Opções avançadas
Em Configuração avançada > Proteções > Proteção de acesso à rede > Proteção contra ataque de rede (IDS) > Opções avançadas, você pode habilitar ou desabilitar a detecção de vários tipos de ataques e explorações que podem danificar seu computador.
Em alguns casos, você não receberá uma modificação de ameaça sobre comunicações bloqueadas. Consulte a seção Registrando e criando regras ou exceções de relatório para obter instruções para visualizar todas as comunicações bloqueadas no relatório do Firewall. |
A disponibilidade de opções específicas nesta janela pode variar dependendo do tipo ou versão de seu produto de segurança da ESET e módulo de Firewall, bem como da versão de seu sistema operacional. |
Detecção de intruso
A detecção de intrusos monitora a comunicação de rede do dispositivo em busca de atividades maliciosas.
•Protocolo SMB – Detecta e bloqueia vários problemas de segurança em protocolo SMB.
•Protocolo RPC - Detecta e bloqueia vários CVEs no sistema de chamada de procedimento remoto desenvolvido para o Distributed Computing Environment (DCE).
•Protocolo RDP – Detecta e bloqueia vários CVEs no protocolo RDP (veja acima).
•ARP Detecção de Ataque por envenenamento – detecção de ataques por envenenamento ARP acionados por ataques "man-in-the-middle" (com envolvimento de pessoal) ou detecção de sniffing na chave de rede. ARP (Protocolo de resolução de endereço) é usado pelo aplicativo ou dispositivo de rede para determinar o endereço Ethernet.
•Detecção de ataque de escaneamento de porta TCP/UDP – Detecta ataques de software de escaneamento de portas – aplicativo projetado para sondar um host em busca de portas abertas, enviando solicitações de clientes para um intervalo de endereços de portas para encontrar portas ativas e explorar a vulnerabilidade do serviço. Leia mais sobre esse tipo de ataque no glossário.
•Bloquear endereço inseguro após detecção de ataque - Endereços IP que foram detectados como fontes de ataques são adicionados à lista de proibições para impedir a conexão por um período de tempo. Você pode definir o Período de retenção da lista de proibições, que define o tempo pelo qual o endereço será bloqueado depois da detecção do ataque.
•Notificar sobre detecção de ataque – ativa a notificação na área de notificação do Windows, no canto inferior direito da tela.
•Exibir notificações também para ataques sendo recebidos contra buracos de segurança - Alerta você se ataques contra buracos de segurança forem detectados ou se uma ameaça fizer uma tentativa de entrar no sistema desta forma.
Verificação do pacote
Um tipo de análise de pacote que filtra os dados sendo transferidos por meio da rede.
•Permitir conexão de entrada aos compartilhamentos administrativos no protocolo SMB - Os compartilhamentos administrativos (compartilhamentos administrativos) são os compartilhamentos padrão da rede que compartilham partições de disco rígido (C$, D$, ...) no sistema, junto com a pasta do sistema (ADMIN$). Desabilitar conexão com compartilhamentos administrativos deve reduzir muitos riscos de segurança. Por exemplo, o worm Conficker realiza ataques de dicionário para conectar-se a compartilhamentos administrativos.
•Negar dialetos SMB antigos (não compatíveis) – Negar sessões SMB que usem um dialeto SMB anterior que não é aceito pelo IDS. Sistemas operacionais modernos do Windows suportam dialetos SMB antigos devido à compatibilidade retroativa com sistemas operacionais antigos, como o Windows 95. O agressor pode usar um dialeto antigo em uma sessão SMB para evitar inspeção de tráfego. Negue dialetos SMB antigos se o seu computador não precisa compartilhar arquivos (ou usar comunicação SMB em geral) com um computador com uma versão antiga do Windows.
•Negar sessões SMB sem segurança estendida - Segurança estendida pode ser usada durante a negociação de sessão SMB para proporcionar um mecanismo de autenticação mais seguro do que autenticação de LAN Manager Challenge/Response (LM). O esquema LM é considerado fraco e não é recomendado para uso.
•Negar a abertura de arquivos executáveis em um servidor fora da zona Confiável no protocolo SMB - Remove a conexão quando você está tentando abrir um arquivo executável (.exe, .dll) de uma pasta compartilhada no servidor que não pertence à zona Confiável no Firewall. Observe que copiar arquivos executáveis de fontes confiáveis pode ser legítimo. Observe que copiar arquivos executáveis de fontes confiáveis pode ser legítimo; no entanto, essa detecção deve minimizar riscos de abrir sem querer um arquivo em um servidor malicioso (por exemplo, um arquivo aberto clicando em um hiperlink para um arquivo executável malicioso compartilhado).
•Negar autenticação NTLM no protocolo SMB para conexão de um servidor dentro/fora da Zona confiável – Protocolos que usam esquemas de autenticação NTLM (ambas as versões) estão sujeitos a ataques de encaminhamento de credenciais (conhecidos como ataque de relé SMB no caso de protocolo SMB). Negar autenticação NTLM com um servidor fora da Zona confiável devem mitigar os riscos de encaminhar credenciais por um servidor malicioso para fora da Zona confiável. Do mesmo modo, a autenticação NTLM pode ser negada com servidores da Zona confiável.
•Permitir comunicação com o serviço de Gerenciamento de Conta de Segurança - Para obter mais informações sobre este serviço consulte [MS-SAMR].
•Permitir comunicação com o serviço Autoridade de Segurança Local - Para obter mais informações sobre este serviço consulte [MS-LSAD] e [MS-LSAT].
•Permitir comunicação com o serviço de Registro Remoto - Para obter mais informações sobre este serviço consulte [MS-RRP].
•Permitir comunicação com o serviço de Gerenciamento de Controle de Serviço - Para obter mais informações sobre este serviço consulte [MS-SCMR].
•Permitir comunicação com o serviço de Servidor - Para obter mais informações sobre este serviço consulte [MS-SRVS].
•Permitir comunicação com outros serviços - Outros serviços MSRPC. MSRPC é a implementação da Microsoft do mecanismo DCE RPC. Além disso, a MSRPC pode usar pipes nomeados levados para o protocolo de transporte (transporte ncacn_np) SMB (compartilhamento de arquivos de rede). Serviços MSRPC fornecem interfaces para acessar e gerenciar remotamente sistemas Windows. Várias vulnerabilidades de segurança foram descobertas e exploradas no estado natural no sistema do Windows MSRPC (worm Conficker, worm Sasser...). Desativar comunicação com serviços MSRPC que não precisam ser fornecidos para mitigar muitos riscos de segurança (como execução de código remoto ou ataques de falha de serviço).