response (LM). Схема LM считается слабой и не рекомендуется для использования.

Запретить открытие исполняемых файлов на сервере за пределами доверенной зоны в протоколе SMB: разрывает соединение при попытке запуска исполняемого файла (.exe, .dll и др.) из общей папки на сервере, который не относится к доверенной зоне файервола. Обратите внимание, что копирование исполняемых файлов из надежных источников может быть законным. Обратите внимание, что копирование исполняемых файлов из надежных источников может быть допустимо. С другой стороны, это обнаружение должно уменьшить риски нежелательного открытия файла на вредоносном сервере (например, если пользователь открыл файл, щелкнув гиперссылку на общий вредоносный исполняемый файл).

Запретить аутентификацию NTLM в протоколе SMB при подключении к серверу в доверенной зоне или за ее пределами: протоколы, которые используют схемы аутентификации NTLM (обе версии), могут подвергаться атакам с попыткой пересылки учетных данных (известны как атаки SMB Relay, если речь идет о протоколе SMB). Если запретить аутентификацию NTLM с использованием сервера, который находится за пределами доверенной зоны, это поможет снизить риски пересылки учетных данных вредоносным сервером, который находится за пределами доверенной зоны. Кроме того, можно запретить аутентификацию NTLM с использованием сервера из доверенной зоны.

Разрешить подключение к службе диспетчера учетных записей безопасности: для получения дополнительных сведений об этой службе см. раздел [MS-SAMR].

Разрешить подключение к службе локальной системы безопасности: для получения дополнительных сведений об этой службе см. разделы [MS-LSAD] и [MS-LSAT].

Разрешить подключение к службе удаленного управления реестром: для получения дополнительных сведений об этой службе см. раздел [MS-RRP].

Разрешить подключение к службе диспетчера служб: для получения дополнительных сведений об этой службе см. раздел [MS-SCMR].

Разрешить подключение к службе сервера: для получения дополнительных сведений об этой службе см. раздел [MS-SRVS].

Разрешить подключение к другим службам: другие службы MSRPC.