HIPS 규칙 편집
먼저 HIPS 규칙 관리를 참조하십시오.
규칙 이름 - 사용자 정의 규칙 이름이거나 자동으로 선택된 규칙 이름입니다.
동작 - 조건이 충족되면 수행되어야 하는 동작, 즉 허용, 차단 또는 확인을 지정합니다.
영향을 주는 작업 - 규칙이 적용되는 작업 유형을 선택해야 합니다. 이 유형의 작업 및 선택한 대상에 대해서만 규칙이 사용됩니다.
활성화됨 - 목록에서 규칙을 유지하되 적용하지 않으려면 토글을 비활성화합니다.
로깅 심각도 - 이 옵션을 활성화하면 이 규칙에 대한 정보가 HIPS 로그에 기록됩니다.
사용자에게 알림 - 이벤트가 트리거되면 오른쪽 하단에 작은 알림 창이 나타납니다.
규칙은 이 규칙을 트리거하는 조건을 설명하는 부분으로 구성됩니다.
소스 애플리케이션 - 이 애플리케이션에서 이벤트를 트리거한 경우에만 규칙이 사용됩니다. 드롭다운 메뉴에서 특정 애플리케이션을 선택하고 추가를 클릭하여 새 파일을 추가하거나 드롭다운 메뉴에서 모든 애플리케이션을 선택하여 모든 애플리케이션을 추가할 수 있습니다.
대상 파일 – 작업이 이 대상과 관련 있는 경우에만 규칙이 사용됩니다. 드롭다운 메뉴에서 특정 파일을 선택하고 추가를 클릭하여 새 파일 또는 폴더를 추가하거나, 드롭다운 메뉴에서 모든 파일을 선택하여 모든 파일을 추가할 수 있습니다.
애플리케이션 - 작업이 이 대상에 관련된 경우에만 규칙이 사용됩니다. 드롭다운 메뉴에서 특정 애플리케이션을 선택하고 추가를 클릭하여 새 파일이나 폴더를 추가하거나 드롭다운 메뉴에서 모든 애플리케이션을 선택하여 모든 애플리케이션을 추가할 수 있습니다.
레지스트리 항목 - 작업이 이 대상에 관련된 경우에만 규칙이 사용됩니다. 드롭다운 메뉴에서 특정 항목을 선택하고 추가를 클릭하여 수동으로 항목을 입력하거나 레지스트리 편집기 열기를 클릭하여 레지스트리에서 키를 선택합니다. 드롭다운 메뉴에서 모든 항목을 선택하여 모든 애플리케이션을 추가할 수도 있습니다.
HIPS에서 미리 정의된 특정 규칙 중 일부 작업은 차단할 수 없으며, 기본적으로 허용됩니다. 또한 일부 시스템 작업은 HIPS에서 모니터링됩니다. HIPS는 안전하지 않다고 간주될 수 있는 작업을 모니터링합니다. |
중요한 작업에 대한 설명:
파일 작업
•파일 삭제 - 애플리케이션에서 대상 파일을 삭제할 권한이 있는지 여부를 확인합니다.
•파일에 작성 - 애플리케이션에서 대상 파일에 작성할 권한이 있는지 여부를 확인합니다.
•디스크에 직접 접근 - 애플리케이션이 일반적인 Windows 절차를 회피하는 표준 이외의 방법으로 디스크에서 읽거나 디스크에 씁니다. 이로 인해 해당 규칙이 적용되지 않은 상태에서 파일이 수정될 수 있습니다. 이 작업은 검출을 회피하려고 하는 맬웨어, 디스크의 정확한 복사본을 생성하려는 백업 소프트웨어 또는 디스크 볼륨을 인식하려는 파티션 관리자가 원인일 수 있습니다.
•전체 후크 설치 - MSDN 라이브러리에서 SetWindowsHookEx 함수 호출을 참조합니다.
•드라이버 로드 - 시스템에 드라이버를 설치 및 로드합니다.
애플리케이션 작업
•다른 애플리케이션 디버그 - 디버거를 프로세스에 연결합니다. 애플리케이션을 디버깅하는 동안 동작의 여러 상세 정보를 보고 수정할 수 있으며, 해당 데이터에 접근할 수 있습니다.
•다른 애플리케이션에서 이벤트 가로채기 - 소스 애플리케이션이 특정 애플리케이션에 대상으로 지정된 이벤트를 캐치하려고 합니다(예를 들어 키로거가 브라우저 이벤트를 캡처하려고 함).
•다른 애플리케이션 종료/일시 중지 - 프로세스를 일시 중지하거나 다시 시작하거나 종료합니다(프로세스 탐색기나 프로세스 창에서 직접 접근할 수 있음).
•새 애플리케이션 시작 - 새 애플리케이션이나 프로세스를 시작합니다.
•다른 애플리케이션 상태 수정 - 소스 애플리케이션이 대상 애플리케이션의 메모리에 작성하려고 하거나 대신해서 코드를 실행하려고 합니다. 이 기능은 필수 애플리케이션을 이 작업의 사용을 차단하는 규칙에 있는 대상 애플리케이션으로 구성하여 필수 애플리케이션을 보호할 때 유용할 수 있습니다.
레지스트리 작업
•시작 설정 수정 - Windows 시작 시 실행되는 애플리케이션을 정의하는 설정의 모든 변경 내용입니다. 예를 들어 이러한 변경 내용은 Windows 레지스트리에서 Run 키를 검색하여 확인할 수 있습니다.
•레지스트리에서 삭제 - 레지스트리 키나 해당 값을 삭제합니다.
•레지스트리 키 이름 바꾸기 - 레지스트리 키 이름을 바꿉니다.
•레지스트리 수정 - 레지스트리 키에 대한 새 값을 생성하거나 기존의 값을 변경하거나 DB 트리의 데이터를 이동하거나 레지스트리 키에 대한 사용자나 그룹 권한을 설정합니다.
대상 입력 시 특정 제한 사항으로 와일드카드를 사용할 수 있습니다. 레지스트리 경로에 특정 키 대신 *(별표) 기호를 사용할 수 있습니다. 예를 들어 HKEY_USERS\*\software는 HKEY_USER\.default\software를 의미할 수 있지만 HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software를 의미할 수는 없습니다. HKEY_LOCAL_MACHINE\system\ControlSet*는 유효한 레지스트리 키 경로가 아닙니다. \*가 있는 레지스트리 키 경로는 "이 경로 또는 해당 기호 뒤에 있는 모든 수준의 모든 경로"를 정의합니다. 이 방법은 파일 대상에 와일드카드를 사용하는 유일한 방법입니다. 먼저 경로의 특정 부분이 평가된 다음 와일드카드 기호(*) 뒤에 있는 경로가 평가됩니다. |
매우 일반적인 규칙을 생성한 경우 이 유형의 규칙에 대한 경고가 표시됩니다. |
다음 예에서는 특정 애플리케이션의 원치 않는 동작을 제한하는 방법을 설명합니다.
1.규칙 이름을 지정하고 동작 드롭다운 메뉴에서 차단을 선택합니다(또는 나중에 선택하려는 경우 확인).
2.사용자에게 알림 옆의 토글을 활성화하여 규칙이 적용될 때마다 알림을 표시합니다.
3.규칙이 적용될 하나 이상의 작업을 영향을 주는 작업 섹션에서 선택합니다.
4.다음을 클릭합니다.
5.소스 애플리케이션 창의 드롭다운 메뉴에서 특정 애플리케이션을 선택하여 지정한 애플리케이션에서 선택된 모든 애플리케이션 작업을 수행하려고 하는 모든 애플리케이션에 새 규칙을 적용합니다.
6.추가를 클릭한 다음 ...를 클릭하여 특정 애플리케이션 경로를 선택한 후 확인을 클릭합니다. 원한다면 더 많은 애플리케이션을 추가합니다.
예를 들면 다음과 같습니다. C:\Program Files (x86)\Untrusted application\application.exe
7.파일에 작성 작업을 선택합니다.
8.드롭다운 메뉴에서 모든 파일을 선택합니다. 이렇게 하면 이전 단계에서 선택한 애플리케이션이 파일에 쓰려는 모든 시도가 차단됩니다.
9.마침을 클릭하여 새 규칙을 저장합니다.