Configuración de regla de HIPS

En primer lugar, consulte Gestión de reglas de HIPS.

Nombre de la regla: nombre de la regla definido por el usuario o seleccionado automáticamente.

Acción: especifica la acción (Permitir, Bloquear o Preguntar) que debe realizarse si se cumplen las condiciones.

Operaciones afectadas: debe seleccionar el tipo de operación a la que se aplicará la regla. La regla solo se utilizará para este tipo de operación y para el destino seleccionado.

Activado: desactive este conmutador si desea conservar la regla en la lista pero no aplicarla.

Registro: si activa esta opción, la información acerca de esta regla se anotará en el registro de HIPS.

Advertir al usuario: cuando se activa un suceso, se abre una ventana emergente pequeña en la esquina inferior derecha.

 

La regla consta de partes que describen las condiciones que activan esta regla:

Aplicaciones de origen: la regla solo se utilizará si esta aplicación activa el suceso. Seleccione Aplicaciones específicas en el menú desplegable y haga clic en Agregar para agregar nuevos archivos o carpetas, o puede seleccionar Todas las aplicaciones en el menú desplegable para agregar todas las aplicaciones.

Archivos: la regla solo se utilizará si la operación está relacionada con este destino. Seleccione Archivos específicos en el menú desplegable y haga clic en Agregar para agregar nuevos archivos o carpetas, o puede seleccionar Todos los archivos en el menú desplegable para agregar todas los archivos.

Aplicaciones: la regla solo se utilizará si la operación está relacionada con este destino. Seleccione Aplicaciones específicas en el menú desplegable y haga clic en Agregar para agregar nuevos archivos o carpetas, o puede seleccionar Todas las aplicaciones en el menú desplegable para agregar todas las aplicaciones.

Entradas del registro: la regla solo se utilizará si la operación está relacionada con este destino. Seleccione Entradas específicas en el menú desplegable y haga clic en Agregar para agregar nuevos archivos o carpetas, o puede seleccionar Todas las entradas en el menú desplegable para agregar todas las aplicaciones.

note

Nota

algunas operaciones de reglas específicas predefinidas por HIPS no se pueden bloquear y se admiten de forma predeterminada. Además, HIPS no supervisa todas las operaciones del sistema, sino que supervisa las operaciones que considera peligrosas.

Descripción de las operaciones importantes:

Operaciones del archivo

Eliminar archivo: la aplicación solicita permiso para eliminar el archivo objetivo.

Escribir en archivo: la aplicación solicita permiso para escribir en el archivo objetivo.

Acceso directo al disco: la aplicación está intentando realizar una operación de lectura o escritura en el disco de una forma no convencional que burlará los procedimientos habituales de Windows. Esto puede provocar la modificación de archivos sin la aplicación de las reglas correspondientes. Esta operación puede estar provocada por un código malicioso que intente evadir el sistema de detección, un software de copia de seguridad que intente realizar una copia exacta de un disco o un gestor de particiones que intente reorganizar los volúmenes del disco.

Instalar enlace global: hace referencia a la invocación de la función SetWindowsHookEx desde la biblioteca MSDN.

Cargar controlador: instalación y carga de controladores en el sistema.

Operaciones de la aplicación

Depurar otra aplicación: conexión de un depurador al proceso. Durante el proceso de depuración de una aplicación es posible ver y modificar muchos aspectos de su comportamiento, así como acceder a sus datos.

Interceptar sucesos de otra aplicación: la aplicación de origen está intentando capturar sucesos dirigidos a una aplicación concreta (por ejemplo un registrador de pulsaciones que intenta capturar sucesos del navegador).

Terminar/suspender otra aplicación: suspende, reanuda o termina un proceso (se puede acceder a esta operación directamente desde el Process Explorer o el panel Procesos).

Iniciar una aplicación nueva: inicia aplicaciones o procesos nuevos.

Modificar el estado de otra aplicación: la aplicación de origen está intentando escribir en la memoria de la aplicación de destino o ejecutar código en su nombre. Esta función puede ser de utilidad para proteger una aplicación fundamental mediante su configuración como aplicación de destino en una regla que bloquee el uso de esta operación.

note

Nota

no es posible interceptar operaciones de procesos en Windows XP de 64 bits.

Operaciones del registro

Modificar la configuración del inicio: cambios realizados en la configuración que definan las aplicaciones que se ejecutarán al iniciar Windows. Estos cambios se pueden buscar, por ejemplo, buscando la clave Run en el Registro de Windows.

Eliminar del registro: elimina una clave del registro o su valor.

Cambiar el nombre de la clave del registro: cambia el nombre de las claves del registro.

Modificar el registro: crea valores nuevos para las claves del registro, modifica los valores existentes, mueve los datos en el árbol de la base de datos o configura los permisos de usuarios y grupos en las claves del registro.

note

Nota

Uso de comodines en las reglas

En el caso de las reglas, el asterisco solo puede utilizarse para sustituir una clave específica, como por ejemplo "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start". El resto de uso de comodines no son compatibles.

Creación de reglas para la clave HKEY_CURRENT_USER

Esta clave no es más que un vínculo a la subclave de HKEY_USERS, que es específica para el usuario identificado por el SID (identificador seguro). Para crear una regla únicamente para el usuario actual, en lugar de utilizar una ruta de acceso a HKEY_CURRENT_USER, utilice una ruta de acceso que le dirija a HKEY_USERS\%SID%. Puede utilizar un asterisco en lugar de SID para aplicar la regla a todos los usuarios.

warning

Advertencia

Si crea una regla muy genérica, se mostrará una advertencia sobre este tipo de regla.

En el siguiente ejemplo, mostraremos cómo restringir comportamientos no deseados de una aplicación específica:

1.Asigne un nombre a la regla y seleccione Bloquear (o Preguntar si prefiere decidir más tarde) en el menú desplegable Acción.

2.Active el conmutador Advertir al usuario para mostrar una notificación siempre que se aplique una regla.

3.Seleccione al menos una operación en la sección Operaciones afectadas a la que se le aplicará la regla.

4.Haga clic en Siguiente.

5.En la ventana Aplicaciones de origen, seleccione Aplicaciones específicas en el menú desplegable para aplicar la nueva regla a todas las aplicaciones que intenten realizar cualquiera de las operaciones de aplicación seleccionadas en las aplicaciones especificadas.

6.Haga clic en Agregar y, a continuación, en para elegir una ruta de acceso de una aplicación específica y, a continuación, pulse Aceptar. Agregue más aplicaciones si lo prefiere.
Por ejemplo: C:\Program Files (x86)\Untrusted application\application.exe

7.Seleccione la operación Escribir en archivo.

8.Seleccione Todos los archivos en el menú desplegable. Cuando una aplicación seleccionada en el paso anterior intente escribir en un archivo, se bloqueará dicho intento.

9.Haga clic en Finalizar para guardar la nueva regla.

CONFIG_HIPS_RULES_EXAMPLE