Eset - Configurez le HIPS (système de prévention d'intrusion)

Dans cette astuce, vous apprendrez à configurer la fonctionnalité HIPS de Eset NOD 32 Antivirus pour une sécurité accrue.

Qu'est-ce que HIPS?

Le système de prévention d'intrusion (IPS) est un outil avancé pour la sécurité des systèmes d'information, similaire au système IDS, qui vise à réduire l'impact d'une attaque. C'est un système de détection d'intrusion (IDS) actif qui détecte l'analyse automatisée des ports et les bloque si nécessaire. IPS peut donc contrer les attaques connues et inconnues.

Comment accéder à cette fonctionnalité?

HIPS est intégré à ESET (antivirus Smart Security) depuis la version 5 et peut être configuré pour répondre à vos exigences de sécurité personnalisées:

Pour y accéder:

Ouvrez Eset (double-cliquez sur l'icône de la barre d'état système).
Appuyez sur F5 pour accéder aux paramètres avancés Eset.

Les différents modes

Eset HIPS a plusieurs modes de fonctionnement:

Mode automatique avec règles

Ce sont les paramètres par défauts:
Ordre d'évaluation: règles, autorisation
Cela signifie que si aucune règle n'existe pour l'action en cours, elle est autorisée.
Exemple: vous installez un programme (avec l'option d'être lancé au démarrage), il écrira des instructions dans le registre.
Maintenant, si vous créez une règle nécessitant une autorisation pour modifier le registre, la fonction HIPS vous demandera une petite notification lors de l'installation du programme.

Mode interactif

Ordre d'évaluation: règles, demander, autoriser en cas d'échec
Il profite du premier mode. Si une action est déclenchée et qu'il n'y a pas de règles connexes, l'utilisateur sera invité à accepter ou à refuser (temporairement ou définitivement) l'action.

Mode basé sur la politique

Ordre d'évaluation: règles, blocage
Ce mode est utile pour un administrateur système, qui peut créer des règles d'autorisation.

Mode d'apprentissage

Ordre d'évaluation: règles, création d'une règle d'autorisation
Ce mode est spécial, pendant un nombre de jours défini, vous pouvez demander au logiciel de créer des règles d’autorisation pour les actions effectuées sur votre système. Il basculera ensuite en mode basé sur des stratégies.
Cependant, il doit être utilisé avec prudence et sur une machine en bonne santé!

Création de règles personnalisées

Comme vous l'avez vu plus haut, il existe différents modes de fonctionnement. Nous conserverons le mode par défaut (mode automatique), qui permet tout sauf les actions définies dans les règles, où il demandera la permission.

Ci-dessous, quelques règles de base pour sécuriser votre système:

Règle 1: Demandez la permission de démarrer un logiciel au démarrage de Windows!

Cliquez sur "Configurer les règles":

Une règle est déjà présente (registre et pilotes), n'y touchez pas. Cliquez sur Nouveau ... en bas à gauche

Donnez un nom à la règle (Startup) et allez dans l’onglet "Regsitry cible":
Cochez "Modifier les paramètres de démarrage" et cliquez sur OK pour valider.

Pour toutes les opérations (création, modification, suppression ...) effectuées sur la clé de registre liée au démarrage du système, une demande d'autorisation sera effectuée.

Règle 2: Refuser l'accès au fichier Hosts

A lire avant de continuer: Editez le fichier hosts
Nous allons donc bloquer l'accès à ce fichier, afin de prévenir l'infection.
Cliquez sur "Configurer les règles":
Donnez un nom à la règle (hôtes) et allez dans l'onglet "Fichiers cibles":
Cochez "Ecrire dans le fichier" et dans le champ adjacent, entrez le chemin du fichier hôte: