ESET-Onlinehilfe

Suche Deutsch
Wählen Sie ein Thema aus

HIPS-Regeleinstellungen

Dieses Fenster enthält eine Übersicht vorhandener HIPS-Regeln.

Regel

Benutzerdefinierter oder automatisch ausgewählter Regelname.

Aktiviert

Deaktivieren Sie diesen Schalter, wenn Sie die Regel nicht verwenden, jedoch nicht aus der Liste löschen möchten.

Aktion

Die Regel legt eine Aktion fest (Zulassen, Blockieren oder Fragen), die bei Eintreten der Bedingungen ausgeführt wird.

Quellen

Die Regel wird nur angewendet, wenn das Ereignis von einer Anwendung ausgelöst wird.

Ziele

Die Regel wird nur angewendet, wenn sich die Operation auf eine bestimmte Datei, eine Anwendung oder einen Registrierungseintrag bezieht.

Log-Schweregrad

Wenn Sie diese Option aktivieren, werden Informationen zu dieser Regel im HIPS-Log gespeichert.

Hinweis anzeigen

Im Windows-Benachrichtigungsbereich wird ein kleines Fenster angezeigt, wenn ein Ereignis ausgelöst wird.

Erstellen Sie eine neue Regeln, indem Sie auf Hinzufügen klicken und neue HIPS-Regeln erstellen, oder Bearbeiten Sie ausgewählte Einträge.

Regelname

Benutzerdefinierter oder automatisch ausgewählter Regelname.

Aktion

Die Regel legt eine Aktion fest (Zulassen, Blockieren oder Fragen), die bei Eintreten der Bedingungen ausgeführt wird.

Vorgänge in Bezug auf

Wählen Sie die Art des Vorgangs aus, auf den die Regel angewendet werden soll. Die Regel wird nur bei dieser Art Vorgang und für das ausgewählte Ziel angewendet. Die Regel besteht aus mehreren Teilen, mit denen die Auslösebedingungen der Regel beschrieben werden.

Quellanwendungen

Die Regel wird nur angewendet, wenn das Ereignis von der jeweiligen Anwendung ausgelöst wird. Wählen Sie Bestimmte Anwendungen im Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen, oder wählen Sie den Eintrag Alle Anwendungen aus, um alle Anwendungen hinzuzufügen.


note

Bestimmte, von HIPS vordefinierte Regeln und die aus ihnen resultierenden Vorgänge können nicht blockiert werden, da sie standardmäßig zugelassen sind. Hinzu kommt, dass nicht alle Systemvorgänge von HIPS überwacht werden. HIPS überwacht Vorgänge, die als unsicher eingestuft werden könnten.

Beschreibungen der wichtigsten Vorgänge:

Dateibezogene Vorgänge

Datei löschen

Anwendung versucht, die Zieldatei zu löschen.

In Datei schreiben

Anwendung versucht, in die Zieldatei zu schreiben.

Direkter Zugriff auf Datenträger

Die Anwendung versucht, einen Datenträger auf nicht standardmäßige Art auszulesen oder zu beschreiben (die üblichen Windows-Verfahren werden umgangen). So könnten Dateien verändert werden, ohne dass die entsprechenden Regeln in Kraft treten. Verursacher dieses Vorgangs könnte Malware sein, die versucht, ihre Erkennung zu verhindern. Es könnte sich aber auch um Backup-Software handeln, die versucht, die genaue Kopie eines Datenträgers herzustellen, oder eine Partitionsverwaltung beim Versuch, Festplattenvolumes zu reorganisieren.

Globalen Hook installieren

Bezieht sich auf das Aufrufen der Funktion SetWindowsHookEx aus der MSDN-Bibliothek.

Treiber laden

Lädt und installiert Treiber im System.

Die Regel wird nur angewendet, wenn sich der Vorgang auf eines dieser Ziele bezieht. Wählen Sie die Option Bestimmte Dateien im Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen. Alternativ können Sie im Dropdownmenü Alle Dateien auswählen, um alle Anwendungen hinzuzufügen.

Anwendungsbezogene Vorgänge

Andere Anwendung debuggen

Verknüpfen eines Debuggers mit dem Prozess. Beim Debuggen einer Anwendung können Informationen zu deren Verhalten angezeigt und verändert werden, und die Daten der Anwendung sind verfügbar.

Ereignisse von anderer Anwendung abfangen

Die Quellanwendung versucht, für die Zielanwendung bestimmte Ereignisse abzufangen (Beispiel: ein Keylogger versucht, Ereignisse im Browser aufzuzeichnen).

Andere Anwendung beenden/unterbrechen

Die Anwendung unterbricht einen Prozess, setzt ihn fort oder beendet ihn (direkter Zugriff aus dem Prozess-Explorer oder im Fenster „Prozesse“ möglich).

Neue Anwendung starten

Starten neuer Anwendungen oder neuer Prozesse.

Zustand einer anderen Anwendung ändern

Die Quellanwendung versucht, in den Speicher der Zielanwendung zu schreiben oder in ihrem Namen bestimmten Code auszuführen. Diese Funktion kann wichtige Anwendungen schützen, indem diese in einer Regel zum Blockieren des Vorgangs als Zielanwendungen konfiguriert werden.

Die Regel wird nur angewendet, wenn sich der Vorgang auf eines dieser Ziele bezieht. Wählen Sie die Option Bestimmte Anwendungen im Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen. Alternativ können Sie im Dropdownmenü Alle Anwendungen auswählen, um alle Anwendungen hinzuzufügen.

Registrierungsvorgänge

Starteinstellungen ändern

Alle Veränderungen der Einstellungen, die festlegen, welche Anwendungen beim Windows-Start ausgeführt werden. Diese können beispielsweise über den Schlüssel „Run“ in der Windows-Registrierung ermittelt werden.

Aus Registrierung löschen

Registrierungsschlüssel oder -wert löschen.

Registrierungsschlüssel umbenennen

Umbenennen von Registrierungsschlüsseln.

Registrierung ändern

Neue Werte für Registrierungsschlüssel erstellen, vorhandene Werte ändern, Daten im Verzeichnisbaum der Datenbank verschieben oder Benutzer- bzw. Gruppenrechte für Registrierungsschlüssel einrichten.

Die Regel wird nur angewendet, wenn sich der Vorgang auf eines dieser Ziele bezieht. Wählen Sie die Option Bestimmte Dateien im Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen. Alternativ können Sie im Dropdownmenü Alle Einträge auswählen, um alle Anwendungen hinzuzufügen.


note

Sie können eingeschränkt Platzhalter bei der Eingabe des Ziels verwenden. Anstatt eines bestimmten Schlüssels können Sie das Sonderzeichen * (Sternchen) im Registrierungspfad eingeben. HKEY_USERS\*\software can mean HKEY_USER\.default\software Bedeuten, jedoch nicht HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* ist kein gültiger Pfad für einen Registrierungsschlüssel. \* in einem Registrierungspfad bedeutet „dieser Pfad oder jeder untergeordnete Pfad nach diesem Symbol“. Platzhalter können nur auf diese Weise für Zieldateien verwendet werden. Zuerst wird der spezifische Teil des Pfades überprüft, dann der Pfad nach dem Platzhalter (*).


warning

Sie erhalten eine Benachrichtigung, wenn Sie eine zu allgemeine Regel erstellen.