Opţiuni avansate
În Setare avansată > Protecții > Protecție acces la rețea > Protecție împotriva atacurilor de rețea > Opțiuni avansate, puteți activa sau dezactiva detectarea mai multor tipuri de atacuri și exploatări care pot dăuna computerului.
În unele cazuri nu veți primi o notificare de amenințare despre comunicațiile blocate. Consultați secțiunea Scriere în log și creare de reguli sau excepții din log pentru instrucțiuni de vizualizare a tuturor comunicațiilor blocate din logul componentei Firewall. |
Disponibilitatea opțiunilor particulare din această fereastră poate varia în funcție de tipul sau de versiunea produsului ESET și a modulului Firewall, precum și de versiunea sistemului de operare. |
Detectare intruziuni
Funcția de detectare a intruziunilor monitorizează comunicarea în rețea a dispozitivului pentru a detecta activități rău intenționate.
•Protocol SMB – detectează și blochează diverse probleme de securitate în protocolul SMB.
•Protocol RPC – detectează și blochează CVE-uri din sistemul Remote Procedure Call (RPC) dezvoltate pentru Distributed Computing Environment (DCE).
•Protocol RDP – detectează și blochează CVE-uri în protocolul RDP (a se vedea mai sus).
•Detectare atac de tip Intoxicare ARP – detectare a atacurilor de tip Intoxicare ARP declanșate de atacuri de tip „man in the middle” sau detectare a sondării switch-ului de rețea. Protocolul ARP (Address Resolution Protocol) este utilizat de aplicația sau de dispozitivul de rețea pentru a determina adresa Ethernet.
•Detectare atac de tip Scanare port TCP/UDP – detectează atacuri prin software de scanare a porturilor, o aplicație destinată sondării unei gazde, care trimite solicitări client către un interval de adrese de port, cu scopul de a găsi porturi active și a exploata vulnerabilitatea serviciului. Citiți detalii despre acest tip de atac în glosar.
•Blocare adresă nesigură după detectarea unui atac – adresele IP care au fost detectate ca surse ale unor atacuri sunt adăugate la lista neagră pentru a împiedica conexiunea o anumită perioadă de timp. Puteți defini perioada de păstrare a listei negre, care stabilește cât timp va fi blocată adresa după detectarea atacului.
•Notificare despre detectarea atacurilor – activează notificarea din zona de notificare Windows, în colțul din partea dreaptă, jos, a ecranului.
•Afișare notificări și pentru atacurile sosite împotriva breșelor de securitate – vă alertează dacă se detectează atacuri împotriva breșelor de securitate sau o amenințare efectuează o încercare de intrare în sistem în acest mod.
Verificare pachete
Un tip de analiză a pachetelor care filtrează datele transferate prin rețea.
•Permitere conexiune de intrare la partajări de administrator în protocolul SMB - partajările administrative sunt partajările în rețea implicite care utilizează în comun partițiile de hard disk (C$, D$, ...) din sistem împreună cu directorul de sistem (ADMIN$). Dezactivarea conexiunilor la partajările administrative ar trebui să reducă multe riscuri de securitate. De exemplu, viermele Conficker inițiază atacuri de tip Dictionnary attack pentru a se conecta la partajările administrative.
•Interzicere a dialectelor SMB vechi (neacceptate) – interzice sesiunile SMB care utilizează un dialect SMB vechi care nu este acceptat de IDS. Sistemele de operare Windows moderne acceptă dialectele SMB vechi datorită retrocompatibilității cu sistemele de operare vechi, precum Windows 95. Atacatorul poate negocia un dialect vechi într-o sesiune SMB pentru a evita inspectarea traficului. Interziceți dialectele SMB vechi în cazul în care computerul dvs. nu trebuie să partajeze fișiere (sau să utilizeze comunicații SMB, în general) cu un computer pe care este instalată o versiune veche de Windows.
•Interzicere sesiuni SMB fără securitate extinsă – securitatea extinsă poate fi utilizată în timpul sesiunii SMB în vederea asigurării unui mecanism de autentificare mai sigur decât autentificarea interogare-răspuns prin LAN Manager (LM). Schema LM este considerată vulnerabilă și nu se recomandă utilizarea ei.
•Interzicere a deschiderii fișierelor executabile pe un server din afara Zonei de încredere în protocolul SMB – întrerupe conexiunea atunci când încercați să deschideți un fișier executabil (.exe, .dll etc.) dintr-un director partajat aflat pe un server care nu face parte din Zona de încredere în componenta Firewall. Rețineți: copierea de fișiere executabile din surse de încredere poate fi legitimă. Copierea de fișiere executabile din surse de încredere poate fi legitimă, însă această metodă de detectare ar trebui să reducă riscurile asociate cu deschiderea nedorită a unui fișier de pe un server dăunător (de exemplu, deschiderea unui fișier făcând clic pe o legătură către un fișier executabil dăunător partajat).
•Interzicere a autentificării NTLM în protocolul SMB pentru conectarea unui server în Zona de încredere – protocoale care utilizează schemele de autentificare NTLM (ambele versiuni) sunt expuse la atacuri prin redirecționarea acreditărilor (cunoscute și cu denumirea de atacuri de tip SMB Relay în cazul protocolului SMB). Interzicerea autentificării NTLM printr-un server din afara Zonei de încredere ar trebui să reducă riscurile asociate cu redirecționarea acreditărilor de către un server dăunător din afara Zonei de încredere. În mod similar, puteți refuza autentificarea NTLM prin servere care fac parte din Zona de încredere.
•Permitere comunicație cu serviciul Manager cont de securitate – pentru mai multe informații despre acest serviciu, consultați [MS-SAMR].
•Permitere comunicație cu serviciul Autoritate de securitate locală – pentru mai multe informații despre acest serviciu, consultați [MS-LSAD] și [MS-LSAT].
•Permitere comunicare cu serviciul Registry la distanță – pentru mai multe informații despre acest serviciu, consultați [MS-RPP].
•Permitere comunicare cu serviciul Manager control servicii – pentru mai multe informații despre acest serviciu, consultați [MS-SCMR].
•Permitere comunicație cu serviciul Server – pentru mai multe informații despre acest serviciu, consultați [MS-SRVS].
•Permitere comunicare cu celelalte servicii – alte servicii MSRPC. MSRPC este implementarea Microsoft a mecanismului DCE RPC. În plus, MSRPC poate utiliza canalele declarate integrate în protocolul SMB (partajare de fișiere în rețea) pentru transport (ncacn_np transport). Serviciile MSRPC asigură interfețe pentru accesarea și gestionarea la distanță a sistemelor Windows. În sistemul MSRPC Windows au fost descoperite și exploatate mai multe vulnerabilități de securitate (viermele Conficker, viermele Sasser etc.). Dezactivați comunicațiile cu serviciile MSRPC de care nu aveți nevoie, pentru a reduce multe dintre riscurile de securitate (precum executarea la distanță a codurilor sau atacuri pentru afectarea serviciilor).