Решение проблем, связанных с настройкой Системы предотвращения вторжений на узел (HIPS) , Система предотвращения вторжений на узел, HIPS

RSS
Все рассматриваемые настройки находятся в разделе Дополнительные настройки (F5) -> Компьютер -> Системы предотвращения вторжений на узел.

За включение/отключение HIPS отвечает галочка "Включить систему предотвращения вторжений на узел".
За включение самозащиты ESET отвечает галочка "Включить модуль самозащиты Self-defence" (перед удалением/переустановкой продуктов ESET я бы советовал эту галочку снимать).
За включение журнала заблокированных действий (крайне рекомендую включить этот пункт, чтобы можно было отследить поведение HIPS при тех или иных проблемах) отвечает пункт Дополнительные настройки -> "Регистрировать все заблокированные операции".

В качестве Режима фильтрации лучше выбрать или Интерактивный режим (запросы на операции, к которым не созданы правила, будут выдаваться постоянно), или Автоматический режим с правилами (запросов не будет, будут учитываться только ранее созданные правила). Лучше сначала переключиться в Интерактивный режим, создать все необходимые правила для доверенных операций и приложений, а затем переключиться в Автоматический режим с правилами.

Для создания, изменения и удаления правил используется кнопка "Конфигурировать правила".
Далее в появившемся диалоговом окне есть соответствующие кнопки: "Создать", "Изменить", "Удалить".
Для всех создаваемых правил лучше ставить галочку "Уведомить пользователя".

1. Защита файлов (в том числе системных).
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)  
На вкладке "Конечные файлы":
- в списке "Операции" включить галочки "Удалить файл", "Выполнить запись в файл";
- в списке "Над этими файлами" нажать кнопку "Добавить" и выбрать необходимые файлы или папку для защиты. (При выборе действия "Запросить" рекомендую добавить сразу всю папку Windows\System32. Но советую крайне аккуратно добавлять файлы в этот список при выборе действия "Блокировать": например, из папки Windows\System32 имеет смысл добавить только исполняемые файлы с расширениями .exe, .dll, .bat, .cmd, и по усмотрению другие редактируемые файлы вроде файла Windows\System32\drivers\etc\hosts).
Нажать кнопку "ОК".

2. Защита MBR жесткого диска.
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)  
На вкладке "Конечные файлы":
- в списке "Операции" включить галочку "Непосредственный доступ к диску".
Нажать кнопку "ОК".

3. Защита системных записей в реестре.
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)  
На вкладке "Конечные реестр":
- в списке "Операции" включить галочку "Использовать для всех операций";
- в списке "Над этими записями реестра" нажать кнопку "Добавить" и затем поочередно добавить с список следующие пути в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Policies\Explorer\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Policies\System\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunServices\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\DataBasePath
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*

Для блокировки/запроса изменения настроек TCP/IP:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\Interfaces\*

Для защиты политики безопасности IP:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec­\*

Для блокировки/запроса записи блокирующих статических маршрутов:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\PersistentRoutes\*

Для блокировки/запроса блокирования запуска ESET через отладчики:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe\*

Нажать кнопку "ОК".
Изменено: marshal64 - 19.08.2013 20:29:08

Ответы

Можно то можно, только до всего додумываться надо самому :)
Вы как разработчики порекомендовали бы какой то набор правил от шифраторов. Если там есть какие то нюансы при внесении таких правил, то описать их, приспособимся.
Вообще на сколько я понял, шифратор всегда скачивает нужные файлы с инета сначала, вроде как известные адреса smart security блокирует и соответственно шифратор не сработает. Насчет просто антивируса не в курсе.
Чего вы  этими шифраторами себе голову морочите.
Это всё делается в 5 минут и получим 100% защиту.
----
Так: http://forum.esetnod32.ru/messages/forum8/topic10494/message75282/#message75282
RP55 RP55, решение не совсем удобное, поэтому мы и ищем способы защиты от шифраторов с помощью HIPS.
ESET Technical Support
Цитата
Валентин пишет:

решение не совсем удобное, поэтому мы и ищем способы защиты от шифраторов с помощью HIPS.

 :)  

А решения связанные с HIPS видимо более удобные ?
Неделю создавать правила.
Неделю тестировать.
Всю жизнь корректировать.

 ;)
Изменено: RP55 RP55 - 06.10.2014 20:26:24
RP55, достаточно криптору проверять имя файла не по расширению, а по вхождению (дополнительно) этих масок (.doc, .jpg, .pdf и другие) в имя файла и все опять накроется медным (с элементами криптографии) тазом. А без наличия этой маски (*.doc....) в наименовании файла, в голове у юзера будут постоянно возникать кризисы. не открывается, чем открыть и т.п.. Ну и самому придется писать и периодически запускать криптор_переименователь. :),
Изменено: santy - 07.10.2014 06:10:21
в списке "Операции" включить галочку "Непосредственный доступ к диску"[TABLE][TR][TD]http://um.mos.ru/museums/mam/[/TD][/TR][/TABLE]
Здравствуйте! Внешний вид настроек HIPS и их содержание в десятой версии немного отличаются от приведенных в шапке топика. У кого есть возможность - пожалуйста, приведите примеры защиты файлов (например, hosts-файла) и записей реестра с помощью HIPS для десятой версии, если можно - с картинками. Спасибо
Я сделаю правила защиты от некоторых типов шифровальщиков, для 9 и 10 версии, но немного позже. В текущее время катастрофически не хватает времени...

Спасибо.
Если получится сделайте для 11 версии. защита автозагрузки, защита папок от шифратора.
Опять же нужно время, его просто катастрофически нет. Как будет выложу....

Спасибо.
Читают тему (гостей: 8)