Configuración de reglas HIPS
Vea primero Administración de reglas del HIPS.
Nombre de la regla – nombre de la regla definido por el usuario o elegido automáticamente.
Acción – especifica una acción; Permitir, Bloquear o Preguntar; que se deberá llevar a cabo si se cumple con las condiciones.
Operaciones que afectan – debe seleccionar el tipo de operación a la que se aplicará la regla. La regla solo se utilizará para este tipo de operación y para el destino seleccionado.
Habilitada – deshabilite este interruptor si desea conservar la regla en la lista pero no quiere aplicarla.
Registro – si activa esta opción, la información sobre esta regla se incluirá en el registro de HIPS.
Notificar al usuario – cuando se acciona un suceso, aparece una ventana emergente pequeña en la esquina inferior derecha.
La regla está compuesta por partes que describen las condiciones que la accionan:
Aplicaciones de origen–la regla solo se utilizará si esta aplicación o estas aplicaciones accionan el evento. Seleccione Aplicaciones específicas en el menú desplegable y haga clic en Agregar para agregar archivos nuevos, o puede seleccionar Todas las aplicaciones en el menú desplegable para agregar todas las aplicaciones.
Archivos– la regla solo se utilizará si la operación está relacionada con este destino. Seleccione Archivos específicos en el menú desplegable y haga clic en Agregar para agregar carpetas o archivos nuevos, o puede seleccionar Todas los archivos en el menú desplegable para agregar todos los archivos.
Aplicaciones– la regla solo se utilizará si la operación está relacionada con este destino. Seleccione Aplicaciones específicas en el menú desplegable y haga clic en Agregar para agregar carpetas o archivos nuevos, o puede seleccionar Todas las aplicaciones en el menú desplegable para agregar todas las aplicaciones.
Entradas de registro– la regla solo se utilizará si la operación está relacionada con este destino. Seleccione Entradas específicas en el menú desplegable y haga clic en Agregar para agregar carpetas o archivos nuevos, o puede seleccionar Todas las entradas en el menú desplegable para agregar todas las aplicaciones.
|
Nota Algunas operaciones de reglas específicas predefinidas por el sistema HIPS no se pueden bloquear y están permitidas en forma predeterminada. Además, el sistema HIPS no monitorea todas las operaciones del sistema. HIPS monitorea las operaciones que se pueden considerar no seguras. |
Descripciones de las operaciones más importantes:
Operaciones de archivos
•Eliminar el archivo – la aplicación pide permiso para eliminar el archivo de destino.
•Escribir en el archivo – la aplicación pide permiso para escribir en el archivo de destino.
•Acceso directo al disco – la aplicación está intentando leer el disco o escribir en él de una forma que no es la estándar, lo que evade los procedimientos comunes de Windows. Esto puede provocar que se modifiquen los archivos sin haber aplicado las reglas correspondientes. Esta operación puede haberse generado por malware que intenta evadir la detección, un software de creación de copias de seguridad que intenta hacer una copia exacta del disco, o un administrador de particiones que intenta reorganizar los volúmenes de disco.
•Instalar enlace global – se refiere al llamado de la función SetWindowsHookEx de la biblioteca MSDN.
•Cargar controlador – instalación y carga de controladores en el sistema.
Operaciones de la aplicación
•Depurar otra aplicación – adjuntar un depurador al proceso. Cuando se depura una aplicación, es posible ver y modificar muchos detalles de su conducta, así como acceder a sus datos.
•Interceptar eventos desde otra aplicación – la aplicación de origen está intentando capturar eventos dirigidos a una aplicación específica (por ejemplo, un keylogger que intenta capturar eventos del navegador).
•Finalizar/suspender otra aplicación – suspende, reanuda o termina un proceso (se puede acceder directamente desde el Explorador de procesos o el Panel de procesos).
•Iniciar una aplicación nueva – inicio de aplicaciones o procesos nuevos.
•Modificar el estado de otra aplicación – la aplicación de origen está intentando escribir en la memoria de las aplicaciones de destino o ejecutar un código en su nombre. Esta funcionalidad puede resultar útil para proteger una aplicación esencial mediante su configuración como aplicación de destino en una regla que bloquee el uso de dicha operación.
|
Nota No es posible interceptar las operaciones del proceso en la versión de 64 bits de Windows XP. |
Operaciones de registros
•Modificar la configuración del inicio – cualquier cambio en la configuración que defina qué aplicaciones se ejecutarán durante el inicio de Windows. Pueden encontrarse, por ejemplo, al buscar la clave Run en el registro de Windows.
•Eliminar del registro – eliminar una clave de registro o su valor.
•Volver a nombrar la clave de registro – volver a nombrar claves de registros.
•Modificar el registro – crear nuevos valores de claves de registro, modificar los valores existentes, cambiar datos de lugar en el árbol de la base de datos o configurar derechos de usuarios o de grupos para las claves de registro.
|
Nota Uso de comodines en las reglas Un asterisco en las reglas sólo se puede utilizar para sustituir una determinada clave, por ejemplo, "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start". No se admiten otras formas de utilizar comodines. Crear reglas dirigidas a la clave HKEY_CURRENT_USER Esta clave es sólo un enlace a la subclave apropiada de HKEY_USERS específica para el usuario identificado por SID (identificador seguro). Para crear una regla sólo para el usuario actual, en lugar de utilizar una ruta a HKEY_CURRENT_USER, utilice una ruta que dirija a HKEY_USERS\%SID%. Como un SID puede utilizar un asterisco para que la regla sea aplicable a todos los usuarios. |
|
Advertencia Si crea una regla muy genérica, se mostrará la advertencia sobre este tipo de regla. |
En el siguiente ejemplo, mostraremos cómo restringir las conductas no deseadas de una aplicación específica:
1.Póngale un nombre a la regla y seleccione Bloquear (o Preguntar si prefiere elegir más adelante) desde el menú desplegable Acción.
2.Habilite el interruptor Notificar al usuario para mostrar una notificación cada vez que se aplique una regla.
3.Seleccione al menos una operación en la sección Operaciones que afectan para la cual se aplicará la regla.
4.Haga clic en Siguiente.
5.En la ventana Aplicaciones de origen, seleccione Aplicaciones específicas en el menú desplegable para aplicar la nueva regla a todas las aplicaciones que intenten llevar a cabo alguna de las operaciones de aplicaciones seleccionadas en las aplicaciones que especificó.
6.Haga clic en Agregar y, luego, en ... para elegir una ruta para una aplicación específica y, luego, presione Aceptar. Añada más aplicaciones si lo prefiere.
Por ejemplo: C:\Program Files (x86)\Untrusted application\application.exe
7.Seleccione la operación Escribir en el archivo.
8.Seleccione Todos los archivos del menú desplegable. De esta manera, se bloquearán los intentos por escribir archivos por parte de la(s) aplicación(es) seleccionada(s) en el paso anterior.
9.Haga clic en Finalizar para guardar la regla nueva.
