Paramètres de règle HIPS
La fenêtre vous donne un aperçu des règles HIPS existantes.
Règle |
Nom de la règle défini par l'utilisateur ou choisi automatiquement. |
|---|---|
Activé(e) |
Désactivez ce commutateur si vous voulez que la règle reste inscrite sur la liste, mais sans l'utiliser. |
Action |
La règle précise une action - Autoriser, Bloquer ouDemander - qui doit être effectuée lorsque les conditions sont satisfaites. |
Sources |
La règle ne sera utilisée que si l'événement est déclenché par cette ou ces applications. |
Cibles |
La règle sera utilisée uniquement si l'opération est liée à un fichier, à une application ou à une entrée de registre spécifique. |
Gravité de l'entrée du journal |
Si vous activez cette option, l'information au sujet de cette règle sera inscrite dans le journal HIPS. |
Notifier |
Une petite fenêtre apparaît dans la zone de notification Windows si un événement est déclenché. |
Créez une nouvelle règle, cliquez sur Ajouter de nouvelles règles HIPS ou Modifier les entrées sélectionnées.
Nom de la règle
Nom de la règle défini par l'utilisateur ou choisi automatiquement.
Action
La règle précise une action - Autoriser, Bloquer ou Demander - qui doit être effectuée lorsque les conditions sont satisfaites.
Opérations concernées
Vous devez sélectionner le type d'opérations auquel s'appliquera la règle. La règle sera utilisée seulement pour ce type d'opération et pour la cible sélectionnée. La règle est constituée de plusieurs parties qui décrivent les conditions déclenchant cette règle.
Applications sources
La règle ne sera utilisée que si l'événement est déclenché par cette ou ces applications. Sélectionnez des applications spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les applications.
|
Certaines opérations de règles spécifiques prédéfinies par HIPS ne peuvent pas être bloquées et sont autorisées par défaut. En plus, toutes les opérations système ne sont pas contrôlées par HIPS. HIPS contrôle les opérations qui peuvent être considérées comme dangereuses. |
Description d'opérations importantes :
Opérations sur le fichier
Supprimer le fichier |
L'application vous invite à autoriser la suppression du fichier cible. |
|---|---|
Écrire dans un fichier |
L'application vous invite à autoriser l'écriture dans le fichier cible. |
Accès direct au disque |
L'application tente de lire ou d'écrire sur le disque d'une manière non standard, qui contournera les procédures courantes de Windows. Cela peut entraîner la modification de fichiers sans application des règles correspondantes. Cette opération peut être provoquée par un logiciel malveillant qui tente d'éviter la détection, un logiciel de sauvegarde qui essaie de faire une copie exacte d'un disque ou un gestionnaire de partitions qui tente de réorganiser des volumes de disque. |
Installer le crochet global |
Se réfère à l'appel de la fonction SetWindowsHookEx de la bibliothèque MSDN. |
Charger le pilote |
Installation et chargement de pilotes dans le système. |
La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Fichiers spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Tous les fichiers dans le menu déroulant pour ajouter toutes les applications.
Activités de l'application
Déboguer une autre application |
Joindre un débogueur au processus. Lors du débogage d'une application, de nombreux détails de son comportement peuvent être affichés et modifiés et ses données deviennent accessibles. |
|---|---|
Intercepter les événements à partir d'une autre application |
L'application source tente d'intercepter des événements destinés à une application spécifique (par exemple un enregistreur de frappe qui tente de capturer les événements d'un navigateur). |
Mettre fin à une autre application/la suspendre |
Suspendre, reprendre ou arrêter un processus (accès direct par l'explorateur de processus ou la fenêtre Processus). |
Lancer une nouvelle application |
Lancement de nouvelles applications ou de nouveaux processus. |
Modifier l'état d'une autre application |
L'application source tente d'écrire dans la mémoire de l'application cible ou d'exécuter du code en son nom. Cette fonctionnalité peut être utile pour protéger une application essentielle en la configurant comme application cible dans une règle qui bloque l'utilisation de cette opération. |
La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Applications spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les applications.
Opérations sur le registre
Modifier les paramètres de démarrage |
Toutes les modifications des paramètres qui définissent quelles applications seront exécutées au démarrage de Windows. Il est possible de les trouver, par exemple, en recherchant la clé Run dans le registre de Windows. |
|---|---|
Supprimer du registre |
Supprimer une clé de registre ou sa valeur. |
Renommer la clé de registre |
Renomme les clés de registre. |
Modifier le registre |
Créer de nouvelles valeurs de clés de registre, modifier des valeurs existantes, déplacer des données dans l'arborescence de la base de données ou définir les droits du groupe ou de l'utilisateur à l'égard de clés de registre. |
La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Entrées spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Toutes les entrées dans le menu déroulant pour ajouter toutes les applications.
|
Vous pouvez utiliser des caractères génériques avec certaines restrictions au moment d'entrer une cible. Plutôt qu'une clé particulière, vous pouvez utiliser un symbole * (astérisque) dans les chemins d'accès du registre. Par exemple, HKEY_USERS\*\software can mean HKEY_USER\.default\software mais pas HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* n'est pas un chemin d'accès à la clé du registre valide. Un chemin d'accès à la clé du registre contenant \* définit « ce chemin d'accès, sur tout niveau, après ce symbole ». C'est la seule façon d'utiliser les caractères génériques pour les fichiers cibles. La partie spécifique d'un chemin sera la première à être évaluée, puis elle sera suivie du chemin se trouvant après le caractère générique (*). |
|
Vous pourriez recevoir une notification si vous créez une règle trop générique. |
