Ustawienia reguł systemu HIPS
Najpierw zobacz: Zarządzanie regułami systemu HIPS.
Nazwa reguły — nazwa reguły podana przez użytkownika lub wybrana automatycznie.
Czynność — określona czynność (Zezwól, Blokuj lub Pytaj), która ma zostać wykonana, gdy spełnione są warunki.
Operacje dotyczące — należy wybrać typ operacji, do której stosowana będzie reguła. Reguła będzie stosowana tylko w przypadku podanego typu operacji i wybranego elementu.
Włączona — wyłączenie tego przełącznika umożliwia zachowanie reguły na liście bez jej stosowania.
Stopień szczegółowości zapisywania w dzienniku — uruchomienie tej opcji spowoduje, że informacje o regule będą zapisywane w dzienniku systemu HIPS.
Powiadom użytkownika — po wywołaniu zdarzenia w prawym dolnym rogu ekranu zostanie wyświetlone powiadomienie.
Reguła składa się z części, które opisują warunki powodujące jej wywołanie:
Aplikacje źródłowe— reguła będzie stosowana tylko, jeśli zdarzenie zostanie spowodowane przez wymienione aplikacje. W celu dodania nowych plików należy wybrać z menu rozwijanego opcję Określone aplikacje i kliknąć opcję Dodaj. Aby dodać wszystkie aplikacje, można wybrać z menu rozwijanego opcję Wszystkie aplikacje.
Pliki docelowe — reguła będzie stosowana tylko wtedy, gdy operacja będzie dotyczyła określonego elementu docelowego. W celu dodania nowych plików lub folderów należy wybrać z menu rozwijanego opcję Określone pliki i kliknąć przycisk Dodaj. W celu dodania wszystkich aplikacji można wybrać z menu rozwijanego opcję Wszystkie pliki.
Wpisy rejestru — reguła będzie stosowana tylko wtedy, gdy operacja będzie dotyczyła określonego elementu docelowego. W celu dodania nowych plików lub folderów należy wybrać z menu rozwijanego opcję Określone aplikacje i kliknąć przycisk Dodaj. W celu dodania wszystkich aplikacji można wybrać z menu rozwijanego opcję Wszystkie aplikacje.
Wpisy rejestru — reguła będzie stosowana tylko wtedy, gdy operacja będzie dotyczyła określonego elementu docelowego. W celu dodania nowych plików lub folderów należy wybrać z menu rozwijanego opcję Określone wpisy i kliknąć przycisk Dodaj. W celu dodania wszystkich aplikacji można wybrać z menu rozwijanego opcję Wszystkie wpisy.
Niektórych operacji dotyczących określonych reguł wstępnie zdefiniowanych w systemie HIPS nie można blokować i są one domyślnie dozwolone. Ponadto nie wszystkie operacje systemowe są monitorowane przez system HIPS. System HIPS monitoruje operacje, które można uznać za niebezpieczne. |
Podczas określania ścieżki C:\example oznacza, że działania obejmują sam folder, natomiast C:\example*.* oznacza, że działania obejmują pliki w folderze. |
Operacje na aplikacjach
- Debugowanie innej aplikacji — dołączenie debugera do procesu. Podczas debugowania aplikacji można odczytać i zmodyfikować wiele szczegółów związanych z jej działaniem oraz uzyskać dostęp do jej danych.
- Przechwytywanie zdarzeń z innej aplikacji — aplikacja źródłowa próbuje przechwycić zdarzenia skierowane do określonej aplikacji (na przykład program rejestrujący znaki wprowadzane na klawiaturze próbuje przechwycić zdarzenia przeglądarki internetowej).
- Zakończenie/wstrzymanie innej aplikacji — zawieszenie, wznowienie lub zakończenie procesu (dostęp można uzyskać bezpośrednio z Eksploratora procesów lub okienka Procesy).
- Uruchomienie nowej aplikacji — uruchamianie nowych aplikacji lub procesów.
- Modyfikacja stanu innej aplikacji — aplikacja źródłowa próbuje dokonać zapisu w pamięci aplikacji docelowych lub uruchomić kod w ich imieniu. Ta funkcja może być przydatna do zapewnienia ochrony ważnej aplikacji przez skonfigurowanie tej aplikacji jako docelowej w regule blokującej korzystanie z tej operacji.
Operacje na rejestrze
- Zmiana ustawień uruchamiania — dowolne zmiany w ustawieniach określających, które aplikacje będą uruchamiane podczas uruchamiania systemu Windows. Można je znaleźć, przeszukując na przykład klucz Run w rejestrze systemu Windows.
- Usunięcie z rejestru — usunięcie klucza rejestru lub jego wartości.
- Zmiana nazwy klucza rejestru — zmiana nazw kluczy rejestru.
- Modyfikacja rejestru — tworzenie nowych wartości kluczy rejestru, zmienianie istniejących wartości, przenoszenie danych w drzewie bazy danych lub ustawianie praw użytkowników lub grup do kluczy rejestru.
Korzystanie z symboli wieloznacznych w regułach Gwiazdki można użyć w regule tylko do zastąpienia konkretnego klucza, na przykład „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start”. Inne użycie symboli wieloznacznych nie jest obsługiwane. Tworzenie reguł odnoszących się do klucza HKEY_CURRENT_USER Ten klucz jest tylko łączem do odpowiedniego podklucza HKEY_USERS dotyczącego użytkownika określonego przez identyfikator zabezpieczeń (SID). Aby utworzyć regułę tylko dla bieżącego użytkownika, zamiast ścieżki do klucza HKEY_CURRENT_USER należy użyć ścieżki wskazującej identyfikator HKEY_USERS\%SID%. Aby reguła miała zastosowanie do wszystkich użytkowników, jako identyfikatora SID można użyć gwiazdki. |
W przypadku utworzenia bardzo ogólnej reguły, zostanie wyświetlone ostrzeżenie dotyczące tego typu reguł. |
W poniższym przykładzie pokazano, jak ograniczyć niepożądane działanie konkretnej aplikacji:
- Nadaj nazwę regule i w menu rozwijanym Czynność wybierz polecenie Blokuj (lub Zapytaj, jeśli chcesz podjąć decyzję później).
- Użyj przełącznika Powiadom użytkownika, aby wyświetlać powiadomienie za każdym razem, gdy reguła jest stosowana.
- Wybierz co najmniej jedną operację w sekcji Operacje dotyczące, której będzie dotyczyć reguła.
- Kliknij przycisk Dalej.
- W oknie Aplikacje źródłowe z menu rozwijanego wybierz opcję Określone aplikacje, aby zastosować nową regułę do wszystkich aplikacji próbujących wykonać dowolną z wybranych operacji dotyczących podanych aplikacji.
- Kliknij przycisk Dodaj, a następnie kliknij pozycję ..., wybierz ścieżkę do określonej aplikacji i naciśnij przycisk OK. W razie potrzeby dodaj więcej aplikacji.
Przykład: C:\Program Files (x86)\Untrusted application\application.exe - Wybierz operację Zapis do pliku.
- Z menu rozwijanego wybierz opcję Wszystkie pliki. Spowoduje to zablokowanie wszelkich prób zapisu w dowolnych plikach przez aplikacje wybrane w poprzednim punkcie.
- Kliknij przycisk Zakończ, aby zapisać nową regułę.