HIPS-Regeleinstellungen
Dieses Fenster enthält eine Übersicht vorhandener HIPS-Regeln.
Regel |
Benutzerdefinierter oder automatisch ausgewählter Regelname. |
---|---|
Aktiviert |
Deaktivieren Sie diesen Schalter, wenn Sie die Regel nicht verwenden, jedoch nicht aus der Liste löschen möchten. |
Aktion |
Die Regel legt eine Aktion fest (Zulassen, Blockieren oder Fragen), die bei Eintreten der Bedingungen ausgeführt wird. |
Quellen |
Die Regel wird nur angewendet, wenn das Ereignis von einer Anwendung ausgelöst wird. |
Ziele |
Die Regel wird nur angewendet, wenn sich die Operation auf eine bestimmte Datei, eine Anwendung oder einen Registrierungseintrag bezieht. |
Log-Schweregrad |
Wenn Sie diese Option aktivieren, werden Informationen zu dieser Regel im HIPS-Log gespeichert. |
Hinweis anzeigen |
Im Windows-Benachrichtigungsbereich wird ein kleines Fenster angezeigt, wenn ein Ereignis ausgelöst wird. |
Erstellen Sie eine neue Regeln, indem Sie auf Hinzufügen klicken und neue HIPS-Regeln erstellen, oder Bearbeiten Sie ausgewählte Einträge.
Regelname
Benutzerdefinierter oder automatisch ausgewählter Regelname.
Aktion
Die Regel legt eine Aktion fest (Zulassen, Blockieren oder Fragen), die bei Eintreten der Bedingungen ausgeführt wird.
Vorgänge in Bezug auf
Wählen Sie die Art des Vorgangs aus, auf den die Regel angewendet werden soll. Die Regel wird nur bei dieser Art Vorgang und für das ausgewählte Ziel angewendet. Die Regel besteht aus mehreren Teilen, mit denen die Auslösebedingungen der Regel beschrieben werden.
Quellanwendungen
Die Regel wird nur angewendet, wenn das Ereignis von der jeweiligen Anwendung ausgelöst wird. Wählen Sie Bestimmte Anwendungen im Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen, oder wählen Sie den Eintrag Alle Anwendungen aus, um alle Anwendungen hinzuzufügen.
Bestimmte, von HIPS vordefinierte Regeln und die aus ihnen resultierenden Vorgänge können nicht blockiert werden, da sie standardmäßig zugelassen sind. Hinzu kommt, dass nicht alle Systemvorgänge von HIPS überwacht werden. HIPS überwacht Vorgänge, die als unsicher eingestuft werden könnten. |
Beschreibungen der wichtigsten Vorgänge:
Dateibezogene Vorgänge
Datei löschen |
Anwendung versucht, die Zieldatei zu löschen. |
---|---|
In Datei schreiben |
Anwendung versucht, in die Zieldatei zu schreiben. |
Direkter Zugriff auf Datenträger |
Die Anwendung versucht, einen Datenträger auf nicht standardmäßige Art auszulesen oder zu beschreiben (die üblichen Windows-Verfahren werden umgangen). So könnten Dateien verändert werden, ohne dass die entsprechenden Regeln in Kraft treten. Verursacher dieses Vorgangs könnte Malware sein, die versucht, ihre Erkennung zu verhindern. Es könnte sich aber auch um Backup-Software handeln, die versucht, die genaue Kopie eines Datenträgers herzustellen, oder eine Partitionsverwaltung beim Versuch, Festplattenvolumes zu reorganisieren. |
Globalen Hook installieren |
Bezieht sich auf das Aufrufen der Funktion SetWindowsHookEx aus der MSDN-Bibliothek. |
Treiber laden |
Lädt und installiert Treiber im System. |
Die Regel wird nur angewendet, wenn sich der Vorgang auf eines dieser Ziele bezieht. Wählen Sie die Option Bestimmte Dateien im Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen. Alternativ können Sie im Dropdownmenü Alle Dateien auswählen, um alle Anwendungen hinzuzufügen.
Anwendungsbezogene Vorgänge
Andere Anwendung debuggen |
Verknüpfen eines Debuggers mit dem Prozess. Beim Debuggen einer Anwendung können Informationen zu deren Verhalten angezeigt und verändert werden, und die Daten der Anwendung sind verfügbar. |
---|---|
Ereignisse von anderer Anwendung abfangen |
Die Quellanwendung versucht, für die Zielanwendung bestimmte Ereignisse abzufangen (Beispiel: ein Keylogger versucht, Ereignisse im Browser aufzuzeichnen). |
Andere Anwendung beenden/unterbrechen |
Die Anwendung unterbricht einen Prozess, setzt ihn fort oder beendet ihn (direkter Zugriff aus dem Prozess-Explorer oder im Fenster „Prozesse“ möglich). |
Neue Anwendung starten |
Starten neuer Anwendungen oder neuer Prozesse. |
Zustand einer anderen Anwendung ändern |
Die Quellanwendung versucht, in den Speicher der Zielanwendung zu schreiben oder in ihrem Namen bestimmten Code auszuführen. Diese Funktion kann wichtige Anwendungen schützen, indem diese in einer Regel zum Blockieren des Vorgangs als Zielanwendungen konfiguriert werden. |
Die Regel wird nur angewendet, wenn sich der Vorgang auf eines dieser Ziele bezieht. Wählen Sie die Option Bestimmte Anwendungen im Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen. Alternativ können Sie im Dropdownmenü Alle Anwendungen auswählen, um alle Anwendungen hinzuzufügen.
Registrierungsvorgänge
Starteinstellungen ändern |
Alle Veränderungen der Einstellungen, die festlegen, welche Anwendungen beim Windows-Start ausgeführt werden. Diese können beispielsweise über den Schlüssel „Run“ in der Windows-Registrierung ermittelt werden. |
---|---|
Aus Registrierung löschen |
Registrierungsschlüssel oder -wert löschen. |
Registrierungsschlüssel umbenennen |
Umbenennen von Registrierungsschlüsseln. |
Registrierung ändern |
Neue Werte für Registrierungsschlüssel erstellen, vorhandene Werte ändern, Daten im Verzeichnisbaum der Datenbank verschieben oder Benutzer- bzw. Gruppenrechte für Registrierungsschlüssel einrichten. |
Die Regel wird nur angewendet, wenn sich der Vorgang auf eines dieser Ziele bezieht. Wählen Sie die Option Bestimmte Dateien im Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen. Alternativ können Sie im Dropdownmenü Alle Einträge auswählen, um alle Anwendungen hinzuzufügen.
Sie können eingeschränkt Platzhalter bei der Eingabe des Ziels verwenden. Anstatt eines bestimmten Schlüssels können Sie das Sonderzeichen * (Sternchen) im Registrierungspfad eingeben. HKEY_USERS\*\software can mean HKEY_USER\.default\software Bedeuten, jedoch nicht HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* ist kein gültiger Pfad für einen Registrierungsschlüssel. \* in einem Registrierungspfad bedeutet „dieser Pfad oder jeder untergeordnete Pfad nach diesem Symbol“. Platzhalter können nur auf diese Weise für Zieldateien verwendet werden. Zuerst wird der spezifische Teil des Pfades überprüft, dann der Pfad nach dem Platzhalter (*). |
Sie erhalten eine Benachrichtigung, wenn Sie eine zu allgemeine Regel erstellen. |