Rediger en HIPS-regel
Se først HIPS-regeladministration.
Navn på regel – Brugerdefineret eller automatisk valgt regelnavn.
Handling – Angiver en handling – Tillad, Bloker eller Spørg – som skal udføres, hvis betingelserne er opfyldt.
Handlinger, der påvirker – Du skal vælge den type handling, som reglen skal gælde for. Reglen bruges kun for denne type handlinger og for det valgte mål.
Aktiveret – Slå til/fra-knappen fra, hvis du vil beholde reglen på listen, men ikke bruge den.
Alvorsgrad af logføring – Hvis du markerer denne indstilling, skrives der oplysninger om denne regel til HIPS-loggen.
Giv bruger besked – Der vises et lille meddelelsesvindue nederst til højre, hvis der udløses en hændelse.
Reglen består af dele, som beskriver de betingelser, der udløser denne regel:
Kildeprogrammer – Reglen bruges kun, hvis hændelsen udløses af det eller de angivne programmer. Vælg Specifikke programmer i rullemenuen, og klik på Tilføj for at tilføje nye filer. Du kan også vælge Alle programmer i rullemenuen for at tilføje alle programmer.
Målfiler – Reglen bruges kun, hvis handlingen er relateret til dette mål. Vælg Specifikke filer i rullemenuen, og klik på Tilføj for at tilføje nye filer eller mapper. Du kan også vælge Alle filer i rullemenuen for at tilføje alle filer.
Programmer – Reglen bruges kun, hvis handlingen er relateret til dette mål. Vælg Specifikke programmer i rullemenuen, og klik på Tilføj for at tilføje nye filer eller mapper. Du kan også vælge Alle programmer i rullemenuen for at tilføje alle programmer.
Poster i registreringsdatabasen – Reglen bruges kun, hvis handlingen er relateret til dette mål. Vælg Specifikke poster i rullemenuen, og klik på Og for at skrive den manuelt. Eller klik på Åbn registreringseditoren for at vælge en nøgle i registreringsdatabasen. Du kan også vælge Alle poster i rullemenuen for at tilføje alle programmer.
Nogle operationer for bestemte regler, der er foruddefinerede af HIPS kan ikke blokeret og er som standard tilladt. Derudover overvåges ikke alle systemoperationer af HIPS. HIPS overvåger handlinger, som kan anses for usikre. |
Beskrivelse af vigtige handlinger:
Filhandlinger
•Slet fil – Programmet beder om tilladelse til at slette målfilen.
•Skriv til fil – Programmet beder om tilladelse til at skrive til målfilen.
•Direkte adgang til disk – Programmet forsøger at læse fra eller skrive til disken på en ikke-standardiseret måde, der vil omgå almindelige Windows-procedurer. Dette kan medføre, at filer ændres, uden at de tilknyttede regler anvendes. Denne handling kan skyldes malware, der forsøger at undgå registrering, en sikkerhedskopieringssoftware, der forsøger at oprette en nøjagtig kopi af en disk, eller en partitioneringsstyring, der forsøger at omarrangere diskenheder.
•Installer global hook – Henviser til at kalde funktionen SetWindowsHookEx fra MSDN-biblioteket.
•Indlæs driver – Installation og indlæsning af drivere på systemet.
Programhandlinger
•Foretag fejlfinding af et andet program – Vedhæfter et fejlfindingsprogram til processen. Under fejlfinding af et program kan mange detaljer for funktionsmåden gennemgås og ændres, og der er adgang til data.
•Opfang hændelser fra et andet program – Kildeprogrammet forsøger at opfange hændelser, der er målrettet mod et specifikt program (f.eks. en keylogger, der forsøger at opfange browserhændelser).
•Afslut/afbryd et andet program – Afbryder, genoptager eller afslutter en proces (du kan få direkte adgang til funktionen fra processtifinderen eller ruden Processer).
•Start nyt program – Starter nye programmer eller processer.
•Ret tilstand for et andet program – Kildeprogrammet forsøger at skrive til målprogrammets hukommelse eller at køre kode på målprogrammets vegne. Denne funktion kan være nyttig, hvis du vil beskytte et vigtigt program ved at konfigurere det som målprogram for en regel, der blokerer brugen af denne handling.
Handlinger i registreringsdatabasen
•Rediger startindstillinger – Alle ændringer af indstillinger, der definerer de programmer, som køres ved start af Windows. Disse kan findes f.eks. ved at søge efter nøglen Run i Windows registreringsdatabasen.
•Slet fra registreringsdatabase – Sletter en registreringsdatabasenøgle eller nøglens værdi.
•Omdøb registreringsdatabasenøgle – Omdøber registreringsdatabasenøgler.
•Rediger registreringsdatabase – Opretter nye værdier for registreringsdatabasenøgler, ændrer eksisterende værdier, flytter data i databasetræet eller angiver bruger- eller grupperettigheder for registreringsdatabasenøgler.
Du kan bruge jokertegn med visse begrænsninger, når du indtaster et mål. I stedet for en bestemt nøgle kan * (asterisk)-symbolet bruges i registreringsdatabasestier. F.eks. HKEY_USERS\*\software kan betyde HKEY_USER\.default\software men ikkeHKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* er ikke en gyldig registreringdatabasenøglesti. En registreringsdatabasenøglesti, som indeholder \* definerer "denne sti eller en hvilken som helst sti eller et hvilket som helst niveau efter det symbol". Det er den eneste måde, du kan bruge jokertegn til filmål. Den bestemte del af en sti bliver først vurderet og så stien efter jokertegnssymbolet (*). |
Hvis du opretter en meget overordnet regel, vises der en advarsel om denne regeltype.Hvis du opretter en meget overordnet regel, vises der en advarsel om denne regeltype |
I følgende eksempel vil vi demonstrere, hvordan du begrænser uønsket funktionsmåde i et specifikt program:
1.Navngiv reglen, og vælg Bloker (eller Spørg, hvis du vil vælge det senere) i rullemenuen Handling.
2.Slå til/fra-knappen ud for Giv bruger besked til for at få vist en meddelelse, når en regel anvendes.
3.Vælg mindst én handling i sektionen Handlinger, der påvirker, som reglen skal gælde for.
4.Klik på Næste.
5.I vinduet Kildeprogrammer skal du vælge Specifikke programmer i rullemenuen for at anvende din nye regel på alle programmer, der forsøger at udføre en af de valgte programhandlinger i de programmer, du har angivet.
6.Klik på Tilføj og derefter ... for at vælge en sti til et specifikt program, og tryk derefter på OK. Du kan evt. tilføje flere programmer.
Eksempel: C:\Program Files (x86)\Untrusted application\application.exe
7.Vælg handlingen Skriv til fil.
8.Vælg Alle filer i rullemenuen. Derved blokeres alle forsøg på at skrive til en fil, der foretages af det eller de valgte programmer, som er valgt i forrige trin.
9.Klik på Afslut for at gemme din nye regel.