Innstillinger for HIPS-regel

Se HIPS-regelbehandling først.

Regelnavn – Brukerdefinert eller automatisk valgt regelnavn.

Handling – Angir en handling – Tillat, Blokker eller Spør – som bør utføres hvis vilkårene stemmer.

Operasjoner som påvirker – Du må velge type operasjon som regelen gjelder for. Regelen vil bare bli brukt til denne typen operasjoner og til valgt mål.

Aktivert – Deaktiver denne bryteren hvis du ønsker å beholde regelen i listen, men ikke ønsker å bruke den.

Loggfører alvorsgrad – Hvis du aktiverer dette alternativet, vil informasjon om denne regelen bli skrevet til HIPS-loggen.

Varsle bruker – Et lite popup-vindu vises i nederste høyre hjørne hvis en hendelse utløses.

 

Regelen består av deler som beskriver forholdene som utløser denne regelen:

Kildeprogrammer Regelen vil bare bli brukt hvis hendelsen blir utløst av dette programmet (programmene). Velg Bestemte programmer på rullegardinmenyen, og klikk Legg til for å legge til nye filer eller du kan velge Alle programmer på rullegardinmenyen for å legge til alle programmene.

Målrett filer – Regelen brukes bare hvis operasjonen er knyttet til dette målet. Velg Bestemte filer på rullegardinmenyen, og klikk Legg til for å legge til nye filer eller mapper, eller velg Alle filer på rullegardinmenyen for å legge til alle filer.

Programmer – Regelen vil bare bli brukt hvis operasjonen er knyttet til dette målet. Velg Bestemte programmer på rullgardinmenyen, og klikk Legg til for å legge til nye filer eller mapper, eller velg Alle programmer på rullgardinmenyen for å legge til alle programmene.

Registeroppføringer – Regelen vil bare bli brukt hvis operasjonen er knyttet til dette målet. Velg Bestemte oppføringer på rullegardinmenyen, og klikk Legg til for å legge til nye filer eller mapper, eller velg Alle oppføringer på rullegardinmenyen for å legge til alle programmene.


note

Enkelte operasjoner for bestemte regler som er forhåndsdefinert av HIPS, kan ikke blokkeres og er tillatt som standard. Dessuten overvåkes ikke alle systemoperasjoner av HIPS. HIPS overvåker operasjoner som kan betraktes som usikre.


note

Når du angir en bane, påvirker C:\example handlinger med selve mappen, mens C:\example*.* påvirker filene i mappen.

Programoperasjoner

Fjern feil fra et annet program – Legger ved et feilsøkingsprogram for prosessen. Mens du fjerner feil i et program, kan det være at mange sider ved dets atferd kan vises og modifiseres, og at dets data kan evalueres.

Fange opp hendelser fra et annet program – Kildeprogrammet prøver å fange opp hendelser som er rettet mot målprogrammet (for eksempel en tastelogger som prøver å fange opp hendelser i nettleseren).

Avslutt/stopp et annet program – Innstiller, gjenopptar eller avslutter en prosess (har tilgang direkte fra Process Explorer eller prosessruten).

Start nytt program – Oppstart av nye programmer eller prosesser.

Endre tilstanden til et annet program – Kildeprogrammet prøver å skrive inn i målprogrammets minne eller kjøre kode på dets vegne. Denne funksjonen kan være nyttig for å beskytte et viktig program, ved å konfigurere det som et målprogram i en regel som blokkerer bruken av denne operasjonen.


note

Det er ikke mulig å fange opp prosessoperasjoner på 64-biters versjon på Windows XP.

Registeroperasjoner

Endre oppstartsinnstillinger – Enhver endring i innstillinger som definerer hvilke programmer som skal kjøres ved oppstart av Windows. Disse kan man finne for eksempel ved å søke etter Run nøkkelen i Windows-registeret.

Slette fra register – Slette en registernøkkel eller dens verdi.

Gi nytt navn til registernøkkel – Gi nytt navn til registernøkler.

Endre register – Opprette nye verdier for registernøkler, endre eksisterende verdier, flytte data i databasetreet eller angi bruker- eller grupperettigheter for registernøkler.


note

Å bruke jokere i regler

En asterisk i regler kan kun bruker til å erstatte en spesifikk nøkkel, e.g. “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start”. Annen bruk av jokere støttes ikke.

Å skape regler rettet møt nøkkelen HKEY_CURRENT_USER

Denne nøkkelen er bare en kobling til den aktuelle subnøkkelen til HKEY_USERS spesifikk for brukeren identifisert av SID (sikker identifikator). For å opprette en regel bare for den nåværende brukeren, i stedet for å bruke en bane til HKEY_CURRENT_USER, bruk en bane som peker på HKEY_USERS \% SID%. Som SID kan du bruke en stjerne for å gjøre regelen gjeldende for alle brukere.


warning

Hvis du oppretter en veldig generell regel, vises advarselen om denne typen regel.

I følgende eksempel viser vi deg hvordan du kan begrense uønsket atferd for visse programmer:

1.Navngi regelen og velg Blokker (eller Spør dersom du ønsker å velge senere) fra rullegardinmenyen Handling.

2.Aktiver bryteren Varsle bruker for å vise en melding hver gang en regel brukes.

3.Velg minst én operasjon fra Operasjoner som påvirker-delen, som regelen gjelder for.

4.Klikk på Neste.

5.I vinduet Kildeprogrammer velger du Spesifikke programmer fra rullgardinmenyen for å bruke den nye regelen på alle programmer som prøver å utføre en av de merkede operasjonene i programmene du har spesifisert.

6.Klikk på Legg til og deretter på ... for å velge et spesifikt program, og trykk deretter på OK. Legg til flere programmer dersom du ønsker.
Eksempel: C:\Program Files (x86)\Untrusted application\application.exe

7.Velg Skriv til fil-operasjonen.

8.Velg Alle filer fra rullegardinmenyen. Dette blokkerer forsøk på å skrive til noen filer fra det/de valgte program(mene) i det forrige trinnet.

9.Klikk Fullfør for å lagre den nye regelen.

CONFIG_HIPS_RULES_EXAMPLE