Úprava pravidla HIPS
Pomocí tohoto dialogové okna můžete spravovat pravidla HIPS.
Pravidlo |
Uživatelský nebo automaticky zadaný název pravidla. |
|---|---|
Zapnuto |
Tento přepínač deaktivujte, pokud chcete ponechat pravidlo v seznamu pravidel, ale nepoužívat ho. |
Akce |
Pravidlo specifikuje (právě jednu) akci – Povolit, Zablokovat, Dotázat se – která se má provést, pokud jsou všechny podmínky splněny. |
Zdroje |
Pravidlo se uplatní, pouze pokud událost vyvolají definované aplikace. |
Cíle |
Pravidlo se uplatní, pouze pokud se operace provádí nad definovanými aplikacemi, soubory nebo záznamy registru. |
Zaznamenávat od úrovně |
Pokud aktivujete tuto možnost, při aplikování pravidla se informace zapíše do protokolu HIPS. |
Upozornit uživatele |
Pokud je tato možnost aktivní, při aplikování pravidla se uživateli zobrazí oznámení. |
Pro vytvoření nového pravidla klikněte na tlačítko Přidat, případně vyberte existující a klikněte na Změnit.
Název pravidla
Uživatelský nebo automaticky zadaný název pravidla.
Akce
Pravidlo specifikuje (právě jednu) akci – Povolit, Zablokovat, Dotázat se – která se má provést, pokud jsou všechny podmínky splněny.
Operace ovlivní
Vyberte typ operace, pro kterou má být pravidlo platné. Konkrétní pravidlo je možné použít pouze pro jeden typ operace nad vybraným cílem. Pravidlo se skládá z částí, které definují podmínky, za kterých se pravidlo uplatní.
Zdrojové aplikace
Pravidlo se uplatní, pouze pokud událost vyvolají definované aplikace. Pro vybrání konkrétní aplikace klikněte na tlačítko Přidat a vyberte jednotlivé soubory nebo složky aplikace. Pro monitorování všech aplikací vyberte z rozbalovacího menu možnost Všechny aplikace.
Poznámka Některé operace zvláštních pravidel předefinovaných systémem HIPS nemohou být zablokovány a standardně jsou povoleny. HIPS nemonitoruje všechny systémové operace. HIPS monitoruje operace, které mohou být považovány za nebezpečné. |
Popis důležitých operací:
Operace se soubory:
Vymazat soubor |
Aplikace žádá o povolení vymazat cílový soubor. |
|---|---|
Zápis do souboru |
Aplikace žádá o povolení zapisovat do cílového souboru. |
Přímý přístup na disk |
Aplikace se snaží číst nebo zapisovat na disk nestandardním způsobem, který obchází běžné procedury Windows. Výsledkem může být změna souboru bez použití příslušného pravidla. Tato operace může být způsobena škodlivým kódem, který se snaží vyhnout se detekci, zálohovacím programem, který kopíruje celý obsah pevného disku nebo správcem oddílů který reorganizuje diskové oddíly. |
Nainstalovat globální hook |
Volání funkce SetWindowsHookEx z MSDN knihovny pomocí dané aplikace. |
Načíst ovladač |
Instalace a načítání ovladače do systému. |
Pravidlo se uplatní, pouze pokud se operace provádí nad definovaným cílem. Pro vybrání konkrétních souborů klikněte na tlačítko Přidat a vyberte jednotlivé soubory nebo složky. Pro monitorování všech souborů vyberte z rozbalovacího menu možnost Všechny soubory.
Operace s aplikací:
Ladění jiné aplikace |
Připojení debuggeru k procesu. Při debuggingu můžete sledovat a měnit chování aplikace a přistupovat k jejím datům. |
|---|---|
Zachytávat události jiné aplikace |
Zdrojová aplikace se pokouší zachytit události cílové aplikace (například pokud se keylogger snaží zachytit aktivitu webového prohlížeče). |
Ukončit/přerušit jinou aplikaci |
Pozastavení, obnovení nebo ukončení procesu (může být vyvoláno přímo ze Správce úloh nebo ze záložky Procesy). |
Spustit novou aplikaci |
Spuštění nové aplikace nebo procesu. |
Změnit stav jiné aplikace |
Zdrojová aplikace se pokouší zapisovat do paměti cílové aplikace, případně se snaží spustit kód pod jejím jménem. Tato funkce je užitečná pro ochranu důležité aplikace, pokud ji nastavíte jako cílovou aplikaci v pravidle, které blokuje tyto operace. |
Pravidlo se uplatní, pouze pokud se operace provádí nad definovaným cílem. Pro vybrání konkrétní aplikace klikněte na tlačítko Přidat a vyberte jednotlivé soubory nebo složky aplikace. Pro monitorování všech aplikací vyberte z rozbalovacího menu možnost Všechny aplikace.
Operace se záznamy registru:
Úprava nastavení spuštění |
Všechny změny v nastavení, definující, které aplikace budou spouštěny při startu operačního systému Windows. Zobrazíte je například vyhledáním klíče Run v Editoru registru Windows. |
|---|---|
Vymazání z registru |
Vymazání klíče nebo hodnoty. |
Přejmenování klíče registru |
Přejmenování konkrétního klíče. |
Úprava registru |
Vytvoření nové hodnoty nebo změna existujících hodnot. Přesouvání dat v rámci datové struktury. Nastavení uživatelských nebo skupinových práv pro dané klíče registru. |
Pravidlo se uplatní, pouze pokud se operace provádí nad definovaným cílem. Pro vybrání konkrétních záznamů klikněte na tlačítko Přidat a vyberte jednotlivé klíče nebo hodnoty. Pro monitorování celého registru vyberte z rozbalovacího menu možnost Všechny záznamy.
Poznámka Při zápisu cíle můžete použít zástupné znaky s jistými omezeními. Místo specifikování klíče můžete použít v cestě k registru * (hvězdičku) ve významu "libovolný jeden klíč". Například HKEY_USERS\*\software can mean HKEY_USER\.default\software nepředstavuje HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* není platná cesta ke klíči registru. Cesta registru ukončená \* má speciální význam, znamená "tento klíč nebo libovolný podklíč libovolně hluboko." U souborových cílů se dá používat hvězdička pouze tímto způsobem. U vyhodnocování platí, že vždy se hledá nejprve cíl, který popisuje danou cestu přesně, a až poté cíl, který ji popisuje hvězdičkou ((*)). |
VAROVÁNÍ Pokud vytvoříte příliš obecné pravidlo, program vás na to upozorní. |