Показать сообщение отдельно

Re: NOD32 - вопросы, проблемы, обсуждения
Старый 14.10.2013, 19:36   #816
Форумчанин
 
Аватар для SVNSVNSVN

 
Регистрация: 08.07.2010
Сообщений: 2 357

SVNSVNSVN вне форума

ESET - вопросы, проблемы, обсуждения


Какие настройки целесообразно добавить в HIPS ?

Цитата:
Сообщение от keb Посмотреть сообщение
...SVNSVNSVN не посоветуете не какого мануал по оптимальным настройкам?Больше всего интересует HIPS и Firewall!..
keb, прежде всего по настройке HIPS:

1. Весьма целесообразно поочерёдно создать следующие правила над этими записями реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\*

Условия правил: Конечный реестр - Операции - Использовать для всех операций,
галочка уведомить пользователя, правило активно, Действие - блокировать.

2. Создайте следующее правило: аналогично пункту 1, но Действие - запросить для ветки реестра:
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVer sion\Run\*

3. Для запроса на внесения в автозагрузку создайте следующее правило: Конечный реестр - Операции - Изменить параметры запуска - галочка уведомить пользователя, правило активно, Действие - запросить Для всех записей реестра.

4. Для запроса на изменение файла hosts создайте следующее правило: Конечные файлы - Операции - Удалить файл, Выполнить запись в файл - галочка уведомить пользователя, правило активно, Действие - запросить над этими файлами:
C:\Windows\System32\drivers\etc\hosts

5. В дополнение целесообразно защитить параметр "DataBasePath" в ветке HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\T cpip\Parameters. Дело в том, что в последнее время, всё чаще фиксируется изменение вирусами пути к хосту через модификацию параметра "DataBasePath". А если изменился этот путь, то для вирусов совсем не важен будет защищенный файл С:\Windows\System32\drivers\etc\hosts. Они и без него "наделают" много пакостей. Не забывайте прописывать ветку полностью с параметром "DataBasePath" в следующей редакции: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\Tcpip\Parameters\DataBasePath. В противном случае Вы заблокируете все параметры ветки со всеми, вытекающими негативными последствиями.

6. Ну а по поводу настройки файервола, то можете использовать интерактивный режим. Этот режим позволяет создать собственную конфигурацию персонального файервола. Тем не менее, я предпочитаю режим на основе политики. Этот режим блокирует все соединения, не удовлетворяющие ни одному из ранее определенных разрешающих правил. Этот режим предназначен для опытных пользователей, которые точно знают, какие соединения им необходимы. Все прочие неуказанные соединения будут блокироваться персональным файерволом.

Удачи.
  Ответить с цитированием
17 пользователя(ей) сказали cпасибо:
 
Яндекс.Метрика