ESET-online-ohje

Hae Suomi
Valitse aihe

HIPS-sääntöasetukset

Tutustu ensin HIPS-sääntöjen hallintaan.

Säännön nimi – Käyttäjän määrittämä tai automaattisesti valittu säännön nimi.

Toimenpide – Määrittää toimenpiteen - Salli, Estä tai Kysy - joka tulisi suorittaa, jos olosuhteet ovat oikeat.

Vaikuttavat toimenpiteet – Sinun on valittava sen toimenpiteen tyyppi, jolle sääntöä käytetään. Sääntöä käytetään vain tämän tyyppisille toiminnoille ja valitulle kohteelle.

Käytössä – Poista tämä valinta, jos haluat pitää säännön luettelossa mutta et käyttää sitä.

Kirjaamisen vakavuus – Jos valitset tämän vaihtoehdon, säännöstä kirjoitetaan tietoHIPS-lokiin.

Ilmoita käyttäjälle – Oikeaan alakulmaan ilmestyy pieni ponnahdusikkuna, kun jokin tapahtuma käynnistetään.

 

Sääntö sisältää osia, jotka kuvaavat säännön laukaisevat ehdot:

Lähdesovellukset Sääntöä käytetään vain, jos tämä sovellus/nämä sovellukset käynnistävät tapahtuman. Valitse avattavasta valikosta Tietyt sovellukset ja lisää uusia tiedostoja tai kansioita napsauttamalla Lisää. Voit valita avattavasta valikosta myös Kaikki sovellukset ja lisätä kaikki sovellukset.

Kohdetiedostot – Sääntöä käytetään vain, jos toimenpide liittyy tähän kohteeseen. Valitse avattavasta valikosta Tietyt sovellukset ja lisää uusia tiedostoja tai kansioita valitsemalla Lisää tai lisää kaikki tiedostot valitsemalla avattavasta valikosta Kaikki tiedostot.

Sovellukset – Sääntöä käytetään vain, jos toimenpide liittyy tähän kohteeseen. Valitse Tietyt sovellukset alasvetovalikosta ja lisää uusia tiedostoja tai kansioita napsauttamalla Lisää, tai voit valita alasvetovalikosta Kaikki sovellukset ja lisätä kaikki sovellukset.

Rekisteröintitietueet – Sääntöä käytetään vain, jos toimenpide liittyy tähän kohteeseen. Valitse Tietyt tietueet alasvetovalikosta ja lisää uusia tiedostoja tai kansioita napsauttamalla Lisää, tai voit valita alasvetovalikosta Kaikki tietueet ja lisätä kaikki sovellukset.

note

Tiettyjen HIPS:n ennalta määrittämien sääntöjen joitakin toimintoja ei voida estää, vaan ne on sallittu oletusarvoisesti. Lisäksi HIPS ei valvo kaikkia järjestelmätoimintoja. HIPS valvoo toimintoja, jotka luokitellaan vaarallisiksi.

note

Polkumäärityksissä C:\example kohdistaa toiminnon kansioon ja C:\example*.* kansiossa oleviin tiedostoihin.

Sovellustoiminnot

  • Toisen sovelluksen vianmääritys – Virheidenkorjausohjelman liittäminen prosessiin. Sovelluksen vianmääritystä tehtäessä voi tarkastella ja muokata monia toimintatietoja, ja tietoja voi käsitellä.
  • Sieppaa toisen sovelluksen tapahtumat – Lähdesovellus yrittää siepata kohdesovellukseen kohdistettuja tapahtumia (esimerkiksi näppäilyntallennussovellus yrittää siepata selaintapahtumia).
  • Lopeta/keskeytä toinen sovellus – Keskeyttää, palauttaa tai lopettaa prosessin (prosessiin voi palata suoraan Process Explorerista tai Prosessit-ruudusta).
  • Käynnistä uusi sovellus – Uusien sovellusten tai prosessien aloittaminen.
  • Muokkaa toisen sovelluksen tilaa – Lähdesovellus yrittää kirjoittaa kohdesovellusten muistiin tai suorittaa koodia puolestaan. Tällä toiminnolla voidaan suojata tärkeä sovellus määrittämällä se kohdesovellukseksi säännöllä, joka estää tämän toiminnon käytön.

note

Prosessitoimintoja ei voi siepata 64-bittisissä Windows XP -versioissa.

Rekisteritoiminnot

  • Muokkaa käynnistysasetuksia – Kaikki asetusmuutokset, jotka määrittävät, mitkä sovellukset suoritetaan Windowsin käynnistyessä. Nämä löytyvät hakemalla esimerkiksi Run-avainta Windows-rekisteristä.
  • Poista rekisteristä – Rekisteriavaimen tai sen arvon poistaminen.
  • Nimeä rekisteriavain uudelleen – Rekisteriavainten nimeäminen uudelleen.
  • Muokkaa rekisteriä – Uusien arvojen luominen rekisteriavaimista, aiemmin määritettyjen arvojen muuttaminen, tietojen siirtäminen tietokantapuuhun tai rekisteriavainten käyttäjä- tai ryhmäoikeuksien määrittäminen.

note

Yleismerkkien käyttäminen säännöissä

Säännöissä olevaa tähtimerkkiä voi käyttää vain tietyn avaimen korvaamiseen, esim. “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start”. Yleismerkkejä ei voi käyttää muilla tavoilla.

HKEY_CURRENT_USER-avaimeen kohdistuvien sääntöjen luominen

Tämä avain on vain linkki asianmukaiseen HKEY_USERS-aliavaimeen, joka koskee SID (secure identifier) -tunnuksella määritettyä käyttäjää. Jos haluat luoda säännön vain nykyiselle käyttäjälle, älä käytä polkua HKEY_CURRENT_USER-käyttäjään, vaan polkua, joka osoittaa tunnukseen HKEY_USERS\%SID%. SID-tunnusta käytettäessä voi soveltaa tähtimerkkiä, jolla säännön saa koskemaan kaikkia käyttäjiä.

warning

Jos luot hyvin yleisen säännön, saat varoituksen tällaisista säännöistä.

Seuraavassa esimerkissä näytetään, miten tietyn sovelluksen haitallista toimintaa voi rajoittaa:

  1. Nimeä sääntö ja valitse Estä (tai Kysy, jos haluat valita myöhemmin) avattavasta Toimenpide-valikosta.
  2. Ota Ilmoita käyttäjälle -valinta käyttöön, jos haluat ilmoituksen joka kerta, kun sääntöä sovelletaan.
  3. Valitse ainakin yksi toimenpide, jolle sääntö otetaan käyttöön, Vaikuttavat toimenpiteet -osiosta.
  4. Napsauta Seuraava.
  5. Valitse Lähdesovellukset-ikkunan alasvetovalikosta Tietyt sovellukset, jos haluat ottaa uuden säännön käyttöön kaikille sovelluksille, jotka yrittävät suorittaa jonkin valituista toimista määrittelemillesi sovelluksille.
  6. Valitse Lisää ja sitten ..., niin voit valita tietyn sovelluksen. Valitse sitten OK. Voit halutessasi lisätä useampia sovelluksia.
    Esimerkiksi: C:\Program Files (x86)\Untrusted application\application.exe
  7. Valitse Kirjoita tiedostoon -toimenpide.
  8. Valitse avattavasta valikosta Kaikki tiedostot. Tämä estää kaikki edellisessä vaiheessa valittujen sovellusten kaikki yritykset kirjoittaa mihinkään tiedostoon.
  9. Tallenna uusi sääntö valitsemalla Valmis.

CONFIG_HIPS_RULES_EXAMPLE