[KB3755] Système de détection d'intrusion au niveau de l'hôte (HIPS)—Configuration avancée

Solution

Plusieurs paramètres qui affectent la manière dont HIPS surveille les opérations du système sont accessibles dans Configuration avancée. Vous pouvez accéder à HIPS en suivant les instructions ci-dessous :

  1. Ouvrez votre produit ESET pour Windows.
     
  2. Appuyez sur la touche F5 pour ouvrir la Configuration avancée.
     
  3. Développez Moteur de détection et cliquez sur HIPS.

Figure 1-1

Les paramètres suivants peuvent être accédés dans le module HIPS:

Activer HIPS : Cliquez sur la barre de défilement pour ré-activer HIPS s’il a été désactivé.

Ne désactivez pas HIPS

Ne désactivez pas HIPS sauf si vous êtes demandé de le faire par un agent du support technique d’ESET : cela peut vous exposer à des risques de sécurité.

Activer Autodéfense : Si désactivé, cliquez sur la barre de défilement pour activer le mécanisme d’autodéfense de HIPS.

En désactivant Autodéfense 

Désactiver le mécanisme d’autodéfense causera HIPS de ne prendre d’action contre les menaces potentielles, et ceci n’est pas recommandé.

Activer le service protégé : Active la protection du noyau (cette option n'est disponible que sous Windows 8.1, 10).

Activer l’analyseur de mémoire avancé : Avec Exploit Blocker, ceci est conçu pour fortifier la protection contre les logiciels malveillants modernes.

Activer Exploit Blocker est conçu pour fortifier les types d’applications souvent exploités  sur les systèmes de particuliers, telles que les navigateurs web, lecteurs PDF, Clients email et composants MS Office. Exploit Blocker supporte maintenant Java et aide à améliorer la détection et protection contre ce genre de vulnérabilités.

Activer le bouclier anti-rançongiciel surveille le comportement d’applications et processus qui essaient de modifier vos données personnelles. Ces logiciels malveillants seront bloqués ou l’utilisateur sera invité à les bloquer ou de les autoriser.

ESET Live Grid

ESET Live Grid doit être activé pour que la protection rançongiciel fonctionne correctement.

Mode de filtrage : Ici, vous pouvez choisir un des 5 modes que HIPS va utiliser pour filtrer l’activité du système. Ces modes sont :

  • Mode automatique : Ceci est le paramètre par défaut. Dans ce mode, les opérations sont permises sauf si elles enfreignent l’ensemble de règles prédéfini qui se trouve dans votre produit ESET.
  • Mode de démarrage : Seuls les évènements de système suspects suscitent une notification autre que l’ensemble des règles prédéfini dans le Mode Automatique (les opérations telles que le registre du système, les processus actifs et les logiciels).
  • Mode interactif : le mode interactif va désactiver l’ensemble de règles par défaut et n’est que recommandé pour les utilisateurs avancés. Dans le mode interactif, HIPS vous invitera à Autoriser ou Bloquer chaque opération détectée. Cochez la case Créer la règle et mémoriser de manière permanente pour enregistrer votre réponse en tant que règle pour toute opération donnée. Cochez la case à côté de Mémoriser jusqu’à la fermeture de l’application entrainera l’action (Autoriser/Bloquer) a être sauvegardé sauf si les règles HIPS sont changées, le mode filtrage de HIPS est changé, le module HIPS est mis à jour ou votre ordinateur est redémarré.
  • Mode basé sur des règles personnalisées : les opérations qui ne sont pas définies par une règle peuvent être bloquées. Voyez HIPS—Configuration avancée pour plus de détails.
  • Mode d’apprentissage : Dans le Mode d’apprentissage, les opérations sont actives et une règle est créée pour chaque opération. Les règles créées dans ce mode peuvent être vues dans l’éditeur de règles, mais leur priorité est plus basse que la priorité des règles créées manuellement ou les règles utilisées dans le mode automatique.
    • Choisir le Mode d’apprentissage activera l’option Le mode d’apprentissage se terminera à. Dès que la période de temps spécifiée s’écoule, le mode d’apprentissage sera désactivé. 14 jours est la période de temps maximum. Lorsque cette période de temps a écoulé, vous serez invité à modifier les règles et choisir un mode de filtrage différent.

L’éditeur de Règles : Cliquez sur Modifier pour ajouter, modifier, ou supprimer des règles HIPS.

Rétablir les paramètres par défaut

Dans chaque section du module HIPS, vous pouvez rétablir HIPS aux paramètres par défaut à tout moment en cliquant sur l'icône  Par Défault.

Développez Moteur de détection et cliquez sur HIPSConfiguration avancée pour accéder à plus de paramètres pour debugger et analyser le comportement d’une application.

Figure 1-2

HIPSConfiguration avancée contient les paramètres suivants :

  • Le chargement des pilotes est toujours autorisé : Les pilotes sélectionnés seront toujours autorisés à charger quel que soit le mode de filtrage configuré, sauf s’ils sont bloqués explicitement par une règle de l’utilisateur.
  • Consigner toutes les opérations bloquées : Toutes les opérations bloquées seront ajoutées aux  journaux de HIPS.
  • Aviser lorsqu’un changement est effectué dans les applications de démarrage : Affiche une notification sur le bureau chaque fois qu’une application est ajoutée ou supprimée du démarrage du système.