Змінення правила HIPS

Спочатку див. тему Керування правилами HIPS.

Ім’я правила: визначене користувачем або автоматично вибране ім’я правила.

Дія: дає змогу визначити дію (Дозволити, Заблокувати або Запитувати), яка виконуватиметься в разі виконання відповідних умов.

Задіяні операції: потрібно вибрати тип операції, для якої застосовуватиметься правило. Правило використовуватиметься лише для цього типу операцій і для вибраної цілі.

Увімкнено: вимкніть цей параметр за допомогою повзунка, щоб зберегти правило у списку, але не застосовувати його.

Рівень критичності – якщо ввімкнути цей параметр, інформацію про таке правило буде записано в журнал HIPS.

Сповістити користувача: у разі ініціювання події в правому нижньому куті відображається невелике спливаюче вікно.

Правило складається з частин, що описують умови, які його ініціюють.

Програми-джерела: правило використовуватиметься лише в тому випадку, якщо подію ініціює ця програма. У розкривному меню виберіть Окремі програми й натисніть Додати, щоб додати нові файли. Також можна вибрати Усі програми, щоб додати всі програми.

Цільові файли: правило використовуватиметься лише в тому випадку, якщо операцію пов’язано з відповідним цільовим об’єктом. У розкривному меню виберіть Окремі файли й натисніть Додати, щоб додати нові файли чи папки, або виберіть Усі файли, щоб додати всі файли.

Програми: правило використовуватиметься лише в тому випадку, якщо операція пов’язана з відповідним цільовим об’єктом. У розкривному меню виберіть Окремі програми й натисніть Додати, щоб додати нові файли або папки, або виберіть Усі програми, щоб додати всі програми.

Записи реєстру: правило використовуватиметься лише в тому випадку, якщо операція пов’язана з відповідним цільовим об’єктом. У розкривному меню виберіть Окремі записи й натисніть Додати, щоб ввести вручну, або натисніть Відкрити редактор реєстру, щоб вибрати ключ із реєстру. Ви також можете вибрати в розкривному меню елемент Усі записи, щоб додати всі програми.

Опис важливих операцій

Операції з файлами

•Видалити файл: програма відображає запит про надання дозволу на видалення цільового файлу.

•Виконати запис до файлу: програма відображає запит про надання дозволу на запис до цільового файлу.

•Безпосередній доступ до диска – програма намагається розпочати читання з диска або запис на нього нестандартним способом, який дає змогу обійти звичайні процедури Windows. Це може призвести до зміни файлів без застосування відповідних процедур. Таку операцію може виконувати шкідливе ПЗ, яке намагається уникнути виявлення, програма резервного копіювання, що робить спробу створити точну копію диска, або менеджер розділів, який намагається повторно впорядкувати томи диска.

•Установити глобальне перехоплення: передбачає виклик функції SetWindowsHookEx із бібліотеки MSDN.

•Завантажити драйвер: інсталяція та завантаження драйверів у середовищі системи.

Операції з програмами

•Налагодити іншу програму: приєднання до процесу засобу налагодження. Під час виправлення неполадок у роботі іншої програми певні відомості про її поведінку можна переглядати й коригувати. Також можна отримати доступ до даних цієї програми.

•Зупиняти події від іншої програми: програма-джерело намагається перехопити події, пов’язані з певною програмою (наприклад, клавіатурний шпигун робить спробу перехопити події, пов’язані з браузером).

•Припинити/призупинити роботу іншої програми: призупинення, відновлення або припинення процесу (доступ можна отримати безпосередньо з диспетчера процесів або на вкладці "Процеси").

•Запустити нову програму: запуск нових програм або процесів.

•Змінити стан іншої програми: програма-джерело намагається здійснити запис у пам’ять цільової програми або виконати певний код від її імені. Така функція може бути корисною для захисту важливої програми: просто визначте її як цільову у правилі, що блокує використання подібної операції.

Операції з реєстром

•Змінити параметри запуску – будь-які зміни в параметрах запуску програм під час завантаження Windows. Їх можна знайти, наприклад, здійснивши пошук за назвою розділу Run у реєстрі Windows.

•Видалити з реєстру: видалення розділу або його значення.

•Перейменувати розділ реєстру: перейменування розділів реєстру.

•Внести зміни до реєстру: створення нових значень розділів реєстру, зміна наявних значень, переміщення даних у дереві бази даних або налаштування прав доступу до розділів реєстру для користувачів і груп.

На наведеному нижче прикладі ми продемонструємо, як обмежити небажану поведінку окремої програми.

1.Призначте ім’я правилу й виберіть Заблокувати (або Запитати, якщо ви маєте намір вибрати дію пізніше) в розкривному меню Дія.

2.За допомогою повзунка ввімкніть параметр Сповістити користувача, щоб відображати сповіщення під час кожного застосування правила.

3.Виберіть щонайменше одну операцію в списку Операції для розділу, до якого застосовуватиметься правило.

4.Натисніть кнопку Далі.

5.У розкривному меню вікна Програми-джерела виберіть Окремі програми, щоб застосувати нове правило до всіх програм, які намагаються виконати будь-яку з вибраних операцій з указаними програмами.

6.Клацніть Додати, а потім …, щоб вибрати шлях до певної програми, і натисніть кнопку ОК. За бажанням додайте більше програм.
Приклад: C:\Program Files (x86)\Untrusted application\application.exe

7.Виберіть операцію Записати у файл.

8.У розкривному меню виберіть пункт Усі файли. Після цього будуть блокуватися будь-які спроби програм, вибраних у попередньому кроці, виконати запис у будь-які файли.

9.Натисніть кнопку Готово, щоб зберегти нове правило.