Интернет-справка ESET

Выберите тему

Параметры правил HIPS

Сначала ознакомьтесь с разделом Правила HIPS.

Имя правила: указанное пользователем или автоматически выбранное имя правила.

Действие: правило задает действие (Разрешить, Блокировать или Запросить), которое должно быть выполнено при соблюдении условий.

Операции влияния: выберите тип операции, к которому будет применяться правило. Правило будет использоваться только для этого типа операции и для выбранного объекта.

Включено: отключите этот переключатель, если правило нужно оставить в списке, но при этом не применять его.

Серьезность регистрируемых событий: если активировать этот параметр, информация об указанном правиле будет записываться в журнал HIPS.

Уведомить пользователя: если запускается событие, в правом нижнем углу экрана отображается уведомление.

Правило состоит из частей, в которых описываются условия выполнения правила.

Исходные приложения: правило будет использоваться только в том случае, если событие вызывается этими приложениями. Выберите пункт Определенные приложения в раскрывающемся меню и нажмите кнопку Добавить, чтобы добавить новые файлы, или выберите пункт Все приложения, чтобы добавить все приложения.

Целевые файлы: это правило будет использоваться, только если операция относится к данному целевому объекту. Выберите пункт Определенные файлы в раскрывающемся меню и щелкните Добавить, чтобы добавить новые файлы или папки, или выберите пункт Все файлы, чтобы добавить все файлы.

Приложения: это правило будет использоваться, только если операция относится к данному целевому объекту. Выберите пункт Определенные приложения в раскрывающемся меню и нажмите кнопку Добавить, чтобы добавить новые файлы или папки, или выберите пункт Все приложения, чтобы добавить все приложения.

Записи реестра: это правило будет использоваться, только если операция относится к данному целевому объекту. Выберите пункт Определенные записи в раскрывающемся меню и нажмите кнопку Добавить, чтобы добавить новые файлы или папки, или выберите пункт Все записи, чтобы добавить все приложения.


note

Некоторые операции определенных правил, предварительно заданных системой HIPS, невозможно заблокировать, и они разрешены по умолчанию. Кроме того, не все системные операции отслеживаются системой HIPS. Система HIPS отслеживает операции, которые могут считаться небезопасными.


note

При указании пути строка C:\example влияет на действия с самой папкой, а строка C:\example*.* влияет на файлы в папке.

Операции с приложениями

  • Выполнить отладку другого приложения: прикрепление отладчика к процессу. При отладке приложения можно просмотреть и изменить многие сведения о его поведении и получить доступ к его данным.
  • Перехватывать события другого приложения: исходное приложение пытается записать события, направленные на другое приложение (например, клавиатурный шпион, пытающийся записать события браузера).
  • Завершить/приостановить работу другого приложения: приостановка, возобновление или завершение процесса (можно получить доступ непосредственно из обозревателя процессов или панели «Процессы»).
  • Запустить новое приложение: запуск новых приложений или процессов.
  • Изменить состояние другого приложения: исходное приложение пытается осуществить запись в память целевого приложения или выполнить код от его имени. Эта функциональность может быть полезна для защиты важного приложения путем его настройки как целевого в правиле, блокирующем использование данной операции.

Операции с реестром

  • Изменить параметры запуска: любые изменения параметров, которые определяют, какие приложения будут выполнены при запуске ОС Windows. Их можно найти, например, выполнив поиск раздела Run в реестре Windows.
  • Удалить из реестра: удаление раздела реестра или его значения.
  • Переименовать раздел реестра: переименование разделов реестра.
  • Изменить реестр: создание новых значений разделов реестра, изменение существующих значений, перемещение данных в древовидной структуре базы данных или настройка прав пользователя или группы для разделов реестра.

note

Использование подстановочных знаков в правилах

Звездочка в правилах может использоваться только для замены конкретного ключа, например HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start. Другие способы использования подстановочных символов не поддерживаются.

Создание правил для ключа HKEY_CURRENT_USER

Этот ключ является лишь ссылкой на соответствующий подраздел HKEY_USERS, специфичный для пользователя, идентифицированного защищенным идентификатором (SID). Чтобы создать правило только для текущего пользователя, вместо того чтобы использовать путь к HKEY_CURRENT_USER, используйте путь, указывающий на HKEY_USERS\%SID%. В качестве SID можно использовать звездочку, чтобы сделать правило применимым для всех пользователей.


warning

Если созданное правило будет слишком общим, появится соответствующее предупреждение.

В следующем примере будет показано, как ограничить нежелательное поведение конкретного приложения.

  1. Присвойте правилу имя и выберите Блокировать (или Запросить, если вы хотите выбрать действие позже) в раскрывающемся меню Действие.
  2. Активируйте переключатель Уведомить пользователя, чтобы уведомление отображалось при каждом применении правила.
  3. Выберите хотя бы одну операцию в разделе Операции влияния, для которой будет применяться правило.
  4. Щелкните Далее.
  5. В окне Исходные приложения выберите в раскрывающемся списке вариант Определенные приложения. Новое правило будет применяться ко всем приложениям, которые будут пытаться выполнить любое из выбранных действий с указанными приложениями.
  6. Нажмите кнопку Добавить и ..., чтобы выбрать путь к определенному приложению. Затем нажмите кнопку OK. При необходимости добавьте дополнительные приложения.
    Например: C:\Program Files (x86)\Untrusted application\application.exe
  7. Выберите операцию Выполнить запись в файл.
  8. Выберите Все файлы в раскрывающемся меню. Это позволит заблокировать все попытки записи в файлы приложениями, которые были выбраны на предыдущем шаге.
  9. Нажмите кнопку Готово, чтобы сохранить новое правило.

CONFIG_HIPS_RULES_EXAMPLE