HIPSルール設定

HIPSルール管理を参照してください。

ルール名 - ユーザーが定義したか、または自動選択されたルール名。

アクション - ルールは、条件が一致した場合に実行する必要のあるアクション、つまり[許可]、[拒否]、または[確認]を指定します。

動作影響 - ルールが適用される処理のタイプを選択する必要があります。ルールは、選択された[ターゲット]に対するこのタイプの操作に限り使用されます。

有効 - ルールをリスト内に置いたまま、適用しない場合にこのチェックボックスをオフにします。

ログ記録の重大度 - このオプションをオンにすると、このルールに関する情報がHIPSログに書き込まれます。

ユーザーに通知する - イベントが起動された場合に、小さいポップアップウィンドウが右下隅に表示されます。

 

ルールは、このルールの使用をトリガする条件を記述した部分で構成されます。

ソースアプリケーション - ルールは、このアプリケーションによってイベントが起動された場合のみ使用されます。ドロップダウンメニューから特定のアプリケーションを選択し、[追加]をクリックして、新しいファイルを選択します。あるいは、ドロップダウンメニューからすべてのアプリケーションを選択してすべてのアプリケーションを追加します。

ターゲットファイル- ルールは、操作がこのターゲットと関連する場合に限り使用されます。ドロップダウンメニューから特定のファイルを選択し、[追加]をクリックして、新しいファイルまたはフォルダを選択します。あるいは、ドロップダウンメニューからすべてのファイルを選択してすべてのファイルを追加します。

アプリケーション- ルールは、操作がこのターゲットと関連する場合に限り使用されます。ドロップダウンメニューから特定のアプリケーションを選択し、[追加]をクリックして、新しいファイルまたはフォルダを選択します。あるいは、ドロップダウンメニューからすべてのアプリケーションを選択してすべてのアプリケーションを追加します。

レジストリエントリ- ルールは、操作がこのターゲットと関連する場合に限り使用されます。ドロップダウンメニューから特定のエントリを選択し、[追加]をクリックして、新しいファイルまたはフォルダを選択します。あるいは、ドロップダウンメニューからすべてのエントリを選択してすべてのエントリを追加します。


note

HIPSで事前定義された特定のルールの操作にはブロックできないものがあり、既定で許可されています。さらに、システムの動作すべてがHIPSにより監視されているわけではありません。HIPSは、危険性があると考えられる動作を監視しています。


note

パスを指定すると、C:\exampleはフォルダー自体のアクションに影響し、C:\example*.*はフォルダーのファイルに影響します。

アプリケーション動作

別のアプリケーションのデバッグ - デバッガをプロセスにアタッチします。アプリケーションのデバッグ中にそのアプリケーションの動作のさまざまな詳細を表示して変更し、そのデータにアクセスできます。

別のアプリケーションからのイベントの取得 - ソースアプリケーションは、特定のアプリケーションを対象としたイベントを取得しようとします(キーロガーがブラウザのイベントのキャプチャを試みるなど)。

別のアプリケーションの終了/中断 - プロセスの中断、再開、終了(Process ExplorerまたはProcessesペインから直接アクセス可能)。

新規アプリケーションの開始 - 新しいアプリケーションまたはプロセスの開始。

別のアプリケーションの状態を変更 - ソースアプリケーションは、ターゲットアプリケーションのメモリに書き込もうとしているか、または代行でコードを実行しようとしています。この機能は、この動作の使用をブロックするルール中で、重要なアプリケーションをターゲットアプリケーションとして設定することによって保護するのに役立ちます。


note

64ビットバージョンのWindows XP上のプロセス操作をインターセプトすることはできません。

レジストリの操作

スタートアップ設定の変更 - 設定(Windows起動時に実行するアプリケーションの定義)の変更。これらは、たとえばWindowsレジストリのRunのキーを検索することによって見つけられます。

レジストリからの削除 - レジストリキーまたはその値の削除。

レジストリキー名の変更 - レジストリキーの名前の変更。

レジストリの変更 - レジストリキーの新しい値の作成、既存の値の変更、データベース ツリー内のデータの移動、またはレジストリキーのユーザー権限またはグループ権限の設定。


note

ルールでのワイルドカードの使用

ルールのアスタリスクは、「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start」のように、特定のキーを代入する目的でのみ使用できます。他のワイルドカードの使用方法はサポートされていません。

HKEY_CURRENT_USERキーを対象にしたルールの作成

このキーは、SID (セキュアID)で識別されたユーザー固有のHKEY_USERSの適切なサブキーへのリンクにすぎません。現在のユーザーのルールのみを作成するには、HKEY_CURRENT_USERへのパスを使用する代わりに、HKEY_USERS\%SID%を参照するパスを使用します。アスタリスクをSIDとして使用し、ルールをすべてのユーザーに適用することができます。


warning

非常に一般的なルールを作成すると、このタイプのルールに関する警告が表示されます。

次の例では、特定のアプリケーションの不要な動作を制限する方法を説明します。

1.ルールに名前を付けて、[アクション]ドロップダウンメニューから[ブロック](後から選択する場合)確認を選択します。

2.[ユーザーに通知]チェックボックスをチェックすると、ルールが適用されたときはいつでも通知が表示されます。

3.ルールが適用される1つ以上の処理を、影響する処理セクションで選択します。

4.次へをクリックします。

5.ソースアプリケーションウィンドウで、ドロップダウンメニューから特定のアプリケーションを選択し、指定したアプリケーションに対して選択したアプリケーション処理のいずれかを実行しようとするすべてのアプリケーションに、新しいルールを適用します。

6.追加をクリックして、...をクリックし、特定のアプリケーションへのパスを選択してから、OKを押します。必要に応じて、その他のアプリケーションを追加します。
例: C:\Program Files (x86)\Untrusted application\application.exe

7.ファイルへの書き込み処理を選択します。

8.ドロップダウンメニューからすべてのファイルを選択します。これにより、前の手順で選択したアプリケーションがファイルに書き込む試みをブロックします。

9.[完了]をクリックして新規ルールを保存します。

CONFIG_HIPS_RULES_EXAMPLE