تعليمات ESET عبر الإنترنت

البحث العربية
تحديد الموضوع

إعدادات قواعد HIPS

اطلع على إدارة قواعد HIPS أولاً.

اسم القاعدة - اسم القاعدة المعرف بواسطة المستخدم أو المختار تلقائياً.

الإجراء - لتحديد الإجراء - سماح أو حظر أو سؤال - الذي يجب تنفيذه في حالة استيفاء الشروط.

العمليات المتضررة - يجب تحديد نوع العملية التي سيتم تطبيق القاعدة عليها. لن يتم استخدام القاعدة إلا مع نوع العملية هذا ومع الهدف المحدد فقط.

ممكَّن - يمكنك تعطيل مفتاح التبديل هذا إذا أردت الاحتفاظ بالقاعدة في القائمة مع عدم تطبيقها.

تسجيل الخطورة: - في حالة تنشيط هذا الخيار، ستتم كتابة معلومات عن هذه القاعدة في سجل HIPS.

إعلام المستخدم - نافذة منبثقة صغيرة تظهر في الزاوية السفلية اليسرى في حالة تشغيل حدث.

 

تتكون القاعدة من أجزاء تصف شروط تشغيل هذه القاعدة:

التطبيقات المصدر - لن يتم استخدام القاعدة إلا في حالة تشغيل الحدث بواسطة هذا التطبيق (التطبيقات). حدد تطبيقات معينة من القائمة المنسدلة وانقر فوق إضافة لإضافة ملفات جديدة أو حدد كل التطبيقات من القائمة المنسدلة لإضافة كل التطبيقات.

الملفات الهدف - سيتم استخدام القاعدة فقط إذا كانت العملية مرتبطة بهذا الهدف. حدد ملفات معينة من القائمة المنسدلة وانقر فوق إضافة لإضافة ملفات أو مجلدات جديدة أو يمكنك تحديد جميع الملفات من القائمة المنسدلة لإضافة جميع الملفات.

التطبيقات - لن يتم استخدام القاعدة إلا إذا كانت العملية ذات صلة بهذا الهدف. حدد تطبيقات معينة من القائمة المنسدلة وانقر فوق إضافة لإضافة ملفات أو مجلدات جديدة أو حدد كل التطبيقات من القائمة المنسدلة لإضافة كل التطبيقات.

إدخالات السجل - لن يتم استخدام القاعدة إلا إذا كانت العملية ذات صلة بهذا الهدف. حدد إدخالات معينة من القائمة المنسدلة وانقر فوق إضافة لإضافة ملفات أو مجلدات جديدة أو حدد كل الإدخالات من القائمة المنسدلة لإضافة كل التطبيقات.


note

لا يمكن حظر بعض العمليات الخاصة بالقواعد المعرفة مسبقاً بواسطة نظام HIPS ويتم السماح بها حسب الإعداد الافتراضي. إضافة إلى ذلك، لا تتم مراقبة كل عمليات النظام بواسطة HIPS. فنظام HIPS يراقب العمليات التي من المحتمل أن تكون غير آمنة.


note

عند تحديد مسار، يؤثر C:\example على الإجراءات الخاصة بالمجلد نفسه، ويؤثر C:\example*.* على الملفات الموجودة في المجلد.

عمليات التطبيقات

  • تصحيح أخطاء تطبيق آخر - إرفاق مصحح أخطاء بالعملية. أثناء تصحيح أخطاء التطبيق، يمكن عرض العديد من تفاصيل السلوك الخاص به وتعديلها، كما يمكن الوصول إلى بياناته.
  • اعتراض أحداث من تطبيق آخر - يحاول التطبيق المصدر التقاط الأحداث المستهدفة في تطبيق معين (على سبيل المثال، يحاول برنامج تسجيل ضغطات المفاتيح التقاط أحداث المستعرض).
  • إنهاء/تعليق تطبيق آخر - تعليق عملية أو استئنافها أو إنهاؤها (يمكن الوصول إلى ذلك مباشرةً من مستكشف العمليات أو جزء العمليات).
  • بدء تطبيق جديد - بدء تطبيقات أو عمليات جديدة.
  • تعديل حالة تطبيق آخر - يحاول التطبيق المصدر الكتابة في ذاكرة التطبيقات الهدف أو تشغيل التعليمات البرمجية من أجلها. قد تكون هذه الوظيفة مفيدة لحماية تطبيق أساسي بتكوينه كتطبيق هدف في قاعدة تحظر استخدام هذه العملية.

note

لا يمكن اعتراض العمليات في إصدار 64 بت من نظام التشغيل Windows XP.

عمليات التسجيل

  • تعديل إعدادات بدء التشغيل - أي تغييرات في الإعدادات التي تعرّف التطبيقات التي يتم تشغيلها عند بدء تشغيل Windows. ويمكن العثور عليها، على سبيل المثال، عبر البحث عن مفتاح Run في تسجيل Windows.
  • حذف من التسجيل - حذف مفتاح تسجيل أو قيمته.
  • إعادة تسمية مفتاح التسجيل - إعادة تسمية مفاتيح التسجيل.
  • تعديل التسجيل - إنشاء قيم جديدة لمفاتيح التسجيل، أو تغيير القيم الموجودة، أو نقل البيانات في شجرة قاعدة البيانات، أو إعداد حقوق المستخدم أو المجموعة لمفاتيح التسجيل.

note

استخدام أحرف البدل في القواعد

لا يمكن استخدام علامة النجمة في القواعد إلا لاستبدال مفتاح معين، على سبيل المثال، لا يمكن استخدام علامة النجمة في القواعد إلا لاستبدال مفتاح معين، على سبيل المثال، “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start”. لا يتم اعتماد طرق أخرى لاستخدام أحرف البدل.

إنشاء قواعد تستهدف مفتاح HKEY_CURRENT_USER

هذا المفتاح هو ارتباط إلى المفتاح الفرعي المناسب من HKEY_USERS خاص بالمستخدم المعرّف بواسطة معرّف آمن (SID). لإنشاء قاعدة فقط للمستخدم الحالي، بدلاً من استخدام مسار إلى HKEY_CURRENT_USER، استخدم مسار يشير إلى HKEY_USERS\%SID%. كونك SID، يمكنك استخدام العلامة النجمية لجعل القاعدة سارية لكافة المستخدمين.


warning

في حالة إنشاء قاعدة عامة إلى حد بعيد، سيتم عرض تحذير عن هذا النوع من القواعد.

في المثال التالي، سنعرض كيفية تقييد السلوكيات غير المرغوب فيها لتطبيق معين:

  1. أطلق اسماً للقاعدة وحدد حظر (أو سؤال إذا كنت تفضل الاختيار لاحقاً) من القائمة المنسدلة إجراء.
  2. قم بتمكين مفتاح تبديل إعلام المستخدم لعرض إعلام كلما تم تطبيق قاعدة.
  3. حدد عملية واحدة على الأقل في قسم العمليات المتضررة للقاعدة التي سيتم تطبيقها.
  4. انقر فوق التالي.
  5. من نافذة التطبيقات المصدر، حدد كل التطبيقات من القائمة المنسدلة لتطبيق القاعدة الجديدة على تطبيقات معينة التي تحاول تنفيذ أي من عمليات التطبيقات المحددة في التطبيقات التي حددتها.
  6. انقر فوق إضافة ثم ... لاختيار مسار لتطبيق معين ثم اضغط على موافق. أضف المزيد من التطبيقات إذا كنت تريد ذلك.
    على سبيل المثال: C:\Program Files (x86)\Untrusted application\application.exe
  7. حدد عملية الكتابة في ملف.
  8. حدد جميع الملفات من القائمة المنسدلة . سيؤدي هذا إلى حظر أي محاولات للكتابة في أي ملفات من قبل التطبيق (التطبيقات) المحددة من الخطوة السابقة.
  9. انقر فوق إنهاء لحفظ القاعدة الجديدة.

CONFIG_HIPS_RULES_EXAMPLE