Система предотвращения вторжений на узел (HIPS)

MONITOR_RED ВНИМАНИЕ!

Изменения в параметры системы HIPS должны вносить только опытные пользователи. Неправильная настройка этих параметров может привести к нестабильной работе системы.

Система предотвращения вторжений на узел (HIPS) защищает от вредоносных программ и другой нежелательной активности, которые пытаются отрицательно повлиять на безопасность компьютера. В системе предотвращения вторжений на узел используется расширенный анализ поведения в сочетании с возможностями сетевой фильтрации по обнаружению, благодаря чему отслеживаются запущенные процессы, файлы и разделы реестра. Система предотвращения вторжений на узел отличается от защиты файловой системы в режиме реального времени и не является файерволом; она только отслеживает процессы, запущенные в операционной системе.

Параметры HIPS доступны в разделе Расширенные параметры (F5) > Модуль обнаружения > Система HIPS > Основная информация. Состояние HIPS (включено/отключено) отображается в главном окне программы ESET NOD32 Antivirus, в разделе Настройка > Защита компьютера.

CONFIG_HIPS

В ESET NOD32 Antivirus используется встроенная в систему HIPS технология самозащиты, которая не позволяет вредоносным программам повредить или отключить защиту от вирусов и шпионских программ. Модуль самозащиты обеспечивает защиту самых важных процессов системы и программы ESET, разделов реестра и файлов от вмешательства.

Включить защищенную службу: включается защита на уровне ядра (Windows 8.1, 10).

Расширенный модуль сканирования памяти работает в сочетании с блокировщиком эксплойтов, чем обеспечивается усиленная защита от вредоносных программ, которые могут избегать обнаружения продуктами для защиты от вредоносных программ за счет использования умышленного запутывания или шифрования. Расширенный модуль сканирования памяти по умолчанию включен. Дополнительную информацию об этом типе защиты см. в глоссарии.

Блокировщик эксплойтов предназначен для защиты приложений, которые обычно уязвимы для эксплойтов, например браузеров, программ для чтения PDF-файлов, почтовых клиентов и компонентов MS Office. Блокировщик эксплойтов по умолчанию включен. Дополнительную информацию об этом типе защиты см. в глоссарии.

Защита от программ-шантажистов: это еще один уровень защиты, функционирующий как компонент системы HIPS. Для работы модуля защиты от программ-шантажистов необходимо, чтобы система репутации LiveGrid® была включена. Дополнительную информацию об этом типе защиты см. здесь.
 

Доступны четыре режима фильтрации.

Автоматический режим: включены все операции за исключением тех, которые заблокированы предварительно заданными правилами, защищающими компьютер.

Интеллектуальный режим: пользователь будет получать уведомления только об очень подозрительных событиях.

Интерактивный режим: пользователь будет получать запросы на подтверждение операций.

Режим на основе политики: операции блокируются.

Режим обучения: операции включены, и после каждой операции создается правило. Правила, создаваемые в таком режиме, можно просмотреть в редакторе правил, но их приоритет ниже, чем у правил, создаваемых вручную или в автоматическом режиме. Если в раскрывающемся списке режимов фильтрации HIPS выбран режим обучения, становится доступным параметр Режим обучения завершится. Выберите длительность использования режима обучения. Максимальная длительность — 14 дней. Когда указанный период завершится, вам будет предложено изменить правила, созданные системой HIPS в режиме обучения. Кроме того, можно выбрать другой режим фильтрации или отложить решение и продолжить использовать режим обучения.

Режим задан после завершения режима обучения: выберите режим фильтрации, который будет использоваться по окончании режима обучения.

Система предотвращения вторжений на узел отслеживает события в операционной системе и реагирует на них на основе правил, аналогичных правилам файервола. Нажмите кнопку Изменить, расположенную рядом с элементом «Правила», чтобы открыть окно управления правилами HIPS. В окне правил HIPS можно выбирать, добавлять, изменять и удалять правила.

В следующем примере будет показано, как ограничить нежелательное поведение приложений.

1.Присвойте правилу имя и выберите Блокировать в раскрывающемся меню Действие.

2.Активируйте переключатель Уведомить пользователя, чтобы уведомление отображалось при каждом применении правила.

3.Выберите хотя бы одну операцию, к которой будет применяться правило. В окне Исходные приложения выберите в раскрывающемся списке вариант Все приложения. Новое правило будет применяться ко всем приложениям, которые будут пытаться выполнить любое из выбранных действий по отношению к указанным приложениям.

4.Выберите Изменить состояние другого приложения (все операции описаны в справке по программе, которую можно открыть, нажав клавишу F1)..

5.Выберите в раскрывающемся списке вариант Определенные приложения и добавьте одно или несколько приложений, которые нужно защитить.

6.Нажмите кнопку Готово, чтобы сохранить новое правило.

CONFIG_HIPS_RULES_EXAMPLE