基于主机的入侵预防系统 (HIPS)

warning

警告

对 HIPS 设置的更改仅应由有经验的用户进行。HIPS 设置的错误配置可能会导致系统不稳定。

基于主机的入侵防御系统 (HIPS) 可保护您的系统,以免恶意软件和任何不受欢迎的活动试图对您的计算机产生不利影响。HIPS 利用高级行为分析并配合网络过滤的检测功能来监视正在运行的进程、文件和注册表项。HIPS 独立于文件系统实时防护,并且不是防火墙;它仅监视在操作系统中运行的进程。

HIPS 设置可以在高级设置 (F5) > 检测引擎 > HIPS > 基本中找到。HIPS 状态(已启用/已禁用)显示在 ESET Endpoint Security 主程序窗口中(在设置 > 计算机内)。

CONFIG_HIPS

基本

启用 HIPS - 在 ESET Endpoint Security 中,默认启用 HIPS。关闭 HIPS 会禁用其余 HIPS 功能(如漏洞利用阻止程序)。

启用自我防御 - ESET Endpoint Security 使用内置的自我防御技术作为 HIPS 的一部分,来防止恶意软件损坏或禁用病毒和间谍软件防护。自我防御可保护关键系统以及 ESET 的进程、注册表项和文件免于遭篡改。ESET Management 服务器代理在安装时也受到保护。

启用受保护的服务 - 针对 ESET 服务 (ekrn.exe) 启用防护。如果启用,服务会作为受保护的 Windows 进程启动,以抵御恶意软件的攻击。此选项在 Windows 8.1 和 Windows 10 中可用。

启用高级内存扫描程序 - 与漏洞利用阻止程序结合使用以增强对恶意软件的防范,后者旨在通过迷惑或加密方法来逃过反恶意软件产品的检测。默认启用高级内存扫描程序。请阅读词汇表中有关此类防护的更多信息。

启用漏洞利用阻止程序 - 旨在强化那些经常被漏洞利用的应用程序类型,例如 Web 浏览器、PDF 阅读器、电子邮件客户端和 MS Office 组件。默认启用漏洞利用阻止程序。请阅读词汇表中有关此类防护的更多信息。

深度行为检测

启用深度行为检测 – 另一层防护,起到部分 HIPS 功能的作用。此 HIPS 的扩展会分析计算机上所有正在运行的程序的行为,并在进程的行为可疑时发出警告。

从深度行为检测的 HIPS 排除可将进程排除在分析之外。若要确保扫描所有进程以查找可能的威胁,我们建议仅在绝对必要时才创建排除。

勒索软件防护

启用勒索软件防护 - 是作为 HIPS 功能一部分工作的另一层保护。必须启用 ESET LiveGrid® 信誉系统才能使勒索软件防护工作。请阅读有关此类防护的更多信息

启用审核模式 - 勒索软件防护检测到的所有内容不会自动进行阻止,但会以严重警告记录并发送到管理控制台(带有“AUDIT MODE”标志)。管理员可以决定排除此类检测以防止进一步检测,还是使其保持活动状态,这意味着在“审核模式”结束后,它会被阻止并删除。启用/禁用“审核模式”也会记录在 ESET Endpoint Security 中。此选项仅在 ESMC 或 ESET PROTECT Cloud 策略配置编辑器中可用。

HIPS 设置

可以使用以下模式之一执行过滤模式

过滤模式

说明

自动模式

启用操作(除了保护系统的预定义规则所阻止的操作)。

智能模式

仅通知用户极为可疑的事件。

交互模式

将提示用户确认操作。

基于策略的模式

阻止所有未由允许它们的特定规则定义的操作。

学习模式

启用操作,并在每次操作后创建规则。在此模式下创建的规则可以在HIPS 规则编辑器中查看,但其优先级低于手动创建的规则或在自动模式下创建的规则的优先级。当选择 学习模式(从 过滤模式下拉菜单中)时,学习模式结束时间设置将变为可用。选择要采用学习模式的时间范围,最长持续时间为 14 天。当指定的持续时间过去后,将会提示您编辑当 HIPS 处于学习模式中时所创建的规则。还可以选择其他过滤模式,或推迟决定并继续使用学习模式。

学习模式到期之后设置的模式 - 在学习模式到期后选择将使用的过滤模式。过期后,询问用户选项需要管理权限来执行对 HIPS 过滤模式的更改。

HIPS 系统监控操作系统内的事件,并根据规则(类似于防火墙使用的规则)相应地对事件作出反应。单击规则旁边的编辑以打开 HIPS 规则编辑器。在 HIPS 规则窗口中,可以选择、添加、编辑或删除规则。有关规则创建和 HIPS 操作的更多信息,可以在编辑 HIPS 规则中找到。