การตั้งค่ากฎ HIPS

ดู การจัดการกฎ HIPS ก่อน

ชื่อกฎ – ชื่อกฎที่ผู้ใช้กำหนดหรือเลือกโดยอัตโนมัติ

การทำงาน – ระบุการทำงาน – อนุญาต ปิดกั้น หรือ ถาม – ที่ควรดำเนินการถ้าเป็นไปตามเงื่อนไข

การดำเนินการที่ได้ผล – คุณต้องเลือกประเภทของการดำเนินการที่กฎจะนำมาปรับใช้ ระบบจะใช้กฎนี้ำเฉพาะสำหรับการดำเนินการประเภทนี้เท่านั้นและสำหรับเป้าหมายที่เลือก

เปิดใช้งาน – ปิดใช้งานสวิตช์นี้ถ้าคุณต้องการคงกฎไว้ในรายการแต่ไม่ปรับใช้กฎนั้น

ความละเอียดของการบันทึก – ถ้าคุณเปิดใช้งานตัวเลือกนี้ ข้อมูลเกี่ยวกับกฎนี้จะถูกเขียนไปที่ บันทึก HIPS

แจ้งเตือนผู้ใช้ – หน้าต่างป๊อปอัปขนาดเล็กจะปรากฏที่มุมล่างขวาถ้ามีการเรียกเหตุการณ์

 

กฎประกอบด้วยส่วนต่างๆ ซึ่งจะอธิบายเงื่อนไขที่เรียกใช้งานกฎนี้:

แอพพลิเคชันที่มา ระบบจะใช้กฎนี้ก็ต่อเมื่อแอพพลิเคชันเรียกใช้เหตุการณ์ เลือก แอพพลิเคชันที่เจาะจง จากเมนูแบบเลื่อนลงและคลิก เพิ่ม เพื่อเพิ่มไฟล์ หรือคุณสามารถเลือก ทุกแอพพลิเคชัน จากเมนูแบบเลื่อนลงเพื่อเพิ่มแอพพลิเคชันทั้งหมด

ไฟล์เป้าหมาย – ระบบจะใช้กฎนี้ก็ต่อเมื่อการดำเนินการเกี่ยวข้องกับเป้าหมายนี้ เลือก ไฟล์ที่เจาะจง จากเมนูแบบเลื่อนลงและคลิก เพิ่ม เพื่อเพิ่มไฟล์หรือโฟลเดอร์ใหม่ หรือคุณสามารถเลือก ไฟล์ทั้งหมด จากเมนูแบบเลื่อนลงเพื่อเพิ่มไฟล์ทั้งหมด

แอพพลิเคชัน – ระบบจะใช้กฎนี้ก็ต่อเมื่อการดำเนินการเกี่ยวข้องกับเป้าหมายนี้ เลือก แอพพลิเคชันที่เจาะจง จากเมนูแบบเลื่อนลงและคลิก เพิ่ม เพื่อเพิ่มไฟล์หรือโฟลเดอร์ใหม่ หรือคุณสามารถเลือก ทุกแอพพลิเคชัน จากเมนูแบบเลื่อนลงเพื่อเพิ่มแอพพลิเคชันทั้งหมด

รายการรีจิสตรี – ระบบจะใช้กฎนี้ต่อเมื่อการดำเนินการเกี่ยวข้องกับเป้าหมายนี้ เลือก รายการที่เจาะจง จากเมนูแบบเลื่อนลงและคลิก เพิ่ม เพื่อเพิ่มไฟล์หรือโฟลเดอร์ใหม่ หรือคุณสามารถเลือก รายการทั้งหมด จากเมนูแบบเลื่อนลงเพื่อเพิ่มแอพพลิเคชันทั้งหมด

note

การดำเนินการของกฎบางอย่างที่กำหนดไว้ล่วงหน้าโดย HIPS จะไม่สามารถปิดกั้นหรืออนุญาตได้ตามค่าเริ่มต้น นอกจากนี้ HIPS จะไม่ตรวจสอบการดำเนินการทั้งหมดของระบบ HIPS ตรวจสอบการดำเนินการที่อาจพิจารณาว่าไม่ปลอดภัย

note

เมื่อระบุพาธ C:\example จะมีผลต่อการทำงานกับโฟลเดอร์เองและ C:\example*.* จะมีผลกับไฟล์ในโฟลเดอร์

การดำเนินการของแอพพลิเคชัน

แก้ไขแอพพลิเคชันอื่น – การใส่เครื่องมือแก้ไขปัญหาในการดำเนินการ ในขณะที่มีการแก้ไขปัญหาของแอพพลิเคชัน ระบบจะตรวจสอบและแก้ไขรายละเอียดต่างๆ ของการทำงาน และจะมีการเข้าถึงข้อมูลการทำงาน

ดักฟังเหตุการณ์จากแอพพลิเคชันอื่น – แอพพลิเคชันที่มาจะพยายามตรวจจับเหตุการณ์ที่มีการกำหนดเป้าหมายไปยังแอพพลิเคชันเฉพาะ (ตัวอย่างเช่น เครื่องมือบันทึกการกดแป้นพิมพ์ที่พยายามตรวจจับเหตุการณ์ของเบราว์เซอร์)

สิ้นสุด/พักการทำงานแอพพลิเคชันอื่น – การพัก การทำงานต่อ หรือการสิ้นสุดกระบวนการ (สามารถเข้าถึงได้โดยตรงจากช่อง Process Explorer หรือ Processes)

เริ่มต้นแอพพลิเคชันใหม่ – การเริ่มต้นแอพพลิเคชันหรือกระบวนการใหม่

แก้ไขสถานะของแอพพลิเคชันอื่น – แอพพลิเคชันที่มาจะพยายามเขียนข้อมูลไปยังหน่วยความจำของแอพพลิเคชันเป้าหมายหรือเรียกใช้รหัสในนามของตนเอง ฟังก์ชันการทำงานนี้อาจเป็นประโยชน์เพื่อป้องกันแอพพลิเคชันสำคัญ ด้วยการกำหนดค่าเป็นแอพพลิเคชันเป้าหมายในกฎที่ปิดกั้นการใช้การดำเนินการนี้

note

ไม่สามารถดักรับข้อมูลการดำเนินการของกระบวนการของ Windows XP รุ่น 64 บิตได้

การดำเนินการของรีจิสตรี

แก้ไขการตั้งค่าการเริ่มต้น – การเปลี่ยนแปลงในการตั้งค่า ซึ่งกำหนดแอพพลิเคชันที่จะถูกเรียกใช้เมื่อเริ่มต้น Windows ซึ่งจะสามารถพบได้ เช่น จากการค้นหารหัส Run ใน Windows Registry

ลบจากรีจิสตรี – การลบรหัสรีจิสตรีหรือค่าของรหัสรีจิสตรี

เปลี่ยนชื่อรหัสรีจิสตรี – การเปลี่ยนชื่อรหัสรีจิสตรี

แก้ไขรีจิสตรี – การสร้างค่าใหม่ของรหัสรีจิสตรี การเปลี่ยนค่าที่มีอยู่ การย้ายข้อมูลในโครงสร้างฐานข้อมูล หรือการตั้งค่าสิทธิ์ของผู้ใช้หรือกลุ่มสำหรับรหัสรีจิสตรี

note

การใช้สัญลักษณ์แทนในกฎ

ใช้เครื่องหมายดอกจันแทนในกฎสามารถใช้เพื่อแทนรหัสเฉพาะ เช่น “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start” ไม่รองรับวิธีอื่นๆ ในการใช้สัญลักษณ์แทน

การสร้างกฎที่มุ่งเป้าไปยังรหัส HKEY_CURRENT_USER

รหัสนี้เป็นเพียงการเชื่อมโยงไปยังรหัสย่อยที่เหมาะสมของ HKEY_USERS สำหรับผู้ใช้ที่ถูกระบุโดย SID (ตัวระบุที่ปลอดภัย) หากต้องสร้างกฎสำหรับผู้ใช้ปัจจุบันเท่านั้น ให้ใช้พาธที่มุ่งไปยัง HKEY_USERS\%SID% แทนการใช้พาธ HKEY_CURRENT_USER เนื่องจาก SID ทำให้คุณสามารถใช้เครื่องหมายดอกจันเพื่อสร้างกฎที่นำมาใช้กับผู้ใช้ทั้งหมดได้

warning

หากคุณสร้างกฎที่กว้างมาก คำเตือนเกี่ยวกับกฎประเภทนี้จะปรากฎขึ้น

ในตัวอย่างต่อไปนี้ เราจะสาธิตวิธีจำกัดการทำงานที่ไม่พึงประสงค์ของแอพพลิเคชันที่ระบุ:

1.ตั้งชื่อกฎและเลือกปิดกั้น (หรือ ถาม หากคุณต้องการหรือเลือกภายหลัง) จากเมนูการทำงาน แบบเลื่อนลง

2.เปิดใช้งานสวิตช์ แจ้งเตือนผู้ใช้ เพื่อแสดงการแจ้งเตือนผู้ใช้เมื่อมีการนำกฎไปใช้

3.เลือกการดำเนินการอย่างน้อยหนึ่งอย่าง ในส่วนการดำเนินการที่ได้ผล ว่าจะใช้กฎใด

4.คลิกถัดไป

5.ในหน้าต่าง แอพพลิเคชันที่มา เลือก แอพพลิเคชันที่เจาะจง จากเมนูแบบเลื่อนลงเพื่อใช้กฎใหม่กับแอพพลิเคชันทั้งหมดที่พยายามจะทำงานกับแอพพลิเคชันที่เลือกไว้บนแอพพลิเคชันที่คุณระบุ

6.คลิกเพิ่ม และ ... เพื่อเลือกพาธไปยังแอพพลิเคชันที่เจาะจง แล้วกดตกลงเพิ่มแอพพลิเคชันหากคุณต้องการ
ตัวอย่างเช่น: C:\Program Files (x86)\Untrusted application\application.exe

7.เลือกเขียนข้อมูลในไฟล์ การทำงาน

8.เลือกไฟล์ทั้งหมด เมนูแบบเลื่อนลง วิธีนี้จะปิดกั้นความพยายามใดๆ เพื่อเขียนไฟล์โดยแอพพลิเคชันที่เลือกไว้จากขั้นตอนก่อนหน้านี้

9.คลิก เสร็จสิ้น เพื่อบันทึกกฎใหม่ของคุณ

CONFIG_HIPS_RULES_EXAMPLE