Nastavenie pravidiel HIPS

Skôr ako začnete nastavovať pravidlá HIPS, prečítajte si kapitolu Manažment pravidiel HIPS.

Názov pravidla – názov zadaný používateľom alebo automaticky zvolený názov pravidla.

Akcia – špecifikuje akciu (Povoliť, Blokovať alebo Spýtať sa), ktorá sa vykoná, ak budú splnené podmienky pravidla.

Ovplyvnené operácie – vyberte typ operácií, pre ktoré bude pravidlo aplikované. Pravidlo sa uplatní len pre tento typ operácie a pre zvolený cieľ.

Zapnuté – deaktivujte túto možnosť, ak pravidlo nechcete používať, no želáte si ho ponechať v zozname.

Závažnosť zapisovania do protokolu – ak aktivujete túto možnosť, budú informácie o danom pravidle zapisované do protokolu HIPS.

Upozorniť používateľa – po každej zodpovedajúcej udalosti sa v pravom dolnom rohu automaticky otvorí malé informačné okno.

 

Pravidlo pozostáva z častí, ktoré popisujú podmienky, za ktorých sa pravidlo spustí:

Zdrojové aplikácie – pravidlo sa uplatní len v prípade, že udalosť vyvolajú vybrané aplikácie. Ak chcete vybrať určité aplikácie, z roletového menu zvoľte Konkrétne aplikácie a kliknite na Pridať. Ak chcete pridať všetky aplikácie, z roletového menu vyberte Všetky aplikácie.

Cieľové súbory – pravidlo sa uplatní len v prípade, že sa operácia týka vybraného cieľa. Ak chcete vybrať určité súbory alebo priečinky, z roletového menu zvoľte Konkrétne súbory a kliknite na Pridať. Ak chcete pridať všetky súbory, z roletového menu vyberte Všetky súbory.

Aplikácie – pravidlo sa uplatní len v prípade, že sa operácia týka vybraného cieľa. Ak chcete pridať určité aplikácie, z roletového menu zvoľte Konkrétne aplikácie a kliknite na Pridať. Ak chcete pridať všetky aplikácie, z roletového menu vyberte Všetky aplikácie.

Položky databázy Registry – pravidlo sa uplatní len v prípade, že sa operácia týka vybraného cieľa. Z roletového menu zvoľte Konkrétne položky a kliknite na Pridať pre pridanie jednotlivých kľúčov databázy Registry. Ak chcete pridať všetky kľúče, vyberte z roletového menu Všetky položky.

note

Poznámka

Niektoré operácie špecifických pravidiel prednastavených modulom HIPS nemôžu byť zablokované a sú na základe predvolených nastavení povolené. Rovnako platí, že HIPS nemonitoruje všetky systémové operácie. HIPS monitoruje tie operácie, ktoré môžu byť nebezpečné.

Popis dôležitých operácií:

Súborové operácie

Vymazať súbor – aplikácia žiada o povolenie zmazať cieľový súbor.

Zapísať do súboru – aplikácia žiada o povolenie zapisovať do cieľového súboru.

Priamy prístup na disk – aplikácia sa snaží čítať z disku alebo naň zapisovať neštandardným spôsobom, ktorý obchádza bežné procesy Windows. Výsledkom môže byť zmena súboru bez aplikovania príslušného pravidla. Táto operácia môže byť spôsobená škodlivým kódom, ktorý sa snaží vyhnúť detekcii, zálohovacím programom, ktorý kopíruje celý obsah pevného disku, alebo správcom partícií, ktorý reorganizuje diskové partície.

Nainštalovať globálny hook – volanie funkcie SetWindowsHookEx z knižnice MSDN pomocou danej aplikácie.

Načítať ovládač – inštalácia a načítanie ovládača do systému.

note

Poznámka

Pri zadaní cesty C:\example sa pravidlo aplikuje na akcie súvisiace s priečinkom. Zadaním C:\example*.* aplikujete pravidlo na všetky súbory v priečinku.

Aplikačné operácie

Ladiť inú aplikáciu – pripojí ladiaci nástroj (debugger) k procesu. Pri ladení aplikácie sa dá pozorovať alebo meniť jej správanie. Tiež je možné pristupovať k jej dátam.

Zachytávať udalosti inej aplikácie – zdrojová aplikácia sa pokúša zachytiť udalosti cieľovej aplikácie (napríklad, ak sa keylogger snaží zachytiť aktivitu webového prehliadača).

Ukončiť/pozastaviť inú aplikáciu – pozastavenie, obnovenie alebo ukončenie procesu (môže byť vyvolané priamo cez Process Explorer alebo zo záložky Procesy).

Spustiť novú aplikáciu – spustenie novej aplikácie alebo procesu.

Zmeniť stav inej aplikácie – zdrojová aplikácia sa pokúša zapisovať do pamäte cieľovej aplikácie, prípadne sa snaží spustiť kód v jej mene. Táto funkcionalita je užitočná na ochranu dôležitej aplikácie, ak ju nastavíte ako cieľovú aplikáciu pri pravidle, ktoré blokuje tieto operácie.

note

Poznámka

Na 64-bitových operačných systémoch Windows XP nie je možné zachytávať operácie jednotlivých aplikácií.

Operácie s databázou Registry

Zmena nastavení spustenia – všetky zmeny v nastaveniach definujúcich, ktoré aplikácie budú spúšťané pri štarte operačného systému Windows. Tieto možno vyhľadať napríklad zadaním kľúča Run do vyhľadávania v databáze Registry systému Windows.

Vymazanie z databázy Registry – zmazanie kľúča alebo hodnoty v danom kľúči.

Premenovanie kľúča databázy Registry – premenovanie konkrétneho kľúča.

Úprava v databáze Registry – vytváranie nových hodnôt kľúčov alebo zmena dát asociovaných s hodnotou, zmena umiestnenia dát v rámci stromu databázy a nastavovanie používateľských alebo skupinových práv daného kľúča.

note

Poznámka

Použitie zástupných znakov v pravidlách

Hviezdičku je možné v pravidlách použiť len na nahradenie konkrétneho kľúča, napr. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start. Iné spôsoby využitia zástupných znakov nie sú podporované.

Vytváranie pravidiel s kľúčom HKEY_CURRENT_USER

Tento kľúč je len odkazom na príslušný podkľúč v rámci HKEY_USERS, ktorý prislúcha konkrétnemu používateľovi podľa identifikátora SID. Ak chcete vytvoriť pravidlo len pre aktuálneho používateľa, namiesto cesty k HKEY_CURRENT_USER použite cestu k HKEY_USERS\%SID%. Ako SID môžete použiť hviezdičku, čím docielite, aby sa pravidlo aplikovalo na všetkých používateľov.

warning

Upozornenie

Ak vytvoríte príliš všeobecné pravidlo, zobrazí sa príslušné upozornenie.

V nasledujúcom príklade si ukážeme, ako obmedziť neželané správanie konkrétnej aplikácie:

1.Zadajte názov pravidla a vyberte možnosť Blokovať (alebo Spýtať sa, ak si želáte vybrať akciu neskôr) z roletového menu Akcia.

2.Zvoľte možnosť Upozorniť používateľa pre zobrazenie upozornenia v prípade, že sa pravidlo použije.

3.Vyberte aspoň jednu operáciu v sekcii Ovplyvnené operácie, pre ktorú bude pravidlo aplikované.

4.Kliknite na Ďalej.

5.V okne Zdrojové aplikácie vyberte z roletového menu možnosť Všetky aplikácie, aby sa nové pravidlo uplatnilo pre všetky aplikácie, ktoré sa pokúšajú vykonať jednu zo zvolených operácií na vami vybraných aplikáciách.

6.Kliknite na Pridať, pomocou ... následne vyberte cestu ku konkrétnej aplikácii a kliknite na OK. V prípade potreby pridajte ďalšie aplikácie.
Napríklad: C:\Program Files (x86)\Untrusted application\application.exe

7.Vyberte operáciu Zapísať do súboru.

8.Z roletového menu vyberte možnosť Všetky súbory. Týmto sa zablokujú akékoľvek pokusy o zápis do súborov aplikáciou zvolenou v predchádzajúcom kroku.

9.Kliknite na Dokončiť pre uloženie pravidla.

CONFIG_HIPS_RULES_EXAMPLE