HIPS-regelinställningar

Se HIPS regelbehandling först.

Regelnamn – användardefinierat eller automatiskt valt regelnamn.

Åtgärd – anger en åtgärd – Tillåt, Blockera eller Fråga – som utförs när villkoren uppfylls.

Åtgärder som påverkar – du måste välja typ av åtgärd för vilken regeln ska gälla. Regeln används endast för denna typ av åtgärd och för valt mål.

Aktiverad – avmarkera det här alternativet om du vill behålla regeln i listan men inte tillämpa den.

Loggar allvarlighet – aktivera det här alternativet för att skriva information om regeln till HIPS-loggen.

Meddela användare – ett litet popup-fönster öppnas i det nedre högra hörnet om en händelse utlöses.

 

Regeln består av delar som beskriver villkoren som utlöser denna regel:

Källprogram regeln används endast om händelsen utlöses av detta/dessa program. Välj Specifika program i listrutan och klicka på Lägg till om du vill lägga till nya filer, eller så kan du välja Alla program i listrutan om du vill lägga till alla program.

Målfiler – regeln används endast om åtgärden är relaterad till detta mål. Välj Specifika filer i listrutan och klicka på Lägg till om du vill lägga till nya filer eller mappar, eller så kan du välja Alla filer i listrutan om du vill lägga till alla filer.

Program – regeln används endast om åtgärden är relaterad till detta mål. Välj Specifika program i listrutan och klicka på Lägg till om du vill lägga till nya filer eller mappar, eller så kan du välja Alla program i listrutan om du vill lägga till alla program.

Registerposter – regeln används endast om åtgärden är relaterad till detta mål. Välj Specifika poster i listrutan och klicka på Lägg till om du vill lägga till nya filer eller mappar, eller så kan du välja Alla poster i listrutan om du vill lägga till alla program.


note

En det åtgärder i vissa regler fördefinierade av HIPS går inte att blockera och är tillåtna som standard. Inte alla systemåtgärder övervakas heller av HIPS. HIPS övervakar åtgärder som anses vara osäkra.


note

När du anger en sökväg påverkar C:\example åtgärder med själva mappen, medan C:\example*.* påverkar filerna i mappen.

Programåtgärder

Felsök ett annat program – koppla ett felsökningsprogram till processen. När programmet felsöks går det att visa och ändra detaljer i dess beteende och det går att få åtkomst till dess data.

Intervenera händelser från annat program – källprogrammet försöker att fånga händelser riktade till ett visst program (till exempel ett keylogger-program som försöker fånga webbläsarhändelser).

Avsluta/pausa annat program – pausar eller återupptar eller avslutar en process (åtkomst direkt från Process Explorer eller fönstret Processer).

Starta nytt program – starta nya program eller processer.

Ändra läge för annat program – källprogrammet försöker skriva till målprogrammets minne eller körningskod för dess räkning. Denna funktion är användbar för att skydda ett viktigt program genom att konfigurera det som ett målprogram i en regel som blockerar användning av denna åtgärd.


note

Det går inte att avbryta processåtgärder i 64-bitarssystem med Windows XP.

Registeråtgärder

Ändra startinställningar – ändringar i inställningar som definierar vilka program som körs när Windows startar. Dessa går till exempel att hitta genom att söka efter nyckeln Run i Windows register.

Ta bort från registret – tar bort en registernyckel eller dess värde.

Byt namn på registernyckel – byter namn på registernyckelarna.

Ändra register – skapar nya värden till registernycklar, ändrar befintliga värden, flyttar data i databasträdet eller ställer in användar- eller gruppbehörighet för registernycklar.


note

Använda jokertecken i regler

En asterisk i regler kan endast användas för att ersätta en viss nyckel, till exempel ”HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start”. Det går inte att använda jokertecken på något annat sätt.

Skapa regler med nyckeln HKEY_CURRENT_USER

Den här nyckeln är endast en länk till den lämpliga undernyckeln för HKEY_USERS specifik för användaren som har identifierats med SID (säker identifierare). För att kunna skapa en regel endast för den aktuella användaren kan en sökväg till HKEY_USERS\%SID% användas istället för en sökväg till HKEY_CURRENT_USER. Som SID går det att använda en asterisk för att göra regeln tillämplig för alla användare.


warning

Om du skapar en mycket generisk regel visas varningen om den här typen av regel.

I följande exempel visar vi hur oönskat beteende i ett visst program kan begränsas:

1.Namnge regeln och välj Blockera (eller Fråga om du föredrar att välja senare) från rullgardinsmenyn Åtgärd.

2.Aktivera alternativet Meddela användare för att visa ett meddelande när regeln tillämpas.

3.Välj minst en åtgärd för regeln i avsnittet Åtgärder som påverkar som regeln ska tillämpas på.

4.Klicka på Nästa.

5.I fönstret Källprogram väljer du Specifika program i listrutan om du vill tillämpa den nya regeln på alla program som försöker utföra någon av de valda programåtgärderna på de program du angett.

6.Klicka på Lägg till och sedan ... för att välja en sökväg till ett visst program och tryck sedan på OK. Lägg till fler program om du vill.
Till exempel: C:\Program Files (x86)\Untrusted application\application.exe

7.Välj åtgärden Skriv till fil.

8.Välj Alla filer i listrutan. Då blockeras alla försök att skriva till några filer av det eller de valda programmen från föregående steg.

9.Klicka på Slutför för att spara den nya regeln.

CONFIG_HIPS_RULES_EXAMPLE