Размещено 31.12.2012 17:53:41
Все рассматриваемые настройки находятся в разделе Дополнительные настройки (F5) -> Компьютер -> Системы предотвращения вторжений на узел.
За включение/отключение HIPS отвечает галочка "Включить систему предотвращения вторжений на узел".
За включение самозащиты ESET отвечает галочка "Включить модуль самозащиты Self-defence" (перед удалением/переустановкой продуктов ESET я бы советовал эту галочку снимать).
За включение журнала заблокированных действий (крайне рекомендую включить этот пункт, чтобы можно было отследить поведение HIPS при тех или иных проблемах) отвечает пункт Дополнительные настройки -> "Регистрировать все заблокированные операции".
В качестве Режима фильтрации лучше выбрать или Интерактивный режим (запросы на операции, к которым не созданы правила, будут выдаваться постоянно), или Автоматический режим с правилами (запросов не будет, будут учитываться только ранее созданные правила). Лучше сначала переключиться в Интерактивный режим, создать все необходимые правила для доверенных операций и приложений, а затем переключиться в Автоматический режим с правилами.
Для создания, изменения и удаления правил используется кнопка "Конфигурировать правила".
Далее в появившемся диалоговом окне есть соответствующие кнопки: "Создать", "Изменить", "Удалить".
Для всех создаваемых правил лучше ставить галочку "Уведомить пользователя".
1. Защита файлов (в том числе системных).
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)
На вкладке "Конечные файлы":
- в списке "Операции" включить галочки "Удалить файл", "Выполнить запись в файл";
- в списке "Над этими файлами" нажать кнопку "Добавить" и выбрать необходимые файлы или папку для защиты. (При выборе действия "Запросить" рекомендую добавить сразу всю папку Windows\System32. Но советую крайне аккуратно добавлять файлы в этот список при выборе действия "Блокировать": например, из папки Windows\System32 имеет смысл добавить только исполняемые файлы с расширениями .exe, .dll, .bat, .cmd, и по усмотрению другие редактируемые файлы вроде файла Windows\System32\drivers\etc\hosts).
Нажать кнопку "ОК".
2. Защита MBR жесткого диска.
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)
На вкладке "Конечные файлы":
- в списке "Операции" включить галочку "Непосредственный доступ к диску".
Нажать кнопку "ОК".
3. Защита системных записей в реестре.
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)
На вкладке "Конечные реестр":
- в списке "Операции" включить галочку "Использовать для всех операций";
- в списке "Над этими записями реестра" нажать кнопку "Добавить" и затем поочередно добавить с список следующие пути в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
Для блокировки/запроса изменения настроек TCP/IP:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P
Для защиты политики безопасности IP:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec
Для блокировки/запроса записи блокирующих статических маршрутов:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P
Для блокировки/запроса блокирования запуска ESET через отладчики:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe\*
Нажать кнопку "ОК".
За включение/отключение HIPS отвечает галочка "Включить систему предотвращения вторжений на узел".
За включение самозащиты ESET отвечает галочка "Включить модуль самозащиты Self-defence" (перед удалением/переустановкой продуктов ESET я бы советовал эту галочку снимать).
За включение журнала заблокированных действий (крайне рекомендую включить этот пункт, чтобы можно было отследить поведение HIPS при тех или иных проблемах) отвечает пункт Дополнительные настройки -> "Регистрировать все заблокированные операции".
В качестве Режима фильтрации лучше выбрать или Интерактивный режим (запросы на операции, к которым не созданы правила, будут выдаваться постоянно), или Автоматический режим с правилами (запросов не будет, будут учитываться только ранее созданные правила). Лучше сначала переключиться в Интерактивный режим, создать все необходимые правила для доверенных операций и приложений, а затем переключиться в Автоматический режим с правилами.
Для создания, изменения и удаления правил используется кнопка "Конфигурировать правила".
Далее в появившемся диалоговом окне есть соответствующие кнопки: "Создать", "Изменить", "Удалить".
Для всех создаваемых правил лучше ставить галочку "Уведомить пользователя".
1. Защита файлов (в том числе системных).
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)
На вкладке "Конечные файлы":
- в списке "Операции" включить галочки "Удалить файл", "Выполнить запись в файл";
- в списке "Над этими файлами" нажать кнопку "Добавить" и выбрать необходимые файлы или папку для защиты. (При выборе действия "Запросить" рекомендую добавить сразу всю папку Windows\System32. Но советую крайне аккуратно добавлять файлы в этот список при выборе действия "Блокировать": например, из папки Windows\System32 имеет смысл добавить только исполняемые файлы с расширениями .exe, .dll, .bat, .cmd, и по усмотрению другие редактируемые файлы вроде файла Windows\System32\drivers\etc\hosts).
Нажать кнопку "ОК".
2. Защита MBR жесткого диска.
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)
На вкладке "Конечные файлы":
- в списке "Операции" включить галочку "Непосредственный доступ к диску".
Нажать кнопку "ОК".
3. Защита системных записей в реестре.
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)
На вкладке "Конечные реестр":
- в списке "Операции" включить галочку "Использовать для всех операций";
- в списке "Над этими записями реестра" нажать кнопку "Добавить" и затем поочередно добавить с список следующие пути в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
Для блокировки/запроса изменения настроек TCP/IP:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P
Для защиты политики безопасности IP:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec
Для блокировки/запроса записи блокирующих статических маршрутов:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P
Для блокировки/запроса блокирования запуска ESET через отладчики:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe\*
Нажать кнопку "ОК".
Изменено: marshal64 - 19.08.2013 20:29:08
