Host-based Intrusion Prevention System (HIPS)

warning

VAROVÁNÍ:

Pokud nejste zkušený uživatel, nedoporučujeme měnit nastavení systému HIPS. Chybnou úpravou nastavení HIPS se může systém stát nestabilní.

HIPS (Host-based Intrusion Prevention System) chrání operační systém před škodlivými kódy a eliminuje aktivity ohrožující bezpečnost počítače. HIPS používá pokročilou analýzu chování kódu, která spolu s detekčními schopnostmi síťového filtru zajišťuje efektivní kontrolu běžících procesů, souborů a záznamů v registru Windows. HIPS je nezávislý na rezidentní ochraně a firewallu a monitoruje pouze běžící procesy v operačním systému.

Nastavení HIPS naleznete v Rozšířeném nastavení (dostupném po stisknutí klávesy F5) v sekci Detekční jádro > HIPS. Stav ochrany HIPS je zobrazen v hlavním okně ESET Endpoint Security na záložce Nastavení v sekci Počítač.

CONFIG_HIPS

Obecné

Zapnout HIPS – HIPS je ve výchozí konfiguraci produktu ESET Endpoint Security standardně zapnutý. Jeho vypnutím zakážete běh dalších součástí HIPS jako je například Exploit Blocker.

Zapnout ochranu součástí produktu ESET (Self-Defense) – ESET Endpoint Security obsahuje vestavěnou technologii Self-Defense, která brání škodlivé aplikaci v narušení nebo zablokování antivirové a antispywarové ochrany. Self-Defense chrání soubory a klíče v registru, které jsou kritické pro správnou funkci produktu ESET a neumožňuje potenciálnímu škodlivému software přístup k těmto záznamům a procesům a jejich úpravu. Rovněž chrání ESET Management Agenta, pokud je nainstalován.

Spustit službu produktu ESET jako protected service – pomocí této možnosti aktivujete ochranu služby ESET (ekrn.exe) pomocí systémových prostředků pro boj se škodlivým kódem. Tato možnost je dostupná ve Windows 8.1 a Windows 10.

Zapnout pokročilou kontrolu paměti (Advanced Memory Scanner) – tato funkce v kombinaci s blokováním zneužití bezpečnostních děr (Exploit Blocker) poskytuje účinnou ochranu proti škodlivému kódu, který využívá obfuskaci a šifrování pro zabránění detekce. Tato funkce je standardně zapnuta. Pro více informací se podívejte do slovníku pojmů.

Blokovat zneužití bezpečnostních děr (Exploit Blocker) – tato funkce poskytuje další bezpečnostní vrstvu a chrání známé aplikace se zranitelnými bezpečnostními dírami (například webové prohlížeče, e-mailové klienty, PDF čtečky). Tato funkce je standardně zapnuta. Pro více informací o této vrstvě ochrany se naleznete ve slovníku pojmů.

Hloubková analýza chování

Hloubková analýza chování je další vrstvou ochrany funkce HIPS. Toto rozšíření analyzuje chování běžících programů a varuje vás, jestliže jejich chování bude pro váš počítač škodlivé.

HIPS výjimky Hloubkové analýzy chování umožňují vyloučit procesy z kontroly. Pro zajištění všech kontrol na možné hrozby doporučujeme vytvářet vyloučení pouze v případě, že je absolutně nezbytné.

Ochrana proti ransomware

Zapnout ochranu proti ransomware – tato součást představuje další vrstvu do modulu HIPS a je plně funkční pouze s aktivní technologií ESET LiveGrid®. Více informací o tomto typu ochrany naleznete ve slovníku pojmů.

Zapnout auditování – po aktivování auditování nebudou detekované hrozby ochranou proti ransomware blokovány, pouze dojde k jejich zaznamenání do protokolu s úrovní varování a do konzole pro správu budou reportovány s příznakem "REŽIM AUDITU". Jako administrátor se následně rozhodněte, zda pro detekci vytvoříte výjimku. Pokud detekci ponecháte aktivní, po ukončení režimu auditu dojde k zablokování a odstranění detekovaného objektu. Zapnutí/vypnutí režimu auditu se propíše do protokolu ESET Endpoint Security. Nicméně tato možnost je dostupná pouze v konfiguračním editoru ESMC nebo ECA při vytváření politiky.

Nastavení HIPS

HIPS může běžet v jednom z následujících režimů:

Režim filtrování

Popis

Automatický režim

Operace budou povoleny s výjimkou blokovaných na základě předdefinovaných pravidel, které váš systém chrání.

Smart režim

Uživatel bude upozorněn pouze na velmi podezřelé události.

Interaktivní režim

Uživatel bude na povolení operace dotázán.

Administrátorský režim

Blokuje každé spojení, pro které neexistuje povolující pravidlo.

Učící režim

Operace budou povoleny. Pravidlo bude vytvořeno po každé operaci. Pravidla vytvořená v tomto režimu zobrazte v editoru Pravidla HIPS , ale jejich priorita je nižší než priorita pravidel vytvořených ručně nebo pravidel vytvořených v automatickém režimu. Pokud zvolíte Učící režim z rozbalovacího menu Režim filtrování , Učící režim bude ukončen když bude nastavení dostupné. Vyberte časové období, po které chcete zapnout učící režim. Maximální doba trvání je 14 dní. Po uplynutí zadané doby trvání budete vyzváni k úpravě pravidel vytvořených HIPS v době, kdy byl v režimu učení. Můžete také zvolit jiný režim filtrování nebo odložit rozhodnutí a pokračovat v používání režimu učení.

Po ukončení učícího režimu nastavit režim – pomocí této možnosti vyberte režim filtrování, který se automaticky nastaví po ukončení běhu učícího režimu. Pokud vyberete možnost Dotázat se uživatele, pro změnu režimu filtrování modulu HIPS bude vyžadováno oprávnění administrátora.

Systém HIPS monitoruje události uvnitř operačního systému a reaguje na ně podle pravidel, která jsou strukturou podobná pravidlům firewallu. Kliknutím na Změnit vedle položky Pravidla otevřete editor Pravidla HIPS. Zde můžete pravidla prohlížet, vytvářet nová, upravovat nebo odstranit stávající. Více detailů o vytváření pravidel a operacích HIPS naleznete v kapitole Úprava pravidla HIPS.