Інтерактивна довідка ESET

Виберіть тему

Система виявлення вторгнень (HIPS)


warning

Зміни до параметрів HIPS має вносити лише досвідчений користувач. Оскільки помилка в налаштуваннях може призвести до нестабільності системи.

Система виявлення вторгнень (HIPS) захищає комп’ютер від шкідливих програм і небажаної активності, що негативно впливає на його роботу. Система HIPS використовує розширений поведінковий аналіз і можливості системи виявлення на основі мережного фільтра для стеження за запущеними процесами, файлами та розділами реєстру. Система HIPS працює окремо від захисту файлової системи в режимі реального часу та не є брандмауером: вона лише відстежує процеси, запущені в операційній системі.

Параметри HIPS можна знайти в меню Додаткові параметри (F5) > Ядро виявлення > HIPS > Базові. Інформація про стан системи HIPS (увімкнута/вимкнута) відображається в головному вікні програми ESET Endpoint Antivirus (розділ Параметри > Комп’ютер).

CONFIG_HIPS

Основна

Увімкнути HIPS: систему запобігання вторгненням (HIPS) увімкнено за замовчуванням у ESET Endpoint Antivirus. Вимкнення HIPS призведе до деактивації решти функцій HIPS, зокрема функції «Захист від експлойтів».

Увімкнути самозахист: ESET Endpoint Antivirus використовує вбудовану технологію самозахисту (складова HIPS), яка не дозволяє шкідливому програмному забезпеченню пошкоджувати або відключати антивірусні та антишпигунські модулі. Система самозахисту захищає критично важливі процеси системи та програми ESET, розділи реєстру та файли від маніпуляцій. Інстальований ESET Management Agent також захищено.

Увімкнути захищену службу: вмикає захист для ESET Service (ekrn.exe). Якщо цей параметр увімкнено, ця служба запускається як захищений процес Windows, забезпечуючи захист від атак із боку шкідливого програмного забезпечення. Цей параметр доступний у Windows 8.1 і Windows 10.

Увімкнути розширений сканер пам’яті: працює разом із засобом захисту від експлойтів. Він посилює захист від зловмисного ПЗ, призначеного для обходу захисних продуктів за допомогою обфускації або шифрування. Удосконалений сканер пам’яті ввімкнено за замовчуванням. Докладніше про цей тип захисту див. в глосарії.

Увімкнути захист від експлойтів: служить для захисту програм, які зазвичай використовуються для зараження системи, зокрема веб-браузерів, засобів читання PDF, клієнтів електронної пошти й компонентів MS Office. Захист від експлойтів увімкнуто за замовчуванням. Докладніше про цей тип захисту див. в глосарії.

Глибока перевірка поведінки

Увімкнути глибоку перевірку поведінки: це ще один засіб захисту, який включено до системи HIPS. Це розширення HIPS аналізує поведінку всіх програм, запущених на комп’ютері, та попереджає вас про підозрілу поведінку процесу.

У розділі Виключення HIPS із глибокої перевірки поведінки можна виключити процеси з перевірки. Щоб система сканувала всі процеси на наявність загроз, рекомендуємо створювати виключення лише за крайньої потреби.

Захист від програм, які вимагають викуп

Увімкнути захист від програм-вимагачів: це ще один засіб захисту, який включено до системи HIPS. Щоб такий тип захисту працював, потрібно мати систему перевірки репутації ESET LiveGrid®. Докладніше про цей тип захисту можна прочитати тут.

Увімкнути Intel® Threat Detection Technology: виявляти атаки з боку програм-вимагачів завдяки використанню унікальної телеметрії ЦП Intel, яка дає змогу підвищити ефективність виявлення, знизити кількість помилкових спрацювань, а також покращити візуальне подання для виявлення більш прихованих і ретельно спланованих способів проникнення. Перегляньте підтримувані процесори.

Увімкнути режим аудиту: жоден об’єкт, виявлений модулем "Захист від програм-вимагачів", не блокуватимуться автоматично. Натомість, усі ці об’єкти заноситимуться до журналу з попередженням і надсилатимуться на консоль керування з прапорцем "AUDIT MODE (РЕЖИМ АУДИТУ)". Адміністратор може виключити такий об’єкт, щоб більше не виявляти його, або залишити його активним. В останньому разі після завершення аудиту об’єкт буде заблоковано й видалено. Увімкнення/вимкнення режиму аудиту також записується в журнал ESET Endpoint Antivirus. Цей параметр доступний тільки в редакторі конфігурації ESET PROTECT.

Параметри системи HIPS

Режим фільтрації може виконуватися в одному з таких режимів:

Режим фільтрації

Опис

Автоматичний режим

операції ввімкнено (окрім заблокованих попередньо визначеними правилами, які захищають систему).

Інтелектуальний режим

користувач отримуватиме сповіщення лише про дуже підозрілі події.

Інтерактивний режим

користувач має підтверджувати виконання операцій.

Режим на основі положень політики

блокує всі операції, які не визначені певним правилом, що дозволяє їх.

Режим навчання

Операції ввімкнено, а після кожної операції створюється правило. Правила, створені в цьому режимі, можна переглядати в редакторі Правила HIPS, проте їх пріоритет нижчий за пріоритет правил, створених уручну або в автоматичному режимі. Якщо в розкривному меню Режим фільтрації вибрати Режим навчання, стане доступним налаштування Режим навчання стане неактивним о. Виберіть тривалість використання в режимі навчання (максимум — 14 днів). Після завершення зазначеного періоду відобразиться запит на зміну правил, створених системою HIPS у режимі навчання. Можна також вибрати інший режим фільтрації або відкласти рішення й користуватися режимом навчання далі.

Установлено після виходу з режиму навчання: укажіть режим фільтрації, який застосовуватиметься після завершення роботи в режимі навчання. Після завершення строку дії зміна режиму фільтрації HIPS за допомогою опції Запитувати користувача потребуватиме наявності прав адміністратора.

Система HIPS контролює події в операційній системі та реагує на них відповідно до правил, подібних до тих, які використовує брандмауер. Щоб відкрити редактор правил HIPS, натисніть Змінити біля елемента Правила. У вікні правил HIPS можна вибирати, додавати, змінювати й вилучати правила. Докладніше про створення правил і операції HIPS див. в розділі Змінення правила HIPS.