Options avancées
Dans Configurations avancées > Protections > Protection de l'accès réseau > Protection contre les attaques réseau > Options avancées, vous pouvez activer ou désactiver la détection de plusieurs types d'attaques et d'exploits susceptibles d'endommager votre ordinateur.
Dans certains cas, vous ne recevrez pas de notification de menace sur les communications bloquées. Pour obtenir des instructions afin d'afficher toutes les communications bloquées dans le journal du pare-feu, consultez la section Consignation et création de règles ou d'exceptions à partir du journal. |
Certaines options spécifiques de cette fenêtre peuvent varier selon le type ou la version de votre produit ESET et du module de pare-feu ainsi que de la version de votre système d'exploitation. |
Détection d'intrusion
La détection des intrusions contrôle les communications réseau de l’appareil pour rechercher une activité malveillante.
•Protocole SMBSMB – Détecte et bloque divers problèmes de sécurité dans le protocole SMB.
•Protocole RPC – Détecte et bloque divers CVE dans le système d'appel des procédures à distance développé pour l'environnement Distributed Computing Environment (DCE).
•Protocole RDP – Détecte et bloque divers CVE dans le protocole RDP (voir ci-dessus).
•ARPDétection d'attaque par empoisonnement ARP – Détection d'attaque par empoisonnement ARP déclenchée par des attaques man-in-the-middle ou détection de sniffing au niveau du commutateur réseau. Le protocole ARP (Address Resolution Protocol) est utilisé par une application ou un périphérique réseau pour déterminer l'adresse Ethernet.
•Détection d'attaque par balayage de ports TCP/UDP – Détecte les attaques des applications de balayage de ports, conçues pour sonder les ports ouverts d'un ordinateur hôte en envoyant des requêtes client vers une plage d'adresses de ports dans le but de découvrir des ports actifs et d'exploiter la vulnérabilité du service. Pour en savoir plus sur ce type d'attaque, consultez le glossaire.
•Bloquer l'adresse non sûre après une détection d'attaque – Les adresses IP qui ont été identifiées comme sources d'attaques sont ajoutées à la liste noire pour prévenir toute connexion pendant une certaine période. Vous pouvez définir la Période de conservation de la liste noire , qui définit la durée pendant laquelle l'adresse sera bloquée après la détection de l'attaque.
•Avertir lors de la détection d'une attaque – Active une notification qui apparaît dans la zone de notification Windows, dans l'angle inférieur droit de l'écran.
•Afficher également des notifications pour les attaques entrantes contre les trous de sécurité – Vous avertit si des attaques contre des trous de sécurité sont détectées ou si une menace tente d'accéder au système de cette manière.
Vérification des paquets
Type d’analyse des paquets qui filtre les données transférées via le réseau.
•Autoriser les connexions entrantes aux partages administratifs du protocole SMB : les partages administratifs sont les partages réseau par défaut qui partagent les partitions de disque dur (C$, D$, ...) au sein du système, ainsi que le répertoire système (ADMIN$ADMIN$). Désactiver la connexion aux partages administratifs peut limiter de nombreux risques de sécurité. Par exemple, le ver Conficker effectue des attaques par dictionnaire afin de se connecter aux partages administratifs.
•Refuser les dialectes SMB anciens (non pris en charge) – Refuse des sessions SMB qui utilisent un ancien dialecte SMB non pris en charge par IDS. Les systèmes d'exploitation Windows modernes prennent en charge les anciens dialectes SMB en raison de la rétrocompatibilité avec les anciens systèmes d'exploitation tels que Windows 95. Le pirate peut utiliser un ancien dialecte dans une session SMB dans le but d'échapper à l'inspection du trafic. Refusez les anciens dialectes SMB si votre ordinateur n'a pas besoin de partager des fichiers (ou d'utiliser des communications SMB en général) avec un ordinateur équipé d'une ancienne version de Windows.
•Refuser les sessions SMB sans sécurité étendue – La sécurité étendue peut être utilisée au cours de la négociation de session SMB, afin de fournir un mécanisme d'authentification plus sécurisé que l'authentification par challenge/réponse du gestionnaire LAN (LM). Le schéma LM est considéré comme faible et son utilisation n'est pas recommandée.
•Refuser l'ouverture de fichiers exécutables sur un serveur hors de la zone Fiable dans le protocole SMB – Refuse la connexion lorsque vous tentez d'ouvrir un fichier exécutable (.exe, .dll, etc.) à partir d'un dossier partagé du serveur qui n'appartient pas à la zone Fiable dans le pare-feu. Notez que la copie de fichiers exécutables provenant de sources fiables peut être légitime. Veuillez noter que la copie de fichiers exécutables depuis des sources fiables peut être légitime. Toutefois, cette détection devrait limiter les risques issus de l'ouverture involontaire d'un fichier sur un serveur malveillant (par exemple en cas de clic d'un utilisateur sur un lien hypertexte menant à un fichier exécutable partagé malveillant).
•Refuser l'authentification NTLM dans le protocole SMB pour la connexion d'un serveur à l'intérieur ou à l'extérieur de la zone Fiable – Les protocoles qui utilisent les schémas d'authentification NTLM (toutes versions) sont sujets à des attaques par transfert d'identifiants (connues sous le nom d'attaques par relai SMB dans le cas du protocole SMB). Refuser l'authentification NTLM avec un serveur hors de la zone Fiable devrait limiter les risques de transfert d'identifiants par un serveur malveillant hors de la zone Fiable. De la même façon, vous pouvez refuser l'authentification NTLM avec des serveurs dans la zone Fiable.
•Autoriser la communication avec le service Security Account Manager : pour plus d'informations sur ce service, voir [MS-SAMR].
•Autoriser la communication avec le service Local Security Authority : pour plus d'informations sur ce service, voir [MS-LSAD] et [MS-LSAT].
•Autoriser la communication avec le service Remote Registry : pour plus d'informations sur ce service, voir [MS-RRP].
•Autoriser la communication avec le service Service Control Manager : pour plus d'informations sur ce service, voir [MS-SCMR].
•Autoriser la communication avec le service Server : pour plus d'informations sur ce service, voir [MS-SRVS].
•Autoriser la communication avec les autres services : autres services MSRPC. Le protocole MSRPC est l'implémentation par Microsoft du mécanisme DCE RPC. De plus, MSRPC peut utiliser des canaux nommés transportés (ncacn_np transport) par le protocole SMB (partage de fichiers en réseau). Les services MSRPC fournissent des interfaces d'accès et de gestion à distance pour les systèmes Windows. Plusieurs vulnérabilités ont été découvertes et exploitées librement dans le système Windows MSRPC (vers Conficker et Sasser, …). Désactivez la communication avec les services MSRPC que vous ne devez pas fournir, afin de limiter de nombreux risques de sécurité (tels que l'exécution de code à distance ou les attaques par déni de service).