HIPS-regelinställningar
Se HIPS regelbehandling först.
Regelnamn – användardefinierat eller automatiskt valt regelnamn.
Åtgärd – anger en åtgärd – Tillåt, Blockera eller Fråga – som utförs när villkoren uppfylls.
Åtgärder som påverkar – du måste välja typ av åtgärd för vilken regeln ska gälla. Regeln används endast för denna typ av åtgärd och för valt mål.
Aktiverad – avmarkera det här alternativet om du vill behålla regeln i listan men inte tillämpa den.
Loggar allvarlighet – aktivera det här alternativet för att skriva information om regeln till HIPS-loggen.
Meddela användare – ett litet popup-fönster öppnas i det nedre högra hörnet om en händelse utlöses.
Regeln består av delar som beskriver villkoren som utlöser denna regel:
Källprogram – regeln används endast om händelsen utlöses av detta/dessa program. Välj Specifika program i listrutan och klicka på Lägg till om du vill lägga till nya filer, eller så kan du välja Alla program i listrutan om du vill lägga till alla program.
Målfiler – regeln används endast om åtgärden är relaterad till detta mål. Välj Specifika filer i listrutan och klicka på Lägg till om du vill lägga till nya filer eller mappar, eller så kan du välja Alla filer i listrutan om du vill lägga till alla filer.
Program – regeln används endast om åtgärden är relaterad till detta mål. Välj Specifika program i listrutan och klicka på Lägg till om du vill lägga till nya filer eller mappar, eller så kan du välja Alla program i listrutan om du vill lägga till alla program.
Registerposter – regeln används endast om åtgärden är relaterad till detta mål. Välj Specifika poster i listrutan och klicka på Lägg till om du vill lägga till nya filer eller mappar, eller så kan du välja Alla poster i listrutan om du vill lägga till alla program.
En det åtgärder i vissa regler fördefinierade av HIPS går inte att blockera och är tillåtna som standard. Inte alla systemåtgärder övervakas heller av HIPS. HIPS övervakar åtgärder som anses vara osäkra. |
När du anger en sökväg påverkar C:\example åtgärder med själva mappen, medan C:\example*.* påverkar filerna i mappen. |
Programåtgärder
- Felsök ett annat program – koppla ett felsökningsprogram till processen. När programmet felsöks går det att visa och ändra detaljer i dess beteende och det går att få åtkomst till dess data.
- Intervenera händelser från annat program – källprogrammet försöker att fånga händelser riktade till ett visst program (till exempel ett keylogger-program som försöker fånga webbläsarhändelser).
- Avsluta/pausa annat program – pausar eller återupptar eller avslutar en process (åtkomst direkt från Process Explorer eller fönstret Processer).
- Starta nytt program – starta nya program eller processer.
- Ändra läge för annat program – källprogrammet försöker skriva till målprogrammets minne eller körningskod för dess räkning. Denna funktion är användbar för att skydda ett viktigt program genom att konfigurera det som ett målprogram i en regel som blockerar användning av denna åtgärd.
Det går inte att avbryta processåtgärder i 64-bitarssystem med Windows XP. |
Registeråtgärder
- Ändra startinställningar – ändringar i inställningar som definierar vilka program som körs när Windows startar. Dessa går till exempel att hitta genom att söka efter nyckeln Run i Windows register.
- Ta bort från registret – tar bort en registernyckel eller dess värde.
- Byt namn på registernyckel – byter namn på registernyckelarna.
- Ändra register – skapar nya värden till registernycklar, ändrar befintliga värden, flyttar data i databasträdet eller ställer in användar- eller gruppbehörighet för registernycklar.
Använda jokertecken i regler En asterisk i regler kan endast användas för att ersätta en viss nyckel, till exempel ”HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start”. Det går inte att använda jokertecken på något annat sätt. Skapa regler med nyckeln HKEY_CURRENT_USER Den här nyckeln är endast en länk till den lämpliga undernyckeln för HKEY_USERS specifik för användaren som har identifierats med SID (säker identifierare). För att kunna skapa en regel endast för den aktuella användaren kan en sökväg till HKEY_USERS\%SID% användas istället för en sökväg till HKEY_CURRENT_USER. Som SID går det att använda en asterisk för att göra regeln tillämplig för alla användare. |
Om du skapar en mycket generisk regel visas varningen om den här typen av regel. |
I följande exempel visar vi hur oönskat beteende i ett visst program kan begränsas:
- Namnge regeln och välj Blockera (eller Fråga om du föredrar att välja senare) från rullgardinsmenyn Åtgärd.
- Aktivera alternativet Meddela användare för att visa ett meddelande när regeln tillämpas.
- Välj minst en åtgärd för regeln i avsnittet Åtgärder som påverkar som regeln ska tillämpas på.
- Klicka på Nästa.
- I fönstret Källprogram väljer du Specifika program i listrutan om du vill tillämpa den nya regeln på alla program som försöker utföra någon av de valda programåtgärderna på de program du angett.
- Klicka på Lägg till och sedan ... för att välja en sökväg till ett visst program och tryck sedan på OK. Lägg till fler program om du vill.
Till exempel: C:\Program Files (x86)\Untrusted application\application.exe - Välj åtgärden Skriv till fil.
- Välj Alla filer i listrutan. Då blockeras alla försök att skriva till några filer av det eller de valda programmen från föregående steg.
- Klicka på Slutför för att spara den nya regeln.