Urejanje pravila HIPS
Najprej si oglejte Upravljanje pravil HIPS.
Ime pravila – ime pravila, ki ga določi uporabnik, ali samodejno izbrano ime.
Dejanje – določa dejanje Dovoli, Blokiraj ali Vprašaj, ki se izvede, če so izpolnjeni pogoji.
Postopki, za katere velja – izbrati morate vrsto postopka, za katero bo pravilo veljalo. Pravilo bo uporabljeno le za to vrsto postopkov in za izbrani cilj.
Omogočeno – onemogočite gumb za preklop, če želite pravilo ohraniti na seznamu, vendar ga ne želite uporabiti.
Resnost zapisovanja v dnevnik – če potrdite to možnost, bodo informacije o tem pravilu zapisane v Dnevnik HIPS.
Obvesti uporabnika – če je dogodek sprožen, se v spodnjem desnem kotu prikaže majhno okno z obvestilom.
Pravilo je sestavljeno iz delov, ki opisujejo pogoje za sprožanje tega pravila:
Izvirni programi – pravilo bo uporabljeno le, če dogodek sprožijo ti programi. V spustnem meniju izberite možnost Določeni programi in kliknite Dodaj, da dodate nove datoteke, ali pa v spustnem meniju izberite možnost Vsi programi in dodajte vse programe.
Ciljne datoteke – pravilo bo uporabljeno le, če je postopek povezan s tem ciljem. V spustnem meniju izberite možnost Določene datoteke in kliknite Dodaj, da dodate nove datoteke ali mape, ali pa v spustnem meniju izberite možnost Vse datoteke in dodajte vse datoteke.
Programi – pravilo bo uporabljeno le, če je postopek povezan s tem ciljem. V spustnem meniju izberite možnost Določeni programi in kliknite Dodaj, da dodate nove datoteke ali mape, ali pa v spustnem meniju izberite možnost Vsi programi in dodajte vse programe.
Vnosi v register – pravilo bo uporabljeno le, če je postopek povezan s tem ciljem. Izberite Določeni vnosi s spustnega menija in kliknite Dodaj za ročen vnos ali pa kliknite Odpri urejevalnik registra za izbiro ključa registra. Prav tako lahko izberete Vsi vnosi s spustnega menija, da dodate vse programe.
Nekaterih postopkov za določena pravila, ki so vnaprej določena s sistemom HIPS, ni mogoče blokirati in so privzeto dovoljeni. Poleg tega sistem HIPS ne nadzira vseh sistemskih postopkov. HIPS nadzira postopke, ki so morda nevarni. |
Opisi pomembnih postopkov:
Postopki datoteke
•Izbriši datoteko – program zahteva dovoljenje za brisanje ciljne datoteke.
•Zapiši v datoteko – program zahteva dovoljenje za pisanje v ciljno datoteko.
•Neposredni dostop do diska – program poskuša brati z diska ali pisati nanj na nestandarden način, s čimer se izogne pogostim postopkom v sistemu Windows. To lahko pomeni, da se datoteke spreminjajo brez uporabe ustreznih pravil. Ta postopek lahko sproži zlonamerna programska oprema, ki se poskuša izogniti zaznavanju, programska oprema za varnostno kopiranje, ki poskuša narediti natančno kopijo diska ali upravitelj particij, ki poskuša reorganizirati diske.
•Namesti globalno ročico – nanaša se na klicanje funkcije SetWindowsHookEx iz knjižnice MSDN.
•Naloži gonilnik – namestitev in nalaganje gonilnikov v sistem.
Postopki programa
•Iskanje in odpravljanje napak v drugem programu – prilaganje iskalnika napak v proces. Med iskanjem napak v programu je mogoče prikazati in spremeniti številne podrobnosti o njegovem delovanju in imeti dostop do podatkov v njem.
•Prestrezi dogodke iz drugega programa – izvirni program poskuša ujeti ciljne dogodke v določenem programu (zapisovalnik tipkanja na primer poskuša zajeti dogodke brskalnika).
•Zapri/začasno prekini drug program – začasna prekinitev, nadaljevanje ali prekinitev postopka (dostop je mogoč neposredno iz podokna »Raziskovalec postopkov« ali »Postopki«).
•Zaženi nov program – zagon novih programov ali procesov.
•Spremeni stanje drugega programa – izvirni program poskuša pisati v pomnilnik ciljnega programa ali zagnati kodo namesto njega. Ta funkcija je lahko uporabna pri zaščiti osnovnega programa s konfiguracijo tega kot ciljnega programa v pravilu, ki blokira uporabo te operacije.
Postopki registra
•Spremeni nastavitve zagona – vse spremembe nastavitev, ki določajo, kateri programi bodo zagnani ob zagonu sistema Windows. Najdete jih tako, da v registru sistema Windows poiščete ključ Run.
•Izbriši iz registra – brisanje ključa registra ali pripadajoče vrednosti.
•Preimenuj ključ registra – preimenovanje ključa registra.
•Spremeni register – ustvarjanje novih vrednosti registrskih ključev, spreminjanje obstoječih vrednosti, premikanje podatkov v drevesni strukturi zbirke podatkov ali nastavitev pravic uporabnika ali skupine za registrske ključe.
Pri vnašanju cilja lahko uporabite nadomestne znake z določenimi omejitvami. Namesto določenega ključa lahko v poteh do registra uporabite * (zvezdico). HKEY_USERS\*\software lahko na primer pomeni HKEY_USER\.default\software, vendar ne HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* ni veljavna pot registrskega ključa. Pot do registra je pot, ki vsebuje znake »\*«, določa »to pot ali katero koli pot na kateri koli ravni po tem simbolu«. Le na ta način lahko uporabljate nadomestne znake za ciljne datoteke. Najprej bo ocenjen določen del poti, nato pa pot, ki sledi simbolu s posebnim znakom (*). |
Če ustvarite zelo splošno pravilo, se bo prikazalo opozorilo, da je pravilo preveč splošno. |
V spodnjem primeru vam bomo pokazali, kako omejiti neželeno delovanje posameznih programov:
1.Poimenujte pravilo in v spustnem meniju Dejanje izberite Blokiraj (ali Vprašaj, če želite uporabiti to možnost).
2.Omogočite gumb za preklop ob možnosti Obvesti uporabnika, da se ob vsaki uporabi pravila prikaže obvestilo.
3.Izberite vsaj en postopek v razdelkuPostopki, za katere velja, za katerega bo veljalo pravilo.
4.Kliknite Naprej.
5.V oknu Izvirni programi v spustnem meniju izberite Določeni programi, da uporabite novo pravilo za vse programe, ki poskušajo izvesti katerega koli od izbranih postopkov v programih, ki ste jih določili.
6.Kliknite Dodaj in nato ... za izbiro poti do določenega programa, nato pritisnite V redu. Če želite, lahko dodate več programov.
Primer: C:\Program Files (x86)\Untrusted application\application.exe
7.Izberite postopek Zapiši v datoteko.
8.V spustnem meniju izberite Vse datoteke. Na ta način se blokirajo vsi poskusi zapisovanja v vse datoteke za izbrane programe iz prejšnjega koraka.
9.Kliknite Dokončaj, da shranite novo pravilo.