Editar una regla HIPS
Consulte primero la administración de reglas HIPS.
Nombre de la regla – nombre de la regla definido por el usuario o elegido automáticamente.
Acción – especifica una acción; Permitir, Bloquear o Preguntar; que se deberá llevar a cabo si se cumple con las condiciones.
Operaciones que afectan – debe seleccionar el tipo de operación a la que se aplicará la regla. La regla solo se utilizará para este tipo de operación y para el destino seleccionado.
Habilitada: deshabilite el interruptor si desea conservar la regla en la lista pero no quiere aplicarla.
Severidad de registro – si activa esta opción, la información sobre esta regla se incluirá en el registro de HIPS.
Notificar al usuario – si se acciona un evento, aparece una ventana de notificación emergente pequeña en la esquina inferior derecha.
La regla está compuesta por partes que describen las condiciones que la accionan:
Aplicaciones de origen–la regla solo se utilizará si esta aplicación o estas aplicaciones accionan el evento. Seleccione Aplicaciones específicas en el menú desplegable y haga clic en Agregar para agregar archivos nuevos, o puede seleccionar Todas las aplicaciones en el menú desplegable para agregar todas las aplicaciones.
Archivos de destino: la regla solo se usará si la operación está relacionada con este destino. Seleccione Archivos específicos en el menú desplegable y haga clic en Agregar para agregar carpetas o archivos nuevos, o puede seleccionar Todos los archivos en el menú desplegable para agregar todos los archivos.
Aplicaciones– la regla solo se utilizará si la operación está relacionada con este destino. Seleccione Aplicaciones específicas en el menú desplegable y haga clic en Agregar para agregar carpetas o archivos nuevos, o puede seleccionar Todas las aplicaciones en el menú desplegable para agregar todas las aplicaciones.
Entradas de registro– la regla solo se utilizará si la operación está relacionada con este destino. Seleccione Entradas específicas en el menú desplegable y haga clic en Agregar para ingresarlas en forma manual o haga clic en Abrir el editor de registros para seleccionar una clave del Registro. Además, puede seleccionar Todas las entradas en el menú desplegable para agregar todas las aplicaciones.
Algunas operaciones de reglas específicas predefinidas por el sistema HIPS no se pueden bloquear y están permitidas en forma predeterminada. Además, el sistema HIPS no monitorea todas las operaciones del sistema. HIPS monitorea las operaciones que se pueden considerar no seguras. |
Descripciones de las operaciones más importantes:
Operaciones de archivos
•Eliminar el archivo – la aplicación pide permiso para eliminar el archivo de destino.
•Escribir en el archivo – la aplicación pide permiso para escribir en el archivo de destino.
•Acceso directo al disco – la aplicación está intentando leer el disco o escribir en él de una forma que no es la estándar, lo que evade los procedimientos comunes de Windows. Esto puede provocar que se modifiquen los archivos sin haber aplicado las reglas correspondientes. Esta operación puede haberse generado por malware que intenta evadir la detección, un software de creación de copias de seguridad que intenta hacer una copia exacta del disco, o un administrador de particiones que intenta reorganizar los volúmenes de disco.
•Instalar enlace global – se refiere al llamado de la función SetWindowsHookEx de la biblioteca MSDN.
•Cargar controlador – instalación y carga de controladores en el sistema.
Operaciones de la aplicación
•Depurar otra aplicación – adjuntar un depurador al proceso. Cuando se depura una aplicación, es posible ver y modificar muchos detalles de su conducta, así como acceder a sus datos.
•Interceptar eventos desde otra aplicación – la aplicación de origen está intentando capturar eventos dirigidos a una aplicación específica (por ejemplo, un keylogger que intenta capturar eventos del navegador).
•Finalizar/suspender otra aplicación – suspende, reanuda o termina un proceso (se puede acceder directamente desde el Explorador de procesos o el Panel de procesos).
•Iniciar una aplicación nueva – inicio de aplicaciones o procesos nuevos.
•Modificar el estado de otra aplicación – la aplicación de origen está intentando escribir en la memoria de las aplicaciones de destino o ejecutar un código en su nombre. Esta funcionalidad puede resultar útil para proteger una aplicación esencial mediante su configuración como aplicación de destino en una regla que bloquee el uso de dicha operación.
Operaciones de registros
•Modificar la configuración del inicio – cualquier cambio en la configuración que defina qué aplicaciones se ejecutarán durante el inicio de Windows. Pueden encontrarse, por ejemplo, al buscar la clave Run en el registro de Windows.
•Eliminar del registro – eliminar una clave de registro o su valor.
•Volver a nombrar la clave de registro – volver a nombrar claves de registros.
•Modificar el registro – crear nuevos valores de claves de registro, modificar los valores existentes, cambiar datos de lugar en el árbol de la base de datos o configurar derechos de usuarios o de grupos para las claves de registro.
Puede usar caracteres globales con ciertas restricciones al ingresar un destino. En lugar de usar una clave específica, se puede usar el símbolo * (asterisco) en las rutas del registro. Por ejemplo, HKEY_USERS\*\software puede significar HKEY_USER\.default\software pero no HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* no es una ruta válida a una clave de registro. Una ruta a una clave de registro que contenga \* define “esta ruta o cualquier ruta de cualquier nivel que se encuentre después de ese símbolo”. Esta es la única manera de usar caracteres globales para archivos de destino. Primero se evaluará la parte específica de la ruta y luego la ruta que sigue al carácter global (*). |
Si crea una regla muy genérica, se mostrará la advertencia sobre este tipo de regla. |
En el siguiente ejemplo, mostraremos cómo restringir las conductas no deseadas de una aplicación específica:
1.Póngale un nombre a la regla y seleccione Bloquear (o Preguntar si prefiere elegir más adelante) desde el menú desplegable Acción.
2.Habilite el interruptor junto a Notificar al usuario para mostrar una notificación cada vez que se aplique una regla.
3.Seleccione al menos una operación en la sección Operaciones que afectan para la cual se aplicará la regla.
4.Haga clic en Siguiente.
5.En la ventana Aplicaciones de origen, seleccione Aplicaciones específicas en el menú desplegable para aplicar la nueva regla a todas las aplicaciones que intenten llevar a cabo alguna de las operaciones de aplicaciones seleccionadas en las aplicaciones que especificó.
6.Haga clic en Agregar y, luego, en ... para elegir una ruta para una aplicación específica y, luego, presione Aceptar. Añada más aplicaciones si lo prefiere.
Por ejemplo: C:\Program Files (x86)\Untrusted application\application.exe
7.Seleccione la operación Escribir en el archivo.
8.Seleccione Todos los archivos del menú desplegable. De esta manera, se bloquearán los intentos por escribir archivos por parte de la(s) aplicación(es) seleccionada(s) en el paso anterior.
9.Haga clic en Finalizar para guardar la regla nueva.