Configuración de regla de HIPS
En esta ventana se muestra una descripción general de las reglas de HIPS existentes.
Regla |
Nombre de la regla definido por el usuario o seleccionado automáticamente. |
|---|---|
Activado |
Desactive este conmutador si desea conservar la regla en la lista pero no quiere utilizarla. |
Acción |
La regla especifica una acción: Permitir, Bloquear o Preguntar que debe realizarse cuando se cumplen las condiciones. |
Orígenes |
La regla solo se utilizará si una aplicación activa el suceso. |
Destinos |
La regla solo se usará si la operación está relacionada con un archivo, una aplicación o una entrada del registro específicos. |
Nivel de registro |
Si activa esta opción, la información acerca de esta regla se anotará en el registro de HIPS. |
Notificar |
Cuando se activa un suceso, se abre una ventana pequeña en el área de notificación de Windows. |
Cree una nueva regla; haga clic en Agregar nuevas reglas de HIPS o en Editar las entradas seleccionadas.
Nombre de la regla
Nombre de la regla definido por el usuario o seleccionado automáticamente.
Acción
La regla especifica una acción: Permitir, Bloquear o Preguntar que debe realizarse cuando se cumplen las condiciones.
Operaciones afectadas
Debe seleccionar el tipo de operación a la que se aplicará la regla. La regla solo se utilizará para este tipo de operación y para el destino seleccionado. La regla consta de partes que describen las condiciones que activan esta regla.
Aplicaciones de origen
La regla solo se utilizará si esta aplicación activa el suceso. Seleccione Aplicaciones específicas en el menú desplegable y haga clic en Agregar para agregar nuevos archivos o carpetas, o puede seleccionar Todas las aplicaciones en el menú desplegable para agregar todas las aplicaciones.
|
Algunas operaciones de reglas específicas predefinidas por HIPS no se pueden bloquear y se admiten de forma predeterminada. Además, HIPS no supervisa todas las operaciones del sistema, sino que supervisa las operaciones que considera peligrosas. |
Descripción de las operaciones importantes:
Operaciones del archivo
Eliminar archivo |
La aplicación solicita permiso para eliminar el archivo objetivo. |
|---|---|
Escribir en archivo |
La aplicación solicita permiso para escribir en el archivo objetivo. |
Acceso directo al disco |
La aplicación está intentando realizar una operación de lectura o escritura en el disco de una forma no convencional que burlará los procedimientos habituales de Windows. Esto puede provocar la modificación de archivos sin la aplicación de las reglas correspondientes. Esta operación puede estar provocada por un malware que intente evadir el sistema de detección, un software de copia de seguridad que intente realizar una copia exacta de un disco o un gestor de particiones que intente reorganizar los volúmenes del disco. |
Instalar enlace global |
Hace referencia a la invocación de la función SetWindowsHookEx desde la biblioteca MSDN. |
Cargar controlador |
Instalación y carga de controladores en el sistema. |
La regla solo se utilizará si la operación está relacionada con este objeto. Seleccione Archivos específicos en el menú desplegable y haga clic en Agregar para agregar nuevos archivos o carpetas. Además, puede seleccionar Todos los archivos en el menú desplegable para agregar todas las aplicaciones.
Operaciones de la aplicación
Depurar otra aplicación |
Conecta un depurador al proceso. Durante el proceso de depuración de una aplicación es posible ver y modificar muchos aspectos de su comportamiento, así como acceder a sus datos. |
|---|---|
Interceptar sucesos de otra aplicación |
La aplicación de origen está intentando capturar sucesos dirigidos a una aplicación concreta (por ejemplo un registrador de pulsaciones que intenta capturar sucesos del navegador). |
Finalizar/suspender otra aplicación |
Suspende, reanuda o termina un proceso (se puede acceder a esta operación directamente desde el Process Explorer o la ventana Procesos). |
Iniciar una aplicación nueva |
Inicio de aplicaciones o procesos nuevos. |
Modificar el estado de otra aplicación |
La aplicación de origen está intentando escribir en la memoria de la aplicación de destino o ejecutar código en su nombre. Esta función puede ser de utilidad para proteger una aplicación fundamental mediante su configuración como aplicación de destino en una regla que bloquee el uso de esta operación. |
La regla solo se utilizará si la operación está relacionada con este objeto. Seleccione Aplicaciones específicas en el menú desplegable y haga clic en Agregar para agregar nuevos archivos o carpetas. Además, puede seleccionar Todas las aplicaciones en el menú desplegable para agregar todas las aplicaciones.
Operaciones del registro
Modificar la configuración de inicio |
Cambios realizados en la configuración que definan las aplicaciones que se ejecutarán al iniciar Windows. Estos cambios se pueden buscar, por ejemplo, si se busca la clave en el Registro de Windows. |
|---|---|
Eliminar del registro |
Elimina una clave del registro o su valor. |
Cambiar nombre de la clave del registro |
Cambia el nombre de las claves del registro. |
Modificar el registro |
Crea valores nuevos para las claves del registro, modifica los valores existentes, mueve los datos en el árbol de la base de datos o configura los permisos de usuarios y grupos en las claves del registro. |
La regla solo se utilizará si la operación está relacionada con este objetivo. Seleccione Entradas específicas del menú desplegable y haga clic en Agregar para agregar nuevos archivos o carpetas. Además, puede seleccionar Todas las entradas en el menú desplegable para agregar todas las aplicaciones.
|
Puede utilizar comodines, con determinadas restricciones, para especificar un destino. En las rutas de acceso al registro se puede utilizar el símbolo * (asterisco) en vez de una clave determinada. Por ejemplo HKEY_USERS\*\software can mean HKEY_USER\.default\software, pero no HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* no es una ruta válida para la clave del registro. Una ruta de la clave del registro que tenga \* incluye "esta ruta, o cualquier ruta de cualquier nivel después del símbolo". Este es el único uso posible de los comodines en los destinos. Primero se evalúa la parte específica de una ruta de acceso y, después, la ruta que sigue al comodín (*). |
|
Puede recibir una notificación si crea una regla demasiado genérica. |
