วิธีใช้ออนไลน์ของ ESET

ค้นหา ภาษาไทย
เลือกหัวข้อ

การตั้งค่ากฎ HIPS

ดู การจัดการกฎ HIPS ก่อน

ชื่อกฎ – ชื่อกฎที่ผู้ใช้กำหนดหรือเลือกโดยอัตโนมัติ

การทำงาน – ระบุการทำงาน – อนุญาต ปิดกั้น หรือ ถาม – ที่ควรดำเนินการถ้าเป็นไปตามเงื่อนไข

การดำเนินการที่ได้ผล – คุณต้องเลือกประเภทของการดำเนินการที่กฎจะนำมาปรับใช้ ระบบจะใช้กฎนี้ำเฉพาะสำหรับการดำเนินการประเภทนี้เท่านั้นและสำหรับเป้าหมายที่เลือก

เปิดใช้งาน – ปิดใช้งานสวิตช์นี้ถ้าคุณต้องการคงกฎไว้ในรายการแต่ไม่ปรับใช้กฎนั้น

ความละเอียดของการบันทึก – ถ้าคุณเปิดใช้งานตัวเลือกนี้ ข้อมูลเกี่ยวกับกฎนี้จะถูกเขียนไปที่ บันทึก HIPS

แจ้งเตือนผู้ใช้ – หน้าต่างป๊อปอัปขนาดเล็กจะปรากฏที่มุมล่างขวาถ้ามีการเรียกเหตุการณ์

 

กฎประกอบด้วยส่วนต่างๆ ซึ่งจะอธิบายเงื่อนไขที่เรียกใช้งานกฎนี้:

แอพพลิเคชันที่มา ระบบจะใช้กฎนี้ก็ต่อเมื่อแอพพลิเคชันเรียกใช้เหตุการณ์ เลือก แอพพลิเคชันที่เจาะจง จากเมนูแบบเลื่อนลงและคลิก เพิ่ม เพื่อเพิ่มไฟล์ หรือคุณสามารถเลือก ทุกแอพพลิเคชัน จากเมนูแบบเลื่อนลงเพื่อเพิ่มแอพพลิเคชันทั้งหมด

ไฟล์เป้าหมาย – ระบบจะใช้กฎนี้ก็ต่อเมื่อการดำเนินการเกี่ยวข้องกับเป้าหมายนี้ เลือก ไฟล์ที่เจาะจง จากเมนูแบบเลื่อนลงและคลิก เพิ่ม เพื่อเพิ่มไฟล์หรือโฟลเดอร์ใหม่ หรือคุณสามารถเลือก ไฟล์ทั้งหมด จากเมนูแบบเลื่อนลงเพื่อเพิ่มไฟล์ทั้งหมด

แอพพลิเคชัน – ระบบจะใช้กฎนี้ก็ต่อเมื่อการดำเนินการเกี่ยวข้องกับเป้าหมายนี้ เลือก แอพพลิเคชันที่เจาะจง จากเมนูแบบเลื่อนลงและคลิก เพิ่ม เพื่อเพิ่มไฟล์หรือโฟลเดอร์ใหม่ หรือคุณสามารถเลือก ทุกแอพพลิเคชัน จากเมนูแบบเลื่อนลงเพื่อเพิ่มแอพพลิเคชันทั้งหมด

รายการรีจิสตรี – ระบบจะใช้กฎนี้ต่อเมื่อการดำเนินการเกี่ยวข้องกับเป้าหมายนี้ เลือก รายการที่เจาะจง จากเมนูแบบเลื่อนลงและคลิก เพิ่ม เพื่อเพิ่มไฟล์หรือโฟลเดอร์ใหม่ หรือคุณสามารถเลือก รายการทั้งหมด จากเมนูแบบเลื่อนลงเพื่อเพิ่มแอพพลิเคชันทั้งหมด

note

การดำเนินการของกฎบางอย่างที่กำหนดไว้ล่วงหน้าโดย HIPS จะไม่สามารถปิดกั้นหรืออนุญาตได้ตามค่าเริ่มต้น นอกจากนี้ HIPS จะไม่ตรวจสอบการดำเนินการทั้งหมดของระบบ HIPS ตรวจสอบการดำเนินการที่อาจพิจารณาว่าไม่ปลอดภัย

note

เมื่อระบุพาธ C:\example จะมีผลต่อการทำงานกับโฟลเดอร์เองและ C:\example*.* จะมีผลกับไฟล์ในโฟลเดอร์

การดำเนินการของแอพพลิเคชัน

  • แก้ไขแอพพลิเคชันอื่น – การใส่เครื่องมือแก้ไขปัญหาในการดำเนินการ ในขณะที่มีการแก้ไขปัญหาของแอพพลิเคชัน ระบบจะตรวจสอบและแก้ไขรายละเอียดต่างๆ ของการทำงาน และจะมีการเข้าถึงข้อมูลการทำงาน
  • ดักฟังเหตุการณ์จากแอพพลิเคชันอื่น – แอพพลิเคชันที่มาจะพยายามตรวจจับเหตุการณ์ที่มีการกำหนดเป้าหมายไปยังแอพพลิเคชันเฉพาะ (ตัวอย่างเช่น เครื่องมือบันทึกการกดแป้นพิมพ์ที่พยายามตรวจจับเหตุการณ์ของเบราว์เซอร์)
  • สิ้นสุด/พักการทำงานแอพพลิเคชันอื่น – การพัก การทำงานต่อ หรือการสิ้นสุดกระบวนการ (สามารถเข้าถึงได้โดยตรงจากช่อง Process Explorer หรือ Processes)
  • เริ่มต้นแอพพลิเคชันใหม่ – การเริ่มต้นแอพพลิเคชันหรือกระบวนการใหม่
  • แก้ไขสถานะของแอพพลิเคชันอื่น – แอพพลิเคชันที่มาจะพยายามเขียนข้อมูลไปยังหน่วยความจำของแอพพลิเคชันเป้าหมายหรือเรียกใช้รหัสในนามของตนเอง ฟังก์ชันการทำงานนี้อาจเป็นประโยชน์เพื่อป้องกันแอพพลิเคชันสำคัญ ด้วยการกำหนดค่าเป็นแอพพลิเคชันเป้าหมายในกฎที่ปิดกั้นการใช้การดำเนินการนี้

note

ไม่สามารถดักรับข้อมูลการดำเนินการของกระบวนการของ Windows XP รุ่น 64 บิตได้

การดำเนินการของรีจิสตรี

  • แก้ไขการตั้งค่าการเริ่มต้น – การเปลี่ยนแปลงในการตั้งค่า ซึ่งกำหนดแอพพลิเคชันที่จะถูกเรียกใช้เมื่อเริ่มต้น Windows ซึ่งจะสามารถพบได้ เช่น จากการค้นหารหัส Run ใน Windows Registry
  • ลบจากรีจิสตรี – การลบรหัสรีจิสตรีหรือค่าของรหัสรีจิสตรี
  • เปลี่ยนชื่อรหัสรีจิสตรี – การเปลี่ยนชื่อรหัสรีจิสตรี
  • แก้ไขรีจิสตรี – การสร้างค่าใหม่ของรหัสรีจิสตรี การเปลี่ยนค่าที่มีอยู่ การย้ายข้อมูลในโครงสร้างฐานข้อมูล หรือการตั้งค่าสิทธิ์ของผู้ใช้หรือกลุ่มสำหรับรหัสรีจิสตรี

note

การใช้สัญลักษณ์แทนในกฎ

ใช้เครื่องหมายดอกจันแทนในกฎสามารถใช้เพื่อแทนรหัสเฉพาะ เช่น “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start” ไม่รองรับวิธีอื่นๆ ในการใช้สัญลักษณ์แทน

การสร้างกฎที่มุ่งเป้าไปยังรหัส HKEY_CURRENT_USER

รหัสนี้เป็นเพียงการเชื่อมโยงไปยังรหัสย่อยที่เหมาะสมของ HKEY_USERS สำหรับผู้ใช้ที่ถูกระบุโดย SID (ตัวระบุที่ปลอดภัย) หากต้องสร้างกฎสำหรับผู้ใช้ปัจจุบันเท่านั้น ให้ใช้พาธที่มุ่งไปยัง HKEY_USERS\%SID% แทนการใช้พาธ HKEY_CURRENT_USER เนื่องจาก SID ทำให้คุณสามารถใช้เครื่องหมายดอกจันเพื่อสร้างกฎที่นำมาใช้กับผู้ใช้ทั้งหมดได้

warning

หากคุณสร้างกฎที่กว้างมาก คำเตือนเกี่ยวกับกฎประเภทนี้จะปรากฎขึ้น

ในตัวอย่างต่อไปนี้ เราจะสาธิตวิธีจำกัดการทำงานที่ไม่พึงประสงค์ของแอพพลิเคชันที่ระบุ:

  1. ตั้งชื่อกฎและเลือกปิดกั้น (หรือ ถาม หากคุณต้องการหรือเลือกภายหลัง) จากเมนูการทำงาน แบบเลื่อนลง
  2. เปิดใช้งานสวิตช์ แจ้งเตือนผู้ใช้ เพื่อแสดงการแจ้งเตือนผู้ใช้เมื่อมีการนำกฎไปใช้
  3. เลือกการดำเนินการอย่างน้อยหนึ่งอย่าง ในส่วนการดำเนินการที่ได้ผล ว่าจะใช้กฎใด
  4. คลิกถัดไป
  5. ในหน้าต่าง แอพพลิเคชันที่มา เลือก แอพพลิเคชันที่เจาะจง จากเมนูแบบเลื่อนลงเพื่อใช้กฎใหม่กับแอพพลิเคชันทั้งหมดที่พยายามจะทำงานกับแอพพลิเคชันที่เลือกไว้บนแอพพลิเคชันที่คุณระบุ
  6. คลิกเพิ่ม และ ... เพื่อเลือกพาธไปยังแอพพลิเคชันที่เจาะจง แล้วกดตกลง เพิ่มแอพพลิเคชันหากคุณต้องการ
    ตัวอย่างเช่น: C:\Program Files (x86)\Untrusted application\application.exe
  7. เลือกเขียนข้อมูลในไฟล์ การทำงาน
  8. เลือกไฟล์ทั้งหมด จากเมนูแบบเลื่อนลง วิธีนี้จะปิดกั้นความพยายามใดๆ เพื่อเขียนไฟล์โดยแอพพลิเคชันที่เลือกไว้จากขั้นตอนก่อนหน้านี้
  9. คลิก เสร็จสิ้น เพื่อบันทึกกฎใหม่ของคุณ

CONFIG_HIPS_RULES_EXAMPLE