Параметры правил HIPS
Сначала ознакомьтесь с разделом Правила HIPS.
Имя правила: указанное пользователем или автоматически выбранное имя правила.
Действие: правило задает действие (Разрешить, Блокировать или Запросить), которое должно быть выполнено при соблюдении условий.
Операции влияния: выберите тип операции, к которому будет применяться правило. Правило будет использоваться только для этого типа операции и для выбранного объекта.
Включено: отключите этот параметр, если правило нужно оставить в списке, но при этом не использовать его.
Журнал: если активировать этот параметр, информация об указанном правиле будет записываться в журнал HIPS.
Уведомить пользователя: если запускается событие, в правом нижнем углу экрана выводится небольшое всплывающее окно.
Правило состоит из частей, в которых описываются условия выполнения правила.
Исходные приложения: правило будет использоваться только в том случае, если событие вызывается этими приложениями. Выберите пункт Определенные приложения в раскрывающемся меню и нажмите кнопку Добавить, чтобы добавить новые файлы, или выберите пункт Все приложения, чтобы добавить все приложения.
Файлы: это правило будет использоваться, только если операция относится к данному целевому объекту. Выберите пункт Определенные файлы в раскрывающемся меню и нажмите кнопку Добавить, чтобы добавить новые файлы или папки, или выберите пункт Все файлы, чтобы добавить все файлы.
Приложения: это правило будет использоваться, только если операция относится к данному целевому объекту. Выберите пункт Определенные приложения в раскрывающемся меню и нажмите кнопку Добавить, чтобы добавить новые файлы или папки, или выберите пункт Все приложения, чтобы добавить все приложения.
Записи реестра: это правило будет использоваться, только если операция относится к данному целевому объекту. Выберите пункт Определенные записи в раскрывающемся меню и нажмите кнопку Добавить, чтобы добавить новые файлы или папки, или выберите пункт Все записи, чтобы добавить все приложения.
|
Примечание Некоторые операции определенных правил, предварительно заданных системой HIPS, невозможно заблокировать, и они разрешены по умолчанию. Кроме того, не все системные операции отслеживаются системой HIPS. Система HIPS отслеживает операции, которые могут считаться небезопасными. |
Описание важных операций
Операции с файлами
•Удалить файл: приложение запрашивает разрешение на удаление целевого файла.
•Выполнить запись в файл: приложение запрашивает разрешение на запись в целевой файл.
•Непосредственный доступ к диску: приложение пытается выполнить чтение с диска или запись на диск нестандартным образом, в обход стандартных алгоритмов Windows. Это может привести к изменению файлов без применения соответствующих правил. Эта операция может быть вызвана вредоносной программой, пытающейся избежать обнаружения, программным обеспечением резервного копирования, которое пытается создать точную копию диска, или диспетчером разделов, пытающимся реорганизовать тома диска.
•Установить глобальную ловушку: вызов функции SetWindowsHookEx из библиотеки MSDN.
•Загрузить драйвер: загрузка и установка драйверов в системе.
Операции с приложениями
•Выполнить отладку другого приложения: прикрепление отладчика к процессу. При отладке приложения можно просмотреть и изменить многие сведения о его поведении и получить доступ к его данным.
•Перехватывать события другого приложения: исходное приложение пытается записать события, направленные на другое приложение (например, клавиатурный шпион, пытающийся записать события браузера).
•Завершить/приостановить работу другого приложения: приостановка, возобновление или завершение процесса (можно получить доступ непосредственно из обозревателя процессов или панели «Процессы»).
•Запустить новое приложение: запуск новых приложений или процессов.
•Изменить состояние другого приложения: исходное приложение пытается осуществить запись в память целевого приложения или выполнить код от его имени. Эта функциональность может быть полезна для защиты важного приложения путем его настройки как целевого в правиле, блокирующем использование данной операции.
|
Примечание В 64-разрядных версиях Windows XP перехватывать операции процессов невозможно. |
Операции с реестром
•Изменить параметры запуска: любые изменения параметров, которые определяют, какие приложения будут выполнены при запуске ОС Windows. Их можно найти, например, выполнив поиск раздела Run в реестре Windows.
•Удалить из реестра: удаление раздела реестра или его значения.
•Переименовать раздел реестра: переименование разделов реестра.
•Изменить реестр: создание новых значений разделов реестра, изменение существующих значений, перемещение данных в древовидной структуре базы данных или настройка прав пользователя или группы для разделов реестра.
|
Примечание Использование подстановочных знаков в правилах Звездочка в правилах может использоваться только для замены конкретного ключа, например HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start. Другие способы использования подстановочных символов не поддерживаются. Создание правил для ключа HKEY_CURRENT_USER Этот ключ является лишь ссылкой на соответствующий подраздел HKEY_USERS, специфичный для пользователя, идентифицированного защищенным идентификатором (SID). Чтобы создать правило только для текущего пользователя, вместо того чтобы использовать путь к HKEY_CURRENT_USER, используйте путь, указывающий на HKEY_USERS\%SID%. В качестве SID можно использовать звездочку, чтобы сделать правило применимым для всех пользователей. |
|
Предупреждение Если созданное правило будет слишком общим, появится соответствующее предупреждение. |
В следующем примере будет показано, как ограничить нежелательное поведение конкретного приложения.
1.Присвойте правилу имя и выберите Блокировать (или Запросить, если вы хотите выбрать действие позже) в раскрывающемся меню Действие.
2.Активируйте переключатель Уведомить пользователя, чтобы уведомление отображалось при каждом применении правила.
3.Выберите хотя бы одну операцию в разделе Операции влияния, для которой будет применяться правило.
4.Нажмите кнопку Далее.
5.В окне Исходные приложения выберите в раскрывающемся списке вариант Определенные приложения. Новое правило будет применяться ко всем приложениям, которые будут пытаться выполнить любое из выбранных действий с указанными приложениями.
6.Нажмите кнопку Добавить и ..., чтобы выбрать путь к определенному приложению. Затем нажмите кнопку OK. При необходимости добавьте дополнительные приложения.
Например: C:\Program Files (x86)\Untrusted application\application.exe
7.Выберите операцию Выполнить запись в файл.
8.Выберите Все файлы в раскрывающемся меню. Это позволит заблокировать все попытки записи в файлы приложениями, которые были выбраны на предыдущем шаге.
9.Нажмите кнопку Готово, чтобы сохранить новое правило.
