Uredi HIPS pravilo

Pogledajte najpre Upravljanje HIPS pravilima.

Ime pravila – Korisnički definisano ili automatski izabrano ime pravila.

Radnja – Navodi radnju – Dozvoli, Blokiraj ili Pitaj – koja će biti izvršena ako se ispune uslovi.

Operacije koje utiču – Morate da izaberete tip operacije za koju će se primeniti pravilo. Pravilo će se koristiti samo za ovaj tip operacije i za izabrani cilj.

Aktivirano – Deaktivirajte ovaj prekidač ako želite da zadržite pravilo na listi, ali ne želite da ga primenite.

Nivo ozbiljnosti evidentiranja – Ako aktivirate ovu opciju, informacije o ovom pravilu se upisuju u HIPS evidenciju.

Obavesti korisnika – U slučaju pokretanja događaja, pojavljuje se mali iskačući prozor u donjem desnom uglu.

 

Pravilo se sastoji iz delova koji opisuju uslove koji pokreću ovo pravilo:

Izvorne aplikacije– Pravilo se koristi samo ako su ove aplikacije pokrenule događaj. Izaberite Određene aplikacije u padajućem meniju i kliknite na opciju Dodaj da biste dodali nove datoteke, a možete i da izaberete Sve aplikacije u padajućem meniju da biste dodali sve aplikacije.

Ciljne datoteke – Pravilo se koristi samo ako je operacija povezana sa ovim ciljem. Izaberite Određene datoteke u padajućem meniju i kliknite na opciju Dodaj da biste dodali nove datoteke ili fascikle, a možete i da izaberete Sve datoteke u padajućem meniju da biste dodali sve datoteke.

Aplikacije – Pravilo se koristi samo ako je operacija povezana sa ovim ciljem. Izaberite Određene aplikacije u padajućem meniju i kliknite na opciju Dodaj da biste dodali nove datoteke ili fascikle, a možete i da izaberete Sve aplikacije u padajućem meniju da biste dodali sve aplikacije.

Stavke registra – Pravilo se koristi samo ako je operacija povezana sa ovim ciljem. U padajućem meniju izaberite Određene stavke i kliknite na opciju Dodaj da biste je uneli ručno ili kliknite na opciju Otvori uređivač registra da biste izabrali ključ iz registra. Osim toga, u padajućem meniju možete da izaberete opciju Sve stavke i da dodate sve aplikacije.

note

NAPOMENA

Pojedine operacije ili posebna pravila koja je prethodno definisao HIPS ne mogu biti blokirana i podrazumevano su dozvoljena. Pored toga, HIPS ne nadgleda sve sistemske operacije. HIPS nadgleda operacije koje se smatraju nebezbednim.

Opisi važnih informacija:

Operacije datoteka

Brisanje datoteke – Aplikacija traži dozvolu za brisanje ciljane datoteke.

Pisanje u datoteku – Aplikacija traži dozvolu za upisivanje u ciljanu datoteku.

Direktan pristup disku – Aplikacija pokušava da čita sa diska ili da upisuje na njega na način koji nije standardan i koji bi zaobišao uobičajene Windows procedure. To može da dovede do toga da se datoteke izmene bez primene odgovarajućih pravila. Ovu operaciju može da izazove malver koji pokušava da izbegne otkrivanje, softver za kreiranje rezervne kopije koji pokušava da kreira tačnu kopiju disk jedinice ili menadžer particija koji pokušava da reorganizuje logičke diskove.

Instalacija globalne kopče – Odnosi se na pozivanje funkcije SetWindowsHookEx iz MSDN biblioteke.

Učitavanje upravljačkog programa – Instalacija i učitavanje upravljačkih programa u sistem.

Operacije aplikacija

Otklanjanje grešaka druge aplikacije – Procesu se dodaje program za otklanjanje grešaka. Prilikom otklanjanja grešaka aplikacije možete da vidite mnoge detalje njenog ponašanja, da ih izmenite i možete da pristupite njenim podacima.

Presretanje događaja iz druge aplikacije – Izvorna aplikacija pokušava da zabeleži događaje namenjene za određenu aplikaciju (na primer, program za krađu lozinki pokušava da zabeleži događaje pregledača).

Obustava/suspendovanje druge aplikacije – Suspendovanje, nastavljanje ili obustava procesa (pristup je moguć direktno iz aplikacija Process Explorer ili iz okna „Procesi“).

Pokretanje nove aplikacije – Pokretanje novih aplikacija ili procesa.

Izmena stanja druge aplikacije – Izvorna aplikacija pokušava da izvrši upisivanje u memoriju ciljne aplikacije ili da umesto nje pokrene kôd. Ova funkcionalnost može da bude korisna u zaštiti važne aplikacije i to tako što se ona konfiguriše kao ciljna aplikacija u pravilu koje blokira upotrebu ove operacije.

note

NAPOMENA

Nije moguće presresti operacije procesa na 64-bitnim sistemima koji koriste Windows XP.

Operacije registra

Izmena postavki pokretanja – Bilo kakva promena u postavkama koja definiše koje aplikacije se pokreću prilikom pokretanja operativnog sistema Windows. Njih možete da pronađete, na primer, ako pretražite ključ Run u okviru Windows registra.

Brisanje iz registra – Brisanje ključa registra ili njegove vrednosti.

Promena imena ključa registra – Promena imena ključeva registra.

Izmena registra – Kreiranje novih vrednosti ključeva registra, promena postojećih vrednosti, premeštanje podataka u okviru stabla baze podataka ili postavljanje prava grupe za ključeve registra.

note

Napomena

Možete da koristite džoker znakove sa određenim ograničenjima kada unosite cilj. Umesto određenog ključa, u putanjama registra može da se koristi simbol * (zvezdica). Na primer HKEY_USERS\*\software može da znači HKEY_USER\.default\software, ali ne HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* nije važeća putanja ključa registra. Putanja ključa registra koja sadrži deo simbol * posle kose crte definiše „ovu putanju ili bilo koju putanju, na bilo kom nivou posle tog simbola“. Ovo je jedini način korišćenja džoker znakova za ciljne datoteke. Prvo će biti procenjen određeni deo putanje, a zatim putanja iza džokera (*).

warning

Upozorenje

Ako kreirate veoma generičko pravilo, prikazaće se upozorenje o ovom tipu pravila.

U sledećem primeru pokazaćemo vam kako da ograničite neželjeno ponašanje određene aplikacije:

1.Imenujte pravilo i izaberite Blokiraj (ili Pitaj ako želite da odaberete kasnije) u padajućem meniju Radnja.

2.Aktivirajte prekidač Obavesti korisnika da bi se prikazalo obaveštenje svaki put kada se primeni pravilo.

3.Izaberite najmanje jednu operaciju u odeljku Operacije koje utiču na koju će se primeniti pravilo.

4.Kliknite na dugme Dalje.

5.U prozoru Izvorne aplikacije izaberite opciju Određene aplikacije u padajućem meniju da biste primenili novo pravilo na sve aplikacije koje pokušaju da izvrše bilo koju od izabranih operacija za aplikacije na aplikacijama koje ste odredili.

6.Kliknite na dugme Dodaj, potom na ... da biste odabrali putanju do određene aplikacije, a zatim pritisnite dugme U redu. Ako želite, dodajte više aplikacija.
Na primer: C:\Program Files (x86)\Untrusted application\application.exe

7.Izaberite operaciju Pisanje u datoteku.

8.Izaberite opciju Sve datoteke u padajućem meniju. Time ćete blokirati svaki pokušaj izabranih aplikacija iz prethodnog koraka da pišu u datoteke.

9.Kliknite na dugme Završi da biste sačuvali novo pravilo.

CONFIG_HIPS_RULES_EXAMPLE