Självskyddet HIPS (Host Intrusion Prevention System)

VARNING!

Endast en erfaren användare bör ändra inställningarna för HIPS. Felaktig konfiguration av HIPS-inställningar kan leda till systeminstabilitet.

Host-based Intrusion Prevention System (HIPS) skyddar systemet mot skadlig kod och oönskad aktivitet oönskad aktivitet som försöker att påverka datorn negativt. HIPS använder avancerad beteendeanalys tillsammans med detekteringsfunktioner i nätverksfilter för att övervaka aktiva processer, filer och registernycklar. HIPS är åtskilt från skydd av filsystemet i realtid och är inte en brandvägg. Den övervakar endast processer som körs i operativsystemet.

HIPS finns i Avancerade inställningar (F5) > Antivirus > HIPS > Grundläggande. HIPS läge (aktiverat/inaktiverat) visas i huvudprogramfönstret för ESET Endpoint Antivirus under Inställningar > Dator.

50

ESET Endpoint Antivirus använder den inbyggda självskyddstekniken i HIPS för att förhindra att skadlig programvara skadar eller inaktiverar skyddet mot virus och spionprogram. Självskyddet ser till att viktiga system och ESET:s processer, registernycklar och filer inte manipuleras.

Avancerad minnesskanner fungerar i kombination med Kryphålsblockering för att stärka skyddet mot skadlig programvara som har utformats för att kringgå detekteringen genom skadlig programvara vid användning av

förvridning eller kryptering. Avancerad minnesskanner är aktiverad som standard. Läs mer om den här skyddstypen i ordlistan.

Kryphålsskyddet är utformat för att förstärka ofta exploaterade programtyper, såsom webbläsare, PDF-läsare, e-postklienter och MS Office-komponenter. Kryphålsskyddet är aktiverat som standard. Läs mer om den här skyddstypen i ordlistan.

Sköld mot ransomware är ännu ett skyddslager som ingår i HIPS-funktionen. För att skölden mot ransomware ska fungera måste LiveGrid®-ryktessystemet vara aktiverat. Läs mer om den här skyddstypen här.

Filtrering utförs med ett av fyra lägen:

Automatiskt läge – åtgärder aktiverade, utom sådana som blockeras av fördefinierade regler som skyddar systemet.

Smart läge – användaren meddelas endast om misstänkta händelser.

Interaktivt läge – användaren ombeds bekräfta åtgärder.

Policybaserat läge – åtgärder blockeras.

Inlärningsläge – åtgärder aktiverade och en regel skapas efter varje åtgärd. Regler skapade i detta läge går att visa i Regelredigeraren, men deras prioritet är lägre än för regler som skapas manuellt eller i automatiskt läge. När du väljer Inlärningsläge i listrutan HIPS-filtreringsläge blir inställningen Inlärningsläget kommer att avslutas den tillgänglig. Välj hur länge du vill att inlärningsläget ska pågå (högst 14 dagar). När den angivna tiden gått ut ombeds du att redigera de regler som skapats av HIPS medan det befann sig i inlärningsläget. Du kan även välja ett annat filtreringsläge eller senareläge beslutet och fortsätta använda inlärningsläget.

Läge inställt efter inlärningslägets utgång – ange vilket filtreringsläge ESET Endpoint Antivirus-brandväggen ska återgå till när tiden för inlärningsläge har gått ut.

HIPS-systemet övervakar händelser inne i operativsystemet och reagerar enligt reglerna som liknar reglerna för brandväggen. Klicka på Redigera för att öppna HIPS regelhanteringsfönster. Här går det att välja, skapa, redigera och ta bort regler.

I följande exempel visar vi hur oönskat beteende i program begränsas:

52

1. Namnge regeln och välj Blockera från rullgardinsmenyn Åtgärd.

2. Välj minst en åtgärd för regeln i avsnittet Åtgärder som påverkar.

3. Välj Logga allvarlighet i listrutan. Poster med omfånget Varning kan samlas in av Remote Administrator.

4. Aktivera skjutreglaget bredvid Meddela användare för att visa ett meddelande när regeln tillämpas. Klicka på Nästa.

5. I fönstret Källprogram väljer du Alla program i listrutan om du vill tillämpa den nya regeln för alla program som försöker utföra någon av de valda programåtgärderna. Klicka på Nästa.

6. I följande fönster aktiverar du skjutreglaget bredvid Ändra läge för annat program och klickar på Nästa (alla åtgärder beskrivs i produktens hjälp som öppnas genom att trycka på tangenten F1).

7. Välj Specifika program i listrutan och klicka på Lägg till för att lägga till ett eller flera program du vill blockera.

8. Klicka på Slutför för att spara den nya regeln.

3.9.1.8.1 Avancerade inställningar

Följande alternativ är användbara för felsökning och analys av ett programs beteende:

Drivrutiner får alltid läsas in – valda drivrutiner får alltid läsas in oavsett konfigurerat filtreringsläge om inte detta uttryckligen blockeras av en användarregel.

Logga alla blockerade åtgärder – alla blockerade åtgärder skrivs till HIPS-loggen.

Meddela när ändringar äger rum i startprogram – visar ett meddelande på skrivbordet varje gång ett program läggs till eller tas bort från systemstart.

I vår kunskapsbas kan du läsa en uppdaterad version av denna hjälpsida.

3.9.1.8.2 HIPS interaktivt fönster

Om en standardåtgärd för en regel ställs in till Fråga visas en dialogruta varje gång regeln utlöses. Du kan välja att Neka eller Tillåta åtgärden. Om du inte väljer en åtgärd inom angiven tid, väljs en ny åtgärd baserad på reglerna.

Dialogrutan gör det möjligt att skapa en regel baserad på en ny åtgärd som HIPS identifierar och sedan definiera villkoren under vilka åtgärden tillåts eller avvisas. Inställningarna för de exakta parametrarna går att öppna genom att klicka på Mer info. Regler som skapas på detta sätt är likvärdiga med regler som skapas manuellt, vilket innebär att regeln som skapas i ett dialogfönster kan vara mindre specifik är regeln som utlöste dialogfönstret. Detta betyder att när en sådan regel skapas, utlöser samma åtgärd samma fönster.

Kom ihåg åtgärd för denna process temporärt orsakar att åtgärden (Tillåt/Neka) används tills regler eller

filtreringslägen ändras, HIPS-modulen uppdateras eller systemet startas om. Efter någon av dessa tre åtgärder tas temporära regler bort.

3.9.1.8.3 Ett potentellt ransomware-beteende upptäcktes

Det här interaktiva fönstret visas när ett potentellt ransomware-beteende upptäcks. Du kan välja att Neka eller Tillåta åtgärden.

I det här dialogfönstret kan du skicka in filen för analys eller undanta den från detektering. Klicka på Information om du vill visa specifika detekteringsparametrar.

VIKTIGT!

ESET Live Grid måste vara aktiverat för att skyddet mot ransomware ska fungera korrekt.

54