Redigera en HIPS-regel
Se HIPS-regelhantering först.
Regelnamn – användardefinierat eller automatiskt valt regelnamn.
Åtgärd – anger en åtgärd – Tillåt, Blockera eller Fråga – som utförs när villkoren uppfylls.
Åtgärder som påverkar – du måste välja typ av åtgärd för vilken regeln ska gälla. Regeln används endast för denna typ av åtgärd och för valt mål.
Aktiverad – inaktivera skjutreglaget om du vill behålla regeln i listan men inte tillämpa den.
Loggar allvarlighet – aktivera det här alternativet för att skriva information om regeln till HIPS-loggen.
Meddela användare – ett litet meddelandefönster öppnas i det nedre högra hörnet om en händelse utlöses.
Regeln består av delar som beskriver villkoren som utlöser denna regel:
Källprogram – regeln används endast om händelsen utlöses av detta/dessa program. Välj Specifika program i listrutan och klicka på Lägg till om du vill lägga till nya filer, eller så kan du välja Alla program i listrutan om du vill lägga till alla program.
Målfiler – regeln används endast om åtgärden är relaterad till detta mål. Välj Specifika filer i listrutan och klicka på Lägg till om du vill lägga till nya filer eller mappar, eller så kan du välja Alla filer i listrutan om du vill lägga till alla filer.
Program – regeln används endast om åtgärden är relaterad till detta mål. Välj Specifika program i listrutan och klicka på Lägg till om du vill lägga till nya filer eller mappar, eller så kan du välja Alla program i listrutan om du vill lägga till alla program.
Registerposter – regeln används endast om åtgärden är relaterad till detta mål. Välj Specifika poster i listrutan och klicka på Lägg till för att skriva den manuellt, eller så kan du klicka på Öppna registerredigerare för att välja en nyckel i registret. Du kan även välja Alla poster i listrutan om du vill lägga till alla program.
|
En det åtgärder i vissa regler fördefinierade av HIPS går inte att blockera och är tillåtna som standard. Inte alla systemåtgärder övervakas heller av HIPS. HIPS övervakar åtgärder som anses vara osäkra. |
Beskrivning av viktiga åtgärder:
Filåtgärder
•Ta bort fil – programmet begär tillstånd att ta bort målfilen.
•Skriv till fil – programmet begär tillstånd att skriva till målfilen.
•Direkt åtkomst till disk – programmet försöker läsa från eller skriva till disk på ett sätt som inte är standard och kringgår vanliga procedurer i Windows. Detta kan leda till att filer ändras utan att motsvarande regler tillämpas. Denna åtgärd kan orsakas av skadlig kod som försöker undvika detektering, ett säkerhetskopieringsprogram som försöker göra en exakt kopia av disken eller en partitionshanterare som försöker omorganisera diskvolymer.
•Installera global hook – hänvisar till anrop av funktionen SetWindowsHookEx i MSDN-biblioteket.
•Läs in drivrutin – installation och inläsning av drivrutiner i systemet.
Programåtgärder
•Felsök ett annat program – koppla ett felsökningsprogram till processen. När programmet felsöks går det att visa och ändra detaljer i dess beteende och det går att få åtkomst till dess data.
•Intervenera händelser från annat program – källprogrammet försöker att fånga händelser riktade till ett visst program (till exempel ett keylogger-program som försöker fånga webbläsarhändelser).
•Avsluta/pausa annat program – pausar eller återupptar eller avslutar en process (åtkomst direkt från Process Explorer eller fönstret Processer).
•Starta nytt program – starta nya program eller processer.
•Ändra läge för annat program – källprogrammet försöker skriva till målprogrammets minne eller körningskod för dess räkning. Denna funktion är användbar för att skydda ett viktigt program genom att konfigurera det som ett målprogram i en regel som blockerar användning av denna åtgärd.
Registeråtgärder
•Ändra startinställningar – ändringar i inställningar som definierar vilka program som körs när Windows startar. Dessa går till exempel att hitta genom att söka efter nyckeln Run i Windows register.
•Ta bort från registret – tar bort en registernyckel eller dess värde.
•Byt namn på registernyckel – byter namn på registernyckelarna.
•Ändra register – skapar nya värden till registernycklar, ändrar befintliga värden, flyttar data i databasträdet eller ställer in användar- eller gruppbehörighet för registernycklar.
|
Det går att använda jokertecken med vissa begränsning när ett mål anges. Det går att använda * (asterisk) i registersökvägar i stället för en viss nyckel. Till exempel HKEY_USERS\*\software kan betyda HKEY_USER\.default\software, men inte HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* är inte en giltig registernyckelsökväg. En registernyckelsökväg innehåller \* betyder "denna sökväg eller någon annan sökväg på alla nivåer efter den symbolen". Detta är endast sättet att använda jokertecken för filmål. Först utvärderas en viss del av sökvägen, sedan sökvägen som följer jokertecknet (*). |
|
Om du skapar en mycket generisk regel visas varningen om den här typen av regel. |
I följande exempel visar vi hur oönskat beteende i ett visst program kan begränsas:
1.Namnge regeln och välj Blockera (eller Fråga om du föredrar att välja senare) från rullgardinsmenyn Åtgärd.
2.Aktivera skjutreglaget bredvid Meddela användare för att visa ett meddelande när regeln tillämpas.
3.Välj minst en åtgärd för regeln i avsnittet Åtgärder som påverkar som regeln ska tillämpas på.
4.Klicka på Nästa.
5.I fönstret Källprogram väljer du Specifika program i listrutan om du vill tillämpa den nya regeln på alla program som försöker utföra någon av de valda programåtgärderna på de program du angett.
6.Klicka på Lägg till och sedan ... för att välja en sökväg till ett visst program och tryck sedan på OK. Lägg till fler program om du vill.
Till exempel: C:\Program Files (x86)\Untrusted application\application.exe
7.Välj åtgärden Skriv till fil.
8.Välj Alla filer i listrutan. Då blockeras alla försök att skriva till några filer av det eller de valda programmen från föregående steg.
9.Klicka på Slutför för att spara den nya regeln.
