Postavke HIPS pravila
Najprije pogledajte upravljanje HIPS pravilima.
Naziv pravila – Korisnički definiran ili automatski odabran naziv pravila.
Radnja – Specificira radnju – Dopusti, Blokiraj ili Pitaj – koja će se provesti ako se zadovolje uvjeti.
Operacije na koje se pravilo odnosi – Morate odabrati vrstu operacije na koje će se pravilo primijeniti. Pravilo će se koristiti samo za tu vrstu operacije i za odabrani cilj.
Aktivirano – Poništite odabir ovog potvrdnog okvira ako pravilo želite zadržati na popisu, no ne želite ga koristiti.
Razina ozbiljnosti za vođenje dnevnika – Ako aktivirate ovu opciju, informacije o ovom pravilu bit će zapisane u HIPS dnevnik.
Obavijesti korisnika – U donjem desnom kutu prikazat će se obavijest ako se pokrene događaj.
Pravilo se sastoji od tri dijela koji opisuju uvjete koji pokreću to pravilo:
Izvorne aplikacije – Pravilo će se upotrebljavati samo ako je događaj pokrenula ova aplikacija/aplikacije. S padajućeg izbornika odaberite Specifične aplikacije i kliknite Dodaj ako želite dodati nove datoteke ili s padajućeg izbornika odaberite Sve aplikacije ako želite dodati sve aplikacije.
Ciljne datoteke – Pravilo će se upotrebljavati samo ako se operacija odnosi na taj objekt. S padajućeg izbornika odaberite Specifične datoteke i kliknite Dodaj ako želite dodati nove datoteke ili mape ili s padajućeg izbornika odaberite Sve datoteke ako želite dodati sve datoteke.
Aplikacije – Pravilo će se koristiti samo ako se operacija odnosi na taj objekt. S padajućeg izbornika odaberite specifične aplikacije i kliknite Dodaj ako želite dodati nove datoteke ili mape ili s padajućeg izbornika odaberite sve aplikacije ako želite dodati sve aplikacije.
Unosi u registar – Pravilo će se koristiti samo ako se operacija odnosi na taj objekt. S padajućeg izbornika odaberite specifične unose i kliknite Dodaj ako želite dodati nove datoteke ili mape ili s padajućeg izbornika odaberite svi unosi ako želite dodati sve aplikacije.
Neke operacije specifičnih pravila koje su unaprijed definirane značajkom HIPS ne mogu se blokirati i dopuštene su prema standardnim postavkama. Nadalje, HIPS ne nadzire sve operacije sustava. HIPS nadzire operacije koje se mogu smatrati nesigurnima. |
Pri navođenju puta C:\example utječe na radnje sa samom mapom, a C:\example*.* utječe na datoteke u mapi. |
Operacije aplikacija
- Ukloni pogreške druge aplikacije – Prilaganje programa za uklanjanje pogrešaka u proces. Tijekom uklanjanja pogrešaka aplikacije mnoge pojedinosti tog ponašanja mogu se pregledati i izmijeniti te se može pristupiti podacima.
- Presretni događaje iz druge aplikacije – Izvorna aplikacija pokušava uhvatiti događaje koji su usmjereni na određenu aplikaciju (na primjer, keylogger koji pokušava zabilježiti događaje preglednika).
- Zatvori/obustavi drugu aplikaciju – Obustava, nastavak ili zatvaranje procesa (izravan pristup moguć iz značajke Process Explorer ili okna Procesi).
- Pokreni novu aplikaciju – Pokretanje novih aplikacija ili procesa.
- Preinači stanje druge aplikacije – Izvorna aplikacija pokušava zapisivati u memoriju ciljanih aplikacija ili u njihovo ime pokrenuti kôd. Ta funkcija može biti korisna za zaštitu ključne aplikacije koje se mogu konfigurirati kao ciljne aplikacije u pravilu koje blokira korištenje te operacije.
Operacije registra
- Preinači postavke pokretanja – Bilo koja promjena postavki koja definira koje će se aplikacije pokrenuti prilikom pokretanja sustava Windows. One se mogu pronaći ako se, na primjer, potraži ključ Run u registru sustava Windows.
- Izbriši iz registra – Brisanje ključa registra ili njegove vrijednosti.
- Promijeni naziv ključa registra – Mijenja naziv ključeva registra.
- Izmijeni registar – Stvaranje novih vrijednosti ključeva registra, promjena postojećih vrijednosti, premještanje podataka na stablu baze podataka ili postavljanje korisničkih ili grupnih prava za ključeve registra.
Upotreba zamjenskih znakova u pravilima Zvjezdica u pravilima može se upotrijebiti isključivo za zamjenu određenog ključa, npr. "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start". Ostali načini upotrebe zamjenskih znakova nisu podržani. Stvaranje pravila koja se odnose na ključ HKEY_CURRENT_USER Ovaj je ključ samo link za odgovarajući potključ HKEY_USERS koji je specifičan za korisnika koji se identificira SID-om (sigurnim identifikatorom). Da bi se stvorilo pravilo samo za trenutačnog korisnika, umjesto upotrebe puta do HKEY_CURRENT_USER upotrijebite put do HKEY_USERS\%SID%. Za SID možete upotrijebiti zvjezdicu da bi se pravilo primijenilo na sve korisnike. |
Ako stvorite preopćenito pravilo, prikazat će se upozorenje za tu vrstu pravila. |
U sljedećem primjeru pokazat ćemo kako ograničiti neželjeno ponašanje određene aplikacije:
- Unesite naziv pravila i odaberite Blokiraj (ili Pitaj ako želite odabrati kasnije) s padajućeg izbornika Radnja.
- Aktivirajte potvrdni okvir Obavijesti korisnika da bi se pri svakoj primjeni pravila prikazala obavijest.
- Odaberite barem jednu operaciju u odjeljku Operacije koje utječu na sljedeće objekte na koje će se primjenjivati pravilo.
- Kliknite Dalje.
- U prozoru Izvorne aplikacije na padajućem izborniku odaberite Određene aplikacije kako biste novo pravilo primijenili na sve aplikacije koje pokušavaju izvršiti bilo koju od odabranih operacija aplikacije na aplikacijama koje ste odredili.
- Kliknite Dodaj i zatim ... da biste odabrali put do određene aplikacije i zatim pritisnite U redu. Dodajte više aplikacija ako želite.
Na primjer: C:\Program Files (x86)\Untrusted application\application.exe - Odaberite operaciju Pisanje u datoteku.
- Odaberite Sve datoteke u padajućem izborniku. Time ćete blokirati sve pokušaje aplikacija odabranih u prethodnom koraku da pišu u bilo koje datoteke.
- Kliknite Završi da biste spremili novo pravilo.