HIPS-Regel bearbeiten
Lesen Sie zunächst den Abschnitt HIPS-Regelverwaltung.
Regelname - Benutzerdefinierter oder automatisch ausgewählter Regelname.
Aktion - Legt eine Aktion fest (Zulassen, Sperren oder Fragen), die bei Eintreten der Bedingungen ausgeführt wird.
Vorgänge in Bezug auf - Wählen Sie die Art des Vorgangs aus, auf den die Regel angewendet werden soll. Die Regel wird nur bei dieser Art Vorgang und für das ausgewählte Ziel angewendet.
Aktiviert – Deaktivieren Sie den Schalter, wenn Sie die Regel beibehalten, jedoch derzeit nicht anwenden möchten.
Logging-Schweregrad – Wenn Sie diese Option aktivieren, werden Informationen zu dieser Regel im HIPS-Log gespeichert.
Benutzer benachrichtigen – Unten rechts wird ein kleines Benachrichtigungsfenster angezeigt, wenn ein Ereignis ausgelöst wird.
Die Regel besteht aus mehreren Teilen, mit denen die Auslösebedingungen der Regel beschrieben werden:
Quellanwendungen -Die Regel wird nur angewendet, wenn das Ereignis von dieser/diesen Anwendung(en) ausgelöst wird. Wählen Sie Bestimmte Anwendungen aus dem Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen, oder wählen Sie Alle Anwendungen aus, um alle Anwendungen hinzuzufügen.
Zieldateien - Die Regel wird nur angewendet, wenn sich der Vorgang auf dieses Ziel bezieht. Wählen Sie Bestimmte Dateien im Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen. Mit dem Eintrag Alle Dateien im Dropdownmenü können Sie alle Dateien hinzufügen.
Anwendungen – Die Regel wird nur angewendet, wenn sich der Vorgang auf eines dieser Ziele bezieht. Wählen Sie Bestimmte Anwendungen aus dem Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen, oder auf Alle Anwendungen, um alle Anwendungen hinzuzufügen.
Registrierungseinträge – Die Regel wird nur angewendet, wenn sich der Vorgang auf eines dieser Ziele bezieht. Wählen Sie Bestimmte Einträge aus dem Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen, oder auf Registrierungseditor öffnen, um einen Registrierungsschlüssel auszuwählen. Alternativ können Sie Alle Einträge auswählen, um alle Anwendungen hinzuzufügen.
Bestimmte, von HIPS vordefinierte Regeln und die aus ihnen resultierenden Vorgänge können nicht blockiert werden, da sie standardmäßig zugelassen sind. Hinzu kommt, dass nicht alle Systemvorgänge von HIPS überwacht werden. HIPS überwacht Vorgänge, die als unsicher eingestuft werden könnten. |
Beschreibungen der wichtigsten Vorgänge:
Dateibezogene Vorgänge
•Datei löschen - Anwendung versucht, die Zieldatei zu löschen.
•In Datei schreiben - Anwendung versucht, in die Zieldatei zu schreiben.
•Direkter Zugriff auf Datenträger - Die Anwendung versucht, einen Datenträger auf nicht standardmäßige Art auszulesen oder zu beschreiben (die üblichen Windows-Verfahren werden umgangen). So könnten Dateien verändert werden, ohne dass die entsprechenden Regeln in Kraft treten. Verursacher dieses Vorgangs könnte Malware sein, die versucht, ihre Erkennung zu verhindern. Es könnte sich aber auch um Backup-Software handeln, die versucht, die genaue Kopie eines Datenträgers herzustellen, oder eine Partitionsverwaltung beim Versuch, Festplattenvolumes zu reorganisieren.
•Globalen Hook installieren – Bezieht sich auf das Aufrufen der Funktion SetWindowsHookEx aus der MSDN-Bibliothek.
•Treiber laden - Laden und Installieren von Treibern im System.
Anwendungsbezogene Vorgänge
•Andere Anwendung debuggen - Verknüpfen eines Debuggers mit dem Prozess. Beim Debuggen einer Anwendung können Informationen zu deren Verhalten angezeigt und verändert werden. Ebenso ist der Zugriff auf die Daten der Anwendung möglich.
•Ereignisse von anderer Anwendung abfangen - Die Quellanwendung versucht, für die Zielanwendung bestimmte Ereignisse abzufangen (Beispiel: ein Keylogger versucht, Ereignisse im Browser aufzuzeichnen).
•Andere Anwendung beenden/unterbrechen - Die Anwendung unterbricht einen Prozess bzw. setzt ihn fort oder beendet ihn (direkter Zugriff aus dem Process Explorer oder im Bereich „Prozesse“ möglich).
•Neue Anwendung starten - Starten neuer Anwendungen oder Prozesse
•Zustand anderer Anwendung ändern- Die Quellanwendung versucht, in den Speicher der Zielanwendung zu schreiben oder in ihrem Namen bestimmten Code auszuführen. Diese Funktion ist geeignet, um wichtige Anwendungen zu schützen. Fügen Sie die zu schützende Anwendung hierzu als Zielanwendung zu einer Regel hinzu, die diese Art Vorgang (Ändern des Zustands einer anderen Anwendung) blockiert.
Registrierungsvorgänge
•Starteinstellungen ändern - Alle Veränderungen der Einstellungen, die festlegen, welche Anwendungen beim Windows-Start ausgeführt werden. Diese können beispielsweise über den Schlüssel Run in der Windows-Registrierung ermittelt werden.
•Registrierungsinhalte löschen - Registrierungsschlüssel oder seinen Wert löschen
•Registrierungsschlüssel umbenennen - Umbenennen von Registrierungsschlüsseln.
•Registrierungsdatenbank ändern - Neue Werte für Registrierungsschlüssel erstellen, vorhandene Werte ändern, Daten im Verzeichnisbaum der Datenbank verschieben oder Benutzer- bzw. Gruppenrechte für Registrierungsschlüssel einrichten.
Sie können eingeschränkt Platzhalter bei der Eingabe des Ziels verwenden. Anstatt eines bestimmten Schlüssels können Sie das Sonderzeichen * (Sternchen) im Registrierungspfad eingeben. HKEY_USERS\*\software kann zum Beispiel HKEY_USER\.default\software bedeuten, jedoch nicht HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* ist kein gültiger Pfad für einen Registrierungsschlüssel. Enthält ein Registrierungspfad „\*“, bedeutet dies „dieser Pfad oder jeder untergeordnete Pfad nach diesem Symbol“. Nur auf diese Weise können Platzhalter für Zieldateien verwendet werden. Erst wird der angegebene Teil des Pfades überprüft, dann der Pfad nach dem Platzhalter (*). |
Wenn Sie eine sehr allgemeine Regel erstellen, wird eine Warnung zu dieser Art Regel angezeigt. |
Das folgende Beispiel zeigt, wie Sie unerwünschte Verhaltensweisen einer bestimmten Anwendung einschränken können:
1.Geben Sie der Regel einen Namen und wählen Sie Blockieren (oder Fragen, falls Sie sich später entscheiden möchten) im Dropdownmenü Aktion aus.
2.Aktivieren Sie den Schalter Benutzer informieren, um bei jedem Anwenden einer Regel ein Benachrichtigungsfenster anzuzeigen.
3.Wählen Sie mindestens eine Operation im Abschnitt Vorgänge in Bezug auf aus, für die die Regel angewendet werden soll.
4.Klicken Sie auf Weiter.
5.Wählen Sie im Fenster Quellanwendungen die Option Bestimmte Anwendungen im Dropdownmenü aus, um Ihre neue Regel für alle Anwendungen anzuwenden, die versuchen, eine der ausgewählten Anwendungsoperationen für die angegebenen Anwendungen auszuführen.
6.Klicken Sie auf Hinzufügen und dann auf ..., um einen Pfad zu einer Anwendung auszuwählen, und klicken Sie dann auf OK. Fügen Sie bei Bedarf weitere Anwendungen hinzu.
Beispiel: C:\Program Files (x86)\Untrusted application\application.exe
7.Wählen Sie die Operation In Datei schreiben aus.
8.Wählen Sie Alle Dateien im Dropdownmenü aus. Auf diese Weise werden Schreibversuche in alle Dateien von den Anwendungen blockiert, die Sie im vorherigen Schritt ausgewählt haben.
9.Klicken Sie auf Fertig stellen, um die neue Regel zu speichern.