HIPS: Sistema de prevención de intrusiones del host
Solo debe modificar la configuración de HIPS si es un usuario experimentado. Una configuración incorrecta de los parámetros de HIPS puede provocar inestabilidad en el sistema. |
El Sistema de prevención de intrusiones del host (HIPS) protege el sistema frente a código malicioso o cualquier actividad no deseada que intente menoscabar la seguridad del ordenador. Este sistema combina el análisis avanzado del comportamiento con funciones de detección del filtro de red para controlar los procesos, archivos y claves de registro. HIPS es diferente de la protección del sistema de archivos en tiempo real y no es un cortafuegos; solo supervisa los procesos que se ejecutan dentro del sistema operativo.
Puede configurar los ajustes del HIPS en Configuración avanzada > Protecciones > HIPS > Sistema de prevención de intrusiones del host. El estado de HIPS (activado/desactivado) se muestra en la ventana principal de ESET Endpoint Security, dentro de Configuración > Ordenador.
Sistema de prevención de intrusiones del host (HIPS)
Activar HIPS: HIPS está activado de forma predeterminada en ESET Endpoint Security. Si desactiva HIPS, se desactivarán las demás características de HIPS, como Bloqueador de exploits.
Controladores con carga siempre autorizada: los controladores seleccionados pueden cargarse siempre sea cual sea el modo de filtrado configurado, a menos que la regla del usuario los bloquee de forma explícita.
Activar análisis de memoria avanzado: funciona en combinación con Bloqueador de exploits para reforzar la protección contra malware diseñado para evitar su detección mediante productos antimalware gracias al uso de ofuscación o cifrado. El análisis avanzado de memoria está activado de forma predeterminada. Puede obtener más información sobre este tipo de protección en el glosario.
Activar bloqueo de exploits: se ha diseñado para fortalecer los tipos de aplicaciones que sufren más ataques, como navegadores, lectores de PDF, clientes de correo electrónico y componentes de MS Office. El bloqueador de exploits está activado de forma predeterminada. Puede obtener más información sobre este tipo de protección en el glosario.
El Modo de filtrado se puede realizar en uno de los siguientes modos:
Descripción |
|
---|---|
Modo automático |
Las operaciones están activadas, con la excepción de aquellas bloqueadas mediante reglas predefinidas que protegen el sistema. |
Modo inteligente |
Solo se informará al usuario de los sucesos muy sospechosos. |
Modo interactivo |
El usuario debe confirmar las operaciones. |
Modo basado en reglas |
Bloquea todas las operaciones no definidas por una regla específica que las permita. |
Modo de aprendizaje |
Las operaciones están activadas y se crea una regla después de cada operación. Las reglas creadas en este modo se pueden ver en el Editor de reglas del HIPS, pero su prioridad es inferior a la de las reglas creadas manualmente o en el modo automático. Si selecciona el Modo de aprendizaje en el menú desplegable Modo de filtrado, el ajuste El modo de aprendizaje finalizará a las estará disponible. Seleccione el periodo de tiempo durante el que desea activar el modo de aprendizaje; la duración máxima es de 14 días. Cuando transcurra la duración especificada se le pedirá que modifique las reglas creadas por el HIPS mientras estaba en modo de aprendizaje. También puede elegir un modo de filtrado distinto o posponer la decisión y seguir usando el modo de aprendizaje. |
Modo establecido tras conocer la caducidad del modo: seleccione el modo de filtrado que se utilizará cuando caduque el modo de aprendizaje. Tras el vencimiento, la opción Preguntar al usuario requiere privilegios administrativos para realizar un cambio en el modo de filtrado de HIPS.
El sistema HIPS supervisa los sucesos del sistema operativo y reacciona en consecuencia basándose en reglas similares a las que utiliza el cortafuegos. Haga clic en Editar junto a Reglas para abrir el editor de reglas de HIPS. En la ventana de reglas de HIPS puede seleccionar, agregar, editar o quitar reglas. Puede obtener más información sobre la creación de reglas y las operaciones de HIPS en Editar una regla de HIPS.
Registrar todas las operaciones bloqueadas: las operaciones bloqueadas se escribirán en el registro de HIPS. Utilice esta función solo para resolver problemas o cuando el equipo de soporte técnico de ESET lo solicite, ya que puede generar un archivo de registro muy grande y ralentizar su ordenador.
Notificar cuando se produzcan cambios en las aplicaciones de inicio: muestra una notificación en el escritorio cada vez que se agrega o se elimina una aplicación del inicio del sistema.
Autodefensa
Activar la Autodefensa: ESET Endpoint Security utiliza la tecnología de Autodefensa integrada como parte del HIPS para impedir que software malicioso dañe o desactive su protección antivirus y antiespía. La autodefensa evita la manipulación de procesos, claves de registro y archivos cruciales del sistema y de ESET. ESET Management Agent también se protege cuando se instala.
Activar servicio protegido: activa la protección para ESET Service (ekrn.exe). Cuando está activado, el servicio se inicia como un proceso de Windows protegido para defenderle de ataques de malware. Esta opción está disponible en Windows 8.1 y Windows 10.
Análisis profundo de inspección de comportamiento
Habilitar Análisis profundo de inspección de comportamiento: es otra capa de protección que funciona como parte de la función HIPS. Esta extensión del HIPS analiza el comportamiento de todos los programas que se ejecutan en el ordenador y le advierte si el comportamiento del proceso es malicioso.
Las Exclusiones del HIPS del Análisis profundo de inspección de comportamiento le permiten excluir procesos del análisis. Para garantizar que se analicen todos los procesos en busca de posibles amenazas, le recomendamos que solo cree exclusiones cuando sea absolutamente necesario.
Protección contra Ransomware
Activar protección contra ransomware: es otra capa de protección que funciona como parte de la característica HIPS. Para que la protección contra ransomware funcione, debe tener activado el sistema de reputación ESET LiveGrid®. Más información sobre este tipo de protección.
Activar Intel® Threat Detection Technology: ayuda a detectar ataques de ransomware mediante la telemetría de la CPU Intel exclusiva para aumentar la eficacia de detección, reducir las alertas de falsos positivos y ampliar la visibilidad para capturar técnicas de evasión avanzadas. Consulte los procesadores compatibles.
Activar el modo de auditoría Protección contra ransomware: todo lo que detecta la protección contra ransomware no se bloquea automáticamente, sino que se registra con una advertencia de severidad y se envía a la consola de administración con el indicador "MODO DE AUDITORÍA". El administrador puede decidir excluir dicha detección para evitar una posterior detección, o mantenerla activa, lo que significa que una vez que finalice el modo de auditoría, esta se bloqueará o eliminará. La activación o desactivación del modo de auditoría también se registrará en ESET Endpoint Security. Esta opción está disponible solo en el editor de configuración de políticas de ESET PROTECT On-Prem.
Restaurar archivos después de un ataque de ransomware: esta función está activada de forma predeterminada. Mejora la función Protección contra ransomware al realizar una copia de seguridad de los documentos y, finalmente, restaurar los archivos cifrados después de la detección.
Lista de carpetas excluidas: puede excluir carpetas específicas para que no se realice una copia de seguridad.
Lista de tipos de archivos protegidos: puede agregar los tipos de archivo o editar la lista existente de tipos de archivos que se suelen proteger y supervisar.
Al iniciar el proceso de copia de seguridad, el sistema verifica e inicia el proceso solo en el disco duro con formato NTFS. |
Cuando se crea una copia de seguridad, el sistema copia los archivos de la unidad donde se ha instalado ESET Endpoint Security a la unidad de copia de seguridad. |