KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
× Non sei ancora nostro cliente Eset? Diventa Partner CoreTech e visita il nostro configuratore prezzi

ESET - File Security – HIPS

ESET File Security – Il Sistema anti-intrusione basato su host (HIPS)

Il Sistema anti-intrusione basato su host (Host-based Intrusion Protection System o HIPS) protegge il sistema da malware o attività indesiderate che tentano di compromettere la sicurezza del computer. L'HIPS di ESET File Security utilizza un'analisi comportamentale avanzata unita alle capacità di rilevamento del filtraggio di rete per il monitoraggio dei processi in esecuzione, dei file e delle chiavi del registro. L'HIPS è indipendente dalla protezione file system in tempo reale e non è un firewall, in quanto monitora solo i processi eseguiti all'interno del sistema operativo.

È consigliabile che le modifiche delle impostazioni HIPS siano apportate solo dagli utenti avanzati. Una configurazione non corretta delle impostazioni HIPS può causare instabilità di sistema.

Banner

Le impostazioni dell'HIPS sono disponibili nella struttura Configurazione avanzata (F5) > Antivirus > HIPS. Lo stato HIPS (attivato/disattivato) viene visualizzato nella finestra principale del programma ESET File Security, nella scheda Configurazione, a destra della sezione Computer.

  

ESET File Security integra una tecnologia di Autoprotezione che impedisce a software dannosi di danneggiare o disattivare la protezione antivirus e antispyware, in modo da garantire costantemente la protezione del sistema. Le modifiche alle impostazioni Attiva HIPS e Attiva autoprotezione avranno effetto solo dopo aver riavviato il sistema operativo Windows. Sarà necessario riavviare il computer anche se si disattiva l'intero sistema HIPS.

Lo Scanner memoria avanzato lavora congiuntamente all'Exploit Blocker per rafforzare il livello di protezione contro malware concepiti allo scopo di eludere il rilevamento dei prodotti antimalware mediante l'utilizzo di pratiche di offuscamento o crittografia. Per impostazione predefinita, lo scanner memoria avanzato è attivo.

L'Exploit Blocker è progettato per rafforzare i tipi di applicazione comunemente utilizzati come ad esempio i browser web, lettori PDF, client di posta e componenti di MS Office. L'exploit blocker è attivato per impostazione predefinita.

Il filtraggio può essere eseguito in una delle seguenti modalità:

  • Modalità automatica: le operazioni sono attivate, ad eccezione di quelle bloccate dalle regole predefinite che proteggono il sistema;
  • Modalità intelligente: all'utente verranno segnalati solo gli eventi molto sospetti;
  • Modalità interattiva: all'utente verrà chiesto di confermare le operazioni;
  • Modalità basata su criteri: le operazioni sono bloccate. Accetta solo regole utente/predefinite.
  • Modalità riconoscimento: le operazioni sono attivate e dopo ogni operazione viene creata una regola. Le regole create in questa modalità possono essere visualizzate nell'Editor regole, ma la loro priorità è inferiore rispetto alla priorità delle regole create manualmente o delle regole create nella modalità automatica. Selezionando la Modalità riconoscimentodal menu a discesa Modalità filtraggio HIPS, sarà disponibile l'impostazione La modalità riconoscimento terminerà alle ore. Selezionare la durata per la quale si desidera attivare la modalità riconoscimento (il limite massimo è di 14 giorni). Una volta trascorsa la durata specificata, all'utente verrà richiesto di modificare le regole create dall'HIPS quando si trovava in modalità riconoscimento. È inoltre possibile scegliere un'altra modalità di filtraggio oppure posticipare la decisione e continuare a utilizzare la modalità riconoscimento.

Il sistema HIPS monitora gli eventi all'interno del sistema operativo e reagisce in base a regole simili a quelle utilizzate dal rapporto del Personal firewall. Fare clic su Modifica per aprire la finestra di gestione delle regole HIPS. In questa sezione è possibile selezionare, creare, modificare o eliminare regole.

Se l'azione predefinita di una regola è impostata su Chiedi, verrà visualizzata una finestra di dialogo tutte le volte che la regola verrà attivata, dalla quale sarà possibile scegliere di Bloccare (allow) o Consentire (Deny) l'operazione (immagine seguente). Se non scegliete un'azione nell'intervallo di tempo specifico, verrà selezionata una nuova azione in base alle regole.

 

La finestra di dialogo consente all'utente di creare una regola in base a una qualsiasi nuova azione rilevata dall'HIPS e di definire le condizioni in base alle quali consentire o bloccare l'azione. Per accedere alle impostazioni dei parametri esatti, fare clic su Maggiori informazioni. Le regole create in questo modo sono considerate equivalenti a quelle create manualmente. Una regola creata da una finestra di dialogo può quindi essere meno specifica rispetto alla regola che ha attivato quella finestra di dialogo. Ciò significa che, dopo aver creato questo tipo di regola, la stessa operazione può attivare la stessa finestra.

Ricorda temporaneamente questa azione per il processo causa un'azione (Consenti/Blocca) da utilizzare finché non verrà apportata una modifica alle regole o alla modalità di filtraggio oppure non verrà eseguito un aggiornamento del modulo HIPS o un riavvio del sistema. In seguito a una di queste tre azioni, le regole temporanee verranno eliminate.

Regole HIPS

La finestra corrispondente offre una panoramica delle regole HIPS esistenti, che sono descritte qui di seguito; la relativa finestra di dialogo (proposta nell’immagine seguente) vede le seguenti colonne:

  • Regola: nome della regola scelto automaticamente o definito dall'utente;
  • Attivata: disattivate questo pulsante se desiderate mantenere la regola nell'elenco ma non volete utilizzarla;
  • Azione: la regola specifica un'azione (ConsentiBloccaChiedi) che deve essere eseguita se sono soddisfatte le condizioni specificate;
  • Origini: la regola verrà utilizzata solo se l'evento viene attivato da una o più applicazioni;
  • Destinazioni: la regola verrà utilizzata esclusivamente se l'operazione è correlata a un file, un'applicazione o una voce di registro specifici.
  • Rapporto: se si attiva questa opzione, le informazioni sulla regola verranno scritte nel Rapporto HIPS;
  • Notifica: se viene attivato un evento, nell'angolo in basso a destra viene visualizzata una finestra popup di piccole dimensioni.

Nella finestra di dialogo sono presenti i seguenti elementi (comandi) di controllo, nella zona in basso a sinistra del riquadro contenente le colonne:

Banner

  • Aggiungi: crea una nuova regola;
  • Modifica: consente all'utente di modificare le voci selezionate;
  • Rimuovi: rimuove le voci selezionate.

Per chiarire meglio l’utilizzo delle regole HIPS viene proposta, qui di seguito, una procedura d’esempio che serve a limitare il comportamento indesiderato delle applicazioni:

  1. denominate la regola e selezionate Bloccanel menu a discesa Azione;
  2. attivate il pulsante Notifica utenteper visualizzare una notifica tutte le volte che viene applicata una regola;
  3. selezionate almeno un'operazione sulla quale verrà applicata la regola; nella finestra Applicazioni di origine, selezionateTutte le applicazionidal menu a discesa per applicare la nuova regola a tutte le applicazioni che tentano di eseguire una delle operazioni dell'applicazione selezionata sulle applicazioni specificate dall'utente;
  4. selezionate Modifica stato di un'altra applicazione (tutte le operazioni sono descritte nella guida del prodotto, a cui è possibile accedere premendo F1);
  5. selezionate Applicazioni specifiche dal menu a discesa e Aggiungere una o più applicazioni che si desidera proteggere;
  6. fate clic su Fine per salvare la nuova regola.

Impostazioni regola HIPS

Vediamo adesso come si crea e si imposta una regola. Ricordate che in caso di creazione di una regola eccessivamente generica, potreste ricevere una notifica da ESET File Security. Le impostazioni riguardanti le regole HIPS sono descritte qui di seguito.

  • Nome regola: nome della regola scelto automaticamente o definito dall'utente.
  • Azione: la regola specifica un'azione (ConsentiBloccaChiedi) che deve essere eseguita se sono soddisfatte le condizioni specificate.
  • Operazioni che influiscono: è necessario selezionare il tipo di operazione alla quale la regola verrà applicata. La regola verrà utilizzata solo per questo tipo di operazione e per la destinazione selezionata.
  • File: la regola sarà utilizzata solo se l'operazione è correlata a questa destinazione. Selezionate i file dal menu a discesa e fare clic su Aggiungiper aggiungere nuovi file o nuove cartelle. In alternativa è possibile selezionare Tutti i file dal menu a discesa per aggiungere tutte le applicazioni.
  • Applicazioni: la regola verrà utilizzata solo se l'evento viene attivato dall'applicazione. Selezionare applicazioni specifiche dal menu a discesa e fare clic su Aggiungiper aggiungere nuovi file o nuove cartelle oppure selezionare Tutte le applicazioni dal menu a discesa per aggiungere tutte le applicazioni.
  • Voci di registro: la regola verrà utilizzata solo se l'operazione è correlata a questa destinazione. Selezionare voci specifiche dal menu a discesa e fare clic su Aggiungiper aggiungere nuovi file o nuove cartelle oppure selezionare Tutte le voci dal menu a discesa per aggiungere tutte le applicazioni.
  • Attivata: disattivare questo pulsante se si desidera mantenere la regola nell'elenco ma non utilizzarla.
  • Rapporto: se si attiva questa opzione, le informazioni sulla regola verranno scritte nel solito Rapporto HIPS.
  • Notifica utente: se viene attivato un evento, nell'angolo in basso a destra viene visualizzata una finestra popup di piccole dimensioni.

Notate che quando inserite una destinazione, è possibile utilizzare i caratteri jolly con alcune limitazioni. Al posto di una chiave particolare, nei percorsi dei registri di sistema è possibile utilizzare il simbolo * (asterisco). Ad esempio, HKEY_USERS\*\software può significare HKEY_USER\.default\software ma non HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\softwareHKEY_LOCAL_MACHINE\system\ControlSet* non è un percorso valido della chiave di registro del sistema.

Un percorso della chiave del registro di sistema contenente \* indica "questo percorso o qualsiasi percorso a qualsiasi livello dopo tale simbolo". Nelle destinazioni dei file, i caratteri jolly possono essere utilizzati solo in questo modo. Viene innanzitutto valutata la parte specifica di un percorso, quindi viene esaminato il percorso dopo il carattere jolly (*). 

La regola HIPS è formata da varie parti che illustrano le condizioni che la attivano; le parti sono quelle elencate e descritte qui di seguito.

  • Applicazioni di origine: la regola sarà utilizzata solo se l'evento è attivato da questa/e applicazione/i. Selezionate Applicazioni specifichedal menu a discesa e fate clic su Aggiungi per aggiungere nuovi file o nuove cartelle, oppure selezionate Tutte le applicazioni dal menu a discesa per aggiungere tutte le applicazioni.
  • File: la regola sarà utilizzata solo se l'operazione è correlata a questa destinazione. Selezionare File specificidal menu a discesa e fare clic su Aggiungi per aggiungere nuovi file o nuove cartelle. In alternativa è possibile selezionare Tutti i file dal menu a discesa per aggiungere tutte le applicazioni.
  • Applicazioni : la regola sarà utilizzata solo se l'operazione è correlata a questa destinazione. Selezionate Applicazioni specifichedal menu a discesa e fate clic su Aggiungi per aggiungere nuovi file o nuove cartelle. In alternativa è possibile selezionare Tutte le applicazioni dal menu a discesa per aggiungere tutte le applicazioni.
  • Voci di registro: la regola verrà utilizzata solo se l'operazione è correlata a questa destinazione. Selezionate Voci specifichedal menu a discesa e fate clic su Aggiungi per aggiungere nuovi file o nuove cartelle. In alternativa è possibile selezionare Tutte le voci dal menu a discesa per aggiungere tutte le applicazioni.

Notate che non è possibile bloccare alcune operazioni di regole specifiche predefinite dall'HIPS. Per impostazione predefinita, tali operazioni sono quindi consentite. Inoltre, non tutte le operazioni di sistema sono monitorate dall'HIPS. HIPS monitora le operazioni che possono essere considerate non sicure.

Le operazioni importanti relative all’HIPS di ESET File Security sono quelle elencate e descritte qui di seguito ripartite per categorie.

Operazioni del file

  • Elimina file: l'applicazione richiede l'autorizzazione per l'eliminazione del file di destinazione.
  • Scrivi su file: l'applicazione richiede l'autorizzazione per scrivere sul file di destinazione.
  • Accesso diretto al disco: l'applicazione sta tentando di leggere o scrivere sul disco in modalità non standard, che eluderà le procedure di Windows comuni. Ciò potrebbe causare la modifica dei file senza che vengano applicate le regole corrispondenti. Questa operazione può essere causata da un malware che tenta di eludere il rilevamento, un software di backup che tenta di creare una copia esatta di un disco o un programma di gestione delle partizioni che tenta di riorganizzare i volumi del disco.
  • Installa hook globale: fa riferimento alla chiamata della funzione SetWindowsHookEx dalla libreria MSDN.
  • Carica driver: installazione e caricamento dei driver nel sistema.

Operazioni dell'applicazione

  • Esegui debug di un'altra applicazione: associazione di un debugger al processo. Quando si esegue il debug di un'applicazione, è possibile visualizzare e modificare molti dettagli del relativo comportamento e accedere ai rispettivi dati.
  • Intercetta eventi da altra applicazione: l'applicazione di origine sta tentando di intercettare gli eventi specifici su un'applicazione specifica (ad esempio, un keylogger che cerca di acquisire gli eventi del browser).
  • Termina/sospendi altra applicazione: sospensione, ripresa o interruzione di un processo (è possibile accedervi direttamente da Esplora processi o dalla finestra Processi).
  • Avvia nuova applicazione: avvio di nuove applicazioni o processi.
  • Modifica stato di un'altra applicazione: l'applicazione di origine sta tentando di scrivere nella memoria delle applicazioni di destinazione o di eseguire codice per suo conto. Questa funzionalità può risultare utile per proteggere un'applicazione essenziale configurandola come applicazione di destinazione in una regola che blocca l'utilizzo di tale operazione.

Operazioni del registro

  • Modifica impostazioni di avvio: qualsiasi modifica nelle impostazioni che definisce quali applicazioni saranno eseguite all'avvio di Windows. Possono essere individuate, ad esempio, ricercando la chiave Run nel Registro di sistema di Windows.
  • Elimina dal registro: eliminazione di una chiave del registro o del relativo valore.
  • Rinomina chiave del registro: ridenominazione delle chiavi del registro.
  • Modifica registro: creazione di nuovi valori delle chiavi del registro, modifica dei valori esistenti, spostamento dei dati nella struttura del database oppure impostazione dei diritti utente o di gruppo per le chiavi del registro.

HIPS - Configurazione avanzata

Le seguenti opzioni sono utili per eseguire il debug e l'analisi del comportamento di un'applicazione:

  • Caricamento driver sempre consentito: i driver selezionati sono sempre autorizzati a effettuare il caricamento indipendentemente dalla modalità di filtraggio configurata, eccetto nel caso in cui vengano bloccati esplicitamente da una regola dell'utente.
  • Registra tutte le operazioni bloccate: tutte le operazioni bloccate verranno scritte sul registro HIPS.
  • Notifica quando si verificano modifiche nelle applicazioni all'Avvio: consente di visualizzare una notifica sul desktop ogni volta che un'applicazione viene aggiunta o rimossa dall'avvio del sistema.

I driver visualizzati nell’elenco Caricamento driver sempre consentito sono sempre autorizzati a caricare indipendentemente dalla modalità di filtraggio dell'HIPS, eccetto nel caso in cui vengano bloccati esplicitamente da una regola creata con i seguenti comandi:

  • Aggiungi: aggiunge un nuovo driver;
  • Modifica: modifica il percorso di un driver selezionato;
  • Rimuovi: rimuove un driver dall'elenco;
  • Reimposta: ricarica un set di driver di sistema.