Bearbeiten einer HIPS regel

Lesen Sie zunächst das Kapitel HIPS-Regelverwaltung.

Regelname - Benutzerdefinierter oder automatisch ausgewählter Regelname.

Aktion - Legt eine Aktion fest (Zulassen, Sperren oder Fragen), die bei Eintreten der Bedingungen ausgeführt wird.

Vorgänge in Bezug auf - Wählen Sie die Art des Vorgangs aus, auf den die Regel angewendet werden soll. Die Regel wird nur bei dieser Art Vorgang und für das ausgewählte Ziel angewendet.

Aktiviert - Deaktivieren Sie diesen Schalter, wenn Sie die Regel beibehalten, jedoch derzeit nicht anwenden möchten.

Logging-SchweregradWenn Sie diese Option aktivieren, werden Informationen zu dieser Regel im HIPS-Log gespeichert.

Benutzer benachrichtigen - In der rechten unteren Ecke wird ein Popup-Fenster angezeigt, wenn ein Ereignis ausgelöst wird.

 

Die Regel besteht aus mehreren Teilen, mit denen die Auslösebedingungen der Regel beschrieben werden:

Quellanwendungen -Die Regel wird nur angewendet, wenn das Ereignis von dieser/diesen Anwendung(en) ausgelöst wird. Wählen Sie Bestimmte Anwendungen aus dem Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen, oder wählen Sie Alle Anwendungen aus, um alle Anwendungen hinzuzufügen.

Dateien - Die Regel wird nur angewendet, wenn sich der Vorgang auf eines dieser Ziele bezieht. Wählen Sie Bestimmte Dateien aus dem Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen. Sie können auch den Eintrag Alle Dateien aus dem Dropdownmenü auswählen, um alle Anwendungen hinzuzufügen.

Anwendungen Die Regel wird nur angewendet, wenn sich der Vorgang auf eines dieser Ziele bezieht. Wählen Sie Bestimmte Anwendungen aus dem Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen, oder auf Alle Anwendungen, um alle Anwendungen hinzuzufügen.

Registrierungseinträge Die Regel wird nur angewendet, wenn sich der Vorgang auf eines dieser Ziele bezieht. Wählen Sie Bestimmte Einträge aus dem Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen, oder auf Registrierungseditor öffnen, um einen Registrierungsschlüssel auszuwählen. Alternativ können Sie Alle Einträge auswählen, um alle Anwendungen hinzuzufügen.

note

HINWEIS

Bestimmte, von HIPS vordefinierte Regeln und die aus ihnen resultierenden Vorgänge können nicht blockiert werden, da sie standardmäßig zugelassen sind. Hinzu kommt, dass nicht alle Systemvorgänge von HIPS überwacht werden. HIPS überwacht Vorgänge, die als unsicher eingestuft werden könnten.

Beschreibungen der wichtigsten Vorgänge:

Dateibezogene Vorgänge

Datei löschen - Anwendung versucht, die Zieldatei zu löschen.

In Datei schreiben - Anwendung versucht, in die Zieldatei zu schreiben.

Direkter Zugriff auf Datenträger - Die Anwendung versucht, einen Datenträger auf nicht standardmäßige Art auszulesen oder zu beschreiben (die üblichen Windows-Verfahren werden umgangen). So könnten Dateien verändert werden, ohne dass die entsprechenden Regeln in Kraft treten. Verursacher dieses Vorgangs könnte Malware sein, die versucht, ihre Erkennung zu verhindern. Es könnte sich aber auch um Backup-Software handeln, die versucht, die genaue Kopie eines Datenträgers herzustellen, oder eine Partitionsverwaltung beim Versuch, Festplattenvolumes zu reorganisieren.

Globalen Hook installieren – Bezieht sich auf das Aufrufen der Funktion SetWindowsHookEx aus der MSDN-Bibliothek.

Treiber ladenLaden und Installieren von Treibern im System.

Anwendungsbezogene Vorgänge

Andere Anwendung debuggen - Verknüpfen eines Debuggers mit dem Prozess. Beim Debuggen einer Anwendung können Informationen zu deren Verhalten angezeigt und verändert werden. Ebenso ist der Zugriff auf die Daten der Anwendung möglich.

Ereignisse von anderer Anwendung abfangen - Die Quellanwendung versucht, für die Zielanwendung bestimmte Ereignisse abzufangen (Beispiel: ein Keylogger versucht, Ereignisse im Browser aufzuzeichnen).

Andere Anwendung beenden/unterbrechen - Die Anwendung unterbricht einen Prozess bzw. setzt ihn fort oder beendet ihn (direkter Zugriff aus dem Process Explorer oder im Bereich „Prozesse“ möglich).

Neue Anwendung starten - Starten neuer Anwendungen oder Prozesse

Zustand anderer Anwendung ändern- Die Quellanwendung versucht, in den Speicher der Zielanwendung zu schreiben oder in ihrem Namen bestimmten Code auszuführen. Diese Funktion ist geeignet, um wichtige Anwendungen zu schützen. Fügen Sie die zu schützende Anwendung hierzu als Zielanwendung zu einer Regel hinzu, die diese Art Vorgang (Ändern des Zustands einer anderen Anwendung) blockiert.

note

HINWEIS

In der 64-Bit-Version von Windows XP können prozessbezogene Vorgänge nicht abgefangen werden.

Registrierungsvorgänge

Starteinstellungen ändern - Alle Veränderungen der Einstellungen, die festlegen, welche Anwendungen beim Windows-Start ausgeführt werden. Diese können beispielsweise über den Schlüssel Run in der Windows-Registrierung ermittelt werden.

Registrierungsinhalte löschen - Registrierungsschlüssel oder seinen Wert löschen.

Registrierungsschlüssel umbenennen - Umbenennen von Registrierungsschlüsseln.

Registrierungsdatenbank ändern - Neue Werte für Registrierungsschlüssel erstellen, vorhandene Werte ändern, Daten im Verzeichnisbaum der Datenbank verschieben oder Benutzer- bzw. Gruppenrechte für Registrierungsschlüssel einrichten.

note

Hinweis

Sie können eingeschränkt Platzhalter bei der Eingabe des Ziels verwenden. Anstatt eines bestimmten Schlüssels können Sie das Sonderzeichen * (Sternchen) im Registrierungspfad eingeben. HKEY_USERS\*\software kann zum Beispiel HKEY_USER\.default\software bedeuten, jedoch nicht HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* ist kein gültiger Pfad für einen Registrierungsschlüssel. Enthält ein Registrierungspfad „\*“, bedeutet dies „dieser Pfad oder jeder untergeordnete Pfad nach diesem Symbol“. Nur auf diese Weise können Platzhalter für Zieldateien verwendet werden. Erst wird der angegebene Teil des Pfades überprüft, dann der Pfad nach dem Platzhalter (*).

warning

Warnung

Wenn Sie eine sehr allgemeine Regel erstellen, wird eine Warnung zu dieser Art Regel angezeigt.

Das folgende Beispiel zeigt, wie Sie unerwünschte Verhaltensweisen einer bestimmten Anwendung einschränken können:

1.Geben Sie der Regel einen Namen und wählen Sie Blockieren (oder Fragen, falls Sie sich später entscheiden möchten) im Dropdownmenü Aktion aus.

2.Aktivieren Sie die Option Benutzer informieren, damit bei jeder Anwendung einer Regel ein Benachrichtigungsfenster angezeigt wird.

3.Wählen Sie mindestens eine Operation im Abschnitt Vorgänge in Bezug auf aus, für die die Regel angewendet werden soll.

4.Klicken Sie auf Weiter.

5.Wählen Sie im Fenster Quellanwendungen die Option Bestimmte Anwendungen im Dropdownmenü aus, um Ihre neue Regel für alle Anwendungen anzuwenden, die versuchen, eine der ausgewählten Anwendungsoperationen für die angegebenen Anwendungen auszuführen.

6.Klicken Sie auf Hinzufügen und dann auf ..., um einen Pfad zu einer Anwendung auszuwählen, und klicken Sie dann auf OK. Fügen Sie bei Bedarf weitere Anwendungen hinzu.
Beispiel: C:\Program Files (x86)\Untrusted application\application.exe

7.Wählen Sie die Operation In Datei schreiben aus.

8.Wählen Sie Alle Dateien im Dropdownmenü aus. Auf diese Weise werden Schreibversuche in alle Dateien von den Anwendungen blockiert, die Sie im vorherigen Schritt ausgewählt haben.

9.Klicken Sie auf Fertig stellen, um die neue Regel zu speichern.

CONFIG_HIPS_RULES_EXAMPLE