Aide en ligne d'ESET

Recherche Français canadien
Sélectionnez le sujet

Paramètres de règle HIPS

La fenêtre vous donne un aperçu des règles HIPS existantes.

Règle

Nom de la règle défini par l'utilisateur ou choisi automatiquement.

Activé(e)

Désactivez ce commutateur si vous voulez que la règle reste inscrite sur la liste, mais sans l'utiliser.

Action

La règle précise une action - Autoriser, Bloquer ouDemander - qui doit être effectuée lorsque les conditions sont satisfaites.

Sources

La règle ne sera utilisée que si l'événement est déclenché par cette ou ces applications.

Cibles

La règle sera utilisée uniquement si l'opération est liée à un fichier, à une application ou à une entrée de registre spécifique.

Gravité de l'entrée du journal

Si vous activez cette option, l'information au sujet de cette règle sera inscrite dans le journal HIPS.

Notifier

Une petite fenêtre apparaît dans la zone de notification Windows si un événement est déclenché.

Créez une nouvelle règle, cliquez sur Ajouter de nouvelles règles HIPS ou Modifier les entrées sélectionnées.

Nom de la règle

Nom de la règle défini par l'utilisateur ou choisi automatiquement.

Action

La règle précise une action - Autoriser, Bloquer ou Demander - qui doit être effectuée lorsque les conditions sont satisfaites.

Opérations concernées

Vous devez sélectionner le type d'opérations auquel s'appliquera la règle. La règle sera utilisée seulement pour ce type d'opération et pour la cible sélectionnée. La règle est constituée de plusieurs parties qui décrivent les conditions déclenchant cette règle.

Applications sources

La règle ne sera utilisée que si l'événement est déclenché par cette ou ces applications. Sélectionnez des applications spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les applications.


note

Certaines opérations de règles spécifiques prédéfinies par HIPS ne peuvent pas être bloquées et sont autorisées par défaut. En plus, toutes les opérations système ne sont pas contrôlées par HIPS. HIPS contrôle les opérations qui peuvent être considérées comme dangereuses.

Description d'opérations importantes :

Opérations sur le fichier

Supprimer le fichier

L'application vous invite à autoriser la suppression du fichier cible.

Écrire dans un fichier

L'application vous invite à autoriser l'écriture dans le fichier cible.

Accès direct au disque

L'application tente de lire ou d'écrire sur le disque d'une manière non standard, qui contournera les procédures courantes de Windows. Cela peut entraîner la modification de fichiers sans application des règles correspondantes. Cette opération peut être provoquée par un logiciel malveillant qui tente d'éviter la détection, un logiciel de sauvegarde qui essaie de faire une copie exacte d'un disque ou un gestionnaire de partitions qui tente de réorganiser des volumes de disque.

Installer le crochet global

Se réfère à l'appel de la fonction SetWindowsHookEx de la bibliothèque MSDN.

Charger le pilote

Installation et chargement de pilotes dans le système.

La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Fichiers spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Tous les fichiers dans le menu déroulant pour ajouter toutes les applications.

Activités de l'application

Déboguer une autre application

Joindre un débogueur au processus. Lors du débogage d'une application, de nombreux détails de son comportement peuvent être affichés et modifiés et ses données deviennent accessibles.

Intercepter les événements à partir d'une autre application

L'application source tente d'intercepter des événements destinés à une application spécifique (par exemple un enregistreur de frappe qui tente de capturer les événements d'un navigateur).

Mettre fin à une autre application/la suspendre

Suspendre, reprendre ou arrêter un processus (accès direct par l'explorateur de processus ou la fenêtre Processus).

Lancer une nouvelle application

Lancement de nouvelles applications ou de nouveaux processus.

Modifier l'état d'une autre application

L'application source tente d'écrire dans la mémoire de l'application cible ou d'exécuter du code en son nom. Cette fonctionnalité peut être utile pour protéger une application essentielle en la configurant comme application cible dans une règle qui bloque l'utilisation de cette opération.

La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Applications spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les applications.

Opérations sur le registre

Modifier les paramètres de démarrage

Toutes les modifications des paramètres qui définissent quelles applications seront exécutées au démarrage de Windows. Il est possible de les trouver, par exemple, en recherchant la clé Run dans le registre de Windows.

Supprimer du registre

Supprimer une clé de registre ou sa valeur.

Renommer la clé de registre

Renomme les clés de registre.

Modifier le registre

Créer de nouvelles valeurs de clés de registre, modifier des valeurs existantes, déplacer des données dans l'arborescence de la base de données ou définir les droits du groupe ou de l'utilisateur à l'égard de clés de registre.

La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Entrées spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Toutes les entrées dans le menu déroulant pour ajouter toutes les applications.


note

Vous pouvez utiliser des caractères génériques avec certaines restrictions au moment d'entrer une cible. Plutôt qu'une clé particulière, vous pouvez utiliser un symbole * (astérisque) dans les chemins d'accès du registre. Par exemple, HKEY_USERS\*\software can mean HKEY_USER\.default\software mais pas HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* n'est pas un chemin d'accès à la clé du registre valide. Un chemin d'accès à la clé du registre contenant \* définit « ce chemin d'accès, sur tout niveau, après ce symbole ». C'est la seule façon d'utiliser les caractères génériques pour les fichiers cibles. La partie spécifique d'un chemin sera la première à être évaluée, puis elle sera suivie du chemin se trouvant après le caractère générique (*).


warning

Vous pourriez recevoir une notification si vous créez une règle trop générique.