HIPS 규칙 설정
이 창에서 기존 HIPS 규칙에 대한 개요를 확인할 수 있습니다.
규칙 |
사용자가 정의하거나 자동으로 선택된 규칙 이름입니다. |
|---|---|
활성화됨 |
목록에서 규칙을 유지하되 사용하지 않으려면 이 스위치를 비활성화합니다. |
동작 |
규칙은 조건이 충족되면 수행되어야 하는 동작, 즉 허용, 차단 또는 확인을 지정합니다. |
소스 |
애플리케이션에서 이벤트를 트리거한 경우에만 규칙이 사용됩니다. |
대상 |
작업이 특정 파일, 애플리케이션 또는 레지스트리 항목과 관련된 경우에만 규칙이 사용됩니다. |
로그 심각도 |
이 옵션을 활성화하면 이 규칙에 대한 정보가 HIPS 로그에 기록됩니다. |
알림 |
이벤트가 트리거되면 Windows 알림 영역에 작은 창이 나타납니다. |
새 규칙을 생성하고, 새 HIPS 규칙 추가 또는 선택한 항목 편집을 클릭합니다.
규칙 이름
사용자가 정의하거나 자동으로 선택된 규칙 이름입니다.
동작
규칙은 조건을 충족하면 수행되어야 하는 허용, 차단 또는 확인 동작을 지정합니다.
영향을 주는 작업
규칙이 적용되는 작업 유형을 선택해야 합니다. 이 유형의 작업과 선택한 대상에 한해 규칙이 사용됩니다. 규칙은 이 규칙을 트리거링하는 조건에 대해 설명하는 부분을 구성합니다.
소스 애플리케이션
이 애플리케이션에서 이벤트를 트리거한 경우에만 규칙이 사용됩니다. 드롭다운 메뉴에서 특정 애플리케이션을 선택하고 추가를 클릭하여 새 파일 또는 폴더를 추가하거나, 드롭다운 메뉴에서 모든 애플리케이션을 선택하여 모든 애플리케이션을 추가할 수 있습니다.
|
HIPS에서 미리 정의된 특정 규칙 중 일부 작업은 차단할 수 없으며, 기본적으로 허용됩니다. 또한 일부 시스템 작업은 HIPS에서 모니터링됩니다. HIPS는 안전하지 않다고 간주될 수 있는 작업을 모니터링합니다. |
중요한 작업에 대한 설명:
파일 작업
파일 삭제 |
애플리케이션에서 대상 파일을 제거할 권한이 있는지 확인합니다. |
|---|---|
파일에 작성 |
애플리케이션에서 대상 파일에 작성할 권한이 있는지 확인합니다. |
디스크에 직접 접근 |
애플리케이션이 일반적인 Windows 절차를 회피하는 표준 이외의 방법으로 디스크에서 읽거나 디스크에 씁니다. 이로 인해 해당 규칙이 적용되지 않은 상태에서 파일이 수정될 수 있습니다. 이 작업은 검출을 회피하려고 하는 악성코드, 디스크의 정확한 복사본을 생성하려는 백업 소프트웨어 또는 디스크 볼륨을 인식하려는 파티션 관리자가 원인일 수 있습니다. |
전체 후크 설치 |
MSDN 라이브러리에서 SetWindowsHookEx 함수에 대한 호출을 참조합니다. |
드라이버 로드 |
시스템에 드라이버를 설치 및 로드하고 있습니다. |
작업이 이 대상과 관련 있는 경우에만 규칙이 사용됩니다. 드롭다운 메뉴에서 특정 파일을 선택하고 추가를 클릭하여 새 파일이나 폴더를 추가합니다. 또는 드롭다운 메뉴에서 모든 파일을 선택하여 모든 애플리케이션을 추가할 수 있습니다.
애플리케이션 작업
다른 애플리케이션 디버그 |
디버거를 프로세스에 연결합니다. 애플리케이션을 디버깅하는 동안 동작의 여러 상세 정보를 보고 수정할 수 있으며, 해당 데이터에 접근할 수 있습니다. |
|---|---|
다른 애플리케이션에서 이벤트 가로채기 |
소스 애플리케이션이 특정 애플리케이션에 대상으로 지정된 이벤트를 캐치하려고 합니다(예: 키로거가 브라우저 이벤트를 캡처하려고 함). |
다른 애플리케이션 종료/일시 중지 |
프로세스를 일시 중지하거나 다시 시작하거나 종료합니다(프로세스 탐색기 또는 프로세스 창에서 직접 접근할 수 있음). |
새 애플리케이션 시작 |
새 애플리케이션이나 프로세스 시작. |
다른 애플리케이션 상태 수정 |
소스 애플리케이션이 대상 애플리케이션의 메모리에 작성하려고 하거나 대신해서 코드를 실행하려고 합니다. 이 기능은 이 작업의 사용을 차단하는 규칙에서 필수 애플리케이션을 대상 애플리케이션으로 구성하여 필수 애플리케이션을 보호할 때 유용할 수 있습니다. |
작업이 이 대상과 관련 있는 경우에만 규칙이 사용됩니다. 드롭다운 메뉴에서 특정 애플리케이션을 선택하고 추가를 클릭하여 새 파일이나 폴더를 추가합니다. 또는 드롭다운 메뉴에서 모든 애플리케이션을 선택하여 모든 애플리케이션을 추가할 수 있습니다.
레지스트리 작업
시작 설정 수정 |
Windows 시작 시 실행되는 애플리케이션을 정의하는 설정에 대한 모든 변경 사항입니다. 이러한 변경 사항은 예컨대 Windows 레지스트리에서 실행 키를 검색하여 확인할 수 있습니다. |
|---|---|
레지스트리에서 삭제 |
레지스트리 키 또는 해당 값을 제거합니다. |
레지스트리 키 이름 바꾸기 |
레지스트리 키 이름을 바꿉니다. |
레지스트리 수정 |
새로운 레지스트리 키 값을 생성하거나, 기존 값을 변경하거나, DB 트리의 데이터를 이동하거나, 레지스트리 키에 대한 사용자나 그룹 권한을 설정합니다. |
작업이 이 대상과 관련 있는 경우에만 규칙이 사용됩니다. 드롭다운 메뉴에서 특정 항목을 선택하고 추가를 클릭하여 새 파일이나 폴더를 추가합니다. 또는 드롭다운 메뉴에서 모든 항목을 선택하여 모든 애플리케이션을 추가할 수 있습니다.
|
대상 입력 시 특정 제한 사항으로 와일드카드를 사용할 수 있습니다. 레지스트리 경로에 특정 키 대신 *(별표) 기호를 사용할 수 있습니다. 예를 들어 HKEY_USERS\*\software can mean HKEY_USER\.default\software만, HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software를 의미할 수는 없습니다. HKEY_LOCAL_MACHINE\system\ControlSet*는 유효한 레지스트리 키 경로가 아닙니다. \*가 포함된 레지스트리 키 경로는 "이 경로 또는 해당 기호 뒤에 있는 모든 수준의 경로"를 정의합니다. 이 방법은 파일 대상에 와일드카드를 사용하는 유일한 방법입니다. 먼저 경로의 특정 부분을 평가한 다음 와일드카드 기호(*) 뒤에 있는 경로를 평가합니다. |
|
너무 일반적인 규칙을 생성하면 알림이 수신될 수 있습니다. |
