Ajuda on-line ESET

Selecionar tópico

HIPS – Sistema de prevenção de intrusão de hosts


warning

Apenas um usuário experiente deve fazer alterações nas configurações do HIPS. A configuração incorreta das configurações HIPS pode causar instabilidade no sistema.

O Sistema de prevenção de intrusos de host (HIPS) protege o sistema de malware ou de qualquer atividade que tentar prejudicar a segurança do computador. Ele utiliza a análise comportamental avançada em conjunto com as capacidades de detecção de filtro de rede para monitorar processos em execução, arquivos e chaves de registro. O HIPS é separado da proteção em tempo real do sistema de arquivos e não é um firewall; ele monitora somente processos em execução no sistema operacional.

Você pode definir as configurações HIPS em Configuração avançada > Proteções > HIPS > Sistema de prevenção de intrusão de hosts. O estado HIPS (ativado/desativado) é mostrado na janela principal do programa ESET Endpoint Security > Configuração > Computador.

CONFIG_HIPS

Sistema de prevenção de intrusão de hosts

Ativar HIPS – O HIPS está ativado por padrão no ESET Endpoint Security. Desativar o HIPS vai desativar o restante dos recursos HIPS como o Bloqueio de Exploit.

Unidades sempre com permissão para carregar - As unidades selecionadas sempre tem permissão para carregar, independente do modo de filtragem configurado, a menos que explicitamente bloqueadas pela regra do usuário.

Ativar Advanced memory scanner – funciona combinado com o Bloqueio de exploit para fortalecer a proteção contra malware feito para evitar a detecção por produtos antimalware através do uso de ofuscação ou criptografia. Por padrão, o scanner de memória avançado está ativado. Leia mais sobre esse tipo de proteção no glossário.

Ativar Bloqueio de exploit – feito para fortalecer tipos de aplicativos comumente explorados como navegadores da web, leitores de PDF, clientes de email e componentes do MS Office. Por padrão, o bloqueio de exploit está ativado. Leia mais sobre esse tipo de proteção no glossário.

O modo de filtragem pode ser executado em um dos modos a seguir:

Modo de filtragem

Descrição

Modo automático

As operações são ativadas, exceto aquelas bloqueadas por regras predefinidas que protegem o sistema.

Modo Smart

O usuário será notificado apenas sobre eventos muito suspeitos.

Modo interativo

O sistema solicitará que o usuário confirme as operações.

Modo com base em políticas

Bloqueia todas as operações que não são definidas por uma regra específica que permita essas operações.

Modo de aprendizagem

As operações são ativadas e uma regra é criada após cada operação. As regras criadas nesse modo podem ser visualizadas no editor de Regras HIPS, mas sua prioridade é menor que a prioridade das regras criadas manualmente ou das regras criadas no modo automático. Quando selecionar o Modo de aprendizagem do menu suspenso Modo de filtragem, a configuração Modo de aprendizagem vai terminar em ficará disponível. Selecione o período de tempo pelo qual você deseja que o módulo de aprendizado esteja ativado, a duração máxima é de 14 dias. Quando a duração especificada tiver terminado, você será solicitado a editar as regras criadas pelo HIPS enquanto ele estava no modo de aprendizagem. Você também pode escolher um modo de filtragem diferente, ou adiar a decisão e continuar usando o modo de aprendizagem.

Modo definido depois da expiração do modo de aprendizagem – Selecione o modo de filtragem que será usado após o modo de aprendizagem expirar. Depois da expiração, a opção Perguntar ao usuário requer privilégios de administrador para realizar uma mudança no modo de filtragem HIPS.

O sistema HIPS monitora os eventos dentro do sistema operacional e reage a eles de acordo com regras similares àquelas usadas no Firewall. Clique em Editar ao lado de Regras para abrir o editor de regras do HIPS. Na janela de regras HIPS é possível selecionar, adicionar, editar ou remover regras. Mais detalhes sobre a criação de regras e operação HIPS podem ser encontrados em Editar uma regra HIPS.

Relatar todas as operações bloqueadas – todas as operações bloqueadas serão gravadas no relatório HIPS. Use este recurso apenas quando estiver fazendo a solução de problemas ou quando for solicitada pelo Suporte técnico da ESET, pois ele pode gerar um relatório enorme e diminuir a velocidade do seu computador.

Notificar quando ocorrerem alterações nos aplicativos de Inicialização - Exibe uma notificação na área de trabalho toda vez que um aplicativo for adicionado ou removido da inicialização do sistema.

Autodefesa

Ativar Autodefesa – O ESET Endpoint Security usa a tecnologia de Autodefesa incorporada como parte do HIPS para impedir que o software malicioso danifique ou desabilite a proteção antivírus e antispyware. A Autodefesa protege sistemas cruciais e processos, chaves de registro e arquivos da ESET contra alterações maliciosas. O Agente ESET Management também é protegido, quando ele está instalado.

Ativar Serviço protegido – Ativa a proteção para o Serviço ESET (ekrn.exe). Quando ativado, o serviço é iniciado como um processo protegido do Windows para defender ataques feitos por malware. Essa opção está disponível no Windows 8.1 e no Windows 10.

Inspeção comportamental profunda

Ativar inspeção comportamental profunda – outra camada de proteção que funciona como parte do recurso HIPS. Essa extensão do HIPS analisa o comportamento de todos os programas em execução no computador e avisa você se o comportamento do processo for malicioso.

Exclusões HIPS da inspeção comportamental profunda permitem que você exclua processos da análise. Recomendamos que você crie exclusões somente quando for absolutamente necessário, a fim de garantir que todos os processos sejam escaneados para possíveis ameaças.

Escudo Anti-ransomware

Ativar escudo anti-ransomware – outra camada de proteção que funciona como uma parte do recurso HIPS. Você deve ter o sistema de reputação ESET LiveGrid® ativado para a Proteção contra ransomware funcionar. Leia mais sobre este tipo de proteção.

Ativar o Intel® Threat Detection Technology – ajuda a detectar ataques de ransomware usando a telemetria de CPU única do Intel para aumentar a detecção, diminuir os alertas falsos positivos e expandir a visibilidade para obter técnicas avançadas de evasão. Consulte os processadores compatíveis.

Ativar modo de auditoria do Escudo Anti-ransomware – Tudo que é detectado pelo Escudo Anti-ransomware não é bloqueado automaticamente, e sim registrado com uma gravidade de alerta e enviado para o console de gerenciamento com o sinalizador "MODO DE AUDITORIA". O administrador pode decidir excluir essa detecção para impedir detecções futuras ou mantê-la ativa, o que significa que depois que o Modo de auditoria terminar, ela será bloqueada e removida. A ativação/desativação do Modo de auditoria também será registrada no ESET Endpoint Security. Essa opção está disponível apenas no editor de configuração de política ESET PROTECT On-Prem.

Restaurar arquivos após um ataque de ransomwareEsse recurso é ativado por padrão. Ele melhora a proteção do Escudo Anti-ransomware realizando um backup em documentos e, eventualmente, restaurando arquivos criptografados após a detecção.

Lista de pastas excluídas— Você pode excluir pastas específicas do backup.

Lista de tipos de arquivos protegidos– Você pode adicionar os tipos de arquivos ou editar a lista existente de tipos de arquivos comumente protegidos e monitorados.


note

Quando você inicia o processo de backup, o sistema verifica e inicia o processo somente no disco rígido formatado em NTFS.


note

Quando um backup é criado, o sistema copia os arquivos da unidade onde o ESET Endpoint Security está instalado para a unidade de backup.