HIPS 규칙 설정

먼저 HIPS 규칙 관리를 참조하십시오.

규칙 이름 - 사용자 정의 규칙 이름이거나 자동으로 선택된 규칙 이름입니다.

동작 - 조건이 충족되면 수행되어야 하는 동작, 즉 허용, 차단 또는 확인을 지정합니다.

영향을 주는 작업 - 규칙이 적용되는 작업 유형을 선택해야 합니다. 이 유형의 작업 및 선택한 대상에 대해서만 규칙이 사용됩니다.

활성화됨 - 목록에서 규칙을 유지하되 적용하지 않으려면 이 스위치를 비활성화합니다.

로깅 심각도 - 이 옵션을 활성화하면 이 규칙에 대한 정보가 HIPS 로그에 기록됩니다.

사용자에게 알림 - 이벤트가 트리거되면 오른쪽 아래 모서리에 작은 팝업 창이 나타납니다.

 

규칙은 이 규칙을 트리거하는 조건을 설명하는 부분으로 구성됩니다.

소스 애플리케이션 - 이 애플리케이션에서 이벤트를 트리거한 경우에만 규칙이 사용됩니다. 드롭다운 메뉴에서 특정 애플리케이션을 선택하고 추가를 클릭하여 새 파일을 추가하거나 드롭다운 메뉴에서 모든 애플리케이션을 선택하여 모든 애플리케이션을 추가할 수 있습니다.

대상 파일 – 작업이 이 대상과 관련 있는 경우에만 규칙이 사용됩니다. 드롭다운 메뉴에서 특정 파일을 선택하고 추가를 클릭하여 새 파일 또는 폴더를 추가하거나, 드롭다운 메뉴에서 모든 파일을 선택하여 모든 파일을 추가할 수 있습니다.

애플리케이션 - 작업이 이 대상에 관련된 경우에만 규칙이 사용됩니다. 드롭다운 메뉴에서 특정 애플리케이션을 선택하고 추가를 클릭하여 새 파일이나 폴더를 추가하거나 드롭다운 메뉴에서 모든 애플리케이션을 선택하여 모든 애플리케이션을 추가할 수 있습니다.

레지스트리 항목 - 작업이 이 대상에 관련된 경우에만 규칙이 사용됩니다. 드롭다운 메뉴에서 특정 항목을 선택하고 추가를 클릭하여 새 파일이나 폴더를 추가하거나 드롭다운 메뉴에서 모든 항목을 선택하여 모든 애플리케이션을 추가할 수 있습니다.

note

HIPS에서 미리 정의된 특정 규칙 중 일부 작업은 차단할 수 없으며, 기본적으로 허용됩니다. 또한 일부 시스템 작업은 HIPS에서 모니터링됩니다. HIPS는 안전하지 않다고 간주될 수 있는 작업을 모니터링합니다.

note

경로를 지정할 때 C:\example은 폴더 자체의 작업에 영향을 주고 C:\example*.* 폴더의 파일에 영향을 줍니다.

애플리케이션 작업

다른 애플리케이션 디버그 - 디버거를 프로세스에 연결합니다. 애플리케이션을 디버깅하는 동안 동작의 여러 상세 정보를 보고 수정할 수 있으며, 해당 데이터에 접근할 수 있습니다.

다른 애플리케이션에서 이벤트 가로채기 - 소스 애플리케이션이 특정 애플리케이션에 대상으로 지정된 이벤트를 캐치하려고 합니다(예를 들어 키로거가 브라우저 이벤트를 캡처하려고 함).

다른 애플리케이션 종료/일시 중지 - 프로세스를 일시 중지하거나 다시 시작하거나 종료합니다(프로세스 탐색기나 프로세스 창에서 직접 접근할 수 있음).

새 애플리케이션 시작 - 새 애플리케이션이나 프로세스를 시작합니다.

다른 애플리케이션 상태 수정 - 소스 애플리케이션이 대상 애플리케이션의 메모리에 작성하려고 하거나 대신해서 코드를 실행하려고 합니다. 이 기능은 필수 애플리케이션을 이 작업의 사용을 차단하는 규칙에 있는 대상 애플리케이션으로 구성하여 필수 애플리케이션을 보호할 때 유용할 수 있습니다.

note

64비트 버전의 Windows XP에서는 프로세스 작업을 가로챌 수 없습니다.

레지스트리 작업

시작 설정 수정 - Windows 시작 시 실행되는 애플리케이션을 정의하는 설정의 모든 변경 내용입니다. 예를 들어 이러한 변경 내용은 Windows 레지스트리에서 Run 키를 검색하여 확인할 수 있습니다.

레지스트리에서 삭제 - 레지스트리 키나 해당 값을 삭제합니다.

레지스트리 키 이름 바꾸기 - 레지스트리 키 이름을 바꿉니다.

레지스트리 수정 - 레지스트리 키에 대한 새 값을 생성하거나 기존의 값을 변경하거나 DB 트리의 데이터를 이동하거나 레지스트리 키에 대한 사용자나 그룹 권한을 설정합니다.

note

규칙에 와일드카드 사용

규칙에 별표를 사용하여 특정 키(예: “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start”)를 대체할 수 있습니다. 와일드카드를 사용하는 다른 방법은 지원되지 않습니다.

대상이 지정된 HKEY_CURRENT_USER 키 규칙 생성

이 키는 SID(보안 식별자)로 식별된 사용자와 관련된 적절한 HKEY_USERS 하위 키 링크입니다. 현재 사용자 전용 규칙을 생성하려면 HKEY_CURRENT_USER 경로를 사용하는 대신 HKEY_USERS\%SID%를 가리키는 경로를 사용합니다. SID는 별표를 이용해 모든 사용자에게 적용되는 규칙을 만들 수 있습니다.

warning

매우 일반적인 규칙을 생성한 경우 이 유형의 규칙에 대한 경고가 표시됩니다.

다음 예에서는 특정 애플리케이션의 원치 않는 동작을 제한하는 방법을 설명합니다.

1.규칙 이름을 지정하고 동작 드롭다운 메뉴에서 차단을 선택합니다(또는 나중에 선택하려는 경우 확인).

2.사용자에게 알림 스위치를 활성화하여 규칙이 적용될 때마다 알림을 표시할 수 있습니다.

3.규칙이 적용될 하나 이상의 작업영향을 주는 작업 섹션에서 선택합니다.

4.다음을 클릭합니다.

5.소스 애플리케이션 창의 드롭다운 메뉴에서 특정 애플리케이션을 선택하여 지정한 애플리케이션에서 선택된 모든 애플리케이션 작업을 수행하려고 하는 모든 애플리케이션에 새 규칙을 적용합니다.

6.C추가를 클릭한 다음 ...를 클릭하여 특정 애플리케이션 경로를 선택한 후 확인을 클릭합니다. 원한다면 더 많은 애플리케이션을 추가합니다.
예를 들면 다음과 같습니다. C:\Program Files (x86)\Untrusted application\application.exe

7.파일에 작성 작업을 선택합니다.

8.드롭다운 메뉴에서 모든 파일을 선택합니다. 이렇게 하면 이전 단계에서 선택한 애플리케이션이 파일에 쓰려는 모든 시도가 차단됩니다.

9.마침을 클릭하여 새 규칙을 저장합니다.

CONFIG_HIPS_RULES_EXAMPLE