[KB3755] Host-based Intrusion Prevention System (HIPS) — Erweiterte Einstellungen

Einzelheiten

ESET's Host-based Intrusion Prevention System (HIPS) ist in ESET Smart Security Premium, ESET Smart Security, ESET Internet Security und ESET NOD32 Antivirus enthalten.

Lösung

Einige Einstellungen zur Überwachung des Systems durch HIPS sind in den Erweiterten Einstellungen zugänglich. Sie können die Einstellungen von HIPS folgendermaßen finden:

  1. Öffnen Sie Ihr Windows ESET Produkt.
     
  2. Drücken Sie F5, um die Erweiterten Einstellungen zu öffnen.
     
  3. Erweitern Sie Virenschutz und klicken auf HIPS.



    Abbildung 1-1
    Klicken Sie in das Bild für eine vergrößerte Darstellung in einem neuen Fenster

Auf folgende Einstellungen können Sie über das HIPS-Modul zugreifen:

HIPS aktivieren: Wählen Sie diesen Schieberegler, um HIPS wieder zu aktivieren, falls es deaktiviert wurde.

Deaktivieren Sie nicht HIPS

Deaktivieren Sie nicht HIPS, außer Sie werden vom ESET Support darum gebeten, da Sie sonst Sicherheitsrisiken ausgesetzt sein können.

Selbstschutz aktivieren: Aktivieren Sie den HIPS Selbstschutz-Mechanismus, falls dieser deaktivert ist.

Wichtig!

Die Deaktivierung des Selbstschutz-Mechanismus führt dazu, dass HIPS keine Gegenmaßnahmen gegen potenzielle Bedrohungen ergreift und dies ist nicht empfehlenswert.

Erweiterte Speicherprüfung aktivieren: Zusammen mit dem Exploit-Blocker ist diese Funktion dafür ausgelegt, um den Schutz gegen moderne Malware zu verstärken.

Exploit-Blocker aktivieren: Der Exploit-Blocker ist dafür ausgelegt, um oft ausgenutzte Anwendungen wie Webbrower, PDF Betrachter, E-Mail-Programme und Microsoft Office Komponenten abzusichern. Der Exploit-Blocker unterstützt von nun an auch Java und unterstützt die damit verbundene Erkennung und den Schutz dieser Art von Anfälligkeiten.

Ransomware-Schutz aktivieren: Überwacht das Verhalten von Anwendungen und Prozessen, die versuchen persönliche Daten zu verändern. Bösartige Anwendungen werden geblockt oder der Benutzer wird aufgefordert diese zu blocken oder zuzulassen.

Wichtig!

Die ESET Live Grid Funktion muss aktiviert sein, damit der Schutz vor Ransomware ordnungsgemäß funktioniert.

Filtermodus: Hier kann zwischen fünf verschiedenen Modi gewählt werden, wie HIPS die Systemaktivität filtert. Diese Modi sind:

  • Automatischer Modus: Dies ist die standardmäßige Einstellung. In diesem Modus sind alle Vorgänge aktiviert, außer Sie verstoßen gegen vordefinierte Regel, die in ESET Smart Security und ESET NOD32 Antivirus integriert sind. 
     
  • Smart Modus: Nur verdächtige Systemereignisse erzeugen eine Benachrichtigung zusätzlich zu den vordefinierten Regel des Automatischen Modus (Vorgänge wie Systemregistry, aktiver Prozesse oder Programme).
     
  • Interaktiver Modus: Der interaktive Modus deaktivert die standardmäßigen Regeln und ist nur für fortgeschrittene Nutzer empfohlen. Im interaktiven Modus müssen Sie jeden durch HIPS erkannten Vorgang Bestätigen oder Ablehnen. Aktivieren Sie die Regel Erstellen-Checkbox, um Ihre Antwort für einen Vorgang als Regel abzuspeichern. Aktivieren Sie die Checkbox neben Temporär diese Aktion für diesen Prozess merken, um Ihre Antwort (Erlauben/Ablehnen) zu merken, bis die HIPS Regeln oder der HIPS Filtermodus geändert, das HIPS Modul aktualisiert oder der Computer neu gestartet wurde.
     
  • Regelbasierter Modus: Vorgänge, die nicht durch eine Regel definiert sind, können geblockt werden. Weitere Details finden Sie unter HIPS - Erweiterte Einstellungen.
     
  • Trainingsmodus: Im Lernmodus sind alle Vorgänge aktiviert und eine Regel wird nach jedem Vorgang erstellt. Regeln, die in diesem Modus erstellt wurden, können im Regeleditor betrachtet werden, jedoch ist deren Priorität geringer als Regeln, die manuell oder im Automatischen Modus erstellt wurden.
    • Das Aktivieren des Trainingsmodus aktiviert ebenfalls die Option Ende des Trainingsmodus. Wenn die angegebene Zeitperiode abgelaufen ist, wird der Trainingsmodus deaktiviert. Die Zeitspanne kann maximal 14 Tage betragen. Nach dieser Zeitspanne werden Sie aufgefordert, die Regel zu bearbeiten oder einen anderen Flitermodus auszuwählen.

 Regeleditor: Klicken Sie auf Bearbeiten, um HIPS Regeln hinzuzufügen, zu bearbeiten oder zu entfernen.

Standardeinstellungen wiederherstellen

In jedem Abschnitt des HIPS Moduls können Sie zu jeder Zeit die HIPS Standardeinstellungen wiederherstellen, indem Sie auf das Symbol klicken (Standard).

Erweitern Sie Virenschutz und klicken auf HIPS → Erweiterte Einstellungen, um mehr Einstellungen aufzurufen, die das Anwendungsverhalten analysieren und Fehler finden und beseitigen.

Abbildung 1-2
Klicken Sie in das Bild für eine vergrößerte Darstellung in einem neuen Fenster

HIPS Erweiterte Einstellungen enthalten folgende Einstellungen:

  • Treiber dürfen immer geladen werden: Wählen Sie die Treiber aus, die immer geladen werden dürfen, unabhängig des eingestellten Filtermodus, außer sie werden explizit durch eine durch den Benutzer angelegte Regel blockiert.
  • Alle blockierten Vorgänge in Log aufnehmen: Alle blockierten Vorgänge werden in den HIPS Log geschrieben.
  • Änderungen an Autostart-Einträgen melden: Zeigt jedes Mal eine Desktopbenachrichtigung an, wenn eine Anwendung im Autostart hinzugefügt oder entfernt wird.