Editați o regulă HIPS
Consultați mai întâi secțiunea privind gestionarea regulilor HIPS.
Nume regulă – nume de regulă definit de utilizator sau ales automat.
Acțiune – specifică o acțiune – Permitere, Blocare sau Întreabă – care se va efectua dacă sunt corecte condițiile.
Operațiuni afectate – trebuie să selectați tipul de operațiune pentru care se va aplica regula. Regula se va utiliza numai pentru acest tip de operațiune și pentru ținta selectată.
Activată – dezactivați bara cu glisor dacă doriți să păstrați regula în listă, însă nu doriți să o aplicați.
Severitate înregistrare în log – dacă activați această opțiune, informațiile despre această regulă se vor scrie în Log HIPS.
Notificare utilizator – în colțul din dreapta, jos, se afișează o fereastră pop-up mică dacă se declanșează un eveniment.
Regula este formată din părți care descriu condițiile care declanșează această regulă:
Aplicații sursă– Regula se va utiliza numai dacă evenimentul este declanșat de această aplicație (sau aplicații). Selectați Aplicații specifice din meniul vertical și faceți clic pe Adăugare pentru a adăuga fișiere noi sau puteți selecta Toate aplicațiile din meniul vertical pentru a adăuga toate aplicațiile.
Fișiere țintă– regula se va utiliza numai dacă operațiunea este asociată acestei ținte. Selectați Fișiere specifice în meniul vertical și faceți clic pe Adăugare pentru a adăuga fișiere sau directoare noi sau puteți selecta Toate fișierele în meniul vertical pentru a adăuga toate fișiere.
Aplicații– regula se va utiliza numai dacă operațiunea este asociată acestei ținte. Selectați Aplicații specifice din meniul vertical și faceți clic pe Adăugare pentru a adăuga fișiere sau directoare noi sau puteți selecta Toate aplicațiile din meniul vertical pentru a adăuga toate aplicațiile.
Intrări de registry– regula se va utiliza numai dacă operațiunea este asociată acestei ținte. Selectați Intrări specifice în meniul vertical și faceți clic pe Adăugare pentru a o tasta manual sau puteți face clic pe Deschidere editor registry pentru a select o cheie din registry. De asemenea, puteți selecta Toate intrările din meniul vertical pentru a adăuga toate aplicațiile.
|
Unele operațiuni ale regulilor specifice predefinite de HIPS nu se pot bloca și nu sunt permise în mod implicit. În plus, HIPS nu monitorizează toate operațiunile sistemului. HIPS monitorizează operațiunile care pot fi considerate periculoase. |
Descrierea operațiunilor importante:
Operațiuni de fișier
•Ștergere fișier – aplicația solicită permisiune pentru a șterge fișierul țintă.
•Scriere în fișier – aplicația solicită permisiune pentru a scrie în fișierul țintă.
•Acces direct la disc – aplicația încearcă să citească de pe/să scrie pe un disc într-o modalitate nestandardizată, care va ocoli procedurile obișnuite din Windows. Acest lucru poate duce la fișiere modificate fără aplicarea regulii corespunzătoare. Această operațiune poate fi provocată de un cod dăunător care încearcă să eludeze detectarea, de un software de copiere de rezervă care încearcă să efectueze o copie exactă a discului sau de un manager de partiție care încearcă să reorganizeze volumele discului.
•Instalare racord global – se referă la apelarea funcției SetWindowsHookEx din biblioteca MSDN.
•Încărcare driver – instalare și încărcare de drivere în sistem.
Operațiuni legate de aplicații
•Depanare altă aplicație – atașare a unui depanator la proces. La depanarea unei aplicații, se pot vizualiza și modifica multe detalii ale comportamentului acesteia și i se pot accesa datele.
•Interceptare evenimente de la altă aplicație – aplicația sursă încearcă să surprindă evenimentele vizate la o anumită aplicație (de exemplu, un program de înregistrare a apăsărilor de taste care încearcă să surprindă evenimentele de browser).
•Terminare/suspendare altă aplicație – suspendare, reluare sau terminare a unui proces (se poate acces direct din Explorer procese sau din panoul Procese).
•Pornire aplicație nouă – pornire a unei aplicații noi sau a unui proces nou.
•Modificare stare pentru altă aplicație – aplicația sursă încearcă să scrie în memoria aplicației țintă sau să execute un cod în numele acesteia. Această funcționalitate poate fi utilă pentru a proteja o aplicație esențială prin configurarea acesteia ca aplicație țintă într-o regulă care blochează utilizarea acestei operațiuni.
|
Nu se pot intercepta operațiuni de proces pe versiunea de Windows XP pe 64 de biți. |
Operațiuni legate de registry
•Modificare setări pornire – orice modificare a setărilor care definesc aplicațiile care se vor executa la pornirea sistemului Windows. Acestea se pot găsi, de exemplu, căutând cheia Run în registry Windows.
•Ștergere din registry – ștergere a unei chei de registry sau a valorii acesteia.
•Redenumire cheie registry – redenumire a unor chei de registry.
•Modificare registry – creare a unor valori noi pentru cheile de registry, modificare a valorilor existente, mutare a datelor în structura de tip arbore a bazei de date sau setare a drepturilor de utilizator sau de grup pentru cheile de registry.
|
Puteți utiliza metacaractere cu anumite restricții când introduceți o țintă. În locul unei anumite chei, se poate utiliza simbolul * (asterisc) în calea de registry. De exemplu, HKEY_USERS\*\software poate însemna HKEY_USER\.default\software, dar nu HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* nu este o cale corectă de cheie de registry. O cale de cheie de registry care conține \* definește „această cale sau orice cale, la orice nivel, după simbolul respectiv”. Aceasta este singura modalitate de utilizare a metacaracterelor pentru țintele fișierelor. Mai întâi se evaluează partea specifică a unei căi și apoi calea după simbolul metacaracterului (*). |
|
Dacă creați o regulă foarte generică, se va afișa avertismentul despre acest tip de regulă. |
În exemplul următor, vom demonstra modul de restricționare a comportamentului nedorit a unei aplicații specifice:
1. Numiți regula și selectați Blocare (sau Întrebare, dacă preferați să alegeți mai târziu) în meniul vertical Acțiune.
2.Activați bara cu glisor de lângă Notificare utilizator pentru a afișa o notificare de fiecare dată când se aplică o regulă.
3.Selectați cel puțin o operațiune în secțiunea Operațiuni afectate pentru care se va aplica regula.
4.Faceți clic pe Înainte.
5.În fereastra Aplicații sursă, selectați Aplicații specifice din meniul vertical pentru a aplica regula nouă tuturor aplicațiilor care încearcă să efectueze oricare dintre operațiunile selectate asupra aplicațiilor specificate.
6.Faceți clic pe Adăugare, apoi pe ... pentru a alege calea către o aplicație specifică, apoi apăsați pe OK. Dacă doriți, adăugați și alte aplicații.
Exemplu: C:\Program Files (x86)\Untrusted application\application.exe
7.Selectați operațiunea Scriere în fișier.
8.Selectați Toate fișierele în meniul vertical. Astfel toate încercările aplicațiilor selectate la pasul precedent de a scrie vreun fișier vor fi blocate.
9.Faceți clic pe Terminare pentru a salva regula nouă.
