Posez votre question »

Eset : Configuration avancée du HIPS

Mai 2015


Vous trouverez ici comment créer des règles du HIPS de Eset afin d'améliorer la sécurité



HIPS c'est quoi ?


Un système de prévention d'intrusion (ou IPS, Intrusion Prevention System) est un outil des spécialistes en sécurité des systèmes d'information, similaire aux IDS, permettant de prendre des mesures afin de diminuer les impacts d'une attaque. C'est un IDS actif, il détecte un balayage automatisé, l'IPS peut bloquer les ports automatiquement. Les IPS peuvent donc parer les attaques connues et inconnues. Comme les IDS, ils ne sont pas fiables à 100 % et risquent même en cas de faux positif de bloquer du trafic légitime.

Source : Wikipédia

Eset et HIPS


Le HIPS a était intégré à Eset (Antivirus de Smart Security) depuis la version 5.
Beaucoup on lancé la polémique de son "inefficacité", cependant ils n'ont jamais cherchés plus loin que leur nez son fonctionnement... Et il est au contraire d'une efficacité redoutable !

Avec 2-3 petits réglages, vous pourrez dire adieu à une infection ;)

Celui-ci est accessible dans les paramètres avancés du logiciel (touche F5)

Les différents mode de fonctionnement


Le HIPS d'Eset à plusieurs modes de fonctionnements :
  • 1- Mode automatique avec règles



C'est le paramétrage par défaut, nous voyons :
Ordre d'évaluation : règles, autorisation

Cela signifie que si aucune règle n'existe pour l'action qui ce produit alors celle-ci est autorisée.
Exemple : vous installez un logiciel, celui-ci écrit dans le registre pour ce lancer au démarrage, chose qu'il fera dans l'état actuel.

Si maintenant vous créez une règle qui oblige à demander une autorisation de l'utilisateur ou à interdire la création d'une clé de registre pour l'inscription au démarrage alors le logiciel appliquera la règle définie.

On résume :

Action ce produit --> règle existante ?
--> Si oui : on exécute la règle
--> Si non : on autorise
  • 2- Mode interactif



Nous voyons :
Ordre d'évaluation : règles, questions, autorisation en cas de défaillance

Cela reprend en parti le 1er mode. Si une action ce produit et qu'aucune règle n'est faite alors il va demander à l'utilisateur d'accepter ou refuser (temporairement ou définitivement) l'action.

Ce mode est un peu comparable à un mode parano, mais il peut devenir très gênant lors d'une installation par exemple où de nombreuses autorisations vont être demandées. De plus, se tromper lors d'une réponse peut planter le système (exemple avec une mise à jour de Windows)
  • 3- Mode basé sur des règles personnalisées



Nous voyons :
Ordre d'évaluation : règles, blocage

Il s'agit du même mode que le 1er sauf qu'il est inversé au lieu d'autoriser, cette fois il va interdire.

Ce mode est très pratique pour un administrateur système, il pourra créer ses règles d'autorisation puis le logiciel s'occupera d'interdire tout le reste.
  • 4- Mode d'apprentissage



Nous voyons :
Ordre d'évaluation : règles, création d'une règle d'autorisation

Ce mode est particulier, pendant un nombre de jours définis vous pouvez demander à votre logiciel de créer des règles d'autorisations pour tous se que vous faites. Cela a pour but de passer ensuite en mode 3 (mode basé sur des règles personnalisées).

Il doit être cependant utilisé avec prudence et sur une machine saine, sinon une infection n'aura aucun mal à s'infiltrer.

Règle sur mesure


Nous avons vu les différents modes de fonctionnements, nous allons garder le mode par défaut qui est l'automatique. C'est à dire tout autoriser sauf nos règles, où il devra nous demander une autorisation.
  • Règle 1 : Nous demander l'autorisation de logiciel au démarrage


La règle de base, une infection ce lance au démarrage, nous allons faire en sorte que quelque soit le logiciel, nous souhaitons une demande d'autorisation (et pas un refus par défaut, pour éviter de gêner les logiciels sains.)

Nous cliquons donc sur Configurer les règles.


Une règle sera déjà présente, nous n'y touchons pas, il s'agit des drivers du système. Cliquez sur Nouveau... en bas à gauche


Nous lui donnons le nom de démarrage (au moins on sait de quoi il s'agit), d'avoir l'action de nous demander.

A droite d'activer la règle, vous pouvez sélectionner journal pour avoir l'inscription dans les logs puis avertir l'utilisateur n'est pas nécessaire car la règle est sur demander (elle aurait été sur autoriser ou interdire il aurait pu être utile de l'activer)

Nous choisissons le registre cible, dans l'opération on coche modifier les paramètre de démarrage puis Ok

De ce faite, toutes opérations (création, modification, suppression...) d'une clé de registre touchant au démarrage du système, une demande d'autorisation vous sera faite.

Un exemple :

Dans cet exemple, j'ai demander a CCleaner (célèbre logiciel de nettoyage) de se désactiver au démarrage (je l'avais précédemment activé)

Donc le HIPS réagi :


Application : il s'agit du logiciel qui tente de faire la modification
Opération : ce qu'il tente de faire
Cible : la clé qui veut supprimer/modifier (ou créer)

Je peux donc Autoriser donc CCleaner fera ce que j'ai demandé ou Refuser, il se retrouvera donc bloqué et le registre ne sera pas affecté

Je peux aussi Créer une règle qui fera que pour CCleaner, la question ne sera plus posée, et donc toujours Autoriser ou toujours Refuser selon mon choix.

Quant à Mémoriser temporairement cette action pour ce processus, il retiendra mon choix le temps que le logiciel reste ouvert (si je m'amuse à cocher et décocher la case de paramétrage de CCleaner, il ne me le redemandera plus tant que je ne ferme pas le logiciel), c'est l'équivalent d'une règle "éphémère".

Voilà notre 1ère grosse règle, qui empêchera une infection d'être à nouveau présente au démarrage du pc (si on la pas autorisé bien-sûr...)
  • Règle 2 : Interdire l'accès au fichier Hosts


Lire ceci avant de continuer.
Nous allons donc bloquer l'accès à ce fichier, qui pourrait être infecté.


Nous créons une nouvelle règle, avec le Nom Hosts en Action bloquer (vous pouvez aussi mettre demander si vous avez des logiciel nécessitant la modification de votre Hosts)

Autres paramètres, nous l'activons évidemment puis on demande de nous avertir avec Avertir l'utilisateur.

Les paramètres sont fichiers cible, Ecrire dans un fichier puis nous allons chercher notre fichier Hosts en question puis on valide

Voilà !
  • Règle 3 : Fini les virus Vers Autorun


Lire ceci avant de continuer.

Beaucoup articles, dise de créer un autorun.inf à la racine de ses disque dur puis de le protéger en écriture grâce à la lecture seule
Certes, cela empêche toute modification, mais que ce passe t'il s'il le supprime, voir le renomme et le recrée ? ahaha ba ça marche.... et vous serez quand même infecté.

Nous allons donc créer une règle interdisant la modification et suppression du fichier. C'est quasi-identique que pour le fichier Hosts.

Nous créons donc un fichier autorun.inf sur chaque racine des disques durs.

Puis créons la règle suivante :


Je vous passe l'explication, vous commencez à connaître, et j'ai demandé à être notifié, voilà ce qui ce passera si je tente (ou quelque chose) d'y intervenir dessus :


Nous sommes bien notifiés que l'accès a eu lieu, qu'il a était bloqué et nous savons même par quel programme !


Voilà !

Liens


Le site officiel n'a pas (encore) traduit les différents articles, mais voici de quoi approfondir :
Présentation du HIPS
HIPS configuration avancée
Pour une lecture illimitée hors ligne, vous avez la possibilité de télécharger gratuitement cet article au format PDF :
Eset-configuration-avancee-du-hips.pdf

Réalisé sous la direction de , fondateur de CommentCaMarche.net.

A voir également

Eset : Configuração avançada do HIPS
Par ninha25 le 18 mars 2013
Publié par Aranud87. - Dernière mise à jour par noctambule28
Ce document intitulé «  Eset : Configuration avancée du HIPS  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.