System zapobiegania włamaniom działający na hoście (HIPS)


warning

Zmiany w ustawieniach systemu HIPS powinni wprowadzać jedynie doświadczeni użytkownicy. Nieprawidłowe skonfigurowanie ustawień systemu HIPS może spowodować niestabilność systemu.

System zapobiegania włamaniom działający na hoście (ang. Host-based Intrusion Prevention System, HIPS) chroni system operacyjny przed szkodliwym oprogramowaniem i niepożądanymi działaniami mającymi na celu wywarcie negatywnego wpływu na komputer użytkownika. W rozwiązaniu tym używana jest zaawansowana analiza behawioralna powiązana z metodami wykrywania stosowanymi w filtrze sieciowym. Dzięki temu system HIPS monitoruje uruchomione procesy, pliki i klucze rejestru. System HIPS jest modułem oddzielnym względem ochrony systemu plików w czasie rzeczywistym i nie jest zaporą.

Ustawienia systemu HIPS można znaleźć w obszarze Ustawienia zaawansowane (F5) > Silnik detekcji > System HIPS > Podstawowe. Stan systemu HIPS (włączony/wyłączony) widoczny jest w oknie głównym programu ESET Endpoint Security, w obszarze Ustawienia > Komputer.

CONFIG_HIPS

Podstawowe

Włącz system HIPS — w programie ESET Endpoint Security system HIPS jest domyślnie włączony. Wyłączenie go spowoduje dezaktywację pozostałych funkcji systemu HIPS, takich jak Blokada programów typu Exploit.

Włącz technologię Self-Defense — program ESET Endpoint Security ma wbudowaną technologię Self-Defense, która stanowi element systemu HIPS i zapobiega uszkodzeniu lub wyłączeniu ochrony antywirusowej oraz antyspyware przez szkodliwe oprogramowanie. Technologia Self-Defense chroni przed modyfikacją najważniejsze procesy systemowe i procesy oprogramowania ESET, klucze rejestru oraz pliki. Chronione jest również oprogramowanie ESET Management Agent, o ile jest zainstalowane.

Włącz usługę chronioną – włącza ochronę usługi ESET (ekrn.exe). Po włączeniu usługa jest uruchamiana jako chroniony proces systemu Windows w celu ochrony przed atakami szkodliwego oprogramowania. Ta opcja jest dostępna w systemie Windows 8.1 i Windows 10.

Włącz zaawansowany skaner pamięci — działa w połączeniu z blokadą programów typu Exploit w celu wzmocnienia ochrony przed szkodliwym oprogramowaniem, które unika wykrycia przez produkty do ochrony przed takim oprogramowaniem poprzez zastosowanie zaciemniania kodu i/lub szyfrowania. Zaawansowany skaner pamięci jest domyślnie włączony. Więcej informacji na temat ochrony tego typu można znaleźć w słowniczku.

Włącz blokadę programów typu Exploit — ta opcja ma na celu wzmocnienie ochrony typów aplikacji będących często celami ataków, takich jak przeglądarki internetowe, przeglądarki plików PDF, programy poczty e-mail oraz składniki pakietu MS Office. Blokada programów typu Exploit jest domyślnie włączona. Więcej informacji na temat ochrony tego typu można znaleźć w słowniczku.

Głęboka inspekcja behawioralna

Włącz głęboką inspekcję behawioralną — kolejna warstwa ochrony w ramach funkcji HIPS. To rozszerzenie HIPS analizuje zachowanie wszystkich programów działających na komputerze i ostrzega, jeśli to zachowanie jest szkodliwe.

Wyłączenia systemu HIPS z głębokiej inspekcji behawioralnej pozwalają wykluczyć z analizy wybrane procesy. Aby zapewnić skanowanie wszystkich procesów pod kątem zagrożeń, zaleca się tworzenie wyłączeń tylko wtedy, gdy jest to absolutnie konieczne.

Ochrona przed oprogramowaniem wymuszającym okup

Włącz ochronę przed oprogramowaniem wymuszającym okup — kolejna warstwa ochrony będąca elementem systemu HIPS. Aby ochrona przed oprogramowaniem wymuszającym okup mogła działać, należy włączyć system reputacji ESET LiveGrid®. Dowiedz się więcej na temat ochrony tego typu.

Włącz tryb audytu – wszystkie elementy wykrywane przez ochronę przed oprogramowaniem wymuszającym okup nie są automatycznie blokowane, lecz zapisywane w dzienniku z ważnością ostrzeżenia oraz wysyłane do konsoli zarządzania z flagą „TRYB AUDYTU”. Administrator może zadecydować, aby wykluczyć takie wykrycie w celu zapobiegania dalszemu wykrywaniu, bądź zachować je jako aktywne, co oznacza, że po zakończeniu trybu audytu zostanie zablokowane i usunięte. Włączenie/wyłączenie trybu audytu zostanie również zapisane w dzienniku programu ESET Endpoint Security. Ta opcja jest dostępna tylko w edytorze konfiguracji polityki ESET PROTECT.

Ustawienia HIPS

Tryb filtrowania może działać w jednym z następujących trybów:

Tryb filtrowania

Opis

Tryb automatyczny

dozwolone są wszystkie operacje z wyjątkiem operacji zablokowanych przez wstępnie zdefiniowane reguły chroniące komputer.

Tryb inteligentny

użytkownik będzie powiadamiany wyłącznie o szczególnie podejrzanych zdarzeniach.

Tryb interaktywny

Użytkownik jest monitowany o potwierdzenie operacji.

Tryb oparty na regułach

blokuje wszystkie operacje niezdefiniowane przez określoną regułę, która na nie zezwala.

Tryb uczenia się

Operacje są włączane, a po każdej operacji tworzona jest reguła. Reguły utworzone w tym trybie można przeglądać w oknie edytora reguł systemu HIPS. Mają one niższy priorytet niż reguły utworzone ręcznie i reguły utworzone w trybie automatycznym. Po wybraniu trybu uczenia się z menu rozwijanego trybu filtrowania udostępnione zostanie ustawienie Termin zakończenia trybu uczenia się. Maksymalny dostępny czas to 14 dni. Po upływie wskazanego czasu zostanie wyświetlony monit o przeprowadzenie edycji reguł utworzonych przez system HIPS w trybie uczenia się. Można również wybrać różne tryby filtrowania lub odroczyć podjęcie decyzji i kontynuować korzystanie z trybu uczenia się.

Tryb ustawiany po zakończeniu trybu uczenia się — umożliwia wybranie trybu filtrowania, który będzie stosowany po zakończeniu trybu uczenia się. Po zakończeniu tego trybu opcja Zapytaj użytkownika będzie wymagać uprawnień administracyjnych, aby wprowadzić zmiany w trybie filtrowania systemu HIPS.

System HIPS monitoruje zdarzenia w systemie operacyjnym i reaguje na nie na podstawie reguł podobnych do reguł używanych przez zaporę. Kliknięcie opcji Edytuj obok pozycji Reguły powoduje otwarcie okna edytora reguł systemu HIPS. W oknie zarządzania regułami systemu HIPS można dodawać, edytować oraz usuwać reguły. Więcej informacji na temat tworzenia reguł i operacji systemu HIPS zawiera artykuł Edytowanie reguły HIPS.