Einzelheiten
ESET's Host-based Intrusion Prevention System (HIPS) ist in ESET Smart Security Premium, ESET Smart Security, ESET Internet Security und ESET NOD32 Antivirus enthalten.
Lösung
Einige Einstellungen zur Überwachung des Systems durch HIPS sind in den Erweiterten Einstellungen zugänglich. Sie können die Einstellungen von HIPS folgendermaßen finden:
-
Öffnen Sie Ihr Windows ESET Produkt.
-
Drücken Sie F5, um die Erweiterten Einstellungen zu öffnen.
-
Erweitern Sie Virenschutz und klicken auf HIPS.
Abbildung 1-1
Klicken Sie in das Bild für eine vergrößerte Darstellung in einem neuen Fenster
Auf folgende Einstellungen können Sie über das HIPS-Modul zugreifen:
HIPS aktivieren: Wählen Sie diesen Schieberegler, um HIPS wieder zu aktivieren, falls es deaktiviert wurde.
Selbstschutz aktivieren: Aktivieren Sie den HIPS Selbstschutz-Mechanismus, falls dieser deaktivert ist.
Erweiterte Speicherprüfung aktivieren: Zusammen mit dem Exploit-Blocker ist diese Funktion dafür ausgelegt, um den Schutz gegen moderne Malware zu verstärken.
Exploit-Blocker aktivieren: Der Exploit-Blocker ist dafür ausgelegt, um oft ausgenutzte Anwendungen wie Webbrower, PDF Betrachter, E-Mail-Programme und Microsoft Office Komponenten abzusichern. Der Exploit-Blocker unterstützt von nun an auch Java und unterstützt die damit verbundene Erkennung und den Schutz dieser Art von Anfälligkeiten.
Ransomware-Schutz aktivieren: Überwacht das Verhalten von Anwendungen und Prozessen, die versuchen persönliche Daten zu verändern. Bösartige Anwendungen werden geblockt oder der Benutzer wird aufgefordert diese zu blocken oder zuzulassen.
Filtermodus: Hier kann zwischen fünf verschiedenen Modi gewählt werden, wie HIPS die Systemaktivität filtert. Diese Modi sind:
-
Automatischer Modus: Dies ist die standardmäßige Einstellung. In diesem Modus sind alle Vorgänge aktiviert, außer Sie verstoßen gegen vordefinierte Regel, die in ESET Smart Security und ESET NOD32 Antivirus integriert sind.
-
Smart Modus: Nur verdächtige Systemereignisse erzeugen eine Benachrichtigung zusätzlich zu den vordefinierten Regel des Automatischen Modus (Vorgänge wie Systemregistry, aktiver Prozesse oder Programme).
-
Interaktiver Modus: Der interaktive Modus deaktivert die standardmäßigen Regeln und ist nur für fortgeschrittene Nutzer empfohlen. Im interaktiven Modus müssen Sie jeden durch HIPS erkannten Vorgang Bestätigen oder Ablehnen. Aktivieren Sie die Regel Erstellen-Checkbox, um Ihre Antwort für einen Vorgang als Regel abzuspeichern. Aktivieren Sie die Checkbox neben Temporär diese Aktion für diesen Prozess merken, um Ihre Antwort (Erlauben/Ablehnen) zu merken, bis die HIPS Regeln oder der HIPS Filtermodus geändert, das HIPS Modul aktualisiert oder der Computer neu gestartet wurde.
-
Regelbasierter Modus: Vorgänge, die nicht durch eine Regel definiert sind, können geblockt werden. Weitere Details finden Sie unter HIPS - Erweiterte Einstellungen.
-
Trainingsmodus: Im Lernmodus sind alle Vorgänge aktiviert und eine Regel wird nach jedem Vorgang erstellt. Regeln, die in diesem Modus erstellt wurden, können im Regeleditor betrachtet werden, jedoch ist deren Priorität geringer als Regeln, die manuell oder im Automatischen Modus erstellt wurden.
- Das Aktivieren des Trainingsmodus aktiviert ebenfalls die Option Ende des Trainingsmodus. Wenn die angegebene Zeitperiode abgelaufen ist, wird der Trainingsmodus deaktiviert. Die Zeitspanne kann maximal 14 Tage betragen. Nach dieser Zeitspanne werden Sie aufgefordert, die Regel zu bearbeiten oder einen anderen Flitermodus auszuwählen.
Regeleditor: Klicken Sie auf Bearbeiten, um HIPS Regeln hinzuzufügen, zu bearbeiten oder zu entfernen.
Erweitern Sie Virenschutz und klicken auf HIPS → Erweiterte Einstellungen, um mehr Einstellungen aufzurufen, die das Anwendungsverhalten analysieren und Fehler finden und beseitigen.
Abbildung 1-2
Klicken Sie in das Bild für eine vergrößerte Darstellung in einem neuen Fenster
HIPS → Erweiterte Einstellungen enthalten folgende Einstellungen:
- Treiber dürfen immer geladen werden: Wählen Sie die Treiber aus, die immer geladen werden dürfen, unabhängig des eingestellten Filtermodus, außer sie werden explizit durch eine durch den Benutzer angelegte Regel blockiert.
- Alle blockierten Vorgänge in Log aufnehmen: Alle blockierten Vorgänge werden in den HIPS Log geschrieben.
- Änderungen an Autostart-Einträgen melden: Zeigt jedes Mal eine Desktopbenachrichtigung an, wenn eine Anwendung im Autostart hinzugefügt oder entfernt wird.