Modificare un HIPS regola

Consultare innanzitutto Gestione regole HIPS.

Nome regola: nome della regola scelto automaticamente o definito dall'utente.

Azione: specifica un'azione (Consenti, Blocca o Chiedi) che deve essere eseguita se sono soddisfatte le condizioni specificate.

Operazioni che influiscono: è necessario selezionare il tipo di operazione alla quale la regola verrà applicata. La regola verrà utilizzata solo per questo tipo di operazione e per la destinazione selezionata.

Attivata: disattivare questo pulsante se si desidera mantenere la regola nell'elenco senza applicarla.

Gravità registrazione: se si attiva questa opzione, le informazioni sulla regola verranno scritte nel Rapporto HIPS.

Notifica utente: se viene attivato un evento, nell'angolo in basso a destra viene visualizzata una finestra popup di piccole dimensioni.

 

La regola è formata da varie parti che illustrano le condizioni che la attivano:

Applicazioni di origine: la regola verrà utilizzata solo se l'evento viene attivato dall'applicazione. Selezionare Applicazioni specifiche dal menu a discesa e fare clic su Aggiungi per aggiungere nuovi file oppure selezionare Tutte le applicazioni dal menu a discesa per aggiungere tutte le applicazioni.

File di destinazione: la regola viene utilizzata solo se l'operazione è correlata a questa destinazione. Selezionare File specifici dal menu a discesa e fare clic su Aggiungi per aggiungere nuovi file o cartelle oppure selezionare Tutti i file dal menu a discesa per aggiungere tutti i file.

Applicazioni: la regola verrà utilizzata solo se l'operazione è correlata a questa destinazione. Selezionare Applicazioni specifiche dal menu a discesa e fare clic su Aggiungi per aggiungere nuovi file o cartelle oppure selezionare Tutte le applicazioni dal menu a discesa per aggiungere tutte le applicazioni.

Voci di registro: la regola verrà utilizzata solo se l'operazione è correlata a questa destinazione. Selezionare Voci specifiche dal menu a discesa e fare clic su Aggiungi per inserirla manualmente oppure fare clic su Apri editor registro per selezionare una chiave dal Registro. È inoltre possibile selezionare Tutte le voci dal menu a discesa per aggiungere tutte le applicazioni.

note

NOTA

Non è possibile bloccare alcune operazioni di regole specifiche predefinite da HIPS. Per impostazione predefinita, tali operazioni saranno quindi consentite. Inoltre, non tutte le operazioni di sistema sono monitorate da HIPS. HIPS monitora le operazioni che possono essere considerate non sicure.

Descrizione delle operazioni importanti:

Operazioni del file

Elimina file: l'applicazione richiede l'autorizzazione per l'eliminazione del file di destinazione.

Scrivi su file: l'applicazione richiede l'autorizzazione per scrivere sul file di destinazione.

Accesso diretto al disco: l'applicazione sta tentando di leggere o scrivere sul disco in modalità non standard, che eluderà le procedure di Windows comuni. Ciò potrebbe causare la modifica dei file senza che vengano applicate le regole corrispondenti. Questa operazione può essere causata da un malware che tenta di eludere il rilevamento, un software di backup che tenta di creare una copia esatta di un disco o un programma di gestione delle partizioni che tenta di riorganizzare i volumi del disco.

Installa hook globale: fa riferimento alla chiamata della funzione SetWindowsHookEx dalla libreria MSDN.

Carica driver: installazione e caricamento dei driver nel sistema.

Operazioni dell'applicazione

Esegui debug di un'altra applicazione: associazione di un debugger al processo. Quando si esegue il debug di un'applicazione, è possibile visualizzare e modificare molti dettagli del relativo comportamento e accedere ai rispettivi dati.

Intercetta eventi da altra applicazione: l'applicazione di origine sta tentando di intercettare gli eventi specifici su un'applicazione specifica (ad esempio, un keylogger che cerca di acquisire gli eventi del browser).

Termina/sospendi altra applicazione: sospensione, ripresa o interruzione di un processo (è possibile accedervi direttamente da Process Explorer o dal riquadro Processi).

Avvia nuova applicazione: avvio di nuove applicazioni o processi.

Modifica stato di un'altra applicazione: l'applicazione di origine sta tentando di scrivere nella memoria delle applicazioni di destinazione o di eseguire un codice per suo conto. Questa funzionalità può risultare utile per proteggere un'applicazione essenziale configurandola come applicazione di destinazione in una regola che blocca l'utilizzo di tale operazione.

note

NOTA

Non è possibile intercettare le operazioni del processo sulla versione a 64 bit di Windows XP.

Operazioni del registro

Modifica impostazioni di avvio: qualsiasi modifica nelle impostazioni che definisce quali applicazioni saranno eseguite all'avvio di Windows. Possono essere individuate, ad esempio, ricercando la chiave Run nel Registro di sistema di Windows.

Elimina dal registro: eliminazione di una chiave del registro o del relativo valore.

Rinomina chiave del registro: ridenominazione delle chiavi del registro.

Modifica registro: creazione di nuovi valori delle chiavi del registro, modifica dei valori esistenti, spostamento dei dati nella struttura del database oppure impostazione dei diritti utente o di gruppo per le chiavi del registro.

note

Nota

Quando si inserisce una destinazione, è possibile utilizzare i caratteri jolly con alcune limitazioni. Al posto di una chiave particolare, nei percorsi dei Registri di sistema è possibile utilizzare il simbolo * (asterisco). Ad esempio HKEY_USERS\*\software può significare HKEY_USER\.default\software ma non HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* non è un percorso valido della chiave di Registro del sistema. Un percorso della chiave del Registro di sistema contenente \* indica "questo percorso o qualsiasi percorso a qualsiasi livello dopo tale simbolo". Nelle destinazioni dei file i caratteri jolly possono essere utilizzati solo in questo modo. Viene innanzitutto valutato la parte specifica di un percorso, quindi viene esaminato il percorso dopo il carattere jolly (*).

warning

Allarme

In caso di creazione di una regola molto generica, verrà visualizzato un avviso.

Nell'esempio seguente viene spiegato come limitare il comportamento indesiderato di una specifica applicazione:

1.Denominare la regola e selezionare Blocca (o Chiedi se si preferisce scegliere in seguito) nel menu a discesa Azione.

2.Attivare il pulsante Notifica utente per visualizzare una notifica tutte le volte che viene applicata una regola.

3.Selezionare almeno un'operazione nella sezione Operazioni che influiscono per cui verrà applicata la regola.

4.Fare clic su Avanti.

5.Nella finestra Applicazioni di origine selezionare Applicazioni specifiche dal menu a discesa per applicare la nuova regola a tutte le applicazioni che tentano di eseguire una delle operazioni dell'applicazione selezionata sulle applicazioni specificate dall'utente.

6.Fare clic su Aggiungi e su ... per scegliere il percorso di un'applicazione specifica, quindi scegliere OK. Aggiungere altre applicazioni, se si preferisce.
Ad esempio: C:\Program Files (x86)\Untrusted application\application.exe

7.Selezionare l'operazione Scrivi su file.

8.Selezionare Tutti i file dal menu di scelta rapida. In tal modo, verrà bloccato qualsiasi tentativo di scrivere su qualsiasi file da parte delle applicazioni selezionate nel passaggio precedente.

9.Fare clic su Fine per salvare la nuova regola.

CONFIG_HIPS_RULES_EXAMPLE