Ayuda en línea de ESET

Búsqueda Español
Seleccione el tema

Editar una regla de HIPS

En primer lugar, consulte Gestión de reglas de HIPS.

Nombre de la regla: nombre de la regla definido por el usuario o seleccionado automáticamente.

Acción: especifica la acción (Permitir, Bloquear o Preguntar) que debe realizarse si se cumplen las condiciones.

Operaciones afectadas: debe seleccionar el tipo de operación a la que se aplicará la regla. La regla solo se utilizará para este tipo de operación y para el destino seleccionado.

Activado: desactive el interruptor si desea conservar la regla en la lista, pero no aplicarla.

Registro de severidad: si activa esta opción, la información acerca de esta regla se anotará en el registro de HIPS.

Notificar al usuario: cuando se activa un suceso, se abre una ventana de notificación pequeña en la esquina inferior derecha.

La regla consta de partes que describen las condiciones que activan esta regla:

Aplicaciones de origen: la regla solo se utilizará si esta aplicación activa el suceso. Seleccione Aplicaciones específicas en el menú desplegable y haga clic en Agregar para agregar nuevos archivos o carpetas, o puede seleccionar Todas las aplicaciones en el menú desplegable para agregar todas las aplicaciones.

Archivos de destino: la regla solo se utilizará si la operación está relacionada con este destino. Seleccione Archivos específicos en el menú desplegable y haga clic en Agregar para agregar nuevos archivos o carpetas, o puede seleccionar Todos los archivos en el menú desplegable para agregar todas los archivos.

Aplicaciones: la regla solo se utilizará si la operación está relacionada con este destino. Seleccione Aplicaciones específicas en el menú desplegable y haga clic en Agregar para agregar nuevos archivos o carpetas, o puede seleccionar Todas las aplicaciones en el menú desplegable para agregar todas las aplicaciones.

Entradas del registro: la regla solo se utilizará si la operación está relacionada con este destino. Seleccione Entradas especificadas en el menú desplegable y haga clic en Agregar para agregar nuevos archivos o carpetas, o puede hacer clic en Abrir editor del registro para seleccionar una clave del registro. Además, puede seleccionar Todas las entradas en el menú desplegable para agregar todas las aplicaciones.


note

Algunas operaciones de reglas específicas predefinidas por HIPS no se pueden bloquear y se permiten de forma predeterminada. Además, HIPS no supervisa todas las operaciones del sistema; HIPS supervisa las operaciones que se pueden considerar inseguras.

Descripción de las operaciones importantes:

Operaciones del archivo

Eliminar archivo: la aplicación solicita permiso para eliminar el archivo objetivo.

Escribir en archivo: la aplicación solicita permiso para escribir en el archivo objetivo.

Acceso directo al disco: la aplicación está intentando realizar una operación de lectura o escritura en el disco de una forma no convencional que burlará los procedimientos habituales de Windows. Esto puede provocar la modificación de archivos sin la aplicación de las reglas correspondientes. Esta operación puede estar provocada por un código malicioso que intente evadir el sistema de detección, un software de copia de seguridad que intente realizar una copia exacta de un disco o un gestor de particiones que intente reorganizar los volúmenes del disco.

Instalar enlace global: hace referencia a la activación de la función SetWindowsHookEx desde la biblioteca MSDN.

Cargar controlador: instalación y carga de controladores en el sistema.

Operaciones de la aplicación

Depurar otra aplicación: conexión de un depurador al proceso. Durante el proceso de depuración de una aplicación es posible ver y modificar muchos aspectos de su comportamiento, así como acceder a sus datos.

Interceptar sucesos de otra aplicación: la aplicación de origen está intentando capturar sucesos dirigidos a una aplicación concreta (por ejemplo un registrador de pulsaciones que intenta capturar sucesos del navegador).

Terminar/suspender otra aplicación: suspende, reanuda o termina un proceso (se puede acceder a esta operación directamente desde el Process Explorer o el panel Procesos).

Iniciar una aplicación nueva: inicia aplicaciones o procesos nuevos.

Modificar el estado de otra aplicación: la aplicación de origen está intentando escribir en la memoria de la aplicación de destino o ejecutar código en su nombre. Esta función puede ser de utilidad para proteger una aplicación fundamental mediante su configuración como aplicación de destino en una regla que bloquee el uso de esta operación.

Operaciones del registro

Modificar la configuración de inicio: cambios realizados en la configuración que definan las aplicaciones que se ejecutarán al iniciar Windows. Estos cambios se pueden buscar, por ejemplo, buscando la clave Run en el Registro de Windows.

Eliminar del registro: elimina una clave del registro o su valor.

Cambiar el nombre de la clave del registro: cambia el nombre de las claves del registro.

Modificar el registro: crea valores nuevos para las claves del registro, modifica los valores existentes, mueve los datos en el árbol de la base de datos o configura los permisos de usuarios y grupos en las claves del registro.


note

Puede utilizar comodines, con determinadas restricciones, para especificar un destino. En las rutas de acceso al registro se puede utilizar el símbolo * (asterisco) en vez de una clave determinada. Por ejemplo HKEY_USERS\*\software puede significar HKEY_USER\.default\software, pero no HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* no es una ruta válida para la clave del registro. Una ruta de la clave del registro que tenga \* incluye "esta ruta, o cualquier ruta de cualquier nivel después del símbolo". Este es el único uso posible de los comodines en los destinos. Primero se evalúa la parte específica de una ruta de acceso y, después, la ruta que sigue al comodín (*).


warning

Si crea una regla muy genérica, se mostrará una advertencia sobre este tipo de regla.

En el siguiente ejemplo, mostraremos cómo restringir comportamientos no deseados de una aplicación específica:

1.Asigne un nombre a la regla y seleccione Bloquear (o Preguntar si prefiere decidir más tarde) en el menú desplegable Acción.

2.Active el interruptor situado junto a Notificar al usuario para mostrar una notificación siempre que se aplique una regla.

3.Seleccione al menos una operación en la sección Operaciones afectadas a la que se le aplicará la regla.

4.Haga clic en Siguiente.

5.En la ventana Aplicaciones de origen, seleccione Aplicaciones específicas en el menú desplegable para aplicar la nueva regla a todas las aplicaciones que intenten realizar cualquiera de las operaciones de aplicación seleccionadas en las aplicaciones especificadas.

6.Haga clic en Agregar y, a continuación, en para elegir una ruta de acceso de una aplicación específica y, a continuación, pulse Aceptar. Agregue más aplicaciones si lo prefiere.
Por ejemplo: C:\Program Files (x86)\Untrusted application\application.exe

7.Seleccione la operación Escribir en archivo.

8.Seleccione Todos los archivos en el menú desplegable. Cuando una aplicación seleccionada en el paso anterior intente escribir en un archivo, se bloqueará dicho intento.

9.Haga clic en Finalizar para guardar la nueva regla.

CONFIG_HIPS_RULES_EXAMPLE