[KB5687] Eine HIPS-Regel auf einer Client-Workstation via ESET Remote Administrator erstellen und erzwingen (6.x)

Einzelheiten

Das Host-basierte Intrusion Prevention System (HIPS) von ESET ist in ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security für Microsoft Exchange und ESET File Security für Microsoft Windows Server enthalten. HIPS überwacht die Systemaktivität und verwendet eine Reihe vordefinierter Regeln, um verdächtiges Systemverhalten zu erkennen. Wenn diese Art von Aktivität erkannt wird, verhindert der HIPS-Selbstverteidigungsmechanismus, dass das beleidigende Programm oder der verdächtige Prozess potenziell schädliche Aktivitäten ausführt. Änderungen an den Einstellungen HIPS aktivieren und Selbstschutz aktivieren werden nach dem Neustart des Windows-Betriebssystems wirksam.

Lösung

 Endpoint Benutzer: Führen Sie diese Schritte auf den einzelnen Client-Workstations durch

Nur für Fortgeschrittene!

Standardmäßig ist das Host-basierte Intrusion Prevention System (HIPS) vorkonfiguriert, um einen maximalen Schutz Ihres Systems zu gewährleisten. Während die Erstellung einer HIPS-Regel in seltenen Fällen notwendig sein kann, um ein Problem zu lösen, erfordert die Manipulation von HIPS-Regeln fortgeschrittene Kenntnisse von Anwendungen und Betriebssystemen und wird nicht empfohlen.

  1. Öffnen Sie die ESET Remote Administrator Web-Konsole (ERA Web-Konsole) in Ihrem Webbrowser und melden Sie sich an.

  2. Klicken Sie auf Admin → Policies, klicken Sie auf das Zahnradsymbol neben der Policy, die Sie ändern möchten, und wählen Sie dann Bearbeiten aus dem Kontextmenü aus.

    Abbildung 1-1
    Klicken Sie in das Bild für eine vergrößerte Darstellung in einem neuen Fenster

  3. Erweitern Sie die Einstellungen, klicken Sie auf Antivirus → HIPS und dann auf Bearbeiten neben Regeln.

    Abbildung 1-2
    Klicken Sie in das Bild für eine vergrößerte Darstellung in einem neuen Fenster

  4. Klicken Sie auf Hinzufügen

    Abbildung 1-3
     

  5. Konfigurieren Sie Ihre Regel. Im Beispiel werden Operationen, die Registrierungseinträge betreffen, blockiert, und der Endbenutzer wird benachrichtigt, wenn diese Aktion vom HIPS-Modul ausgeführt wird. Wenn Sie fertig sind, klicken Sie auf Weiter.

    Abbildung 1-4

  6. Wählen Sie im Fenster Quellanwendungen die gewünschte Option aus dem Dropdown-Menü. In diesem Beispiel blockiert die HIPS-Regel jede Anwendung, die versucht, Registrierungswerte zu ändern. Klicken Sie auf Weiter.

    Abbildung 1-5

  7. Geben Sie im Fenster Registry-Operationen an, welche Operationen diese Regel auslösen sollen. In diesem Beispiel ist Löschen aus der Registrierung ausgewählt. Klicken Sie auf Weiter.

    Abbildung 1-6

  8. Wählen Sie im Fenster Registrierungseinträge die gewünschte Option aus dem Dropdown-Menü. In diesem Beispiel blockieren wir das Löschen von Registrierungseinträgen. Klicken Sie auf Fertig stellen.

    Abbildung 1-7

  9. Klicken Sie auf OK, um die Regel zu speichern.

    Abbildung 1-8
     

  10. Klicken Sie auf Fertig stellen. Computer, die der von Ihnen geänderten Policy zugeordnet sind, erhalten diese neue HIPS-Regel beim nächsten Verbinden mit dem ESET Remote Administrator Server (ERA Server). 

    Zuvor definierte HIPS-Regeln

    Alle zuvor definierten HIPS-Regeln auf den zugewiesenen Computern werden durch die durch diese Policy definierten HIPS-Regeln ersetzt.

    Abbildung 1-9

Zusätzliche Hilfestellung