HIPS
Les modifications apportées aux paramètres HIPS ne sont effectuées que par un utilisateur expérimenté. Une configuration incorrecte des paramètres HIPS peut en effet entraîner une instabilité du système. |
Le système HIPS (Host Intrusion Prevention System) protège votre système des logiciels malveillants et de toute activité non souhaitée qui pourrait avoir une incidence sur votre ordinateur. Il utilise l'analyse avancée des comportements, associée aux fonctionnalités de détection du filtre réseau qui surveille les processus en cours, les fichiers et les clés de registre. Le système HIPS diffère de la protection en temps réel du système de fichiers et ce n'est pas un pare-feu. Il surveille uniquement les processus en cours d'exécution au sein du système d'exploitation.
Vous pouvez configurer les paramètres HIPS dans Configurations avancées > Protections > HIPS > HIPS. L'état du système HIPS (activé/désactivé) est indiqué dans la fenêtre principale du programme ESET Endpoint Security > Configuration > Ordinateur.
HIPS
Activer HIPS – HIPS est activé par défaut dans ESET Endpoint Security. La désactivation de HIPS entraîne celle des autres fonctionnalités HIPS comme le bloqueur d'exploit.
Pilotes dont le chargement est toujours autorisé – Le chargement des pilotes sélectionnés est toujours autorisé, quel que soit le mode de filtrage configuré, excepté en cas de blocage explicite par une règle utilisateur.
Activer l'analyseur de mémoire avancé – Fonctionne avec le bloqueur d'exploit afin de renforcer la protection contre les logiciels malveillants qui ne sont pas détectés par les produits anti-logiciels malveillants grâce à l'obscurcissement ou au chiffrement. Le scanner de mémoire avancé est désactivé par défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire.
Activer le bloqueur d'exploit – Conçu pour renforcer les types d'applications connues pour être très vulnérables aux exploits (navigateurs, lecteurs de fichiers PDF, clients de messagerie et composants MS Office). Le bloqueur d'exploit est désactivé par défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire.
Le filtrage peut être effectué dans l'un des modes suivants :
Description |
|
---|---|
Mode automatique |
Les opérations sont autorisées, à l'exception de celles bloquées par des règles prédéfinies qui protègent votre système. |
Mode intelligent |
Mode intelligent – L'utilisateur n'est averti que lors d'événements très suspects. |
Mode interactif |
L'utilisateur est invité à confirmer les opérations. |
Mode basé sur des politiques |
Bloque toutes les opérations qui ne sont pas définies par une règle spécifique qui les autorise. |
Mode d'apprentissage |
Les opérations sont autorisées et une règle est créée après chaque opération. Les règles créées dans ce mode peuvent être affichées dans l'éditeur de règles HIPS, mais leur niveau de priorité est inférieur à celui des règles créées manuellement ou en mode automatique. Lorsque vous sélectionnez l'option Mode d'apprentissage dans le menu déroulant Mode de filtrage, le paramètre Le mode d'apprentissage prend fin le devient disponible. Sélectionnez la durée du mode d'apprentissage. La durée maximale est de 14 jours. Lorsque la durée spécifiée est arrivée à son terme, vous êtes invité à modifier les règles créées par HIPS en mode d'apprentissage. Vous pouvez également choisir un autre mode de filtrage ou continuer à utiliser le mode d'apprentissage. |
Mode défini après expiration du mode d'apprentissage – Sélectionnez le mode de filtrage qui sera utilisé après expiration du mode d'apprentissage. Après expiration, l'option Demander à l'utilisateur requiert des privilèges administratifs pour effectuer un changement au mode de filtrage HIPS.
Le système HIPS surveille les événements dans le système d'exploitation et réagit en fonction de règles qui sont semblables à celles utilisées par le pare-feu. Cliquez sur Modifier en regard de Règles pour ouvrir l'éditeur de règles HIPS. La fenêtre des règles HIPS permet de sélectionner, d'ajouter, de modifier ou de supprimer des règles. Vous trouverez plus de détails sur la création de règles et les opérations HIPS dans Modifier une règle HIPS.
Consigner toutes les opérations bloquées – Toutes les opérations bloquées sont inscrites dans le journal HIPS. Utilisez cette fonctionnalité uniquement lorsque l'assistance technique ESET vous le demande ou que vous résolvez des problèmes, car elle peut générer un fichier journal très volumineux et ralentir votre ordinateur.
Avertir en cas de changements dans les applications de démarrage – Affiche une notification sur le Bureau chaque fois qu'une application est ajoutée au démarrage du système ou en est supprimée.
Auto-défense
Activer l'auto-défense – ESET Endpoint Security utilise la technologie Auto-défense intégrée dans le cadre de la fonctionnalité HIPS pour empêcher les logiciels malveillants d'endommager ou de désactiver la protection antivirus et antispyware. La technologie Auto-défense protège le système, les processus, les clés de registre et les fichiers d'ESET contre toute modification. ESET Management Agent est également protégé lorsqu'il est installé.
Activer le service protégé – Active la protection pour le service ESET (ekrn.exe). Lorsque cette option est activée, le service est démarré en tant que processus Windows protégé pour empêcher toute attaque par des logiciels malveillants. Cette option est disponible dans Windows 8.1 et Windows 10.
Inspection comportementale approfondie
Activer l'inspection comportementale approfondie – autre couche de protection qui fonctionne dans le cadre de la fonctionnalité HIPS. Cette extension de HIPS analyse le comportement de tous les programmes en cours d'exécution sur l'ordinateur et vous averti si le comportement d'un processus est malveillant.
Les exclusions HIPS de l'inspection comportementale approfondie permettent d'exclure des processus de l'analyse. Pour que la détection des menaces éventuelles s'appliquent bien à tous les processus, il est recommandé de ne créer des exclusions que lorsque cela s'avère absolument nécessaire.
Bouclier anti-ransomwares
Activer le bouclier anti-ransomwares – Autre couche de protection qui fonctionne dans le cadre de la fonctionnalité HIPS. Pour qu'elle fonctionne, vous devez activer le système de réputation ESET LiveGrid®. Lire des informations supplémentaires sur ce type de protection.
Activer Intel® Threat Detection Technology : permet de détecter les attaques de ransomware en utilisant la télémétrie unique des processeurs Intel pour augmenter l'efficacité de la détection, réduire les alertes de faux positifs et étendre la visibilité afin de détecter les techniques d'évasion avancées. Consultez les processeurs pris en charge.
Activer le mode d'audit du bouclier anti-ransomwares – Tous les éléments détectés par le Bouclier anti-ransomwares ne sont pas automatiquement bloqués. Ils sont consignés avec une gravité d'avertissement et envoyés à la console de gestion avec l'indicateur « MODE AUDIT ». L'administrateur peut choisir d'exclure ce type de détection pour empêcher toute détection ultérieure ou la garder active (ce qui signifie qu'une fois le mode d'audit terminé, elle sera bloquée et supprimée). L'activation et la désactivation du mode d'audit seront également consignées dans ESET Endpoint Security. Cette option est uniquement disponible dans ESET PROTECT On-Prem l'éditeur de configuration de politique.
Restaurer des fichiers après une attaque de ransomwareCette fonctionnalité est activée par défaut. Elle améliore la protection du Bouclier anti-ransomwares en effectuant une sauvegarde des documents et en restaurant éventuellement les fichiers chiffrés après détection.
Liste des dossiers exclus – Vous pouvez exclure des dossiers spécifiques de la sauvegarde.
Liste des types de fichiers protégés – Vous pouvez ajouter les types de fichiers ou modifier la liste existante des types de fichiers généralement sécurisés et surveillés.
Lorsque vous lancez le processus de sauvegarde, le système vérifie et démarre le processus sur le disque dur au format NTFS uniquement. |
Lorsqu'une sauvegarde est créée, le système copie les fichiers du lecteur sur lequel ESET Endpoint Security est installé vers le lecteur de sauvegarde. |