עריכת כלל HIPS
ראה ניהול כלל HIPS תחילה.
שם כלל – שם כלל שמוגדר על-ידי המשתמש או נבחר אוטומטית.
פעולה – מציינת פעולה – התרה, חסימה או הצגת שאלה – שיש לבצע כשתנאים מסוימים מתקיימים.
פעולות מושפעות – הנך נדרש לבחור את סוג הפעולה שעליה הכלל יוחל. כלל זה יימצא בשימוש רק עבור סוג הפעולה הזה ועבור היעד הנבחר.
מופעל – כבה את המתג הזה אם ברצונך להשאיר את הכלל ברשימה מבלי להחילו.
דרגת חומרה לרישום ביומן – אם תפעיל אפשרות זו, מידע על כלל זה ייכתב ביומן HIPS.
הודעה למשתמש – אם מופעל אירוע, חלון התראות קטן מופיע בפינה הימנית התחתונה.
הכלל מורכב מחלקים שמתארים את התנאים המפעילים אותו:
יישומי מקור – הכלל יהיה בשימוש רק אם האירוע יופעל על-ידי יישומים אלה. בחר יישומים ספציפיים בתפריט הנפתח ולחץ על הוספה כדי להוסיף קבצים חדשים; לחלופין תוכל לבחור באפשרות כל היישומים בתפריט הנפתח ולהוסיף את כל היישומים.
קובצי יעד – הכלל יהיה בשימוש רק אם הפעולה מקושרת ליעד זה. בחר קבצים ספציפיים בתפריט הנפתח ולחץ על הוספה כדי להוסיף קבצים או תיקיות חדשים; לחלופין תוכל לבחור באפשרות כל הקבצים בתפריט הנפתח ולהוסיף את כל הקבצים.
יישומים – הכלל יהיה בשימוש רק אם הפעולה מקושרת ליעד זה. בחר יישומים ספציפיים בתפריט הנפתח ולחץ על הוספה כדי להוסיף קבצים ותיקיות חדשים; לחלופין תוכל לבחור באפשרות כל היישומים בתפריט הנפתח ולהוסיף את כל היישומים.
ערכי רישום – הכלל יהיה בשימוש רק אם הפעולה מקושרת ליעד זה. בחר ערכים ספציפיים בתפריט הנפתח ולחץ על הוספה כדי להקלידו ידנית; לחלופין תוכל ללחוץ על פתח עורך רישום כדי לבחור מפתח מסוים מהרישום. בנוסף, תוכל לבחור באפשרות על הערכים בתפריט הנפתח כדי להוסיף את כל היישומים.
פעולות מסוימות של כללים ספציפיים שהוגדרו מראש על-ידי HIPS אינן יכולות להיחסם וזמינות כברירת מחדל. בנוסף, HIPS לא מפקחת על כל פעולות המערכת. HIPS מנטרת פעולות שעלולות להיחשב כלא בטוחות. |
תיאורים של פעולות חשובות:
פעולות עם קבצים
- מחיקת קובץ – היישום מבקש הרשאה למחיקת קובץ היעד.
- כתיבה בקובץ – היישום מבקש הרשאה לכתיבה בקובץ היעד.
- גישה ישירה לדיסק – היישום מנסה לקרוא מתוך הדיסק או לכתוב בו בצורה יוצאת דופן, שתעקוף פרוצדורות שכיחות של Windows. כתוצאה מכך, קבצים עשויים להשתנות מבלי שהוחלו הכללים המתאימים. פעולה זו עשויה להיגרם על-ידי תוכנה זדונית המנסה לחמוק מזיהוי, תוכנת גיבוי המנסה ליצור עותק מדויק של דיסק או מנהל מחיצות המנסה לארגן מחדש את אמצעי האחסון.
- התקנת קרס כללי – מתייחסת לקריאה לפונקציה SetWindowsHookEx מתוך הספרייה של MSDN.
- טעינת מנהל התקן – התקנה וטעינה של מנהלי התקנים במערכת.
פעולות עם יישומים
- איתור באגים ביישום אחר – חיבור מאתר באגים לתהליך. בעת איתור באגים ביישום, אפשר להציג ולשנות רבים מפרטי אופן הפעולה ולגשת אל הנתונים שלו.
- יירוט אירועים מיישום אחר – יישום המקור מנסה לתפוס אירועים המופנים ליישום ספציפי (לדוגמה לרישום הקשות המנסה ללכוד אירועי דפדפן).
- עצירת/השהיית יישום אחר – השהיה, חידוש או עצירה של תהליך (ניתן לגשת ישירות מ-Process Explorer או מחלונית התהליכים).
- הפעלת יישום חדש – הפעלת יישומים או תהליכים חדשים.
- שינוי מצב של יישום אחר – יישום המקור מנסה לכתוב בזיכרון של יישומי היעד או להריץ קוד בשמו. פונקציונליות זו עשויה להיות שימושית להגנה על יישום חיוני על-ידי הגדרתו כיישום יעד בכלל החוסם את השימוש ביישום זה.
פעולות רישום
- שינוי הגדרות אתחול – כל השינויים בהגדרות שקובעות אילו יישומים יופעלו בעת האתחול של Windows. ניתן לאתרן, לדוגמה, על-ידי חיפוש המפתח Run ברישום של Windows.
- מחיקה מהרישום – מחיקת מפתח רישום או הערך שלו.
- שינוי שם מפתח רישום – שינוי שם של מפתחות רישום.
- שינוי רישום – יצירת ערכים חדשים של מפתחות רישום, החלפת ערכים קיימים, הזזת נתונים בעץ מסד הנתונים או הגדרת הזכויות של משתמש או קבוצה במפתחות רישום.
בעת הזנת יעד, באפשרותך להשתמש בתווים כלליים עם הגבלות מסוימות. במקום מפתח מסוים, ניתן להשתמש בסמל * (כוכבית) בנתיבי יישומים. לדוגמה, המשמעות של HKEY_USERS\*\software יכולה להיות HKEY_USER\.default\software אך לא HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* אינו נתיב חוקי של מפתח רישום. נתיב של מפתח רישום הכולל \* מגדיר את "הנתיב הזה, או כל נתיב אחר, בכל רמה שהיא אחרי סמל זה". זוהי הדרך היחידה להשתמש בתווים כלליים עבור יעדים של קבצים. תחילה תתבצע הערכה של החלק הספציפי של נתיב, ולאחר מכן יימצא הנתיב לאחר סמל התו הכללי (*). |
אם הכלל שאתה יוצר כללי מאוד, תופיע האזהרה על סוג כלל זה. |
בדוגמה הבאה נראה כיצד להגביל פעילות לא רצויה של אפליקציה ספציפית:
- תן לכלל שם ובחר באפשרות חסום (או שאל אם אתה מעדיף לבחור מאוחר יותר) מהתפריט הנפתח פעולה.
- העבר את המתג שלצד הודע למשתמש למצב פעיל כדי להציג התראה בכל פעם שכלל מסוים מוחל.
- בחר פעולה אחת לפחות במקטע פעולות משפיעות שעבורה יוחל הכלל.
- לחץ על הבא.
- בחלון אפליקציות מקור, בחר באפשרות אפליקציות מסוימות בתפריט הנפתח כדי להחיל את הכלל החדש שלך על כל האפליקציות שמנסות לבצע אחת מפעולות האפליקציה שנבחרו באפליקציות שציינת.
- לחץ על הוסף ולאחר מכן על ... כדי לבחור נתיב לאפליקציה ספציפית ולאחר מכן לחץ על אישור. הוסף עוד אפליקציות כרצונך.
לדוגמה: C:\Program Files (x86)\Untrusted application\application.exe - בחר את הפעולה כתיבה לקובץ.
- בחר כל הקבצים מהתפריט הנפתח. פעולה זו תחסום כל ניסיונות לכתוב לקבצים על-ידי האפליקציות הנבחרות מהשלב הקודם.
- לחץ על סיום כדי לשמור את הכלל החדש.