Behatolásmegelőző rendszer szabálybeállításai
Lásd: Behatolásmegelőző rendszer szabályainak kezelése
Szabály neve – A szabály felhasználó által megadott vagy automatikusan választott neve.
Művelet – A szabályok egy-egy műveletet – Engedélyezés, Tiltás vagy Rákérdezés – határoznak meg, amelyet a feltételek teljesülése esetén a program végrehajt.
Műveletek által érintett – Ki kell jelölnie a művelet típusát, amelyre a szabály vonatkozni fog. A szabály csak az ilyen típusú műveletre és a kijelölt célterületre vonatkozik.
Engedélyezve – Tiltsa le ezt a kapcsolót, ha meg szeretné őrizni a szabályt a listában, de nem kívánja alkalmazni.
Naplózás – Ha bekapcsolja ezt az opciót, a szabállyal kapcsolatos információkat a program bejegyzi a Behatolásmegelőző rendszer naplójába.
Felhasználó értesítése – Ha bejelöli ezt a jelölőnégyzetet, a szabály alkalmazásakor egy kisméretű értesítés jelenik meg képernyő jobb alsó sarkában.
A szabály az azt kiváltó feltételeket leíró részekből áll:
Forrásalkalmazások – A szabály alkalmazására csak akkor kerül sor, ha az eseményt ezek az alkalmazások váltották ki. A legördülő listában válassza az Adott alkalmazások elemet, és kattintson a Hozzáadás műveletre új fájlok hozzáadásához, illetve ha az összes alkalmazást hozzá szeretné adni, a legördülő listában választhatja Az összes alkalmazás elemet is.
Fájlok – A szabály alkalmazásához a műveletnek erre a célterületre kell vonatkoznia. A legördülő listában válassza az Adott fájlok elemet, és kattintson a Hozzáadás műveletre új fájlok vagy mappák hozzáadásához, illetve ha az összeset hozzá szeretné adni, a legördülő listában választhatja a Minden fájl elemet is.
Alkalmazások – A szabály alkalmazásához a műveletnek erre a célterületre kell vonatkoznia. A legördülő listában válassza az Adott alkalmazások elemet, és kattintson a Hozzáadás műveletre új fájlok vagy mappák hozzáadásához, illetve ha az összes alkalmazást hozzá szeretné adni, a legördülő listában választhatja Az összes alkalmazás elemet is.
Beállításjegyzék bejegyzései – A szabály alkalmazásához a műveletnek erre a célterületre kell vonatkoznia. A legördülő listában válassza az Adott bejegyzések elemet, és kattintson a Hozzáadás műveletre új fájlok vagy mappák hozzáadásához, illetve ha az összeset hozzá szeretné adni, a legördülő listában választhatja Az összes bejegyzés elemet is.
|
Megjegyzés A Behatolásmegelőző rendszer által előre létrehozott speciális szabályok egyes műveletei alapértelmezés szerint engedélyezettek, és nem tilthatók le. Emellett a rendszer csak azokat a rendszerműveleteket figyeli, amelyek rendszerint nem biztonságosak. |
Az alábbi szakaszok a fontosabb műveleteket ismertetik.
Fájlműveletek
•Fájl törlése – Az alkalmazás engedélyt kér a célfájlok törléséhez.
•Írás fájlba – Az alkalmazás engedélyt kér a célfájlok írásához.
•Közvetlen hozzáférés lemezhez – Az alkalmazás a Windows szokásos eljárásainak megkerülésével, nem normál módon próbálja meg olvasni vagy írni a lemezt. Ilyenkor nem alkalmazhatók a megfelelő szabályok, és ellenőrizetlenül módosulnak a fájlok. Ilyen műveleteket az észlelést kerülni próbáló kártevők, a lemezekről pontos másolatot készítő biztonsági mentési szoftverek, illetve a lemezkötetek átszervezését végző partíciókezelő szoftverek is végrehajthatnak.
•Globális beavatkozási rutin telepítése – Az MSDN Library SetWindowsHookEx függvényének hívása.
•Illesztőprogram betöltése – Illesztőprogramok betöltése és telepítése a rendszerben.
Alkalmazásműveletek
•Másik alkalmazás hibakeresése – Hibakereső csatlakoztatása a folyamathoz. Hibakeresés közben megfigyelhető és módosítható a tanulmányozott alkalmazás viselkedése, továbbá elérhetők az adatai is.
•Események elfogása másik alkalmazásból – A forrásalkalmazás megpróbálja elfogni a célalkalmazásnak szóló eseményeket (például egy keylogger így kaphatja el a böngésző eseményeit).
•Másik alkalmazás megszakítása/felfüggesztése – Egy folyamat felfüggesztése, folytatása vagy befejezése (közvetlenül a folyamattallózóból vagy a Folyamatok lapról érhető el).
•Új alkalmazás indítása – Új alkalmazások vagy folyamatok indítása.
•Másik alkalmazás állapotának módosítása – A forrásalkalmazás megpróbál írni a célalkalmazás memóriájába, vagy a célalkalmazás nevében kísérel meg programkódot futtatni. Ez a műveletvédelmi beállítás az alapvető fontosságú alkalmazások védelmében használható különösen jól. Ehhez az alkalmazást célalkalmazásként kell beállítania egy szabályban, mely letiltja ezt a műveletet.
|
Megjegyzés A feldolgozó műveletek elfogása nem lehetséges 64 bites Windows XP rendszereken. |
Beállításjegyzék-műveletek
•Indítási beállítások módosítása – A Windows indításakor futtatandó alkalmazásokkal kapcsolatos beállítások módosítása. A beállítások egy részét megtalálja, ha például a Run kulcsra keres a Windows beállításjegyzékében.
•Törlés a beállításjegyzékből – Beállításkulcs vagy beállításazonosító törlése.
•Beállításkulcs átnevezése – A beállításkulcsok átnevezése.
•Beállításjegyzék módosítása – Új beállításazonosítók létrehozása a beállításkulcsokban, a beállításazonosítók módosítása, adatok áthelyezése a beállításjegyzék fájában, illetve felhasználói vagy csoportos jogosultságok beállítása beállításkulcsokra.
|
Megjegyzés Helyettesítő karakterek használata A szabályokban a csillag csak egy adott kulcs helyettesítésére használható, pl „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start”. Más módon nem használhatók helyettesítő karakterek. A HKEY_CURRENT_USER kulcsot célzó szabályok létrehozása Ez a kulcs csak egy kapocs a HKEY_USERS megfelelő alkulcsához, amely a SID (biztonságos azonosító) által beazonosított felhasználóhoz kapcsolódik. Ha csak az aktuális felhasználónak szeretne szabályt létrehozni – a HKEY_CURRENT_USER kulcshoz vezető útvonal használata helyett – használjon egy olyan útvonalat, amely a HKEY_USERS\%SID% kulcshoz vezet. SID-ként használhat csillagot, így a szabály mindegyik felhasználóra vonatkozni fog. |
|
Figyelmeztetés Ha nagyon általános szabályt hoz létre, a program figyelmeztetést jelenít meg erről a szabálytípusról. |
Az alábbi példa egy adott alkalmazás nem kívánt működésének korlátozási módját szemlélteti:
1.Nevezze el a szabályt, és válassza ki a Tiltás elemet (vagy a Rákérdezés elemet, ha később szeretné kiválasztani) a Művelet legördülő listában.
2.Kapcsolja be a Felhasználó értesítése opciót, ha a szabályok alkalmazásakor értesítést szeretne megjeleníteni.
3.Válasszon ki legalább egy műveletet a Műveletek által érintett csoportban a szabályhoz.
4.Kattintson a Tovább gombra.
5.A Forrásalkalmazások ablak legördülő listájában válassza Adott alkalmazások elemet, ha azt szeretné, hogy az új szabály minden alkalmazásra vonatkozzon, amelyik megkísérli végrehajtani a kijelölt műveletek valamelyikét a megadott alkalmazásokon.
6.A Hozzáadás, majd a ... elemre kattintva válassza ki az adott alkalmazáshoz vezető útvonalat, és ezután nyomja meg az OK gombot. Ha szeretne, adjon meg további alkalmazásokat.
Példa: C:\Program Files (x86)\Untrusted application\application.exe
7.Válassza ki az Írás fájlba műveletet.
8.Válassza ki az Összes fájl menüpontot a legördülő menüben. Ezzel megakadályozza, hogy az előző lépésben kiválasztott alkalmazások írni tudjanak bármelyik fájlba.
9.A Befejezés gombra kattintva mentse az új szabályt.
