Параметры правил HIPS

Сначала ознакомьтесь с разделом Правила HIPS.

Имя правила: указанное пользователем или автоматически выбранное имя правила.

Действие: правило задает действие (Разрешить, Блокировать или Запросить), которое должно быть выполнено при соблюдении условий.

Операции влияния: выберите тип операции, к которому будет применяться правило. Правило будет использоваться только для этого типа операции и для выбранного объекта.

Включено: отключите этот параметр, если правило нужно оставить в списке, но при этом не использовать его.

Серьезность регистрируемых событий: если активировать этот параметр, информация об указанном правиле будет записываться в журнал HIPS.

Уведомить пользователя: если запускается событие, в правом нижнем углу экрана выводится небольшое всплывающее окно.

 

Правило состоит из частей, в которых описываются условия выполнения правила.

Исходные приложения: правило будет использоваться только в том случае, если событие вызывается этими приложениями. Выберите пункт Определенные приложения в раскрывающемся меню и нажмите кнопку Добавить, чтобы добавить новые файлы, или выберите пункт Все приложения, чтобы добавить все приложения.

Целевые файлы: это правило будет использоваться, только если операция относится к данному целевому объекту. Выберите пункт Определенные файлы в раскрывающемся меню и щелкните Добавить, чтобы добавить новые файлы или папки, или выберите пункт Все файлы, чтобы добавить все файлы.

Приложения: это правило будет использоваться, только если операция относится к данному целевому объекту. Выберите пункт Определенные приложения в раскрывающемся меню и нажмите кнопку Добавить, чтобы добавить новые файлы или папки, или выберите пункт Все приложения, чтобы добавить все приложения.

Записи реестра: это правило будет использоваться, только если операция относится к данному целевому объекту. Выберите пункт Определенные записи в раскрывающемся меню и нажмите кнопку Добавить, чтобы добавить новые файлы или папки, или выберите пункт Все записи, чтобы добавить все приложения.


note

Некоторые операции определенных правил, предварительно заданных системой HIPS, невозможно заблокировать, и они разрешены по умолчанию. Кроме того, не все системные операции отслеживаются системой HIPS. Система HIPS отслеживает операции, которые могут считаться небезопасными.


note

При указании пути строка C:\example влияет на действия с самой папкой, а строка C:\example*.* влияет на файлы в папке.

Операции с приложениями

Выполнить отладку другого приложения: прикрепление отладчика к процессу. При отладке приложения можно просмотреть и изменить многие сведения о его поведении и получить доступ к его данным.

Перехватывать события другого приложения: исходное приложение пытается записать события, направленные на другое приложение (например, клавиатурный шпион, пытающийся записать события браузера).

Завершить/приостановить работу другого приложения: приостановка, возобновление или завершение процесса (можно получить доступ непосредственно из обозревателя процессов или панели «Процессы»).

Запустить новое приложение: запуск новых приложений или процессов.

Изменить состояние другого приложения: исходное приложение пытается осуществить запись в память целевого приложения или выполнить код от его имени. Эта функциональность может быть полезна для защиты важного приложения путем его настройки как целевого в правиле, блокирующем использование данной операции.


note

В 64-разрядных версиях Windows XP перехватывать операции процессов невозможно.

Операции с реестром

Изменить параметры запуска: любые изменения параметров, которые определяют, какие приложения будут выполнены при запуске ОС Windows. Их можно найти, например, выполнив поиск раздела Run в реестре Windows.

Удалить из реестра: удаление раздела реестра или его значения.

Переименовать раздел реестра: переименование разделов реестра.

Изменить реестр: создание новых значений разделов реестра, изменение существующих значений, перемещение данных в древовидной структуре базы данных или настройка прав пользователя или группы для разделов реестра.


note

Использование подстановочных знаков в правилах

Звездочка в правилах может использоваться только для замены конкретного ключа, например HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start. Другие способы использования подстановочных символов не поддерживаются.

Создание правил для ключа HKEY_CURRENT_USER

Этот ключ является лишь ссылкой на соответствующий подраздел HKEY_USERS, специфичный для пользователя, идентифицированного защищенным идентификатором (SID). Чтобы создать правило только для текущего пользователя, вместо того чтобы использовать путь к HKEY_CURRENT_USER, используйте путь, указывающий на HKEY_USERS\%SID%. В качестве SID можно использовать звездочку, чтобы сделать правило применимым для всех пользователей.


warning

Если созданное правило будет слишком общим, появится соответствующее предупреждение.

В следующем примере будет показано, как ограничить нежелательное поведение конкретного приложения.

1.Присвойте правилу имя и выберите Блокировать (или Запросить, если вы хотите выбрать действие позже) в раскрывающемся меню Действие.

2.Активируйте переключатель Уведомить пользователя, чтобы уведомление отображалось при каждом применении правила.

3.Выберите хотя бы одну операцию в разделе Операции влияния, для которой будет применяться правило.

4.Щелкните Далее.

5.В окне Исходные приложения выберите в раскрывающемся списке вариант Определенные приложения. Новое правило будет применяться ко всем приложениям, которые будут пытаться выполнить любое из выбранных действий с указанными приложениями.

6.Нажмите кнопку Добавить и ..., чтобы выбрать путь к определенному приложению. Затем нажмите кнопку OK. При необходимости добавьте дополнительные приложения.
Например: C:\Program Files (x86)\Untrusted application\application.exe

7.Выберите операцию Выполнить запись в файл.

8.Выберите Все файлы в раскрывающемся меню. Это позволит заблокировать все попытки записи в файлы приложениями, которые были выбраны на предыдущем шаге.

9.Нажмите кнопку Готово, чтобы сохранить новое правило.

CONFIG_HIPS_RULES_EXAMPLE