Параметри правила системи HIPS
У цьому вікні можна переглянути наявні правила HIPS.
Правило |
Визначена користувачем або автоматично вибрана назва правила. |
|---|---|
Увімкнено |
Вимкніть цей перемикач, щоб зберегти правило в списку, але не використовувати його. |
Дія |
Правило визначає дію ("Дозволити", "Блокувати" або «Запитати"), яка має виконуватися в разі правильності умов. |
Джерела |
Правило використовуватиметься лише в тому разі, якщо подію ініціюватиме програма. |
Цілі |
Правило використовуватиметься лише в тому разі, якщо операція пов’язана з певним файлом, програмою або записом реєстру. |
Рівень критичності журналу |
Якщо ввімкнути цей параметр, інформацію про це правило буде записано в журналі HIPS. |
Сповістити |
У разі спрацювання події в області сповіщень Windows з’являється невелике вікно. |
Створіть нове правило й клацніть Додати нові правила HIPS або Редагувати вибрані записи.
Ім’я правила
Визначена користувачем або автоматично вибрана назва правила.
Дія
Правило визначає дію (Дозволити, Блокувати або Запитати), яка має виконуватися в разі правильності умов.
Задіяні операції
Необхідно вибрати тип операції, до якої буде застосовано правило. Правило використовуватиметься лише для цього типу операцій і для вибраного об’єкта. Правило складається із частин, що описують умови, які його ініціюють.
Програми-джерела
Правило використовуватиметься лише в тому разі, якщо подію ініціюватиме програма. Виберіть окремі програми з розкривного меню й натисніть Додати, щоб додати нові файли або папки, або виберіть усі програми з розкривного меню.
|
Деякі операції певних правил, попередньо визначених HIPS, не можна блокувати й дозволяти за замовчуванням. Крім того, не всі операції системи контролюються HIPS. Система HIPS відстежує операції, які можуть вважатися небезпечними. |
Опис важливих операцій:
Операції з файлами
Видалити файл |
Програма запитує дозвіл на видалення цільового файлу. |
|---|---|
Записати у файл |
Програма запитує дозвіл на запис у цільовий файл. |
Безпосередній доступ до диска |
Програма намагається прочитати диск або записати на нього в нестандартний спосіб, щоб обійти звичайні процедури Windows. Це може призвести до того, що файли будуть змінені без застосування відповідних правил. Ця операція може бути спричинена шкідливим програмним забезпеченням, яке намагається уникнути виявлення, програмою резервного копіювання, яка намагається зробити точну копію диска, або менеджером розділів, який намагається реорганізувати томи диска. |
Установити глобальне перехоплення |
Стосується виклику функції SetWindowsHookEx із бібліотеки MSDN. |
Завантажити драйвер |
Інсталяція та завантаження драйверів у систему. |
Правило використовуватиметься лише в тому випадку, якщо операція пов’язана із цим об’єктом. Виберіть певні файли з розкривного меню й натисніть Додати, щоб додати нові файли або папки. Крім того, ви можете вибрати всі файли з розкривного меню, щоб додати всі програми.
Операції з програмами
Налагодити іншу програму |
Приєднання до процесу засобу налагодження. Під час налагодження програми можна переглядати й змінювати багато відомостей про її поведінку, а також отримати доступ до її даних. |
|---|---|
Зупиняти події від іншої програми |
Програма-джерело намагається перехопити події, спрямовані на певну програму (наприклад, програма для зчитування натиснень клавіатури намагається перехопити події браузера). |
Припинити/призупинити роботу іншої програми |
Призупинення, відновлення або припинення процесу (доступ можна отримати безпосередньо з провідника процесів або у вікні "Процеси"). |
Запустити нову програму |
Запуск нових програм або процесів. |
Змінити стан іншої програми |
Програма-джерело намагається здійснити запис у пам’ять цільової програми або виконати код від її імені. Ця функція може бути корисною для захисту важливої програми. Для цього потрібно налаштувати її як цільову програму в правилі, що блокує використання цієї операції. |
Правило використовуватиметься лише в тому разі, якщо операція пов’язана із цим об’єктом. Виберіть певні програми з розкривного меню й натисніть Додати, щоб додати нові файли або папки. Крім того, ви можете вибрати всі програми з розкривного меню, щоб додати всі програми.
Операції з реєстром
Змінити параметри запуску |
Будь-які зміни в параметрах, які визначають, які програми будуть запускатися під час запуску Windows. Їх можна знайти, наприклад, за допомогою пошуку ключа "Виконати" в реєстрі Windows. |
|---|---|
Видалити з реєстру |
Видалення розділу реєстру або його значення. |
Перейменувати розділ реєстру |
Перейменування розділу реєстру |
Внести зміни до реєстру |
Створення нових значень розділів реєстру, зміна наявних значень, переміщення даних у дереві бази даних або налаштування прав користувача або груп для розділів реєстру. |
Правило використовуватиметься лише в тому разі, якщо операція пов’язана із цим об’єктом. Виберіть певні записи з розкривного меню й натисніть Додати, щоб додати нові файли або папки. Крім того, ви можете вибрати всі записи з розкривного меню, щоб додати всі програми.
|
Під час введення об’єкта можна використовувати групові символи з певними обмеженнями. Замість певного розділу в шляхах реєстру можна використовувати символ "*" (зірочка). Наприклад, HKEY_USERS\*\software can mean HKEY_USER\.default\software, але не HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* не є коректним шляхом до розділу реєстру. Шлях до розділу реєстру, що містить \*, означає цей шлях або будь-який шлях на будь-якому рівні після цього символу. Це єдиний спосіб використовувати групові символи для цілей файлів. Спершу оцінюється конкретна частина шляху, а потім шлях, який слідуватиме за груповим символом (*). |
|
Якщо створити перевизначене загальне правило, ви можете отримати сповіщення. |
