Решение проблем, связанных с настройкой Системы предотвращения вторжений на узел (HIPS) , Система предотвращения вторжений на узел, HIPS

RSS
Все рассматриваемые настройки находятся в разделе Дополнительные настройки (F5) -> Компьютер -> Системы предотвращения вторжений на узел.

За включение/отключение HIPS отвечает галочка "Включить систему предотвращения вторжений на узел".
За включение самозащиты ESET отвечает галочка "Включить модуль самозащиты Self-defence" (перед удалением/переустановкой продуктов ESET я бы советовал эту галочку снимать).
За включение журнала заблокированных действий (крайне рекомендую включить этот пункт, чтобы можно было отследить поведение HIPS при тех или иных проблемах) отвечает пункт Дополнительные настройки -> "Регистрировать все заблокированные операции".

В качестве Режима фильтрации лучше выбрать или Интерактивный режим (запросы на операции, к которым не созданы правила, будут выдаваться постоянно), или Автоматический режим с правилами (запросов не будет, будут учитываться только ранее созданные правила). Лучше сначала переключиться в Интерактивный режим, создать все необходимые правила для доверенных операций и приложений, а затем переключиться в Автоматический режим с правилами.

Для создания, изменения и удаления правил используется кнопка "Конфигурировать правила".
Далее в появившемся диалоговом окне есть соответствующие кнопки: "Создать", "Изменить", "Удалить".
Для всех создаваемых правил лучше ставить галочку "Уведомить пользователя".

1. Защита файлов (в том числе системных).
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)  
На вкладке "Конечные файлы":
- в списке "Операции" включить галочки "Удалить файл", "Выполнить запись в файл";
- в списке "Над этими файлами" нажать кнопку "Добавить" и выбрать необходимые файлы или папку для защиты. (При выборе действия "Запросить" рекомендую добавить сразу всю папку Windows\System32. Но советую крайне аккуратно добавлять файлы в этот список при выборе действия "Блокировать": например, из папки Windows\System32 имеет смысл добавить только исполняемые файлы с расширениями .exe, .dll, .bat, .cmd, и по усмотрению другие редактируемые файлы вроде файла Windows\System32\drivers\etc\hosts).
Нажать кнопку "ОК".

2. Защита MBR жесткого диска.
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)  
На вкладке "Конечные файлы":
- в списке "Операции" включить галочку "Непосредственный доступ к диску".
Нажать кнопку "ОК".

3. Защита системных записей в реестре.
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)  
На вкладке "Конечные реестр":
- в списке "Операции" включить галочку "Использовать для всех операций";
- в списке "Над этими записями реестра" нажать кнопку "Добавить" и затем поочередно добавить с список следующие пути в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Policies\Explorer\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Policies\System\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunServices\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\DataBasePath
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*

Для блокировки/запроса изменения настроек TCP/IP:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\Interfaces\*

Для защиты политики безопасности IP:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec­\*

Для блокировки/запроса записи блокирующих статических маршрутов:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\PersistentRoutes\*

Для блокировки/запроса блокирования запуска ESET через отладчики:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe\*

Нажать кнопку "ОК".
Изменено: marshal64 - 19.08.2013 20:29:08

Ответы

Alex82, нет, не импортировал. Какой именно файл Вы пытаетесь импортировать?
ESET Technical Support
Вот из этого сообщения http://forum.esetnod32.ru/messages/forum9/topic8267/message76956/#message76956

И еще вопрос. Почему соответствующие настройки изначально не внесены в программу? Если приходится руками вносить такие настройки для защиты, то какой же смысл в HIPS если изначально он не защищает от таких изменений, которые только самому приходится вносить, что очевидно большинство конечно же не делает.
Изменено: Alex82 - 28.08.2014 09:43:59
Alex82, читайте название файла - это конфиг для корпоративной версии. Вам нужно для домашней. У меня сохранился файл, но он за 2013 год, возможно Арвид с того времени что - то ещё добавлял в него. HIPS - это инструмент для "тонкой" настройки защиты, настраивается он с пониманием дела и может служить для самых разнообразных целей. Начинающему пользователю, который не понимает, что это и зачем, преднастройки HIPS могут только помешать.
ESET Technical Support
Хорошо понятно )
Вообще не плохо было все же поддерживать актуальность темы. Со стороны администрации тоже, что-то вроде поддержки пользователей.
Это насчет шапки темы, в развернутом виде, вот как сейчас, ну и актуализируя информацию, плюс в виде файла с этими настройками, для импорта.
я последний раз редактировал правила в феврале-марте месяце. вот два конфига - для корпоративной и домашней версии. настройки везде одинаковые.
Правильно заданный вопрос - это уже половина ответа
Спасибо.
А что насчет последних заражений шифраторами типа paycrypt ? От них как то можно соответствующими правилами защититься?
Alex82, теоретически, запустив шифратор на тестовой машине и включив HIPS в интерактивный режим, можно создать набор правил для противодействия любому шифратору. Но шифраторов слишком много разновидностей, чтобы создавать по отдельному правилу для каждого. Сейчас мы совместно с разработчиками работаем над созданием универсального набора правил для противодействия шифраторам.
ESET Technical Support
Валентин, можно ли добавить в правила HIPS не абсолютный, а относительный путь на файл? например: %temp%\pubring.gpg
(таким образом можно было бы защититься он bat.encoder.)
Вот нашел http://support.kaspersky.ru/10905#block3
У нас такое можно реализовать?
Изменено: Alex82 - 02.10.2014 18:15:35
Alex82, можно создать общее правило, но именно по расширению пока нет. В настоящий момент разработчики работают над этим.
ESET Technical Support
Читают тему (гостей: 10)