ESET 線上說明

搜尋 繁體字
選取主題

HIPS – 主機入侵預防系統


warning

HIPS 設定若要變更,僅能由有經驗的使用者執行。未正確配置的 HIPS 設定可能導致系統不穩定。

主機入侵預防系統 (HIPS) 能保護您的系統抵抗惡意軟體以及任何嘗試對電腦產生不良影響的不必要活動。HIPS 利用進階行為分析再加上網路過濾的偵測能力,可監視執行中的程序、檔案及登錄機碼。HIPS 與即時檔案系統防護各自獨立,且不是防火牆,它只會監視在作業系統內執行的處理程序。

您可以在 [進階設定] > [防護] > [HIPS] > [主機入侵預防系統] 中配置 HIPS 設定。HIPS 狀態 (已啟用/已停用) 顯示在 ESET Endpoint Security 主程式視窗 > [設定] > [電腦] 中。

CONFIG_HIPS

主機入侵預防系統

啟用 HIPS – 依預設會在 ESET Endpoint Security 中啟用 HIPS。關閉 HIPS 會停用其餘的 HIPS 功能,像是惡意探索封鎖程式。

一律允許載入驅動程式 – 除非使用者規則明確封鎖,否則一律允許載入選取的驅動程式,無論配置的過濾模式為何。

啟用進階記憶體掃描器 – 可與惡意探索封鎖程式一起搭配,強化對抗惡意軟體在整個利用欺騙及/或加密時對惡意軟體防護產品所啟用偵測功能的規避動作。進階記憶體掃描器依預設已啟用。請在字彙中閱讀更多有關此類型防護的資訊。

啟用惡意探索封鎖程式 – 設計用來強化常遭利用的應用程式類型的防護,例如 Web 瀏覽器、PDF 閱讀器、郵件用戶端和 MS Office 元件。惡意探索封鎖程式依預設已啟用。請在字彙中閱讀更多有關此類型防護的資訊。

[過濾模式] 可在下列四種模式之一中執行:

過濾模式

說明

自動模式

系統會啟用作業,但受到保護系統的預先定義規則封鎖的作業除外。

智慧型模式

僅會通知使用者關於非常可疑的事件。

互動模式

系統將提示使用者確認作業。

原則型模式

封鎖特定規則未定義但允許的所有操作。

學習模式

系統會啟用作業,且每次作業後會建立規則。以此模式建立的規則可在 [HIPS 規則] 編輯器中檢視,但與手動建立的規則或自動模式下建立的規則相較之下,其優先順序較低。當您從 [過濾模式] 下拉式功能表選取 [學習模式],即可使用 [學習模式將在下列情況結束] 設定。選取您要啟用學習模式的時間範圍,最長持續時間為 14 天。過了指定的持續時間之後,會提示您在學習模式中編輯 HIPS 建立的規則。您可以選擇不同的過濾模式,或者延後決定並持續使用學習模式。

學習模式到期後的模式設定 – 選取將在學習模式到期後使用的過濾模式。到期之後,詢問使用者選項需具備管理權限,才能對 HIPS 過濾模式執行變更。

HIPS 系統監控作業系統中的事件,並根據類似防火牆規則的規則執行反應動作。按一下 [規則] 旁邊的 [編輯] 以開啟 [HIPS 規則] 編輯器。在 HIPS 規則視窗中,您可以選取、新增、編輯或移除規則。在編輯 HIPS 規則中可找到更多關於規則建立與 HIPS 作業的詳細資料。

[記錄所有封鎖的作業] – 所有封鎖的作業將寫入 HIPS 防護記錄中。只有在疑難排解時或在「ESET 技術支援」要求下才能使用這個功能,因為這可能會產生大量的防護記錄檔案,而使電腦速度變慢。

當啟動應用程式發生變更時通知 – 每次在系統啟動中新增或移除應用程式時,便會顯示桌面通知。

自我防護

啟用自我防護 – ESET Endpoint Security 使用內建的 [自我防護] 技術作為 HIPS 一部分,可防止惡意軟體損毀或停用您的防毒及間諜程式防護。自我防護可保護重要系統和 ESET 的程序、登錄機碼和檔案不受竄改。ESET Management 代理程式也會在安裝後受到保護。

啟用受保護的服務 – 為 ESET 服務 (ekrn.exe) 啟用防護。啟用防護時,會以受保護的 Windows 處理程序啟動此服務來防禦來自惡意軟體的攻擊。Windows 8.1 和 Windows 10 中提供此功能。

深層行為檢查

啟用深層行為檢查 – 另一種層級的防護,可作為 HIPS 功能的一部分運作。此 HIPS 延伸模組會分析電腦上所有執行中程式的行為,並警告您處理程序的行為是否為惡意。

深層行為檢查中的 HIPS 排除可讓您從分析中排除處理程序。為確保所有處理程序是否已掃描可能的威脅,我們建議您只有在絕對必要時建立排除。

勒索軟體保護

啟用勒索軟體防護 – 另一種層級的防護,可作為 HIPS 功能的一部分運作。您必須啟用 ESET LiveGrid® 聲譽系統以便讓勒索軟體防護正常運作。請閱讀更多有關此類型防護的資訊

啟用 Intel® Threat Detection Technology – 利用唯一的Intel CPU 遙測,幫助偵測勒索軟體攻擊,提高偵測效率、減少誤判警報,以及擴展可見度以捕獲進階逃避技術。參閱支援的處理器

啟用勒索軟體保護審核模式 – 系統不會自動封鎖勒索軟體保護偵測到的項目,但會以警告嚴重性來記錄這些項目並使用「審核模式」旗標將項目傳送至管理主控台。管理員可以決定排除這類偵測來避免進一步偵測,或讓這類偵測保持作用中,這表示在審核模式結束後,這類偵測就會遭封鎖且移除。啟用/停用審核模式也會登入在 ESET Endpoint Security。僅在 ESET PROTECT On-Prem 原則組態編輯器中可使用此選項。

勒索軟體攻擊之後還厡檔案此功能預設為啟用。它藉由對文件執行備份並最後在偵測之後還原加密檔案來改善勒索軟體保護。

排除的資料夾清單—您可以從備份中排除特定的資料夾。

受保護的檔案類型清單—您可以新增檔案類型或編輯通常安全和監視的現有檔案類型清單。


note

當您起始備份程序時,系統僅在 NTFS 格式的硬碟上驗證並啟動此處理程序。


note

建立備份時,系統會將檔案從安裝 ESET Endpoint Security 的磁碟機複製到備份磁碟機。