[KB3755] Host Intrusion Prevention System (HIPS) – Rozšírené nastavenia

Problém

Riešenie

Prístup k nastaveniam systému HIPS

Niekoľko nastavení, ktoré ovplyvňujú spôsob, akým HIPS monitoruje systémové operácie, sú prístupné v Rozšírených nastaveniach. Na prístup do nastavení HIPS postupujte podľa nižšie uvedených krokov:

  1. Otvorte hlavné okno programu ESET pre Windows.

  2. Stlačením klávesu F5 otvorte Rozšírené nastavenia.

  3. Kliknite na Detekčné jadro → HIPS.

Obrázok 1-1

Nasledujúce nastavenia sú prístupné zo sekcie Základné modulu HIPS:

  • Zapnúť HIPS – kliknutím na tento prepínač znovu zapnete HIPS, ak bol vypnutý.
Nevypínajte HIPS

Nezakazujte HIPS, pokiaľ k tomu nebudete vyzvaný zamestnancom technickej podpory ESET, pretože by ste sa mohli vystaviť bezpečnostným rizikám. Deaktiváciou systému HIPS sa vypnú všetky funkcie HIPS vrátane Exploit Blocker.

  • Zapnúť Self-Defense – technológia Self-Defense je vstavanou súčasťou systému HIPS a jej cieľom je zabrániť škodlivému softvéru narušiť alebo deaktivovať vašu antivírusovú a antispyvérovú ochranu. Self-Defense chráni dôležité procesy systému a programu ESET, ako aj kľúče a súbory databázy Registry pred neoprávnenými zásahmi. Ak je technológia vypnutá, kliknutím na prepínacie tlačidlo ju zapnete.
Vypnutie Self-Defense

Vypnutie mechanizmu Self-Defense spôsobí, že systém HIPS bude neaktívny voči potenciálnym hrozbám, a preto sa táto možnosť neodporúča.

  • Zapnúť ako chránenú službu – zapne sa ochrana jadra.
  • Zapnúť pokročilú kontrolu pamäte – v kombinácii s technológiou Exploit Blocker zvyšuje ochranu proti malvéru, ktorý bol navrhnutý tak, aby maskovaním alebo šifrovaním obišiel detekciu bezpečnostných produktov. Pokročilá kontrola pamäte je predvolene zapnutá.
  • Zapnúť Exploit Blocker – slúži na ochranu najčastejšie zneužívaných aplikácií, ako sú internetové prehliadače, prehliadače PDF dokumentov, e‑mailové klienty a súčasti balíka MS Office. Exploit Blocker teraz podporuje Javu a pomáha zlepšovať detekciu a ochranu pred týmito druhmi zraniteľností.

Hĺbková kontrola správania

  • Zapnúť hĺbkovú kontrolu správania – ďalšia vrstva ochrany, ktorá pracuje v rámci modulu HIPS. Táto súčasť systému HIPS analyzuje správanie všetkých programov spustených na počítači a upozorní vás na zachytené škodlivé správanie.
  • Vylúčenia – z analýzy môžete vylúčiť určité procesy. Aby bola zaručená kontrola všetkých procesov na prítomnosť hrozieb, neodporúčame vylúčenia vytvárať, ak to nie je naozaj nevyhnutné.

Ransomware Shield

  • Zapnúť Ransomware Shield – ďalšia vrstva ochrany, ktorá pracuje v rámci modulu HIPS. Monitoruje správanie aplikácií a procesov, ktoré sa pokúšajú modifikovať vaše osobné údaje. Ak správanie aplikácie možno považovať za škodlivé alebo ak kontrola na základe reputácie vyhodnotí aplikáciu ako podozrivú, dôjde k zablokovaniu danej aplikácie, prípadne bude používateľ vyzvaný, aby ju zablokoval alebo povolil.
ESET LiveGrid

Aby mohla funkcia Ransomware Shield správne fungovať, musí byť zapnutý ESET Live Grid.


Nastavenia HIPS

Režim filtrovania – existuje päť režimov filtrovania, medzi ktorými si môžete vybrať s cieľom zmeniť spôsob filtrovania činnosti systému modulom HIPS. Sú to:

  • Automatický režim: Toto je predvolené nastavenie. V tomto režime sú povolené operácie okrem tých, ktoré sú blokované preddefinovanými pravidlami chrániacimi váš systém.
  • Smart režim: Budete dostávať len oznámenia o podozrivých systémových udalostiach.
  • Interaktívny režim: Odporúča sa len pre pokročilých používateľov. Budete dostávať oznámenia s výzvou na Povolenie alebo Zakázanie každej zistenej operácie. Začiarknutím políčka Vytvoriť pravidlo uložíte svoju odpoveď ako pravidlo pre danú operáciu. Začiarknutím políčka vedľa možnosti Dočasne si zapamätať akciu pre tento proces bude akcia (Povoliť/Zakázať) zapamätaná, kým nedôjde k zmene pravidiel HIPS, zmene režimu filtrovania HIPS, aktualizácii modulu HIPS alebo reštartu počítača.
  • Režim podľa politík: Operácie, ktoré nie sú definované pravidlom, sú blokované. Viac informácií nájdete v časti HIPS – Rozšírené nastavenia.
  • Učiaci sa režim: V rámci učiaceho sa režimu sú operácie povolené a po každej operácii sa vytvorí pravidlo. Pravidlá vytvorené v tomto režime možno zobraziť v Editore pravidiel, ale ich priorita je nižšia ako priorita pravidiel vytvorených manuálne alebo pravidiel používaných v automatickom režime.
    • Výberom učiaceho sa režimu dôjde k aktivácii možnosti Učiaci sa režim skončí. Po uplynutí zvoleného časového úseku bude učiaci sa režim vypnutý. Maximálne obdobie je 14 dní. Po uplynutí tejto doby sa zobrazí výzva na úpravu pravidiel a výber iného režimu filtrovania.
Obrázok 2-1
  • Editor pravidiel – kliknutím na Upraviť môžete pridať, upraviť alebo odstrániť pravidlá HIPS.

Obrázok 2-2
Obnovenie pôvodných nastavení

V každej časti modulu HIPS môžete kedykoľvek obnoviť predvolené nastavenia systému HIPS kliknutím na ikonu šípky (Predvolené).


Rozšírené nastavenia

Kliknite na Detekčné jadro a HIPS Rozšírené nastavenia pre prístup k ďalším nastaveniam na ladenie a analýzu správania aplikácie.

Obrázok 3-1

Sekcia HIPS Rozšírené nastavenia obsahuje nasledujúce nastavenia:

  • Ovládače s povolením vždy sa načítať: Vybrané ovládače sa vždy môžu načítať bez ohľadu na nakonfigurovaný režim filtrovania, pokiaľ nie sú explicitne zablokované používateľským pravidlom.
  • Zapisovať všetky zablokované operácie do protokolu: Všetky zablokované operácie sa zapíšu do protokolu HIPS. Túto funkciu používajte len pri riešení problémov alebo na požiadanie pracovníka technickej podpory ESET, pretože môže dôjsť k vytvoreniu veľkého súboru protokolu a spomaleniu počítača.
Zapisovať všetky zablokované operácie do protokolu

ESET odporúča mať túto možnosť predvolene vypnutú, inak môže spôsobiť vysokú mieru využitia CPU alebo disku.

Túto možnosť zapnite len počas riešenia problémov alebo na žiadosť pracovníka technickej podpory spoločnosti ESET.

  • Upozorniť na zmeny v zozname aplikácií automaticky spúšťaných pri štarte: Ak pribudne alebo ubudne aplikácia zo zoznamu aplikácii spúšťaných po štarte, zobrazí sa oznámenie na pracovnej ploche.