Configurações de regra HIPS

Consulte primeiro o Gerenciamento de regras de HIPS.

Nome da regra - Nome da regra definida pelo usuário ou definida automaticamente.

AçãoEspecifica uma ação – Permitir, Bloquear ou Perguntar – que deve ser realizada se as condições forem cumpridas.

Operações afetando - É preciso selecionar o tipo de operação para o qual a regra será aplicada. A regra será utilizada apenas para esse tipo de operação e para o destino selecionado.

Ativado - Desative esta opção se deseja manter a regra na lista, mas não deseja aplicá-la.

Relatório - Se você ativar essa opção, as informações sobre esta regra serão gravadas no Registro em relatório HIPS.

Notificar usuário - Se um evento for acionado, uma pequena janela pop-up será exibida no canto inferior direito.

 

A regra consiste em partes que descrevem as condições que acionam essa regra:

Aplicativos de origem - A regra será utilizada apenas se o evento for acionado por esse(s) aplicativo(s). Selecione Aplicativos específicos no menu suspenso e clique em Adicionar para adicionar novos arquivos, ou selecione Todos os aplicativos no menu suspenso para adicionar todos os aplicativos.

Arquivos -A regra será utilizada apenas se a operação estiver relacionada a esse destino. Selecione Arquivos específicos no menu suspenso e clique em Adicionar para adicionar novos arquivos ou pastas, ou selecione Todos os arquivos no menu suspenso para adicionar todos os arquivos.

Aplicativos -A regra será utilizada apenas se a operação estiver relacionada a esse destino. Selecione Aplicativos específicos no menu suspenso e clique em Adicionar para adicionar novos arquivos ou pastas, ou selecione Todos os aplicativos no menu suspenso para adicionar todos os aplicativos.

Entradas do registro - A regra será utilizada apenas se a operação estiver relacionada a esse destino. Selecione Entradas específicas no menu suspenso e clique em Adicionar para adicionar novos arquivos ou pastas, ou selecione Todas as entradas no menu suspenso para adicionar todos os aplicativos.

note

Observação

Algumas operações de regras específicas predefinidas pelo HIPS não podem ser bloqueadas e são permitidas por padrão. Além disso, nem todas as operações de sistema são monitoradas pelo HIPS. O HIPS monitora operações que podem ser consideradas inseguras.

Descrição de operações importantes:

Operações de arquivo

Excluir arquivo - O aplicativo está solicitando permissão para excluir o arquivo de destino.

Gravar no arquivo - O aplicativo está solicitando permissão para gravar no arquivo de destino.

Acesso direto ao disco - O aplicativo está tentando ler do disco ou gravar no disco de forma não padrão, o que poderá impedir procedimentos comuns do Windows. Isso pode resultar na alteração de arquivos sem a aplicação das regras correspondentes. Essa operação poderá ser causada por um malware que está tentando impedir a detecção, um software de backup tentando realizar uma cópia exata de um disco ou um gerenciador de partição tentando reorganizar volumes do disco.

Instalar vínculo global - Refere-se à chamada da função SetWindowsHookEx da biblioteca do MSDN.

Carregar unidade - Instalação e carregamento de unidades no sistema.

Operações de aplicativo

Depurar outro aplicativo - Anexa um depurador ao processo. Ao depurar um aplicativo, muitos detalhes de seu comportamento podem ser visualizados e alterados, e seus dados podem ser acessados.

Interceptar eventos de outro aplicativo - O aplicativo de origem está tentando obter eventos direcionados a um aplicativo específico (por exemplo, um keylogger está tentando capturar eventos do navegador).

Finalizar/suspender outro aplicativo - Suspende, retoma ou finaliza um processo (pode ser acessado diretamente pelo Explorador de Processos ou pelo painel Processos).

Iniciar novo aplicativo - Iniciando novos aplicativos ou processos.

Modificar o estado de outro aplicativo - O aplicativo de origem está tentando gravar na memória do aplicativo de destino ou executar um código em seu nome. Este recurso pode ser útil para proteger um aplicativo essencial, configurando-o como um aplicativo de destino em uma regra bloqueando o uso desta operação.

note

Observação

Não é possível interceptar as operações de processos em versões de 64 bits no Windows XP.

Operações de registro

Modificar configurações de inicialização - Quaisquer alterações nas configurações, que definam quais aplicativos serão executados na inicialização do Windows. Esses aplicativos podem ser encontrados, por exemplo, pesquisando pela chave Run no registro do Windows.

Excluir do registro - Exclui uma chave do registro ou seu valor.

Renomear chave do registro - Renomeia chaves do registro.

Alterar registro - Cria novos valores de chaves de registro, alterando os valores existentes, movendo dados na árvore de banco de dados ou configurando direitos de usuário ou de grupos para as chaves do registro.

note

Observação

Usando caracteres curinga nas regras

Um asterisco em uma regra só pode ser usado para substituir uma tecla em particular, por exemplo “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start”. Outras formas de usar os caracteres curinga não são possíveis.

Criar regras tendo como destino a tecla HKEY_CURRENT_USER

Esta chave é apenas um link para a subchave apropriada HKEY_USERS específica ao usuário SID identificado pelo (identificador seguro). Para criar uma regra apenas para o usuário atual, em vez de usar um caminho para HKEY_CURRENT_USER, use um caminho indo para HKEY_USERS\%SID%. Como SID você pode usar um asterisco para fazer com que a regra seja aplicável para todos os usuários.

warning

Aviso

Se você criar uma regra muito genérica, o alerta sobre este tipo de regra será exibido.

No exemplo a seguir, demonstraremos como restringir o comportamento indesejado de um aplicativo específico:

1.Nomeie a regra e selecione Bloquear (ou Perguntar se você preferir escolher posteriormente) do menu suspenso Ação.

2.Ative a opção Notificar usuário para exibir uma notificação sempre que uma regra for aplicada.

3.Selecione pelo menos uma operação para a qual a regra será aplicada na seção Operações afetando.

4.Clique em Avançar.

5.Na janela Aplicativos de origem, selecione Aplicativos específicos no menu suspenso para aplicar sua nova regra a todos os aplicativos que tentarem realizar qualquer uma das operações de aplicativo selecionadas nos aplicativos especificados.

6.Clique em Adicionar e em ... para selecionar um caminho para um aplicativo específico, então pressione OK. Adicione mais aplicativos se preferir.
Por exemplo: C:\Program Files (x86)\Untrusted application\application.exe

7.Selecione a operação Gravar no arquivo.

8.Selecione Todos os arquivos do menu suspenso. Isso vai bloquear qualquer tentativa de gravação em quaisquer arquivos feitas pelo(s) aplicativo(s) selecionado(s) na etapa anterior.

9.Clique em Concluir para salvar sua nova regra.

CONFIG_HIPS_RULES_EXAMPLE