إعدادات قواعد HIPS

اطلع على إدارة قواعد HIPS أولاً.

اسم القاعدة - اسم القاعدة المعرف بواسطة المستخدم أو المختار تلقائياً.

الإجراء - لتحديد الإجراء - سماح أو حظر أو سؤال - الذي يجب تنفيذه في حالة استيفاء الشروط.

العمليات المتضررة - يجب تحديد نوع العملية التي سيتم تطبيق القاعدة عليها. لن يتم استخدام القاعدة إلا مع نوع العملية هذا ومع الهدف المحدد فقط.

ممكَّن - يمكنك تعطيل مفتاح التبديل هذا إذا أردت الاحتفاظ بالقاعدة في القائمة مع عدم تطبيقها.

تسجيل - في حالة تنشيط هذا الخيار، ستتم كتابة معلومات عن هذه القاعدة في سجل HIPS.

إعلام المستخدم - نافذة منبثقة صغيرة تظهر في الزاوية السفلية اليسرى في حالة تشغيل حدث.

 

تتكون القاعدة من أجزاء تصف شروط تشغيل هذه القاعدة:

التطبيقات المصدر - لن يتم استخدام القاعدة إلا في حالة تشغيل الحدث بواسطة هذا التطبيق (التطبيقات). حدد تطبيقات معينة من القائمة المنسدلة وانقر فوق إضافة لإضافة ملفات جديدة أو حدد كل التطبيقات من القائمة المنسدلة لإضافة كل التطبيقات.

الملفات - لن يتم استخدام القاعدة إلا إذا كانت العملية ذات صلة بهذا الهدف. حدد ملفات معينة من القائمة المنسدلة وانقر فوق إضافة لإضافة ملفات أو مجلدات جديدة أو حدد كل الملفات من القائمة المنسدلة لإضافة كل التطبيقات.

التطبيقات - لن يتم استخدام القاعدة إلا إذا كانت العملية ذات صلة بهذا الهدف. حدد تطبيقات معينة من القائمة المنسدلة وانقر فوق إضافة لإضافة ملفات أو مجلدات جديدة أو حدد كل التطبيقات من القائمة المنسدلة لإضافة كل التطبيقات.

إدخالات السجل - لن يتم استخدام القاعدة إلا إذا كانت العملية ذات صلة بهذا الهدف. حدد إدخالات معينة من القائمة المنسدلة وانقر فوق إضافة لإضافة ملفات أو مجلدات جديدة أو حدد كل الإدخالات من القائمة المنسدلة لإضافة كل التطبيقات.

note

ملاحظة

لا يمكن حظر بعض العمليات الخاصة بالقواعد المعرفة مسبقاً بواسطة نظام HIPS ويتم السماح بها حسب الإعداد الافتراضي. إضافة إلى ذلك، لا تتم مراقبة كل عمليات النظام بواسطة HIPS. فنظام HIPS يراقب العمليات التي من المحتمل أن تكون غير آمنة.

أوصاف العمليات المهمة:

عمليات الملفات

حذف ملف - يطلب التطبيق الحصول على إذن لحذف الملف الهدف.

كتابة إلى الملف - يطلب التطبيق الحصول على إذن للكتابة في الملف الهدف.

وصول مباشر إلى القرص - يحاول التطبيق القراءة من القرص أو الكتابة عليه بطريقة غير قياسية ستخدع إجراءات Windows المعتادة. قد يؤدي هذا إلى تعديل الملفات بدون تطبيق القواعد المقابلة. قد تحدث هذه العملية بسبب أن أحد البرامج الضارة يحاول تجنب الحذف، أو أن برنامج النسخ الاحتياطي يحاول إجراء نسخة طبق الأصل من القرص، أو أن إدارة الأقسام تحاول إعادة تنظيم وحدات التخزين على القرص.

تثبيت موضع الإضافة في الروتين العمومي - تشير إلى استدعاء وظيفة SetWindowsHookEx من مكتبة MSDN.

تحميل برنامج التشغيل - تثبيت برامج التشغيل وتحميلها على النظام.

عمليات التطبيقات

تصحيح أخطاء تطبيق آخر - إرفاق مصحح أخطاء بالعملية. أثناء تصحيح أخطاء التطبيق، يمكن عرض العديد من تفاصيل السلوك الخاص به وتعديلها، كما يمكن الوصول إلى بياناته.

اعتراض أحداث من تطبيق آخر - يحاول التطبيق المصدر التقاط الأحداث المستهدفة في تطبيق معين (على سبيل المثال، يحاول برنامج تسجيل ضغطات المفاتيح التقاط أحداث المستعرض).

إنهاء/تعليق تطبيق آخر - تعليق عملية أو استئنافها أو إنهاؤها (يمكن الوصول إلى ذلك مباشرةً من مستكشف العمليات أو جزء العمليات).

بدء تطبيق جديد - بدء تطبيقات أو عمليات جديدة.

تعديل حالة تطبيق آخر - يحاول التطبيق المصدر الكتابة في ذاكرة التطبيقات الهدف أو تشغيل التعليمات البرمجية من أجلها. قد تكون هذه الوظيفة مفيدة لحماية تطبيق أساسي بتكوينه كتطبيق هدف في قاعدة تحظر استخدام هذه العملية.

note

ملاحظة

لا يمكن اعتراض العمليات في إصدار 64 بت من نظام التشغيل Windows XP.

عمليات التسجيل

تعديل إعدادات بدء التشغيل - أي تغييرات في الإعدادات التي تعرّف التطبيقات التي يتم تشغيلها عند بدء تشغيل Windows. ويمكن العثور عليها، على سبيل المثال، عبر البحث عن مفتاح Run في تسجيل Windows.

حذف من التسجيل - حذف مفتاح تسجيل أو قيمته.

إعادة تسمية مفتاح التسجيل - إعادة تسمية مفاتيح التسجيل.

تعديل التسجيل - إنشاء قيم جديدة لمفاتيح التسجيل، أو تغيير القيم الموجودة، أو نقل البيانات في شجرة قاعدة البيانات، أو إعداد حقوق المستخدم أو المجموعة لمفاتيح التسجيل.

note

ملاحظة

استخدام أحرف البدل في القواعد

لا يمكن استخدام علامة النجمة في القواعد إلا لاستبدال مفتاح معين، على سبيل المثال، “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start”. لا يتم اعتماد طرق أخرى لاستخدام أحرف البدل.

إنشاء قواعد تستهدف مفتاح HKEY_CURRENT_USER

هذا المفتاح هو ارتباط إلى المفتاح الفرعي المناسب من HKEY_USERS خاص بالمستخدم المعرّف بواسطة معرّف آمن (SID). لإنشاء قاعدة فقط للمستخدم الحالي، بدلاً من استخدام مسار إلى HKEY_CURRENT_USER، استخدم مسار يشير إلى HKEY_USERS\%SID%. كونك SID، يمكنك استخدام العلامة النجمية لجعل القاعدة سارية لكافة المستخدمين.

warning

تحذير

في حالة إنشاء قاعدة عامة إلى حد بعيد، سيتم عرض تحذير عن هذا النوع من القواعد.

في المثال التالي، سنعرض كيفية تقييد السلوكيات غير المرغوب فيها لتطبيق معين:

1.أطلق اسماً للقاعدة وحدد حظر (أو سؤال إذا كنت تفضل الاختيار لاحقاً) من القائمة المنسدلة إجراء.

2.قم بتمكين مفتاح تبديل إعلام المستخدم لعرض إعلام كلما تم تطبيق قاعدة.

3.حدد عملية واحدة على الأقل في قسم العمليات المتضررة للقاعدة التي سيتم تطبيقها.

4.انقر فوق التالي.

5.من نافذة التطبيقات المصدر، حدد كل التطبيقات من القائمة المنسدلة لتطبيق القاعدة الجديدة على تطبيقات معينة التي تحاول تنفيذ أي من عمليات التطبيقات المحددة في التطبيقات التي حددتها.

6.انقر فوق إضافة ثم ... لاختيار مسار لتطبيق معين ثم اضغط على موافق. أضف المزيد من التطبيقات إذا كنت تريد ذلك.
على سبيل المثال: C:\Program Files (x86)\Untrusted application\application.exe

7.حدد عملية الكتابة في ملف.

8.حدد جميع الملفات من القائمة المنسدلة . سيؤدي هذا إلى حظر أي محاولات للكتابة في أي ملفات من قبل التطبيق (التطبيقات) المحددة من الخطوة السابقة.

9.انقر فوق إنهاء لحفظ القاعدة الجديدة.

CONFIG_HIPS_RULES_EXAMPLE