Ayuda en línea de ESET

Búsqueda Español
Seleccione el tema

Configuración de regla de HIPS

En primer lugar, consulte Gestión de reglas de HIPS.

Nombre de la regla: nombre de la regla definido por el usuario o seleccionado automáticamente.

Acción: especifica la acción (Permitir, Bloquear o Preguntar) que debe realizarse si se cumplen las condiciones.

Operaciones afectadas: debe seleccionar el tipo de operación a la que se aplicará la regla. La regla solo se utilizará para este tipo de operación y para el destino seleccionado.

Activado: desactive esta barra deslizante si desea conservar la regla en la lista pero no aplicarla.

Registro de severidad: si activa esta opción, la información acerca de esta regla se anotará en el registro de HIPS.

Notificar al usuario: cuando se desencadena un suceso, aparece una notificación en la esquina inferior derecha.

La regla consta de partes que describen las condiciones que activan esta regla:

Aplicaciones de origen: la regla solo se utilizará si esta aplicación activa el suceso. Seleccione Aplicaciones específicas en el menú desplegable y haga clic en Agregar para agregar nuevos archivos o carpetas, o puede seleccionar Todas las aplicaciones en el menú desplegable para agregar todas las aplicaciones.

Archivos de destino: la regla solo se utilizará si la operación está relacionada con este destino. Seleccione Archivos específicos en el menú desplegable y haga clic en Agregar para agregar nuevos archivos o carpetas, o puede seleccionar Todos los archivos en el menú desplegable para agregar todas los archivos.

Aplicaciones: la regla solo se utilizará si la operación está relacionada con este destino. Seleccione Aplicaciones específicas en el menú desplegable y haga clic en Agregar para agregar nuevos archivos o carpetas, o puede seleccionar Todas las aplicaciones en el menú desplegable para agregar todas las aplicaciones.

Entradas del registro: la regla solo se utilizará si la operación está relacionada con este destino. Seleccione Entradas específicas en el menú desplegable y haga clic en Agregar para agregar nuevos archivos o carpetas, o puede seleccionar Todas las entradas en el menú desplegable para agregar todas las aplicaciones.


note

Algunas operaciones de reglas específicas predefinidas por HIPS no se pueden bloquear y se admiten de forma predeterminada. Además, HIPS no supervisa todas las operaciones del sistema. Sino que supervisa las operaciones que considera peligrosas.


note

Cuando se especifica una ruta de acceso, C:\example afecta a las acciones con la propia carpeta y C:\example\*.* afecta a los archivos de la carpeta.

Operaciones de la aplicación

  • Todas las operaciones de la aplicación: habilita todas las opciones que se enumeran a continuación.
  • Depurar otra aplicación: conexión de un depurador al proceso. Durante el proceso de depuración de una aplicación es posible ver y modificar muchos aspectos de su comportamiento, así como acceder a sus datos.
  • Interceptar sucesos de otra aplicación: la aplicación de origen está intentando capturar sucesos dirigidos a una aplicación concreta (por ejemplo un registrador de pulsaciones que intenta capturar sucesos del navegador).
  • Terminar/suspender otra aplicación: suspende, reanuda o termina un proceso (se puede acceder a esta operación directamente desde el Process Explorer o el panel Procesos).
  • Iniciar una aplicación nueva: inicia aplicaciones o procesos nuevos.
  • Modificar el estado de otra aplicación: la aplicación de origen está intentando escribir en la memoria de la aplicación de destino o ejecutar código en su nombre. Esta función puede ser de utilidad para proteger una aplicación fundamental mediante su configuración como aplicación de destino en una regla que bloquee el uso de esta operación.

Operaciones del registro

  • Modificar la configuración del inicio: cambios realizados en la configuración que definan las aplicaciones que se ejecutarán al iniciar Windows. Estos cambios se pueden buscar, por ejemplo, buscando la clave Run en el Registro de Windows.
  • Eliminar del registro: elimina una clave del registro o su valor.
  • Cambiar el nombre de la clave del registro: cambia el nombre de las claves del registro.
  • Modificar el registro: crea valores nuevos para las claves del registro, modifica los valores existentes, mueve los datos en el árbol de la base de datos o configura los permisos de usuarios y grupos en las claves del registro.

note

Uso de comodines en las reglas

En el caso de las reglas, el asterisco solo puede utilizarse para sustituir una clave específica, como por ejemplo "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start". El resto de uso de comodines no son compatibles.

Creación de reglas para la clave HKEY_CURRENT_USER

Esta clave no es más que un vínculo a la subclave de HKEY_USERS, que es específica para el usuario identificado por el SID (identificador seguro). Para crear una regla únicamente para el usuario actual, en lugar de utilizar una ruta de acceso a HKEY_CURRENT_USER, utilice una ruta de acceso que le dirija a HKEY_USERS\%SID%. Puede utilizar un asterisco en lugar de SID para aplicar la regla a todos los usuarios.


warning

Si crea una regla muy genérica, se mostrará una advertencia sobre este tipo de regla.

En el siguiente ejemplo, mostraremos cómo restringir comportamientos no deseados de una aplicación específica:

  1. Asigne un nombre a la regla y seleccione Bloquear (o Preguntar si prefiere decidir más tarde) en el menú desplegable Acción.
  2. Active el conmutador Advertir al usuario para mostrar una notificación siempre que se aplique una regla.
  3. Seleccione al menos una operación en la sección Operaciones afectadas a la que se le aplicará la regla.
  4. Haga clic en Siguiente.
  5. En la ventana Aplicaciones de origen, seleccione Aplicaciones específicas en el menú desplegable para aplicar la nueva regla a todas las aplicaciones que intenten realizar cualquiera de las operaciones de aplicación seleccionadas en las aplicaciones especificadas.
  6. Haga clic en Agregar y, a continuación, en para elegir una ruta de acceso de una aplicación específica y, a continuación, pulse Aceptar. Agregue más aplicaciones si lo prefiere.
    Por ejemplo: C:\Program Files (x86)\Untrusted application\application.exe
  7. Seleccione la operación Escribir en archivo.
  8. Seleccione Todos los archivos en el menú desplegable. Cuando una aplicación seleccionada en el paso anterior intente escribir en un archivo, se bloqueará dicho intento.
  9. Haga clic en Finalizar para guardar la nueva regla.

CONFIG_HIPS_RULES_EXAMPLE