Paramètres de règle HIPS
Consultez d'abord Gestion des règles HIPS.
Nom de la règle - Nom de la règle défini par l'utilisateur ou choisi automatiquement.
Action - La règle précise une action - Autoriser, Bloquer ou Demander - qui doit être effectuée lorsque les conditions sont satisfaites.
Opérations concernées - Vous devez sélectionner le type d'opérations auquel s'appliquera la règle. La règle ne sera utilisée pour ce type d'opération et pour la cible sélectionnée.
Activé - Désactiver ce commutateur si vous voulez conserver la règle dans la liste sans l'appliquer.
Journalisation de la gravité - Si vous activez cette option, l'information connexe à cette règle sera inscrite dans le journal HIPS.
Avertir l'utilisateur - Une petite fenêtre contextuelle s'affichera dans le coin inférieur droit, lorsqu'un événement est déclenché.
La règle comporte plusieurs parties qui décrivent les conditions qui la déclenchent :
Applications sources - La règle ne sera utilisée que si l'événement est déclenché par cette ou ces applications. Sélectionnez Applications spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers. Vous pouvez également sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les applications.
Fichiers cibles : La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Fichiers spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Tous les fichiers dans le menu déroulant pour ajouter tous les fichiers.
Applications - La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Applications spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les applications.
Entrées du régistre - La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Entrées spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Toutes les entrées dans le menu déroulant pour ajouter toutes les applications.
Certaines opérations de règles spécifiques prédéfinies par HIPS ne peuvent pas être bloquées et sont autorisées par défaut. En plus, toutes les opérations système ne sont pas contrôlées par HIPS. HIPS contrôle les opérations qui peuvent être considérées comme dangereuses. |
Lorsque vous spécifiez un chemin, C:\example affecte les actions avec le dossier lui-même, et C:\example*.* affecte les fichiers dans le dossier. |
Activités de l'application
•Déboguer une autre application - Joindre un débogueur au processus. Lors du débogage d'une application, de nombreux détails de son comportement peuvent être affichés et modifiés et ses données deviennent accessibles.
•Intercepter des événements à partir d'une autre application - L'application source tente d'intercepter des événements destinés à une application spécifique (par exemple un enregistreur de frappe qui tente de capturer les événements d'un navigateur).
•Mettre fin à une autre application/la suspendre - Suspendre, reprendre ou arrêter un processus (accès direct par l'explorateur de processus ou le volet Processus).
•Lancer une nouvelle application - Lancement de nouvelles applications ou de nouveaux processus.
•Modifier l'état d'une autre application - L'application source tente d'écrire dans la mémoire de l'application cible ou d'exécuter du code en son nom. Cette fonctionnalité peut être utile pour protéger une application essentielle en la configurant comme application cible dans une règle qui bloque l'utilisation de cette opération.
il n'est pas possible d'intercepter les opérations sur la version 64 bits de Windows XP. |
Opérations sur le registre
•Modifier les paramètres de démarrage - Toutes les modifications des paramètres qui définissent quelles applications seront exécutées au démarrage de Windows. Il est possible de les trouver, par exemple, en recherchant la cléRun dans le registre de Windows.
•Supprimer du registre - Supprimer une clé de registre ou sa valeur.
•Renommer la clé de registre - Renomme les clés de registre.
•Modifier le registre - Créer de nouvelles valeurs de clés de registre, modifier des valeurs existantes, déplacer des données dans l'arborescence de la base de données ou définir les droits du groupe ou de l'utilisateur à l'égard de clés de registre.
Utiliser des caractères génériques dans les règles Un astérisque ne peut être utilisé dans les règles que pour remplacer une clé particulière, par exemple « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start ». Les autres utilisations des caractères génériques ne sont pas prises en charge. Création de règles ciblant la clé HKEY_CURRENT_USER Cette clé sert simplement de lien vers la sous-clé appropriée de HKEY_USERS propre à l'utilisateur identifié par le SID (identifiant sécurisé). Pour créer une règle uniquement pour l'utilisateur actuel, utilisez un chemin pointant vers HKEY_USERS\%SID% au lieu du chemin d'accès à HKEY_CURRENT_USER. En tant que SID, vous pouvez utiliser un astérisque pour rendre la règle applicable à tous les utilisateurs. |
Si vous créez une règle très générique, l'avertissement sur ce type de règle s'affiche. |
Dans l'exemple suivant, nous allons illustrer comment limiter le comportement indésirable d'une application précise :
1.Nommez la règle et sélectionnez Bloquer (ou Demander si vous désirez choisir plus tard) dans le menu déroulant Action.
2.Activez le commutateur Avertir l'utilisateur pour afficher une notification chaque fois qu'une règle est appliquée.
3.Sélectionnez au moins une opération dans la section Opérations concernées pour laquelle la règle sera appliquée.
4.Cliquez sur Suivant.
5.Dans la fenêtre Applications sources, sélectionnez Applications précises dans le menu déroulant pour appliquer la nouvelle règle à toutes les applications qui tentent d'effectuer l'une des opérations sélectionnées parmi celles spécifiées.
6.Cliquez sur Ajouter puis sur ... pour choisir le chemin d'accès à une application spécifique et appuyez sur OK. Ajoutez d'autres applications si vous le souhaitez.
Par exemple : C:\Program Files (x86)\Untrusted application\application.exe
7.Sélectionnez l'opérationÉcrire dans un fichier
8.Sélectionnez Tous les fichiers dans le menu déroulant. Cela bloquera toute tentative d'écriture dans un fichier par l'application ou les applications sélectionnées à l'étape précédente.
9.Cliquez sur Terminer pour enregistrer la nouvelle règle.