Povolené služby a pokročilé možnosti

V pokročilých možnostiach v rámci sekcií Firewall a Ochrana pred sieťovými útokmi môžete nastaviť prístup k službám spusteným na vašom počítači z dôveryhodnej zóny.

Môžete tiež zakázať/povoliť detekciu rôznych druhov útokov a bezpečnostných zraniteľností.

Povolené služby

Nastavenia v tejto skupine zjednodušujú konfiguráciu prístupu k službám tohto počítača z dôveryhodnej zóny. Viaceré z nich povoľujú/zakazujú predvolené pravidlá firewallu. Povolené služby môžete upraviť v sekcii Rozšírené nastavenia (F5) > Ochrana siete > Firewall > Pokročilé > Povolené služby.

•Umožniť zdieľanie súborov a tlačiarní v dôveryhodnej zóne – zabezpečuje, že vzdialené počítače, ktoré sú zaradené do dôveryhodnej zóny, budú môcť pristupovať k vašim zdieľaným súborom a tlačiarňam.

•Povoliť UPNP pre systémové služby v dôveryhodnej zóne – povoľuje odchádzajúce a prichádzajúce požiadavky protokolu UPnP (Universal Plug and Play alebo Microsoft Network Discovery) pre systémové služby.

•Povoliť prichádzajúcu RPC komunikáciu v dôveryhodnej zóne – povoľuje TCP komunikáciu z dôveryhodnej zóny používanú na prístup k službám Microsoft RPC Portmapper a RPC/DCOM.

•Povoliť vzdialenú plochu v dôveryhodnej zóne – povoľuje pripojenia cez protokol RDP a počítačom v dôveryhodnej zóne povoľuje pripojenie na váš počítač prostredníctvom programu využívajúceho RDP (napr. funkcie Pripojenie vzdialenej pracovnej plochy).

•Povoliť prihlasovanie do rozosielacích skupín cez IGMP – umožňuje komunikáciu pomocou protokolov IGMP a UDP, napríklad video streamu vytvoreného určitým programom cez protokol IGMP (Internet Group Management Protocol).

•Povoliť komunikáciu nepatriacu danému počítaču (most) – v prípade komunikácie typu most (bridge) táto nebude firewallom blokovaná. Premostenie umožňuje pripájanie virtuálnych počítačov k sieti pomocou adaptéra siete Ethernet hostiteľského počítača. Ak používate most, virtuálny počítač má prístup k iným zariadeniam v sieti a naopak, akoby išlo o fyzický počítač.

•Povoliť automatické zisťovanie siete (WSD) v dôveryhodnej zóne pre systémové služby – povoľuje prichádzajúce požiadavky protokolu WSD z dôveryhodnej zóny cez firewall. WSD (Web Service Discovery) je protokol používaný na zisťovanie služieb v lokálnej sieti.

•Povoliť preklad rozosielacích adries v dôveryhodnej zóne (LLMNR) – LLMNR (Link-local Multicast Name Resolution) je protokol založený na DNS paketoch umožňujúci preklad názvov IPv4 a IPv6 hostiteľov na rovnakom lokálnom segmente bez potreby DNS servera či konfigurácie DNS klienta. Táto možnosť povoľuje prichádzajúce rozosielacie DNS požiadavky z dôveryhodnej zóny cez firewall.

•Podpora pre Windows domácu skupinu – zapne podporu pre domácu skupinu. Pomocou Domácej skupiny je možné zdieľať súbory a tlačiarne v rámci domácej siete. Nastavenia sú k dispozícii v ponuke Štart > Nastavenia > Sieť a internet > Domáca skupina.

Detekcia útokov

Detekcia útokov monitoruje sieťovú komunikáciu zariadenia a zachytáva škodlivú aktivitu. Tieto nastavenia môžete upraviť v sekcii Rozšírené nastavenia (F5) > Ochrana siete > Ochrana pred sieťovými útokmi > Pokročilé možnosti > Detekcia útokov.

•Protokol SMB – detekcia a blokovanie rôznych bezpečnostných problémov v SMB protokole.

•Protokol RPC – deteguje a blokuje rôzne zraniteľnosti (CVE) v protokole RPC, ktorý bol navrhnutý pre Distributed Computing Environment (DCE).

•Protokol RDP – deteguje a blokuje rôzne zraniteľnosti (CVE) v protokole RDP (pozri popis vyššie v tejto kapitole).

•Detekcia útoku ARP Poisoning – detekcia útokov typu ARP poisoning, ktoré zapríčiňujú útoky typu „man-in-the-middle“ a detekcia tzv. sniffingu na sieťovom prepínači. Protokol ARP (Address Resolution Protocol) je sieťovými aplikáciami alebo zariadeniami využívaný na zistenie Ethernet adresy.

•Detekcia útoku skenovaním portov TCP/UDP – zabraňuje útokom softvéru, ktorý sa pokúša nájsť otvorené porty hostiteľského zariadenia posielaním požiadaviek na určitý rozsah adries portov za účelom nájdenia aktívneho portu, ktorý je možné zneužiť na napadnutie systému. Viac o tomto type útoku sa môžete dočítať v slovníku pojmov.

•Blokovať nebezpečnú adresu po detekcii útoku – ak je zistený útok z určitej adresy, všetka komunikácia z nej bude na určitý čas blokovaná.

•Upozorniť na detekciu útoku – pri zachytení útoku program zobrazí upozornenie v pravom dolnom rohu obrazovky v oblasti oznámení systému Windows.

•Zobraziť upozornenie pri pokusoch o zneužitie bezpečnostných dier – program zobrazí upozornenie, ak bude zachytený útok na bezpečnostné diery alebo pokus o preniknutie do systému týmto spôsobom.

Kontrola paketov

Analýza paketov, ktorá filtruje dáta prenášané v sieti. Tieto nastavenia môžete upraviť v sekcii Rozšírené nastavenia (F5) > Ochrana siete > Ochrana pred sieťovými útokmi > Pokročilé možnosti > Kontrola paketov.

•Povoliť prichádzajúce spojenie k správcovským zdieľaným položkám cez SMB protokol – správcovské zdieľané položky (admin shares) sú predvolené zdieľané položky na sieti, ktoré zdieľajú oddiely pevného disku (C$, D$ atď.) spolu so systémovým priečinkom (ADMIN$). Zakázanie prístupu k správcovským zdieľaným položkám výrazne znižuje bezpečnostné riziká. Napríklad červ Conficker vykonáva slovníkové (dictionary) útoky v snahe získať prístup k týmto položkám.

•Zakázať staré (nepodporované) SMB dialekty – zakáže SMB reláciu so starým dialektom SMB, ktorý nepodporuje IDS. Najnovšie operačné systémy Windows podporujú staré dialekty SMB kvôli spätnej kompatibilite so staršími operačnými systémami, ako napríklad Windows 95. Útočník môže použiť starší dialekt SMB s úmyslom vyhnúť sa kontrole paketov. Zakážte staré SMB dialekty, ak váš počítač nepotrebuje zdieľať súbory so staršími verziami operačného systému Windows.

•Zakázať zabezpečenie SMB bez bezpečnostných rozšírení – bezpečnostné rozšírenia môžu byť použité počas nadväzovania SMB relácie pre zaistenie bezpečnejšieho mechanizmu autentifikácie ako v prípade LAN Manager Challenge/Response (LM). Schéma LM je považovaná za slabú a neodporúča sa ju používať.

•Zakázať otvorenie spustiteľného súboru na serveroch mimo dôveryhodnej zóny cez SMB protokol – zabraňuje komunikácii v prípade, že sa používateľ snaží otvoriť spustiteľný súbor (.exe, .dll) zo zdieľaného priečinku na serveri, ktorý nie je v dôveryhodnej zóne Firewallu. Kopírovanie spustiteľných súborov z dôveryhodných zdrojov je v poriadku. Táto funkcionalita by však mala obmedziť nebezpečenstvo otvorenia spustiteľného súboru zo škodlivých serverov.

•Zakázať NTLM overenie cez SMB protokol pri pripojení na server v/mimo dôveryhodnej zóny – protokoly používajúce autentifikačnú schému NTLM (obe verzie) sú ohrozené útokmi, ktorých cieľom je preposielanie prihlasovacích údajov (v prípade SMB protokolu známe ako SMB Relay útoky). Zakázaním autentifikácie NTLM so servermi mimo dôveryhodnej zóny sa zníži riziko preposlania prihlasovacích údajov škodlivým serverom mimo dôveryhodnej zóny. Tiež môžete zakázať aj autentifikáciu NTLM so servermi v dôveryhodnej zóne.

•Povoliť komunikáciu so službou Security Account Manager (Správca zabezpečenia kont) – viac informácií o tejto službe nájdete v databáze znalostí spoločnosti Microsoft [MS-SAMR].

•Povoliť komunikáciu so službou Local Security Authority (Lokálna autorita zabezpečenia) – viac informácií o tejto službe nájdete v databáze znalostí spoločnosti Microsoft [MS-LSAD] a [MS-LSAT].

•Povoliť komunikáciu so službou Remote Registry (Vzdialená databáza Registry) – viac informácií o tejto službe nájdete v databáze znalostí spoločnosti Microsoft [MS-RRP].

•Povoliť komunikáciu so službou Service Control Manager (Správca riadenia služieb) – viac informácií o tejto službe nájdete v databáze znalostí spoločnosti Microsoft [MS-SCMR].

•Povoliť komunikáciu so službou Server – viac informácií o tejto službe nájdete v databáze znalostí spoločnosti Microsoft [MS-SRVS].

•Povoliť komunikáciu s ostatnými službami – ostatné služby MSRPC.