HIPS (Host-based Intrusion Prevention System)


warning

Zmeny v nastaveniach systému HIPS odporúčame robiť len skúseným používateľom. Nesprávne nastavenia v sekcii HIPS môžu spôsobiť nestabilitu systému.

Host-based Intrusion Prevention System (HIPS) chráni pred malvérom a nechcenou aktivitou, ktorá môže negatívne pôsobiť na systém. Používa pokročilú analýzu správania, ktorá spolu s detekčnými schopnosťami sieťového filtra zabezpečuje efektívne sledovanie spustených procesov, súborov a záznamov v registroch, čo umožňuje aktívne blokovať takéto pokusy a predchádzať im. HIPS pracuje oddelene od firewallu a rezidentnej ochrany súborového systému, pričom sleduje len procesy spustené v rámci operačného systému.

Nastavenia systému HIPS sa nachádzajú v Rozšírených nastaveniach (F5) v časti Detekčné jadro > HIPS > Základné. Stav modulu HIPS (zapnutý/vypnutý) je zobrazený v hlavnom okne programu ESET Endpoint Antivirus v časti Nastavenia > Počítač.

CONFIG_HIPS

Základné

Zapnúť HIPS – HIPS je v ESET Endpoint Antivirus predvolene zapnutý. Vypnutie systému HIPS spôsobí vypnutie aj jeho funkcií, ako napr. Exploit Blocker.

Zapnúť Self-Defense – ESET Endpoint Antivirus má ako súčasť systému HIPS vstavanú technológiu Self-Defense, ktorej cieľom je zabrániť škodlivému softvéru narušiť alebo deaktivovať antivírusovú a antispyvérovú ochranu. Self-Defense chráni dôležité procesy v rámci systému a programu ESET, súbory a kľúče databázy Registry pred neoprávnenými zmenami. Chránený je taktiež ESET Management Agent v prípade, že je nainštalovaný.

Zapnúť ako chránenú službu – povoľuje ochranu pre službu ESET (ekrn.exe). Ak je táto možnosť povolená, služba je spustená ako zabezpečený proces systému Windows s cieľom poskytnúť ochranu pred malvérom. Táto možnosť je dostupná na systémoch Windows 8.1 a Windows 10.

Zapnúť pokročilú kontrolu pamäte – spolu s funkciou Exploit Blocker poskytuje lepšiu ochranu pred malvérom, ktorý bol navrhnutý tak, aby maskovaním alebo šifrovaním obišiel detekciu bezpečnostných produktov. Pokročilá kontrola pamäte je v predvolených nastaveniach povolená. Viac o tomto type ochrany sa môžete dočítať v slovníku pojmov.

Exploit Blocker – je navrhnutý na ochranu najčastejšie zneužívaných aplikácií, ako napríklad webových prehliadačov, softvéru na zobrazovanie PDF dokumentov, e-mailových klientov a komponentov MS Office. Exploit Blocker je v predvolených nastaveniach zapnutý. Viac o tomto type ochrany sa dočítate v slovníku pojmov.

Hĺbková kontrola správania

Zapnúť hĺbkovú kontrolu správania – dodatočná vrstva ochrany, ktorá funguje ako súčasť funkcie HIPS. Jej úlohou je analyzovať správanie všetkých procesov spustených na počítači a upozorniť vás na zachytené škodlivé správanie.

HIPS vylúčenia z hĺbkovej kontroly správania vám umožňujú nastaviť procesy, ktoré nemajú byť podrobené analýze. Aby bola zaručená kontrola všetkých procesov na prítomnosť hrozieb, neodporúčame vylúčenia vytvárať, ak to nie je naozaj nevyhnutné.

Ransomware Shield

Zapnúť Ransomware Shield – dodatočná vrstva ochrany, ktorá funguje ako súčasť funkcie HIPS. Aby mohol Ransomware Shield fungovať, je potrebné mať povolený systém ESET LiveGrid®. Viac o tomto type ochrany sa môžete dočítať tu.

Povoliť režim auditu – Ransomware Shield neblokuje automaticky všetky nájdené detekcie, ale dochádza k ich zapísaniu do protokolu formou upozornenia a následnému odoslaniu do konzoly na správu s príznakom „REŽIM AUDITU“. Správca môže buď vylúčiť takúto detekciu s cieľom predísť ďalšej detekcii, alebo ju ponechať aktívnu, čo znamená, že po skončení režimu auditu bude zablokovaná a odstránená. Zapnutie/vypnutie režimu auditu sa zaznamená aj v ESET Endpoint Antivirus. Táto možnosť je k dispozícii len prostredníctvom editora určeného na konfiguráciu politík v nástroji ESET PROTECT alebo ESMC.

Nastavenia HIPS

Režim filtrovania umožňuje nastaviť filtrovanie do jedného z nasledujúcich režimov:

Režim filtrovania

Popis

Automatický režim

Operácie budú povolené s výnimkou takých, ktoré sú blokované prednastavenými pravidlami chrániacimi systém.

Smart režim

Používateľ bude upozornený len v prípade skutočne podozrivých udalostí v systéme.

Interaktívny režim

Používateľ bude vyzvaný na potvrdenie operácií.

Režim politík

Blokuje všetky operácie, ktoré nie sú definované konkrétnym pravidlom, ktoré ich povoľuje.

Učiaci sa režim

Operácie sú povolené a zároveň sa po každej operácii vytvorí pravidlo. Pravidlá vytvorené v tomto režime sú viditeľné v editore pravidiel HIPS, ale majú nižšiu prioritu ako pravidlá vytvorené manuálne alebo v automatickom režime. Keď z roletového menu Režim filtrovania vyberiete možnosť Učiaci sa režim, sprístupní sa nastavenie s popisom Učiaci sa režim skončí, ktoré vám umožňuje definovať dátum a čas ukončenia tohto režimu. Nastavte obdobie, počas ktorého bude zapnutý učiaci sa režim (maximálne 14 dní). Po uplynutí nastaveného časového obdobia budete vyzvaný na úpravu pravidiel, ktoré boli vytvorené počas učiaceho sa režimu. Môžete tiež zvoliť iný režim filtrovania alebo oddialiť svoje rozhodnutie a používať učiaci sa režim aj naďalej.

Režim, ktorý sa nastaví po skončení učiaceho sa režimu – vyberte režim filtrovania, ktorý bude aktivovaný po ukončení učiaceho sa režimu. Možnosť Spýtať sa používateľa vyžaduje oprávnenia správcu, ak chcete vykonávať zmeny režimu filtrovania HIPS.

Systém HIPS monitoruje udalosti vnútri operačného systému a reaguje na ne podľa pravidiel, ktoré sú štruktúrou podobné pravidlám firewallu. Kliknutím na Upraviť vedľa položky Pravidlá otvoríte editor pravidiel HIPS. V tomto okne môžete označiť, pridať, upraviť alebo odstrániť pravidlá. Viac informácií o vytváraní pravidiel a operáciách HIPS nájdete v kapitole Úprava pravidla HIPS.