Postavke HIPS pravila
Pogledajte najpre Upravljanje HIPS pravilima.
Ime pravila – Korisnički definisano ili automatski izabrano ime pravila.
Radnja – Navodi radnju – Dozvoli, Blokiraj ili Pitaj – koja će biti izvršena ako se ispune uslovi.
Operacije koje utiču – Morate da izaberete tip operacije za koju će se primeniti pravilo. Pravilo će se koristiti samo za ovaj tip operacije i za izabrani cilj.
Aktivirano – Deaktivirajte ovaj prekidač ako želite da zadržite pravilo na listi, ali ne želite da ga primenite.
Nivo ozbiljnosti evidentiranja – Ako aktivirate ovu opciju, informacije o ovom pravilu se upisuju u HIPS evidenciju.
Obavesti korisnika – U slučaju pokretanja događaja, pojavljuje se mali iskačući prozor u donjem desnom uglu.
Pravilo se sastoji iz delova koji opisuju uslove koji pokreću ovo pravilo:
Izvorne aplikacije– Pravilo se koristi samo ako su ove aplikacije pokrenule događaj. Izaberite Određene aplikacije u padajućem meniju i kliknite na opciju Dodaj da biste dodali nove datoteke, a možete i da izaberete Sve aplikacije u padajućem meniju da biste dodali sve aplikacije.
Ciljne datoteke – Pravilo se koristi samo ako je operacija povezana sa ovim ciljem. Izaberite Određene datoteke u padajućem meniju i kliknite na opciju Dodaj da biste dodali nove datoteke ili fascikle, a možete i da izaberete Sve datoteke u padajućem meniju da biste dodali sve datoteke.
Aplikacije – Pravilo se koristi samo ako je operacija povezana sa ovim ciljem. Izaberite Određene aplikacije u padajućem meniju i kliknite na opciju Dodaj da biste dodali nove datoteke ili fascikle, a možete i da izaberete Sve aplikacije u padajućem meniju da biste dodali sve aplikacije.
Stavke registra – Pravilo se koristi samo ako je operacija povezana sa ovim ciljem. Izaberite Određene stavke u padajućem meniju i kliknite na opciju Dodaj da biste dodali nove datoteke ili fascikle, a možete i da izaberete Sve stavke u padajućem meniju da biste dodali sve aplikacije.
|
Pojedine operacije ili posebna pravila koja je prethodno definisao HIPS ne mogu da se blokiraju i podrazumevano su dozvoljena. Pored toga, HIPS ne nadgleda sve sistemske operacije. HIPS nadgleda operacije koje se smatraju nebezbednim. |
|
Kada definišete putanju, C:\example utiče na radnje sa fasciklom i C:\example*.* utiče na datoteke u fascikli. |
Operacije aplikacija
•Otklanjanje grešaka druge aplikacije – Procesu se dodaje program za otklanjanje grešaka. Prilikom otklanjanja grešaka aplikacije možete da vidite mnoge detalje njenog ponašanja, da ih izmenite i možete da pristupite njenim podacima.
•Presretanje događaja iz druge aplikacije – Izvorna aplikacija pokušava da zabeleži događaje namenjene za određenu aplikaciju (na primer, program za krađu lozinki pokušava da zabeleži događaje pregledača).
•Obustava/suspendovanje druge aplikacije – Suspendovanje, nastavljanje ili obustava procesa (pristup je moguć direktno iz aplikacija Process Explorer ili iz okna „Procesi“).
•Pokretanje nove aplikacije – Pokretanje novih aplikacija ili procesa.
•Izmena stanja druge aplikacije – Izvorna aplikacija pokušava da izvrši upisivanje u memoriju ciljne aplikacije ili da umesto nje pokrene kôd. Ova funkcionalnost može da bude korisna u zaštiti važne aplikacije i to tako što se ona konfiguriše kao ciljna aplikacija u pravilu koje blokira upotrebu ove operacije.
|
Nije moguće presresti operacije procesa na 64-bitnim sistemima koji koriste Windows XP. |
Operacije registra
•Izmena postavki pokretanja – Bilo kakva promena u postavkama koja definiše koje aplikacije se pokreću prilikom pokretanja operativnog sistema Windows. Njih možete da pronađete, na primer, ako pretražite ključ Run u okviru Windows registra.
•Brisanje iz registra – Brisanje ključa registra ili njegove vrednosti.
•Promena imena ključa registra – Promena imena ključeva registra.
•Izmena registra – Kreiranje novih vrednosti ključeva registra, promena postojećih vrednosti, premeštanje podataka u okviru stabla baze podataka ili postavljanje prava grupe za ključeve registra.
|
Korišćenje džoker znakova u pravilima Zvezdica u pravilima može da se koristi samo da bi zamenila određeni ključ, npr. „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start“. Drugi načini korišćenja džokera nisu podržani. Kreiranje pravila koja ciljaju ključ HKEY_CURRENT_USER Ovaj ključ je samo veza do odgovarajućeg potključa HKEY_USERS, koji je specifičan za korisnika kojeg identifikuje SID (eng. „secure identifier“ – bezbedni identifikator). Da biste kreirali pravilo samo za aktuelnog korisnika, umesto da koristite putanju za HKEY_CURRENT_USER, upotrebite putanju koja vodi do HKEY_USERS\%SID%. Kao vrednost za SID možete da upotrebite zvezdicu da bi se pravilo primenjivalo na sve korisnike. |
|
Ako kreirate veoma generičko pravilo, prikazaće se upozorenje o ovom tipu pravila. |
U sledećem primeru pokazaćemo vam kako da ograničite neželjeno ponašanje određene aplikacije:
1.Imenujte pravilo i izaberite Blokiraj (ili Pitaj ako želite da odaberete kasnije) u padajućem meniju Radnja.
2.Aktivirajte prekidač Obavesti korisnika da bi se prikazalo obaveštenje svaki put kada se primeni pravilo.
3.Izaberite najmanje jednu operaciju u odeljku Operacije koje utiču na koju će se primeniti pravilo.
4.Kliknite na dugme Dalje.
5.U prozoru Izvorne aplikacije izaberite opciju Određene aplikacije u padajućem meniju da biste primenili novo pravilo na sve aplikacije koje pokušaju da izvrše bilo koju od izabranih operacija za aplikacije na aplikacijama koje ste odredili.
6.Kliknite na dugme Dodaj, potom na ... da biste odabrali putanju do određene aplikacije, a zatim pritisnite dugme U redu. Ako želite, dodajte više aplikacija.
Na primer: C:\Program Files (x86)\Untrusted application\application.exe
7.Izaberite operaciju Pisanje u datoteku.
8.Izaberite opciju Sve datoteke u padajućem meniju. Time ćete blokirati svaki pokušaj izabranih aplikacija iz prethodnog koraka da pišu u datoteke.
9.Kliknite na dugme Završi da biste sačuvali novo pravilo.
