HIPS - 基于主机的入侵预防系统
对 HIPS 设置的更改仅应由有经验的用户进行。HIPS 设置的错误配置可能会导致系统不稳定。 |
基于主机的入侵防御系统 (HIPS) 可保护您的系统,以免恶意软件和任何不受欢迎的活动试图对您的计算机产生不利影响。HIPS 利用高级行为分析并配合网络过滤的检测功能来监视正在运行的进程、文件和注册表项。HIPS 独立于文件系统实时防护,并且不是防火墙;它仅监视在操作系统中运行的进程。
可以在高级设置 > 保护 > HIPS > HIPS 中,配置 HIPS 设置。HIPS 状态(已启用/已禁用)显示在 ESET Endpoint Security 的主程序窗口 > 设置 > 计算机中。
主机入侵防御系统
启用 HIPS - 在 ESET Endpoint Security 中,默认启用 HIPS。关闭 HIPS 会禁用其余 HIPS 功能(如漏洞利用阻止程序)。
始终允许加载驱动程序 - 始终允许加载选定的驱动程序,而不管配置的过滤模式是什么,除非明确地通过用户规则阻止。
启用高级内存扫描程序 - 与漏洞利用阻止程序结合使用以增强对恶意软件的防范,后者旨在通过迷惑或加密方法来逃过反恶意软件产品的检测。默认情况下,启用高级内存扫描程序。请阅读词汇表中关于此类防护的更多信息。
启用漏洞利用阻止程序 - 旨在强化那些经常被漏洞利用的应用程序类型,例如 Web 浏览器、PDF 阅读器、电子邮件客户端和 MS Office 组件。默认启用漏洞利用阻止程序。请阅读词汇表中关于此类防护的更多信息。
可以使用以下模式之一执行过滤模式:
说明 |
|
---|---|
自动模式 |
启用操作(除了保护系统的预定义规则所阻止的操作)。 |
智能模式 |
仅通知用户极为可疑的事件。 |
交互模式 |
将提示用户确认操作。 |
基于策略的模式 |
阻止所有未由允许它们的特定规则定义的操作。 |
学习模式 |
启用操作,并在每次操作后创建规则。可在 HIPS 规则编辑器中查看在此模式下创建的规则,但其优先级低于手动创建的规则或在自动模式下创建的规则的优先级。当从过滤模式下拉菜单中选择学习模式后,学习模式结束时间设置将变为可用。选择要采用学习模式的时间范围,最长持续时间为 14 天。当指定的持续时间超过后,将会提示您编辑由 HIPS 在学习模式下所创建的规则。还可以选择其他过滤模式,或推迟决定并继续使用学习模式。 |
学习模式到期之后设置的模式 - 在学习模式到期后选择将使用的过滤模式。过期后,询问用户选项需要管理权限来执行对 HIPS 过滤模式的更改。
HIPS 系统监控操作系统内的事件,并根据规则(类似于防火墙使用的规则)相应地对事件作出反应。单击规则旁边的编辑以打开 HIPS 规则编辑器。在 HIPS 规则窗口中,可以选择、添加、编辑或删除规则。有关规则创建和 HIPS 操作的更多信息,可以在编辑 HIPS 规则中找到。
记录所有阻止的操作 - 所有阻止的操作将写入到 HIPS 日志中。仅在故障排除或 ESET 技术支持要求时才使用此功能,因为它可能会生成一个较大的日志文件并会降低计算机的运行速度。
当启动应用程序发生更改时发送通知 - 每次应用程序添加到系统启动或从中删除时显示桌面通知。
自我防御
启用自我防御 - ESET Endpoint Security 使用内置的自我防御技术作为 HIPS 的一部分,来防止恶意软件损坏或禁用病毒和间谍软件防护。自我保护可保护关键系统及 ESET 的进程、注册表项和文件免于遭篡改。ESET Management 服务器代理在安装时也受到保护。
启用受保护的服务 - 针对 ESET 服务 (ekrn.exe) 启用防护。如果启用,则服务会作为受保护的 Windows 进程启动,以抵御恶意软件的攻击。此选项在 Windows 8.1 和 Windows 10 中可用。
深度行为检测
启用深度行为检测 – 另一层防护,起到部分 HIPS 功能的作用。此 HIPS 的扩展会分析计算机上所有正在运行的程序的行为,并在进程的行为可疑时发出警告。
从深度行为检测的 HIPS 排除可将进程排除在分析之外。若要确保扫描所有进程以查找可能的威胁,我们建议仅在绝对必要时才创建排除。
勒索软件防护
启用勒索软件防护是作为 HIPS 功能的一部分工作的另一层保护。必须启用 ESET LiveGrid® 信誉系统才能使勒索软件防护工作。请阅读有关此类防护的更多信息。
启用 Intel® Threat Detection Technology - 利用独特的 Intel CPU 遥测技术来帮助检测勒索软件攻击,以提高检测效率、降低误报警报以及扩展可见性来捕获高级规避技术。查看支持的处理器。
启用勒索软件防护审核模式 - 勒索软件防护检测到的所有内容不会自动进行阻止,但会以严重警告记录并发送到管理控制台(带有“AUDIT MODE”标志)。管理员可以决定排除此类检测以防止进一步检测,还是使其保持活动状态,这意味着在“审核模式”结束后,它会被阻止并删除。启用/禁用“审核模式”也会记录在 ESET Endpoint Security 中。此选项仅在 ESET PROTECT On-Prem 策略配置编辑器中可用。
勒索软件攻击后恢复文件此功能默认启用。它通过对文档执行备份并最终在检测后恢复加密文件来改进“勒索软件防护”保护。
排除文件夹的列表 - 您可以从备份中排除特定文件夹。
受保护文件类型列表 - 您可以添加文件类型或编辑通常受保护和监控的现有文件类型列表。
启动备份进程时,系统仅在 NTFS 格式的硬盘驱动器上验证并启动该进程。 |
创建备份时,系统会将文件从安装 ESET Endpoint Security 的驱动器复制到备份驱动器。 |