HIPS-i reegli sätted
Esiteks vt HIPS-i reeglite haldus.
Reegli nimi – kasutaja määratud või automaatselt valitud reegli nimi.
Toiming – määrab toimingu (Luba, Tõkesta või Küsi), mida tuleks tingimuste täitmisel teha.
Mõjutatud toimingud – peate valima toimingu tüübi, millele reegel kehtestatakse. Reeglit kasutatakse ainult seda tüüpi toimingu ja valitud sihtmärgi jaoks.
Lubatud – keelake see lüliti, kui soovite reeglit loendis hoida, kuid ei soovi seda kehtestada.
Logi tõsidus– kui aktiveerite selle suvandi, kirjutatakse selle reegli kohta käiv teave HIPS-i logisse.
Teavita kasutajat – sündmuse käivitumise korral kuvatakse paremas allnurgas teatis.
Reegel koosneb osadest, mis kirjeldavad seda reeglit käivitavaid tingimusi.
Lähterakendused –reeglit kasutatakse ainult siis, kui see rakendus / need rakendused sündmuse käivitavad. Valige rippmenüüst suvand Kindlad rakendused ja klõpsake uute failide või kaustade lisamiseks nuppu Lisa või valige kõikide rakenduste lisamiseks rippmenüüst suvand Kõik rakendused.
Sihtfailid – reeglit kasutatakse ainult siis, kui toiming on seotud selle sihtmärgiga. Valige rippmenüüst suvand Kindlad failid ja klõpsake uute failide või kaustade lisamiseks nuppu Lisa või valige kõikide failide lisamiseks rippmenüüst suvand Kõik failid.
Rakendused – reeglit kasutatakse ainult siis, kui toiming on seotud selle sihtmärgiga. Valige rippmenüüst suvand Kindlad rakendused ja klõpsake uute failide või kaustade lisamiseks nuppu Lisa või valige kõikide rakenduste lisamiseks rippmenüüst suvand Kõik rakendused.
Registrikirjed – reeglit kasutatakse ainult siis, kui toiming on seotud selle sihtmärgiga. Valige rippmenüüst suvand Kindlad kirjed ja klõpsake uute failide või kaustade lisamiseks nuppu Lisa või valige kõikide rakenduste lisamiseks rippmenüüst suvand Kõik kirjed.
Mõnda HIPS-i eelmääratud reegli toimingut ei saa tõkestada ja see on vaikimisi lubatud. Peale selle ei jälgi HIPS kõiki süsteemitoiminguid. HIPS jälgib toiminguid, mida võidakse pidada ebaturvaliseks. |
Tee määratlemisel arvestage, et C:\example mõjutab toiminguid kausta endaga ja C:\example*.* mõjutab kaustas asuvaid faile. |
Rakenduste toimingud
- Muu rakenduse silumine – siluja lisamine protsessile. Rakenduse silumisel saab vaadata ja muuta selle paljusid käitumise üksikasju ning võimalik on ka juurdepääs selle andmetele.
- Sündmuste ülevõtmine muust rakendusest – lähterakendus püüab tabada sündmusi, mille sihtmärgiks on konkreetne rakendus (nt klahvinuhk üritab tabada brauseri sündmusi).
- Muu rakenduse katkestamine/peatamine – protsessi peatamine, jätkamine või katkestamine (pääseb juurde ka Process Exploreri või protsesside paani kaudu).
- Uue rakenduse käivitamine – uue rakenduse või protsessi käivitamine.
- Muu rakenduse oleku muutmine – lähterakendus püüab kirjutada sihtrakenduse mällu või käitada selle nimel mõnd koodi. See funktsioon võib olla kasulik, kui soovite kaitsta mõnd olulist rakendust, määrates selle sihtrakenduseks reeglis, mis tõkestab asjaomase toimingu kasutamist.
Registritoimingud
- Muuda käivitussätteid – mis tahes muudatused sätetes, mis määravad, millised rakendused käivitatakse Windowsi käivitumisel. Nende otsimiseks saate kasutada Windowsi registris näiteks märksõna Run (käivita).
- Registrist kustutamine – registrivõtme või selle väärtuse kustutamine.
- Nimeta registrivõti ümber – registrivõtmete ümbernimetamine.
- Registri muutmine – registrivõtmete uute väärtuste loomine, olemasolevate väärtuste muutmine, andmete teisaldamine andmebaasipuus või kasutaja- või rühmaõiguste määramine registrivõtmetele.
Metamärkide kasutamine reeglites Tärni saab reeglites kasutada ainult kindla võtme asendamiseks, näiteks „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start“. Metamärkide muul viisil kasutamine ei ole toetatud. Reeglite loomine kasutades sihtmärgina võtit HKEY_CURRENT_USER See võti on kõigest link vastavale HKEY_USERS allvõtmele, mis on omane SID-i (turvalise identifikaatori) identifitseeritud kasutajale. Ainult praegusele kasutajale reegli loomiseks kasutage HKEY_CURRENT_USER tee asemel teed, mis osutab asukohale HKEY_USERS\%SID%. SID-i asemel saate kasutada tärni, et muuta reegel kõikidele kasutajatele kohaldatavaks. |
Kui loote väga üldise reegli, kuvatakse seda tüüpi reegli kohta hoiatus. |
Järgmises näites demonstreerime, kuidas piirata kindla rakenduse soovimatut käitumist.
- Määrake reeglile nimi ja valige rippmenüüs Toiming suvand Tõkesta (või Küsi, kui eelistate hiljem otsustada).
- Lubage säte Teavita kasutajat, et kuvada teavitus iga kord, kui reeglit rakendatakse.
- Valige vähemalt üks toiming jaotisest Mõjutatud toimingud, mille puhul tuleb reeglit rakendada.
- Klõpsake nuppu Järgmine.
- Tehke akna Lähterakendused rippmenüüs valik Kindlad rakendused, et rakendada uus reegel kõigile rakendustele, mis püüavad teie määratud rakendustel teha mis tahes valitud rakendusetoiminguid.
- Klõpsake nuppu Lisa ja seejärel valikut ..., et valida kindla rakenduse failitee, ja seejärel vajutage nuppu OK. Soovi korral võite lisada rohkem rakendusi.
Näide: C:\Program Files (x86)\Untrusted application\application.exe - Valige toiming Kirjuta faili.
- Valige rippmenüüst Kõik failid. See blokeerib eelmises etapis valitud rakendus(te) katsed kirjutada mis tahes faili.
- Uue reegli salvestamiseks klõpsake nuppu Lõpeta.