Решение проблем, связанных с настройкой Системы предотвращения вторжений на узел (HIPS) , Система предотвращения вторжений на узел, HIPS

RSS
Все рассматриваемые настройки находятся в разделе Дополнительные настройки (F5) -> Компьютер -> Системы предотвращения вторжений на узел.

За включение/отключение HIPS отвечает галочка "Включить систему предотвращения вторжений на узел".
За включение самозащиты ESET отвечает галочка "Включить модуль самозащиты Self-defence" (перед удалением/переустановкой продуктов ESET я бы советовал эту галочку снимать).
За включение журнала заблокированных действий (крайне рекомендую включить этот пункт, чтобы можно было отследить поведение HIPS при тех или иных проблемах) отвечает пункт Дополнительные настройки -> "Регистрировать все заблокированные операции".

В качестве Режима фильтрации лучше выбрать или Интерактивный режим (запросы на операции, к которым не созданы правила, будут выдаваться постоянно), или Автоматический режим с правилами (запросов не будет, будут учитываться только ранее созданные правила). Лучше сначала переключиться в Интерактивный режим, создать все необходимые правила для доверенных операций и приложений, а затем переключиться в Автоматический режим с правилами.

Для создания, изменения и удаления правил используется кнопка "Конфигурировать правила".
Далее в появившемся диалоговом окне есть соответствующие кнопки: "Создать", "Изменить", "Удалить".
Для всех создаваемых правил лучше ставить галочку "Уведомить пользователя".

1. Защита файлов (в том числе системных).
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)  
На вкладке "Конечные файлы":
- в списке "Операции" включить галочки "Удалить файл", "Выполнить запись в файл";
- в списке "Над этими файлами" нажать кнопку "Добавить" и выбрать необходимые файлы или папку для защиты. (При выборе действия "Запросить" рекомендую добавить сразу всю папку Windows\System32. Но советую крайне аккуратно добавлять файлы в этот список при выборе действия "Блокировать": например, из папки Windows\System32 имеет смысл добавить только исполняемые файлы с расширениями .exe, .dll, .bat, .cmd, и по усмотрению другие редактируемые файлы вроде файла Windows\System32\drivers\etc\hosts).
Нажать кнопку "ОК".

2. Защита MBR жесткого диска.
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)  
На вкладке "Конечные файлы":
- в списке "Операции" включить галочку "Непосредственный доступ к диску".
Нажать кнопку "ОК".

3. Защита системных записей в реестре.
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)  
На вкладке "Конечные реестр":
- в списке "Операции" включить галочку "Использовать для всех операций";
- в списке "Над этими записями реестра" нажать кнопку "Добавить" и затем поочередно добавить с список следующие пути в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Policies\Explorer\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Policies\System\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunServices\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\DataBasePath
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*

Для блокировки/запроса изменения настроек TCP/IP:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\Interfaces\*

Для защиты политики безопасности IP:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec­\*

Для блокировки/запроса записи блокирующих статических маршрутов:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\PersistentRoutes\*

Для блокировки/запроса блокирования запуска ESET через отладчики:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe\*

Нажать кнопку "ОК".
Изменено: marshal64 - 19.08.2013 20:29:08

Ответы

Cпасибо. Я так понимаю, эти файлы актуальны и для ХР, и для семёрки, и для восьмёрок, обоих битностей? Все настройки учтены? Просто те файлы выложены аш в 2012 году.
Изменено: Loner - 22.04.2014 19:38:03
файлы свежие. то дата создания папки на обменнике. конфиг подходит для любой системы
Правильно заданный вопрос - это уже половина ответа
Цитата
Арвид пишет:
Loner ,
готовый конфиг  здесь

Добрый день. Замечательный конфиг.
Один раз выручил при открытии клиентом, файла вируса баннера , сделал три запроса у пользователя, при активации вируса , два раза успели ответить "запретить" , третий нет и вылез банер блокировщик , но после перезагрузки компьютера активности банера не было и компьютер работал без сбоев. Банер правда брандмауэр успел выключить.

Но при проверки этого конфига вирусом шифровальщиком ( который не определялся авнтивирусом ) происходило заражение.
В то же время, этот же вирус ( на виртуальной машине разбирался с образцом ) при включенной проактивной защите ( по умолчанию ) KIS2014 или при включенной превентивной защите DrWeb9 ( настройки "средние" ) , шифровальщик блокировался. Антивирусы его так же не определяли.

Хотелось бы получить такие настройки HIPS , что бы да же неизвестный вирус типа шифровальщиков блокировался .

Могу прислать образец, для исследования.
Человек, сидящий на вершине горы, не упал туда с неба.
Сергей Шпунтенко
По теме защиты от шифраторов.
http://forum.esetnod32.ru/forum8/topic10494/
Сергей Шпунтенко,
пришлите в личку. сделаю новую настройку, проверю
Правильно заданный вопрос - это уже половина ответа
Цитата
Арвид пишет:
Сергей Шпунтенко ,
пришлите в личку. сделаю новую настройку, проверю

Письмо с вирусом ( ссылка для скачивания ) отправил.
Человек, сидящий на вершине горы, не упал туда с неба.
Цитата
RP55 RP55 пишет:
Сергей Шпунтенко
По теме защиты от шифраторов.
http://forum.esetnod32.ru/forum8/topic10494/

Провел эксперимент на виртуальной машине. Вывод BitDefender Anti-CryptoLocker не работает.

Спокойно пропустила "Win32/Filecoder.AL.Gen троянская программа" , все данные были зашифрованы.
Человек, сидящий на вершине горы, не упал туда с неба.
Я правильно понял, что выложенный тут файл конфигурации добавлять через импорт/экспорт на главном окне?
После добавления можно как то увидеть в программе эти настройки, чтобы добавить или изменить их?
А то захожу в настройки HIPS и что-то не вижу там никаких изменений после добавления этого конфига.
Alex82, да, правильно. Нужно импортировать файл конфигурации,при этом все настройки должны отобразиться в HIPS. Какую версию Вы используете?
ESET Technical Support
Smart Security 7.0.317.4
Вроде как он импортировал, но правда ничего не написал при этом, не знаю так и должно быть или нет.
Но в настройках HIPS вижу вот что


Да и заодно еще спрошу, там прописана каким то образом защита от paycrypt@gmail_com и подобного? Если конечно это возможно достичь настройками HIPS.
Изменено: Alex82 - 25.08.2014 15:57:51
Читают тему (гостей: 2)