HIPS – Sistema de prevenção de intrusão de hosts
Apenas um usuário experiente deve fazer alterações nas configurações do HIPS. A configuração incorreta das configurações HIPS pode causar instabilidade no sistema. |
O Sistema de prevenção de intrusos de host (HIPS) protege o sistema de malware ou de qualquer atividade que tentar prejudicar a segurança do computador. Ele utiliza a análise comportamental avançada em conjunto com as capacidades de detecção de filtro de rede para monitorar processos em execução, arquivos e chaves de registro. O HIPS é separado da proteção em tempo real do sistema de arquivos e não é um firewall; ele monitora somente processos em execução no sistema operacional.
Você pode definir as configurações HIPS em Configuração avançada > Proteções > HIPS > Sistema de prevenção de intrusão de hosts. O estado HIPS (ativado/desativado) é mostrado na janela principal do programa ESET Endpoint Security > Configuração > Computador.
Sistema de prevenção de intrusão de hosts
Ativar HIPS – O HIPS está ativado por padrão no ESET Endpoint Security. Desativar o HIPS vai desativar o restante dos recursos HIPS como o Bloqueio de Exploit.
Unidades sempre com permissão para carregar - As unidades selecionadas sempre tem permissão para carregar, independente do modo de filtragem configurado, a menos que explicitamente bloqueadas pela regra do usuário.
Ativar Advanced memory scanner – funciona combinado com o Bloqueio de exploit para fortalecer a proteção contra malware feito para evitar a detecção por produtos antimalware através do uso de ofuscação ou criptografia. Por padrão, o scanner de memória avançado está ativado. Leia mais sobre esse tipo de proteção no glossário.
Ativar Bloqueio de exploit – feito para fortalecer tipos de aplicativos comumente explorados como navegadores da web, leitores de PDF, clientes de email e componentes do MS Office. Por padrão, o bloqueio de exploit está ativado. Leia mais sobre esse tipo de proteção no glossário.
O modo de filtragem pode ser executado em um dos modos a seguir:
Descrição |
|
---|---|
Modo automático |
As operações são ativadas, exceto aquelas bloqueadas por regras predefinidas que protegem o sistema. |
Modo Smart |
O usuário será notificado apenas sobre eventos muito suspeitos. |
Modo interativo |
O sistema solicitará que o usuário confirme as operações. |
Modo com base em políticas |
Bloqueia todas as operações que não são definidas por uma regra específica que permita essas operações. |
Modo de aprendizagem |
As operações são ativadas e uma regra é criada após cada operação. As regras criadas nesse modo podem ser visualizadas no editor de Regras HIPS, mas sua prioridade é menor que a prioridade das regras criadas manualmente ou das regras criadas no modo automático. Quando selecionar o Modo de aprendizagem do menu suspenso Modo de filtragem, a configuração Modo de aprendizagem vai terminar em ficará disponível. Selecione o período de tempo pelo qual você deseja que o módulo de aprendizado esteja ativado, a duração máxima é de 14 dias. Quando a duração especificada tiver terminado, você será solicitado a editar as regras criadas pelo HIPS enquanto ele estava no modo de aprendizagem. Você também pode escolher um modo de filtragem diferente, ou adiar a decisão e continuar usando o modo de aprendizagem. |
Modo definido depois da expiração do modo de aprendizagem – Selecione o modo de filtragem que será usado após o modo de aprendizagem expirar. Depois da expiração, a opção Perguntar ao usuário requer privilégios de administrador para realizar uma mudança no modo de filtragem HIPS.
O sistema HIPS monitora os eventos dentro do sistema operacional e reage a eles de acordo com regras similares àquelas usadas no Firewall. Clique em Editar ao lado de Regras para abrir o editor de regras do HIPS. Na janela de regras HIPS é possível selecionar, adicionar, editar ou remover regras. Mais detalhes sobre a criação de regras e operação HIPS podem ser encontrados em Editar uma regra HIPS.
Relatar todas as operações bloqueadas – todas as operações bloqueadas serão gravadas no relatório HIPS. Use este recurso apenas quando estiver fazendo a solução de problemas ou quando for solicitada pelo Suporte técnico da ESET, pois ele pode gerar um relatório enorme e diminuir a velocidade do seu computador.
Notificar quando ocorrerem alterações nos aplicativos de Inicialização - Exibe uma notificação na área de trabalho toda vez que um aplicativo for adicionado ou removido da inicialização do sistema.
Autodefesa
Ativar Autodefesa – O ESET Endpoint Security usa a tecnologia de Autodefesa incorporada como parte do HIPS para impedir que o software malicioso danifique ou desabilite a proteção antivírus e antispyware. A Autodefesa protege sistemas cruciais e processos, chaves de registro e arquivos da ESET contra alterações maliciosas. O Agente ESET Management também é protegido, quando ele está instalado.
Ativar Serviço protegido – Ativa a proteção para o Serviço ESET (ekrn.exe). Quando ativado, o serviço é iniciado como um processo protegido do Windows para defender ataques feitos por malware. Essa opção está disponível no Windows 8.1 e no Windows 10.
Inspeção comportamental profunda
Ativar inspeção comportamental profunda – outra camada de proteção que funciona como parte do recurso HIPS. Essa extensão do HIPS analisa o comportamento de todos os programas em execução no computador e avisa você se o comportamento do processo for malicioso.
Exclusões HIPS da inspeção comportamental profunda permitem que você exclua processos da análise. Recomendamos que você crie exclusões somente quando for absolutamente necessário, a fim de garantir que todos os processos sejam escaneados para possíveis ameaças.
Escudo Anti-ransomware
Ativar escudo anti-ransomware – outra camada de proteção que funciona como uma parte do recurso HIPS. Você deve ter o sistema de reputação ESET LiveGrid® ativado para a Proteção contra ransomware funcionar. Leia mais sobre este tipo de proteção.
Ativar o Intel® Threat Detection Technology – ajuda a detectar ataques de ransomware usando a telemetria de CPU única do Intel para aumentar a detecção, diminuir os alertas falsos positivos e expandir a visibilidade para obter técnicas avançadas de evasão. Consulte os processadores compatíveis.
Ativar modo de auditoria do Escudo Anti-ransomware – Tudo que é detectado pelo Escudo Anti-ransomware não é bloqueado automaticamente, e sim registrado com uma gravidade de alerta e enviado para o console de gerenciamento com o sinalizador "MODO DE AUDITORIA". O administrador pode decidir excluir essa detecção para impedir detecções futuras ou mantê-la ativa, o que significa que depois que o Modo de auditoria terminar, ela será bloqueada e removida. A ativação/desativação do Modo de auditoria também será registrada no ESET Endpoint Security. Essa opção está disponível apenas no editor de configuração de política ESET PROTECT On-Prem.
Restaurar arquivos após um ataque de ransomwareEsse recurso é ativado por padrão. Ele melhora a proteção do Escudo Anti-ransomware realizando um backup em documentos e, eventualmente, restaurando arquivos criptografados após a detecção.
Lista de pastas excluídas— Você pode excluir pastas específicas do backup.
Lista de tipos de arquivos protegidos– Você pode adicionar os tipos de arquivos ou editar a lista existente de tipos de arquivos comumente protegidos e monitorados.
Quando você inicia o processo de backup, o sistema verifica e inicia o processo somente no disco rígido formatado em NTFS. |
Quando um backup é criado, o sistema copia os arquivos da unidade onde o ESET Endpoint Security está instalado para a unidade de backup. |