Setări regulă HIPS
Consultați mai întâi Gestionare regulă HIPS.
Nume regulă – nume de regulă definit de utilizator sau ales automat.
Acțiune – specifică o acțiune – Permitere, Blocare sau Întreabă – care se va efectua dacă sunt corecte condițiile.
Operațiuni afectate – trebuie să selectați tipul de operațiune pentru care se va aplica regula. Regula se va utiliza numai pentru acest tip de operațiune și pentru ținta selectată.
Activată – Dezactivați comutatorul dacă doriți să păstrați regula în listă, însă nu doriți să o aplicați.
Severitate înregistrare în log – dacă activați această opțiune, informațiile despre această regulă se vor scrie în Log HIPS.
Notificare utilizator – în colțul din dreapta jos se afișează o notificare dacă se declanșează un eveniment.
Regula este formată din părți care descriu condițiile care declanșează această regulă:
Aplicații sursă– Regula se va utiliza numai dacă evenimentul este declanșat de această aplicație (sau aplicații). Selectați Aplicații specifice din meniul vertical și faceți clic pe Adăugare pentru a adăuga fișiere noi sau puteți selecta Toate aplicațiile din meniul vertical pentru a adăuga toate aplicațiile.
Fișiere țintă– regula se va utiliza numai dacă operațiunea este asociată acestei ținte. Selectați Fișiere specifice în meniul vertical și faceți clic pe Adăugare pentru a adăuga fișiere sau directoare noi sau puteți selecta Toate fișierele în meniul vertical pentru a adăuga toate fișiere.
Aplicații– regula se va utiliza numai dacă operațiunea este asociată acestei ținte. Selectați Aplicații specifice din meniul vertical și faceți clic pe Adăugare pentru a adăuga fișiere sau directoare noi sau puteți selecta Toate aplicațiile din meniul vertical pentru a adăuga toate aplicațiile.
Intrări de registry– regula se va utiliza numai dacă operațiunea este asociată acestei ținte. Selectați Intrări specifice din meniul vertical și faceți clic pe Adăugare pentru a adăuga fișiere sau directoare noi sau puteți selecta Toate intrările din meniul vertical pentru a adăuga toate aplicațiile.
Unele operațiuni ale regulilor specifice predefinite de HIPS nu se pot bloca și nu sunt permise în mod implicit. În plus, HIPS nu monitorizează toate operațiunile sistemului. HIPS monitorizează operațiunile care pot fi considerate periculoase. |
Când specificați o cale, C:\example afectează acțiunile cu folderul în sine, iar C:\example\*.* afectează fișierele din folder. |
Operațiuni legate de aplicații
- Toate operațiunile de aplicație–activează toate opțiunile enumerate mai jos.
- Depanare altă aplicație – atașare a unui depanator la proces. La depanarea unei aplicații, se pot vizualiza și modifica multe detalii ale comportamentului acesteia și i se pot accesa datele.
- Interceptare evenimente de la altă aplicație – aplicația sursă încearcă să surprindă evenimentele vizate la o anumită aplicație (de exemplu, un program de înregistrare a apăsărilor de taste care încearcă să surprindă evenimentele de browser).
- Terminare/suspendare altă aplicație – suspendare, reluare sau terminare a unui proces (se poate acces direct din Explorer procese sau din panoul Procese).
- Pornire aplicație nouă – pornire a unei aplicații noi sau a unui proces nou.
- Modificare stare pentru altă aplicație – aplicația sursă încearcă să scrie în memoria aplicației țintă sau să execute un cod în numele acesteia. Această funcționalitate poate fi utilă pentru a proteja o aplicație esențială prin configurarea acesteia ca aplicație țintă într-o regulă care blochează utilizarea acestei operațiuni.
Operațiuni legate de registry
- Modificare setări pornire – orice modificare a setărilor care definesc aplicațiile care se vor executa la pornirea sistemului Windows. Acestea se pot găsi, de exemplu, căutând cheia Run în registry-ul Windows.
- Ștergere din registry – ștergere a unei chei de registry sau a valorii acesteia.
- Redenumire cheie registry – redenumire a unor chei de registry.
- Modificare registry – creare a unor valori noi pentru cheile de registry, modificare a valorilor existente, mutare a datelor în structura de tip arbore a bazei de date sau setare a drepturilor de utilizator sau de grup pentru cheile de registry.
Utilizarea metacaracterelor în reguli Un asterisc se poate utiliza în reguli pentru a înlocui o anumită cheie, de exemplu “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start”. Nu sunt acceptate alte moduri de folosire a metacaracterelor. Crearea regulilor care vizează cheia HKEY_CURRENT_USER Această cheie este doar un link către subcheia adecvată a HKEY_USERS specific utilizatorului identificat de SID (identificator securizat). Pentru a crea o regulă numai pentru utilizatorul curent, în loc să folosiți o cale către HKEY_CURRENT_USER, folosiți o cale care indică HKEY_USERS\%SID%. Ca SID puteți folosi un asterisc pentru ca regula să se aplice tuturor utilizatorilor. |
Dacă creați o regulă foarte generică, se va afișa avertismentul despre acest tip de regulă. |
În exemplul următor, vom demonstra modul de restricționare a comportamentului nedorit a unei aplicații specifice:
- Numiți regula și selectați Blocare (sau Întrebare, dacă preferați să alegeți mai târziu) în meniul vertical Acțiune.
- Activați comutatorul Notificare utilizator pentru a se afișa o notificare de fiecare dată când se aplică o regulă.
- Selectați cel puțin o operațiune în secțiunea Operațiuni afectate pentru care se va aplica regula.
- Faceți clic pe Înainte.
- În fereastra Aplicații sursă, selectați Aplicații specifice din meniul vertical pentru a aplica regula nouă tuturor aplicațiilor care încearcă să efectueze oricare dintre operațiunile selectate asupra aplicațiilor specificate.
- Faceți clic pe Adăugare, apoi pe ... pentru a alege calea către o aplicație specifică, apoi apăsați pe OK. Dacă doriți, adăugați și alte aplicații.
Exemplu: C:\Program Files (x86)\Untrusted application\application.exe - Selectați operațiunea Scriere în fișier.
- Selectați Toate fișierele în meniul vertical. Astfel toate încercările aplicațiilor selectate la pasul precedent de a scrie vreun fișier vor fi blocate.
- Faceți clic pe Terminare pentru a salva regula nouă.