Úprava pravidla HIPS
Nejprve si prosím pročtěte kapitolu Správa HIPS pravidel.
Název pravidla – uživatelský nebo automaticky zadaný název pravidla.
Akce – pravidlo specifikuje (právě jednu) akci – Povolit, Zablokovat, Dotázat se – která se má provést, pokud jsou všechny podmínky splněny.
Operace ovlivní – vyberte typ operace, pro kterou má být pravidlo platné. Konkrétní pravidlo je možné použít pouze pro jeden typ operace nad vybraným cílem.
Zapnuto – deaktivujte tuto možnost pomocí přepínače, pokud chcete ponechat pravidlo v seznamu, ale nepoužívat ho.
Zapsat do protokolu – pokud aktivujete tuto možnost, při aplikování pravidla se informace zapíše do protokolu HIPS.
Upozornit uživatele – pokud je spuštěna události, zobrazí se v pravém dolním rohu obrazovky oznámení.
Pravidlo se skládá z částí, které definují podmínky, za kterých se pravidlo uplatní.
Zdrojové aplikace – pravidlo se uplatní, pouze pokud událost vyvolají definované aplikace. Pro vybrání konkrétní aplikace klikněte v rozbalovacím menu na Přidat a vyberte jednotlivé soubory nebo klikněte na možnost Všechny aplikace pro výběr všech.
Cílové soubory – pravidlo se uplatní pouze v případě, kdy operace náleží cíli. Pro vybrání konkrétních souborů klikněte v rozbalovacím menu na možnost Přidat a vyberte jednotlivé soubory nebo složky nebo klikněte na Všechny soubory pro výběr všech.
Aplikace – pravidlo se uplatní, pouze pokud se operace provádí nad definovanými aplikacemi. Pro vybrání konkrétní aplikace klikněte v rozbalovacím menu na Přidat a vyberte jednotlivé soubory nebo složky nebo klikněte na možnost Všechny aplikace pro výběr všech.
Záznamy registru – pravidlo se uplatní, pouze pokud se operace provádí nad definovanými záznamy v registru. Pro vybrání konkrétních záznamů klikněte na tlačítko Přidat a vyberte jednotlivé klíče nebo hodnoty. Pro monitorování celého registru vyberte z rozbalovacího menu možnost Všechny záznamy.
Některé operace zvláštních pravidel předefinovaných systémem HIPS nemohou být zablokovány a standardně jsou povoleny. HIPS nemonitoruje všechny systémové operace. HIPS monitoruje operace, které mohou být považovány za nebezpečné. |
Při zadání cesty C:\example se pravidlo aplikuje na všechny akce související se složkou samotnou. Zadáním C:\example\*.* se pravidlo aplikuje na všechny soubory ve složce. |
Operace aplikace
- Ladění jiné aplikace – připojení debuggeru k procesu. Při debuggingu můžete sledovat a měnit chování aplikace a přistupovat k jejím datům.
- Zachytávat události jiné aplikace – zdrojová aplikace se pokouší zachytit události cílové aplikace (například pokud se keylogger snaží zachytit aktivitu webového prohlížeče).
- Ukončit/přerušit jinou aplikaci –pozastavení, obnovení nebo ukončení procesu (může být vyvoláno přímo ze Správce úloh nebo ze záložky Procesy).
- Spustit novou aplikaci – spuštění nové aplikace nebo procesu.
- Změnit stav jiné aplikace – zdrojová aplikace se pokouší zapisovat do paměti cílové aplikace, případně se snaží spustit kód pod jejím jménem. Tato funkce je užitečná pro ochranu důležité aplikace, pokud ji nastavíte jako cílovou aplikaci v pravidle, které blokuje tyto operace.
Operace se záznamy registru
- Úprava nastavení spuštění – všechny změny v nastavení, definující, které aplikace budou spouštěny při startu operačního systému Windows. Zobrazíte je například vyhledáním klíče Run v Editoru registru Windows
- Vymazání z registru – vymazání klíče nebo hodnoty.
- Přejmenování klíče registru – přejmenování konkrétního klíče.
- Úprava registru – vytvoření nové hodnoty nebo změna existujících hodnot. Přesouvání dat v rámci datové struktury. Nastavení uživatelských nebo skupinových práv pro dané klíče registru.
Použití zástupných znaků v pravidlech Hvězdičku můžete v pravidlech použít pouze jako náhradu konkrétního klíče, například "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start". Ostatní možnosti použití zástupných znaků nejsou podporovány. Vytvoření pravidla na klíč v HKEY_CURRENT_USER Tento klíč je pouze odkaz směřující na podklíč HKEY_USERS konkrétního uživatele reprezentovaný SID (secure identifier). Pro vytvoření pravidla pouze na aktuálního uživatele použijte místo HKEY_CURRENT_USER cestu směřující na HKEY_USERS\%SID%. Jako SID můžete použít také hvězdičku, a dojde k aplikování pravidla na všechny uživatele. |
Pokud vytvoříte příliš obecné pravidlo, program vás na to upozorní. |
Na následujícím příkladu si ukážeme, jak omezit nežádoucí chování aplikací:
- Zadejte název pravidla a z rozbalovacího menu Akce vyberte Blokovat (nebo Dotázat se, pokud se chcete při výskytu akce rozhodnout později).
- Zapněte možnost Upozornit uživatele pro zobrazení upozornění při každém aplikování pravidla.
- V části Operace ovlivní vyberte alespoň jednu operaci, pro kterou má pravidlo platit.
- Pokračujte kliknutím na tlačítko Další.
- V dialogovém okně Zdrojové aplikace vyberte možnost Konkrétní aplikace. Tím zajistíte, že vámi vytvářené pravidlo bude platné pouze pro konkrétní aplikace.
- Klikněte na tlačítko Přidat a …. Výběr cesty k aplikaci potvrďte kliknutím na tlačítko OK. V případě potřeby přidejte více aplikací.
Příklad: C:\Program Files (x86)\Untrusted application\application.exe - Jako operaci vyberte Zápis do souboru.
- V dalším kroku vyberte z rozbalovacího menu Všechny soubory. Tím zablokujete jakýkoli pokus definovaných aplikací o zápis do libovolného souboru.
- Vytvoření nového pravidla potvrdíte kliknutím na tlačítko OK.