Pomoc online ESET

Wyszukaj Polski
Wybierz temat

Ustawienia reguł systemu HIPS

W tym oknie dostępny jest przegląd istniejących reguł systemu HIPS.

Reguła

Nazwa reguły podana przez użytkownika lub wybrana automatycznie.

Włączono

Wyłączenie tego przełącznika spowoduje, że reguła pozostanie na liście, ale nie będzie stosowana.

Czynność

Określona przez regułę czynność (Zezwól, Blokuj lub Pytaj), która ma zostać wykonana, gdy spełnione są warunki.

Źródła

Reguła będzie stosowana tylko wówczas, gdy zdarzenie zostanie spowodowane przez wymienione aplikacje.

Obiekty docelowe

Reguła będzie stosowana tylko wówczas, gdy dana operacja będzie związana z określonym plikiem, aplikacją lub wpisem rejestru.

Stopień szczegółowości zapisywania w dzienniku

Uruchomienie tej opcji spowoduje, że informacje o regule będą zapisywane w dzienniku systemu HIPS.

Powiadom

Po wywołaniu zdarzenia w obszarze powiadomień Windows zostanie wyświetlone małe okno.

Można utworzyć nową regułę, dodać nowe reguły systemu HIPS lub edytować zaznaczone wpisy.

Nazwa reguły

Nazwa reguły podana przez użytkownika lub wybrana automatycznie.

Czynność

Określona przez regułę czynność (Zezwól, Blokuj lub Pytaj), która ma zostać wykonana, gdy spełnione są warunki.

Operacje dotyczące

Należy wybrać typ operacji, w odniesieniu do której stosowana będzie reguła. Reguła będzie stosowana tylko w przypadku podanego typu operacji i wybranego elementu docelowego. Reguła składa się z części, które opisują warunki powodujące jej wywołanie.

Aplikacje źródłowe

Reguła będzie stosowana tylko wtedy, gdy zdarzenie zostanie spowodowane przez wymienione aplikacje. W celu dodania nowych plików lub folderów należy wybrać z menu rozwijanego pozycję Określone aplikacje i kliknąć przycisk Dodaj. W celu dodania wszystkich aplikacji można wybrać z menu rozwijanego opcję Wszystkie aplikacje.


note

Niektórych operacji dotyczących określonych reguł wstępnie zdefiniowanych w systemie HIPS nie można blokować i są one domyślnie dozwolone. Ponadto nie wszystkie operacje systemowe są monitorowane przez system HIPS. System HIPS monitoruje operacje, które można uznać za niebezpieczne.

Opisy ważnych operacji:

Operacje na plikach

Usunięcie pliku

Aplikacja monituje o zezwolenie na usunięcie pliku docelowego.

Zapis do pliku

Aplikacja monituje o zezwolenie na zapis do pliku docelowego.

Bezpośredni dostęp do dysku

Aplikacja próbuje dokonywać odczytu z dysku lub zapisu na dysku w niestandardowy sposób, omijający standardowe procedury systemu Windows. Może to spowodować modyfikacje plików bez zastosowania odpowiednich reguł. Ta operacja może być spowodowana przez szkodliwe oprogramowanie próbujące uniknąć wykrycia, program do tworzenia kopii zapasowych próbujący wykonać dokładną kopię dysku lub program do zarządzania partycjami próbujący zmienić układ woluminów dyskowych.

Instalacja globalnego punktu zaczepienia

Wskazuje na wywołanie funkcji SetWindowsHookEx z biblioteki MSDN.

Ładowanie sterownika

Instalowanie i wczytywanie sterowników w systemie.

Reguła będzie stosowana tylko wtedy, gdy operacja będzie dotyczyła określonego elementu docelowego. Aby dodać nowe pliki lub foldery, należy wybrać z menu rozwijanego opcję Określone pliki i kliknąć przycisk Dodaj. Można także wybrać z menu rozwijanego opcję Wszystkie pliki, aby dodać wszystkie aplikacje.

Operacje na aplikacjach

Debugowanie innej aplikacji

Dołączenie debugera do procesu. Podczas debugowania aplikacji można odczytać i zmodyfikować wiele szczegółów związanych z jej działaniem oraz uzyskać dostęp do jej danych.

Przechwytywanie zdarzeń z innej aplikacji

Aplikacja źródłowa próbuje przechwycić zdarzenia skierowane do określonej aplikacji (na przykład program rejestrujący znaki wprowadzane na klawiaturze próbuje przechwycić zdarzenia przeglądarki internetowej).

Zakończenie/wstrzymanie innej aplikacji

Zawieszenie, wznowienie lub zakończenie procesu (dostęp można uzyskać bezpośrednio z Eksploratora procesów lub okna Procesy).

Uruchomienie nowej aplikacji

Uruchamianie nowych aplikacji lub procesów.

Modyfikacja stanu innej aplikacji

Aplikacja źródłowa próbuje dokonać zapisu w pamięci aplikacji docelowych lub uruchomić kod w ich imieniu. Ta funkcja może być przydatna do zapewnienia ochrony ważnej aplikacji przez skonfigurowanie tej aplikacji jako docelowej w regule blokującej korzystanie z tej operacji.

Reguła będzie stosowana tylko wtedy, gdy operacja będzie dotyczyła określonego elementu docelowego. Aby dodać nowe pliki lub foldery, należy wybrać z menu rozwijanego opcję Określone aplikacje i kliknąć przycisk Dodaj. Można także wybrać z menu rozwijanego opcję Wszystkie aplikacje, aby dodać wszystkie aplikacje.

Operacje na rejestrze

Zmiana ustawień uruchamiania

Dowolne zmiany w ustawieniach określających, które aplikacje będą uruchamiane podczas uruchamiania systemu Windows. Można je znaleźć, przeszukując na przykład klucz Run w rejestrze systemu Windows.

Usunięcie z rejestru

Usunięcie klucza rejestru lub jego wartości.

Zmiana nazwy klucza rejestru

Zmiana nazw kluczy rejestru.

Modyfikacja rejestru

Tworzenie nowych wartości kluczy rejestru, zmienianie istniejących wartości, przenoszenie danych w drzewie bazy danych lub ustawianie praw użytkowników lub grup do kluczy rejestru.

Reguła będzie stosowana tylko wtedy, gdy operacja będzie dotyczyła określonego elementu docelowego. Aby dodać nowe pliki lub foldery, należy wybrać opcję Określone wpisy z menu rozwijanego i kliknąć przycisk Dodaj. Można także wybrać z menu rozwijanego opcję Wszystkie wpisy, aby dodać wszystkie aplikacje.


note

Wprowadzając obiekt docelowy, można stosować symbole wieloznaczne z pewnymi ograniczeniami. W ścieżkach rejestru można zamiast określonego klucza stosować znak * (gwiazdkę), na przykład ścieżka HKEY_USERS\*\software can mean HKEY_USER\.default\software, ale nie HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* nie jest dozwoloną ścieżką klucza rejestru. Ścieżka klucza rejestru zakończona znakami \* oznacza „ta ścieżka lub dowolna ścieżka na dowolnym poziomie po tym symbolu”. Jest to jedyny sposób stosowania symboli wieloznacznych w przypadku ścieżek plików. Najpierw sprawdzana jest konkretna część ścieżki, a następnie ścieżka odpowiadająca symbolowi wieloznacznemu (*).


warning

W przypadku utworzenia zbyt ogólnej reguły może zostać wyświetlone ostrzeżenie.