Интернет-справка ESET

Выберите тему

Система HIPS (система предотвращения вторжений на узел)

warning

Изменения в параметры системы HIPS должны вносить только опытные пользователи. Неправильная настройка этих параметров может привести к нестабильной работе системы.

Система предотвращения вторжений на узел (HIPS) защищает от вредоносных программ и другой нежелательной активности, которые пытаются отрицательно повлиять на безопасность компьютера. В системе предотвращения вторжений на узел используется расширенный анализ поведения в сочетании с возможностями сетевой фильтрации по обнаружению, благодаря чему отслеживаются запущенные процессы, файлы и разделы реестра. Система предотвращения вторжений на узел отличается от защиты файловой системы в режиме реального времени и не является файерволом; она только отслеживает процессы, запущенные в операционной системе.

Параметры системы HIPS можно настроить в разделе Расширенные параметры > Защита > Система HIPS > Система предотвращения вторжений (HIPS). Состояние HIPS (включено/отключено) отображается в главном окне программы ESET Endpoint Security, в разделе Настройка > Компьютер.

CONFIG_HIPS

Система HIPS

Включить систему HIPS. В ESET Endpoint Security система HIPS включена по умолчанию. Отключение системы HIPS приведет к отключению ее функций, Блокировщика эксплойтов.

Драйверы, загрузка которых разрешена всегда: загрузка выбранных драйверов разрешена всегда, независимо от настроенного режима фильтрации, если они не заблокированы в явном виде правилом пользователя.

Включить расширенный модуль сканирования памяти работает в сочетании с блокировщиком эксплойтов для усиления защиты от вредоносных программ, которые могут избегать обнаружения продуктами для защиты от вредоносных программ за счет использования умышленного запутывания или шифрования. Расширенный модуль сканирования памяти по умолчанию включен. Дополнительную информацию об этом типе защиты см. в глоссарии.

Блокировщик эксплойтов предназначен для защиты приложений, которые обычно уязвимы для эксплойтов, например браузеров, программ для чтения PDF-файлов, почтовых клиентов и компонентов MS Office. Блокировщик эксплойтов по умолчанию включен. Дополнительную информацию об этом типе защиты см. в глоссарии.

Режим фильтрации можно выполнять в одном из следующих режимов:

Режим фильтрации

Описание

Автоматический режим

Включены все операции за исключением тех, которые заблокированы предварительно заданными правилами, защищающими компьютер.

Интеллектуальный режим

Пользователь будет получать уведомления только об очень подозрительных событиях.

Интерактивный режим

Пользователь будет получать запросы на подтверждение операций.

Режим на основе политики

Блокируются все операции, кроме тех, что разрешены определенным правилом.

Режим обучения

Операции включены, и после каждой операции создается правило. Правила, создаваемые в таком режиме, можно просмотреть в редакторе Правила HIPS, но их приоритет ниже, чем у правил, создаваемых вручную или в автоматическом режиме. При выборе элемента Режим обучения в раскрывающемся меню Режим фильтрации становится доступным параметр Режим обучения завершится. Выберите длительность для режима обучения. Максимальная длительность — 14 дней. Когда указанный период завершится, вам будет предложено изменить правила, созданные системой HIPS в режиме обучения. Кроме того, вы можете выбрать другой режим фильтрации или отложить решение и продолжить использовать режим обучения.

Режим задан после завершения режима обучения. Выберите этот режим фильтрации, который будет действовать по окончании использования режима обучения. Чтобы после завершения режима обучения изменить режим фильтрация HIPS на Спросить пользователя, нужны права администратора.

Система HIPS отслеживает события в операционной системе и реагирует на них соответствующим образом на основе правил, которые аналогичны правилам файервола. Нажмите кнопку Настроить рядом с элементом Правила, чтобы открыть редактор правил системы HIPS. В этом окне можно выбирать, создавать, изменять и удалять правила. Дополнительные сведения о создании правил и операциях системы HIPS см. в разделе Изменение правила системы предотвращения вторжений на узел.

Регистрировать все заблокированные операции: все заблокированные операции будут записываться в журнал HIPS. Используйте эту функцию только при устранении неполадок или по запросу службы технической поддержки ESET, так как она может создать очень большой файл журнала и замедлить работу компьютера.

Сообщать об изменениях приложений, загружаемых при запуске системы: при добавлении или удалении приложения, загружаемого при запуске системы, на рабочем столе отображается уведомление.

Самозащита

Включить модуль самозащиты — В ESET Endpoint Security используется встроенная в систему HIPS технология самозащиты, которая не позволяет вредоносным программам повредить или отключить защиту от вирусов и шпионских программ. Модуль самозащиты обеспечивает защиту самых важных процессов системы и программы ESET, разделов реестра и файлов от вмешательства. При установке агента ESET Management для него также включается защита.

Включить защищенную службу — Включается защита службы ESET (ekrn.exe). Если параметр включен, служба запускается в виде защищенного процесса Windows для защиты от атак вредоносных программ. Этот параметр доступен в Windows 8.1 и Windows 10.

Глубокая поведенческая проверка

Включить глубокую поведенческую проверку — это еще один уровень защиты, используемый системой HIPS. Это расширение системы HIPS анализирует поведение всех программ, запущенных на компьютере, и предупреждает вас, если процесс ведет себя, как вредоносный.

Исключения системы HIPS из глубокой поведенческой проверки позволяют исключить из анализа определенные процессы. Чтобы обеспечить сканирование всех процессов на наличие угроз, рекомендуется создавать исключения только в случае крайней необходимости.

Защита от программ-вымогателей

Защита от программ-шантажистов: это еще один уровень защиты, функционирующий как компонент системы HIPS. Для работы модуля защиты от программ-шантажистов необходимо, чтобы система репутации ESET LiveGrid® была включена. Дополнительную информацию об этом типе защиты.

Включить Intel® Threat Detection Technology: помогает обнаруживать атаки программ-вымогателей, используя уникальную телеметрию процессора Intel для повышения эффективности обнаружения, уменьшения количества ложных предупреждений об угрозах и расширения возможностей противодействия передовым методам уклонения от обнаружения. См. информацию о поддерживаемых процессорах.

Включить режим аудита для защиты от программ-вымогателей: объекты, обнаруженные защитой от программ-вымогателей, не блокируются автоматически, а заносятся в журнал со статусом «Предупреждение» и отправляются в консоль управления с пометкой «РЕЖИМ АУДИТА». Администратор может решить либо исключить такое обнаружение, чтобы оно больше не повторялось, либо оставить его активным. Во втором случае после выхода из режима аудита обнаруженный объект будет заблокирован и удален. Факт включения и отключения режима аудита также будет занесен в журнал ESET Endpoint Security. Этот параметр доступен только в редакторе конфигурации политики ESET PROTECT On-Prem.

Восстанавливать файлы после атаки программы-вымогателя: эта функция включена по умолчанию. Она улучшает защиту от программ-вымогателей, выполняя резервное копирование документов и восстанавливая зашифрованные файлы после обнаружения.

Список исключенных папок: определенные папки можно исключить из резервного копирования.

Список защищенных типов файлов: вы можете добавить типы файлов или изменить существующий список типов файлов, которые обычно защищаются и отслеживаются.

note

Когда вы запускаете процесс резервного копирования, система выполняет проверку и запускает процесс только на жестком диске с файловой системой NTFS.

note

Когда создается резервная копия, система копирует файлы с диска, на котором установлено решение ESET Endpoint Security, на диск для резервного копирования.