Opcje zaawansowane
W obszarze Ustawienia zaawansowane > Zabezpieczenia > Ochrona dostępu do sieci > Ochrona przed atakami z sieci > Opcje zaawansowane, możesz włączyć lub wyłączyć wykrywanie kilku typów ataków i programów wykorzystujących luki w zabezpieczeniach, które mogą uszkodzić komputer.
W niektórych przypadkach użytkownik nie otrzyma powiadomienia o zablokowaniu komunikacji w związku z zagrożeniem. Instrukcje wyświetlania całej zablokowanej komunikacji w dzienniku zapory można znaleźć w sekcji Zapisywanie w dzienniku i tworzenie reguł oraz wyjątków na podstawie dziennika. |
Dostępność poszczególnych opcji w tym oknie może być różna w zależności od typu lub wersji produktu ESET i modułu zapory, a także wersji systemu operacyjnego. |
Wykrywanie włamań
Wykrywanie włamań monitoruje komunikację sieciową urządzenia pod kątem szkodliwej aktywności.
•ProtokółSMB — wykrywanie i blokowanie różnego rodzaju problemów z zabezpieczeniami w protokole SMB.
•Protokół RPC — wykrywa i blokuje różne identyfikatory CVE w zdalnym systemie wywołania procedur opracowanym dla środowiska Distributed Computing Environment (DCE).
•Protokół RDP — wykrywa i blokuje różne identyfikatory CVE w protokole RDP (patrz wyżej).
•Wykrywanie ataku z preparowaniem pakietów ARP — wykrywanie ataków z preparowaniem pakietów ARP spowodowanych przez atak typu man-in-the-middle lub „węszeniem” przy przełączniku sieciowym. Protokół ARP (Address Resolution Protocol) jest używany przez aplikację sieciową lub urządzenie do ustalenia adresu Ethernet.
•Wykrywanie ataku ze skanowaniem portów TCP/UDP — wykrywa ataki z użyciem oprogramowania do skanowania portów, służącego do badania hosta pod kątem otwartych portów poprzez wysyłanie żądań programów do adresów portów. Celem tych działań jest znalezienie aktywnych portów i wykorzystanie luk w zabezpieczeniach usługi. Więcej informacji na temat ataków tego typu można znaleźć w słowniczku.
•Blokowanie niebezpiecznych adresów po wykryciu ataku — adresy IP, które zostały wykryte jako źródło ataków są dodawane do czarnej listy w celu zablokowania połączenia przez podany okres. Możesz zdefiniować okres przechowywania czarnej listy, który ustawia czas, przez jaki adres będzie blokowany po wykryciu ataku.
•Powiadamiaj o wykryciu ataku — aktywuje obszar powiadomień systemu Windows w prawym dolnym rogu ekranu.
•Wyświetlaj także powiadomienia po wykryciu ataku przychodzącego na luki zabezpieczeń — w przypadku wykrycia ataków na luki w zabezpieczeniach lub prób uzyskania w ten sposób dostępu do systemu wyświetlane są powiadomienia.
Sprawdzanie pakietów
Typ analizy pakietów, który filtruje dane przesyłane za pośrednictwem sieci.
•Zezwól w protokole SMB na połączenia przychodzące do udziałów administracyjnych — udziały administracyjne (admin shares) to domyślne udziały sieciowe, które współdzielą partycje dysku twardego (C$, D$, ...) w systemie razem z folderem systemowym (ADMIN$). Wyłączenie połączenia z udziałami administracyjnymi może osłabić wiele zagrożeń. Na przykład, robak Conficker przeprowadza ataki słownikowe w celu podłączenia do udziałów administracyjnych.
•Odmów starym (nieobsługiwanym) dialektom protokołuSMB — odmowa sesji SMB z nieaktualnym dialektem SMB, który nie jest obsługiwany przez IDS. Nowoczesne systemy Windows obsługują nieaktualne dialekty SMB ze względu na zgodność wsteczną z wcześniejszymi systemami operacyjnymi, np. Windows 95. Atakujący może użyć nieaktualnego dialektu w sesji SMB w celu uniknięcia kontroli ruchu. Należy odrzucić nieaktualne dialekty SMB, jeżeli komputer nie współdzieli plików (ogólnie komunikacji SMB) z komputerem, na którym zainstalowano wcześniejszą wersję Windows.
•Odmów zabezpieczeniom protokołu SMB bez rozszerzeń zabezpieczeń — rozszerzone zabezpieczenia mogą zostać użyte podczas negocjacji sesji SMB w celu zapewnienia bezpieczniejszego mechanizmu uwierzytelniania niż uwierzytelnianie LAN Manager Challenge/Response (LM). Schemat LM jest traktowany jako słaby i nie zaleca się korzystania z niego.
•Odmów otwierania plików wykonywalnych na serwerze poza strefą zaufaną w protokole SMB — odrzuca połączenie podczas próby uruchomienia pliku wykonywalnego (.exe, .dll itp.) z folderu udostępnionego na serwerze, który nie należy do strefy zaufanej w zaporze. Należy pamiętać, że kopiowanie plików wykonywalnych z zaufanych źródeł może być uzasadnione. Należy pamiętać, że kopiowanie wykonywalnych plików z zaufanych źródeł może być dozwolone, jednak to wykrywanie powinno zmniejszyć zagrożenia związane z niechcianym otwarciem pliku na serwerze ze złośliwym oprogramowaniem (na przykład poprzez kliknięcie przez użytkownika odnośnika do współdzielonego pliku wykonywalnego ze złośliwym oprogramowaniem).
•Odmów uwierzytelniania NTLM w protokole SMB przy nawiązywaniu połączenia z serwerem w strefie zaufanej / spoza strefy zaufanej — protokoły, które wykorzystują schematy uwierzytelniające NTLM (obie wersje) są celem ataków związanych z przekazywaniem poświadczeń (znanych jako metoda SMB Relay w przypadku protokołu SMB). Odmowa uwierzytelniania NTLM przy nawiązywaniu połączenia z serwerem spoza strefy zaufanej zmniejsza zagrożenia związane z przekazywaniem poświadczeń przez serwer ze złośliwym oprogramowaniem spoza strefy zaufanej. W podobny sposób można odmówić uwierzytelniania NTLM w przypadku serwerów ze strefy zaufanej.
•Zezwól na komunikację z usługą Menedżer konta zabezpieczeń — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–SAMR].
•Zezwól na komunikację z usługą Urząd zabezpieczeń lokalnych — więcej informacji na temat tej usługi można znaleźć tutaj: [MS-LSAD] i [MS-LSAT].
•Zezwól na komunikację z usługą Rejestr zdalny — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–RRP].
•Zezwól na komunikację z usługą Services Control Manager — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–SCMR].
•Zezwól na komunikację z Usługą serwera — więcej informacji na temat tej usługi można znaleźć tutaj: [MS–SRVS].
•Zezwól na komunikację z innymi usługami – MSRPC to wdrożenie Microsoft mechanizmu DCE RPC. Ponadto MSRPC może wykorzystywać nazwane potoki w protokole SMB (udostępnianie plików w sieci) do transportu (ncacn_np transport). Usługi MSRPC pozwalają interfejsom na zdalny dostęp do systemów Windows i zarządzanie nimi. Odkryto kilka luk w zabezpieczeniach, które były wykorzystywane w systemie Windows MSRPC (robak Conficker, robak Sasser itp.). Należy wyłączyć komunikację z usługami MSRPC, które nie są potrzebne. To pozwoli na zmniejszenie wielu zagrożeń (na przykład zdalne wykonywanie kodu lub ataki związane z awariami usług).