Параметры правил HIPS
В этом окне отображаются общие сведения об имеющихся правилах HIPS.
Правило |
Указанное пользователем или автоматически выбранное имя правила. |
---|---|
Включено |
Отключите этот параметр, если следует оставить правило в списке, но при этом не использовать его. |
Действие |
Правило задает действие (Разрешить, Блокировать или Запросить), которое должно быть выполнено при соблюдении условий. |
Источники |
Правило будет использоваться только в том случае, если событие вызывается приложениями. |
Объекты |
Правило будет использоваться только в том случае, если операция связана с тем или иным файлом, приложением или записью реестра. |
Серьезность регистрируемых событий |
Если включить этот параметр, информация о данном правиле будет записываться в журнал HIPS. |
Уведомить |
Если запускается событие, в области уведомлений Windows отображается маленькое окно. |
Создайте новое правило, щелкнув добавить новые правила HIPS или изменить выделенные записи.
Имя правила
Указанное пользователем или автоматически выбранное имя правила.
Действие
Правило задает действие (Разрешить, Блокировать или Запросить), которое должно быть выполнено при соблюдении условий.
Операции влияния
Выберите тип операции, к которому будет применяться правило. Правило будет использоваться только для этого типа операции и для выбранного объекта. Правило состоит из частей, в которых описываются условия выполнения этого правила.
Исходные приложения
Правило будет использоваться только в том случае, если событие вызывается указанными приложениями. Выберите Определенные приложения из раскрывающегося меню и нажмите кнопку Добавить, чтобы добавить новые файлы или папки, или выберите пункт Все приложения, чтобы добавить все приложения.
Некоторые операции определенных правил, предварительно заданных системой HIPS, невозможно заблокировать, и они разрешены по умолчанию. Кроме того, не все системные операции отслеживаются системой HIPS. Система HIPS отслеживает операции, которые могут считаться небезопасными. |
Описание важных операций
Операции с файлами
Удалить файл |
Приложение запрашивает разрешение на удаление целевого файла. |
---|---|
Выполнить запись в файл |
Приложение запрашивает разрешение на запись в целевой файл. |
Непосредственный доступ к диску |
Приложение пытается выполнить чтение с диска или запись на диск нестандартным образом, в обход стандартных алгоритмов Windows. Это может привести к изменению файлов без применения соответствующих правил. Эта операция может быть вызвана вредоносной программой, которая пытается избежать обнаружения, программным обеспечением резервного копирования, которое пытается создать точную копию диска, или диспетчером разделов, который пытается реорганизовать тома диска. |
Установить глобальную ловушку |
Вызов функции SetWindowsHookEx из библиотеки MSDN. |
Загрузить драйвер |
Установка и загрузка драйверов в системе. |
Это правило будет использоваться, только если операция относится к данному объекту. Чтобы добавить новые файлы или папки, из раскрывающегося меню выберите Определенные файлы и нажмите Добавить. Чтобы добавить все приложения, можно выбрать пункт Все файлы.
Операции с приложениями
Выполнить отладку другого приложения |
Прикрепление отладчика к процессу. При отладке приложения можно просмотреть и изменить многие сведения о его поведении и получить доступ к его данным. |
---|---|
Перехватывать события другого приложения |
Исходное приложение пытается записать события, направленные на другое приложение (например, клавиатурный шпион, пытающийся записать события браузера). |
Завершить/приостановить работу другого приложения |
Приостановка, возобновление или завершение процесса (можно получить доступ непосредственно из обозревателя процессов или окна «Процессы»). |
Запустить новое приложение |
Запуск новых приложений или процессов. |
Изменить состояние другого приложения |
Исходное приложение пытается осуществить запись в память целевого приложения или выполнить код от его имени. Эта функциональность может быть полезна, если нужно защитить важное приложение путем конфигурирования его в качестве целевого приложения в правиле, которое блокирует использование этой операции. |
Это правило будет использоваться, только если операция относится к данному объекту. Чтобы добавить новые файлы или папки, из раскрывающегося меню выберите Определенные приложения и нажмите Добавить. Чтобы добавить все приложения, можно выбрать пункт Все приложения.
Операции с реестром
Изменить параметры запуска |
Любые изменения в настройках, определяющие, какие приложения будут запускаться при запуске Windows. Их можно найти, например, выполнив поиск раздела «Запуск» в реестре Windows. |
---|---|
Удалить из реестра |
Удаление раздела реестра или его значения. |
Переименовать раздел реестра |
Переименование разделов реестра. |
Изменить реестр |
Создание новых значений разделов реестра, изменение существующих значений, перемещение данных в древовидной структуре базы данных или настройка прав пользователя или группы для разделов реестра. |
Это правило будет использоваться, только если операция относится к данному объекту. Чтобы добавить новые файлы или папки, из раскрывающегося меню выберите Определенные записи и нажмите Добавить. Чтобы добавить все приложения, можно выбрать пункт Все записи.
При вводе объекта можно использовать подстановочные знаки с определенными ограничениями. Вместо конкретного раздела в пути реестра можно использовать символ звездочки («*»). Например, HKEY_USERS\*\software can mean HKEY_USER\.default\software, но не HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. Путь HKEY_LOCAL_MACHINE\system\ControlSet* не является допустимым путем раздела реестра. Путь, в котором содержится сочетание символов \*, означает «этот путь или любой путь на любом уровне после этого символа». Это единственный способ использования подстановочных знаков для обозначения целевых файлов. Сначала оценивается точный путь, а затем путь после подстановочного знака (*). |
Если созданное правило будет слишком общим, появится соответствующее уведомление. |