Configurações de regra HIPS
Esta janela oferece uma visão geral das regras HIPS existentes.
Regra |
Nome da regra definida pelo usuário ou definida automaticamente. |
---|---|
Ativado |
Desative esta opção se deseja manter a regra na lista, mas não deseja usá-la. |
Ação |
A regra especifica uma ação - Permitir, Bloquear ou Perguntar - que deve ser executada se as condições estiverem adequadas. |
Fontes |
A regra será utilizada apenas se o evento for acionado por um aplicativo(s). |
Destinos |
A regra será utilizada apenas se a operação estiver relacionada a um arquivo, aplicativo ou entrada de registro específico. |
Gravidade do relatório |
Se ativar essa opção, as informações sobre esta regra serão gravadas no Relatório HIPS. |
Notificar |
Se um evento for acionado, uma pequena janela será exibida na área de notificação do Windows. |
Crie uma nova regra, clique em Adicionar novas regras HIPS ou Editar as entradas selecionadas.
Nome da regra
Nome da regra definida pelo usuário ou definida automaticamente.
Ação
A regra especifica uma ação Permitir, Bloquear ou Perguntar que deve ser executada se as condições estiverem adequadas.
Operações afetando
É preciso selecionar o tipo de operação para o qual a regra será aplicada. A regra será utilizada apenas para esse tipo de operação e para o destino selecionado. A regra é composta por partes que descrevem as condições que ativam a regra.
Aplicativos de origem
A regra será utilizada apenas se o evento for acionado por esse(s) aplicativo(s). Selecione Aplicativos específicos no menu suspenso e clique em Adicionar para adicionar novos arquivos ou pastas, ou selecione Todos os aplicativos no menu suspenso para adicionar todos os aplicativos.
Algumas operações de regras específicas predefinidas pelo HIPS não podem ser bloqueadas e são permitidas por padrão. Além disso, nem todas as operações de sistema são monitoradas pelo HIPS. O HIPS monitora operações que podem ser consideradas inseguras. |
Descrição de operações importantes:
Operações de arquivo
Excluir arquivo |
O aplicativo está solicitando permissão para excluir o arquivo de destino. |
---|---|
Gravar no arquivo |
O aplicativo está solicitando permissão para gravar no arquivo de destino. |
Direcionar acesso ao disco |
O aplicativo está tentando ler do disco ou gravar no disco de forma não padrão, o que poderá impedir procedimentos comuns do Windows. Isso pode resultar na alteração de arquivos sem a aplicação das regras correspondentes. Essa operação poderá ser causada por um malware que está tentando impedir a detecção, um software de backup tentando realizar uma cópia exata de um disco ou um gerenciador de partição tentando reorganizar volumes do disco. |
Instalar vínculo global |
Refere-se à chamada de função SetWindowsHookEx da biblioteca do MSDN. |
Carregar driver |
Instalação e carregamento de drivers no sistema. |
A regra será utilizada apenas se a operação estiver relacionada a esse destino. Selecione Arquivos específicos no menu suspenso e clique em Adicionar para adicionar novos arquivos ou pastas. Alternativamente, você pode selecionar Todos os arquivos do menu suspenso para adicionar todos os aplicativos.
Operações de aplicativo
Depurar outro aplicativo |
Anexar um depurador ao processo. Ao depurar um aplicativo, muitos detalhes de seu comportamento podem ser visualizados e alterados, e seus dados podem ser acessados. |
---|---|
Interceptar eventos de outro aplicativo |
O aplicativo de origem está tentando obter eventos direcionados a um aplicativo específico (por exemplo, um keylogger está tentando capturar eventos do navegador). |
Finalizar/suspender outro aplicativo |
Suspende, retoma ou finaliza um processo (pode ser acessado diretamente pelo Explorador de Processos ou pela janela Processos) |
Iniciar novo aplicativo |
Iniciando novos aplicativos ou processos. |
Alterar estado de outro aplicativo |
O aplicativo de origem está tentando gravar na memória do aplicativo de destino ou executar um código em seu nome. Este recurso pode ser útil para proteger um aplicativo essencial, configurando-o como um aplicativo de destino em uma regra e bloqueando o uso desta operação. |
A regra será utilizada apenas se a operação estiver relacionada a esse destino. Selecione Aplicativos específicos no menu suspenso e clique em Adicionar para adicionar novos arquivos ou pastas. Alternativamente, você pode selecionar Todos os aplicativos do menu suspenso para adicionar todos os aplicativos.
Operações de registro
Modificar configurações da inicialização |
Quaisquer alterações nas configurações que definem quais aplicativos serão executados na inicialização do Windows. Esses aplicativos podem ser encontrados, por exemplo, pesquisando pela chave Executar no registro do Windows. |
---|---|
Excluir do registro |
Exclui uma chave do registro ou seu valor. |
Renomear chave do registro |
Renomeia chaves do registro. |
Alterar registro |
Cria novos valores de chaves de registro, alterando os valores existentes, movendo dados na árvore de banco de dados ou configurando direitos de usuário ou de grupos para as chaves do registro. |
A regra será utilizada apenas se a operação estiver relacionada a esse destino. Selecione Entradas específicas no menu suspenso e clique em Adicionar para adicionar novos arquivos ou pastas. Alternativamente, você pode selecionar Todas as entradas do menu suspenso para adicionar todos os aplicativos.
Ao informar um destino, você poderá utilizar caracteres curingas, mas com certas restrições. Em vez de uma chave específica, o símbolo * (asterisco) pode ser utilizado nos caminhos do registro. Por exemplo HKEY_USERS\*\software can mean HKEY_USER\.default\software, mas não HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* não é um caminho válido de chave de registro. Um caminho de chave de registro que contém \* define "este caminho ou qualquer caminho em qualquer nível após esse símbolo". Esta é a única forma de usar os curingas em destinos de arquivo. Primeiro, a parte específica de um caminho será avaliada e, em seguida, o caminho após o símbolo curinga (*). |
Você pode receber uma notificação se criou uma regra muito genérica. |