Разширени опции

В Разширени настройки > Защити > Защита на мрежовия достъп > Защита от мрежови атаки > Разширени опции можете да активирате или дезактивирате откриването на няколко типа атаки и експлойти, които могат да навредят на компютъра ви.

Откриване на проникване

Откриването на прониквания следи мрежовата комуникация на устройството за злонамерена дейност.

•Протокол SMB – Открива и блокира различни проблеми със защитата в протокола SMB.

•Протокол RPCRPC – Открива и блокира различни често срещани слаби места и излагания на риск в системата за заявка за отдалечена процедура, разработена за Разпределена компютърна среда (DCE).

•Протокол RDP – открива и блокира различни често срещани слаби места и излагане на риск в протокола RDP (вж. по-горе).

•Откриване на атака за заразяване на ARP – Откриване на атаки за заразяване на ARP, предизвикани от „посреднически“ атаки, или откриване на прослушвания на мрежовия превключвател. ARP (Address Resolution Protocol (Протокол за разрешаване на адреси)) се използва от мрежовото приложение или устройство за определяне на Ethernet адреса.

•Откриване на атака със сканиране на TCP/UDPпортове – Открива атаки на софтуер, който сканира портове – приложение, предназначено да проучва хост за отворени портове, като изпраща клиентски заявки до набор от адреси на портове с цел да открие активни портове и да използва уязвимостите на услугата. Прочетете повече за този тип атака в речника.

•Блокиране на опасния адрес след откриване на атаката – IP адреси, които са открити като източници на атаки, се добавят в списъка със забранени адреси, за да предотвратят връзка за определен период от време. Можете да определите период на задържане в списък със забранени адреси, който задава за колко време адресът ще бъде блокиран след откриване на атака.

•Уведомяване за откриване на атака – включва известието в областта за уведомяване на Windows в долния десен ъгъл на екрана.

•Известяване за входящи атаки срещу пробиви в защитата – предупреждава ви, ако бъдат открити атаки срещу дупки в защитата или ако заплаха извърши опит за влизане в системата по този начин.

Проверка на пакети

Тип анализ на пакети, който филтрира данните, които се прехвърлят през мрежата.

•Разрешаване на входяща връзка с администраторските дялове в SMB протокола – Администраторските дялове (админ. дялове) са мрежовите дялове по подразбиране, които разделят дяловете на твърдия диск (C$, D$, ...) в системата, заедно със системната папка (ADMIN$ADMIN$). Със забраната на връзка до администраторски дялове ще се намалят много рискове за защитата. Например червеят Conficker извършва атаки на речника, за да се свърже с администраторските дялове.

•Отказване на стари (неподдържани) SMB диалекти – откажете SMB сесии, които използват стар SMB диалект, който не се поддържа от IDS. Модерните операционни системи Windows поддържат старите SMB диалекти благодарение на обратна съвместимост с предходни операционни системи, като например Windows 95. Атакуващият може да използва стар диалект в SMB сесия, за да избегне проверката на трафика. Откажете стари SMB диалекти, ако не е необходимо компютърът ви да споделя файлове (или използвайте обща SMB комуникация) с компютър със стара версия на Windows.

•Отказване на SMB сесии без разширения на защитата – Разширена защита може да се използва по време на съгласуване на SMB сесия, за да се предостави по-сигурен механизъм за удостоверяване в сравнение с удостоверяването от тип предизвикателство/отговор на LAN диспечер (LM). Схемата LM се счита за слаба и не се препоръчва за употреба.

•Отказване на отваряне на изпълними файлове на сървър извън доверената зона в SMB протокола – Прекъсва връзката, когато се опитвате да отворите изпълним файл (.exe, .dll, ...) от споделена папка на сървъра, която не принадлежи към доверената зона в защитната стена. Имайте предвид, че копирането на изпълними файлове от доверени източници може да бъде легитимно. Имайте предвид, че копирането на изпълними файлове от доверени източници може да е легитимно, но това откриване може да намали рисковете от нежелано отваряне на файл на злонамерен сървър (като например файл, отворен чрез щракване върху хипер връзка към споделен злонамерен изпълним файл).

•Отказване на NTLM удостоверяване в протокола SMB за свързване със сървър във/извън доверената зона – протоколи, които използват схемите за NTLM удостоверяване (и двете версии), са обект на атака за препращане на идентификационни данни (известни като атаки на SMBпрепращане в случая на SMB протокол). Отказването на NTLM удостоверяване със сървър извън доверената зона трябва да намали рисковете от препращане на идентификационни данни от злонамерен софтуер извън доверената зона. Аналогично можете да откажете NTLM удостоверяване със сървъри в доверената зона.

•Разрешаване на комуникацията с услугата за диспечер на акаунти за защитата – за повече информация относно тази услуга вж. [MS-SAMR].

•Разрешаване на комуникацията с услугата за локален орган за защита – за повече информация относно тази услуга вж. [MS-LSAD] и [MS-LSAT].

•Разрешаване на комуникацията с услугата за отдалечен системен регистър – за повече информация относно тази услуга вж. [MS-RRP].

•Разрешаване на комуникацията с услугата за диспечер за управление на услуги – за повече информация относно тази услуга вж. [MS-SCMR].

•Разрешаване на комуникацията с услугата за сървър – за повече информация относно тази услуга вж. [MS-SRVS].

•Позволяване на комуникацията с други услуги – други MSRPC услуги. MSRPC е прилагането от страна на Microsoft на механизма DCE RPC. Освен това MSRPC може да използва наименувани канали, които водят до SMB (мрежово споделяне на файлове) протокол за пренасяне (ncacn_np transport). MSRPC услугите предоставят интерфейси за достъп и отдалечено управление на системите на Windows. Няколко уязвимости в защитата бяха открити и използвани на практика в Windows MSRPC системата (например червей Conficker, червей Sasser и т.н.). Забранете комуникация с MSRPC услуги, които не се налага да предоставяте, за да намалите многобройните рискове за защитата (като например отдалечено изпълнение на код или атаки за прекъсване на услуги).