HIPS 規則設定
請先參閱 HIPS 規則管理。
規則名稱 – 使用者定義或自動選擇的規則名稱。
處理方法 – 指定在符合條件時應執行的處理方法 – [允許]、[封鎖] 或 [詢問]。
影響到的作業 – 您必須選取要套用規則的作業類型。規則只會使用於此類作業以及選取的 [目標]。
已啟用 – 如果您想要將規則保留在清單中,但不想套用它,請停用此切換選項。
[防護記錄嚴重性] – 如果您啟動此選項,有關此規則的資訊將寫入 HIPS 防護記錄。
通知使用者 – 若觸發事件,右下角將出現一個小的快顯視窗。
規則包含三個部分,說明觸發此規則的條件:
來源應用程式– 只有當事件是由此應用程式觸發時,才會使用此規則。從下拉式功能表中選取 [特定應用程式],並按一下 [新增] 以新增新的檔案,或者您可以從下拉式功能表中選取 [所有應用程式] 以新增所有應用程式。
目標檔案 – 只有當作業與此目標相關時,才會使用此規則。從下拉式功能表中選取 [特定檔案],並按一下 [新增] 以新增新的檔案或資料夾,或者您可以從下拉式功能表中選取 [所有檔案] 以新增所有應用程式。
應用程式 – 只有當作業與此目標相關時,才會使用此規則。從下拉式功能表中選取 [特定應用程式],並按一下 [新增] 以新增新的檔案或資料夾,或者您可以從下拉式功能表中選取 [所有應用程式] 以新增所有應用程式。
登錄項目 – 只有當作業與此目標相關時,才會使用此規則。從下拉式功能表中選取 [特定項目],並按一下 [新增] 以新增新的檔案或資料夾,或者您可以從下拉式功能表中選取 [所有項目] 以新增所有應用程式。
根據預設,不能封鎖且必須允許由 HIPS 預先定義之特定規則的某些作業。此外,並非所有的系統作業皆由 HIPS 監視。HIPS 監視系統視為不安全的作業。 |
指定路徑時,C:\example 會影響與資料夾本身的動作,而 C:\example*.* 會影響資料夾中的檔案。 |
應用程式作業
•對另一個應用程式進行除錯 – 附加除錯工具至處理程序。執行應用程式除錯作業時,您可以檢視並修改其行為的多種詳細資料,並且存取其資料。
•攔截另一個應用程式的事件 – 來源應用程式嘗試獲取特定應用程式鎖定的事件 (例如,Keylogger 嘗試擷取瀏覽器事件)。
•終止/暫停另一個應用程式 – 暫停、恢復或終止處理程序 (可從 Process Explorer 或 [處理程序] 窗格直接存取)。
•開始新應用程式 – 開始新的應用程式或處理程序。
•修改另一個應用程式的狀態 – 來源應用程式嘗試寫入目標應用程式的記憶體或代表自身執行程式碼。透過在封鎖使用此作業的規則中,將重要的應用程式配置為目標應用程式來進行保護,這樣做很有助益。
無法在 Windows XP 的 64 位元版本上攔截處理程序作業。 |
登錄作業
•修改啟動設定 – 設定中的任何變更,這些設定是定義哪些應用程式將在 Windows 啟動時執行。例如,您可以透過搜尋 Windows 登錄中的 Run 機碼,找到這些設定。
•從登錄刪除 – 刪除登錄機碼或其值。
•重新命名登錄機碼 – 重新命名登錄機碼。
•修改登錄 – 建立登錄機碼的新值、變更現有的值、在資料庫樹狀結構中移動資料,或設定登錄機碼的使用者或群組權限。
在規則中使用萬用字元 規則中的星號只能用來取代取特定機碼,例如 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start”。不支援其他使用萬用字元的方式。 建立將 HKEY_CURRENT_USER 機碼設為目標的規則 此機碼只會連結至 SID (安全識別碼) 所識別之使用者特有的適當 HKEY_USERS 子機碼。為了只對目前使用者建立規則,而不是使用 HKEY_CURRENT_USER 的路徑,請使用指向 HKEY_USERS\%SID% 的路徑。您可以使用星號作為 SID,讓規則適用於所有使用者。 |
如果您建立了過於廣泛的規則,則會顯示此種規則類型的相關警告。 |
在下列範例中,我們將示範如何限制特定應用程式發生不想要的行為:
1.替規則命名並選取 [處理方法] 下拉式功能表中的 [封鎖] (如果您偏好稍後選擇,則選取 [詢問])。
2.啟用 [通知使用者] 切換選項,以在每次套用規則時顯示通知。
3.在將套用規則的 [影響的作業] 區段中,選取 [至少一個作業]。
4.按一下 [下一步]。
5.在 [來源應用程式] 視窗中,從下拉式功能表選取 [特定應用程式],將您的新規則套用至所有嘗試在您指定的應用程式上執行任何已選取應用程式作業的應用程式。
6.按一下 [新增],再按一下 [...] 以選擇特定應用程式的路徑,然後按 [確定]。如果您想要,可以新增其他應用程式。
例如: C:\Program Files (x86)\Untrusted application\application.exe
7.選取 [寫入檔案] 作業。
8.從下拉式功能表中選取 [所有]。這會阻止前一個步驟中所選的應用程式嘗試寫入任何檔案。
9.按一下 [完成] 以儲存您的新規則。