Indstillinger for HIPS-regel
Se HIPS-regeladministration som det første.
Navn på regel – Brugerdefineret eller automatisk valgt regelnavn.
Handling – Angiver en handling – Tillad, Bloker eller Spørg – som skal udføres, hvis betingelserne er opfyldt.
Handlinger, der påvirker – Du skal vælge den type handling, som reglen skal gælde for. Reglen bruges kun for denne type handlinger og for det valgte mål.
Aktiveret – Deaktiver denne parameter, hvis du vil bevare reglen på listen, men ikke bruge den.
Alvorsgrad af logføring – Hvis du markerer denne indstilling, skrives der oplysninger om denne regel til HIPS-loggen.
Giv bruger besked – Der vises et lille pop op-vindue nederst til højre, hvis der udløses en hændelse.
Reglen består af dele, som beskriver de betingelser, der udløser denne regel:
Kildeprogrammer – Reglen bruges kun, hvis hændelsen udløses af det eller de angivne programmer. Vælg Specifikke programmer i rullemenuen, og klik på Tilføj for at tilføje nye filer. Du kan også vælge Alle programmer i rullemenuen for at tilføje alle programmer.
Målfiler – Reglen bruges kun, hvis handlingen er relateret til dette mål. Vælg Specifikke filer i rullemenuen, og klik på Tilføj for at tilføje nye filer eller mapper. Du kan også vælge Alle filer i rullemenuen for at tilføje alle filer.
Programmer – Reglen bruges kun, hvis handlingen er relateret til dette mål. Vælg Specifikke programmer i rullemenuen, og klik på Tilføj for at tilføje nye filer eller mapper. Du kan også vælge Alle programmer i rullemenuen for at tilføje alle programmer.
Poster i registreringsdatabasen – Reglen bruges kun, hvis handlingen er relateret til dette mål. Vælg Specifikke poster i rullemenuen, og klik på Tilføj for at tilføje nye filer eller mapper. Du kan også vælge Alle poster i rullemenuen for at tilføje alle programmer.
Nogle handlinger for bestemte regler, der er foruddefineret af HIPS, kan ikke blokeres og er som standard tilladt. Derudover er det ikke alle systemhandlinger, der overvåges af HIPS. HIPS overvåger handlinger, som kan anses for usikre. |
Når du angiver en sti, påvirker C:\example handlinger for selve mappen, og C:\example*.* påvirker filerne i mappen. |
Programhandlinger
- Foretag fejlfinding af et andet program – Vedhæfter et fejlfindingsprogram til processen. Under fejlfinding af et program kan mange detaljer for funktionsmåden gennemgås og ændres, og der er adgang til data.
- Opfang hændelser fra et andet program – Kildeprogrammet forsøger at opfange hændelser, der er målrettet mod et specifikt program (f.eks. en keylogger, der forsøger at opfange browserhændelser).
- Afslut/afbryd et andet program – Afbryder, genoptager eller afslutter en proces (du kan få direkte adgang til funktionen fra processtifinderen eller ruden Processer).
- Start nyt program – Starter nye programmer eller processer.
- Ret tilstand for et andet program – Kildeprogrammet forsøger at skrive til målprogrammets hukommelse eller at køre kode på målprogrammets vegne. Denne funktion kan være nyttig, hvis du vil beskytte et vigtigt program ved at konfigurere det som målprogram for en regel, der blokerer brugen af denne handling.
Det er ikke muligt at opfange proceshandlinger på 64-bit versioner af Windows XP. |
Handlinger i registreringsdatabasen
- Rediger startindstillinger – Alle ændringer af indstillinger, der definerer de programmer, som køres ved start af Windows. Du kan f.eks. finde dem ved at søge efter nøglen Run i Windows-registreringsdatabasen.
- Slet fra registreringsdatabase – Sletter en registreringsdatabasenøgle eller nøglens værdi.
- Omdøb registreringsdatabasenøgle – Omdøber registreringsdatabasenøgler.
- Rediger registreringsdatabase – Opretter nye værdier for registreringsdatabasenøgler, ændrer eksisterende værdier, flytter data i databasetræet eller angiver bruger- eller grupperettigheder for registreringsdatabasenøgler.
Brug af jokertegn i regler En stjerne i regler kan kun bruges til at erstatte en bestemt nøgle, f.eks. "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start". Anden brug af jokertegn understøttes ikke. Oprettelse af regler i forbindelse med nøglen HKEY_CURRENT_USER Denne nøgle er bare et link til den rette undernøgle for HKEY_USERS og er specifik for den bruger, der er identificeret af SID (sikkert id). For at oprette en regel, der kun gælder for den aktuelle bruger, skal du i stedet for at bruge stien til HKEY_CURRENT_USER bruge en sti, der peger på HKEY_USERS\%SID%. Som SID kan du bruge en stjerne, så reglen kan bruges af alle brugere. |
Hvis du opretter en meget overordnet regel, vises der en advarsel om denne regeltype.Hvis du opretter en meget overordnet regel, vises der en advarsel om denne regeltype |
I følgende eksempel vil vi demonstrere, hvordan du begrænser uønsket funktionsmåde i et specifikt program:
- Navngiv reglen, og vælg Bloker (eller Spørg, hvis du vil vælge det senere) i rullemenuen Handling.
- Aktivér parameteren Giv bruger besked for at få vist en meddelelse på et hvilket som helst tidspunkt om, at en regel anvendes.
- Vælg mindst én handling i sektionen Handlinger, der påvirker, som reglen skal gælde for.
- Klik på Næste.
- I vinduet Kildeprogrammer skal du vælge Specifikke programmer i rullemenuen for at anvende din nye regel på alle programmer, der forsøger at udføre en af de valgte programhandlinger i de programmer, du har angivet.
- Klik på Tilføj og derefter ... for at vælge en sti til et specifikt program, og tryk derefter på OK. Du kan evt. tilføje flere programmer.
Eksempel: C:\Program Files (x86)\Untrusted application\application.exe - Vælg handlingen Skriv til fil.
- Vælg Alle filer i rullemenuen. Derved blokeres alle forsøg på at skrive til en fil, der foretages af det eller de valgte programmer, som er valgt i forrige trin.
- Klik på Afslut for at gemme din nye regel.