Система виявлення вторгнень (HIPS)
|
Попередження Зміни до параметрів HIPS має вносити лише досвідчений користувач. Оскільки помилка в налаштуваннях може призвести до нестабільності системи. |
Система виявлення вторгнень (HIPS) захищає комп’ютер від шкідливих програм і небажаної активності, що негативно впливає на його роботу. Система HIPS використовує розширений поведінковий аналіз і можливості системи виявлення на основі мережного фільтра для стеження за запущеними процесами, файлами та розділами реєстру. Система HIPS працює окремо від захисту файлової системи в режимі реального часу та не є брандмауером: вона лише відстежує процеси, запущені в операційній системі.
Параметри HIPS можна знайти в меню Додаткові параметри (F5) > Ядро виявлення > HIPS > Базові. Інформація про стан системи HIPS (увімкнута/вимкнута) відображається в головному вікні програми ESET Endpoint Security (розділ Параметри > Комп’ютер).
Базові
Увімкнути HIPS: систему запобігання вторгненням (HIPS) увімкнено за замовчуванням у ESET Endpoint Security. Вимкнення HIPS призведе до деактивації решти функцій HIPS, зокрема функції «Захист від експлойтів».
Увімкнути самозахист: ESET Endpoint Security використовує вбудовану технологію самозахисту (складова системи запобігання вторгненням (HIPS)), яка не дозволяє шкідливому програмному забезпеченню пошкоджувати або відключати антивірусні та антишпигунські модулі. Система самозахисту захищає критично важливі процеси системи та програми ESET, розділи реєстру та файли від маніпуляцій. Інстальований ESET Management Agent також захищено.
Увімкнути захищену службу: вмикає захист для ESET Service (ekrn.exe). Якщо цей параметр увімкнено, ця служба запускається як захищений процес Windows, забезпечуючи захист від атак із боку шкідливого програмного забезпечення. Цей параметр доступний у Windows 8.1 і Windows 10.
Увімкнути вдосконалений сканер пам’яті: працює разом із засобом захисту від експлойтів. Він посилює захист від зловмисного ПЗ, призначеного для обходу захисних продуктів за допомогою обфускації або шифрування. Удосконалений сканер пам’яті ввімкнено за замовчуванням. Докладніше про цей тип захисту див. в глосарії.
Увімкнути захист від експлойтів: служить для захисту програм, які зазвичай використовуються для зараження системи, зокрема веб-браузерів, засобів читання PDF, клієнтів електронної пошти й компонентів MS Office. Захист від експлойтів увімкнуто за замовчуванням. Докладніше про цей тип захисту див. в глосарії.
Глибока перевірка поведінки
Увімкнути глибоку перевірку поведінки: це ще один засіб захисту, який включено до системи HIPS. Це розширення HIPS аналізує поведінку всіх програм, запущених на комп’ютері, та попереджає вас про підозрілу поведінку процесу.
У розділі Виключення HIPS із глибокої перевірки поведінки можна виключити процеси з перевірки. Щоб система сканувала всі процеси на наявність загроз, рекомендуємо створювати виключення лише за крайньої потреби.
Захист від програм, які вимагають викуп
Увімкнути захист від програм-вимагачів: це ще один засіб захисту, який включено до системи HIPS. Щоб такий тип захисту працював, потрібно мати систему перевірки репутації ESET LiveGrid®. Докладніше про цей тип захисту можна прочитати тут.
Увімкнути режим аудиту: жоден об’єкт, виявлений модулем "Захист від програм-вимагачів", не блокуватимуться автоматично. Натомість, усі ці об’єкти заноситимуться до журналу з попередженням і надсилатимуться на консоль керування з прапорцем "AUDIT MODE (РЕЖИМ АУДИТУ)". Адміністратор може виключити такий об’єкт, щоб більше не виявляти його, або залишити його активним. В останньому разі після завершення аудиту об’єкт буде заблоковано й видалено. Увімкнення/вимкнення режиму аудиту також записується в журнал ESET Endpoint Security. Цей параметр доступний тільки в ESMC або редакторі конфігурації ESET PROTECT Cloud.
Параметри HIPS
Режим фільтрації може виконуватися в одному з таких режимів:
Опис |
|
Автоматичний режим |
операції ввімкнено (окрім заблокованих попередньо визначеними правилами, які захищають систему). |
Інтелектуальний режим |
користувач отримуватиме сповіщення лише про дуже підозрілі події. |
Інтерактивний режим |
користувач має підтверджувати виконання операцій. |
Режим на основі положень політики |
блокує всі операції, які не визначені певним правилом, що дозволяє їх. |
Режим навчання |
Операції ввімкнено, а після кожної створюється правило. Правила, створені в цьому режимі, можна переглянути в редакторі Правила HIPS, проте їх пріоритет нижчий за пріоритет правил, створених уручну або в автоматичному режимі. Якщо вибрати Режим навчання в розкривному меню Режим фільтрації, параметр Режим навчання буде вимкнено о буде ввімкнуто. Виберіть тривалість використання режиму навчання (максимум 14 днів). Після завершення зазначеного періоду відобразиться запит на зміну правил, створених системою HIPS у режимі навчання. Також можна вибрати інший режим фільтрації або відкласти рішення й продовжити використання режиму навчання. |
Установлено після виходу з режиму навчання: укажіть режим фільтрації, який застосовуватиметься після завершення роботи в режимі навчання. Після завершення строку дії зміна режиму фільтрації HIPS за допомогою опції Запитувати користувача потребуватиме наявності прав адміністратора.
Система HIPS контролює події в операційній системі та реагує на них відповідно до правил, подібних до тих, які використовує брандмауер. Щоб відкрити редактор правил HIPS, натисніть Змінити біля елемента Правила. У вікні правил HIPS можна вибирати, додавати, змінювати й вилучати правила. Докладніше про створення правил і операції HIPS див. в розділі Змінення правила HIPS.