У розділі "IDS і додаткові параметри" можна налаштувати доступ із довіреної зони до деяких служб, запущених на комп’ютері, а також вмикати й вимикати виявлення деяких типів можливих атак і експлойтів.
ПРИМІТКА. У деяких випадках сповіщення про заблоковані зв’язки не відображатимуться. Ознайомтеся з розділом Ведення журналу та створення правил або виключень на основі журналу, щоб дізнатися, як переглянути всі заблоковані зв’язки в журналі персонального брандмауера.
Увага! У цьому вікні можуть бути доступні різні опції залежно від типу або версії продукту ESET і модуля персонального брандмауера, а також версії операційної системи.
Дозволені служби
Налаштування в цій групі призначено для того, щоб спростити конфігурацію доступу до служб комп’ютера з довіреної зони. Багато з них вмикають або вимикають попередньо визначені правила брандмауера.
• | Дозволити спільний доступ до файлів і принтерів у довіреній зоні – дозволяє віддаленим комп’ютерам у довіреній зоні звертатися до спільних файлів і принтерів. |
• | Дозволити UPNP для системних служб у довіреній зоні – дозволяє вхідні й вихідні запити за протоколами UPnP для системних служб. Протокол UPnP (Universal Plug and Play, також відомий як Microsoft Network Discovery) використовується у Windows Vista й новіших версіях ОС Windows. |
• | Дозволити вхідні запити RPC в довіреній зоні – дозволяє підключення TCP з довіреної зони, забезпечуючи доступ до служби MS RPC Portmapper й інших служб RPC/DCOM. |
• | Дозволити віддалений робочий стіл у довіреній зоні – дозволяє підключення через протокол віддаленого робочого стола Microsoft Remote Desktop (RDP) і дає змогу комп’ютерам у довіреній зоні отримувати доступ до вашого комп’ютера за допомогою програми, що використовує цей протокол (наприклад, Remote Desktop Connection). |
• | Увімкнути вхід до багатоадресних груп через протокол IGMP – дозволяє вхідні/вихідні багатоадресні потоки IGMP та вхідні потоки UDP, наприклад відеопотоки, створені програмами за протоколом IGMP (Internet Group Management Protocol – протокол керування групами Інтернету). |
• | Підтримувати неактивні TCP-підключення – для роботи деяких програм потрібно, щоб підключення TCP, яке вони встановлюють, підтримувалося, навіть якщо це підключення TCP неактивне. Виберіть цей параметр, щоб уникнути переривання неактивних підключень TCP. |
• | Увімкнути зв’язки для мостових підключень – виберіть цей параметр, щоб уникнути переривання мостових підключень. |
• | Дозволити відповіді на ARP-запити, які надходять не з довіреної зони – виберіть цю опцію, якщо потрібно, щоб система відповідала на запити ARP з IP-адрес, що не входять до довіреної зони. ARP (Address Resolution Protocol – протокол перетворення адрес) використовується мережевою програмою для визначення адреси Ethernet. |
• | Дозволити виконання програм Metro – дозволяє обмін даними для програм із Магазину Windows, запущених у середовищі Metro, відповідно до маніфесту програми Metro. Якщо активувати цю опцію, дію всіх правил і виключень для програм Metro буде скасовано незалежно від режиму, вибраного в налаштуваннях персонального брандмауера ESET (інтерактивного чи на основі політики). |
• | Дозволити вхідні запити спільних адміністративних ресурсів у протоколі SMB – адміністративними спільними ресурсами називаються мережеві спільні ресурси, які використовують розділи на жорсткому диску в системі (C$, D$ тощо) разом із системною папкою (ADMIN$). Заборонивши підключення до адміністративних спільних ресурсів, можна усунути багато загроз для безпеки. Наприклад, черв’як Conficker для підключення до адміністративних спільних ресурсів здійснює атаки за словником. |
• | Дозволити автоматичні запити Web Services Discovery (WSD) для системних служб у довіреній зоні – дозволяє вхідні запити Web Services Discovery з довірених зон через брандмауер. WSD – це протокол, що використовується для виявлення служб у локальній мережі. |
• | Дозволити перетворення групових адрес у довіреній зоні (LLMNR) – протокол LLMNR (Link-local Multicast Name Resolution) на базі DNS-пакетів дає змогу хостам IPv4 й IPv6 виконувати перетворення імен для хостів з однаковим локальним посиланням без налаштування DNS-сервера або DNS-клієнта. Цей параметр дозволяє вхідні багатоадресні запити DNS з довіреної зони через брандмауер. |
• | Підтримка домашньої групи Windows – активує підтримку домашньої групи у Windows 7 і новіших версіях ОС Windows. Домашня група забезпечує спільний доступ до файлів і принтерів у домашній мережі. Щоб налаштувати домашню групу, перейдіть до розділу Пуск > Панель керування > Мережа й Інтернет > Домашня група. |
Вхідні запити RPC через SMB
MSRPC – це реалізація механізму DCE RPC від компанії Microsoft. Крім того, MSRPC може використовувати іменовані канали, виконувані за протоколом SMB (обмін файлами в мережі), для транспортування даних (ncacn_np transport). Служби MSRPC дають змогу отримувати віддалений доступ до систем Windows і керувати ними. У системі Windows MSRPC було виявлено кілька вразливих місць, які використовувалися "дикими вірусами" (черв’яки Conficker, Sasser тощо). Заборонивши комунікацію з непотрібними службами MSRPC, можна усунути багато ризиків для безпеки (віддалене виконання коду, відмова в обслуговуванні тощо). Для ввімкнення або вимкнення доступу до окремих служб можна використовувати наведені нижче опції.
• | Дозволити виклики диспетчера облікових записів – докладніше про цю службу див. у розділі [MS-SAMR]. |
• | Дозволити виклики локального центру безпеки – докладніше про цю службу див. у розділах [MS-LSAD] і [MS-LSAT]. |
• | Дозволити виклики віддаленого реєстру – докладніше про цю службу див. у розділі [MS-RRP]. |
• | Дозволити виклики диспетчера керування службами – докладніше про цю службу див. у розділі [MS-SCMR]. |
• | Дозволити виклики служби сервера – докладніше про цю службу див. у розділі [MS-SRVS]. |
• | Дозволити виклики інших служб – інші служби MSRPC. |
Виявлення вторгнення
• | Протокол SMB – виявляє та блокує різноманітні проблеми, пов’язані з безпекою протоколу SMB, а саме: |
• | Виявлення виклику автентифікації неправомірним сервером – захищає від атак, які під час автентифікації використовують неправомірний виклик із метою отримання облікових даних користувача. |
• | Виявлення обходу IDS під час відкриття іменованого каналу – виявлення відомих методів обходу, які використовуються для відкриття іменованих каналів MSRPC в протоколі SMB. |
• | Виявлення CVE (Common Vulnerabilities and Exposures – поширені слабкі місця й помилки) – упроваджені методи виявлення різноманітних атак, форм, слабких місць у системі безпеки та проникнень через протокол SMB. Відвідайте веб-сайт CVE за адресою cve.mitre.org, який надає можливості пошуку й отримання докладнішої інформації про ідентифікатори CVE. |
• | Протокол RPC – виявлення та блокування різноманітних слабких місць і помилок у системі віддаленого виклику процедур для середовища розподілених розрахунків (Distributed Computing Environment, DCE). |
• | Протокол RDP – виявлення й блокування різноманітних слабких місць і помилок у протоколі RDP (див. вище). |
• | Виявлення атаки ARP Poisoning – виявлення підміни ARP, ініційованої атаками типу "незаконний посередник", або сніфінг на мережевих комутаторах. ARP (Address Resolution Protocol – протокол перетворення адрес) використовується мережевою програмою або пристроєм для визначення адреси Ethernet. |
• | Виявлення атаки DNS Poisoning – виявлення підробних відповідей на запит DNS (надсилаються зловмисником), які можуть спрямувати вас на оманливий або зловмисний веб-сайт. DNS (Domain name systems – система імен доменів) – система розподілених баз даних, яка встановлює відповідності між зрозумілими для користувача іменами доменів і цифровими IP-адресами, що дає змогу користувачам звертатися до веб-сайту просто за іменем відповідного домену. Докладніше про цей тип атаки див. у глосарії. |
• | Виявлення атаки сканування порту TCP/UDP – виявлення атаки за допомогою програмного забезпечення для сканування портів (тобто застосунків, розроблених для перевірки хосту на наявність відкритих портів шляхом надсилання клієнтських запитів на ряд адрес портів із метою виявлення активних і використання слабких місць у системі безпеки служби). Докладніше про цей тип атаки див. у глосарії. |
• | Блокувати небезпечну адресу після виявлення атаки – додавання до чорного списку IP-адрес, визначених як джерело атаки, що запобігає з’єднанню з ними протягом певного періоду часу. |
• | Відображати сповіщення після виявлення атаки – вмикає відображення сповіщень у системному треї в нижньому правому куті екрана. |
• | Також відображати сповіщення про атаки, спрямовані на слабкі місця в системі безпеки – сповіщає про виявлені атаки, спрямовані на слабкі місця в системі безпеки, або про спроби проникнення загрози в систему в такий спосіб. |
Перевірка пакетів
• | Відхилити застарілі (непідтримувані) діалекти SMB – відхилення сеансів SMB, що використовують застарілі діалекти SMB, непідтримувані IDS. Сучасні операційні системи Windows підтримують застарілі діалекти SMB задля забезпечення сумісності з попередніми версіями (наприклад, Windows 95). Зловмисник може використовувати застарілий діалект під час сеансу SMB, щоб уникнути перевірки трафіку. Активуйте відхилення застарілих діалектів SMB, якщо ваш пристрій не використовується для обміну файлами (або комунікації SMB загалом) із комп’ютером під керуванням старих версій Windows. |
• | Відхилити SMB без розширення функції безпеки – розширена функція безпеки може використовуватися під час сеансу SMB для забезпечення надійнішого механізму автентифікації, ніж метод "запит-відповідь" для автентифікації диспетчера локальної мережі. Цей метод уважається ненадійним, і використовувати його не рекомендується. |
• | Відхилити відкриття виконуваних файлів на сервері поза межами довіреної зони у протоколі SMB – відхиляє підключення в разі спроби відкриття виконуваного файлу (.exe, .dll) зі спільної папки на сервері, який не належить до довіреної зони в налаштуваннях персонального брандмауера. Зверніть увагу, що копіювання виконуваних файлів із довірених джерел допускається, проте такий спосіб виявлення усуває ризики, пов’язані з небажаним відкриттям файлів на зловмисному сервері (наприклад, якщо натиснуто посилання на шкідливий виконуваний файл зі спільним доступом). |
• | Відхилити автентифікацію NTLM у протоколі SMB для підключення до сервера в довіреній зоні/поза межами довіреної зони – протоколи, що використовують механізми автентифікації NTLM (обох версій), уразливі до атак за методом переадресації прав (для протоколу SMB – атак трансляції SMB). Заборонивши автентифікацію NTLM під час встановлення зв’язку із сервером поза межами довіреної зони, можна зменшити ризик переадресації прав зловмисним сервером поза межами довіреної зони. Подібним чином ви можете встановити заборону на автентифікацію NTLM для серверів, що входять до довіреної зони. |
• | Перевіряти стан підключення TCP – перевіряє, чи всі пакети TCP належать установленому підключенню. Якщо певний пакет не існує для підключення, його буде опущено. |
• | Перевірка повідомлень протоколу ICMP – запобігання атакам, які використовують недоліки протоколу ICMP та можуть призвести до зависання комп’ютера (також перегляньте розділ DoS-атаки (відмова в обслуговуванні). |
• | Виявлення прихованих даних у протоколі ICMP – система перевіряє, чи для передачі даних використовується протокол ICMP. Багато способів скоєння зловмисних дій передбачає використання протоколу ICMP для подолання захисту персональним брандмауером. |
Оновлену версію сторінки довідки див. у цій статті бази знань ESET.
|