HIPS-regelinstellingen
Zie eerst HIPS-regelbeheer.
Regelnaam: door de gebruiker gedefinieerde of automatisch gekozen regelnaam.
Actie: de regel geeft een actie aan, namelijk Toestaan, Blokkeren of Vragen, die moet worden uitgevoerd als aan de voorwaarden wordt voldaan.
Bewerkingen die gevolgen hebben voor: u dient het type bewerking op te geven waarvoor de regel wordt toegepast. De regel wordt alleen voor dit type bewerking en voor het geselecteerde doel gebruikt.
Ingeschakeld: schakel deze schakelaar uit als u de regel in de lijst wilt houden maar niet wilt toepassen.
Ernst van logboekregistratie: als u deze optie activeert, wordt informatie over deze regel naar het HIPS-logboek geschreven.
Gebruiker met melding op de hoogte brengen: er verschijnt een klein pop-upvenster rechtsonder als er een gebeurtenis wordt geactiveerd.
De regel bestaat uit delen, waarmee de voorwaarden worden beschreven die deze regel activeren:
Brontoepassingen: de regel wordt alleen gebruikt als de gebeurtenis door deze toepassing(en) wordt geactiveerd. Selecteer Bepaalde toepassingen in het vervolgkeuzemenu en klik op Toevoegen om nieuwe bestanden toe te voegen of selecteer Alle toepassingen in het vervolgkeuzemenu om alle toepassingen toe te voegen.
Doelbestanden: de regel wordt alleen gebruikt als de bewerking betrekking heeft op dit doel. Selecteer Specifieke bestanden in het vervolgkeuzemenu en klik op Toevoegen om nieuwe bestanden of mappen toe te voegen of u kunt Alle bestanden in het vervolgkeuzemenu selecteren om alle bestanden toe te voegen.
Toepassingen: de regel wordt alleen gebruikt als de bewerking betrekking heeft op dit doel. Selecteer Bepaalde toepassingen in het vervolgkeuzemenu en klik op Toevoegen om nieuwe bestanden of mappen toe te voegen of selecteer Alle toepassingen in het vervolgkeuzemenu om alle toepassingen toe te voegen.
Registervermeldingen: de regel wordt alleen gebruikt als de bewerking betrekking heeft op dit doel. Selecteer Bepaalde vermeldingen in het vervolgkeuzemenu en klik op Toevoegen om nieuwe bestanden of mappen toe te voegen of selecteer Alle vermeldingen in het vervolgkeuzemenu om alle toepassingen toe te voegen.
Sommige bewerkingen van bepaalde regels die vooraf zijn gedefinieerd door HIPS kunnen niet worden geblokkeerd en worden standaard toegestaan. Bovendien worden niet alle systeembewerkingen door HIPS gecontroleerd. HIPS controleert bewerkingen die als onveilig worden beschouwd. |
Wanneer u een pad opgeeft, heeft C:\example invloed op acties met de map zelf en heeft C:\example*.* invloed op de bestanden in de map. |
Toepassingsbewerkingen
- Een andere toepassing debuggen: hiermee kunt u een foutopsporingsprogramma aan het proces koppelen. Terwijl fouten worden opgespoord in een toepassing, kunt u veel details van het gedrag weergeven en wijzigen en kunt u gegevens openen.
- Gebeurtenissen van een andere toepassing onderscheppen: de brontoepassing probeert gebeurtenissen te detecteren die zijn gericht op een bepaalde toepassing (bijvoorbeeld een keylogger die probeert browsergebeurtenissen te detecteren).
- Een andere toepassing afsluiten/onderbreken: stelt een proces uit of hervat of beëindigt een proces (deze optie is direct toegankelijk vanuit de procesverkenner of het venster Processen).
- Nieuwe toepassing starten: hiermee worden nieuwe toepassingen of processen gestart.
- Status van een andere toepassing wijzigen: de brontoepassing probeert te schrijven naar het geheugen van de doeltoepassing of probeert code namens de toepassing uit te voeren. Deze functie kan handig zijn om een essentiële toepassing te beschermen door deze als een doeltoepassing te configureren in een regel waarmee het gebruik van deze bewerking wordt geblokkeerd.
het is niet mogelijk om procesbewerkingen te onderscheppen op de 64-bits-versie van Windows XP. |
Registerbewerkingen
- Status van een andere toepassing wijzigen: wijzigingen in instellingen die bepalen welke toepassingen zullen worden uitgevoerd tijdens het opstarten van Windows. Deze vindt u bijvoorbeeld door te zoeken naar de sleutel Run in het Windows-register.
- Uit register verwijderen: hiermee kunt u een registersleutel of de waarde ervan verwijderen.
- Naam van registersleutel bewerken: hiermee kunt u registersleutels een andere naam geven.
- Register wijzigen: nieuwe waarden van registersleutels maken, bestaande waarden wijzigen, gegevens verplaatsen in de databasestructuur of gebruikers- of groepsrechten instellen voor registersleutels.
Jokertekens in regels gebruiken Een sterretje in regels kan alleen worden gebruikt om een bepaald teken te vervangen, bijvoorbeeld “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start”. Andere manieren om jokertekens te gebruiken worden niet ondersteund. Regels maken met de sleutel HKEY_CURRENT_USER als doel Deze sleutel is slechts een koppeling naar de juiste subsleutel van HKEY_USERS voor de gebruiker die door de SID (beveiligings-id) wordt aangegeven. Als u een regel alleen voor de huidige gebruiker wilt maken, in plaats van een pad naar HKEY_CURRENT_USER te gebruiken, gebruikt u een pad dat naar HKEY_USERS\%SID% wijst. Als SID kunt u een sterretje gebruiken, zodat de regel van toepassing is op alle gebruikers. |
Als u een heel algemene regel maakt, wordt de waarschuwing over dit type regel weergegeven. |
In het volgende voorbeeld laten we zien hoe u ongewenst gedrag van een bepaalde toepassing kunt beperken:
- Geef de regel een naam en selecteer Blokkeren (of Vragen als u later een keuze wilt maken) in het vervolgkeuzemenu Actie.
- Zet de schakelaar Gebruiker informeren aan om een melding weer te geven wanneer er een regel wordt toegepast.
- Selecteer in het gedeelte Bewerkingen die gevolgen hebben voor minimaal één bewerking waarvoor de regel wordt toegepast.
- Klik op Volgende.
- Selecteer in het venster Brontoepassingen de optie Bepaalde toepassingen in het vervolgkeuzemenu om uw nieuwe regel toe te passen op alle toepassingen die een van de geselecteerde bewerkingen op alle opgegeven toepassingen proberen uit te voeren.
- Klik op Toevoegen en vervolgens op ... om een pad te kiezen naar een bepaalde toepassing. Druk vervolgens op OK. Voeg desgewenst meer toepassingen toe.
Bijvoorbeeld: C:\Program Files (x86)\Untrusted application\application.exe - Selecteer de bewerking Schrijven naar bestand.
- Selecteer Alle bestanden in het vervolgkeuzemenu. Hiermee worden alle pogingen door de in de vorige stap geselecteerde toepassing(en) geblokkeerd om naar bestanden te schrijven.
- Klik op Voltooien om uw nieuwe regel op te slaan.