Настройки на правило за HIPS

Първо вижте Управление на правилата за HIPS.

Име на правило – зададено от потребителя или автоматично избрано име на правило.

Действие – указва действието (Разреши, Блокирай или Питай), което трябва да бъде извършено, ако условията са изпълнени.

Повлияващи операции – трябва да изберете типа операции, за който ще се прилага правилото. Правилото ще се използва само за този тип операции и за избраната цел.

Разрешено – забранете този превключвател, ако искате да запазите правилото в списъка, но без да го прилагате.

Детайлност на регистрирането – ако активирате тази опция, информация за правилото ще се записва в дневника на HIPS.

Извести потребителя – ако е възникнало събитие, в долния десен ъгъл се появява малък изскачащ прозорец.

 

Правилото се състои от части, които описват условията, активиращи това правило:

Изходни приложения правилото ще се използва само ако събитието се активира от тези приложения. Изберете Определени приложения от падащото меню и щракнете върху Добавяне, за да добавите нови файлове или изберете Всички приложения от падащото меню, за да добавите всички приложения.

Целеви файлове – правилото ще се използва само ако операцията е свързана с тази цел. Изберете Определени файлове от падащото меню и щракнете върху Добавяне, за да добавите нови файлове или папки, или изберете Всички файлове от падащото меню, за да добавите всички файлове.

Приложения – правилото ще се използва само ако операцията е свързана с тази цел. Изберете Определени приложения от падащото меню и щракнете върху Добавяне, за да добавите нови файлове или папки, или изберете Всички приложения от падащото меню, за да добавите всички приложения.

Записи в регистър – правилото ще се използва само ако операцията е свързана с тази цел. Изберете Определени записи от падащото меню и щракнете върху Добавяне, за да добавите нови файлове или папки, или изберете Всички записи от падащото меню, за да добавите всички приложения.


note

Някои операции за специфични правила, определени предварително от HIPS, не може да бъдат блокирани и са разрешени по подразбиране. Освен това не всички системни операции се наблюдават от HIPS. HIPS наблюдава операциите, които могат да се сметнат за опасни.


note

Когато задавате път, C:\example засяга действията със самата папка, а C:\example*.* засяга файловете в папката.

Операции с приложения

Дебъгване на друго приложение – прикрепване на инструмент за дебъгване към процеса. Докато се дебъгва дадено приложение, много подробности за поведението му могат да се видят и променят, а данните му могат да се отворят.

Прихвани събития от друго приложение – изходното приложение се опитва да хване събития, насочени към определено приложение (например програма, регистрираща въведени символи, която се опитва да запише събития от браузъра).

Прекъсни/спри временно друго приложение – временно спиране, възстановяване или прекратяване на процес (има директен достъп от Process Explorer или от екрана с процеси).

Стартирай ново приложение – стартиране на нови приложения или процеси.

Промени състоянието на друго приложение – изходното приложение се опитва да записва в паметта на целевите приложения или да стартира код от негово име. Тази функция може да бъде полезна за защитата на основно приложение чрез конфигурирането му като целево приложение в правило, блокиращо използването на тази операция.


note

Не е възможно да се прихващат операции с процеси на 64-битовата версия на Windows XP.

Операции със системния регистър

Промяна на настройките за стартиране – всички промени в настройките, които определят кои приложения ще бъдат стартирани при стартирането на Windows. Те могат да се открият например чрез търсене на ключа Run в системния регистър на Windows.

Изтрий от системния регистър – изтриване на ключ в системния регистър или на негова стойност.

Преименувай ключа в системния регистър – преименуване на ключове в системния регистър.

Промени системния регистър – създават се нови стойности на ключове в системния регистър, местят се данни в дървовидната структура на базата данни или се настройват права за ключовете в системния регистър за даден потребител или група.


note

Използване на заместващи символи в правилата

Звездичка в правилата може да се използва само за заместване на конкретен ключ, напр. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start. Други начини за използване на заместващи символи не се поддържат.

Създаване на правила за ключ HKEY_CURRENT_USER

Този ключ е само връзка към съответния подключ на HKEY_USERS, специфичен за потребителя, идентифициран от SID (идентификатора за защита). За да създадете правило само за текущия потребител, вместо да използвате път към HKEY_CURRENT_USER, използвайте път, сочещ към HKEY_USERS\%SID%. Вместо SID можете да използвате звездичка, за да е приложимо правилото за всички потребители.


warning

Ако създадете много общо правило, ще бъде показано предупреждение за този тип правила.

В следващия пример ще демонстрираме как да ограничите нежеланото поведение на определено приложение:

1.Назовете правилото и изберете Блокирай (или Попитай, ако предпочитате да направите избор по-късно) от падащото меню Действие.

2.Разрешете превключвателя Извести потребителя за показване на известие при всяко прилагане на правило.

3.Изберете поне една операция в раздела Повлияващи операции, за която правилото ще бъде приложено.

4.Щракнете върху Напред.

5.В прозореца Изходни приложения изберете Определени приложения от падащото меню, за да приложите новото правило за всички приложения, които се опитат да извършат някоя от избраните операции с указаните от вас приложения.

6.Щракнете върху Добавяне, след което върху ..., за да изберете път до определено приложение и натиснете ОК. Добавете повече приложения, ако желаете.
Например: C:\Program Files (x86)\Untrusted application\application.exe

7.Изберете операцията Запис във файл.

8.Изберете Всички файлове от падащото меню. Това ще блокира всякакви опити за запис във всички файлове от избраното приложение(я) от предишната стъпка.

9.Щракнете върху Готово, за да запишете новото правило.

CONFIG_HIPS_RULES_EXAMPLE