Configurações de regra HIPS
Consulte primeiro o Gerenciamento de regras de HIPS.
Nome da regra - Nome da regra definida pelo usuário ou definida automaticamente.
Ação – Especifica uma ação – Permitir, Bloquear ou Perguntar – que deve ser realizada se as condições forem cumpridas.
Operações afetando - É preciso selecionar o tipo de operação para o qual a regra será aplicada. A regra será utilizada apenas para esse tipo de operação e para o destino selecionado.
Ativado – desative a alternância se deseja manter a regra na lista, mas não deseja aplicá-la.
Gravidade do registro em relatório - Se você ativar essa opção, as informações sobre esta regra serão gravadas no Registro em relatório HIPS.
Notificar usuário – se um evento for acionado, uma notificação será exibida no canto inferior direito.
A regra consiste em partes que descrevem as condições que acionam essa regra:
Aplicativos de origem - A regra será utilizada apenas se o evento for acionado por esse(s) aplicativo(s). Selecione Aplicativos específicos no menu suspenso e clique em Adicionar para adicionar novos arquivos, ou selecione Todos os aplicativos no menu suspenso para adicionar todos os aplicativos.
Arquivos de destino– A regra será utilizada apenas se a operação estiver relacionada a esse destino. Selecione Arquivos específicos no menu suspenso e clique em Adicionar para adicionar novos arquivos ou pastas, ou selecione Todos os arquivos no menu suspenso para adicionar todos os arquivos.
Aplicativos -A regra será utilizada apenas se a operação estiver relacionada a esse destino. Selecione Aplicativos específicos no menu suspenso e clique em Adicionar para adicionar novos arquivos ou pastas, ou selecione Todos os aplicativos no menu suspenso para adicionar todos os aplicativos.
Entradas do registro - A regra será utilizada apenas se a operação estiver relacionada a esse destino. Selecione Entradas específicas no menu suspenso e clique em Adicionar para adicionar novos arquivos ou pastas, ou selecione Todas as entradas no menu suspenso para adicionar todos os aplicativos.
Algumas operações de regras específicas predefinidas pelo HIPS não podem ser bloqueadas e são permitidas por padrão. Além disso, nem todas as operações de sistema são monitoradas pelo HIPS. O HIPS monitora operações que podem ser consideradas inseguras. |
Ao especificar um caminho, o C:\example afeta ações com a própria pasta e o C:\example\*.* afeta os arquivos na pasta. |
Operações de aplicativo
- Todas as operações do aplicativo— habilita todas as opções listadas abaixo.
- Depurar outro aplicativo - Anexa um depurador ao processo. Ao depurar um aplicativo, muitos detalhes de seu comportamento podem ser visualizados e alterados, e seus dados podem ser acessados.
- Interceptar eventos de outro aplicativo - O aplicativo de origem está tentando obter eventos direcionados a um aplicativo específico (por exemplo, um keylogger está tentando capturar eventos do navegador).
- Finalizar/suspender outro aplicativo - Suspende, retoma ou finaliza um processo (pode ser acessado diretamente pelo Explorador de Processos ou pelo painel Processos).
- Iniciar novo aplicativo - Iniciando novos aplicativos ou processos.
- Modificar o estado de outro aplicativo - O aplicativo de origem está tentando gravar na memória do aplicativo de destino ou executar um código em seu nome. Este recurso pode ser útil para proteger um aplicativo essencial, configurando-o como um aplicativo de destino em uma regra bloqueando o uso desta operação.
Operações de registro
- Modificar configurações de inicialização - Quaisquer alterações nas configurações, que definam quais aplicativos serão executados na inicialização do Windows. Esses aplicativos podem ser encontrados, por exemplo, pesquisando pela chave Run no registro do Windows.
- Excluir do registro - Exclui uma chave do registro ou seu valor.
- Renomear chave do registro - Renomeia chaves do registro.
- Alterar registro - Cria novos valores de chaves de registro, alterando os valores existentes, movendo dados na árvore de banco de dados ou configurando direitos de usuário ou de grupos para as chaves do registro.
Usando caracteres curinga nas regras Um asterisco em uma regra só pode ser usado para substituir uma tecla em particular, por exemplo Um asterisco em uma regra só pode ser usado para substituir uma tecla em particular, por exemplo “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start”. Outras formas de usar os caracteres curinga não são possíveis. Criar regras tendo como destino a tecla HKEY_CURRENT_USER Esta chave é apenas um link para a subchave apropriada HKEY_USERS específica ao usuário SID identificado pelo (identificador seguro). Para criar uma regra apenas para o usuário atual, em vez de usar um caminho para HKEY_CURRENT_USER, use um caminho indo para HKEY_USERS\%SID%. Como SID você pode usar um asterisco para fazer com que a regra seja aplicável para todos os usuários. |
Se você criar uma regra muito genérica, o alerta sobre este tipo de regra será exibido. |
No exemplo a seguir, demonstraremos como restringir o comportamento indesejado de um aplicativo específico:
- Nomeie a regra e selecione Bloquear (ou Perguntar se você preferir escolher posteriormente) do menu suspenso Ação.
- Ative a opção Notificar usuário para exibir uma notificação sempre que uma regra for aplicada.
- Selecione pelo menos uma operação para a qual a regra será aplicada na seção Operações afetando.
- Clique em Avançar.
- Na janela Aplicativos de origem, selecione Aplicativos específicos no menu suspenso para aplicar sua nova regra a todos os aplicativos que tentarem realizar qualquer uma das operações de aplicativo selecionadas nos aplicativos especificados.
- Clique em Adicionar e em ... para selecionar um caminho para um aplicativo específico, então pressione OK. Adicione mais aplicativos se preferir.
Por exemplo: C:\Program Files (x86)\Untrusted application\application.exe - Selecione a operação Gravar no arquivo.
- Selecione Todos os arquivos do menu suspenso. Isso vai bloquear qualquer tentativa de gravação em quaisquer arquivos feitas pelo(s) aplicativo(s) selecionado(s) na etapa anterior.
- Clique em Concluir para salvar sua nova regra.