Protocole MS-RPC

Afin de sécuriser le trafic Microsoft RPC, basé sur le standard DCE/RPC, ce module propose d’autoriser ou non chaque flux utilisant ce protocole, détaillé par service Microsoft (Microsoft Exchange, par exemple).

Détecter et inspecter automatiquement le protocole

Si le protocole est activé, l'inspection sera automatiquement appliquée à la découverte d'un trafic correspondant, autorisé par le filtrage.

Microsoft Appel de procédure à distance (RPC)

Onglet "Services MS-RPC prédéfinis"

Le protocole DCE/RPC permet le lancement des procédures hébergées à distance. Ces services dits MS-RPC, prédéfinis pour les principales Applications Microsoft sont par défaut autorisés.

Ces services classés par Applications peuvent être autorisés/interdits individuellement ou par groupe en sélectionnant plusieurs service à l’aide de la touche Shift et à l’aide des boutons proposés dans le menu Action. Le bouton "Modifier toutes les opérations" permet d’assigner l’action à l’ensemble des services. Les boutons "Interdire par groupe de services" et "Autoriser par groupe de services" permettent de modifier l'action affectée à un groupe complet de services. Les services interdits lèveront l’alarme « Service DCERPC interdit».

Une info-bulle affiche l’UUID (Universal Unique Identifier) de chaque service au survol de celui-ci.

Ces principales Applications Microsoft ayant des services MS-RPC prédéfinis, sont les suivants :

  • Distributed File System Replication.
  • Microsoft Active Directory.
  • Microsoft DCOM.
  • Microsoft Distributed Transaction Coordinator service.
  • Microsoft Exchange.
  • Microsoft File Replication service.
  • Microsoft IIS.
  • Microsoft Inter-site Messaging.
  • Microsoft Messenger.
  • Microsoft Netlogon.
  • Microsoft RPC services.
  • Microsoft Scheduler.

Onglet "Services MS-RPC personnalisés"

Cette grille vous propose de renseigner l’Identifiant universel unique (UUID) de services MS-RPC qui ne seraient pas renseignés dans la liste des services MS-RPC prédéfinis. De la même manière que pour le premier onglet, vous pouvez assigner une action à un service, à un ensemble de services (boutons "Interdire par groupe de services" et "Autoriser par groupe de services") ou à tous les services renseignés (bouton "Modifier toutes les opérations").

Support

Désactiver la prévention d’intrusion

En cochant cette option, l'analyse du protocole MS-RPC sera désactivée et le trafic sera autorisé si la politique de filtrage le permet.

Tracer chaque requête MS-RPC

Active ou désactive le traçage des requêtes MS-RPC..

Détecter et inspecter automatiquement le protocole Si le protocole est activé, l'inspection sera automatiquement appliquée à la découverte d'un trafic correspondant, autorisé par le filtrage.