Búsqueda de artículos para empresas

Crear una regla de HIPS y forzarla en un equipo (6.x)

Detalles

El Sistema de prevención de intrusiones basadas en el host (HIPS) de ESET se incluye en ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security para Microsoft Exchange y ESET File Security para Microsoft Windows Server. HIPS monitorea la actividad del sistema y utiliza un conjunto predefinido de reglas para reconocer comportamientos sospechosos del sistema. Cuando este tipo de actividad es identificada, el mecanismo de autodefensa de HIPS detiene el programa o proceso amenazante para que no desarrolle una actividad potencialmente dañina. Los cambios a los ajustes para Habilitar HIPS y Habilitar la autodefensa impactan en el sistema luego de reiniciar Windows.

Solución

¡Solo para usuarios avanzados!

De manera predeterminada, el Sistema de prevención de intrusiones basadas en el host (HIPS) se encuentra preconfigurada para asegurar la máxima protección del sistema. Mientras la creación de una regla de HIPS podría ser necesario resolver un inconveniente de manera muy poco frecuente, la manipulación de las reglas requieren de un conocimiento avanzado de aplicaciones y sistemas operativos y no es recomendable.

Crear una regla de HIPS desde la Consola web de ESET Remote Administrator

Si no usa ESET Remote Administrator para administrar su red

Realizar estos pasos desde los equipos.

  1. Abra la Consola web de ESET Remote Administrator (ERA Web Console) e inicie sesión.

  2. Haga clic en AdminPolíticas, haga clic sobre el engranaje correspondiente a la política que desea modificar y luego seleccione Editar dentro del menú contextual.

    Figura 1-1
    Haga clic sobre la imagen para ampliarla

  3. Expanda el apartado Configuración, haga clic en Antivirus → HIPS y luego haga clic en Editar junto a Reglas.

    Figura 1-2
    Haga clic sobre la imagen para ampliarla

  4. Haga clic en Agregar.

    Figura 1-3
    Haga clic sobre la imagen para ampliarla

  5. Configure su regla. En este ejemplo, las operaciones seleccionadas que afectan las entradas de registro han sido bloqueadas y el usuario final será notificado si esta acción es llevada a cabo por el módulo HIPS. Cuando finalice, haga clic en Siguiente.

    Figura 1-4

  6. En la ventana Aplicaciones de origen, seleccione su opción deseada desde el menú desplegable. En este ejemplo, la regla de HIPS bloqueará cualquier aplicación que intente modificar los valores del registro. Haga clic en Siguiente

    Figura 1-5

  7. En la ventana Operaciones de registros, especifique cuales son las operaciones que desencadenarán esta regla. En este ejemplo, Eliminar del registro se encuentra seleccionado. Haga clic en Siguiente

    Figura 1-6

  8. En la ventana Entradas de registro, seleccione la opción deseada dentro del menú desplegable. En este ejemplo se bloquea la eliminación de cualquier entrada de registro. Haga clic en Finalizar

    Figura 1-7

  9. Haga clic en Aceptar para guardar la regla.

    Figura 1-8
    Haga clic sobre la imagen para ampliarla

  10. Haga clic en Finalizar. Los equipos asignados a la política que modificó recibirán esta nueva regla de HIPS la próxima vez que se reporten a ESET Remote Administrator Server (ERA Server).  

    Reglas predefinidas de HIPS

    Cualquiera de las reglas predefinidas de HIPS en los equipos asignados serán reemplazadas por las configuradas por esta política. 

    Figura 1-9
    Haga clic sobre la imagen para ampliarla


 

Crear una regla de HIPS en un equipo

  1. Abra ESET Endpoint Security o ESET Endpoint Antivirus. ¿Cómo abro mi producto?

  2. Presione la tecla F5 para acceder a la Configuración avanzada.

  3. Haga clic en Antivirus HIPS y luego en Editar junto a Reglas.

    Figura 2-1
    Haga clic sobre la imagen para ampliarla

  4. Haga clic en Agregar.

    Figura 2-2
    Haga clic sobre la imagen para ampliarla

  5. Configure su regla. En este ejemplo, las operaciones seleccionadas que afectan las entradas de registro han sido bloqueadas y el usuario final será notificado si esta acción es llevada a cabo por el módulo HIPS. Cuando finalice, haga clic en Siguiente.

    Figura 2-3
    Haga clic sobre la imagen para ampliarla

  1. En la ventana Aplicaciones de origen, seleccione su opción deseada desde el menú desplegable. En este ejemplo, la regla de HIPS bloqueará cualquier aplicación que intente modificar los valores del registro. Haga clic en Siguiente

    Figura 2-4
    Haga clic sobre la imagen para ampliarla

  2. En la ventana Operaciones de la aplicación, haga clic sobre el control deslizante correspondiente a la operación que desee bloquear. En este ejemplo, la regla de HIPS bloqueará cualquier aplicación que intente depurar otra. Haga clic en Siguiente.

    Figura 2-5
    Haga clic sobre la imagen para ampliarla

  3. En la ventana Aplicaciones, seleccione la opción deseada desde el menú desplegable. En este ejemplo, la regla se aplicará a todas las aplicaciones. Haga clic en Finalizar.

    Figura 2-6
    Haga clic sobre la imagen para ampliarla

  4. Haga clic en Aceptar para guardar una nueva regla de HIPS.

    Si se encuentra asignado a una política de ERA

    Si el equipo se encuentra asignado a una política de ERA que define un conjunto de reglas de HIPS, esa política sobrescribirá cualquier regla configurada en el equipo.

    Figura 2-7
    Haga clic sobre la imagen para ampliarla

  5. Haga clic en Aceptar para guardar lso cambios y salir de la Configuración avanzada. Los cambios impactarán luego de que se reinicie el sistema operativo Windows.

    Figura 2-8
    Haga clic sobre la imagen para ampliarla