Système HIPS

warning

Avertissement

Les modifications apportées aux paramètres HIPS ne sont effectuées que par un utilisateur expérimenté. Une configuration incorrecte des paramètres HIPS peut en effet entraîner une instabilité du système.

Le système HIPS (Host Intrusion Prevention System) protège votre système des logiciels malveillants et de toute activité non souhaitée qui pourrait avoir une incidence sur votre ordinateur. Il utilise l'analyse avancée des comportements, associée aux fonctionnalités de détection du filtre réseau qui surveille les processus en cours, les fichiers et les clés de registre. Le système HIPS diffère de la protection en temps réel du système de fichiers et ce n'est pas un pare-feu. Il surveille uniquement les processus en cours d'exécution au sein du système d'exploitation.

Les paramètres HIPS sont disponibles dans Configuration avancée (F5) > Moteur de détection > HIPS > Général. L'état du système HIPS (activé/désactivé) est indiqué dans la fenêtre principale du programme ESET Endpoint Security, dans la section Configuration > Ordinateur.

CONFIG_HIPS

Général

Activer HIPS – HIPS est activé par défaut dans ESET Endpoint Security. La désactivation de HIPS entraîne celle des autres fonctionnalités HIPS comme le bloqueur d'exploit.

Activer l'auto-défense – ESET Endpoint Security utilise la technologie Auto-défense intégrée dans le cadre de la fonctionnalité HIPS pour empêcher les logiciels malveillants d'endommager ou de désactiver la protection antivirus et antispyware. La technologie Auto-défense protège le système, les processus, les clés de registre et les fichiers d'ESET contre toute modification. ESET Management Agent est également protégé lorsqu'il est installé.

Activer le service protégé – Active la protection pour le service ESET (ekrn.exe). Lorsque cette option est activée, le service est démarré en tant que processus Windows protégé pour empêcher toute attaque par des logiciels malveillants. Cette option est disponible dans Windows 8.1 et Windows 10.

Activer le moteur d'analyse de mémoire avancée – Fonctionne avec le bloqueur d'exploit afin de renforcer la protection contre les logiciels malveillants qui ne sont pas détectés par les produits anti-logiciels malveillants grâce à l'obscurcissement ou au chiffrement. Le scanner de mémoire avancé est désactivé par défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire.

Activer le bloqueur d'exploit – Conçu pour renforcer les types d'applications connues pour être très vulnérables aux exploits (navigateurs, lecteurs de fichiers PDF, clients de messagerie et composants MS Office). Le bloqueur d'exploit est désactivé par défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire.

Inspection comportementale approfondie

Activer l'inspection comportementale approfondie – autre couche de protection qui fonctionne dans le cadre de la fonctionnalité HIPS. Cette extension de HIPS analyse le comportement de tous les programmes en cours d'exécution sur l'ordinateur et vous averti si le comportement d'un processus est malveillant.

Les exclusions HIPS de l'inspection comportementale approfondie permettent d'exclure des processus de l'analyse. Pour que la détection des menaces éventuelles s'appliquent bien à tous les processus, il est recommandé de ne créer des exclusions que lorsque cela s'avère absolument nécessaire.

Protection contre les rançongiciels

Activer la protection anti-ransomware – Autre couche de protection qui fonctionne dans le cadre de la fonctionnalité HIPS. Pour qu'elle fonctionne, vous devez activer le système de réputation ESET LiveGrid®. Lire des informations supplémentaires sur ce type de protection.

Activer le mode d'audit – Tous les éléments détectés par le Bouclier anti-ransomwares ne sont pas automatiquement bloqués. Ils sont consignés avec une gravité d'avertissement et envoyés à la console de gestion avec l'indicateur « MODE AUDIT ». L'administrateur peut choisir d'exclure ce type de détection pour empêcher toute détection ultérieure ou la garder active (ce qui signifie qu'une fois le mode d'audit terminé, elle sera bloquée et supprimée). L'activation et la désactivation du mode d'audit seront également consignées dans ESET Endpoint Security. Cette option est uniquement disponible dans ESMC ou l'éditeur de configuration de politique ESET PROTECT Cloud.

Paramètres HIPS

Le filtrage peut être effectué dans l'un des modes suivants :

Mode de filtrage

Description

Mode automatique

Les opérations sont autorisées, à l'exception de celles bloquées par des règles prédéfinies qui protègent votre système.

Mode intelligent

Mode intelligent – L'utilisateur n'est averti que lors d'événements très suspects.

Mode interactif

L'utilisateur est invité à confirmer les opérations.

Mode basé sur des politiques

Bloque toutes les opérations qui ne sont pas définies par une règle spécifique qui les autorise.

Mode d'apprentissage

Les opérations sont autorisées et une règle est créée après chaque opération. Les règles créées dans ce mode peuvent être consultées dans l'éditeur de Règles HIPS, mais leur niveau de priorité est inférieur à celui des règles créées manuellement ou en mode automatique. Lorsque vous sélectionnez l'option Mode d'apprentissage dans le menu déroulant Mode de filtrage, le paramètre Le mode d’apprentissage prend fin le devient disponible. Sélectionnez la durée du mode d'apprentissage. La durée maximale est de 14 jours. Lorsque la durée spécifiée est arrivée à son terme, vous êtes invité à modifier les règles créées par HIPS en mode d'apprentissage. Vous pouvez également choisir un autre mode de filtrage ou continuer à utiliser le mode d'apprentissage.

Mode défini après expiration du mode d'apprentissage – Sélectionnez le mode de filtrage qui sera utilisé après expiration du mode d'apprentissage. Après expiration, l'option Demander à l'utilisateur requiert des privilèges administratifs pour effectuer un changement au mode de filtrage HIPS.

Le système HIPS surveille les événements dans le système d'exploitation et réagit en fonction de règles qui sont semblables à celles utilisées par le pare-feu. Cliquez sur Modifier en regard de Règles pour ouvrir l'éditeur de règles HIPS. La fenêtre des règles HIPS permet de sélectionner, d'ajouter, de modifier ou de supprimer des règles. Vous trouverez plus de détails sur la création de règles et les opérations HIPS dans Modifier une règle HIPS.