HIPS 규칙 설정
먼저 HIPS 규칙 관리를 참조하십시오.
규칙 이름 - 사용자 정의 규칙 이름이거나 자동으로 선택된 규칙 이름입니다.
동작 - 조건이 충족되면 수행되어야 하는 동작, 즉 허용, 차단 또는 확인을 지정합니다.
영향을 주는 작업 - 규칙이 적용되는 작업 유형을 선택해야 합니다. 이 유형의 작업 및 선택한 대상에 대해서만 규칙이 사용됩니다.
활성화됨 - 목록에서 규칙을 유지하되 적용하지 않으려면 토글을 비활성화합니다.
로깅 심각도 - 이 옵션을 활성화하면 이 규칙에 대한 정보가 HIPS 로그에 기록됩니다.
사용자에게 알림 - 이벤트가 트리거되면 오른쪽 아래 모서리에 알림이 나타납니다.
규칙은 이 규칙을 트리거하는 조건을 설명하는 부분으로 구성됩니다.
소스 애플리케이션 - 이 애플리케이션에서 이벤트를 트리거한 경우에만 규칙이 사용됩니다. 드롭다운 메뉴에서 특정 애플리케이션을 선택하고 추가를 클릭하여 새 파일을 추가하거나 드롭다운 메뉴에서 모든 애플리케이션을 선택하여 모든 애플리케이션을 추가할 수 있습니다.
대상 파일 – 작업이 이 대상과 관련 있는 경우에만 규칙이 사용됩니다. 드롭다운 메뉴에서 특정 파일을 선택하고 추가를 클릭하여 새 파일 또는 폴더를 추가하거나, 드롭다운 메뉴에서 모든 파일을 선택하여 모든 파일을 추가할 수 있습니다.
애플리케이션 - 작업이 이 대상에 관련된 경우에만 규칙이 사용됩니다. 드롭다운 메뉴에서 특정 애플리케이션을 선택하고 추가를 클릭하여 새 파일이나 폴더를 추가하거나 드롭다운 메뉴에서 모든 애플리케이션을 선택하여 모든 애플리케이션을 추가할 수 있습니다.
레지스트리 항목 - 작업이 이 대상에 관련된 경우에만 규칙이 사용됩니다. 드롭다운 메뉴에서 특정 항목을 선택하고 추가를 클릭하여 새 파일이나 폴더를 추가하거나 드롭다운 메뉴에서 모든 항목을 선택하여 모든 애플리케이션을 추가할 수 있습니다.
HIPS에서 미리 정의된 특정 규칙 중 일부 작업은 차단할 수 없으며, 기본적으로 허용됩니다. 또한 일부 시스템 작업은 HIPS에서 모니터링됩니다. HIPS는 안전하지 않다고 간주될 수 있는 작업을 모니터링합니다. |
경로를 지정할 때 C:\example은 폴더 자체의 작업에 영향을 주고 C:\example\*.* 폴더의 파일에 영향을 줍니다. |
애플리케이션 작업
- 모든 애플리케이션 작업 - 아래 나열된 모든 옵션을 활성화합니다.
- 다른 애플리케이션 디버그 - 디버거를 프로세스에 연결합니다. 애플리케이션을 디버깅하는 동안 동작의 여러 상세 정보를 보고 수정할 수 있으며, 해당 데이터에 접근할 수 있습니다.
- 다른 애플리케이션에서 이벤트 가로채기 - 소스 애플리케이션이 특정 애플리케이션에 대상으로 지정된 이벤트를 캐치하려고 합니다(예를 들어 키로거가 브라우저 이벤트를 캡처하려고 함).
- 다른 애플리케이션 종료/일시 중지 - 프로세스를 일시 중지하거나 다시 시작하거나 종료합니다(프로세스 탐색기나 프로세스 창에서 직접 접근할 수 있음).
- 새 애플리케이션 시작 - 새 애플리케이션이나 프로세스를 시작합니다.
- 다른 애플리케이션 상태 수정 - 소스 애플리케이션이 대상 애플리케이션의 메모리에 작성하려고 하거나 대신해서 코드를 실행하려고 합니다. 이 기능은 필수 애플리케이션을 이 작업의 사용을 차단하는 규칙에 있는 대상 애플리케이션으로 구성하여 필수 애플리케이션을 보호할 때 유용할 수 있습니다.
레지스트리 작업
- 시작 설정 수정 - Windows 시작 시 실행되는 애플리케이션을 정의하는 설정의 모든 변경 내용입니다. 예를 들어 이러한 변경 내용은 Windows 레지스트리에서 Run 키를 검색하여 확인할 수 있습니다.
- 레지스트리에서 삭제 - 레지스트리 키나 해당 값을 삭제합니다.
- 레지스트리 키 이름 바꾸기 - 레지스트리 키 이름을 바꿉니다.
- 레지스트리 수정 - 레지스트리 키에 대한 새 값을 생성하거나 기존의 값을 변경하거나 DB 트리의 데이터를 이동하거나 레지스트리 키에 대한 사용자나 그룹 권한을 설정합니다.
규칙에 와일드카드 사용 규칙에 별표를 사용하여 특정 키(예: “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start”)를 대체할 수 있습니다. 와일드카드를 사용하는 다른 방법은 지원되지 않습니다. 대상이 지정된 HKEY_CURRENT_USER 키 규칙 생성 이 키는 SID(보안 식별자)로 식별된 사용자와 관련된 적절한 HKEY_USERS 하위 키 링크입니다. 현재 사용자 전용 규칙을 생성하려면 HKEY_CURRENT_USER 경로를 사용하는 대신 HKEY_USERS\%SID%를 가리키는 경로를 사용합니다. SID는 별표를 이용해 모든 사용자에게 적용되는 규칙을 만들 수 있습니다. |
매우 일반적인 규칙을 생성한 경우 이 유형의 규칙에 대한 경고가 표시됩니다. |
다음 예에서는 특정 애플리케이션의 원치 않는 동작을 제한하는 방법을 설명합니다.
- 규칙 이름을 지정하고 동작 드롭다운 메뉴에서 차단을 선택합니다(또는 나중에 선택하려는 경우 확인).
- 사용자에게 알림 스위치를 활성화하여 규칙이 적용될 때마다 알림을 표시할 수 있습니다.
- 규칙이 적용될 하나 이상의 작업을 영향을 주는 작업 섹션에서 선택합니다.
- 다음을 클릭합니다.
- 소스 애플리케이션 창의 드롭다운 메뉴에서 특정 애플리케이션을 선택하여 지정한 애플리케이션에서 선택된 모든 애플리케이션 작업을 수행하려고 하는 모든 애플리케이션에 새 규칙을 적용합니다.
- 추가를 클릭한 다음 ...를 클릭하여 특정 애플리케이션 경로를 선택한 후 확인을 클릭합니다. 원한다면 더 많은 애플리케이션을 추가합니다.
예를 들면 다음과 같습니다. C:\Program Files (x86)\Untrusted application\application.exe - 파일에 작성 작업을 선택합니다.
- 드롭다운 메뉴에서 모든 파일을 선택합니다. 이렇게 하면 이전 단계에서 선택한 애플리케이션이 파일에 쓰려는 모든 시도가 차단됩니다.
- 마침을 클릭하여 새 규칙을 저장합니다.