HIPS-Regeleinstellungen

Dieses Fenster enthält eine Übersicht vorhandener HIPS-Regeln.

Regel

Benutzerdefinierter oder automatisch ausgewählter Regelname.

Aktiviert

Deaktivieren Sie diesen Schalter, wenn Sie die Regel nicht verwenden, jedoch nicht aus der Liste löschen möchten.

Aktion

Die Regel legt eine Aktion fest (Zulassen, Blockieren oder Fragen), die bei Eintreten der Bedingungen ausgeführt wird.

Quellen

Die Regel wird nur angewendet, wenn das Ereignis von einer Anwendung ausgelöst wird.

Ziele

Die Regel wird nur angewendet, wenn sich die Operation auf eine bestimmte Datei, eine Anwendung oder einen Registrierungseintrag bezieht.

Log-Schweregrad

Wenn Sie diese Option aktivieren, werden Informationen zu dieser Regel im HIPS-Log gespeichert.

Hinweis anzeigen

In der rechten unteren Ecke wird ein kleines Fenster angezeigt, wenn ein Ereignis ausgelöst wird.

Erstellen Sie eine neue Regeln, indem Sie auf Hinzufügen klicken und neue HIPS-Regeln erstellen, oder Bearbeiten Sie ausgewählte Einträge.

Regelname

Benutzerdefinierter oder automatisch ausgewählter Regelname.

Aktion

Die Regel legt eine Aktion fest (Zulassen, Blockieren oder Fragen), die bei Eintreten der Bedingungen ausgeführt wird.

Vorgänge in Bezug auf

Wählen Sie die Art des Vorgangs aus, auf den die Regel angewendet werden soll. Die Regel wird nur bei dieser Art Vorgang und für das ausgewählte Ziel angewendet. Die Regel besteht aus mehreren Teilen, mit denen die Auslösebedingungen der Regel beschrieben werden.

Quellanwendungen

Die Regel wird nur angewendet, wenn das Ereignis von der jeweiligen Anwendung ausgelöst wird. Wählen Sie Bestimmte Anwendungen im Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen, oder wählen Sie den Eintrag Alle Anwendungen aus, um alle Anwendungen hinzuzufügen.


HINWEIS

Bestimmte, von HIPS vordefinierte Regeln und die aus ihnen resultierenden Vorgänge können nicht blockiert werden, da sie standardmäßig zugelassen sind. Hinzu kommt, dass nicht alle Systemvorgänge von HIPS überwacht werden. HIPS überwacht Vorgänge, die als unsicher eingestuft werden könnten.

Beschreibungen der wichtigsten Vorgänge:

Dateibezogene Vorgänge:

Datei löschen

Anwendung versucht, die Zieldatei zu löschen.

In Datei schreiben

Anwendung versucht, in die Zieldatei zu schreiben.

Direkter Zugriff auf Datenträger

Die Anwendung versucht, einen Datenträger auf nicht standardmäßige Art auszulesen oder zu beschreiben (die üblichen Windows-Verfahren werden umgangen). So könnten Dateien verändert werden, ohne dass die entsprechenden Regeln in Kraft treten. Verursacher dieses Vorgangs könnte Malware sein, die versucht, ihre Erkennung zu verhindern. Es könnte sich aber auch um Backup-Software handeln, die versucht, die genaue Kopie eines Datenträgers herzustellen, oder eine Partitionsverwaltung beim Versuch, Festplattenvolumes zu reorganisieren.

Globalen Hook installieren

Bezieht sich auf das Aufrufen der Funktion SetWindowsHookEx aus der MSDN-Bibliothek.

Treiber laden

Lädt und installiert Treiber im System.

Die Regel wird nur angewendet, wenn sich der Vorgang auf dieses Ziel bezieht. Wählen Sie die Option Bestimmte Dateien im Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen, oder wählen Sie Alle Dateien aus, um alle Anwendungen hinzuzufügen.

 

Anwendungsbezogene Vorgänge:

Andere Anwendung debuggen

Verknüpfen eines Debuggers mit dem Prozess. Beim Debuggen einer Anwendung können Informationen zu deren Verhalten angezeigt und verändert werden, und die Daten der Anwendung sind verfügbar.

Ereignisse von anderer Anwendung abfangen

Die Quellanwendung versucht, für die Zielanwendung bestimmte Ereignisse abzufangen (Beispiel: ein Keylogger versucht, Ereignisse im Browser aufzuzeichnen).

Andere Anwendung beenden/unterbrechen

Die Anwendung unterbricht einen Prozess, setzt ihn fort oder beendet ihn (direkter Zugriff aus dem Prozess-Explorer oder im Fenster „Prozesse“ möglich).

Neue Anwendung starten

Starten neuer Anwendungen oder neuer Prozesse.

Zustand einer anderen Anwendung ändern

Die Quellanwendung versucht, in den Speicher der Zielanwendung zu schreiben oder in ihrem Namen bestimmten Code auszuführen. Diese Funktion kann wichtige Anwendungen schützen, indem diese in einer Regel zum Blockieren des Vorgangs als Zielanwendungen konfiguriert werden.

Die Regel wird nur angewendet, wenn sich der Vorgang auf dieses Ziel bezieht. Wählen Sie die Option Bestimmte Anwendungen im Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen, oder wählen Sie Alle Anwendungen aus, um alle Anwendungen hinzuzufügen.

 

Registrierungsvorgänge:

Starteinstellungen ändern

Alle Veränderungen der Einstellungen, die festlegen, welche Anwendungen beim Windows-Start ausgeführt werden. Diese können beispielsweise über den Schlüssel „Run“ in der Windows-Registrierung ermittelt werden.

Aus Registrierung löschen

Registrierungsschlüssel oder -wert löschen.

Registrierungsschlüssel umbenennen

Umbenennen von Registrierungsschlüsseln.

Registrierung ändern

Neue Werte für Registrierungsschlüssel erstellen, vorhandene Werte ändern, Daten im Verzeichnisbaum der Datenbank verschieben oder Benutzer- bzw. Gruppenrechte für Registrierungsschlüssel einrichten.

Die Regel wird nur angewendet, wenn sich der Vorgang auf dieses Ziel bezieht. Wählen Sie bestimmte Einträge im Dropdownmenü aus und klicken Sie auf Hinzufügen, um neue Dateien oder Ordner hinzuzufügen, oder wählen Sie Alle Einträge aus, um alle Anwendungen hinzuzufügen.


HINWEIS

Sie können eingeschränkt Platzhalter bei der Eingabe des Ziels verwenden. Anstatt eines bestimmten Schlüssels können Sie das Sonderzeichen * (Sternchen) im Registrierungspfad eingeben. „HKEY_USERS\*\software“ kann zwar „HKEY_USER\.default\software“ bedeuten, jedoch nicht HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\softwareHKEY_LOCAL_MACHINE\system\ControlSet* ist kein gültiger Pfad für einen Registrierungsschlüssel. \* in einem Registrierungspfad bedeutet „dieser Pfad oder jeder untergeordnete Pfad nach diesem Symbol“. Platzhalter können nur auf diese Weise für Zieldateien verwendet werden. Zuerst wird der spezifische Teil des Pfades überprüft, dann der Pfad nach dem Platzhalter (*).


WARNUNG

Sie erhalten eine Benachrichtigung, wenn Sie eine zu allgemeine Regel erstellen.