HIPS (Host-based Intrusion Prevention System)

warning

Upozornenie

Zmeny v nastaveniach systému HIPS odporúčame robiť len skúseným používateľom. Nesprávne nastavenia v sekcii HIPS môžu spôsobiť nestabilitu systému.

Host-based Intrusion Prevention System (HIPS) chráni pred malvérom a nechcenou aktivitou, ktorá môže negatívne pôsobiť na systém. Používa pokročilú analýzu správania, ktorá spolu s detekčnými schopnosťami sieťového filtra zabezpečuje efektívne sledovanie spustených procesov, súborov a kľúčov databázy Registry, čo umožňuje aktívne blokovať takéto pokusy a predchádzať im. HIPS pracuje oddelene od firewallu a rezidentnej ochrany súborového systému, pričom sleduje len procesy spustené v rámci operačného systému.

Nastavenia systému HIPS sa nachádzajú v Rozšírených nastaveniach (F5) v časti Detekčné jadro > HIPS > Základné. Stav modulu HIPS (zapnutý/vypnutý) je zobrazený v hlavnom okne programu ESET Endpoint Security v časti Nastavenia > Počítač.

CONFIG_HIPS

Základné

Zapnúť HIPS – HIPS je v ESET Endpoint Security predvolene zapnutý. Vypnutie systému HIPS spôsobí vypnutie aj jeho funkcií, ako napr. Exploit Blocker.

Zapnúť Self-Defense – ESET Endpoint Security má ako súčasť systému HIPS vstavanú technológiu Self-Defense, ktorej cieľom je zabrániť škodlivému softvéru narušiť alebo deaktivovať antivírusovú a antispywarovú ochranu. Self-Defense chráni dôležité procesy v rámci systému a programu ESET, súbory a kľúče databázy Registry pred neoprávnenými zmenami. ESET Management Agent je chránený taktiež v prípade, že je nainštalovaný.

Zapnúť ako chránenú službu – povoľuje ochranu pre službu ESET (ekrn.exe). Ak je táto možnosť povolená, služba je spustená ako zabezpečený proces systému Windows s cieľom poskytnúť ochranu pred malvérom. Táto možnosť je dostupná na systémoch Windows 8.1 a Windows 10.

Zapnúť pokročilú kontrolu pamäte – spolu s funkciou Exploit Blocker poskytuje lepšiu ochranu pred malvérom, ktorý bol navrhnutý tak, aby maskovaním alebo šifrovaním obišiel detekciu bezpečnostných produktov. Pokročilá kontrola pamäte je v predvolených nastaveniach povolená. Viac o tomto type ochrany sa môžete dočítať v slovníku pojmov.

Zapnúť Exploit Blocker – je navrhnutý na ochranu najčastejšie zneužívaných aplikácií, ako napríklad webových prehliadačov, softvéru na zobrazovanie PDF dokumentov, e-mailových klientov a komponentov MS Office. Exploit Blocker je v predvolených nastaveniach povolený. Viac o tomto type ochrany sa môžete dočítať v slovníku pojmov.

Hĺbková kontrola správania

Zapnúť hĺbkovú kontrolu správania – dodatočná vrstva ochrany, ktorá funguje ako súčasť funkcie HIPS. Jej úlohou je analyzovať správanie všetkých procesov spustených na počítači a upozorniť vás na zachytené škodlivé správanie.

HIPS vylúčenia z hĺbkovej kontroly správania vám umožňujú nastaviť procesy, ktoré nemajú byť podrobené analýze. Aby bola zaručená kontrola všetkých procesov na prítomnosť hrozieb, neodporúčame vylúčenia vytvárať, ak to nie je naozaj nevyhnutné.

Ransomware Shield

Zapnúť Ransomware Shield – dodatočná vrstva ochrany, ktorá funguje ako súčasť funkcie HIPS. Aby mohol Ransomware Shield fungovať, je potrebné mať povolený systém ESET LiveGrid®. Viac o tomto type ochrany sa môžete dočítať tu.

Povoliť režim auditu – Ransomware Shield neblokuje automaticky všetky nájdené detekcie, ale dochádza k ich zapísaniu do protokolu formou upozornenia a následnému odoslaniu do konzoly na správu s príznakom „REŽIM AUDITU“. Správca môže buď vylúčiť takúto detekciu s cieľom predísť ďalšej detekcii, alebo ju ponechať aktívnu, čo znamená, že po skončení režimu auditu bude zablokovaná a odstránená. Zapnutie/vypnutie režimu auditu sa zaznamená aj v ESET Endpoint Security. Táto možnosť je k dispozícii len prostredníctvom editora určeného na konfiguráciu politík v nástroji ESMC alebo ESET PROTECT Cloud.

Nastavenia HIPS

Režim filtrovania umožňuje nastaviť filtrovanie do jedného z nasledujúcich režimov:

Režim filtrovania

Popis

Automatický režim

Operácie budú povolené s výnimkou takých, ktoré sú blokované prednastavenými pravidlami chrániacimi systém.

Smart režim

Používateľ bude upozornený len v prípade skutočne podozrivých udalostí v systéme.

Interaktívny režim

Používateľ bude vyzvaný na potvrdenie operácií.

Režim politík

Blokuje všetky operácie, ktoré nie sú definované konkrétnym pravidlom, ktoré ich povoľuje.

Učiaci sa režim

Operácie budú povolené a zároveň sa po každej z nich vytvorí pravidlo. Pravidlá vytvorené v tomto režime si možno pozrieť v editore pravidiel HIPS, ale majú nižšiu prioritu než pravidlá vytvorené manuálne alebo pravidlá vytvorené v automatickom režime. Keď vyberiete Učiaci sa režim z roletového menu Režim filtrovania, sprístupní sa nastavenie Učiaci sa režim skončí. Nastavte obdobie, počas ktorého bude zapnutý učiaci sa režim (maximálne 14 dní). Po uplynutí nastaveného časového obdobia sa vám zobrazí výzva na upravenie pravidiel, ktoré boli vytvorené systémom HIPS počas učiaceho sa režimu. Môžete tiež zvoliť iný režim filtrovania alebo oddialiť svoje rozhodnutie a používať učiaci sa režim aj naďalej.

Režim, ktorý sa nastaví po skončení učiaceho sa režimu – vyberte režim filtrovania, ktorý bude aktivovaný po ukončení učiaceho sa režimu. Možnosť Spýtať sa používateľa vyžaduje oprávnenia správcu, ak chcete vykonávať zmeny režimu filtrovania HIPS.

Systém HIPS monitoruje udalosti vnútri operačného systému a reaguje na ne podľa pravidiel, ktoré sú štruktúrou podobné pravidlám firewallu. Kliknutím na Upraviť vedľa položky Pravidlá otvoríte editor pravidiel HIPS. V tomto okne môžete označiť, pridať, upraviť alebo odstrániť pravidlá. Viac informácií o vytváraní pravidiel a operáciách HIPS nájdete v kapitole Úprava pravidla HIPS.