Postavke HIPS pravila
Pogledajte najpre Upravljanje HIPS pravilima.
Ime pravila – Korisnički definisano ili automatski izabrano ime pravila.
Radnja – Navodi radnju – Dozvoli, Blokiraj ili Pitaj – koja će biti izvršena ako se ispune uslovi.
Operacije koje utiču – Morate da izaberete tip operacije za koju će se primeniti pravilo. Pravilo će se koristiti samo za ovaj tip operacije i za izabrani cilj.
Aktivirano – Deaktivirajte prekidač ako želite da zadržite pravilo na listi, ali ne želite da ga primenite.
Nivo ozbiljnosti evidentiranja – Ako aktivirate ovu opciju, informacije o ovom pravilu se upisuju u HIPS evidenciju.
Obavesti korisnika – U slučaju pokretanja događaja, u donjem desnom uglu se prikazuje obaveštenje.
Pravilo se sastoji iz delova koji opisuju uslove koji pokreću ovo pravilo:
Izvorne aplikacije– Pravilo se koristi samo ako su ove aplikacije pokrenule događaj. Izaberite Određene aplikacije u padajućem meniju i kliknite na opciju Dodaj da biste dodali nove datoteke, a možete i da izaberete Sve aplikacije u padajućem meniju da biste dodali sve aplikacije.
Ciljne datoteke – Pravilo se koristi samo ako je operacija povezana sa ovim ciljem. Izaberite Određene datoteke u padajućem meniju i kliknite na opciju Dodaj da biste dodali nove datoteke ili fascikle, a možete i da izaberete Sve datoteke u padajućem meniju da biste dodali sve datoteke.
Aplikacije – Pravilo se koristi samo ako je operacija povezana sa ovim ciljem. Izaberite Određene aplikacije u padajućem meniju i kliknite na opciju Dodaj da biste dodali nove datoteke ili fascikle, a možete i da izaberete Sve aplikacije u padajućem meniju da biste dodali sve aplikacije.
Stavke registra – Pravilo se koristi samo ako je operacija povezana sa ovim ciljem. Izaberite Određene stavke u padajućem meniju i kliknite na opciju Dodaj da biste dodali nove datoteke ili fascikle, a možete i da izaberete Sve stavke u padajućem meniju da biste dodali sve aplikacije.
Pojedine operacije ili posebna pravila koja je prethodno definisao HIPS ne mogu da se blokiraju i podrazumevano su dozvoljena. Pored toga, HIPS ne nadgleda sve sistemske operacije. HIPS nadgleda operacije koje se smatraju nebezbednim. |
Kada definišete putanju, C:\example utiče na radnje sa fasciklom i C:\example*.* utiče na datoteke u fascikli. |
Operacije aplikacija
- Otklanjanje grešaka druge aplikacije – Procesu se dodaje program za otklanjanje grešaka. Prilikom otklanjanja grešaka aplikacije možete da vidite mnoge detalje njenog ponašanja, da ih izmenite i možete da pristupite njenim podacima.
- Presretanje događaja iz druge aplikacije – Izvorna aplikacija pokušava da zabeleži događaje namenjene za određenu aplikaciju (na primer, program za krađu lozinki pokušava da zabeleži događaje pregledača).
- Obustava/suspendovanje druge aplikacije – Suspendovanje, nastavljanje ili obustava procesa (pristup je moguć direktno iz aplikacija Process Explorer ili iz okna „Procesi“).
- Pokretanje nove aplikacije – Pokretanje novih aplikacija ili procesa.
- Izmena stanja druge aplikacije – Izvorna aplikacija pokušava da izvrši upisivanje u memoriju ciljne aplikacije ili da umesto nje pokrene kôd. Ova funkcionalnost može da bude korisna u zaštiti važne aplikacije i to tako što se ona konfiguriše kao ciljna aplikacija u pravilu koje blokira upotrebu ove operacije.
Operacije registra
- Izmena postavki pokretanja – Bilo kakva promena u postavkama koja definiše koje aplikacije se pokreću prilikom pokretanja operativnog sistema Windows. Njih možete da pronađete, na primer, ako pretražite ključ Run u okviru Windows registra.
- Brisanje iz registra – Brisanje ključa registra ili njegove vrednosti.
- Promena imena ključa registra – Promena imena ključeva registra.
- Izmena registra – Kreiranje novih vrednosti ključeva registra, promena postojećih vrednosti, premeštanje podataka u okviru stabla baze podataka ili postavljanje prava grupe za ključeve registra.
Korišćenje džoker znakova u pravilima Zvezdica u pravilima može da se koristi samo da bi zamenila određeni ključ, npr. „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start“. Drugi načini korišćenja džokera nisu podržani. Kreiranje pravila koja ciljaju ključ HKEY_CURRENT_USER Ovaj ključ je samo veza do odgovarajućeg potključa HKEY_USERS, koji je specifičan za korisnika kojeg identifikuje SID (eng. „secure identifier“ – bezbedni identifikator). Da biste kreirali pravilo samo za aktuelnog korisnika, umesto da koristite putanju za HKEY_CURRENT_USER, upotrebite putanju koja vodi do HKEY_USERS\%SID%. Kao vrednost za SID možete da upotrebite zvezdicu da bi se pravilo primenjivalo na sve korisnike. |
Ako kreirate veoma generičko pravilo, prikazaće se upozorenje o ovom tipu pravila. |
U sledećem primeru pokazaćemo vam kako da ograničite neželjeno ponašanje određene aplikacije:
- Imenujte pravilo i izaberite Blokiraj (ili Pitaj ako želite da odaberete kasnije) u padajućem meniju Radnja.
- Aktivirajte prekidač Obavesti korisnika da bi se prikazalo obaveštenje svaki put kada se primeni pravilo.
- Izaberite najmanje jednu operaciju u odeljku Operacije koje utiču na koju će se primeniti pravilo.
- Kliknite na dugme Dalje.
- U prozoru Izvorne aplikacije izaberite opciju Određene aplikacije u padajućem meniju da biste primenili novo pravilo na sve aplikacije koje pokušaju da izvrše bilo koju od izabranih operacija za aplikacije na aplikacijama koje ste odredili.
- Kliknite na dugme Dodaj, potom na ... da biste odabrali putanju do određene aplikacije, a zatim pritisnite dugme U redu. Ako želite, dodajte više aplikacija.
Na primer: C:\Program Files (x86)\Untrusted application\application.exe - Izaberite operaciju Pisanje u datoteku.
- Izaberite opciju Sve datoteke u padajućem meniju. Time ćete blokirati svaki pokušaj izabranih aplikacija iz prethodnog koraka da pišu u datoteke.
- Kliknite na dugme Završi da biste sačuvali novo pravilo.