Home article search

Options IDS et avancées dans les produits ESET sous Windows pour particuliers et affaires

Solution 

La section des options IDS et avancées vous permet de configurer des options de filtrage avancées pour détecter plusieurs types d’attaques et failles de sécurité qui peuvent être menées contre votre ordinateur. Dans certains cas, vous ne recevrez pas de notifications de menaces à propos des communications bloquées. Vous pouvez visionner le fichier du pare-feu pour voir toutes les tentatives de communications entrantes et sortantes bloquées dans la section OutilsPlus d'outils → Fichiers Journaux (à partir du menu déroulant, sélectionnez Pare-feu).

La disponibilité d’options spécifiques dans Configuration avancéeOptions IDS et avancées peut varier selon le type ou la version de votre produit ESET et du module Pare-feu, ainsi que de la version de votre système d’exploitation.

Pour accéder aux options IDS et avancées dans ESET Smart Security ou ESET Endpoint Security, appuyez sur la touche F5 de votre clavier, cliquez sur Pare-Feu et développez Avancé → Options IDS et avancées

ESS IDS and advanced options
Figure 1-1

Services Autorisés

  • Autoriser le partage de fichiers et d'imprimantes dans la zone de confiance – permet aux ordinateurs distants dans la Zone de confiance d’accéder à vos imprimantes et fichiers partagés.
  • Autoriser UPNP pour les services système dans la zone de confiance – permet des requêtes entrantes et sortantes des protocoles UPnP pour des services système. UPnP (Universal Plug and Play aussi appelé Découverte du Réseau Microsoft) est utilisé dans les systèmes d’exploitations Windows Vista et suivants.
  • Autoriser la communication RPC entrante dans la zone de confiance – permet des connexions TCP à partir d’une Zone de confiance autorisant l’accès aux services RPC/DCOM et MS RPC Portmapper. 
  • Autoriser le Bureau à distance dans la zone de confiance – permet les connexions via le Protocole de Remote Desktop (RDP) Microsoft et permet aux ordinateurs dans la Zone de confiance d’accéder à votre ordinateur en utilisant un programme qui utilise RDP (e.g. le programme Connexion RemoteApp).
  • Autoriser la journalisation dans les groupes de multidiffusion par l'entremise de IGMP – permet des flux IGMP et UDP multicast entrants/sortants, par exemple des flux vidéo générés par des applications basées sur le protocole IGMP (Internet Group Management Protocol).
  • Maintenir les connexions TCP inactives – Pour fonctionner, certaines applications requièrent que la connexion TCP qu’elles établissent soit maintenue même si la connexion TCP peut être inactive. Sélectionnez cette option pour éviter de mettre fin aux connexions TCP.
  • Autoriser la communication pour les connexions de pont – Sélectionnez cette option pour éviter de mettre fin aux connexions passerelles.
  • Autoriser une réponse aux requêtes ARP provenant d'une source hors de la zone de confiance – Sélectionnez cette option si vous voulez que le système réponde aux requêtes ARP avec des adresses IP qui ne proviennent pas de la Zone de confiance. ARP (Address Resolution Protocol) est utilisé par l’application réseau pour déterminer l’adresse Ethernet.
  • Autoriser les applications Metro – La communication des applications Windows Store qui s’exécutent dans l’environnement Metro est autorisée selon le manifeste d’applications Metro. Cette option outrepassera toutes les règles et exceptions pour les applications Metro sans tenir compte du fait que vous ayez sélectionné Mode interactif ou Mode basé sur des politiques dans le pare-feu personnel ESET..
  • Autoriser les connexions entrantes sur les partages admin dans le protocole SMB – Les partages d’administration (partages admin) sont les partages de réseau par défaut qui ont en commun des partitions de disque dur (C$, D$, …) dans le système conjointement avec le dossier système (ADMIN$). Désactiver la connexion aux partages admin devrait atténuer beaucoup de risques de sécurité. Par exemple, le ver Conficker réalise des attaques par dictionnaire dans le but de se connecter aux partages admin.

Autoriser la Communication RPC sur SMB

MSRPC est la réalisation de Microsoft du mécanisme DCE RPC. De plus, MSRPC peut utiliser des tubes nommés acheminés vers le protocole SMB (partage de fichier réseau) pour le transport (ncacn_np transport). Les services MSRPC fournissent des interfaces pour accéder et gérer un système Windows à distance. Au fil des dernières années, plusieurs failles de sécurité ont été découvertes et exploitées dans leur milieu naturel dans le système MSRPC de Windows (ver Conficker, ver Sasser, …). Désactivez la communication avec les services MSRPC dont vous n’avez pas
besoin de permettre pour atténuer beaucoup de risques de sécurité (tels que l’exécution de codes à distance ou des attaques de défaillance du service).

  • Autoriser les communications avec le service Security Account Manager – Cette interface (samr) est utilisée pour communiquer avec le sous-système SAM. SAM est un service protégé qui gère les utilisateurs et groupes dans Windows.
  • Autoriser les communications avec le service Local Security Authority – Cette interface (lsarpc) est utilisée pour communiquer avec le sous-système LSA (Local Security Authority) – un processus dans Windows (lsass.exe) qui est responsable du renforcement de la politique de sécurité du système.
  • Autoriser les communications avec le service Remote Registry – Cette interface (winreg) est utilisée pour communiquer avec le registre, soit localement soit à distance. Ceci permet aux utilisateurs à distance de modifier les paramètres du registre sur cet ordinateur.
  • Autoriser les communications avec le service Server – Cette interface (srvsvc) est utilisée pour gérer le service lanmanservice (appelé service du serveur), qui supporte le partage de tube nommé, d’imprimés et de fichiers sur le réseau pour cet ordinateur.
  • Autoriser les communications avec les autres services – Autorise la communication avec toutes les autres interfaces RPC Microsoft (telles que le service Spooler utilisé pour les imprimantes, ou le service Planificateur).

Détection d’intrusion

  • Détection d'attaque par empoisonnement ARP – Détection des attaques par empoisonnement ARP causées par une attaque de type « intermédiaire » ou détection de reniflage au commutateur réseau. ARP (Protocole de résolution d’adresse) est utilisé par une application ou un appareil réseau pour déterminer l’adresse Ethernet.
  • Détection d'attaque par empoisonnement DNS – Détection d’empoisonnement DNS - Réception d’une réponse fausse à une requête DNS (envoyé par l’attaquant) qui peut vous diriger vers des sites Internet malveillants ou faux. Les DNS (Systèmes de noms de domaine) sont des systèmes de base de données distribués qui transfèrent entre des noms de domaine adaptés à l’homme et des adresses IP numériques et permettent aux utilisateurs de se référer au site Internet simplement en utilisant son nom de domaine. Lisez davantage à propos de ce type d'attaque dans le glossaire.
  • Détection des attaques de balayage des portsTCP /UDP – Détecte les attaques du logiciel d’analyse de port – application conçue pour sonder un hôte pour ports ouverts en envoyant des requêtes
    clients à un éventail d’adresses de port, avec un objectif de trouver des ports actifs et d’exploiter la faille du service. Lisez davantage à propos de ce type d’attaque dans le glossaire glossaire.
  • Bloquer l'adresse dangereuse après la détection d'une attaque – Les adresses IP qui ont été détectées comme sources d’attaques sont ajoutées à la liste noire pour empêcher une connexion pendant un certain laps de temps.
  • Afficher une notification à la détection d'une attaque – TActive la notification dans la barre d’état système dans le coin en bas à droite de l’écran.

Contrôle des paquets

  • Refuser les anciens dialectes old SMB (non pris en charge) – Refuser une session SMB avec un ancien jargon SMB qui ne sont pas pris en charge par IDS. Les systèmes d’exploitation Windows modernes prennent en charge d’anciens jargons SMB en raison de la rétrocompatibilité avec d’anciens systèmes d’exploitation tels que Windows 95. L’attaquant peut négocier un ancien dialecte dans la session SMB dans le but d’éviter l’inspection du trafic. Refuser d’anciens jargons SMB si votre ordinateur n’a pas besoin de partager des fichiers (communication SMB en général) avec un ordinateur avec une version ancienne de Windows.
  • Refuser la sécurité SMB sans extensions de sécurité – La sécurité étendue peut être négociée durant la session de négociation SMB dans le but de fournir un mécanisme d’authentification plus sécurisé que l’authentification Challenge/Réponse de LAN Manager (gestionnaire de réseau local). Le système Gestionnaire de réseau local est considéré faible et son utilisation n’est pas recommandée.
  • Refuser l'ouverture de fichiers exécutables sur un serveur hors de la zone de confiance dans le protocole SMB – perd la connexion quand vous essayez d’ouvrir un fichier exécutable (.exe, .dll, …) à partir d’un dossier partagé sur le serveur qui n’appartient pas à la Zone de confiance dans le pare-feu personnel. Remarquez que copier des fichiers exécutables à partir de sources de confiance peut être légitime. D’autre part, cette détection peut diminuer les risques à partir d’une ouverture non désirée d’un fichier sur un serveur malveillant, par exemple causé en cliquant sur un utilisateur sur un lien d’un fichier exécutable partagé malveillant.
  • Refuser l'authentification NTLM dans le protocole SMB pour la connexion à un serveur dans la zone de confiance – Les protocoles qui utilisent des systèmes d’authentification NTLM (les deux versions) sont sujets à une attaque de renvoi d’identifiants (connu sous le nom d’attaque de relais SMB dans le cas du protocole SMB). Refuser l’authentification NTLM avec un serveur hors de la zone de confiance devrait diminuer les risques de renvois d’identifiants par un serveur malveillant hors de la Zone de confiance. De la même façon, il peut être également refusé une authentification NTLM avec des serveurs dans la Zone de confiance.
  • Vérifier l'état de la connexion TCP – contrôle pour voir si tous les paquets TCP appartiennent à la connexion existante. Si un paquet n’existe pas dans une connexion, il sera abandonné.
  • Détection de la surcharge du protocole TCP – Le principe de cette méthode implique d’exposer l’ordinateur/serveur aux requêtes multiples – voir également DoS (Refus d’attaques de service).
  • Contrôle des messages par protocole ICMP – empêche les attaques qui exploitent les faiblesses du protocole ICMP. En lire davantage sur ce type d’attaque dans le glossary.
  • Données cachées dans la détection du protocole ICMP – contrôle pour voir si le protocole ICMP est utilisé pour un transfert de données. De nombreuses techniques malveillantes utilisent le protocole ICMP pour contourner le pare-feu.

Dépannage

  • Consigne toutes les connexions bloquées – Enregistre toutes les connexions refusées au registre.
  • Consigne toutes les attaques de ver entrantes bloquées – Consigne toutes les tentatives par des vers d’entrer dans le système.
  • Active la journalisation PCAP avancée –Consigne toutes les communications réseau pour des besoins de dépannage. Un avertissement pop-up notifiera l’utilisateur de la journalisation. Les fichiers journaux peuvent être trouvés dans :
    C:\ProgramData\ESET\ESET Smart Security\Diagnostics\ sur Vista et les versions plus récentes de Windows ou
    C:\Documents and Settings\All Users\... sur des versions plus anciennes de Windows.


Was this information helpful?