Modifier une HIPS règle

Consultez d'abord la gestion des règles HIPS.

Nom de règle – Nom de règle défini par l'utilisateur ou sélectionné automatiquement.

ActionSpécifie une action (Autoriser, Bloquer ou Demander) à exécuter, si les conditions sont remplies.

Opérations affectant – Vous devez sélectionner le type d'opération auquel s'applique la règle. La règle est utilisée uniquement pour ce type d'opération et pour la cible sélectionnée.

Activé – Désactivez ce bouton bascule si vous souhaitez conserver la règle dans la liste, mais ne souhaitez pas l'appliquer.

Niveau de verbosité – Si vous activez cette option, les informations sur cette règle sont écrites dans le journal HIPS.

Avertir l'utilisateurUne petite fenêtre contextuelle apparaît dans l'angle inférieur droit si un événement est déclenché.

 

La règle se compose de parties qui décrivent les conditions de déclenchement de cette règle :

Applications source La règle est utilisée uniquement si l'événement est déclenché par cette ou ces applications. Dans le menu déroulant, sélectionnez Applications spécifiques, puis cliquez sur Ajouter pour ajouter de nouveaux fichiers. Vous pouvez également sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les applications.

FichiersLa règle est utilisée uniquement si l'opération est liée à cette cible. Dans le menu déroulant, sélectionnez Fichiers spécifiques, puis cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Tous les fichiers dans le menu déroulant pour ajouter tous les fichiers.

ApplicationsLa règle est utilisée uniquement si l'opération est liée à cette cible. Dans le menu déroulant, sélectionnez Applications spécifiques, puis cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les applications.

Entrées du RegistreLa règle est utilisée uniquement si l'opération est liée à cette cible. Dans le menu déroulant, sélectionnez Entrées spécifiques, puis cliquez sur Ajouter pour effectuer une saisie manuelle ou sur Ouvrir l'Éditeur du Registre pour sélectionner une clé dans le registre. Vous pouvez également sélectionner Toutes les entrées dans le menu déroulant pour ajouter toutes les applications.

note

REMARQUE

Le fonctionnement de certaines règles prédéfinies par HIPS ne peut pas être bloqué et est autorisé par défaut. En outre, les opérations système ne sont pas toutes surveillées par le système HIPS. Ce système surveille les opérations qui peuvent être considérées comme dangereuses.

Description des opérations importantes :

Opérations sur le fichier

Supprimer le fichier – L'application demande l'autorisation de supprimer le fichier cible.

Écrire dans le fichier – L'application demande l'autorisation d'écrire dans le fichier cible.

Accès direct au disque – L'application essaie de lire des informations du disque ou d'écrire sur le disque d'une manière inhabituelle, non conforme aux procédures Windows classiques. Les fichiers peuvent être modifiés sans que les règles correspondantes soient appliquées. Cette opération peut provenir d'un logiciel malveillant qui essaie de contourner la détection, d'un logiciel de sauvegarde qui tente de faire une copie exacte d'un disque ou encore d'un gestionnaire de partition qui essaie de réorganiser les volumes du disque.

Installer l'élément hook global – Fait référence à l'appel de la fonction SetWindowsHookEx depuis la bibliothèque MSDN.

Charger le piloteInstallation et chargement de pilotes dans le système.

Opérations sur l'application

Déboguer une autre application – Ajout d'un système de débogage au processus. Lors du débogage d'une application, de nombreux détails concernant son comportement peuvent être affichés et modifiés. Vous pouvez également accéder à ses données.

Intercepter les événements d'une autre application – L'application source essaie de récupérer les événements destinés à une application spécifique (il peut s'agir par exemple d'un programme keylogger d'enregistrement des touches qui essaie de capturer les événements d'un navigateur).

Arrêter/Mettre en attente une autre application – Met un processus en attente, le reprend ou l'arrête (accessible directement depuis l'explorateur des processus ou le volet des processus).

Démarrer une nouvelle application – Démarrage de nouvelles applications et de nouveaux processus.

Modifier l'état d'une autre application – L'application source essaie d'écrire dans la mémoire de l'application cible ou d'exécuter du code en son nom. Cette fonctionnalité peut être utile pour protéger une application importante : vous la configurez en tant qu'application cible dans une règle qui bloque l'utilisation de cette opération.

note

REMARQUE

Il n'est pas possible d'intercepter des opérations de processus sur la version 64 bits de Windows XP.

Opérations sur le Registre

Modifier les paramètres de démarrage – Toute modification apportée aux paramètres qui définissent les applications à exécuter au démarrage de Windows. Elles peuvent notamment être recherchées à l'aide de la clé Run du registre Windows.

Supprimer du registre – Suppression d'une clé de registre ou de sa valeur.

Renommer la clé de registre – Changement du nom des clés de registre.

Modifier le registre – Création de nouvelles valeurs de clés de registre, modification de valeurs existantes, déplacement de données dans l'arborescence de base de données ou configuration des droits d'utilisateur ou de groupe pour les clés de registre.

note

Remarque

Vous pouvez utiliser des caractères génériques qui peuvent présenter des restrictions lors le la saisie d'un dossier. Au lieu d'utiliser une clé particulière, vous pouvez utiliser un astérisque (*) dans les chemins de registre. Par exemple HKEY_USERS\*\software peut vouloir dire HKEY_USER\.default\software mais pas HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* n'est pas un chemin valide de clé de registre. Un chemin de clé de registre contenant le symbole « \* » signifie « ce chemin ou tout autre niveau après ce symbole ». C'est le seul moyen d'utiliser des caractères génériques pour les cibles séjour. L'évaluation porte tout d'abord sur la partie spécifique du chemin, puis sur celle figurant après le symbole (*).

warning

Avertissement

Si vous créez une règle très générique, l'avertissement concernant ce type de règle s'affiche.

Dans l'exemple suivant, nous allons montrer comment limiter le comportement indésirable d'une application spécifique :

1.Nommez la règle et sélectionnez Bloquer (ou Demander si vous préférez effectuer un choix ultérieurement) dans le menu déroulant Action.

2.Activez le bouton bascule Avertir l'utilisateur pour afficher une notification à chaque fois qu'une règle est appliquée.

3.Dans la section Opérations affectant, sélectionnez au moins une opération pour laquelle la règle sera appliquée.

4.Cliquez sur Suivant.

5.Dans la fenêtre Applications source, sélectionnez Toutes les applications dans le menu déroulant pour appliquer la nouvelle règle à toutes les applications qui tentent d'effectuer les opérations sélectionnées sur les applications spécifiées.

6.Cliquez sur Ajouter, sur ... pour sélectionner un chemin d'accès à une application spécifique, puis appuyez sur OK. Ajoutez des applications supplémentaires si vous le souhaitez.
Par exemple : C:\Program Files (x86)\Untrusted application\application.exe

7.Sélectionnez l'opération Écrire dans le fichier.

8.Dans le menu déroulant, sélectionnez Tous les fichiers. Ainsi, les applications sélectionnées à l'étape précédente ne pourront écrire dans aucun fichier.

9.Cliquez sur Terminer pour enregistrer la nouvelle règle.

CONFIG_HIPS_RULES_EXAMPLE