További beállítások
A További beállítások > Védelmek > Hálózati hozzáférés-védelem > Hálózati támadások elleni védelem > További beállítások szakaszban engedélyezheti vagy letilthatja több olyan támadás és biztonsági rés észlelését, amelyek károsíthatják a számítógépet.
Egyes esetekben nem kap kártevőkkel kapcsolatos értesítést a letiltott kommunikációkról. A Naplózás és szabályok vagy kivételek létrehozása naplóból című részből megtudhatja, hogy miként tekintheti meg az összes tiltott kommunikációt a tűzfal naplójában. |
Az ablakban található egyes beállítások elérhetősége az ESET-szoftver típusától, a tűzfal modultól, valamint az operációs rendszer verziójától függ. |
Behatolásfelismerés
A behatolásészlelés figyeli, hogy az eszköz hálózati kommunikációjában folynak-e rosszindulatú tevékenységek.
•SMB protokollSMB – Számos biztonsági problémát észlel és blokkol az SMB protokollban.
• ProtokollRPC – Észleli és letiltja a különféle gyakori biztonsági réseket és kitettségeket az elosztott számítógépes környezethez (DCE) kifejlesztett távoli eljáráshívási rendszerben.
•RDP protokollRDP – Észleli és letiltja a gyakori biztonsági réseket és kitettségeket az RDP protokollban (lásd fent).
•ARP-Mérgezés felismerése – A betolakodó illetéktelen személyek általi támadások vagy a hálózati kapcsolónál az elemzésészlelés által kiváltott ARP-mérgezés felismerése. Az ARP (Address Resolution Protocol) protokollt a hálózati alkalmazás vagy eszköz használja az Ethernet-cím meghatározására.
•TCP/UDP-portszkennelés felismerése – Portszkenneléses szoftverek támadásait észleli. Ezek olyan alkalmazások, amelyek az állomásokon próbálnak nyitott portokat keresni úgy, hogy klienskérelmeket küldenek portcímek tartományára abból a célból, hogy aktív portokat találjanak, és kihasználják a szolgáltatás biztonsági réseit. Erről a támadástípusról további információt a szószedetben olvashat.
•Nem biztonságos címek letiltása a támadások felismerése után – A támadások forrásaként felismert IP-címeket a program felveszi a tiltólistára, így bizonyos időszakra megakadályozza a kapcsolatot. Megadhatja a tiltólista megőrzési idejét, amely meghatározza azt az időtartmot, hogy mennyi ideig legyen letiltva a cím a támadás észlelése után.
•Értesítés megjelenítése támadás felismerése után – A jelölőnégyzet bejelölésével kikapcsolhatja a képernyő jobb alsó sarkában, a Windows értesítési területén megjelenő értesítéseket.
•Értesítések megjelenítése a biztonsági réseket kihasználó támadások esetén is – Riasztást jelenít meg a biztonsági rések elleni támadások észlelésekor, illetve ha egy kártevő ily módon kísérel meg belépni a rendszerbe.
Csomagellenőrzés
Olyan csomagelemzési típus, amely szűri a hálózaton keresztül továbbított adatokat.
•Rendszergazdai megosztások bejövő kapcsolatainak engedélyezése az SMB protokollban – A rendszergazdai megosztások azok az alapértelmezett hálózati megosztások, amelyek megosztják a merevlemez-partíciókat (C$, D$...) a rendszerben a rendszermappákkal (ADMIN$). A rendszergazdai megosztásokkal fennálló kapcsolat letiltása számos biztonsági kockázatot csökkent. A Conficker féreg például szótáras támadásokkal próbál meg a rendszergazdai megosztásokhoz kapcsolódni.
•Régi (nem támogatott) SMB-dialektusok tiltása – Letiltja az SMB által nem támogatott régi SMB-dialektust használó IDS-munkameneteket. A modern Windows operációs rendszerek a korábbi operációs rendszerekkel (például Windows 95) való visszamenőleges kompatibilitásnak köszönhetően támogatják az SMB-dialektusokat. A támadó használhat régi dialektust az SMB-munkamenetben annak érdekében, hogy elkerülje a forgalom vizsgálatát. Tiltsa le a régi SMB-dialektusokat, ha számítógépének nem kell fájlokat megosztania (vagy általában használjon SMB-kommunikációt) a Windows korábbi verzióját futtató számítógéppel.
•Biztonsági bővítmények nélküli SMB-munkamenetek tiltása – A kibővített biztonságot az SMB-munkamenet használata során lehet egyeztetni a LAN Manager kérdés-válasz hitelesítésénél biztonságosabb hitelesítési módszerek biztosítása céljából. A LAN Manager séma gyengének számít, és a használata nem javasolt.
•Végrehajtható fájlok megbízható zónán kívüli szerveren való megnyitásának tiltása az SMB protokollban – Megszakad a kapcsolat, amikor megkísérli egy végrehajtható fájl (.exe, .dll) futtatását egy olyan szerveren lévő megosztott mappából, amely nem tartozik a tűzfal megbízható zónájához. Vegye figyelembe, hogy a végrehajtható fájlok megbízható forrásokból történő másolása törvényes lehet. A végrehajtható fájlok megbízható forrásokból való másolása szabályszerű lehet ugyan, ez a felismerés azonban csökkenti a kártékony szervereken lévő fájlok nem kívánt megnyitásából származó kockázatokat (például egy megosztott kártékony végrehajtható fájlra mutató hivatkozásra kattintva megnyitott fájl esetén).
•NTLM-Hitelesítés tiltása a megbízható zónában lévő/megbízható zónán kívüli szerver eléréséhez az SMB protokollban – Az NTLM (mindkét verziójának) hitelesítési sémáit használó protokollok ki vannak téve a hitelesítő adatok továbbításával járó (az SMB protokoll esetében SMB-továbbításos néven ismert) támadásnak. A megbízható zónán kívüli szerverrel való NTLM-hitelesítés tiltása csökkenti a megbízható zónán kívüli kártékony szerver által történő hitelesítőadat-továbbításból származó kockázatokat. Hasonlóképpen, a megbízható zónában lévő szerverekkel való NTLM-hitelesítés is tiltható.
•A Biztonsági fiókkezelő szolgáltatással (SAM) való kommunikáció engedélyezése – A szolgáltatásról további információt itt talál: [MS-SAMR].
•A Helyi biztonsági szervezet (LSA) szolgáltatással való kommunikáció engedélyezése – A szolgáltatásról további információt itt talál: [MS-LSAD] és [MS-LSAT].
•A Távoli beállításjegyzék szolgáltatással való kommunikáció engedélyezése – A szolgáltatásról további információt itt talál: [MS-RRP].
•A Szolgáltatásvezérlő szolgáltatással való kommunikáció engedélyezése – A szolgáltatásról további információt itt talál: [MS-SCMR].
•A Kiszolgáló szolgáltatással való kommunikáció engedélyezése – A szolgáltatásról további információt itt talál: [MS-SRVS].
•Más szolgáltatásokkal való kommunikáció engedélyezése – Egyéb MSRPC szolgáltatások. Az MSRPC az elosztott számítógépes környezet (DCE) távoli eljáráshívási (RPC) mechanizmus megvalósítása a Microsoft által. Az MSRPC használhat továbbá az átvitelhez az SMB (hálózati fájlmegosztási) protokollba továbbított nevesített csöveket (ncacn_np transport). Az MSRPC szolgáltatások a Windows rendszerek távoli hozzáféréséhez és kezeléséhez szükséges felületeket biztosítanak. Mostanáig számos biztonsági rést fedeztek fel és használtak ki a Windows MSRPC rendszerében (Conficker féreg, Sasser féreg stb.). Tiltsa le a kommunikációt azokkal az MSRPC szolgáltatásokkal, amelyekre nincs szüksége, így csökkentheti a biztonsági kockázatokat (ilyen például a kódok távoli futtatása vagy a szolgáltatáshibát okozó támadások).