Protocole MS-RPC

Afin de sécuriser le trafic Microsoft RPC, basé sur le standard DCE/RPC, ce module propose d’autoriser ou non chaque flux utilisant ce protocole, détaillé par service Microsoft (Microsoft Exchange, par exemple).

Microsoft Appel de procédure à distance (RPC)

Onglet "Services MS-RPC prédéfinis"

Le protocole DCE/RPC permet le lancement des procédures hébergées à distance. Ces services dits MS-RPC, prédéfinis pour les principales Applications Microsoft sont par défaut autorisés.

Ces services classés par Applications peuvent être autorisés/interdits individuellement ou par groupe en sélectionnant plusieurs service à l’aide de la touche Shift et à l’aide des boutons proposés dans le menu Action. Le bouton "Modifier toutes les opérations" permet d’assigner l’action à l’ensemble des services. Les boutons "Interdire par groupe de services" et "Autoriser par groupe de services" permettent de modifier l'action affectée à un groupe complet de services. Les services interdits lèveront l’alarme « Service DCERPC interdit».

Une info-bulle affiche l’UUID (Universal Unique Identifier) de chaque service au survol de celui-ci.

Ces principales Applications Microsoft ayant des services MS-RPC prédéfinis, sont les suivants :

  • Distributed File System Replication.
  • Microsoft Active Directory.
  • Microsoft DCOM.
  • Microsoft Distributed Transaction Coordinator service.
  • Microsoft Exchange.
  • Microsoft File Replication service.
  • Microsoft IIS.
  • Microsoft Inter-site Messaging.
  • Microsoft Messenger.
  • Microsoft Netlogon.
  • Microsoft RPC services.
  • Microsoft Scheduler.

Onglet "Services MS-RPC personnalisés"

Cette grille vous propose de renseigner l’Identifiant universel unique (UUID) de services MS-RPC qui ne seraient pas renseignés dans la liste des services MS-RPC prédéfinis. De la même manière que pour le premier onglet, vous pouvez assigner une action à un service, à un ensemble de services (boutons "Interdire par groupe de services" et "Autoriser par groupe de services") ou à tous les services renseignés (bouton "Modifier toutes les opérations").

Support

Désactiver la prévention d’intrusion

En cochant cette option, l'analyse du protocole MS-RPC sera désactivée et le trafic sera autorisé si la politique de filtrage le permet.

Tracer chaque requête MS-RPC

Active ou désactive le traçage des requêtes MS-RPC..

Détecter et inspecter automatiquement le protocole Si le protocole est activé, l'inspection sera automatiquement appliquée à la découverte d'un trafic correspondant, autorisé par le filtrage.