Úprava HIPS pravidla

Predtým, ako začnete nastavovať pravidlá HIPS, si prečítajte kapitolu Manažment pravidiel HIPS.

Názov pravidlanázov zadaný používateľom alebo automaticky zvolený názov pravidla.

Akciašpecifikuje akciu (Povoliť, Blokovať alebo Pýtať sa), ktorá by mala byť vykonaná, ak sú všetky podmienky splnené.

Ovplyvnené operácie – vyberte typ operácií, pre ktoré bude pravidlo aplikované. Pravidlo sa uplatní len pre tento typ operácie a pre zvolený cieľ.

Povolené – deaktivujte túto možnosť, ak pravidlo nechcete používať, no želáte si ho ponechať v zozname.

Závažnosť zapisovania do protokoluak aktivujete túto možnosť, budú informácie o danom pravidle zapisované do protokolu HIPS.

Upozorniť používateľapo každej zodpovedajúcej udalosti sa v pravom dolnom rohu automaticky otvorí malé informačné okno.

 

Pravidlo pozostáva z častí, ktoré popisujú podmienky, za ktorých sa pravidlo spustí:

Zdrojové aplikácie – pravidlo sa uplatní, len ak udalosť vyvolajú dané aplikácie. Vyberte Špecifické aplikácie z roletového menu a kliknite na Pridať pre pridanie nových súborov alebo označte Všetky aplikácie z roletového menu pre pridanie všetkých aplikácií.

Súbory – pravidlo sa uplatní len v prípade, že sa operácia týka tohto cieľa. Vyberte Špecifické súbory z roletového menu a kliknite na Pridať pre pridanie nových súborov alebo priečinkov, prípadne označte Všetky súbory z roletového menu pre pridanie všetkých aplikácií.

Aplikáciepravidlo sa uplatní len v prípade, že sa operácia týka tohto cieľa. Vyberte Špecifické aplikácie z roletového menu a kliknite na Pridať pre pridanie aplikácií alebo označte Všetky aplikácie z roletového menu pre pridanie všetkých aplikácií.

Položky registra pravidlo sa uplatní len v prípade, že sa operácia týka tohto cieľa. Vyberte Špecifické položky z roletového menu a kliknite na Pridať pre pridanie položiek alebo kliknite na Otvoriť editor registrov pre výber položiek z registrov. V roletovom menu môžete tiež zvoliť možnosť Všetky položky.

note

Poznámka

Niektoré operácie špecifických pravidiel prednastavených modulom HIPS nemôžu byť zablokované a sú na základe predvolených nastavení povolené. Rovnako platí, že HIPS nemonitoruje všetky systémové operácie. HIPS monitoruje tie operácie, ktoré môžu byť nebezpečné.

Popis dôležitých operácií:

Súborové operácie

Vymaž súbor – aplikácia žiada o povolenie zmazať cieľový súbor.

Zapíš do súboru – aplikácia žiada o povolenie zapisovať do cieľového súboru.

Priamy prístup na disk – aplikácia sa snaží čítať z alebo zapisovať na disk neštandardným spôsobom, ktorý obchádza bežné procesy Windows. Výsledkom môže byť zmena súboru bez aplikácie príslušného pravidla. Táto operácia môže byť spôsobená škodlivým kódom, ktorý sa snaží vyhnúť detekcii, zálohovacím programom, ktorý kopíruje celý obsah pevného disku, alebo správcom partícií, ktorý reorganizuje diskové partície.

Nainštaluj globálny hook – volanie funkcie SetWindowsHookEx z MSDN knižnice pomocou danej aplikácie.

Načítaj ovládač – inštalácia a načítanie ovládača do systému.

Operácie aplikácie

Ladiť (debug) ďalšiu aplikáciu – pripojí ladiaci nástroj (debugger) k procesu. Pri ladení aplikácie sa dá pozorovať alebo meniť jej správanie. Tiež je možné pristupovať k jej dátam.

Zachytávaj udalosti inej aplikácie – zdrojová aplikácia sa pokúša zachytiť udalosti cieľovej aplikácie (napríklad, ak sa keylogger snaží zachytiť aktivitu webového prehliadača).

Ukonči/preruš inú aplikáciu – pozastavenie, obnovenie alebo ukončenie procesu (môže byť vyvolané priamo cez Process Explorer alebo zo záložky Procesy).

Spusti novú aplikáciu – spustenie novej aplikácie alebo procesu.

Zmeň stav inej aplikácie – zdrojová aplikácia sa pokúša zapisovať do pamäte cieľovej aplikácie, prípadne sa snaží spustiť kód v jej mene. Táto funkcionalita je užitočná na ochranu dôležitej aplikácie, ak ju nastavíte ako cieľovú aplikáciu pri pravidle, ktoré blokuje tieto operácie.

note

Poznámka

Na 64-bitových operačných systémoch Windows XP nie je možné zachytávať operácie jednotlivých aplikácií.

Operácie s registrami

Zmena nastavenia spustenia – všetky zmeny v nastaveniach definujúcich, ktoré aplikácie budú spúšťané pri štarte operačného systému Windows. Tieto môžu byť vyhľadané napríklad pri zadaní kľúča Run do vyhľadávania vo Windows Registry.

Vymaž z registra – zmazanie kľúča alebo hodnoty v danom kľúči.

Premenuj kľúč registra – premenovanie konkrétneho kľúča.

Uprav register – vytváranie nových hodnôt kľúčov alebo zmena dát asociovaných s hodnotou, zmena umiestnenia dát v rámci stromu databázy a nastavovanie používateľských alebo skupinových práv daného kľúča.

note

Poznámka

Pri zadávaní cieľa je možné s istými obmedzeniami používať zástupné znaky. Namiesto konkrétneho kľúča môžete v ceste k databáze Registry použiť zástupný znak * vo význame „ľubovoľný jeden kľúč“. Napríklad HKEY_USERS\*\software môže znamenať HKEY_USER\.default\software, ale nie HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* je nesprávne uvedená cesta. Registrový cieľ ukončený \* má špeciálny význam, znamená „tento kľúč alebo ľubovoľný podkľúč ľubovoľne hlboko“. Pri súborových cieľoch sa dá používať hviezdička len týmto druhým spôsobom. Platí, že najskôr sa vyhodnocuje špecifická časť cesty a potom cesta po zástupnom znaku (*).

warning

Upozornenie

Ak vytvoríte príliš všeobecné pravidlo, zobrazí sa príslušné upozornenie.

V nasledujúcom príklade si ukážeme, ako obmedziť neželané správanie konkrétnej aplikácie:

1.Zadajte názov pravidla a vyberte možnosť Blokovať (alebo Pýtať sa, ak si želáte vybrať akciu neskôr) z roletového menu Akcia.

2.Zvoľte možnosť Upozorniť používateľa pre zobrazenie upozornenia v prípade, že sa pravidlo použije.

3.Vyberte aspoň jednu operáciu v sekcii Ovplyvnené operácie, pre ktorú bude pravidlo aplikované.

4.Kliknite na Ďalej.

5.V okne Zdrojové aplikácie vyberte z roletového menu možnosť Všetky aplikácie, aby sa nové pravidlo uplatnilo pre všetky aplikácie, ktoré sa pokúšajú vykonať jednu zo zvolených operácií na vami vybraných aplikáciách.

6.Kliknite na Pridať, pomocou ... následne vyberte cestu ku konkrétnej aplikácii a kliknite na OK. V prípade potreby pridajte ďalšie aplikácie.
Napríklad: C:\Program Files (x86)\Untrusted application\application.exe

7.Vyberte operáciuZapíš do súboru.

8.Z roletového menu vyberte možnosť Všetky súbory. Týmto sa zablokujú akékoľvek pokusy o zápis do súborov aplikáciou zvolenou v predchádzajúcom kroku.

9.Kliknite na Dokončiť pre uloženie pravidla.

CONFIG_HIPS_RULES_EXAMPLE