Решение проблем, связанных с настройкой Системы предотвращения вторжений на узел (HIPS) , Система предотвращения вторжений на узел, HIPS

RSS
Все рассматриваемые настройки находятся в разделе Дополнительные настройки (F5) -> Компьютер -> Системы предотвращения вторжений на узел.

За включение/отключение HIPS отвечает галочка "Включить систему предотвращения вторжений на узел".
За включение самозащиты ESET отвечает галочка "Включить модуль самозащиты Self-defence" (перед удалением/переустановкой продуктов ESET я бы советовал эту галочку снимать).
За включение журнала заблокированных действий (крайне рекомендую включить этот пункт, чтобы можно было отследить поведение HIPS при тех или иных проблемах) отвечает пункт Дополнительные настройки -> "Регистрировать все заблокированные операции".

В качестве Режима фильтрации лучше выбрать или Интерактивный режим (запросы на операции, к которым не созданы правила, будут выдаваться постоянно), или Автоматический режим с правилами (запросов не будет, будут учитываться только ранее созданные правила). Лучше сначала переключиться в Интерактивный режим, создать все необходимые правила для доверенных операций и приложений, а затем переключиться в Автоматический режим с правилами.

Для создания, изменения и удаления правил используется кнопка "Конфигурировать правила".
Далее в появившемся диалоговом окне есть соответствующие кнопки: "Создать", "Изменить", "Удалить".
Для всех создаваемых правил лучше ставить галочку "Уведомить пользователя".

1. Защита файлов (в том числе системных).
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)  
На вкладке "Конечные файлы":
- в списке "Операции" включить галочки "Удалить файл", "Выполнить запись в файл";
- в списке "Над этими файлами" нажать кнопку "Добавить" и выбрать необходимые файлы или папку для защиты. (При выборе действия "Запросить" рекомендую добавить сразу всю папку Windows\System32. Но советую крайне аккуратно добавлять файлы в этот список при выборе действия "Блокировать": например, из папки Windows\System32 имеет смысл добавить только исполняемые файлы с расширениями .exe, .dll, .bat, .cmd, и по усмотрению другие редактируемые файлы вроде файла Windows\System32\drivers\etc\hosts).
Нажать кнопку "ОК".

2. Защита MBR жесткого диска.
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)  
На вкладке "Конечные файлы":
- в списке "Операции" включить галочку "Непосредственный доступ к диску".
Нажать кнопку "ОК".

3. Защита системных записей в реестре.
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)  
На вкладке "Конечные реестр":
- в списке "Операции" включить галочку "Использовать для всех операций";
- в списке "Над этими записями реестра" нажать кнопку "Добавить" и затем поочередно добавить с список следующие пути в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Policies\Explorer\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Policies\System\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunServices\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\DataBasePath
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*

Для блокировки/запроса изменения настроек TCP/IP:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\Interfaces\*

Для защиты политики безопасности IP:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec­\*

Для блокировки/запроса записи блокирующих статических маршрутов:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\PersistentRoutes\*

Для блокировки/запроса блокирования запуска ESET через отладчики:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe\*

Нажать кнопку "ОК".
Изменено: marshal64 - 19.08.2013 20:29:08

Ответы

Можно то можно, только до всего додумываться надо самому :)
Вы как разработчики порекомендовали бы какой то набор правил от шифраторов. Если там есть какие то нюансы при внесении таких правил, то описать их, приспособимся.
Вообще на сколько я понял, шифратор всегда скачивает нужные файлы с инета сначала, вроде как известные адреса smart security блокирует и соответственно шифратор не сработает. Насчет просто антивируса не в курсе.
Чего вы  этими шифраторами себе голову морочите.
Это всё делается в 5 минут и получим 100% защиту.
----
Так: http://forum.esetnod32.ru/messages/forum8/topic10494/message75282/#message75282
RP55 RP55, решение не совсем удобное, поэтому мы и ищем способы защиты от шифраторов с помощью HIPS.
ESET Technical Support
Цитата
Валентин пишет:

решение не совсем удобное, поэтому мы и ищем способы защиты от шифраторов с помощью HIPS.

 :)  

А решения связанные с HIPS видимо более удобные ?
Неделю создавать правила.
Неделю тестировать.
Всю жизнь корректировать.

 ;)
Изменено: RP55 RP55 - 06.10.2014 20:26:24
RP55, достаточно криптору проверять имя файла не по расширению, а по вхождению (дополнительно) этих масок (.doc, .jpg, .pdf и другие) в имя файла и все опять накроется медным (с элементами криптографии) тазом. А без наличия этой маски (*.doc....) в наименовании файла, в голове у юзера будут постоянно возникать кризисы. не открывается, чем открыть и т.п.. Ну и самому придется писать и периодически запускать криптор_переименователь. :),
Изменено: santy - 07.10.2014 06:10:21
в списке "Операции" включить галочку "Непосредственный доступ к диску"[TABLE][TR][TD]http://um.mos.ru/museums/mam/[/TD][/TR][/TABLE]
Здравствуйте! Внешний вид настроек HIPS и их содержание в десятой версии немного отличаются от приведенных в шапке топика. У кого есть возможность - пожалуйста, приведите примеры защиты файлов (например, hosts-файла) и записей реестра с помощью HIPS для десятой версии, если можно - с картинками. Спасибо
Я сделаю правила защиты от некоторых типов шифровальщиков, для 9 и 10 версии, но немного позже. В текущее время катастрофически не хватает времени...

Спасибо.

sendvirus2019@gmail.com
Если получится сделайте для 11 версии. защита автозагрузки, защита папок от шифратора.
Опять же нужно время, его просто катастрофически нет. Как будет выложу....

Спасибо.

sendvirus2019@gmail.com
Читают тему (гостей: 1)