HIPS (Host-based Intrusion Prevention System)
Zmeny v nastaveniach systému HIPS odporúčame robiť len skúseným používateľom. Nesprávne nastavenia v sekcii HIPS môžu spôsobiť nestabilitu systému. |
Host-based Intrusion Prevention System (HIPS) chráni pred malvérom a nechcenou aktivitou, ktorá môže negatívne pôsobiť na systém. Používa pokročilú analýzu správania, ktorá spolu s detekčnými schopnosťami sieťového filtra zabezpečuje efektívne sledovanie spustených procesov, súborov a záznamov v registroch, čo umožňuje aktívne blokovať takéto pokusy a predchádzať im. HIPS pracuje oddelene od firewallu a rezidentnej ochrany súborového systému, pričom sleduje len procesy spustené v rámci operačného systému.
Nastavenia HIPS môžete nakonfigurovať v časti Rozšírené nastavenia > Ochrana > HIPS > Host Intrusion Prevention System. Stav modulu HIPS (zapnutý/vypnutý) je zobrazený v hlavnom okne programu ESET Endpoint Security v časti Nastavenia > Počítač.
Systém HIPS
Zapnúť HIPS – HIPS je v ESET Endpoint Security predvolene zapnutý. Vypnutie systému HIPS spôsobí vypnutie aj jeho funkcií, ako napr. Exploit Blocker.
Ovládače s povolením vždy sa načítať – zobrazené ovládače majú vždy povolené načítanie bez ohľadu na zvolený režim filtrovania, pokiaľ nie sú blokované špecifickým používateľským pravidlom.
Zapnúť pokročilú kontrolu pamäte – spolu s funkciou Exploit Blocker poskytuje lepšiu ochranu pred malvérom, ktorý bol navrhnutý tak, aby maskovaním alebo šifrovaním obišiel detekciu bezpečnostných produktov. Pokročilá kontrola pamäte je v predvolených nastaveniach povolená. Viac o tomto type ochrany sa dočítate v slovníku pojmov.
Zapnúť Exploit Blocker – táto funkcia slúži na ochranu najčastejšie zneužívaných aplikácií, ako sú webové prehliadače, softvér na zobrazovanie PDF dokumentov, e‑mailové klienty a súčasti balíka Microsoft Office. Exploit Blocker je v predvolených nastaveniach zapnutý. Viac o tomto type ochrany sa dočítate v slovníku pojmov.
Režim filtrovania umožňuje nastaviť filtrovanie do jedného z nasledujúcich režimov:
Popis |
|
---|---|
Automatický režim |
Operácie budú povolené s výnimkou takých, ktoré sú blokované prednastavenými pravidlami chrániacimi systém. |
Smart režim |
Používateľ bude upozornený len v prípade skutočne podozrivých udalostí v systéme. |
Interaktívny režim |
Používateľ bude vyzvaný na potvrdenie operácií. |
Režim politík |
Blokuje všetky operácie, ktoré nie sú definované konkrétnym pravidlom, ktoré ich povoľuje. |
Učiaci sa režim |
Operácie sú povolené a zároveň sa po každej operácii vytvorí pravidlo. Pravidlá vytvorené v tomto režime sú viditeľné v editore pravidiel HIPS, ale majú nižšiu prioritu ako pravidlá vytvorené manuálne alebo v automatickom režime. Keď z roletového menu Režim filtrovania vyberiete možnosť Učiaci sa režim, sprístupní sa nastavenie s popisom Učiaci sa režim skončí, ktoré vám umožňuje definovať dátum a čas ukončenia tohto režimu. Nastavte obdobie, počas ktorého bude zapnutý učiaci sa režim (maximálne 14 dní). Po uplynutí nastaveného časového obdobia budete vyzvaný na úpravu pravidiel, ktoré boli vytvorené počas učiaceho sa režimu. Môžete tiež zvoliť iný režim filtrovania alebo oddialiť svoje rozhodnutie a používať učiaci sa režim aj naďalej. |
Režim, ktorý sa nastaví po skončení učiaceho sa režimu – vyberte režim filtrovania, ktorý bude aktivovaný po ukončení učiaceho sa režimu. Možnosť Spýtať sa používateľa vyžaduje oprávnenia správcu, ak chcete vykonávať zmeny režimu filtrovania HIPS.
Systém HIPS monitoruje udalosti vnútri operačného systému a reaguje na ne podľa pravidiel, ktoré sú štruktúrou podobné pravidlám firewallu. Kliknutím na Upraviť vedľa položky Pravidlá otvoríte editor pravidiel HIPS. V tomto okne môžete označiť, pridať, upraviť alebo odstrániť pravidlá. Viac informácií o vytváraní pravidiel a operáciách HIPS nájdete v kapitole Úprava pravidla HIPS.
Zapisovať všetky zablokované operácie do protokolu – všetky zablokované operácie sa zapíšu do protokolu HIPS. Vzhľadom na značnú veľkosť protokolu a spomalenie počítača pri jeho vytváraní použite túto možnosť, len ak vás na to vyzval pracovník technickej podpory spoločnosti ESET.
Upozorňovať na zmeny v zozname aplikácií automaticky spúšťaných pri štarte – ak pribudne alebo ubudne aplikácia zo zoznamu aplikácií spúšťaných pri štarte, zobrazí sa upozornenie.
Self-Defense
Zapnúť Self-Defense – ESET Endpoint Security má ako súčasť systému HIPS vstavanú technológiu Self-Defense, ktorej cieľom je zabrániť škodlivému softvéru narušiť alebo deaktivovať antivírusovú a antispyvérovú ochranu. Self-Defense chráni dôležité procesy v rámci systému a programu ESET, súbory a záznamy v databáze Registry pred neoprávnenými zmenami. Chránený je taktiež ESET Management Agent v prípade, že je nainštalovaný.
Zapnúť ako chránenú službu – povoľuje ochranu pre službu ESET (ekrn.exe). Ak je táto možnosť povolená, služba je spustená ako zabezpečený proces systému Windows s cieľom poskytnúť ochranu pred malvérom. Táto možnosť je dostupná na systémoch Windows 8.1 a Windows 10.
Hĺbková kontrola správania
Zapnúť hĺbkovú kontrolu správania – dodatočná vrstva ochrany, ktorá funguje ako súčasť funkcie HIPS. Jej úlohou je analyzovať správanie všetkých procesov spustených na počítači a upozorniť vás na zachytené škodlivé správanie.
HIPS vylúčenia z hĺbkovej kontroly správania vám umožňujú nastaviť procesy, ktoré nemajú byť podrobené analýze. Aby bola zaručená kontrola všetkých procesov na prítomnosť hrozieb, neodporúčame vylúčenia vytvárať, ak to nie je naozaj nevyhnutné.
Ransomware Shield
Zapnúť Ransomware Shield – dodatočná vrstva ochrany, ktorá funguje ako súčasť funkcie HIPS. Aby mohol Ransomware Shield fungovať, je potrebné mať povolený systém ESET LiveGrid®. Viac o tomto type ochrany sa môžete dočítať tu.
Zapnúť Intel® Threat Detection Technology – táto technológia pomáha odhaľovať útoky ransomvéru pomocou jedinečnej telemetrie na úrovni procesora Intel, ktorá zvyšuje účinnosť detekcie, znižuje počet falošných poplachov a rozširuje možnosti zachytávania pokročilých malvérových techník obchádzania detekcie v pamäti. Pozrite si podporované procesory.
Zapnúť režim auditu pre Ransomware Shield – Ransomware Shield neblokuje automaticky všetky nájdené detekcie, ale dochádza k ich zapísaniu do protokolu formou upozornenia a následnému odoslaniu do konzoly na správu s príznakom „REŽIM AUDITU“. Správca môže buď vylúčiť takúto detekciu s cieľom predísť ďalšej detekcii, alebo ju ponechať aktívnu, čo znamená, že po skončení režimu auditu bude zablokovaná a odstránená. Zapnutie/vypnutie režimu auditu sa zaznamená aj v programe ESET Endpoint Security. Táto možnosť je k dispozícii len prostredníctvom editora určeného na konfiguráciu politík v konzole ESET PROTECT On-Prem.
Obnoviť súbory po ransomvérovom útoku – táto funkcia je predvolene zapnutá. Zlepšuje ochranu Ransomware Shield tým, že zálohuje dokumenty a v prípade detekcie ransomvéru obnovuje zašifrované súbory.
Zoznam vylúčených priečinkov – konkrétne priečinky môžete vylúčiť zo zálohovania.
Zoznam chránených typov súborov – môžete pridať nové typy súborov alebo upraviť existujúci zoznam typov súborov, ktoré sú zabezpečené a monitorované.
Keď spustíte proces zálohovania, systém overí formátovanie a proces zálohovania začne iba na pevnom disku s formátom NTFS. |
Pri vytváraní zálohy systém skopíruje súbory z disku, na ktorom je nainštalovaný produkt ESET Endpoint Security, na záložný disk. |