Impostazioni regole HIPS
La finestra offre una panoramica delle regole HIPS esistenti.
Regola |
Nome della regola scelto automaticamente o definito dall'utente. |
|---|---|
Attivazione eseguita |
Disattivare questo pulsante se si desidera mantenere la regola nell'elenco ma non utilizzarla. |
Azione |
La regola specifica un'azione (Consenti, Blocca o Chiedi) che deve essere eseguita se sono soddisfatte le condizioni specificate. |
Origini |
La regola verrà utilizzata solo se l'evento viene attivato da una o più applicazioni. |
Destinazioni |
La regola verrà utilizzata esclusivamente se l'operazione è correlata a un file, un'applicazione o una voce di registro specifici. |
Gravità del rapporto |
Se si attiva questa opzione, le informazioni sulla regola verranno scritte nel Rapporto HIPS. |
Notifica |
Se viene attivato un evento, nell’area di notifica di Windows viene visualizzata una finestra di piccole dimensioni. |
Creare una nuova regola, fare clic su Aggiungi nuove regole HIPS o Modifica voci selezionate.
Nome regola
Nome della regola scelto automaticamente o definito dall'utente.
Azione
La regola specifica un'azione (Consenti, Blocca o Chiedi) che deve essere eseguita se sono soddisfatte le condizioni specificate.
Operazioni che influiscono
È necessario selezionare il tipo di operazione alla quale la regola verrà applicata. La regola verrà utilizzata solo per questo tipo di operazione e per la destinazione selezionata. La regola è formata da varie parti che illustrano le condizioni che la attivano.
Applicazioni di origine
La regola verrà utilizzata solo se l'evento viene attivato dall'applicazione. Selezionare Applicazioni specifiche dal menu a discesa e fare clic su Aggiungi per aggiungere nuovi file o nuove cartelle oppure selezionare Tutte le applicazioni dal menu a discesa per aggiungere tutte le applicazioni.
|
Non è possibile bloccare alcune operazioni di regole specifiche predefinite dall'HIPS. Per impostazione predefinita, tali operazioni sono quindi consentite. Inoltre, non tutte le operazioni di sistema sono monitorate dall'HIPS. HIPS monitora le operazioni che possono essere considerate non sicure. |
Descrizione delle operazioni importanti:
Operazioni del file
Elimina file |
L'applicazione richiede l'autorizzazione per l'eliminazione del file di destinazione. |
|---|---|
Scrivi su file |
L'applicazione richiede l'autorizzazione per scrivere sul file di destinazione. |
Accesso diretto al disco |
L'applicazione sta tentando di leggere o scrivere sul disco in modalità non standard, che eluderà le procedure di Windows comuni. Ciò potrebbe causare la modifica dei file senza che vengano applicate le regole corrispondenti. Questa operazione può essere causata da un malware che tenta di eludere il rilevamento, un software di backup che tenta di creare una copia esatta di un disco o un programma di gestione delle partizioni che tenta di riorganizzare i volumi del disco. |
Installa hook globale |
Fa riferimento alla chiamata della funzione SetWindowsHookEx dalla libreria MSDN. |
Carica driver |
Installazione e caricamento dei driver nel sistema. |
La regola sarà utilizzata solo se l'operazione è correlata a questa destinazione. Selezionare File specifici dal menu a discesa e fare clic su Aggiungi per aggiungere nuovi file o nuove cartelle. In alternativa, è possibile selezionare Tutti i file dal menu a discesa per aggiungere tutte le applicazioni.
Operazioni dell'applicazione
Esegui debug di un'altra applicazione |
Associazione di un debugger al processo. Quando si esegue il debug di un'applicazione, è possibile visualizzare e modificare molti dettagli del relativo comportamento e accedere ai rispettivi dati. |
|---|---|
Intercetta eventi da altra applicazione |
L'applicazione di origine sta tentando di intercettare gli eventi specifici su un'applicazione specifica (ad esempio, un keylogger che cerca di acquisire gli eventi del browser). |
Termina/sospendi altra applicazione |
Sospensione, ripresa o interruzione di un processo (è possibile accedervi direttamente da Esplora processi o dalla finestra Processi). |
Avvia nuova applicazione |
Avvio di nuove applicazioni o di nuovi processi. |
Modifica stato di un'altra applicazione |
L'applicazione di origine sta tentando di scrivere nella memoria delle applicazioni di destinazione o di eseguire codice per suo conto. Questa funzionalità può risultare utile per proteggere un'applicazione essenziale configurandola come applicazione di destinazione in una regola che blocca l'utilizzo di tale operazione. |
La regola sarà utilizzata solo se l'operazione è correlata a questa destinazione. Selezionare Applicazioni specifiche dal menu a discesa e fare clic su Aggiungi per aggiungere nuovi file o nuove cartelle. In alternativa, è possibile selezionare Tutte le applicazioni dal menu a discesa per aggiungere tutte le applicazioni.
Operazioni del registro
Modifica impostazioni di avvio |
Qualsiasi modifica nelle impostazioni che definisce quali applicazioni saranno eseguite all'avvio di Windows. Possono essere individuate, ad esempio, ricercando la chiave Esegui nel Registro di sistema di Windows. |
|---|---|
Elimina dal registro |
Eliminazione di una chiave del registro o del relativo valore. |
Rinomina chiave del registro |
Ridenominazione delle chiavi del registro. |
Modifica registro |
Creazione di nuovi valori delle chiavi del registro, modifica dei valori esistenti, spostamento dei dati nella struttura del database oppure impostazione dei diritti utente o di gruppo per le chiavi del registro. |
La regola sarà utilizzata solo se l'operazione è correlata a questa destinazione. Selezionare Voci specifiche dal menu a discesa e fare clic su Aggiungi per aggiungere nuovi file o nuove cartelle. In alternativa, è possibile selezionare Tutte le voci dal menu a discesa per aggiungere tutte le applicazioni.
|
Quando si inserisce una destinazione, è possibile utilizzare i caratteri jolly con alcune limitazioni. Al posto di una chiave particolare, nei percorsi dei registri di sistema è possibile utilizzare il simbolo * (asterisco). Ad esempio HKEY_USERS\*\software can mean HKEY_USER\.default\software, ma non HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* non è un percorso valido della chiave di registro del sistema. Un percorso della chiave del registro di sistema contenente \* indica "questo percorso o qualsiasi percorso a qualsiasi livello dopo tale simbolo". Nelle destinazioni dei file, i caratteri jolly possono essere utilizzati solo in questo modo. Viene innanzitutto valutata la parte specifica di un percorso, quindi esaminato il percorso dopo il carattere jolly (*). |
|
In caso di creazione di una regola eccessivamente generica, l'utente potrebbe ricevere una notifica. |
