需启用火绒HIPS功能并配置专项规则:一、开启HIPS开关;二、导入Rule.json与Auto.json规则集;三、为SQL Server数据目录添加文件规则,发起程序设为*;四、在自动处理中仅允许sqlservr.exe对该目录执行创建/读取/修改/删除操作。
如果您希望提升火绒安全软件对未知威胁的实时拦截能力,需启用其HIPS(主机入侵防御系统)功能。HIPS通过监控程序行为而非依赖病毒库实现主动防御,可有效阻断勒索病毒对SQL Server数据文件等关键资源的非法访问。以下是开启HIPS的具体操作路径与配置要点:
一、启用HIPS核心防护模块
HIPS默认可能处于关闭状态,需手动开启以激活行为监控引擎,使软件具备对进程创建、文件修改、注册表写入等高危动作的实时判断能力。
1、双击桌面【火绒安全】图标,启动主程序。
2、在主界面左下角点击【防护中心】。
3、在防护中心页面中,找到并点击【高级防护】选项卡。
4、在【高级防护】区域,定位到【HIPS(主机入侵防御)】开关,将其右侧滑块向右拖动至开启状态。
5、弹出提示框时,点击【确定】确认启用。
二、导入自定义HIPS规则集
官方预置规则覆盖有限,导入增强型规则集可显著提升对勒索病毒、宏病毒等定向攻击的识别精度,尤其适用于保护数据库文件、办公文档等敏感目标。
1、访问火绒官方支持渠道或可信安全社区,下载最新版规则压缩包(含Rule.json与Auto.json两个文件)。
2、解压后,在火绒主界面进入【防护中心→高级防护→自定义规则】。
3、点击右上角【导入】按钮,选择解压得到的Rule.json文件完成规则加载。
4、切换至【自动处理】设置页,再次点击【导入】,选择Auto.json文件完成行为响应策略配置。
5、注意:每次更新规则前,必须先手动删除旧规则,否则新旧规则冲突可能导致误拦或漏防。
三、为SQL Server数据目录配置专项保护
针对勒索病毒常通过遍历MDF/LDF文件实施加密的特点,需单独为SQL Server数据路径设置文件级HIPS保护规则,确保仅sqlservr.exe拥有读写权限,其他进程一律禁止访问。
1、在【防护中心→高级防护→自定义规则】界面,点击右下角【添加规则】。
2、在“发起程序”栏输入:*(表示所有程序)。
3、点击【添加保护对象】→选择【使用文件规则】→点击【浏览】,定位并选中SQL Server数据目录,例如:C:\Program Files\Microsoft SQL Server\MSSQL11.SQLEXPRESS\MSSQL\DATA。
4、勾选【创建】【读取】【修改】【删除】全部动作类型。
5、点击【保存】完成规则建立。
四、配置自动处理策略限定合法进程权限
仅设置文件保护规则不足以防止绕过,必须同步配置自动处理策略,明确允许sqlservr.exe执行全部操作,而拒绝其他任何进程对该路径的访问请求,形成双重行为围栏。
1、进入【防护中心→高级防护→自动处理】。
2、点击右下角【添加】按钮。
3、在“发起程序”栏输入:sqlservr.exe(注意区分大小写及扩展名)。
4、在“保护对象”中选择前述已配置的SQL Server数据目录路径。
5、在“允许动作”中勾选【创建】【读取】【修改】【删除】。
6、点击【保存】,该策略将优先于通用规则生效。
