Como configurar o HIPS do Eset

Março 2017

Você vai saber como criar regras do HIPS de Eset para melhorar a segurança


O que é o HIPS

Sistema de prevenção de intrusão (IPS ou, Intrusion Prevention System) é uma ferramenta de especialistas em segurança de sistemas da informação, similar ao IDS, que permite tomar medidas para reduzir o impacto de um ataque. É um IDS ativo, ele detecta o problema por meio de uma varredura automatizada, O IPS pode bloquear as portas automaticamente. portanto pode combater os ataques conhecidos e desconhecidos. Como IDS, eles não são 100% confiáveis e podem até mesmo, no caso de falso positivo, bloquear o tráfego legítimo.

Como funciona o HIPS no Eset

O HIPS foi integrado ao Eset (Antivírus de Smart Security) desde a versão 5 do antivírus. Com 2 ou 3 pequenas configurações, você poderá dizer adeus à uma infecção. Elas são acessíveis nos parâmetros avançados do software (tecla F5):



Quais são os diferentes modos de funcionamento

O HIPS de Eset tem diversos modos de funcionamento:

Modo automático com regra:


Esta é a configuração padrão: ordem de avaliação (regras, autorização):


Isto significa que se nenhuma regra existe para a ação deste produto então está autorizada.
Exemplo: você instala o software, este escrito no registro para ser lançado no arranque, coisa que ele fará. Se você criar uma regra que exige uma autorização de usuário ou proibir a criação de uma chave de registro para a inscrição no arranque, então o software aplicará a regra definida.

Resumindo:
Ação se produz > regra existente?
Se sim: executa-se a regra
Se não: autoriza-se

Modo interativo:




Nós temos:
Ordem de avaliação: regras, questões, autorização em caso de falha
Isto retoma em parte o 1º modo (Modo automático com regra). Se uma ação se produz e que nenhuma regra não for feita, então ele vai solicitar ao usuário para aceitar ou recusar (temporariamente ou definitivamente) a ação.

Este modo é um comparável a um modo paranoico, mas ele pode tornar-se muito incomodo no momento de uma instalação, por exemplo, onde inúmeras autorizações serão solicitadas. Além do mais, se enganar no momento de uma resposta pode bloquear o sistema (exemplo com atualização do Windows).

Modo baseadas em regras personalizadas:



Nós temos:
Ordem de avaliação: regra,bloqueio

Trata-se do mesmo modo que o 1º, mas com a diferença que ele não vai autorizar, desta vez ele vai proibir. Este modo muito prático para um administrador desistema, ele poderá criar suas regras de autorização, depois o software se ocupará de proibir o restante.

Modo de aprendizado:



Nos temos :
Ordem de avaliação: regras, criação de uma regra de autorização

Este modo é particular, você pode pedir ao seu software para criar regras de autorização para todos o que você faz. Isto tem como objetivo passar em seguida para o modo 3 (modo baseado nas regras personalizadas). Ele deve, no entanto ser utilizado com prudência e em uma máquina limpa, senão uma infecção não terá nenhum problema em se infiltrar.

Regra sob medida

Nós vimos os diferentes modos de funcionamento e vamos guardar o modo padrão que é automático. Quer dizer, tudo autorizado a não ser nossas regras, onde ele deverá nos solicitar uma autorização.

Regra 1: nos solicitar a autorização de software no arranque. A regra de base, uma infecção se lança no arranque, Nós clicamos então em Configurar as regras:


Uma regra já estará presente, nós não a tocaremos, trata-se dos drives do sistema. Clique em Novo... abaixo à esquerda

Nós informamos o nome de arranque (ao menos para sabe do que se trata), ter ação de solicitar.

À direita ativar a regra, você pode selecionar Jornal para ter a inscrição nos logs, pois a regra está em solicitar (ela teria sido autorizada ou proibida, talvez teria sido útil tê-la ativado)

Nós escolhemos o registro alvo, na operação marcamos modificar os parâmetros de arranque depois Ok

Assim, todas as operações (criações, modificações, supressão...) de uma chave do registro do sistema que toca o arranque do sistema, uma solicitação de autorização será feita.

Um exemplo:

Neste exemplo. eu solicitei ao CCleaner (famoso software de limpeza) para se desativar no arranque (eu o tinha ativado anteriormente)

Então o HIPS reagiu:

Aplicação : trata-se do software que tenta fazer a modificação
Operação : aquilo que ele tenta fazer
Alvo : a chave que quer suprimir/modificar (ou criar)

Eu posso então Autorizar e o CCleaner fará aquilo que eu solicitei ou Recusar, ele se encontrará então bloqueado e o registro do sistema não será afetado.

Eu posso também Criar uma regra que fará que, para o CCleaner, a questão não será mais colocada, e então sempre Autorizar ou sempre Recusar de acordo com minha escolha.

Quanto à Memorizar temporariamente esta ação para este processo , ele guardará minha escolha o tempo que o software ficar aberto (se eu brinco a marcar e desmarcar a caixa de configuração do CCleaner, ele não me perguntará mais enquanto eu não fechar o software), é o equivalente de uma regra efêmera.

Eis nossa primeira grande regra, que impedirá uma infecção no arranque do PC (se tivermos a autorização, é claro...)

Regra 2: Proibir o acesso ao arquivo Hosts</bold>. Leia essa dica antes de continuar. Nós vamos, assim, bloquear o acesso a este arquivo, que poderia estar infectado:
.

Nós criamos uma nova regra, com o Nome Hosts em Ação bloquear (você pode também colocar 'solicitar' se você tem softwares que necessitem a modificação de seu Hosts)

Outros parâmetros, nós o ativamos, depois perguntamos para nos alertar com Alertar o usuário.

Os parâmetros são arquivos alvo /bold>, <bold>Escrever em um arquivo /bold>, depois fechamos nosso arquivo Hosts em questão, depois validar. Pronto!

<bold>Regra 3
: terminado os vírus 'Autorun'. Leia esta dica antes de continuar

Muitos artigos, mostram como criar um 'autorun.inf' na raiz de seus discos rígidos. Depois de protegê-los em escritura graças à leitura somente. Certo, isto impede qualquer modificação, mas o que se passa se ele for suprimido, renomeado ou recriado ? Você será igualmente infectado.

Nós vamos criar uma regra, então, que proíba a modificação e a supressão do arquivo. E quase idêntico ao arquivo Host.


Nós criamos, então, um arquivo autorun.inf em cada raiz dos discos rígidos:


Eis o que se passará se eu tentar intervir:


Nós somos notificados que o acesso aconteceu, que ele foi bloqueado, e nós sabemos até mesmo através de qual programa!

Prontinho!

Para saber mais

Eis um material para aprofundas seus conhecimentos:
http://kb.eset.com/esetkb/index?page=content&id=SOLN2950 Apresentação do HIPS]
HIPS configuração avançada

Veja também

Artigo original publicado por . Tradução feita por ninha25.
Este documento, intitulado 'Como configurar o HIPS do Eset', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.