|
Раздел «IDS и расширенные параметры» предназначен для настройки доступа к некоторым службам, запущенным на вашем компьютере, из доверенной зоны и включения и отключения обнаружения некоторых типов атак и эксплойтов, которые могут повредить компьютер.
ПРИМЕЧАНИЕ. В некоторых случаях уведомление о заблокированном соединении не отображается. Сведения о том, как просматривать заблокированные соединения в журнале персонального файервола, см. в разделе Ведение журнала и создание правил и исключений в журнале.
Внимание! Доступность отдельных параметров в этом окне зависит от типа или версии программы ESET и модуля персонального файервола, а также от версии операционной системы.
 Разрешенные службы
Параметры в этой группе предназначены для облегчения настройки доступа к службам этого компьютера из доверенной зоны. С помощью многих из них можно включить или отключить предопределенные правила файервола.
| • | Разрешить общий доступ к файлам и принтерам в доверенной зоне: позволяет открыть доступ к файлам и принтерам общего доступа удаленным компьютерам, расположенным в доверенной зоне. |
| • | Разрешить UPNP для системных служб в доверенной зоне: разрешает входящие и исходящие запросы протоколов UPnP для системных служб. Технология UPnP (Universal Plug and Play, также известная как Microsoft Network Discovery) используется в ОС Windows Vista и более поздних операционных системах. |
| • | Разрешить входящие соединения RPC в доверенной зоне: позволяет устанавливать TCP-подключения из доверенной зоны, предоставляя доступ к программе сопоставления портов MS RPC и службам RPC/DCOM. |
| • | Разрешить удаленный рабочий стол в доверенной зоне: дает возможность устанавливать подключения через протокол удаленного рабочего стола Майкрософт (RDP) и предоставляет компьютерам в доверенной зоне доступ к вашему компьютеру с помощью программы, которая использует протокол RDP (например, Remote Desktop Connection). |
| • | Разрешить вход в многоадресные группы по IGMP: разрешает входящие и исходящие многоадресные потоки IGMP и UDP, например потоковую передачу видеоданных, созданных программами, которые используют протокол IGMP (протокол управления группами Интернета). |
| • | Обслуживать неактивные TCP-соединения: для работы некоторых приложений требуется поддерживать установленные ими TCP-соединения, даже если соединение неактивно. Установите этот флажок, чтобы запретить обрыв неактивных TCP-соединений. |
| • | Включить связь для соединенных мостом соединений: установите этот флажок, чтобы запретить обрыв соединений типа «мост». |
| • | Разрешить ответ на ARP-запросы из-за пределов доверенной зоны: установите этот флажок, чтобы система отвечала на запросы по протоколу ARP с IP-адресов, которые находятся за пределами доверенной зоны. ARP (протокол разрешения адреса) используется сетевым приложением для определения адреса Ethernet. |
| • | Разрешить приложения Metro: для приложений, запущенных в среде Metro, разрешен обмен данными в соответствии с манифестом приложения Metro. Этот параметр переопределяет все правила и исключения для приложений Metro независимо от того, какой режим выбран для персонального файервола ESET: интерактивный или на основе политики. |
| • | Разрешить входящее подключение к общим ресурсам администратора по протоколу SMB : общие ресурсы администратора — это общие сетевые ресурсы по умолчанию, которые совместно используют разделы жесткого диска (C$, D$, ...) в системе вместе с системной папкой (ADMIN$). Отключение соединения с общими ресурсами администратора должны уменьшить возможные последствия угроз безопасности. Например, червь Conficker выполняет атаки перебором по словарю, чтобы подключиться к общим ресурсам администратора. |
| • | Разрешить автоматическое обнаружение веб-служб (WSD) для системных служб в доверенной зоне: разрешает входящие запросы обнаружения веб-служб из доверенных зон через файервол. WSD — это протокол, используемый для обнаружения служб в локальной сети. |
| • | Разрешить многоадресные разрешения в доверенной зоне (LLMNR): LLMNR — это протокол на основе пакетов DNS, который разрешает и узлам IPv4, и узлам IPv6 выполнять разрешение имен для узлов в той же локальной ссылке без необходимости в DNS-сервере или настройке клиента DNS. Этот параметр разрешает входящие многоадресные DNS-запросы из доверенной зоны через файервол. |
| • | Поддержка домашних групп Windows: включает поддержку домашних групп для ОС Windows 7 и более поздних операционных систем. Домашняя группа может использовать общий доступ к файлам и принтерам в домашней сети. Для настройки домашней группы воспользуйтесь меню Пуск > Панель управления > Сеть и Интернет > Домашняя группа. |
Входящее соединение RPC по протоколу SMB
MSRPC — это реализация Microsoft механизма DCE RPC. Кроме того, MSRPC может использовать именованные каналы, перенесенные в протокол SMB (протокол общего доступа к файлам сети) для транспорта (транспорт ncacn_np). Службы MSRPC предоставляют интерфейсы для удаленного доступа к операционной системе Windows и удаленного управления ею. За последние годы обнаружено несколько уязвимостей, которые используются в среде системы Windows MSRPC (червь Conficker, червь Sasser и др.). Отключить обмен данными со службами MSRPC, которые не нужно предоставлять для уменьшения последствий угроз безопасности (например, удаленное выполнение кода или атаки типа «Отказ в обслуживании»). Для разрешения и запрещения доступа к индивидуальным службам доступны две указанные ниже возможности.
| • | Разрешить подключение к службе диспетчера учетных записей безопасности: для получения дополнительных сведений об этой службе см. раздел [MS-SAMR]. |
| • | Разрешить подключение к службе локальной системы безопасности: для получения дополнительных сведений об этой службе см. разделы [MS-LSAD] и [MS-LSAT]. |
| • | Разрешить подключение к службе удаленного управления реестром: для получения дополнительных сведений об этой службе см. раздел [MS-RRP]. |
| • | Разрешить подключение к службе диспетчера служб: для получения дополнительных сведений об этой службе см. раздел [MS-SCMR]. |
| • | Разрешить подключение к службе сервера: для получения дополнительных сведений об этой службе см. раздел [MS-SRVS]. |
| • | Разрешить подключение к другим службам: другие службы MSRPC. |
Обнаружение вторжения
| • | Протокол SMB: обнаруживает и блокирует разные проблемы с безопасностью в протоколе SMB (подробности приведены ниже). |
| • | Обнаружение атаки в виде нестандартной задачи сервера при проверке подлинности: обеспечивает защиту от атаки, которая использует нестандартную задачу во время аутентификации, чтобы получить учетные данные пользователя. |
| • | Обнаружение попытки обхода IDS при открытии именованного канала: обнаружение известных методов обхода именованных каналов MSRPCS в протоколе SMB. |
| • | Обнаружение общих уязвимостей и слабых мест (CVE): применяемые методы обнаружения различных атак, червей, брешей в системе безопасности и эксплойтов в протоколе SMB. Более подробные сведения об идентификаторах CVE приводятся на веб-сайте CVE по адресу cve.mitre.org. |
| • | Протокол RPC: обнаруживает и блокирует идентификаторы CVE в системе удаленного вызова процедур, разработанной для среды распределенных вычислений (DCE). |
| • | Протокол RDP: обнаруживает и блокирует различные идентификаторы CVE в протоколе RDP (см. выше в этом разделе). |
| • | Обнаружение подделки записей кэша ARP: обнаружение подделки записей кэша ARP, предпринятой с помощью атаки «злоумышленник в середине», или обнаружение сканирования сетевого коммутатора. Протокол ARP (протокол разрешения адреса) используется сетевым приложением или устройством для определения адреса Ethernet. |
| • | Обнаружение подделки записей кэша DNS: обнаружение подделки записей кэша DNS — получение неправильного ответа на DNS-запрос (отправляется злоумышленником), который может переадресовать вас на фиктивные и вредоносные веб-сайты. DNS (системы доменных имен) — это распределенные системы баз данных, которые переводят понятные для человека доменные имена в числовые IP-адреса и позволяют пользователям обращаться к веб-сайту с помощью его доменного имени. Дополнительную информацию об этом типе атаки см. в глоссарии. |
| • | Обнаружение сканирования портов TCP/UDP: обнаружение ПО сканирования портов, т. е. приложения, предназначенного для выявления открытых портов на узле путем отправления клиентских запросов на диапазон адресов портов и поиска активных портов для использования уязвимости службы. Дополнительную информацию об этом типе атаки см. в глоссарии. |
| • | Блокировать небезопасный адрес после обнаружения атаки: IP-адреса, которые были обнаружены в качестве источников атак, будут добавлены в «черный» список, чтобы на некоторое время предотвратить подключение. |
| • | Показывать уведомление при обнаружении атаки: включает уведомления на панели задач в правом нижнем углу экрана. |
| • | Показывать уведомление при обнаружении атаки, использующей бреши в системе безопасности: показывает уведомления, если обнаруживается атака с использованием бреши в системе безопасности, или если опасный объект пытается войти в систему через брешь. |
Проверка пакетов
| • | Запретить старые (неподдерживаемые) диалекты SMB: запретить сеансы SMB, в которых используется старый диалект SMB, не поддерживаемый IDS. Современные операционные системы Windows поддерживают старые диалекты SMB благодаря обратной совместимости с устаревшими операционными системами, такими как Windows 95. Злоумышленник может использовать старый диалект в сеансе SMB, чтобы избежать контроля трафика. Запретите старые диалекты SMB, если вашему компьютеру не нужно обмениваться файлами (или вообще осуществлять обмен данными SMB) с компьютером под управлением ОС Windows старой версии. |
| • | Запретить сеансы SMB без расширенной безопасности: во время согласования сеанса SMB может быть использована расширенная защита, чтобы обеспечить более безопасный механизм аутентификации, чем аутентификация LAN Manager Challenge/Response (LM). Схема LM считается слабой и не рекомендуется для использования. |
| • | Запретить открытие исполняемых файлов на сервере за пределами доверенной зоны в протоколе SMB: разрывает соединение при попытке запуска исполняемого файла (.exe, .dll) из общей папки или с IP-адреса, который не относится к доверенной зоне персонального файервола. Обратите внимание, что копирование исполняемых файлов из надежных источников может быть допустимо. С другой стороны, это обнаружение должно уменьшить риски нежелательного открытия файла на вредоносном сервере (например, если пользователь открыл файл, щелкнув гиперссылку на общий вредоносный исполняемый файл). |
| • | Запретить аутентификацию NTLM в протоколе SMB при подключении к серверу в доверенной зоне или за ее пределами: протоколы, которые используют схемы аутентификации NTLM (обе версии), могут подвергаться атакам с попыткой пересылки учетных данных (известны как атаки SMB Relay, если речь идет о протоколе SMB). Если запретить аутентификацию NTLM с использованием сервера, который находится за пределами доверенной зоны, это поможет снизить риски пересылки учетных данных вредоносным сервером, который находится за пределами доверенной зоны. Кроме того, можно запретить аутентификацию NTLM с использованием сервера из доверенной зоны. |
| • | Проверять состояние TCP-соединения: проверять, что все TCP-пакеты относятся к существующему подключению. Если пакет не относится к какому-либо подключению, он будет удален. |
| • | Обнаружение скрытых данных в протоколе ICMP: проверяется, используется ли протокол ICMP для передачи данных. Многие вредоносные методы используют протокол ICMP для обхода персонального файервола. |
Обновленную версию этой страницы справочной системы см. в этой статье базы знаний ESET.
|
