Eset : Configuração avançada do HIPS

Janeiro 2017



Você encontrará aqui como criar regras do HIPS de Eset para melhorar a segurança



HIPS, o que é ?


Um sistema de prevenção de intrusão (IPS ou, Intrusion Prevention System) é uma ferramenta de especialistas em segurança de sistemas de informação, similar ao IDS, que permite tomar medidas para reduzir o impacto de um ataque. É um IDS ativo, ele detecta uma varredura automatizada, IPS pode bloquear as portas automaticamente. IPS pode, portanto, combater os ataques conhecidos e desconhecidos. Como IDS, eles não são 100% confiáveis e podem até mesmo no caso de falso positivo bloquear o tráfego legítimo.

Fonte : Wikipédia

Eset e HIPS


O HIPS foi integrado ao Eset (Antivírus de Smart Security) desde a versão 5.
Muitos lançaram a polêmica de sua « falta de fiabilidade » no entanto eles jamais buscaram mais longe que o seu nariz o seu funcionamento... , ele é, ao contrário muito eficaz!

Com 2-3 pequenas configurações, você poderá dizer adeus à uma infecção.

Estas configurações são acessíveis nos parâmetros avançados do software (tecla F5)

Os diferentes modos de funcionamento


O HIPS de Eset tem diversos modos de funcionamento:
  • 1- Modo automático com regra



É a configuração padrão:
Ordem de avaliação : regras, autorização


Isto significa que se nenhuma regra existe para a ação deste produto então está autorizada.
Exemplo: você instala o software, este escrito no registro para ser lançado no arranque, coisa que ele fará no estado atual.

Se agora você cria uma regra que obriga solicitar uma autorização de usuário ou a proibir a criação de uma chave de registro para a inscrição no arranque então o software aplicará a regra definida.

Resumindo:

Ação se produz --> regra existente ?
--> Se sim : executa-se a regra
--> Se não> autoriza-se
  • 2- Modo interativo



Nós vemos:
Ordem de avaliação: regras, questões, autorização em caso de falha
Isto retoma em parte o 1º modo. Se uma ação se produz e que nenhuma regra não for feita, então ele vai solicitar ao usuário de aceitar ou recusar (temporariamente ou definitivamente) a ação.

Este modo é um pouco comparável a um modo paranóico, mas ele pode tornar-se muito incomodo no momento de uma instalação, por exemplo, onde inúmeras autorizações vão ser solicitadas. Além do mais, se enganar no momento de uma resposta pode bloquear o sistema (exemplo com atualização do Windows).
  • 3- Modo baseadas em regras personalizadas



Nós vemos:
Ordem de avaliação : regra, bloqueio

Trata-se do mesmo modo que o 1º, mas com a diferença que ele está invertido no lugar de autorizar, este vez ele vai proibir.

Este modo muito prático para um administrador sistema, ele poderá criar suas regras de autorização, depois o software se ocupará de proibir o restante.
  • 4- Modo de aprendizado


Nos vemos :
Ordem de avaliação : regras, criação de uma regra de autorização

Este modo é particular, durante alguns definidos você pode solicitar ao seu software de criar regras de autorização para todos o que você faz. Isto tem por objetivo passar em seguida em modo 3 (modo baseado nas regras personalizadas).

Ele deve, no entanto ser utilizado com prudência e em uma máquina limpa, senão uma infecção não terá nenhum problema em se infiltrar.

Regra sob medida


Nós vimos os diferentes modos de funcionamento e vamos guardar o modo padrão que é automático. Quer dizer, tudo autorizado a não ser nossas regras, onde ele deverá nos solicitar uma autorização.
  • Regra 1 : Nos solicitar a autorização de software no arranque


A regra de base, uma infecção se lança no arranque, nós vamos fazer uma espécie de qualquer software, desejamos uma solicitação de autorização (e não um padrão, para evitar interferir nos softwares limpos).

Nós clicamos então em Configurar as regras.

Uma regra já estará presente, nós não a tocaremos, trata-se dos drives do sistema. Clique em Novo... em baixo à esquerda



Nós lhe diremos o nome de arranque (ao menos se sabe do que se trata), de ter a ação de nos solicitar.

À direita ativar a regra , você pode selecionar « jornal » para ter a inscrição nos logs, depois alertar o usuário não é necessário, pois a regra está em « solicitar » (ela teria sido autorizada ou proibida , talvez teria sido útil tê-la ativado)

Nós escolhemos o registro alvo, na operação marcamos modificar os parâmetros de arranque depois Ok

Assim, todas as operações (criações, modificações, supressão...) de uma chave do registro do sistema que toca o arranque do sistema, uma solicitação de autorização lhe será feita.

Um exemplo:

Neste exemplo. Eu solicitei ao CCleaner (famoso software de limpeza) de se desativar no arranque ( eu o tinha ativado anteriormente)

Então o HIPS reagiu:


Aplicação : trata-se do software que tenta fazer a modificação
Operação : aquilo que ele tenta fazer
Alvo : a chave que quer suprimir/modificar (ou criar)

Eu posso então Autorizar CCleaner fará aquilo que eu solicitei ou Recusar, ele se encontrará então bloqueado e o registro do sistema não será afetado.

Eu posso também Criar uma regra que fará que para o CCleaner, a questão não será mais colocada, e então sempre Autorizar ou sempre Recusar de acordo com minha escolha.

Quanto à Memorizar temporariamente esta ação para este processo , ele guardará minha escolha o tempo que o software ficar aberto (se eu brinco a marcar e desmarcar a casa de configuração do CCleaner, ele não me perguntará mais enquanto eu não fechar o software), é o equivalente de uma regra "efêmera".

Eis nossa primeira grande regra, que impedirá uma infecção de estar novamente presente no arranque do PC (se temos a autorização, é claro...)
  • Regra 2 : Proibir o acesso ao arquivo Hosts


Ler isto antes de continuar
Nós vamos, assim, bloquear o acesso a este arquivo, que poderia estar infectado.


Nós criamos uma nova regra, com o Nome Hosts em Ação bloquear (você pode também colocar "solicitar" se você tem softwares que necessitem a modificação de seu Hosts)

Outros parâmetros , nós o ativamos, depois perguntamos de nos alertar com Alertar o usuário.

Os parâmetros são arquivos alvo , Escrever em um arquivo depois fechamos nosso arquivo Hosts em questão, depois validar

Pronto !
  • Regra 3 : Terminado os vírus Autorun


Ler isto antes de continuar

Muitos artigos, mostram como criar um autorun.inf na raiz de seus discos rígidos. Depois de os proteger em escritura graças á leitura somente
Certo, isto impede qualquer modificação, mas o que se passa se ele for suprimido, renomeado ou recriado ? Você será igualmente infestado.

Nós vamos criar uma regra, então, que proíba a modificação e supressão do arquivo. E quase idêntico ao arquivo Host.


Nós criamos, então, um arquivo autorun.inf em cada raiz dos discos rígidos.



Eu explico, você começa a conhecer, e eu pedi para ser notificado, eis o que se passará se eu tentar intervir sobre:


Nós somos notificados que o acesso aconteceu, que ele foi bloqueado, e nós sabemos até mesmo através de qual programa !


Pronto!

Links


O site oficial não traduziu ainda os diferentes artigos, mas eis um material para aprofundas seus conhecimentos


Apresentação do HIPS
HIPS configuração avançada
Artigo original publicado por [Dorgane]
Tradução feita por Ana Spadari

Veja também

Artigo original publicado por . Tradução feita por ninha25. Última modificação: 18 de março de 2013 às 16:04 por ninha25.
Este documento, intitulado 'Eset : Configuração avançada do HIPS', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.