ESET 联机帮助

选择主题

HIPS – 主机入侵防御系统


warning

对 HIPS 设置的更改仅应由有经验的用户进行。HIPS 设置的错误配置可能会导致系统不稳定。

基于主机的入侵防御系统 (HIPS) 可保护您的系统,以免恶意软件和任何不受欢迎的活动试图对您的计算机产生不利影响。HIPS 利用高级行为分析并配合网络过滤的检测功能来监视正在运行的进程、文件和注册表项。HIPS 独立于文件系统实时防护,并且不是防火墙;它仅监视在操作系统中运行的进程。

可以在高级设置 > 检测引擎 > HIPS > HIPS 中,配置 HIPS 设置。HIPS 状态(已启用/已禁用)显示在 ESET NOD32 Antivirus 的主程序窗口 > 设置 > 计算机保护中。

CONFIG_HIPS

主机入侵防御系统

启用 HIPS - 在 ESET NOD32 Antivirus 中,默认启用 HIPS。关闭 HIPS 会禁用其余 HIPS 功能(如漏洞利用阻止程序)。

启用自我防御 - ESET NOD32 Antivirus 使用内置的自我防御技术作为 HIPS 的一部分,来防止恶意软件损坏或禁用病毒和间谍软件防护。自我保护可保护关键系统及 ESET 的进程、注册表项和文件免于遭篡改。

启用受保护的服务 - 针对 ESET 服务 (ekrn.exe) 启用防护。如果启用,则服务会作为受保护的 Windows 进程启动,以抵御恶意软件的攻击。

启用高级内存扫描程序 - 与漏洞利用阻止程序结合使用以增强对恶意软件的防范,后者旨在通过迷惑或加密方法来逃过反恶意软件产品的检测。默认情况下,启用高级内存扫描程序。请阅读词汇表中关于此类防护的更多信息。

启用漏洞利用阻止程序 - 旨在强化那些经常被漏洞利用的应用程序类型,例如 Web 浏览器、PDF 阅读器、电子邮件客户端和 MS Office 组件。默认启用漏洞利用阻止程序。请阅读词汇表中有关此类防护的更多信息。

深度行为检测

启用深度行为检测 – 另一层防护,起到部分 HIPS 功能的作用。此 HIPS 的扩展会分析计算机上所有正在运行的程序的行为,并在进程的行为可疑时发出警告。

从深度行为检测的 HIPS 排除可将进程排除在分析之外。若要确保扫描所有进程以查找可能的威胁,我们建议仅在绝对必要时才创建排除。

勒索软件防护

启用勒索软件防护是作为 HIPS 功能的一部分工作的另一层保护。必须启用 ESET LiveGrid® 信誉系统才能使勒索软件防护工作。请阅读有关此类防护的更多信息

启用 Intel® Threat Detection Technology - 利用独特的 Intel CPU 遥测技术来帮助检测勒索软件攻击,以提高检测效率、降低误报警报以及扩展可见性来捕获高级规避技术。查看支持的处理器

HIPS 设置

可以使用以下模式之一执行过滤模式

过滤模式

说明

自动模式

启用操作(除了保护系统的预定义规则所阻止的操作)。

智能模式

仅通知用户极为可疑的事件。

交互模式

将提示用户确认操作。

基于策略的模式

阻止所有未由允许它们的特定规则定义的操作。

学习模式

启用操作,并在每次操作后创建规则。可在 HIPS 规则编辑器中查看在此模式下创建的规则,但其优先级低于手动创建的规则或在自动模式下创建的规则的优先级。当从过滤模式下拉菜单中选择学习模式后,学习模式结束时间设置将变为可用。选择要采用学习模式的时间范围,最长持续时间为 14 天。当指定的持续时间超过后,将会提示您编辑由 HIPS 在学习模式下所创建的规则。还可以选择其他过滤模式,或推迟决定并继续使用学习模式。

学习模式到期之后设置的模式 - 在学习模式到期后选择将使用的过滤模式。过期后,询问用户选项需要管理权限来执行对 HIPS 过滤模式的更改。

HIPS 系统监控操作系统内的事件,并根据规则(类似于防火墙使用的规则)相应地对事件作出反应。单击规则旁边的编辑以打开 HIPS 规则编辑器。在 HIPS 规则窗口中,可以选择、添加、编辑或删除规则。有关规则创建和 HIPS 操作的更多信息,可以在编辑 HIPS 规则中找到。