ESET Hjelp på internett

Søk Norsk
Velg tema

Avanserte alternativer

I Avansert oppsett > Beskyttelser > Beskyttelse for nettverkstilgang > Beskyttelser mot nettversangrep > Avanserte oppsett kan du aktivere eller deaktivere deteksjon av flere typer angrep og utnyttelser som kan skade datamaskinen din.


note

I enkelte tilfeller mottar du ikke en trusselvarsling om blokkert kommunikasjon. Se Logging og oppretting av regler eller unntak fra logg-kapittelet for instruksjoner for å vise all blokkert kommunikasjon i brannmurens logg.


important

Tilgjengeligheten til bestemte alternativer i dette vinduet kan variere avhengig av type eller versjon av ESET-produktet ditt og brannmurmodulen, samt operativsystemversjonen din.

icon_section Inntrengingsgjenkjenning

Inntrengingsdeteksjon overvåker enhetens nettverkskommunikasjon for å oppdage ondsinnet aktivitet.

Protokoll SMB – Oppdager og blokkerer ulike sikkerhetsproblemer i SMB-protokollen.

Protokoll RPC – Oppdager og blokkerer ulike CVE-er i det eksterne prosedyreanropssystemet for Distributed Computing Environment (DCE).

Protocol RDP – Oppdager og blokkerer ulike CVE-er i RDP-protokollen (se ovenfor).

Deteksjon av ARP Poisoning-angrep – Deteksjon av mellommannbaserte ARP poisoning-angrep eller deteksjon av sniffing ved nettverkssvitsjen. ARP (Address Resolution Protocol) brukes av nettverkprogrammet eller -enheten for å fastsette Ethernet-adressen.

Deteksjon av TCP/UDP skanningsangrep på port – Oppdager angrep fra programmer som skanner porter – programvare som er utformet for å søke etter åpne porter hos en vert gjennom å sende klientforespørsler til en rekke portadresser. Formålet er å finne aktive porter og utnytte sårbarheten til tjenesten. Du kan lese mer om denne angrepstypen i ordlisten.

Blokker usikker adresse når angrep avsløres – IP-adresser som er avslørt som kilder til angrep, føyes til Svartelisten for å hindre tilkobling i en bestemt periode. Du kan definere oppbevaringsperiode for svarteliste, som angir tiden for hvor lenge adressen skal være blokkert etter deteksjon av et angrep.

Varsle om angrepsdeteksjon – Slår på Windows-varslingsområdet nederst til høyre på skjermen.

Vis melding også for innkommende angrep mot sikkerhetshull – Varsler deg hvis angrep mot sikkerhetshull oppdages, eller hvis en trussel prøver å komme inn i systemet denne veien.

icon_section Pakkekontroll

En type pakkeanalyse som filtrerer data som overføres via nettverket.

Tillat innkommende kobling å administrere deler i SMB-protokollen – De administrative delene er standard nettverksdelene som deler harddisk-partisjoner (C$, D$...) i systemet sammen med systemmappen (ADMIN$). Det bør minske en rekke sikkerhetsrisikoer å deaktivere kobling til administrativ deling. For eksempel gjennomfører Conficker-ormen angrep på kataloger for å koble seg til administrative deler.

Avvis gamle (ustøttede) SMB-dialekter – Avvis SMB-sesjoner som valgte en gammel SMB-dialekt som ikke støttes av IDS. Moderne Windows operativsystemer støtter gamle SMB-dialekter på grunn av kompatibilitet med gamle operativsystemer som Windows 95. Angriperen kan bruke en gammel dialekt i en SMB-sesjon for å omgå trafikkinspeksjon. Avvis gamle SMB-dialekter hvis datamaskinen din ikke trenger å dele filer (eller bruke SMB-kommunikasjon generelt) med en datamaskin som har en gammel Windows-versjon.

Avvis SMB-sesjoner uten utvidet sikkerhet – Du kan bruke Utvidet sikkerhet under SMB-sesjonsvalg for å sørge for en sikrere autentiseringsmekanisme enn LAN Manager Challenge/Response (LM)-autentisering. LM-oppsettet betraktes som svakt og bør ikke brukes.

Avvis åpning av kjørbare filer på en server utenfor Klarert sone i SMB-protokoll – Dropper tilkoblingen når du prøver å kjøre en kjørbar fil (.exe, .dll) fra en delt mappe på serveren som ikke tilhører Klarert sone i brannmuren. Vær oppmerksom på at kopiering av kjørbare filer fra klarerte kilder kan være legitimt. Merk at det kan være legitimt å kopiere kjørbare filer fra klarerte kilder. Denne avsløringen bør imidlertid minske risikoen for uønsket åpning av en fil på en skadelig server (for eksempel en fil som åpnes ved å klikke en kobling til en delt skadelig kjørbar fil).

Avvis NTLM-autentisering i SMB-protokollen for å koble til en server i/utenfor Klarert sone – Protokoller som benytter NTLM (begge versjoner)-autentiseringsoppsett utsettes for et angrep som fremmer opplysninger (kjent som SMB Relay-angrep i tilknytning til SMB-protokollen). Avvisning av NTLM-autentisering med en server utenfor Klarert sone bør minske risikoen ved å fremme opplysninger fra en skadelig server utenfor Klarert sone. På samme måte kan NTLM-autentisering også avvises for servere i den klarerte sonen.

Tillat kommunikasjon med tjenesten Sikkerhetsbehandling for konto – For mer informasjon om denne tjenesten, se [MS-SAMR].

Tillat kommunikasjon med tjenesten Lokal sikkerhetsautoritet – For mer informasjon om denne tjenesten, se [MS-LSAD] og [MS-LSAT].

Tillat kommunikasjon med tjenesten Eksternt register – For mer informasjon om denne tjenesten, se [MS-RRP].

Tillat kommunikasjon med tjenesten Tjenestekontrollbehandling – For mer informasjon om denne tjenesten, se [MS-SCMR].

Tillat kommunikasjon med Servertjenesten – For mer informasjon om denne tjenesten, se [MS-SRVS].

Tillat kommunikasjon med de andre tjenestene – MSRPC er Microsofts implementering av DCE RPC-mekanismen. Dessuten kan MSRPC bruke navngitte datakanaler i SMB- (nettverksfildelings-) protokollen for transport (ncacn_np transport). MSRPC-tjenester gjør grensesnitt tilgjengelig for tilgang og fjernstyring av Windows-systemer. En rekke svakheter ved sikkerheten ble oppdaget og utnyttet til det ytterste i Windows MSRPC-systemet (Conficker-ormer, Sasser-orm, …). Deaktiver kommunikasjon med MSRPC-tjeneste som du ikke trenger. Slik bidrar du til å minske mange sikkerhetsrisikoer (som fjernkodeutøvelse eller tjenestefeilangrep).