Система предотвращения вторжений на узел (HIPS)

Изменения в параметры системы HIPS должны вносить только опытные пользователи. Неправильная настройка этих параметров может привести к нестабильной работе системы.

Система предотвращения вторжений на узел (HIPS) защищает от вредоносных программ и другой нежелательной активности, которые пытаются отрицательно повлиять на безопасность компьютера. В системе предотвращения вторжений на узел используется расширенный анализ поведения в сочетании с возможностями сетевой фильтрации по обнаружению, благодаря чему отслеживаются запущенные процессы, файлы и разделы реестра. Система предотвращения вторжений на узел отличается от защиты файловой системы в режиме реального времени и не является файерволом; она только отслеживает процессы, запущенные в операционной системе.

Параметры HIPS доступны в разделе Дополнительные настройки (F5) > Антивирус > Система предотвращения вторжений на узел > Основные сведения. Состояние HIPS (включено/отключено) отображается в главном окне программы ESET Smart Security, в разделе Установка > Защита компьютера.

CONFIG_HIPS

использует встроенную технологии самозащиты, которая не позволяет вредоносным программам повреждать или отключать защиту от вирусов и шпионских программ. Благодаря этому пользователь всегда уверен в защищенности компьютера. Чтобы отключить систему HIPS или функцию самозащиты, требуется перезагрузить Windows.

Расширенный модуль сканирования памяти работает в сочетании с блокировщиком эксплойтов, чем обеспечивается усиленная защита от вредоносных программ, которые могут избегать обнаружения продуктами для защиты от вредоносных программ за счет использования умышленного запутывания или шифрования. Расширенный модуль сканирования памяти по умолчанию включен. Дополнительную информацию об этом типе защиты см. в глоссарии.

Блокировщик эксплойтов предназначен для защиты приложений, которые обычно уязвимы для эксплойтов, например браузеров, программ для чтения PDF-файлов, почтовых клиентов и компонентов MS Office. Блокировщик эксплойтов по умолчанию включен. Дополнительную информацию об этом типе защиты см. в глоссарии.

Доступны четыре режима фильтрации.

Автоматический режим: включены все операции за исключением тех, что заблокированы посредством предварительно заданных правил, предназначенных для защиты компьютера.

Интеллектуальный режим: пользователь будет получать уведомления только об очень подозрительных событиях.

Интерактивный режим: пользователю будет предлагаться подтверждать операции.

Режим на основе политики: операции блокируются.

Режим обучения: операции включены, причем после каждой операции создается правило. Правила, создаваемые в таком режиме, можно просмотреть в редакторе правил, но их приоритет ниже, чем у правил, создаваемых вручную или в автоматическом режиме. Если в раскрывающемся списке режимов фильтрации HIPS выбран режим обучения, становится доступным параметр Режим обучения завершится. Выберите длительность для режима обучения. Максимальная длительность — 14 дней. Когда указанный период завершится, вам будет предложено изменить правила, созданные системой HIPS в режиме обучения. Кроме того, можно выбрать другой режим фильтрации или отложить решение и продолжить использовать режим обучения.

Система предотвращения вторжений на узел отслеживает события в операционной системе и реагирует на них соответствующим образом на основе правил, которые аналогичны правилам персонального файервола. Нажмите кнопку Изменить, чтобы открыть окно управления правилами системы HIPS. Здесь можно выбирать, создавать, изменять и удалять правила.

В следующем примере будет показано, как ограничить нежелательное поведение приложений.

1.Присвойте правилу имя и выберите Блокировать в раскрывающемся меню Действие.
2.Активируйте переключатель Уведомить пользователя, чтобы уведомление отображалось при каждом применении правила.
3.Выберите хотя бы одну операцию, к которой будет применяться правило. В окне Исходные приложения выберите в раскрывающемся списке вариант Все приложения. Новое правило будет применяться ко всем приложениям, которые будут пытаться выполнить любое из выбранных действий по отношению к указанным приложениям.
4.Выберите Изменить состояние другого приложения (все операции описаны в справке по программе, которую можно открыть, нажав клавишу F1)..
5.Выберите в раскрывающемся списке вариант Определенные приложения и добавьте одно или несколько приложений, которые нужно защитить.
6.Нажмите кнопку Готово, чтобы сохранить новое правило.

CONFIG_HIPS_RULES_EXAMPLE