Een HIPS-regel bewerken
Zie eerst HIPS-regelbeheer.
Regelnaam: door de gebruiker gedefinieerde of automatisch gekozen regelnaam.
Actie: de regel geeft een actie aan, namelijk Toestaan, Blokkeren of Vragen, die moet worden uitgevoerd als aan de voorwaarden wordt voldaan.
Bewerkingen die gevolgen hebben voor: u dient het type bewerking op te geven waarvoor de regel wordt toegepast. De regel wordt alleen voor dit type bewerking en voor het geselecteerde doel gebruikt.
Ingeschakeld: zet de schakelaar uit als u de regel in de lijst wilt behouden, maar niet wilt toepassen.
Ernst van logboekregistratie: als u deze optie activeert, wordt informatie over deze regel naar het HIPS-logboek geschreven.
Gebruiker met melding op de hoogte brengen: er verschijnt een klein meldingsvenster rechtsonder als er een gebeurtenis wordt geactiveerd.
De regel bestaat uit delen, waarmee de voorwaarden worden beschreven die deze regel activeren:
Brontoepassingen: de regel wordt alleen gebruikt als de gebeurtenis door deze toepassing(en) wordt geactiveerd. Selecteer Bepaalde toepassingen in het vervolgkeuzemenu en klik op Toevoegen om nieuwe bestanden toe te voegen of selecteer Alle toepassingen in het vervolgkeuzemenu om alle toepassingen toe te voegen.
Doelbestanden: de regel wordt alleen gebruikt als de bewerking betrekking heeft op dit doel. Selecteer Specifieke bestanden in het vervolgkeuzemenu en klik op Toevoegen om nieuwe bestanden of mappen toe te voegen of u kunt Alle bestanden in het vervolgkeuzemenu selecteren om alle bestanden toe te voegen.
Toepassingen: de regel wordt alleen gebruikt als de bewerking betrekking heeft op dit doel. Selecteer Bepaalde toepassingen in het vervolgkeuzemenu en klik op Toevoegen om nieuwe bestanden of mappen toe te voegen of selecteer Alle toepassingen in het vervolgkeuzemenu om alle toepassingen toe te voegen.
Registervermeldingen: de regel wordt alleen gebruikt als de bewerking betrekking heeft op dit doel. Selecteer Bepaalde vermeldingen in het vervolgkeuzemenu en klik op Toevoegen om de vermelding handmatig in te voeren, of klik op Register-editor openen om een sleutel in het Register te selecteren. U kunt ook Alle vermeldingen in het vervolgkeuzemenu selecteren om alle toepassingen toe te voegen.
Sommige bewerkingen van specifieke regels die vooraf zijn gedefinieerd door HIPS kunnen niet worden geblokkeerd en worden standaard toegestaan. Bovendien worden niet alle systeembewerkingen door HIPS gecontroleerd. HIPS controleert bewerkingen die als onveilig worden beschouwd. |
Beschrijving van belangrijke bewerkingen:
Bestandsbewerkingen
•Bestand verwijderen: de toepassing vraagt om toestemming om het doelbestand te verwijderen.
•Schrijven naar bestand: de toepassing vraagt om toestemming om te schrijven in het doelbestand.
•Rechtstreeks toegang tot schijf: de toepassing probeert te lezen van of te schrijven naar de schijf op een manier die niet standaard is, waarmee de gebruikelijke Windows-procedures worden omzeild. Dit kan resulteren in bestanden die worden gewijzigd zonder toepassing van de overeenkomende regels. Deze bewerking kan worden veroorzaakt door een malware die detectie probeert te omzeilen, back-upsoftware die probeert een exacte kopie van een schijf te maken of partitiebeheer dat probeert schijfvolumes te reorganiseren.
•Algemene hook installeren: verwijst naar het aanroepen van de functie SetWindowsHookEx van de MSDN-bibliotheek.
•Stuurprogramma laden: voor het installeren en laden van stuurprogramma's in het systeem.
Toepassingsbewerkingen
•Een andere toepassing debuggen: hiermee kunt u een foutopsporingsprogramma aan het proces koppelen. Terwijl fouten worden opgespoord in een toepassing, kunt u veel details van het gedrag weergeven en wijzigen en kunt u gegevens openen.
•Gebeurtenissen van een andere toepassing onderscheppen: de brontoepassing probeert gebeurtenissen te detecteren die zijn gericht op een bepaalde toepassing (bijvoorbeeld een keylogger die probeert browsergebeurtenissen te detecteren).
•Een andere toepassing afsluiten/onderbreken: stelt een proces uit of hervat of beëindigt een proces (deze optie is direct toegankelijk vanuit de procesverkenner of het venster Processen).
•Nieuwe toepassing starten: hiermee worden nieuwe toepassingen of processen gestart.
•Status van een andere toepassing wijzigen: de brontoepassing probeert te schrijven naar het geheugen van de doeltoepassing of probeert code namens de toepassing uit te voeren. Deze functie kan handig zijn om een essentiële toepassing te beschermen door deze als een doeltoepassing te configureren in een regel waarmee het gebruik van deze bewerking wordt geblokkeerd.
Registerbewerkingen
•Status van een andere toepassing wijzigen: wijzigingen in instellingen die bepalen welke toepassingen zullen worden uitgevoerd tijdens het opstarten van Windows. Deze vindt u bijvoorbeeld door te zoeken naar de sleutel Run in het Windows-register.
•Uit register verwijderen: hiermee kunt u een registersleutel of de waarde ervan verwijderen.
•Naam van registersleutel bewerken: hiermee kunt u registersleutels een andere naam geven.
•Register wijzigen: nieuwe waarden van registersleutels maken, bestaande waarden wijzigen, gegevens verplaatsen in de databasestructuur of gebruikers- of groepsrechten instellen voor registersleutels.
U kunt met bepaalde beperkingen gebruikmaken van jokertekens wanneer u een doel invoert. In plaats van een specifieke sleutel kan het symbool * (asterisk) worden gebruikt in registerpaden. HKEY_USERS\*\software kan bijvoorbeeld HKEY_USER\.default\software betekenen, maar niet HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* is geen geldig registersleutelpad. Een registersleutelpad dat \* bevat, definieert "dit pad of elk ander pad op elk niveau na dat symbool". Dit is de enige manier waarop jokertekens voor bestandsdoelen worden gebruikt. Eerst wordt het specifieke onderdeel van een pad geëvalueerd en vervolgens het pad na het jokerteken (*). |
Als u een heel algemene regel maakt, wordt de waarschuwing over dit type regel weergegeven. |
In het volgende voorbeeld laten we zien hoe u ongewenst gedrag van een bepaalde toepassing kunt beperken:
1.Geef de regel een naam en selecteer Blokkeren (of Vragen als u later een keuze wilt maken) in het vervolgkeuzemenu Actie.
2.Zet de schakelaar naast Gebruiker informeren aan als u wilt dat er een melding wordt weergegeven wanneer er een regel wordt toegepast.
3.Selecteer in het gedeelte Bewerkingen die gevolgen hebben voor minimaal één bewerking waarvoor de regel wordt toegepast.
4.Klik op Volgende.
5.Selecteer in het venster Brontoepassingen de optie Bepaalde toepassingen in het vervolgkeuzemenu om uw nieuwe regel toe te passen op alle toepassingen die een van de geselecteerde bewerkingen op alle opgegeven toepassingen proberen uit te voeren.
6.Klik op Toevoegen en vervolgens op ... om een pad te kiezen naar een bepaalde toepassing. Druk vervolgens op OK. Voeg desgewenst meer toepassingen toe.
Bijvoorbeeld: C:\Program Files (x86)\Untrusted application\application.exe
7.Selecteer de bewerking Schrijven naar bestand.
8.Selecteer Alle bestanden in het vervolgkeuzemenu. Hiermee worden alle pogingen door de in de vorige stap geselecteerde toepassing(en) geblokkeerd om naar bestanden te schrijven.
9.Klik op Voltooien om uw nieuwe regel op te slaan.