HIPS-Regeleinstellungen
Lesen Sie zunächst das Kapitel HIPS-Regelverwaltung.
Regelname - Benutzerdefinierter oder automatisch ausgewählter Regelname.
Aktion - Legt eine Aktion fest (Zulassen, Sperren oder Fragen), die bei Eintreten der Bedingungen ausgeführt wird.
Vorgänge in Bezug auf - Wählen Sie die Art des Vorgangs aus, auf den die Regel angewendet werden soll. Die Regel wird nur bei dieser Art Vorgang und für das ausgewählte Ziel angewendet.
Aktiviert - Deaktivieren Sie diesen Schalter, wenn Sie die Regel beibehalten, jedoch derzeit nicht anwenden möchten.
Logging-Schweregrad – Wenn Sie diese Option aktivieren, werden Informationen zu dieser Regel im HIPS-Log gespeichert.
Benutzer benachrichtigen - In der rechten unteren Ecke wird ein Popup-Fenster angezeigt, wenn ein Ereignis ausgelöst wird.
Die Regel besteht aus mehreren Teilen, mit denen die Auslösebedingungen der Regel beschrieben werden:
Quellanwendungen -Die Regel wird nur angewendet, wenn das Ereignis von dieser/diesen Anwendung(en) ausgelöst wird. Wählen Sie Bestimmte Anwendungen aus dem Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen, oder wählen Sie Alle Anwendungen aus, um alle Anwendungen hinzuzufügen.
Zieldateien - Die Regel wird nur angewendet, wenn sich der Vorgang auf dieses Ziel bezieht. Wählen Sie Bestimmte Dateien im Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen. Mit dem Eintrag Alle Dateien im Dropdownmenü können Sie alle Dateien hinzufügen.
Anwendungen – Die Regel wird nur angewendet, wenn sich der Vorgang auf eines dieser Ziele bezieht. Wählen Sie Bestimmte Anwendungen aus dem Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen, oder auf Alle Anwendungen, um alle Anwendungen hinzuzufügen.
Registrierungseinträge – Die Regel wird nur angewendet, wenn sich der Vorgang auf eines dieser Ziele bezieht. Wählen Sie Bestimmte Einträge aus dem Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen. Sie können auch den Eintrag Alle Einträge aus dem Dropdownmenü auswählen, um alle Anwendungen hinzuzufügen.
Bestimmte, von HIPS vordefinierte Regeln und die aus ihnen resultierenden Vorgänge können nicht blockiert werden, da sie standardmäßig zugelassen sind. Hinzu kommt, dass nicht alle Systemvorgänge von HIPS überwacht werden. HIPS überwacht Vorgänge, die als unsicher eingestuft werden könnten. |
Bei der Angabe von Pfaden bezieht sich C:\example auf Aktionen innerhalb des Ordners und C:\example*.* auf die Dateien im Ordner. |
Anwendungsbezogene Vorgänge
- Andere Anwendung debuggen - Verknüpfen eines Debuggers mit dem Prozess. Beim Debuggen einer Anwendung können Informationen zu deren Verhalten angezeigt und verändert werden. Ebenso ist der Zugriff auf die Daten der Anwendung möglich.
- Ereignisse von anderer Anwendung abfangen - Die Quellanwendung versucht, für die Zielanwendung bestimmte Ereignisse abzufangen (Beispiel: ein Keylogger versucht, Ereignisse im Browser aufzuzeichnen).
- Andere Anwendung beenden/unterbrechen - Die Anwendung unterbricht einen Prozess bzw. setzt ihn fort oder beendet ihn (direkter Zugriff aus dem Process Explorer oder im Bereich „Prozesse“ möglich).
- Neue Anwendung starten - Starten neuer Anwendungen oder Prozesse
- Zustand anderer Anwendung ändern- Die Quellanwendung versucht, in den Speicher der Zielanwendung zu schreiben oder in ihrem Namen bestimmten Code auszuführen. Diese Funktion ist geeignet, um wichtige Anwendungen zu schützen. Fügen Sie die zu schützende Anwendung hierzu als Zielanwendung zu einer Regel hinzu, die diese Art Vorgang (Ändern des Zustands einer anderen Anwendung) blockiert.
In der 64-Bit-Version von Windows XP können prozessbezogene Vorgänge nicht abgefangen werden. |
Registrierungsvorgänge
- Starteinstellungen ändern - Alle Veränderungen der Einstellungen, die festlegen, welche Anwendungen beim Windows-Start ausgeführt werden. Diese können beispielsweise über den Schlüssel Run in der Windows-Registrierung ermittelt werden.
- Registrierungsinhalte löschen - Registrierungsschlüssel oder seinen Wert löschen
- Registrierungsschlüssel umbenennen - Umbenennen von Registrierungsschlüsseln.
- Registrierungsdatenbank ändern - Neue Werte für Registrierungsschlüssel erstellen, vorhandene Werte ändern, Daten im Verzeichnisbaum der Datenbank verschieben oder Benutzer- bzw. Gruppenrechte für Registrierungsschlüssel einrichten.
Verwenden von Platzhaltern in Regeln Sternchen können in Regeln nur verwendet werden, um einen bestimmten Schlüssel zu ersetzen, z. B. „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start“. Andere Anwendungsformen von Platzhaltern werden nicht unterstützt. Erstellen von Regeln mit dem Schlüssel „HKEY_CURRENT_USER“ als Ziel Dieser Schlüssel ist lediglich eine Verknüpfung zum entsprechenden Unterschlüssel von „HKEY_USERS“ für den jeweiligen Benutzer anhand des SID (sicherer Bezeichner). Verwenden Sie einen Pfad in Form von „HKEY_USERS\%SID%“ anstelle von „HKEY_CURRENT_USER“, um eine Regel nur für den aktuellen Benutzer zu erstellen. Geben Sie ein Sternchen anstelle des SID ein, um die Regel für alle Benutzer anzuwenden. |
Wenn Sie eine sehr allgemeine Regel erstellen, wird eine Warnung zu dieser Art Regel angezeigt. |
Das folgende Beispiel zeigt, wie Sie unerwünschte Verhaltensweisen einer bestimmten Anwendung einschränken können:
- Geben Sie der Regel einen Namen und wählen Sie Blockieren (oder Fragen, falls Sie sich später entscheiden möchten) im Dropdownmenü Aktion aus.
- Aktivieren Sie die Option Benutzer informieren, damit bei jeder Anwendung einer Regel ein Benachrichtigungsfenster angezeigt wird.
- Wählen Sie mindestens eine Operation im Abschnitt Vorgänge in Bezug auf aus, für die die Regel angewendet werden soll.
- Klicken Sie auf Weiter.
- Wählen Sie im Fenster Quellanwendungen die Option Bestimmte Anwendungen im Dropdownmenü aus, um Ihre neue Regel für alle Anwendungen anzuwenden, die versuchen, eine der ausgewählten Anwendungsoperationen für die angegebenen Anwendungen auszuführen.
- Klicken Sie auf Hinzufügen und dann auf ..., um einen Pfad zu einer Anwendung auszuwählen, und klicken Sie dann auf OK. Fügen Sie bei Bedarf weitere Anwendungen hinzu.
Beispiel: C:\Program Files (x86)\Untrusted application\application.exe - Wählen Sie die Operation In Datei schreiben aus.
- Wählen Sie Alle Dateien im Dropdownmenü aus. Auf diese Weise werden Schreibversuche in alle Dateien von den Anwendungen blockiert, die Sie im vorherigen Schritt ausgewählt haben.
- Klicken Sie auf Fertig stellen, um die neue Regel zu speichern.