Host-based Intrusion Prevention System (HIPS)


warning

Seul un utilisateur d'expérience devrait apporter des modifications aux paramètres de HIPS. Une mauvaise configuration des paramètres HIPS peut rendre le système instable.

Le Système de prévention des intrusions sur l'ordinateur hôte (HIPS) protège votre système des logiciels malveillants ou de toute activité indésirable qui tentent de nuire à votre ordinateur. Il utilise, pour ce faire, une analyse comportementale évoluée combinée aux fonctionnalités de détection de filtrage du réseau utilisées dans la surveillance des processus en cours, fichiers et clés de registre. Le système HIPS diffère de la protection en temps réel du système de fichiers et ce n'est pas un pare-feu. Il surveille uniquement les processus en cours d'exécution au sein du système d'exploitation.

Vous pouvez accéder aux paramètres de HIPS dans Configuration avancée (touche F5) Moteur de détection > HIPS > Général. L'état du HIPS (activé/désactivé) s'affiche dans la fenêtre principale du programme ESET Endpoint Security sous Configuration > Ordinateur.

CONFIG_HIPS

De base

Activer HIPS – HIPS est activé par défaut dans ESET Endpoint Security. La désactivation de HIPS désactivera le reste des fonctionnalités HIPS telles que le Bloqueur d'exploit.

Activer Autodéfense – ESET Endpoint Security comporte une technologie d'autodéfense intégrée faisant partie de HIPS qui empêche les logiciels malveillants de corrompre ou de désactiver votre protection antivirus et antispyware. L'autodéfense protège le système crucial et les processus d'ESET, les clés de registre et les fichiers contre les falsifications. L'agent ESET Management est également protégé lorsqu'il est installé.

Activer le service protégé - Active la protection du Service ESET (ekrn.exe). Lorsqu'il est activé, le service est démarré en tant que processus Windows protégé pour défendre les attaques de logiciels malveillants. Cette option est disponible dans Windows 8.1 et dans Windows 10.

Activer l'analyseur avancé de la mémoire - fonctionne avec le Bloqueur d'exploit pour renforcer la protection contre les logiciels malveillants qui ont été conçus pour contourner la détection par les protection anti-logiciels malveillants en utilisant l'obscurcissement ou le chiffrement. L'analyseur avancé de la mémoire est activé par défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire.

Activer le Bloqueur d'exploit - cette fonction est conçue pour protéger les types d'applications souvent exploités, comme les navigateurs, les lecteurs les PDF, les clients de messagerie et les composants MS Office. Le bloqueur d'exploit est activé par défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire.

Inspection approfondie de comportement

Activer l'inspection approfondie de comportement - Il s'agit d'une autre couche de protection qui fait partie de la fonctionnalité HIPS. Cette extension de HIPS analyse le comportement de tous les programmes en cours d'exécution sur l'ordinateur et vous avertit si le comportement du processus est malveillant.

Les exclusions HIPS de l'inspection approfondie de comportement vous permettent d'exclure des processus de l'analyse. Pour s'assurer que tous les processus sont analysés à la recherche de menaces possibles, nous recommandons de ne créer des exclusions que lorsque cela est absolument nécessaire.

Bouclier anti-rançongiciel

Activer le Bouclier anti-rançongiciels - il s'agit d'une autre couche de protection qui fait partie de la fonctionnalité HIPS. Le système de réputation ESET LiveGrid® doit être activé pour que le bouclier anti-rançongiciels fonctionne. Pour en savoir plus sur ce type de protection, cliquez sur ce lien.

Activer le mode d'audit - Tout ce qui est détecté par le bouclier contre les rançongiciels n'est pas automatiquement bloqué, mais enregistré avec une gravité d'avertissement et envoyé à la console de gestion avec l'indicateur « AUDIT MODE ». L'administrateur peut décider soit d'exclure une telle détection pour empêcher toute détection ultérieure, soit de la garder active, ce qui signifie qu'une fois le mode Audit terminé, elle sera bloquée et supprimée. L'activation ou la désactivation du mode Audit sera également enregistrée dans ESET Endpoint Security. Cette option est disponible uniquement dans ESET PROTECT ou dans l'éditeur de configuration de la politique d'ESMC.

Configuration HIPS

Le filtrage peut être effectué selon l'un des modes suivants :

Mode de filtrage

Description

Mode automatique

Les opérations sont activées, à l'exception de celles bloquées par des règles prédéfinies qui protègent votre système.

Mode intelligent

L'utilisateur ne sera informé que des événements vraiment suspects.

Mode interactif

L'utilisateur sera invité à confirmer les opérations.

Mode basé sur des règles personnalisées

Boque toutes les opérations qui ne sont pas définies par une règle précise qui les autorise.

Mode d'apprentissage

Les opérations sont activées et une règle est créée, après chaque opération. Les règles créées dans ce mode peuvent être affichées dans l'Éditeur des Règles HIPS, mais leur priorité sera inférieure aux règles créées manuellement ou en mode automatique. Lorsque vous sélectionnez le mode d'apprentissage dans le menu déroulant Mode de filtrage HIPS, le paramètre Mode d'apprentissage se termine le devient disponible. Sélectionnez la plage de temps pendant laquelle vous souhaitez que le mode d'apprentissage soit activé; la durée maximale est de 14 jours. Une fois que la durée indiquée sera écoulée, vous serez invité à modifier les règles créées par HIPS alors qu'il était en mode d'apprentissage. Vous pouvez également choisir un mode de filtrage différent, ou reporter la décision et continuer à utiliser le mode d'apprentissage.

Mode défini après l'expiration du mode d'apprentissage - Sélectionnez le mode de filtrage qui sera utilisé après l'expiration du mode d'apprentissage. Après expiration, l'option Demander à l'utilisateur nécessite des privilèges administratifs pour effectuer une modification du mode de filtrage HIPS.

Le système HIPS surveille les événements qui se produisent dans le système d'exploitation et réagit à ces derniers en fonction des règles semblables à celles utilisées par le pare-feu. Cliquez sur Modifier à côté de Règles pour ouvrir l'éditeur des règles HIPS. Dans la fenêtre des règles HIPS, vous pouvez sélectionner, ajouter, modifier ou supprimer des règles. Plus de détails sur la création de règles et les opérations HIPS sont disponibles dans Modifier une règle HIPS.