Система предотвращения вторжений на узел (HIPS)

MONITOR_RED ВНИМАНИЕ!

Изменения в параметры системы HIPS должны вносить только опытные пользователи. Неправильная настройка этих параметров может привести к нестабильной работе системы.

Система предотвращения вторжений на узел (HIPS) защищает от вредоносных программ и другой нежелательной активности, которые пытаются отрицательно повлиять на безопасность компьютера. В системе предотвращения вторжений на узел используется расширенный анализ поведения в сочетании с возможностями сетевой фильтрации по обнаружению, благодаря чему отслеживаются запущенные процессы, файлы и разделы реестра. Система предотвращения вторжений на узел отличается от защиты файловой системы в режиме реального времени и не является файерволом; она только отслеживает процессы, запущенные в операционной системе.

Параметры HIPS доступны в разделе Дополнительные настройки (F5) > Защита от вирусов > Система предотвращения вторжений на узел > Основные. Состояние HIPS (включено/отключено) отображается в главном окне программы ESET Internet Security, в разделе Настройка > Защита компьютера.

CONFIG_HIPS

использует встроенную технологии самозащиты, которая не позволяет вредоносным программам повреждать или отключать защиту от вирусов и шпионских программ. Благодаря этому пользователь всегда уверен в защищенности компьютера. Чтобы отключить систему HIPS или функцию самозащиты, требуется перезагрузить Windows.

Включить защищенную службу: включается защита на уровне ядра (Windows 8.1, 10).

Расширенный модуль сканирования памяти работает в сочетании с блокировщиком эксплойтов, чем обеспечивается усиленная защита от вредоносных программ, которые могут избегать обнаружения продуктами для защиты от вредоносных программ за счет использования умышленного запутывания или шифрования. Расширенный модуль сканирования памяти по умолчанию включен. Дополнительную информацию об этом типе защиты см. в глоссарии.

Блокировщик эксплойтов предназначен для защиты приложений, которые обычно уязвимы для эксплойтов, например браузеров, программ для чтения PDF-файлов, почтовых клиентов и компонентов MS Office. Блокировщик эксплойтов по умолчанию включен. Дополнительную информацию об этом типе защиты см. в глоссарии.

Защита от программ-шантажистов — это еще один уровень защиты, функционирующий как часть компонента предотвращения вторжений на узел. Для работы модуля защиты от программ-шантажистов необходимо, чтобы система репутации LiveGrid была включена. Дополнительную информацию об этом типе защиты см. здесь.
 

Доступны четыре режима фильтрации.

Автоматический режим: включены все операции за исключением тех, что заблокированы посредством предварительно заданных правил, предназначенных для защиты компьютера.

Интеллектуальный режим: пользователь будет получать уведомления только об очень подозрительных событиях.

Интерактивный режим: пользователю будет предлагаться подтверждать операции.

Режим на основе политики: операции блокируются.

Режим обучения: операции включены, причем после каждой операции создается правило. Правила, создаваемые в таком режиме, можно просмотреть в редакторе правил, но их приоритет ниже, чем у правил, создаваемых вручную или в автоматическом режиме. Если в раскрывающемся списке режимов фильтрации HIPS выбран режим обучения, становится доступным параметр Режим обучения завершится. Выберите длительность использования режима обучения. Максимальная длительность — 14 дней. Когда указанный период завершится, вам будет предложено изменить правила, созданные системой HIPS в режиме обучения. Кроме того, можно выбрать другой режим фильтрации или отложить решение и продолжить использовать режим обучения.

Режим задан после завершения режима обучения: выберите режим фильтрации, который будет действовать по окончании использования режима обучения.

Система предотвращения вторжений на узел отслеживает события в операционной системе и реагирует на них на основе правил, аналогичных правилам персонального файервола. Нажмите кнопку Изменить, чтобы открыть окно управления правилами системы HIPS. Здесь можно выбирать, создавать, изменять и удалять правила.

В следующем примере будет показано, как ограничить нежелательное поведение приложений.

1.Присвойте правилу имя и выберите Блокировать в раскрывающемся меню Действие.

2.Активируйте переключатель Уведомить пользователя, чтобы уведомление отображалось при каждом применении правила.

3.Выберите хотя бы одну операцию, к которой будет применяться правило. В окне Исходные приложения выберите в раскрывающемся списке вариант Все приложения. Новое правило будет применяться ко всем приложениям, которые будут пытаться выполнить любое из выбранных действий по отношению к указанным приложениям.

4.Выберите Изменить состояние другого приложения (все операции описаны в справке по программе, которую можно открыть, нажав клавишу F1)..

5.Выберите в раскрывающемся списке вариант Определенные приложения и добавьте одно или несколько приложений, которые нужно защитить.

6.Нажмите кнопку Готово, чтобы сохранить новое правило.

CONFIG_HIPS_RULES_EXAMPLE