Paramètres de règle HIPS
Cette fenêtre vous donne une vue d'ensemble des règles HIPS existantes.
Règle |
Nom de règle défini par l'utilisateur ou sélectionné automatiquement. |
---|---|
Activé(e) |
Désactivez ce commutateur si vous souhaitez conserver la règle dans la liste, mais ne souhaitez pas l'utiliser. |
Action |
La règle spécifie une action (Autoriser, Bloquer ou Demander) à exécuter, si les conditions sont remplies. |
Sources |
La règle est utilisée uniquement si l'événement est déclenché par une ou des applications. |
Cibles |
La règle est utilisée uniquement si l'opération est liée à un fichier, une application ou une entrée de registre spécifique. |
Gravité journalisée |
Si vous activez cette option, les informations sur cette règle sont écrites dans lejournal HIPS. |
Notifier |
Une petite fenêtre apparaît dans la zone de notification Windows si un événement est déclenché. |
Créez une règle, cliquez sur Ajouter de nouvelles règles HIPS ou sur Modifier les entrées sélectionnées.
Nom de la règle
Nom de règle défini par l'utilisateur ou sélectionné automatiquement.
Action
La règle spécifie une action (Autoriser, Bloquer ou Demander) à exécuter, si les conditions sont remplies.
Opérations affectant
Vous devez sélectionner le type d'opération auquel s'applique la règle. La règle est utilisée uniquement pour ce type d'opération et pour la cible sélectionnée. La règle est composée d'éléments qui décrivent les conditions déclenchant cette règle.
Applications source
La règle est utilisée uniquement si l'événement est déclenché par ces applications. Dans le menu déroulant, sélectionnez des applications spécifiques, puis cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les applications.
Le fonctionnement de certaines règles prédéfinies par HIPS ne peut pas être bloqué et est autorisé par défaut. En outre, les opérations système ne sont pas toutes surveillées par le système HIPS. Ce système surveille les opérations qui peuvent être considérées comme dangereuses. |
Description des opérations importantes :
Opérations sur le fichier
Supprimer le fichier |
L'application demande l'autorisation de supprimer le fichier cible. |
---|---|
Écrire dans le fichier |
L'application demande l'autorisation d'écrire dans le fichier cible. |
Accès direct au disque |
L'application essaie de lire des informations du disque ou d'écrire sur le disque d'une manière inhabituelle, non conforme aux procédures Windows classiques. Les fichiers peuvent être modifiés sans que les règles correspondantes soient appliquées. Cette opération peut provenir d'un logiciel malveillant qui essaie de contourner la détection, d'un logiciel de sauvegarde qui tente de faire une copie exacte d'un disque ou encore d'un gestionnaire de partition qui essaie de réorganiser les volumes du disque. |
Installer l'élément hook global |
Fait référence à l'appel de la fonction SetWindowsHookEx depuis la bibliothèque MSDN. |
Charger le pilote |
Installation et chargement de pilotes dans le système. |
La règle est utilisée uniquement si l'opération est liée à cette cible. Dans le menu déroulant, sélectionnez Fichiers spécifiques, puis cliquez sur Ajouter pour ajouter des dossiers ou des fichiers. Vous pouvez également sélectionner Tous les fichiers dans le menu déroulant pour ajouter toutes les applications.
Opérations sur l'application
Déboguer une autre application |
Ajout d'un système de débogage au processus. Lors du débogage d'une application, de nombreux détails concernant son comportement peuvent être affichés et modifiés. Vous pouvez également accéder à ses données. |
---|---|
Intercepter les événements d'une autre application |
L'application source essaie de récupérer les événements destinés à une application spécifique (il peut s'agir par exemple d'un programme keylogger d'enregistrement des touches qui essaie de capturer les événements d'un navigateur). |
Terminer/Mettre en attente une autre application |
Met un processus en attente, le reprend ou l'arrête (accessible directement depuis l'explorateur des processus ou la fenêtre des processus). |
Démarrer une nouvelle application |
Démarrage de nouvelles applications et de nouveaux processus. |
Modifier l'état d'une autre application |
L'application source essaie d'écrire dans la mémoire de l'application cible ou d'exécuter du code en son nom. Cette fonctionnalité peut être utile pour protéger une application importante : vous la configurez en tant qu'application cible dans une règle qui bloque l'utilisation de cette opération. |
La règle est utilisée uniquement si l'opération est liée à cette cible. Dans le menu déroulant, sélectionnez Applications spécifiques, puis cliquez sur Ajouter pour ajouter des dossiers ou des fichiers. Vous pouvez également sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les applications.
Opérations sur le Registre
Modifier les paramètres de démarrage |
Toute modification apportée aux paramètres qui définissent les applications à exécuter au démarrage de Windows. Elles peuvent notamment être recherchées à l'aide de la clé Run du registre Windows. |
---|---|
Supprimer du registre |
Suppression d'une clé de registre ou de sa valeur. |
Renommer la clé de registre |
Changement du nom des clés de registre. |
Modifier le registre |
Création de nouvelles valeurs de clés de registre, modification de valeurs existantes, déplacement de données dans l'arborescence de base de données ou configuration des droits d'utilisateur ou de groupe pour les clés de registre. |
La règle est utilisée uniquement si l'opération est liée à cette cible. Dans le menu déroulant, sélectionnez Entrées spécifiques, puis cliquez sur Ajouter pour ajouter des dossiers ou des fichiers. Vous pouvez également sélectionner Toutes les entrées dans le menu déroulant pour ajouter toutes les applications.
Vous pouvez utiliser des caractères génériques qui peuvent présenter des restrictions lors le la saisie d'un dossier. Au lieu d'utiliser une clé particulière, vous pouvez utiliser un astérisque (*) dans les chemins de registre. Par exemple HKEY_USERS\*\software can mean HKEY_USER\.default\software, mais pas HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* n'est pas un chemin valide de clé de registre. Un chemin de clé de registre contenant le symbole \* signifie « ce chemin ou tout autre niveau après ce symbole ». C'est le seul moyen d'utiliser des caractères génériques pour les cibles séjour. L'évaluation porte tout d'abord sur la partie spécifique du chemin, puis sur celle figurant après le symbole (*). |
Une notification peut s'afficher si vous créez une règle trop générique. |