העזרה המקוונת של ESET

חיפוש עברית
בחר את הנושא

אפשרויות מתקדמות

דרך הגדרות מתקדמות > הגנות > הגנת גישה לאינטרנט > הגנה מפני מתקפות רשת > אפשרויות מתקדמות, אפשר להפעיל או לבטל איתור סוגים שונים של מתקפות וניצול לרעה שעלולים לפגוע במחשב שלך.


note

במקרים מסוימים לא תקבל הודעת איום על תקשורת חסומה. עיין במקטע רישום ויצירת כללים או חריגות ביומן לקבלת הוראות להצגת כל התקשורת החסומה ביומן חומת האש.


important

הזמינות של אפשרויות מסוימות בחלון זה עשויה להשתנות בתלות בסוג או בגרסה של מוצר ESET ומודול חומת האש שברשותך, וכן בגרסת מערכת ההפעלה שלך.

icon_section זיהוי פריצות

איתור חדירה מנטר את תקשורת ההתקנים ברשת לאיתור פעילות זדונית.

  • פרוטוקול SMB – זיהוי וחסימה של בעיות אבטחה שונות בפרוטוקול SMB.
  • פרוטוקול RPC – זיהוי וחסימה של פגיעויות CVE שונות במערכת הקריאה לפרוצדורה המרוחקת שפותחה עבור סביבת מחשוב מבוזרת (DCE).
  • פרוטוקול RDP – זיהוי וחסימה של פגיעויות CVE שונות בפרוטוקול RDP (ראה לעיל).
  • זיהוי מתקפת הרעלת ARP – זיהוי מתקפות הרעלת ARP המופעלות על-ידי אדם במתקפות התווך או זיהוי איומים במתג הרשת. ARP (פרוטוקול זיהוי כתובת) משמש את התקן או יישום הרשת לקביעת כתובת ה-Ethernet.
  • זיהוי התקפה של סריקת יציאת TCP/UDP– זיהוי התקפות של תוכנת סריקת יציאות – יישום שתוכנן לחקור יציאות פתוחות במארח על-ידי שליחת בקשות לקוח לכתובות יציאות שונות במטרה לאתר יציאות פעילות ולנצל את פגיעויות השירות. קרא עוד על סוג המתקפה הזה במילון.
  • חסימת כתובת לא בטוחה לאחר זיהוי התקפה – כתובות IP שזוהו כמקורות התקפה מתווספות לרשימה השחורה כדי למנוע חיבור לפרק זמן מסוים. באפשרותך להגדיר תקופת שמירה של רשימה שחורה, אשר קובעת למשך כמה זמן הכתובת תיחסם לאחר איתור מתקפה.
  • הצג התראות אודות איתור מתקפות – בחר באפשרות זו כדי להפעיל הצגת התראות באזור ההודעות של Windows בפינה השמאלית התחתונה של המסך.
  • הצגת הודעות גם עבור התקפות נכנסות נגד פרצות אבטחה – במקרה של זיהוי התקפות נגד פרצות אבטחה, או כשאיום מסוים מנסה להיכנס למערכת בדרך זו.

icon_section בדיקת מנות

זהו סוג של ניתוח מנות המסנן נתונים שעוברים ברשת.

  • אפשר חיבור נכנס לשיתופי מנהל מערכת בפרוטוקול SMB - השיתופים האדמיניסטרטיביים (שיתופי מנהל מערכת) הם שירותי הרשת שנקבעו כברירת מחדל, אשר משתפים מחיצות כוננים קשיחים (C$,‏ D$, ...) במערכת עם תיקיית המערכת (ADMIN$). השבתת החיבור לשיתופי מנהל המערכת אמורה למתן סיכוני אבטחה רבים. לדוגמה, התולעת Conficker מבצעת התקפות מילון כדי להתחבר לשיתופי מנהל מערכת.
  • מניעת ניבי SMB ישנים (בלתי נתמכים) – מניעת הפעלות SMB שמשתמשות בניבי SMB ישנים שאינם נתמכים על-ידי IDS. מערכות ההפעלה המודרניות של Windows תומכות בניבי SMB ישנים עקב תאימות לאחור למערכות הפעלה ישנות, כגון Windows 95. התוקף יכול להשתמש בניב ישן בהפעלת SMB כדי להתחמק מבדיקת תעבורה. מנע ניבי SMB ישנים אם המחשב אינו צריך לשתף קבצים (או להשתמש בתקשורת SMB באופן כללי) עם מחשב הפועל בגרסה ישנה של Windows.
  • מניעת הפעלות SMB ללא אבטחה מורחבת – ניתן להשתמש באבטחה מורחבת במהלך המו"מ על הפעלת ה-SMB כדי לספק מנגנון אימות בטוח יותר מאימות LAN Manager Challenge/Response‏ (LM). סכמת ה-LM נחשבת כחלשה ולא מומלץ להשתמש בה.
  • מניעת פתיחה של קובצי הפעלה בשרת מחוץ לאזור המהימן בפרוטוקול SMB – של החיבור כשאתה מנסה לפתוח קובץ הפעלה (‎.exe‏, ‎.dll‏, ...) מתוך תיקייה משותפת בשרת שאינה שייכת לאזור המהימן בחומת האש. שים לב שהעתקת קובצי הפעלה ממקורות מהימנים עשויה להיות פעולה לגיטימית. מתוך תיקייה משותפת בשרת שאינה שייכת לאזור המהימן בחומת האש. שים לב שהעתקת קובצי הפעלה ממקורות מהימנים יכולה להיות לגיטימית, אולם זיהוי זה אמור למזער סיכונים כתוצאה מפתיחה בלתי רצויה של קובץ בשרת זדוני (לדוגמה, קובץ שנפתח על-ידי לחיצה על היפר-קישור לקובץ הפעלה זדוני משותף).
  • מניעת אימות NTLM בפרוטוקול SMB להתחברות לשרת בתוך או מחוץ לאזור המהימן – פרוטוקולים שמשתמשים בסכמות אימות NTLM (שתי הגרסאות) חשופים למתקפת העברת הרשאות (מכונה גם מתקפת מסירת SMB ‏[SMB Relay] במקרה של פרוטוקול SMB). מניעת אימות NTLM עם שרת מחוץ לאזור המהימן אמורה לצמצם את הסיכונים הנגרמים מהעברת הרשאות על-ידי שרת זדוני מחוץ לאזור המהימן. באותו אופן, באפשרותך למנוע אימות NTLM עם שרתים באזור המהימן.
  • אפשר תקשורת עם שירות מנהל חשבון אבטחה – לקבלת מידע נוסף על שירות זה ראה [MS-SAMR].
  • אפשר תקשורת עם שירות רשות האבטחה המקומית – לקבלת מידע נוסף על שירות זה ראה [MS-LSAD] ו-[MS-LSAT].
  • אפשר תקשורת עם שירות רישום מרחוק – לקבלת מידע נוסף על שירות זה ראה [MS-RRP].
  • אפשר תקשורת עם שירות מנהל בקרת שירותים – לקבלת מידע נוסף על שירות זה ראה [MS-SCMR].
  • אפשר תקשורת עם שירות השרת – לקבלת מידע נוסף על שירות זה ראה [MS-SRVS].
  • אפשר תקשורת עם שירותים אחרים – שירותי MSRPC אחרים. MSRPC הוא המימוש של Microsoft למנגנון DCE RPC. יתרה מכן, MSRPC יכול להשתמש ברכיבי named pipe המועברים לתוך פרוטוקול ה-SMB (שיתוף קובצי רשת) להעברה (ncacn_np transport). שירותי MSRPC מספקים ממשקים לגישה אל ולניהול של מערכות windows מרחוק. מספר פגיעויות אבטחה התגלו ונוצלו בשטח במערכת Windows MSRPC (תולעת Conficker, תולעת Sasser,…). השבת את התקשורת עם שירותי MSRPC שאינם דרושים לך כדי להפחית רבים מסיכוני האבטחה (למשל הפעלת קוד מרחוק או תקיפות כשל שירות).