Posez votre question »

Eset : Configuration avancée du HIPS

Juin 2016


Vous trouverez ici comment créer des règles du HIPS de Eset afin d'améliorer la sécurité



HIPS c'est quoi ?

Un système de prévention d'intrusion (ou IPS, Intrusion Prevention System) est un outil des spécialistes en sécurité des systèmes d'information, similaire aux IDS, permettant de prendre des mesures afin de diminuer les impacts d'une attaque. C'est un IDS actif, il détecte un balayage automatisé, l'IPS peut bloquer les ports automatiquement. Les IPS peuvent donc parer les attaques connues et inconnues. Comme les IDS, ils ne sont pas fiables à 100 % et risquent même en cas de faux positif de bloquer du trafic légitime.

Source : Wikipédia

Eset et HIPS

Le HIPS a était intégré à Eset (Antivirus de Smart Security) depuis la version 5.
Beaucoup on lancé la polémique de son "inefficacité", cependant ils n'ont jamais cherchés plus loin que leur nez son fonctionnement... Et il est au contraire d'une efficacité redoutable !

Avec 2-3 petits réglages, vous pourrez dire adieu à une infection ;)

Celui-ci est accessible dans les paramètres avancés du logiciel (touche F5)

Les différents modes de fonctionnement

Le HIPS d'Eset à plusieurs modes de fonctionnements :
  • 1- Mode automatique avec règles



C'est le paramétrage par défaut, nous voyons :
Ordre d'évaluation : règles, autorisation

Cela signifie que si aucune règle n'existe pour l'action qui se produit, alors celle-ci est autorisée.
Exemple : vous installez un logiciel, celui-ci écrit dans le registre pour se lancer au démarrage, chose qu'il fera dans l'état actuel.

Si maintenant vous créez une règle qui oblige à demander une autorisation de l'utilisateur ou à interdire la création d'une clé de registre pour l'inscription au démarrage, alors le logiciel appliquera la règle définie.

On résume :

Action ce produit --> règle existante ?
--> Si oui : on exécute la règle
--> Si non : on autorise
  • 2- Mode interactif



Nous voyons :
Ordre d'évaluation : règles, questions, autorisation en cas de défaillance

Cela reprend en parti le 1er mode. Si une action se produit et qu'aucune règle n'est faite alors il va demander à l'utilisateur d'accepter ou refuser (temporairement ou définitivement) l'action.

Ce mode est un peu comparable à un mode parano, mais il peut devenir très gênant lors d'une installation par exemple où de nombreuses autorisations vont être demandées. De plus, se tromper lors d'une réponse peut planter le système (exemple avec une mise à jour de Windows).
  • 3- Mode basé sur des règles personnalisées



Nous voyons :
Ordre d'évaluation : règles, blocage

Il s'agit du même mode que le 1er sauf qu'il est inversé : au lieu d'autoriser, cette fois-ci il va l’interdire.

Ce mode est très pratique pour un administrateur système car il pourra créer ses règles d'autorisation puis le logiciel s'occupera d'interdire tout le reste.
  • 4- Mode d'apprentissage



Nous voyons :
Ordre d'évaluation : règles, création d'une règle d'autorisation

Ce mode est particulier, pendant un nombre de jours définis vous pouvez demander à votre logiciel de créer des règles d'autorisations pour tout ce que vous faites. Cela a pour but de passer ensuite en mode 3 (mode basé sur des règles personnalisées).

Il doit être cependant utilisé avec prudence et sur une machine saine, sinon une infection n'aura aucun mal à s'infiltrer.

Règle sur mesure

Nous avons vu les différents modes de fonctionnement, nous allons garder le mode par défaut qui est automatique. C'est à dire tout autoriser sauf nos règles, où il devra nous demander une autorisation.
  • Règle 1 : Nous demander l'autorisation de logiciel au démarrage


La règle de base, une infection se lance au démarrage, nous allons faire en sorte que quel que soit le logiciel, nous souhaitons une demande d'autorisation (et pas un refus par défaut, pour éviter de gêner les logiciels sains.)

Nous cliquons donc sur Configurer les règles.


Une règle sera déjà présente, nous n'y touchons pas, il s'agit des drivers du système. Cliquez sur Nouveau... en bas à gauche


Nous lui donnons le nom de démarrage (au moins on sait de quoi il s'agit), d'avoir l'action de nous demander.

A droite d'activer la règle, vous pouvez sélectionner journal pour avoir l'inscription dans les logs puis avertir l'utilisateur n'est pas nécessaire car la règle est sur demander (elle aurait été sur autoriser ou interdire il aurait pu être utile de l'activer)

Nous choisissons le registre cible, dans l'opération on coche modifier les paramètres de démarrage puis Ok

De ce faite, toutes opérations (création, modification, suppression...) d'une clé de registre touchant au démarrage du système, une notification de demande d'autorisation vous sera faite.

Un exemple :

Dans cet exemple, j'ai demandé à CCleaner (célèbre logiciel de nettoyage) de se désactiver au démarrage (je l'avais précédemment activé)

Donc le HIPS réagi :


Application : il s'agit du logiciel qui tente de faire la modification
Opération : ce qu'il tente de faire
Cible : la clé qui veut supprimer/modifier (ou créer)

Je peux donc Autoriser pour que CCleaner fasse ce que j'ai demandé ou bien Refuser et dans ce cas, il se retrouvera donc bloqué et le registre ne sera pas affecté

Je peux aussi Créer une règle uniquement pour CCleaner. La question ne sera alors plus posée, et donc toujours Autoriser ou toujours Refuser selon mon choix.

Quant à Mémoriser temporairement cette action pour ce processus il retiendra mon choix le temps que le logiciel reste ouvert (si je m'amuse à cocher et décocher la case de paramétrage de CCleaner, il ne me le redemandera plus tant que je ne fermerai pas le logiciel), c'est l'équivalent d'une règle "éphémère".

Voilà notre 1ère grosse règle, qui empêchera une infection d'être à nouveau présente au démarrage du pc (si on ne l’a pas autorisé bien-sûr...)
  • Règle 2 : Interdire l'accès au fichier Hosts


Lire ceci avant de continuer.
Nous allons donc bloquer l'accès à ce fichier, qui pourrait être infecté.


Nous créons une nouvelle règle, avec le Nom Hosts en Action bloquer (vous pouvez aussi mettre demander si vous avez des logiciels nécessitant la modification de votre Hosts)

Autres paramètres, nous l'activons évidemment puis on demande de nous avertir avec Avertir l'utilisateur.

Les paramètres sont fichiers cible, Ecrire dans un fichier puis nous allons chercher notre fichier Hosts en question puis on valide

Voilà !
  • Règle 3 : Fini les virus Vers Autorun


Lire ceci avant de continuer.

Beaucoup d’articles disent de créer un autorun.inf à la racine des disques durs puis de le protéger en écriture grâce à la lecture seule.
Certes, cela empêche toute modification, mais que se passe-t-il s'il le supprime, voir le renomme et le recrée ? ahaha bah ça marche.... et vous serez quand même infecté.

Nous allons donc créer une règle interdisant la modification et suppression du fichier. C'est quasi-identique que pour le fichier Hosts.

Nous créons donc un fichier autorun.inf sur chaque racine des disques durs.

Puis créons la règle suivante :


Je vous passe l'explication, vous commencez à connaître, et j'ai demandé à être notifié, voilà ce qui se passera si je (ou quelque-chose…) tente d'intervenir dessus :


Nous sommes bien notifiés que l'accès a eu lieu, qu'il a été bloqué et nous savons même par quel programme !
  • Règle 4 : Protéger ses sauvegardes


Les rançongiciels sont en plein essor et vos sauvegardes sont sûrement vitales.
Voici comment nous protéger des virus et même des inconnus.

Prenons dans cet exemple Google Drive (ça peut être n'importe quel dossier du moment qu'il est accessible depuis l'ordinateur).

Nous allons demander que toutes les opérations nous soient confirmées.

Nom de la règle : vous spécifiez ce que vous souhaitez (sauvegardes,etc...peu importe)
Actions : vous choisissez Demander car évidement certaines modifications seront légitimes.
Fichiers : Vous l'activez.
Activé : Logique :)
Avertir l'utilisateur : Je ne vois pas trop l'intérêt de cette ligne vu que plus haut vous avez déjà sur Demander. Donc vous l'activez au cas où...
Si vous souhaitez garder une trace dans les logs, vous pouvez activer Journaliser.


Ici vous activez toutes les applications.


Vous protégez contre la modification et la suppression :


Ensuite, c'est très mal traduits, il ne s'agit pas de fichiers mais de dossiers destinataires.
Donc vous cliquez sur Ajouter, puis vous sélectionnez tous les dossiers (inutile de mettre les sous dossiers, les *.* les incluant)




Voilà vous n'avez plus qu'à valider.

Un petit test, si avec l'invite de commande je souhaite supprimer :


Vous êtes avertis !
S'il s'agit d'un programme légitime (exemple l'explorateur Windows, votre programme de sauvegarde etc... vous pouvez lui donner le droit permanent) cela évite des alertes intempestives.

Si vous souhaitez le sécuriser encore plus, vous pouvez très bien faire une règle pour le logiciel de sauvegarde pour une autorisation et une autre pour interdire toutes manipulations.

Voilà !

Liens

Le site officiel n'a pas (encore) traduit les différents articles des dernières versions, mais voici de quoi approfondir :
Présentation du HIPS
HIPS configuration avancée


Pour une lecture illimitée hors ligne, vous avez la possibilité de télécharger gratuitement cet article au format PDF :
Eset-configuration-avancee-du-hips.pdf

Réalisé sous la direction de , fondateur de CommentCaMarche.net.

A voir également

Eset : Configuração avançada do HIPS
Par ninha25 le 18 mars 2013
Publié par Aranud87.
Ce document intitulé «  Eset : Configuration avancée du HIPS  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.