Решение проблем, связанных с настройкой Системы предотвращения вторжений на узел (HIPS) , Система предотвращения вторжений на узел, HIPS

RSS
Все рассматриваемые настройки находятся в разделе Дополнительные настройки (F5) -> Компьютер -> Системы предотвращения вторжений на узел.

За включение/отключение HIPS отвечает галочка "Включить систему предотвращения вторжений на узел".
За включение самозащиты ESET отвечает галочка "Включить модуль самозащиты Self-defence" (перед удалением/переустановкой продуктов ESET я бы советовал эту галочку снимать).
За включение журнала заблокированных действий (крайне рекомендую включить этот пункт, чтобы можно было отследить поведение HIPS при тех или иных проблемах) отвечает пункт Дополнительные настройки -> "Регистрировать все заблокированные операции".

В качестве Режима фильтрации лучше выбрать или Интерактивный режим (запросы на операции, к которым не созданы правила, будут выдаваться постоянно), или Автоматический режим с правилами (запросов не будет, будут учитываться только ранее созданные правила). Лучше сначала переключиться в Интерактивный режим, создать все необходимые правила для доверенных операций и приложений, а затем переключиться в Автоматический режим с правилами.

Для создания, изменения и удаления правил используется кнопка "Конфигурировать правила".
Далее в появившемся диалоговом окне есть соответствующие кнопки: "Создать", "Изменить", "Удалить".
Для всех создаваемых правил лучше ставить галочку "Уведомить пользователя".

1. Защита файлов (в том числе системных).
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)  
На вкладке "Конечные файлы":
- в списке "Операции" включить галочки "Удалить файл", "Выполнить запись в файл";
- в списке "Над этими файлами" нажать кнопку "Добавить" и выбрать необходимые файлы или папку для защиты. (При выборе действия "Запросить" рекомендую добавить сразу всю папку Windows\System32. Но советую крайне аккуратно добавлять файлы в этот список при выборе действия "Блокировать": например, из папки Windows\System32 имеет смысл добавить только исполняемые файлы с расширениями .exe, .dll, .bat, .cmd, и по усмотрению другие редактируемые файлы вроде файла Windows\System32\drivers\etc\hosts).
Нажать кнопку "ОК".

2. Защита MBR жесткого диска.
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)  
На вкладке "Конечные файлы":
- в списке "Операции" включить галочку "Непосредственный доступ к диску".
Нажать кнопку "ОК".

3. Защита системных записей в реестре.
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)  
На вкладке "Конечные реестр":
- в списке "Операции" включить галочку "Использовать для всех операций";
- в списке "Над этими записями реестра" нажать кнопку "Добавить" и затем поочередно добавить с список следующие пути в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Policies\Explorer\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Policies\System\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunServices\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\DataBasePath
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*

Для блокировки/запроса изменения настроек TCP/IP:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\Interfaces\*

Для защиты политики безопасности IP:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec­\*

Для блокировки/запроса записи блокирующих статических маршрутов:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\PersistentRoutes\*

Для блокировки/запроса блокирования запуска ESET через отладчики:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe\*

Нажать кнопку "ОК".
Изменено: marshal64 - 19.08.2013 20:29:08

Ответы

Цитата
Арвид пишет:
работает такое правило. это ведь HKEY_CURRENT_USER
SID юзера есть в ветке HKEY_USERS, но там проблема тоже решается - HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
угу, так работает
Изменено: santy - 05.02.2013 17:20:59
и этот параметр можно защитить, чтобы запретить запись блокирующих статических маршрутов

Цитата
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\PersistentRoutes\*
и
блокирование запуска ESET через отладчики
Цитата
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe\*
Изменено: santy - 05.02.2013 18:54:05
Цитата
marshal64
В п.3 настроек можно смело заменить:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Run\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­RunOnce\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*

на

HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*

потому что первый вариант не работает.
Изменено: w21life - 17.02.2013 19:28:56
имеет смысл добавить в HIPS контроль следующей ветки реестра

Цитата
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec­\

для защиты от зловредов, которые перезаписывают политику безопасности IP
Цитата
santy пишет:
и этот параметр можно защитить, чтобы запретить запись блокирующих статических маршрутов
Цитата
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\PersistentRoutes\*
и
блокирование запуска ESET через отладчики
Цитата
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe\*

Тут сама самозащита защищает:
Цитата
19.08.2013 19:59:06 C:\Windows\regedit.exe Modify registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe\Новый параметр #1 blocked Self-Defense: Registry with full protection
А я всю ветку на всякий случай заблокировал:
Цитата
19.08.2013 19:59:14 C:\Windows\regedit.exe Modify registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FlashPlayerApp.exe\Новый параметр #1 blocked мое правило
Windows 7 64 бит. :)
Изменено: EVE N - 19.08.2013 20:12:04
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
Здравствуйте.
Применимы ли данные рекомендуемые настройки, а также, если можно, Рекомендации по настройке HIPS для защиты от winlock для 7-ой версии Eset SS?
Будут ли работать данные настройки если HIPS стоит в "Автоматический режим с правилами"?

Заранее благодарен за ответ.
должны работать. у меня 7 версия ESET Smart security и я использую настройки HIPS из этой темы. именно в таком режиме.
Спасибо!:)
переодически выключается хипс.он просто автоматически разрешает те правила которые поставлены на запрос .че делать?я уже замучился с этим.все время это замечаю случайно.и лечиться это только перезагрузкой
Такая же история - блокировать, разрешить работает, а запрос - нет.
Перезагрузка не помогает.
Читают тему (гостей: 5)