Avanserte alternativer
I Avansert oppsett > Beskyttelser > Beskyttelse for nettverkstilgang > Beskyttelser mot nettversangrep > Avanserte oppsett kan du aktivere eller deaktivere deteksjon av flere typer angrep og utnyttelser som kan skade datamaskinen din.
I enkelte tilfeller mottar du ikke en trusselvarsling om blokkert kommunikasjon. Se Logging og oppretting av regler eller unntak fra logg-kapittelet for instruksjoner for å vise all blokkert kommunikasjon i brannmurens logg. |
Tilgjengeligheten til bestemte alternativer i dette vinduet kan variere avhengig av type eller versjon av ESET-produktet ditt og brannmurmodulen, samt operativsystemversjonen din. |
Inntrengingsgjenkjenning
Inntrengingsdeteksjon overvåker enhetens nettverkskommunikasjon for å oppdage ondsinnet aktivitet.
•Protokoll SMB – Oppdager og blokkerer ulike sikkerhetsproblemer i SMB-protokollen.
•Protokoll RPC – Oppdager og blokkerer ulike CVE-er i det eksterne prosedyreanropssystemet for Distributed Computing Environment (DCE).
•Protocol RDP – Oppdager og blokkerer ulike CVE-er i RDP-protokollen (se ovenfor).
•Deteksjon av ARP Poisoning-angrep – Deteksjon av mellommannbaserte ARP poisoning-angrep eller deteksjon av sniffing ved nettverkssvitsjen. ARP (Address Resolution Protocol) brukes av nettverkprogrammet eller -enheten for å fastsette Ethernet-adressen.
•Deteksjon av TCP/UDP skanningsangrep på port – Oppdager angrep fra programmer som skanner porter – programvare som er utformet for å søke etter åpne porter hos en vert gjennom å sende klientforespørsler til en rekke portadresser. Formålet er å finne aktive porter og utnytte sårbarheten til tjenesten. Du kan lese mer om denne angrepstypen i ordlisten.
•Blokker usikker adresse når angrep avsløres – IP-adresser som er avslørt som kilder til angrep, føyes til Svartelisten for å hindre tilkobling i en bestemt periode. Du kan definere oppbevaringsperiode for svarteliste, som angir tiden for hvor lenge adressen skal være blokkert etter deteksjon av et angrep.
•Varsle om angrepsdeteksjon – Slår på Windows-varslingsområdet nederst til høyre på skjermen.
•Vis melding også for innkommende angrep mot sikkerhetshull – Varsler deg hvis angrep mot sikkerhetshull oppdages, eller hvis en trussel prøver å komme inn i systemet denne veien.
Pakkekontroll
En type pakkeanalyse som filtrerer data som overføres via nettverket.
•Tillat innkommende kobling å administrere deler i SMB-protokollen – De administrative delene er standard nettverksdelene som deler harddisk-partisjoner (C$, D$...) i systemet sammen med systemmappen (ADMIN$). Det bør minske en rekke sikkerhetsrisikoer å deaktivere kobling til administrativ deling. For eksempel gjennomfører Conficker-ormen angrep på kataloger for å koble seg til administrative deler.
•Avvis gamle (ustøttede) SMB-dialekter – Avvis SMB-sesjoner som valgte en gammel SMB-dialekt som ikke støttes av IDS. Moderne Windows operativsystemer støtter gamle SMB-dialekter på grunn av kompatibilitet med gamle operativsystemer som Windows 95. Angriperen kan bruke en gammel dialekt i en SMB-sesjon for å omgå trafikkinspeksjon. Avvis gamle SMB-dialekter hvis datamaskinen din ikke trenger å dele filer (eller bruke SMB-kommunikasjon generelt) med en datamaskin som har en gammel Windows-versjon.
•Avvis SMB-sesjoner uten utvidet sikkerhet – Du kan bruke Utvidet sikkerhet under SMB-sesjonsvalg for å sørge for en sikrere autentiseringsmekanisme enn LAN Manager Challenge/Response (LM)-autentisering. LM-oppsettet betraktes som svakt og bør ikke brukes.
•Avvis åpning av kjørbare filer på en server utenfor Klarert sone i SMB-protokoll – Dropper tilkoblingen når du prøver å kjøre en kjørbar fil (.exe, .dll) fra en delt mappe på serveren som ikke tilhører Klarert sone i brannmuren. Vær oppmerksom på at kopiering av kjørbare filer fra klarerte kilder kan være legitimt. Merk at det kan være legitimt å kopiere kjørbare filer fra klarerte kilder. Denne avsløringen bør imidlertid minske risikoen for uønsket åpning av en fil på en skadelig server (for eksempel en fil som åpnes ved å klikke en kobling til en delt skadelig kjørbar fil).
•Avvis NTLM-autentisering i SMB-protokollen for å koble til en server i/utenfor Klarert sone – Protokoller som benytter NTLM (begge versjoner)-autentiseringsoppsett utsettes for et angrep som fremmer opplysninger (kjent som SMB Relay-angrep i tilknytning til SMB-protokollen). Avvisning av NTLM-autentisering med en server utenfor Klarert sone bør minske risikoen ved å fremme opplysninger fra en skadelig server utenfor Klarert sone. På samme måte kan NTLM-autentisering også avvises for servere i den klarerte sonen.
•Tillat kommunikasjon med tjenesten Sikkerhetsbehandling for konto – For mer informasjon om denne tjenesten, se [MS-SAMR].
•Tillat kommunikasjon med tjenesten Lokal sikkerhetsautoritet – For mer informasjon om denne tjenesten, se [MS-LSAD] og [MS-LSAT].
•Tillat kommunikasjon med tjenesten Eksternt register – For mer informasjon om denne tjenesten, se [MS-RRP].
•Tillat kommunikasjon med tjenesten Tjenestekontrollbehandling – For mer informasjon om denne tjenesten, se [MS-SCMR].
•Tillat kommunikasjon med Servertjenesten – For mer informasjon om denne tjenesten, se [MS-SRVS].
•Tillat kommunikasjon med de andre tjenestene – MSRPC er Microsofts implementering av DCE RPC-mekanismen. Dessuten kan MSRPC bruke navngitte datakanaler i SMB- (nettverksfildelings-) protokollen for transport (ncacn_np transport). MSRPC-tjenester gjør grensesnitt tilgjengelig for tilgang og fjernstyring av Windows-systemer. En rekke svakheter ved sikkerheten ble oppdaget og utnyttet til det ytterste i Windows MSRPC-systemet (Conficker-ormer, Sasser-orm, …). Deaktiver kommunikasjon med MSRPC-tjeneste som du ikke trenger. Slik bidrar du til å minske mange sikkerhetsrisikoer (som fjernkodeutøvelse eller tjenestefeilangrep).