Параметри правила HIPS
Спочатку див. розділ Керування правилами HIPS.
Ім’я правила: визначене користувачем або автоматично вибране ім’я правила.
Дія: дає змогу визначити дію (Дозволити, Заблокувати або Запитувати), яка виконуватиметься в разі виконання відповідних умов.
Задіяні операції: потрібно вибрати тип операції, для якої застосовуватиметься правило. Правило використовуватиметься лише для цього типу операцій і для вибраної цілі.
Увімкнено: вимкніть цей перемикач, щоб зберегти правило у списку, але не застосовувати його.
Рівень критичності – якщо ввімкнути цей параметр, інформацію про таке правило буде записано в журнал HIPS.
Сповістити користувача: у разі ініціювання події в правому нижньому куті відображається невелике спливаюче вікно.
Правило складається з частин, що описують умови, які його ініціюють.
Програми-джерела: правило використовуватиметься лише в тому випадку, якщо подію ініціює ця програма. У розкривному меню виберіть Окремі програми й натисніть Додати, щоб додати нові файли. Також можна вибрати Усі програми, щоб додати всі програми.
Цільові файли: правило використовуватиметься лише в тому випадку, якщо операцію пов’язано з відповідним цільовим об’єктом. У розкривному меню виберіть Окремі файли й натисніть Додати, щоб додати нові файли чи папки, або виберіть Усі файли, щоб додати всі файли.
Програми: правило використовуватиметься лише в тому випадку, якщо операція пов’язана з відповідним цільовим об’єктом. У розкривному меню виберіть Окремі програми й натисніть Додати, щоб додати нові файли або папки, або виберіть Усі програми, щоб додати всі програми.
Записи реєстру: правило використовуватиметься лише в тому випадку, якщо операція пов’язана з відповідним цільовим об’єктом. У розкривному меню виберіть Окремі записи й натисніть Додати, щоб додати нові файли або папки, або виберіть Усі записи, щоб додати всі програми.
Деякі операції за певними правилами, визначені системою HIPS, не можна заблокувати, оскільки їх дозволено за замовчуванням. Крім того, HIPS контролює не всі системні операції. А відстежує лише ті, які можна класифікувати як небезпечні. |
Коли вказуєте шлях, майте на увазі, що C:\example відноситься до дій із самою папкою, а C:\example*.* — до дій із файлами в цій папці. |
Операції з програмами
- Налагодити іншу програму: приєднання до процесу засобу налагодження. Під час виправлення неполадок у роботі іншої програми певні відомості про її поведінку можна переглядати й коригувати. Також можна отримати доступ до даних цієї програми.
- Зупиняти події від іншої програми: програма-джерело намагається перехопити події, пов’язані з певною програмою (наприклад, клавіатурний шпигун робить спробу перехопити події, пов’язані з браузером).
- Припинити/призупинити роботу іншої програми: призупинення, відновлення або припинення процесу (доступ можна отримати безпосередньо з диспетчера процесів або на вкладці "Процеси").
- Запустити нову програму: запуск нових програм або процесів.
- Змінити стан іншої програми: програма-джерело намагається здійснити запис у пам’ять цільової програми або виконати певний код від її імені. Така функція може бути корисною для захисту важливої програми: просто визначте її як цільову у правилі, що блокує використання подібної операції.
Не можна зупинити виконання процесу на 64-розрядній версії Windows XP. |
Операції з реєстром
- Змінити параметри запуску: будь-які зміни в параметрах запуску програм під час завантаження Windows. Їх можна знайти, наприклад, здійснивши пошук за назвою розділу Run у реєстрі Windows.
- Видалити з реєстру: видалення розділу або його значення.
- Перейменувати розділ реєстру: перейменування розділів реєстру.
- Внести зміни до реєстру: створення нових значень розділів реєстру, зміна наявних значень, переміщення даних у дереві бази даних або налаштування прав доступу до розділів реєстру для користувачів і груп.
Використання символів узагальнення в правилах Зірочку в правилах можна використовувати тільки для заміни певного ключа, наприклад "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start/". Використання символів узагальнення будь-яким іншим чином не підтримується. Створення правил відносно ключа HKEY_CURRENT_USER Цей ключ являє собою просто посилання на певний підрозділ HKEY_USERS, який є специфічним для користувача, визначеного SID (ідентифікатором безпеки). Щоб створити правило тільки для поточного користувача, замість шляху HKEY_CURRENT_USER використовуйте шлях, який вказує на HKEY_USERS\%SID%. У якості SID можна використовувати зірочку, щоб зробити правило застосовним для всіх користувачів. |
Якщо створити дуже загальне правило, з’явиться відповідне попередження. |
На наведеному нижче прикладі ми продемонструємо, як обмежити небажану поведінку окремої програми.
- Призначте ім’я правилу й виберіть Заблокувати (або Запитати, якщо ви маєте намір вибрати дію пізніше) в розкривному меню Дія.
- Увімкніть перемикач Сповістити користувача, щоб відображати сповіщення щоразу, коли застосовується правило.
- Виберіть щонайменше одну операцію в списку Операції для розділу, до якого застосовуватиметься правило.
- Натисніть кнопку Далі.
- У розкривному меню вікна Програми-джерела виберіть Окремі програми, щоб застосувати нове правило до всіх програм, які намагаються виконати будь-яку з вибраних операцій з указаними програмами.
- Клацніть Додати, а потім …, щоб вибрати шлях до певної програми, і натисніть кнопку ОК. За бажанням додайте більше програм.
Приклад: C:\Program Files (x86)\Untrusted application\application.exe - Виберіть операцію Записати у файл.
- У розкривному меню виберіть пункт Усі файли. Після цього будуть блокуватися будь-які спроби програм, вибраних у попередньому кроці, виконати запис у будь-які файли.
- Натисніть кнопку Готово, щоб зберегти нове правило.