Configuraciones de reglas HIPS
Esta ventana le brinda una visión general de las reglas HIPS existentes.
Regla |
Nombre de la regla definido por el usuario o elegido automáticamente. |
---|---|
Habilitado |
Desactive este interruptor si desea conservar la regla en la lista pero no quiere usarla. |
Acción |
La regla especifica una acción, Permitir, Bloquear o Preguntar, que se deberá llevar a cabo bajo las condiciones adecuadas. |
Fuentes |
La regla solo se usará si una aplicación o un número de aplicaciones accionan el evento. |
Destinos |
La regla solo se usará si la operación se relaciona con un archivo, una aplicación o una entrada de registro específicos. |
Gravedad de registro |
Si activa esta opción, la información sobre esta regla se incluirá en el registro de HIPS. |
Notificar |
Si se acciona un evento, aparece una ventana pequeña en el área de notificación de Windows. |
Cree una nueva regla, haga clic en Agregar nuevas reglas de HIPS o Editar las entradas seleccionadas.
Nombre de regla
Nombre de la regla definido por el usuario o elegido automáticamente.
Acción
La regla especifica una acción, Permitir, Bloquear o Preguntar, que se deberá llevar a cabo bajo las condiciones adecuadas.
Operaciones que afectan
Debe seleccionar el tipo de operación a la que se aplicará la regla. La regla solo se usará para este tipo de operación y para el destino seleccionado. La regla consta de partes que describen las condiciones que desencadenan esta regla.
Aplicaciones de origen
La regla solo se usará cuando esta aplicación o estas aplicaciones accionen el suceso. Seleccione Aplicaciones específicas en el menú desplegable y haga clic en Agregar para agregar carpetas o archivos, o puede seleccionar Todas las aplicaciones en el menú desplegable para agregar todas las aplicaciones.
Algunas operaciones de reglas específicas predefinidas por el sistema HIPS no se pueden bloquear y están permitidas en forma predeterminada. Además, el sistema HIPS no monitorea todas las operaciones del sistema. HIPS monitorea las operaciones que se pueden considerar no seguras. |
Descripciones de las operaciones más importantes:
Operaciones de archivos
Eliminar el archivo |
La aplicación pide permiso para eliminar el archivo de destino. |
---|---|
Escribir en el archivo |
La aplicación pide permiso para escribir en el archivo de destino. |
Acceso directo al disco |
La aplicación está intentando leer el disco o escribir en él de una forma que no es la estándar, lo que evade los procedimientos comunes de Windows. Esto puede provocar que se modifiquen los archivos sin haber aplicado las reglas correspondientes. Esta operación puede haberse generado por malware que intenta evadir la detección, un software de creación de copias de seguridad que intenta hacer una copia exacta del disco, o un administrador de particiones que intenta reorganizar los volúmenes de disco. |
Instalar enlace global |
Se refiere al llamado de la función SetWindowsHookEx de la biblioteca MSDN. |
Cargar controlador |
Instalación y carga de controladores en el sistema. |
La regla solo se usará si la operación está relacionada con este destino. Seleccione Archivos específicos en el menú desplegable y haga clic en Agregar para agregar nuevos archivos o carpetas. Alternativamente, puede seleccionar Todos los archivos en el menú desplegable para agregar todas las aplicaciones.
Operaciones de la aplicación
Depurar otra aplicación |
Adjuntar un depurador al proceso. Cuando se depura una aplicación, es posible ver y modificar muchos detalles de su conducta, así como acceder a sus datos. |
---|---|
Interceptar eventos desde otra aplicación |
La aplicación de origen está intentando capturar eventos dirigidos a una aplicación específica (por ejemplo, un registrador de pulsaciones de teclas que intenta capturar eventos del navegador). |
Finalizar/suspender otra aplicación |
Suspende, reanuda o termina un proceso (se puede acceder directamente desde el Explorador de procesos o desde la ventana de procesos). |
Iniciar una nueva aplicación |
Inicio de aplicaciones o procesos nuevos. |
Modificar el estado de otra aplicación |
La aplicación de origen está intentando escribir en la memoria de la aplicación de destino o ejecutar un código en su nombre. Esta funcionalidad puede resultar útil para proteger una aplicación esencial mediante su configuración como aplicación de destino en una regla que bloquee el uso de dicha operación. |
La regla solo se usará si la operación está relacionada con este destino. Seleccione Aplicaciones específicas en el menú desplegable y haga clic en Agregar para agregar nuevos archivos o carpetas. Alternativamente, puede seleccionar Todas las aplicaciones en el menú desplegable para agregar todas las aplicaciones.
Operaciones de registros
Modificar las configuraciones de inicio |
Cualquier cambio en la configuración que defina qué aplicaciones se ejecutarán durante el inicio de Windows. Pueden encontrarse, por ejemplo, al buscar la clave Ejecutar en el registro de Windows. |
---|---|
Eliminar del registro |
Elimina una clave de registro o su valor. |
Volver a nombrar la clave de registro |
Vuelve a nombrar claves de registros. |
Modificar el registro |
Crea nuevos valores de claves de registro, modifica los valores existentes, cambia datos de lugar en el árbol de la base de datos o configura derechos de usuarios o de grupos para las claves de registro. |
La regla solo se usará si la operación está relacionada con este destino. Seleccione Entradas específicas en el menú desplegable y haga clic en Agregar para agregar nuevos archivos o carpetas. Alternativamente, puede seleccionar Todas las entradas en el menú desplegable para agregar todas las aplicaciones.
Puede usar caracteres globales con ciertas restricciones al ingresar un destino. En lugar de usar una clave específica, se puede usar el símbolo * (asterisco) en las rutas del registro. Por ejemplo, HKEY_USERS\*\software can mean HKEY_USER\.default\software pero no HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* no es una ruta válida a una clave de registro. Una ruta a una clave de registro que contenga \* define “esta ruta o cualquier ruta de cualquier nivel que se encuentre después de ese símbolo”. Esta es la única manera de usar caracteres globales para archivos de destino. Primero se evaluará la parte específica de la ruta, y luego la ruta que sigue al carácter global (*). |
Puede recibir una notificación si crea una regla demasiado general. |