Postavke HIPS pravila

Najprije pogledajte upravljanje HIPS pravilima.

Naziv pravilaKorisnički definiran ili automatski odabran naziv pravila.

RadnjaSpecificira radnju – Dopusti, Blokiraj ili Pitaj – koja će se provesti ako se zadovolje uvjeti.

Operacije na koje se pravilo odnosi – Morate odabrati vrstu operacije na koje će se pravilo primijeniti. Pravilo će se koristiti samo za tu vrstu operacije i za odabrani cilj.

Aktivirano – Poništite odabir ovog potvrdnog okvira ako pravilo želite zadržati na popisu, no ne želite ga koristiti.

Dnevnikako aktivirate ovu opciju, informacije o ovom pravilu bit će zapisane u HIPS dnevnik.

Obavijesti korisnikaU donjem desnom kutu prikazat će se mali skočni prozor ako se pokrene događaj.

 

Pravilo se sastoji od tri dijela koji opisuju uvjete koji pokreću to pravilo:

Izvorne aplikacije Pravilo će se upotrebljavati samo ako je događaj pokrenula ova aplikacija/aplikacije. S padajućeg izbornika odaberite Specifične aplikacije i kliknite Dodaj ako želite dodati nove datoteke ili s padajućeg izbornika odaberite Sve aplikacije ako želite dodati sve aplikacije.

Datoteke Pravilo će se koristiti samo ako se operacija odnosi na taj objekt. S padajućeg izbornika odaberite specifične datoteke i kliknite Dodaj ako želite dodati nove datoteke ili mape ili s padajućeg izbornika odaberite sve datoteke ako želite dodati sve aplikacije.

Aplikacije Pravilo će se koristiti samo ako se operacija odnosi na taj objekt. S padajućeg izbornika odaberite specifične aplikacije i kliknite Dodaj ako želite dodati nove datoteke ili mape ili s padajućeg izbornika odaberite sve aplikacije ako želite dodati sve aplikacije.

Unosi u registar Pravilo će se koristiti samo ako se operacija odnosi na taj objekt. S padajućeg izbornika odaberite specifične unose i kliknite Dodaj ako želite dodati nove datoteke ili mape ili s padajućeg izbornika odaberite svi unosi ako želite dodati sve aplikacije.

note

Napomena

Neke operacije specifičnih pravila koje su unaprijed definirane značajkom HIPS ne mogu se blokirati i dopuštene su prema standardnim postavkama. Nadalje, HIPS ne nadzire sve operacije sustava. HIPS nadzire operacije koje se mogu smatrati nesigurnima.

Opisi važnih operacija:

Operacije datoteke

Izbriši datoteku – Aplikacija traži dopuštenje za brisanje ciljane datoteke.

Piši u datoteku – Aplikacija traži dopuštenje za zapisivanje u ciljanu datoteku.

Izravan pristup disku – Aplikacija pokušava očitati podatke s diska ili zapisivati na disk na nestandardan način koji zaobilazi uobičajene procedure sustava Windows. To može rezultirati izmjenom datoteka bez primjene odgovarajućih pravila. Tu operaciju može uzrokovati zlonamjerni softver koji pokušava izbjeći otkrivanje, softver za sigurnosno kopiranje koji pokušava napraviti točnu kopiju diska ili upravitelj particije koji pokušava reorganizirati podatke na disku.

Instaliraj globalnu kuku – Odnosi se na pozivanje funkcije SetWindowsHookEx iz biblioteke MSDN.

Učitaj upravljački programInstalacija i učitavanje upravljačkih programa u sustav.

Operacije aplikacija

Ukloni pogreške druge aplikacije – Prilaganje programa za uklanjanje pogrešaka u proces. Tijekom uklanjanja pogrešaka aplikacije mnoge pojedinosti tog ponašanja mogu se pregledati i izmijeniti te se može pristupiti podacima.

Presretni događaje iz druge aplikacije – Izvorna aplikacija pokušava uhvatiti događaje koji su usmjereni na određenu aplikaciju (na primjer, keylogger koji pokušava zabilježiti događaje preglednika).

Zatvori/obustavi drugu aplikaciju – Obustava, nastavak ili zatvaranje procesa (izravan pristup moguć iz značajke Process Explorer ili okna Procesi).

Pokreni novu aplikaciju – Pokretanje novih aplikacija ili procesa.

Preinači stanje druge aplikacije – Izvorna aplikacija pokušava zapisivati u memoriju ciljanih aplikacija ili u njihovo ime pokrenuti kôd. Ta funkcija može biti korisna za zaštitu ključne aplikacije koje se mogu konfigurirati kao ciljne aplikacije u pravilu koje blokira korištenje te operacije.

note

Napomena

Nije moguće presretanje operacija procesa na 64-bitnoj verziji sustava Windows XP.

Operacije registra

Preinači postavke pokretanja – Bilo koja promjena postavki koja definira koje će se aplikacije pokrenuti prilikom pokretanja sustava Windows. One se mogu pronaći ako se, na primjer, potraži ključ Run u registru sustava Windows.

Izbriši iz registra – Brisanje ključa registra ili njegove vrijednosti.

Promijeni naziv ključa registra – Mijenja naziv ključeva registra.

Izmijeni registar – Stvaranje novih vrijednosti ključeva registra, promjena postojećih vrijednosti, premještanje podataka na stablu baze podataka ili postavljanje korisničkih ili grupnih prava za ključeve registra.

note

Napomena

Upotreba zamjenskih znakova u pravilima

Zvjezdica u pravilima može se upotrijebiti isključivo za zamjenu određenog ključa, npr. "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start". Ostali načini upotrebe zamjenskih znakova nisu podržani.

Stvaranje pravila koja se odnose na ključ HKEY_CURRENT_USER

Ovaj je ključ samo link za odgovarajući potključ HKEY_USERS koji je specifičan za korisnika koji se identificira SID-om (sigurnim identifikatorom). Da bi se stvorilo pravilo samo za trenutačnog korisnika, umjesto upotrebe puta do HKEY_CURRENT_USER upotrijebite put do HKEY_USERS\%SID%. Za SID možete upotrijebiti zvjezdicu da bi se pravilo primijenilo na sve korisnike.

warning

Upozorenje

Ako stvorite preopćenito pravilo, prikazat će se upozorenje za tu vrstu pravila.

U sljedećem primjeru pokazat ćemo kako ograničiti neželjeno ponašanje određene aplikacije:

1.Unesite naziv pravila i odaberite Blokiraj (ili Pitaj ako želite odabrati kasnije) s padajućeg izbornika Radnja.

2.Aktivirajte potvrdni okvir Obavijesti korisnika da bi se pri svakoj primjeni pravila prikazala obavijest.

3.Odaberite barem jednu operaciju u odjeljku Operacije koje utječu na sljedeće objekte na koje će se primjenjivati pravilo.

4.Kliknite Dalje.

5.U prozoru Izvorne aplikacije na padajućem izborniku odaberite Određene aplikacije kako biste novo pravilo primijenili na sve aplikacije koje pokušavaju izvršiti bilo koju od odabranih operacija aplikacije na aplikacijama koje ste odredili.

6.Kliknite Dodaj i zatim ... da biste odabrali put do određene aplikacije i zatim pritisnite U redu. Dodajte više aplikacija ako želite.
Na primjer: C:\Program Files (x86)\Untrusted application\application.exe

7.Odaberite operaciju Pisanje u datoteku.

8.Odaberite Sve datoteke u padajućem izborniku. Time ćete blokirati sve pokušaje aplikacija odabranih u prethodnom koraku da pišu u bilo koje datoteke.

9.Kliknite Završi da biste spremili novo pravilo.

CONFIG_HIPS_RULES_EXAMPLE