×
Подпишитесь на наш дайджест и получайте подборку самых интересных материалов сайта за месяц!
«Мы ESET» – сообщество пользователей антивируса ESET NOD32. Мы живем в разных городах, общаемся с разными людьми, но всех нас объединяет надежная защита ESET.
21 марта 2017 9693

Враг не пройдет. Руководство по настройке HIPS в продуктах ESET NOD32

Пытливый ум часто подталкивает технически подкованных пользователей к смелым экспериментам. Читатель «Мы ESET» Дмитрий Минаев предложил провести ликбез по тонкой настройке правил HIPS, и мы не можем ему отказать.

Система предотвращения вторжений на узел (HIPS) появилась в 4-м поколении антивирусных продуктов ESET. Она защищает компьютер от потенциально опасных программ.

В 10-м появился новый модуль «Защита от программ-вымогателей» , созданный для борьбы с блокировщиками и шифраторами. HIPS использует расширенный анализ поведения и возможности сетевой фильтрации. Это позволяет отслеживать запущенные процессы, файлы и реестр.

Система HIPS объединяет ряд модулей для борьбы с различными типами угроз. Каждый из них можно настроить вручную, «под себя».

«Заводских настроек» должно быть достаточно для домашнего пользователя (например, модуль «Защита от программ-вымогателей» активирован в HIPS по умолчанию). При желании можно задать более высокий уровень ограничений (но это может увеличить процент ложных срабатываний).

Если вам все-таки хочется поиграть с настройками, мы подскажем, на что обратить внимание, и рассмотрим простой пример создания правила для системы HIPS.

Предупреждение: Изменение предустановленных параметров системы HIPS рекомендуется только для опытных пользователей.



Параметры HIPS находятся в разделе «Расширенные параметры»:


F5 — Защита от вирусов —HIPS — Основное



 Доступны 4 режима фильтрации:


  • Автоматический режим: включены все операции (за исключением тех, что были заблокированы с помощью предварительно заданных правил).
  • Интеллектуальный режим: пользователь будет получать уведомления только об очень подозрительных событиях.
  • Интерактивный режим: пользователю будет предлагаться подтверждать операции.
  • Режим на основе политики: операции блокируются.

Кроме того, существует Режим обучения, о котором можно узнать здесь.




  • Имя правила — задается пользователем или выбирается автоматически
  • Действие — выбор операции, которая будет выполнена при определенных условиях (например, разрешить или запретить вмешательство в текущие процессы)
  • Операции влияния — выбор операций, к которым будет применяться правило. Правило будет использоваться только для операций данного типа и для выбранного объекта. Сюда входят приложения, файлы и записи реестра.



Приложения  — в раскрывающемся списке выберите «Определенные приложения», нажмите «Добавить» и выберите нужные приложения. Или выберите пункт «Все приложения».

Файлы
— в раскрывающемся списке выберите пункт «Определенные файлы» и нажмите «Добавить», чтобы добавить новые файлы или папки. Или выберите «Все файлы».


Записи реестра — в раскрывающемся списке выберите пункт «Определенные записи» и и нажмите «Добавить» для ввода вручную. Или откройте редактор реестра для выбора параметра в реестре. Также можно выбрать «Все записи» чтобы добавить все приложения.

Основные операции и настройки включают операции с приложениями, файлами и реестром. Их описание можно посмотреть здесь.


Дополнительные настройки:

  • Включено — отключите параметр, чтобы правило не использовалось, но осталось в списке
  • Журнал — включить параметр, чтобы информация о правиле записывалась в журнал HIPS
  • Уведомить пользователя — запуск события вызовет всплывающее окно в правом нижнем углу экрана

Пример настроек HIPS:
  1. Задайте имя для правила.
  2. В раскрывающемся меню «Действие» выберите «Блокировать».
  3. Активируйте переключатель «Уведомить пользователя», чтобы всплывающее окно появлялось при каждом применении правила.
  4. Выберите операцию, к которой будет применяться правило. В окне «Исходные приложения» выберите «Все приложения».
  5. Выберите «Изменить состояние другого приложения».
  6. Выберите «Определенные приложения» и добавьте одно или несколько приложений, которые нужно защитить.
  7. Нажмите «Готово», чтобы сохранить правило.




Больше узнать о HIPS можно здесь.

Остались вопросы? Пишите на sdd@esetnod32.ru

Комментарии

0
Оставьте комментарий!