Bir HIPS kuralını düzenleme
Önce HIPS kural yönetimine bakın.
Kural adı – Kullanıcı tanımlı veya otomatik olarak seçilen kural adı.
Eylem – Koşulların doğru olması durumunda gerçekleştirilmesi gereken bir eylemi (İzin ver, Engelle veya Sor) belirtir.
Etkilenen işlemler – Kuralın uygulanacağı işlem türünü seçmelisiniz. Kural, yalnızca bu tür işlem ve seçili hedef için kullanılır.
Etkin - Kuralı listede tutmak istiyor ancak uygulamak istemiyorsanız kaydırma çubuğunu devre dışı bırakın.
Günlüğe kaydetme şiddeti – Bu seçeneği etkinleştirirseniz bu kuralla ilgili bilgiler HIPS günlüğüne yazılır.
Kullanıcıya bildir – Bir olay tetiklenirse, sağ alt köşede küçük bir açılır pencere görünür.
Kural, bu kuralı tetikleyen koşulları açıklayan bölümlerden oluşur:
Kaynak uygulamalar– Kural, yalnızca olayın bu uygulamalar tarafından tetiklenmesi durumunda kullanılır. Açılır menüden Belirli uygulamalar'ı seçin ve Ekle öğesine tıklatarak yeni dosyaları ekleyin veya tüm uygulamaları eklemek için açılır menüden Tüm uygulamalar seçeneğini de belirleyebilirsiniz.
Hedef dosyalar – Kural, yalnızca işlemin bu hedefle ilgili olması durumunda kullanılır. Açılır menüden Belirli dosyalar'ı seçin ve Ekle öğesini tıklayarak yeni dosya veya klasörleri ekleyin ya da tüm uygulamaları eklemek için açılır menüden Tüm dosyalar seçeneğini belirleyin.
Uygulamalar – Kural, yalnızca işlemin bu hedefle ilgili olması durumunda kullanılır. Açılır menüden Belirli uygulamalar'ı seçin ve Ekle öğesini tıklatarak yeni dosya veya klasörleri ekleyin veya tüm uygulamaları eklemek için açılır menüden Tüm uygulamalar öğesini de seçebilirsiniz.
Kayıt defteri girişleri – Kural, yalnızca işlemin bu hedefle ilgili olması durumunda kullanılır. Açılır menüden Belirli girişler'i seçip manuel olarak yazmak için Ekle seçeneğini tıklatın veya Kayıt Defterinden anahtar seçmek için Kayıt Defteri Düzenleyicisini Aç seçeneğini tıklatabilirsiniz. Ayrıca tüm uygulamaları eklemek için açılır menüden Tüm girişler seçeneğini de belirleyebilirsiniz.
|
HIPS tarafından önceden tanımlanan belirli kuralların bazı işlemleri engellenemez ve varsayılan olarak izin verilir. Ek olarak, HIPS tarafından tüm sistem işlemleri izlenmez. HIPS tehlikeli olarak değerlendirilebilecek işlemleri izler. |
Önemli işlemlerin açıklaması:
Dosya işlemleri
•Dosyayı sil – Uygulama hedef dosyayı silmek için izin istiyor.
•Dosyaya yaz – Uygulama hedef dosyaya yazmak için izin istiyor.
•Diske doğrudan erişim – Uygulama sıradan Windows prosedürlerini atlatan, standart olmayan bir şekilde diskten okumaya veya diske yazmaya çalışıyor. Bu, dosyaların ilgili kuralları uygulamaksızın değiştirilmesiyle sonuçlanabilir. Bu işlem, algılamadan kurtulmaya çalışan bir kötü amaçlı yazılımdan, diskin tam kopyasını yapmaya çalışan bir yedekleme yazılımından veya disk birimlerini yeniden düzenlemeye çalışan bir bölüm yöneticisinden kaynaklanıyor olabilir.
•Genel hook yükle – MSDN kitaplığından SetWindowsHookEx işlevini çağırmayı ifade eder.
•Sürücü yükle - Sisteme sürücülerin kurulması ve yüklenmesi.
Uygulama işlemleri
•Başka bir uygulamanın hatalarını ayıkla – İşleme bir hata ayıklayıcı ekler. Bir uygulamanın hataları ayıklanırken davranışının birçok ayrıntısı görüntülenebilir, değiştirilebilir ve verilerine erişilebilir.
•Başka bir uygulamanın olaylarını durdur – Kaynak uygulama belirli bir uygulamaya hedeflenen olayları yakalamaya çalışır (örneğin tuş kaydedicinin tarayıcı olaylarını yakalamaya çalışması gibi).
•Başka bir uygulamayı sonlandır/askıya al – Bir işlemi askıya alır, sürdürür veya sonlandırır (doğrudan İşlem Gezgininden veya İşlemler bölmesinden erişilebilir).
•Yeni uygulama başlat – Yeni uygulamaları veya işlemleri başlatır.
•Başka bir uygulamanın durumunu değiştir – Kaynak uygulama hedef uygulamaların belleğine yazmaya çalışır veya onun adına kod çalıştırır. Bu işlev, bu işlemin kullanımını engelleyen bir kuralda hedef bir uygulama olarak yapılandırmak yoluyla önemli bir uygulamayı korumak için kullanışlı olabilir.
|
Windows XP 64 bit sürümünde süreç işlemlerini durdurmak mümkün değildir. |
Kayıt defteri işlemleri
•Başlatma ayarlarını değiştir – Ayarlardaki, Windows açılışında çalıştırılacak uygulamaları tanımlayan tüm değişikliklerdir. Bunlar Windows Kayıt Defteri'nde örneğin Run anahtarı aranarak bulunabilir.
•Kayıt defterinden sil – Kayıt defteri anahtarını veya değerini siler.
•Kayıt defteri anahtarını yeniden adlandır – Kayıt defteri anahtarlarını yeniden adlandırma.
•Kayıt defteri değiştiriliyor - Kayıt defteri anahtarlarının yeni değerlerini oluşturma, mevcut değerleri değiştirme, veri tabanı ağacından veri taşıma veya kayıt defteri anahtarı için kullanıcı veya grup hakları ayarlama.
|
Bir hedef girerken, belirli kısıtlamalarla joker karakterler kullanabilirsiniz. Belirli bir anahtarın yerine * (yıldız işareti) simgesi kayıt defteri yollarında kullanılabilir. Örneğin HKEY_USERS\*\software ifadesi HKEY_USER\.default\software anlamına gelebilir, ancak HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software anlamına gelemez. HKEY_LOCAL_MACHINE\system\ControlSet* geçerli bir kayıt defteri anahtarı yolu değil. \* içeren bir kayıt defteri anahtarı yolu, "bu yol veya bu sembolden sonraki herhangi bir düzeydeki herhangi bir yol" olarak tanımlar. Dosya hedefleri için joker karakter kullanmanın tek yolu budur. Öncelikle, bir yolun belirli bir parçası, ardından joker karakter simgesini (*) izleyen yol değerlendirilir. |
|
Çok genel bir kural oluşturursanız, bu kural türüyle ilgili uyarı gösterilir. |
Aşağıdaki örnekte, belirli bir uygulamanın istenmeyen davranışlarını kısıtlamayı göstereceğiz:
1.Kuralı adlandırın ve Eylem açılır menüsünden Engelle seçeneğini belirleyin (veya daha sonra seçmeyi tercih ederseniz Sor'u belirleyin).
2.Bir kuralın uygulandığı her defasında bildirim görüntülemek için Kullanıcıya bildir öğesinin yanındaki kaydırma çubuğunu seçin.
3.Etkileyen işlemler bölümünde kural için uygulanacak en az bir işlem seçin.
4.İleri'yi tıklayın.
5.Yeni kuralınızı belirlediğiniz uygulamalar üzerinde, seçili uygulama işlemlerinden herhangi birini gerçekleştirmeye çalışan tüm uygulamalar için geçerli kılmak üzere Kaynak uygulamaları penceresinde, açılır menüden Belirli uygulamalar'ı seçin.
6.Ekle'yi, ardından ... simgesini tıklayıp belirli bir uygulamanın yolunu seçin ve Tamam'a basın. Tercih etmeniz halinde daha fazla uygulama ekleyin.
Örneğin: C:\Program Files (x86)\Untrusted application\application.exe
7.Dosyaya yaz işlemini seçin.
8.Açılır menüden Tüm dosyalar'ı seçin. Bu, önceki adımda seçilmiş olan uygulamalar tarafından herhangi bir dosyaya yazma girişimini engeller.
9.Yeni kuralı kaydetmek için Bitir'ı tıklatın.
