HIPS – система запобігання вторгненням
Зміни до параметрів HIPS має вносити лише досвідчений користувач. Оскільки помилка в налаштуваннях може призвести до нестабільності системи. |
Система виявлення вторгнень (HIPS) захищає комп’ютер від шкідливих програм і небажаної активності, що негативно впливає на його роботу. Система HIPS використовує розширений поведінковий аналіз і можливості системи виявлення на основі мережного фільтра для стеження за запущеними процесами, файлами та розділами реєстру. Система HIPS працює окремо від захисту файлової системи в режимі реального часу та не є брандмауером: вона лише відстежує процеси, запущені в операційній системі.
Щоб налаштувати параметри HIPS, виберіть пункти Додаткові параметри > Модулі захисту > HIPS > Система запобігання вторгненням. Інформація про стан системи HIPS (увімкнуто чи вимкнуто) відображається в головному вікні програми ESET Endpoint Antivirus (розділ Параметри > Комп'ютер).
Система запобігання вторгненням (HIPS)
Увімкнути HIPS: систему запобігання вторгненням (HIPS) увімкнено за замовчуванням у ESET Endpoint Antivirus. Вимкнення HIPS призведе до деактивації решти функцій HIPS, зокрема функції «Захист від експлойтів».
Драйвери, які дозволено завжди завантажувати: виберіть драйвери, які можна завантажувати в усіх режимах фільтрації, якщо їх не блокує правило користувача.
Увімкнути розширений сканер пам’яті: працює разом із засобом захисту від експлойтів. Він посилює захист від зловмисного ПЗ, призначеного для обходу захисних продуктів за допомогою обфускації або шифрування. Удосконалений сканер пам’яті ввімкнено за замовчуванням. Докладніше про цей тип захисту див. в глосарії.
Увімкнути захист від експлойтів: служить для захисту програм, які зазвичай використовуються для зараження системи, зокрема веб-браузерів, засобів читання PDF, клієнтів електронної пошти й компонентів MS Office. Захист від експлойтів увімкнуто за замовчуванням. Докладніше про цей тип захисту див. в глосарії.
Режим фільтрації може виконуватися в одному з таких режимів:
Опис |
|
---|---|
Автоматичний режим |
Операції ввімкнено (окрім заблокованих попередньо визначеними правилами, які захищають систему). |
Інтелектуальний режим |
Користувач отримуватиме сповіщення лише про дуже підозрілі події. |
Інтерактивний режим |
Користувач має підтверджувати виконання операцій. |
Режим на основі положень політики |
Блокує всі операції, які не визначені певним правилом, що дозволяє їх. |
Режим навчання |
Операції ввімкнено, а після кожної операції створюється правило. Правила, створені в цьому режимі, можна переглядати в редакторі Правила HIPS, проте їх пріоритет нижчий за пріоритет правил, створених уручну або в автоматичному режимі. Якщо в розкривному меню Режим фільтрації вибрати Режим навчання, стане доступним налаштування Режим навчання стане неактивним о. Виберіть тривалість використання в режимі навчання (максимум — 14 днів). Після завершення зазначеного періоду відобразиться запит на зміну правил, створених системою HIPS у режимі навчання. Можна також вибрати інший режим фільтрації або відкласти рішення й користуватися режимом навчання далі. |
Установлено після виходу з режиму навчання: укажіть режим фільтрації, який застосовуватиметься після завершення роботи в режимі навчання. Після завершення строку дії зміна режиму фільтрації HIPS за допомогою опції Запитувати користувача потребуватиме наявності прав адміністратора.
Система HIPS контролює події в операційній системі та реагує на них відповідно до правил, подібних до тих, які використовує брандмауер. Щоб відкрити редактор правил HIPS, натисніть Змінити біля елемента Правила. У вікні правил HIPS можна вибирати, додавати, змінювати й вилучати правила. Докладніше про створення правил і операції HIPS див. в розділі Змінення правила HIPS.
Запис усіх заблокованих дій: усі заблоковані операції буде записано в журнал HIPS. Використовуйте цю функцію лише для вирішення проблеми або за запитом служби підтримки ESET, оскільки вона може створювати великий файл журналу й сповільнювати роботу комп’ютера.
Повідомляти, коли в автоматично виконувані програми вносяться зміни: на робочому столі відображатимуться сповіщення щоразу, коли програма додається до списку завантажуваних під час запуску системи або видаляється з нього.
Самозахист
Увімкнути самозахист: ESET Endpoint Antivirus використовує вбудовану технологію самозахисту (складова HIPS), яка не дозволяє шкідливому програмному забезпеченню пошкоджувати або відключати антивірусні та антишпигунські модулі. Система самозахисту захищає критично важливі процеси системи та програми ESET, розділи реєстру та файли від маніпуляцій. Інстальований ESET Management Agent також захищено.
Увімкнути захищену службу: вмикає захист для ESET Service (ekrn.exe). Якщо цей параметр увімкнено, ця служба запускається як захищений процес Windows, забезпечуючи захист від атак із боку шкідливого програмного забезпечення. Цей параметр доступний у Windows 8.1 і Windows 10.
Глибока перевірка поведінки
Увімкнути глибоку перевірку поведінки: це ще один засіб захисту, який включено до системи HIPS. Це розширення HIPS аналізує поведінку всіх програм, запущених на комп’ютері, та попереджає вас про підозрілу поведінку процесу.
У розділі Виключення HIPS із глибокої перевірки поведінки можна виключити процеси з перевірки. Щоб система сканувала всі процеси на наявність загроз, рекомендуємо створювати виключення лише за крайньої потреби.
Захист від програм-вимагачів
Увімкнути захист від програм-вимагачів: це ще один засіб захисту, який включено до системи HIPS. Щоб такий тип захисту працював, потрібно мати систему перевірки репутації ESET LiveGrid®. Докладніше про цей тип захисту можна прочитати тут.
Увімкнути Intel® Threat Detection Technology: виявляти атаки з боку програм-вимагачів завдяки використанню унікальної телеметрії ЦП Intel, яка дає змогу підвищити ефективність виявлення, знизити кількість помилкових спрацювань, а також покращити візуальне подання для виявлення більш прихованих і ретельно спланованих способів проникнення. Перегляньте підтримувані процесори.
Увімкнути режим аудиту захисту від програм-вимагачів: жоден об’єкт, виявлений модулем "Захист від програм-вимагачів", не блокуватимуться автоматично. Натомість усі ці об’єкти заноситимуться до журналу з попередженням і надсилатимуться на консоль управління з позначкою "AUDIT MODE (РЕЖИМ АУДИТУ)". Адміністратор може виключити такий об’єкт, щоб більше не виявляти його, або залишити його активним. В останньому разі після завершення аудиту об’єкт буде заблоковано й видалено. Увімкнення/вимкнення режиму аудиту також записується в журнал ESET Endpoint Antivirus. Цей параметр доступний тільки в редакторі конфігурації ESET PROTECT On-Prem.
Відновлення файлів після атак програм-вимагачівЦю функцію ввімкнено за замовчуванням. Вона покращує захист від програм-вимагачів, виконуючи резервне копіювання документів і зрештою відновлюючи зашифровані файли після виявлення.
Список виключених папок: можна виключити певні папки з резервного копіювання.
Список типів захищених файлів: можна додати типи файлів або відредагувати наявний список типів файлів, які зазвичай захищаються й відстежуються.
Коли ви ініціюєте процес резервного копіювання, система перевіряє й запускає його лише на жорсткому диску, відформатованому в NTFS. |
Коли створюється резервна копія, система копіює файли з диска, на якому інстальовано ESET Endpoint Antivirus, на резервний диск. |