Ustawienia reguł systemu HIPS

Najpierw zobacz: Zarządzanie regułami systemu HIPS.

Nazwa regułynazwa reguły podana przez użytkownika lub wybrana automatycznie.

Czynność określona czynność (Zezwól, Blokuj lub Pytaj), która ma zostać wykonana, gdy spełnione są warunki.

Operacje dotyczące — należy wybrać typ operacji, do której stosowana będzie reguła. Reguła będzie stosowana tylko w przypadku podanego typu operacji i wybranego elementu.

Włączona — wyłączenie tego przełącznika umożliwia zachowanie reguły na liście bez jej stosowania.

Zapisz w dziennikuuruchomienie tej opcji spowoduje, że informacje o regule będą zapisywane w dzienniku systemu HIPS.

Powiadom użytkownikapo wywołaniu zdarzenia w prawym dolnym rogu ekranu zostanie wyświetlone małe wyskakujące okno.

 

Reguła składa się z części, które opisują warunki powodujące jej wywołanie:

Aplikacje źródłowe reguła będzie stosowana tylko, jeśli zdarzenie zostanie spowodowane przez wymienione aplikacje. W celu dodania nowych plików należy wybrać z menu rozwijanego opcję Określone aplikacje i kliknąć opcję Dodaj. Aby dodać wszystkie aplikacje, można wybrać z menu rozwijanego opcję Wszystkie aplikacje.

Plikireguła będzie stosowana tylko, gdy operacja będzie dotyczyła określonego elementu docelowego. W celu dodania nowych plików lub folderów należy wybrać z menu rozwijanego opcję Określone pliki i kliknąć przycisk Dodaj. W celu dodania wszystkich aplikacji można wybrać z menu rozwijanego opcję Wszystkie pliki.

Aplikacje reguła będzie stosowana tylko, gdy operacja będzie dotyczyła określonego elementu docelowego. W celu dodania nowych plików lub folderów należy wybrać z menu rozwijanego opcję Określone aplikacje i kliknąć przycisk Dodaj. W celu dodania wszystkich aplikacji można wybrać z menu rozwijanego opcję Wszystkie aplikacje.

Wpisy rejestru reguła będzie stosowana tylko, gdy operacja będzie dotyczyła określonego elementu docelowego. W celu dodania nowych plików lub folderów należy wybrać z menu rozwijanego opcję Określone wpisy i kliknąć przycisk Dodaj. W celu dodania wszystkich aplikacji można wybrać z menu rozwijanego opcję Wszystkie wpisy.

note

Uwaga

Niektórych operacji dotyczących określonych reguł wstępnie zdefiniowanych w systemie HIPS nie można blokować i są one domyślnie dozwolone. Ponadto nie wszystkie operacje systemowe są monitorowane przez system HIPS. System HIPS monitoruje operacje, które można uznać za niebezpieczne.

Opisy ważnych operacji:

Operacje na plikach

Usunięcie pliku — aplikacja monituje o zezwolenie na usunięcie pliku docelowego.

Zapis do pliku — aplikacja monituje o zezwolenie na zapis do pliku docelowego.

Bezpośredni dostęp do dysku — aplikacja próbuje dokonywać odczytu z dysku lub zapisu na dysku w niestandardowy sposób omijający standardowe procedury systemu Windows. Może to spowodować modyfikacje plików bez zastosowania odpowiednich reguł. Ta operacja może być spowodowana przez szkodliwe oprogramowanie próbujące uniknąć wykrycia, program do tworzenia kopii zapasowych próbujący wykonać dokładną kopię dysku lub program do zarządzania partycjami próbujący zmienić układ woluminów dyskowych.

Instalacja globalnego punktu zaczepienia — wskazuje na wywołanie funkcji SetWindowsHookEx z biblioteki MSDN.

Ładowanie sterownika instalowanie i ładowanie sterowników w systemie.

Operacje na aplikacjach

Debugowanie innej aplikacji — dołączenie debugera do procesu. Podczas debugowania aplikacji można odczytać i zmodyfikować wiele szczegółów związanych z jej działaniem oraz uzyskać dostęp do jej danych.

Przechwytywanie zdarzeń z innej aplikacji — aplikacja źródłowa próbuje przechwycić zdarzenia skierowane do określonej aplikacji (na przykład program rejestrujący znaki wprowadzane na klawiaturze próbuje przechwycić zdarzenia przeglądarki internetowej).

Zakończenie/wstrzymanie innej aplikacji — zawieszenie, wznowienie lub zakończenie procesu (dostęp można uzyskać bezpośrednio z Eksploratora procesów lub okienka Procesy).

Uruchomienie nowej aplikacji — uruchamianie nowych aplikacji lub procesów.

Modyfikacja stanu innej aplikacji — aplikacja źródłowa próbuje dokonać zapisu w pamięci aplikacji docelowych lub uruchomić kod w ich imieniu. Ta funkcja może być przydatna do zapewnienia ochrony ważnej aplikacji przez skonfigurowanie tej aplikacji jako docelowej w regule blokującej korzystanie z tej operacji.

note

Uwaga

Nie można przechwytywać operacji procesów w 64-bitowej wersji systemu Windows XP.

Operacje na rejestrze

Zmiana ustawień uruchamiania — dowolne zmiany w ustawieniach określających, które aplikacje będą uruchamiane podczas uruchamiania systemu Windows. Można je znaleźć, przeszukując na przykład klucz Run w rejestrze systemu Windows.

Usunięcie z rejestru — usunięcie klucza rejestru lub jego wartości.

Zmiana nazwy klucza rejestru — zmiana nazw kluczy rejestru.

Modyfikacja rejestru — tworzenie nowych wartości kluczy rejestru, zmienianie istniejących wartości, przenoszenie danych w drzewie bazy danych lub ustawianie praw użytkowników lub grup do kluczy rejestru.

note

Uwaga

Korzystanie z symboli wieloznacznych w regułach

Gwiazdki można użyć w regule tylko do zastąpienia konkretnego klucza, na przykład „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start”. Inne użycie symboli wieloznacznych nie jest obsługiwane.

Tworzenie reguł odnoszących się do klucza HKEY_CURRENT_USER

Ten klucz jest tylko łączem do odpowiedniego podklucza HKEY_USERS dotyczącego użytkownika określonego przez identyfikator zabezpieczeń (SID). Aby utworzyć regułę tylko dla bieżącego użytkownika, zamiast ścieżki do klucza HKEY_CURRENT_USER należy użyć ścieżki wskazującej identyfikator HKEY_USERS\%SID%. Aby reguła miała zastosowanie do wszystkich użytkowników, jako identyfikatora SID można użyć gwiazdki.

warning

Ostrzeżenie

W przypadku utworzenia bardzo ogólnej reguły, zostanie wyświetlone ostrzeżenie dotyczące tego typu reguł.

W poniższym przykładzie pokazano, jak ograniczyć niepożądane działanie konkretnej aplikacji:

1.Nadaj nazwę regule i w menu rozwijanym Czynność wybierz polecenie Blokuj (lub Zapytaj, jeśli chcesz podjąć decyzję później).

2.Użyj przełącznika Powiadom użytkownika, aby wyświetlać powiadomienie za każdym razem, gdy reguła jest stosowana.

3.Wybierz co najmniej jedną operację w sekcji Operacje dotyczące, której będzie dotyczyć reguła.

4.Kliknij opcję Dalej.

5.W oknie Aplikacje źródłowe z menu rozwijanego wybierz opcję Określone aplikacje, aby zastosować nową regułę do wszystkich aplikacji próbujących wykonać dowolną z wybranych operacji dotyczących podanych aplikacji.

6.Kliknij przycisk Dodaj, a następnie kliknij pozycję ..., wybierz ścieżkę do określonej aplikacji i naciśnij przycisk OK. W razie potrzeby dodaj więcej aplikacji.
Przykład: C:\Program Files (x86)\Untrusted application\application.exe

7.Wybierz operację Zapis do pliku.

8.Z menu rozwijanego wybierz opcję Wszystkie pliki. Spowoduje to zablokowanie wszelkich prób zapisu w dowolnych plikach przez aplikacje wybrane w poprzednim punkcie.

9.Kliknij przycisk Zakończ, aby zapisać nową regułę.

CONFIG_HIPS_RULES_EXAMPLE