Параметры правил HIPS
Сначала ознакомьтесь с разделом Правила HIPS.
Имя правила: указанное пользователем или автоматически выбранное имя правила.
Действие: правило задает действие (Разрешить, Блокировать или Запросить), которое должно быть выполнено при соблюдении условий.
Операции влияния: выберите тип операции, к которому будет применяться правило. Правило будет использоваться только для этого типа операции и для выбранного объекта.
Включено: отключите этот переключатель, если правило нужно оставить в списке, но при этом не применять его.
Серьезность регистрируемых событий: если активировать этот параметр, информация об указанном правиле будет записываться в журнал HIPS.
Уведомить пользователя: если запускается событие, в правом нижнем углу экрана отображается уведомление.
Правило состоит из частей, в которых описываются условия выполнения правила.
Исходные приложения: правило будет использоваться только в том случае, если событие вызывается этими приложениями. Выберите пункт Определенные приложения в раскрывающемся меню и нажмите кнопку Добавить, чтобы добавить новые файлы, или выберите пункт Все приложения, чтобы добавить все приложения.
Целевые файлы: это правило будет использоваться, только если операция относится к данному целевому объекту. Выберите пункт Определенные файлы в раскрывающемся меню и щелкните Добавить, чтобы добавить новые файлы или папки, или выберите пункт Все файлы, чтобы добавить все файлы.
Приложения: это правило будет использоваться, только если операция относится к данному целевому объекту. Выберите пункт Определенные приложения в раскрывающемся меню и нажмите кнопку Добавить, чтобы добавить новые файлы или папки, или выберите пункт Все приложения, чтобы добавить все приложения.
Записи реестра: это правило будет использоваться, только если операция относится к данному целевому объекту. Выберите пункт Определенные записи в раскрывающемся меню и нажмите кнопку Добавить, чтобы добавить новые файлы или папки, или выберите пункт Все записи, чтобы добавить все приложения.
Некоторые операции определенных правил, предварительно заданных системой HIPS, невозможно заблокировать, и они разрешены по умолчанию. Кроме того, не все системные операции отслеживаются системой HIPS. Система HIPS отслеживает операции, которые могут считаться небезопасными. |
При указании пути строка C:\example влияет на действия с самой папкой, а строка C:\example\*.* влияет на файлы в папке. |
Операции с приложениями
- Все операции приложения: включает все перечисленные ниже опции.
- Выполнить отладку другого приложения: прикрепление отладчика к процессу. При отладке приложения можно просмотреть и изменить многие сведения о его поведении и получить доступ к его данным.
- Перехватывать события другого приложения: исходное приложение пытается записать события, направленные на другое приложение (например, клавиатурный шпион, пытающийся записать события браузера).
- Завершить/приостановить работу другого приложения: приостановка, возобновление или завершение процесса (можно получить доступ непосредственно из обозревателя процессов или панели «Процессы»).
- Запустить новое приложение: запуск новых приложений или процессов.
- Изменить состояние другого приложения: исходное приложение пытается осуществить запись в память целевого приложения или выполнить код от его имени. Эта функциональность может быть полезна для защиты важного приложения путем его настройки как целевого в правиле, блокирующем использование данной операции.
Операции с реестром
- Изменить параметры запуска: любые изменения параметров, которые определяют, какие приложения будут выполнены при запуске ОС Windows. Их можно найти, например, выполнив поиск раздела Run в реестре Windows.
- Удалить из реестра: удаление раздела реестра или его значения.
- Переименовать раздел реестра: переименование разделов реестра.
- Изменить реестр: создание новых значений разделов реестра, изменение существующих значений, перемещение данных в древовидной структуре базы данных или настройка прав пользователя или группы для разделов реестра.
Использование подстановочных знаков в правилах Звездочка в правилах может использоваться только для замены конкретного ключа, например HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start. Другие способы использования подстановочных символов не поддерживаются. Создание правил для ключа HKEY_CURRENT_USER Этот ключ является лишь ссылкой на соответствующий подраздел HKEY_USERS, специфичный для пользователя, идентифицированного защищенным идентификатором (SID). Чтобы создать правило только для текущего пользователя, вместо того чтобы использовать путь к HKEY_CURRENT_USER, используйте путь, указывающий на HKEY_USERS\%SID%. В качестве SID можно использовать звездочку, чтобы сделать правило применимым для всех пользователей. |
Если созданное правило будет слишком общим, появится соответствующее предупреждение. |
В следующем примере будет показано, как ограничить нежелательное поведение конкретного приложения.
- Присвойте правилу имя и выберите Блокировать (или Запросить, если вы хотите выбрать действие позже) в раскрывающемся меню Действие.
- Активируйте переключатель Уведомить пользователя, чтобы уведомление отображалось при каждом применении правила.
- Выберите хотя бы одну операцию в разделе Операции влияния, для которой будет применяться правило.
- Щелкните Далее.
- В окне Исходные приложения выберите в раскрывающемся списке вариант Определенные приложения. Новое правило будет применяться ко всем приложениям, которые будут пытаться выполнить любое из выбранных действий с указанными приложениями.
- Нажмите кнопку Добавить и ..., чтобы выбрать путь к определенному приложению. Затем нажмите кнопку OK. При необходимости добавьте дополнительные приложения.
Например: C:\Program Files (x86)\Untrusted application\application.exe - Выберите операцию Выполнить запись в файл.
- Выберите Все файлы в раскрывающемся меню. Это позволит заблокировать все попытки записи в файлы приложениями, которые были выбраны на предыдущем шаге.
- Нажмите кнопку Готово, чтобы сохранить новое правило.