Nastavenie pravidiel HIPS
Skôr ako začnete nastavovať pravidlá HIPS, prečítajte si kapitolu Manažment pravidiel HIPS.
Názov pravidla – názov zadaný používateľom alebo automaticky zvolený názov pravidla.
Akcia – špecifikuje akciu (Povoliť, Blokovať alebo Spýtať sa), ktorá sa vykoná, ak budú splnené podmienky pravidla.
Ovplyvnené operácie – vyberte typ operácií, pre ktoré bude pravidlo aplikované. Pravidlo sa uplatní len pre tento typ operácie a pre zvolený cieľ.
Zapnuté – deaktivujte túto možnosť, ak pravidlo nechcete používať, no želáte si ho ponechať v zozname.
Závažnosť zapisovania do protokolu – ak aktivujete túto možnosť, budú informácie o danom pravidle zapisované do protokolu HIPS.
Upozorniť používateľa – po každej zodpovedajúcej udalosti sa v pravom dolnom rohu automaticky otvorí malé informačné okno.
Pravidlo pozostáva z častí, ktoré popisujú podmienky, za ktorých sa pravidlo spustí:
Zdrojové aplikácie – pravidlo sa uplatní len v prípade, že udalosť vyvolajú vybrané aplikácie. Ak chcete vybrať určité aplikácie, z roletového menu zvoľte Konkrétne aplikácie a kliknite na Pridať. Ak chcete pridať všetky aplikácie, z roletového menu vyberte Všetky aplikácie.
Cieľové súbory – pravidlo sa uplatní len v prípade, že sa operácia týka vybraného cieľa. Ak chcete vybrať určité súbory alebo priečinky, z roletového menu zvoľte Konkrétne súbory a kliknite na Pridať. Ak chcete pridať všetky súbory, z roletového menu vyberte Všetky súbory.
Aplikácie – pravidlo sa uplatní len v prípade, že sa operácia týka tohto cieľa. Ak chcete pridať nové súbory alebo priečinky, z roletového menu vyberte Konkrétne aplikácie a kliknite na Pridať. Ak chcete pridať všetky aplikácie, z roletového menu vyberte Všetky aplikácie.
Položky databázy Registry – pravidlo sa uplatní len v prípade, že sa operácia týka tohto cieľa. Z roletového menu zvoľte Konkrétne položky a kliknite na Pridať pre pridanie jednotlivých kľúčov databázy Registry. Ak chcete pridať všetky kľúče, vyberte z roletového menu Všetky položky.
Niektoré operácie špecifických pravidiel prednastavených modulom HIPS nemôžu byť zablokované a sú na základe predvolených nastavení povolené. Rovnako platí, že HIPS nemonitoruje všetky systémové operácie. HIPS monitoruje tie operácie, ktoré môžu byť nebezpečné. |
Pri zadaní cesty C:\example sa pravidlo aplikuje na akcie súvisiace s priečinkom. Zadaním C:\example*.* aplikujete pravidlo na všetky súbory v priečinku. |
Aplikačné operácie
- Ladiť inú aplikáciu – pripojí ladiaci nástroj (debugger) k procesu. Pri ladení aplikácie sa dá pozorovať alebo meniť jej správanie. Tiež je možné pristupovať k jej dátam.
- Zachytávať udalosti inej aplikácie – zdrojová aplikácia sa pokúša zachytiť udalosti cieľovej aplikácie (napríklad, ak sa keylogger snaží zachytiť aktivitu webového prehliadača).
- Ukončiť/pozastaviť inú aplikáciu – pozastavenie, obnovenie alebo ukončenie procesu (môže byť vyvolané priamo cez Process Explorer alebo zo záložky Procesy).
- Spustiť novú aplikáciu – spustenie novej aplikácie alebo procesu.
- Zmeniť stav inej aplikácie – zdrojová aplikácia sa pokúša zapisovať do pamäte cieľovej aplikácie, prípadne sa snaží spustiť kód v jej mene. Táto funkcionalita je užitočná na ochranu dôležitej aplikácie, ak ju nastavíte ako cieľovú aplikáciu pri pravidle, ktoré blokuje tieto operácie.
Na 64-bitových operačných systémoch Windows XP nie je možné zachytávať operácie jednotlivých aplikácií. |
Operácie s databázou Registry
- Zmena nastavení spustenia – všetky zmeny v nastaveniach definujúcich, ktoré aplikácie budú spúšťané pri štarte operačného systému Windows. Tieto možno vyhľadať napríklad zadaním kľúča Run do vyhľadávania v databáze Registry systému Windows.
- Vymazanie z databázy Registry – zmazanie kľúča alebo hodnoty v danom kľúči.
- Premenovanie kľúča databázy Registry – premenovanie konkrétneho kľúča.
- Úprava v databáze Registry – vytváranie nových hodnôt kľúčov alebo zmena dát asociovaných s hodnotou, zmena umiestnenia dát v rámci stromu databázy a nastavovanie používateľských alebo skupinových práv daného kľúča.
Použitie zástupných znakov v pravidlách Hviezdičku je možné v pravidlách použiť len na nahradenie konkrétneho kľúča, napr. Hviezdičku je možné v pravidlách použiť len na nahradenie konkrétneho kľúča, napr. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start. Iné spôsoby využitia zástupných znakov nie sú podporované. Vytváranie pravidiel s kľúčom HKEY_CURRENT_USER Tento kľúč je len odkazom na príslušný podkľúč v rámci HKEY_USERS, ktorý prislúcha konkrétnemu používateľovi podľa identifikátora SID. Ak chcete vytvoriť pravidlo len pre aktuálneho používateľa, namiesto cesty k HKEY_CURRENT_USER použite cestu k HKEY_USERS\%SID%. Ako SID môžete použiť hviezdičku, čím docielite, aby sa pravidlo aplikovalo na všetkých používateľov. |
Ak vytvoríte príliš všeobecné pravidlo, zobrazí sa príslušné upozornenie. |
V nasledujúcom príklade si ukážeme, ako obmedziť neželané správanie konkrétnej aplikácie:
- Zadajte názov pravidla a vyberte možnosť Blokovať (alebo Spýtať sa, ak si želáte vybrať akciu neskôr) z roletového menu Akcia.
- Zvoľte možnosť Upozorniť používateľa pre zobrazenie upozornenia v prípade, že sa pravidlo použije.
- Vyberte aspoň jednu operáciu v sekcii Ovplyvnené operácie, pre ktorú bude pravidlo aplikované.
- Kliknite na tlačidlo Ďalej.
- V okne Zdrojové aplikácie vyberte z roletového menu možnosť Všetky aplikácie, aby sa nové pravidlo uplatnilo pre všetky aplikácie, ktoré sa pokúšajú vykonať jednu zo zvolených operácií na vami vybraných aplikáciách.
- Kliknite na Pridať, pomocou ... následne vyberte cestu ku konkrétnej aplikácii a kliknite na OK. V prípade potreby pridajte ďalšie aplikácie.
Napríklad: C:\Program Files (x86)\Untrusted application\application.exe - Vyberte operáciu Zapísať do súboru.
- Z roletového menu vyberte možnosť Všetky súbory. Týmto sa zablokujú akékoľvek pokusy o zápis do súborov aplikáciou zvolenou v predchádzajúcom kroku.
- Kliknite na Dokončiť pre uloženie pravidla.