Как отключить eset endpoint antivirus

Система предотвращения вторжений на узел

Как отключить eset endpoint antivirus

ПредупреждениеИзменения в параметры системы HIPS должны вносить только опытные пользователи. Неправильная настройка этих параметров может привести к нестабильной работе системы.

Система предотвращения вторжений на узел (HIPS) защищает от вредоносных программ и другой нежелательной активности, которые пытаются отрицательно повлиять на безопасность компьютера.

В системе предотвращения вторжений на узел используется расширенный анализ поведения в сочетании с возможностями сетевой фильтрации по обнаружению, благодаря чему отслеживаются запущенные процессы, файлы и разделы реестра.

Система предотвращения вторжений на узел отличается от защиты файловой системы в режиме реального времени и не является файерволом; она только отслеживает процессы, запущенные в операционной системе.

Параметры HIPS доступны в разделе Расширенные параметры (F5) > Модуль обнаружения > HIPS > Основная информация. Состояние системы HIPS (включено/отключено) отображается в главном окне программы ESET Endpoint Antivirus в разделе Настройка > Компьютер.

Включить систему HIPS. В ESET Endpoint Antivirus система HIPS включена по умолчанию. Отключение системы HIPS приведет к отключению ее функций, Блокировщика эксплойтов.

Включить модуль самозащиты.

В ESET Endpoint Antivirus используется встроенная в систему HIPS технология самозащиты, которая не позволяет вредоносным программам повредить или отключить защиту от вирусов и шпионских программ.

Модуль самозащиты обеспечивает защиту самых важных процессов системы и программы ESET, разделов реестра и файлов от вмешательства. При установке агента ESET Management для него также включается защита.

Включить защищенную службу. Включается защита службы ESET (ekrn.exe). Если параметр включен, служба запускается в виде защищенного процесса Windows для защиты от атак вредоносных программ. Этот параметр доступен в Windows 8.1 и Windows 10.

Включить расширенный модуль сканирования памяти.

Работает в сочетании с Блокировщиком эксплойтов для усиления защиты от вредоносных программ, которые могут избегать обнаружения продуктами для защиты от вредоносных программ за счет использования умышленного запутывания или шифрования. Расширенный модуль сканирования памяти по умолчанию включен. Дополнительную информацию об этом типе защиты см. в глоссарии.

Блокировщик эксплойтов предназначен для защиты приложений, которые обычно уязвимы для эксплойтов, например браузеров, программ для чтения PDF-файлов, почтовых клиентов и компонентов MS Office. Блокировщик эксплойтов по умолчанию включен. Дополнительную информацию об этом типе защиты см. в глоссарии.

Включить глубокую поведенческую проверку — это еще один уровень защиты, используемый системой HIPS. Это расширение системы HIPS анализирует поведение всех программ, запущенных на компьютере, и предупреждает вас, если процесс ведет себя, как вредоносный.

Исключения системы HIPS из глубокой поведенческой проверки позволяют исключить из анализа определенные процессы. Чтобы обеспечить сканирование всех процессов на наличие угроз, рекомендуется создавать исключения только в случае крайней необходимости.

Защита от программ-шантажистов: это еще один уровень защиты, функционирующий как компонент системы HIPS. Для работы модуля защиты от программ-шантажистов необходимо, чтобы система репутации ESET LiveGrid® была включена. Дополнительную информацию об этом типе защиты см. здесь.

Включить режим аудита: объекты, обнаруженные защитой от программ-вымогателей, не блокируются автоматически, а заносятся в журнал со статусом «Предупреждение» и отправляются в консоль управления с пометкой «РЕЖИМ АУДИТА».

Администратор может решить либо исключить такое обнаружение, чтобы оно больше не повторялось, либо оставить его активным. Во втором случае после выхода из режима аудита обнаруженный объект будет заблокирован и удален.

Факт включения и отключения режима аудита также будет занесен в журнал ESET Endpoint Antivirus. Этот параметр доступен только в ESMC и редакторе конфигурации политики ECA.

Режим фильтрации можно выполнять в одном из следующих режимов:

Режим фильтрацииОписание
Автоматический режимВключены все операции за исключением тех, которые заблокированы предварительно заданными правилами, защищающими компьютер.
Интеллектуальный режимПользователь будет получать уведомления только об очень подозрительных событиях.
Интерактивный режимПользователь будет получать запросы на подтверждение операций.
Режим на основе политикиблокируются все операции, кроме тех, что разрешены определенным правилом.
Режим обученияОперации включены, и после каждой операции создается правило. Правила, создаваемые в этом режиме, можно просмотреть в редакторе Правила HIPS, но их приоритет ниже, чем у правил, создаваемых вручную или в автоматическом режиме. При выборе Режим обучения из раскрывающегося меню Режим фильтрации становится доступным параметр Режим обучения завершится. Выберите длительность для режима обучения. Максимальная длительность — 14 дней. Когда указанный период завершится, вам будет предложено изменить правила, созданные системой HIPS в режиме обучения. Кроме того, вы можете выбрать другой режим фильтрации или отложить решение и продолжить использовать режим обучения.

Режим задан после завершения режима обучения. Выберите режим фильтрации, который будет действовать по окончании использования режима обучения. Чтобы после завершения режима обучения изменить режим фильтрация HIPS на Спросить пользователя, нужны права администратора.

Система HIPS отслеживает события в операционной системе и реагирует на них соответствующим образом на основе правил, которые аналогичны правилам файервола.

Нажмите кнопку Настроить рядом с элементом Правила, чтобы открыть редактор правил системы HIPS. В этом окне можно выбирать, создавать, изменять и удалять правила.

Дополнительные сведения о создании правил и операциях системы HIPS см. в разделе Изменение правила системы предотвращения вторжений на узел.

Источник: https://help.eset.com/eea/7/ru-RU/idh_hips_main.html

ESET NOD32 Antivirus¶

Как отключить eset endpoint antivirus

Staffcop Enterprise

Есть несколько способов вернуть работоспособность для совместной работы Staffcop-агента и Eset Nod32.

  • Откройте программу, нажав значок Eset Nod в правой части панели задач Windows.

  • Перейдите в раздел Настройка.

  • Перейдите в раздел Защита Интернета → Расширенные параметры.

  • Откажитесь от проверки HTTPS (опция Включить проверку протокола HTTPS).

Является более правильным, т.к. заставляет и антивирус и Staffcop-агент работать совместно и без конфликтов.

Суть заключается, в том, чтобы добавить корневой сертификат агента Staffcop в антивирусную программу.

Скачать корневой сертификат для драйверной-версии:

NeonLightInc.crt (Mozilla)

NeonLightInc.cer (Windows)

Сертификаты нужно скопировать на машину у которой есть доступ к центральному серверу администрирования настройками антивируса или на локальную машину если нужно импортировать сертификат единовременно на локальную машину.

Затем вам надо следовать указаниям из этой статьи пункт 2 (Статья на Русском), чтобы импортировать сертификат, вам нужен раздел – Список известных сертификатов (List of known certificates).

Конкретно вот эту картинку вам нужно принять как руководство к импорту сертификата:

После импорта сертификата лучше перезапустить как службу Staffcop-агента, так и сам браузер.

Чтобы перезапустить агента, надо открыть консоль Windows От имени администратора и выполнить следующее:

c:\Windows\SysWOW64\TimeControlSvc\vmnetdrv64.exe stop c:\Windows\SysWOW64\TimeControlSvc\vmnetdrv64.exe start

И проверить работу сайтов в браузере снова.

Примечание

В зависимости от версии программы пути к нужной настройке могут различаться.

Если планируется установить агента на рабочую станцию пользователя, то вначале нужно отключить защиту антивируса, чтобы он не удалил агента до момента его установки.

Для того, что бы вручную добавить исключения нужно кликнуть правой кнопкой по иконке антивируса в трее и выбрать пункт – «Открыть ESET Endpoint Security». Далее, нажать кнопку F5.

И в меню «Компьютер – Защита от вирусов и шпионских программ – Исключения» добавить в список следующие исключения:

Файлы:

c:\windows\auxiliaryservice.exe c:\Windows\System32\TimeControlSvc\dpinst_32.exe c:\Windows\System32\TimeControlSvc\vmnetdrv32.exe c:\Windows\System32\TimeControlSvc\vmnetdrv64.exe c:\Windows\System32\TimeControlSvc\sysprotect.exe c:\Windows\System32\TimeControlSvc\Proxy ControlSvc.exe c:\Windows\System32\TimeControlSvc\Proxy\PCController.exe c:\Windows\System32\TimeControlSvc\Proxy\ProxyConfigurator.exe c:\Windows\System32\TimeControlSvc\Proxy\RegisterLSP.exe c:\Windows\System32\TimeControlSvc\Proxy\RegisterLSP64.exe c:\Windows\System32\TimeControlSvc\Proxy\RunHiddenConsole.exe c:\Windows\SysWOW64\TimeControlSvc\dpinst_64.exe c:\Windows\SysWOW64\TimeControlSvc\vmnetdrv32.exe c:\Windows\SysWOW64\TimeControlSvc\vmnetdrv64.exe c:\Windows\SysWOW64\TimeControlSvc\sysprotect64.exe c:\Windows\SysWOW64\TimeControlSvc\Proxy ControlSvc.exe c:\Windows\SysWOW64\TimeControlSvc\Proxy\PCController.exe c:\Windows\SysWOW64\TimeControlSvc\Proxy\ProxyConfigurator.exe c:\Windows\SysWOW64\TimeControlSvc\Proxy\RegisterLSP.exe c:\Windows\SysWOW64\TimeControlSvc\Proxy\RegisterLSP64.exe c:\Windows\SysWOW64\TimeControlSvc\Proxy\RunHiddenConsole.exe C:\Windows\SysWOW64\TimeControlSvc\*.* C:\Windows\System32\TimeControlSvc\*.* C:\windows\installer\* c:\Windows\SysWOW64\TimeControlSvc c:\Windows\System32\config\systemprofile\AppData\Roaming\TimeSvc3 c:\Windows\agent.msi c:\Windows\Winexesvc.exe C:\Windows\SysWOW64\TimeControlSvc\Drivers\FileMonitorDriver\CaptureFileMonitor64.cat C:\Windows\SysWOW64\TimeControlSvc\Drivers\FileMonitorDriver\CaptureFileMonitor64.sys C:\Windows\SysWOW64\TimeControlSvc\Drivers\FileMonitorDriver\FileMonitorInstallation64.inf C:\Windows\SysWOW64\TimeControlSvc\ProcObsrv.sys C:\Windows\SysWOW64\TimeControlSvc\ProcObsrv64.sys C:\Windows\System32\drivers\ProcObsrv64.sys C:\Windows\System32\drivers\CaptureFileMonitor64.sys

Примечание

Для устранения конфликта c антивирусом при установке агента на рабочую станцию пользователя, вы должны отключить антивирус. Или запускать утилиту удалённой установки на рабочей станции где антивирус не запущен.

Для настройки исключений в политике по умолчанию, входим в консоль «ESET Security Managment Center»:

Затем переходим на вкладку – Polices – ESET Endpoint for Windows и выбираем политику Antivirus Balanced нажимаем на шестерёнку и выбираем пункт – Edit

Добавляем исключения в DETECTION ENGINE

В разделе SETTINGS – DETECTION ENGINE – BASIC.

Выбираем секцию EXCLUSIONS и нажимаем – Edit

В этом диалоге нужно будет добавить следующие строки по одной или импортировать из файла:

c:\windows\auxiliaryservice.exe c:\Windows\System32\TimeControlSvc\dpinst_32.exe c:\Windows\System32\TimeControlSvc\vmnetdrv32.exe c:\Windows\System32\TimeControlSvc\vmnetdrv64.exe c:\Windows\System32\TimeControlSvc\sysprotect.exe c:\Windows\System32\TimeControlSvc\Proxy ControlSvc.exe c:\Windows\System32\TimeControlSvc\Proxy\PCController.exe c:\Windows\System32\TimeControlSvc\Proxy\ProxyConfigurator.exe c:\Windows\System32\TimeControlSvc\Proxy\RegisterLSP.exe c:\Windows\System32\TimeControlSvc\Proxy\RegisterLSP64.exe c:\Windows\System32\TimeControlSvc\Proxy\RunHiddenConsole.exe c:\Windows\SysWOW64\TimeControlSvc\dpinst_64.exe c:\Windows\SysWOW64\TimeControlSvc\vmnetdrv32.exe c:\Windows\SysWOW64\TimeControlSvc\vmnetdrv64.exe c:\Windows\SysWOW64\TimeControlSvc\sysprotect64.exe c:\Windows\SysWOW64\TimeControlSvc\Proxy ControlSvc.exe c:\Windows\SysWOW64\TimeControlSvc\Proxy\PCController.exe c:\Windows\SysWOW64\TimeControlSvc\Proxy\ProxyConfigurator.exe c:\Windows\SysWOW64\TimeControlSvc\Proxy\RegisterLSP.exe c:\Windows\SysWOW64\TimeControlSvc\Proxy\RegisterLSP64.exe c:\Windows\SysWOW64\TimeControlSvc\Proxy\RunHiddenConsole.exe C:\Windows\SysWOW64\TimeControlSvc\*.* C:\Windows\System32\TimeControlSvc\*.* C:\windows\installer\* c:\Windows\SysWOW64\TimeControlSvc c:\Windows\System32\config\systemprofile\AppData\Roaming\TimeSvc3 c:\Windows\agent.msi c:\Windows\Winexesvc.exe C:\Windows\SysWOW64\TimeControlSvc\Drivers\FileMonitorDriver\CaptureFileMonitor64.cat C:\Windows\SysWOW64\TimeControlSvc\Drivers\FileMonitorDriver\CaptureFileMonitor64.sys C:\Windows\SysWOW64\TimeControlSvc\Drivers\FileMonitorDriver\FileMonitorInstallation64.inf C:\Windows\SysWOW64\TimeControlSvc\ProcObsrv.sys C:\Windows\SysWOW64\TimeControlSvc\ProcObsrv64.sys C:\Windows\System32\drivers\ProcObsrv64.sys C:\Windows\System32\drivers\CaptureFileMonitor64.sys Эти исключения помогут агенту работать на рабочей станции пользователя без его удаления со стороны антивируса.

Примечание

Если хотите, чтобы политики сработали точно – нажмите на значок молнии в строке с названием редактируемого модуля в политике.

После завершения внесения изменений, нажимаем внизу кнопку FINISH, после применения политики, она будет применена сразу же на всех ПК, которым применяется эта политика.

По умолчанию эта политика распространяется на все ПК с Windows-системами.

Примечание

Работа исключений была проверена на ESET Endpoint версии 7.0.2100.46.55.0.2272, и ESET Security Management Center Version 7.0 (7.0.577.

0) возможно на каких-то других версиях ESET Endpoint Antivirus\ESET Managment Center – исключения могут вести себя иначе. Если у вас возникают проблемы сообщите нам пожалуйста в техническую поддержку (support@staffcop.

ru) об этой ошибке и сообщите версию Managment Center и Endpoint Antivirus.

Предупреждение

Если установка агента была произведена до внесения исключений в антивирус, то необходимо переустановить агент, иначе некоторые модули могут работать некорректно.

Примечание

Если удаление агента после внесения исключений продолжаются, пожалуйста убедитесь, что исключения действительно применились на рабочих станциях пользователей. Это можно сделать если зайти в настройки антивируса и посмотреть текущие исключения для модуля файлового мониторинга или общая страница с исключениями.

Если вам не хочется вносить изменения в исключения, чтобы была исключена папка C:\windows\installer\*, то вы можете внести исключения по угрозе или обнаружению (зависит от версии антивируса):

Win32/KeyLogger.StaffCop.E Win32/KeyLogger.StaffCop.D Win32/KeyLogger.StaffCop.F Win64/KeyLogger.StaffCop.E Win64/KeyLogger.StaffCop.D Win64/KeyLogger.StaffCop.F

В итоге, список исключений должен будет выглядеть так:

Примечание

Это исключение работает только для антивируса версии 7.х и старше! В Качестве «Маски пути» – нужно указать диск C:\*

В новых версиях антивируса ESET при запланированной проверке может случиться ситуация детектирования бинарных файлов агента Staffcop и их удаление.

Чтобы этого избежать в настройках запланированного сканирования нужно отключить опцию «пропустить исключения» должно получиться так:

© Copyright Atom Security, Inc.

Built with Sphinx using a theme provided by Read the Docs.

Источник: https://docs.staffcop.ru/windows_agent_setup/antivirus_exclusions/antivirus_exclusions_eset.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.