تحرير قاعدة HIPS
راجع إدارة قاعدة نظام منع اختراق المضيف (HIPS) أولاً.
اسم القاعدة - اسم القاعدة المعرف بواسطة المستخدم أو المختار تلقائياً.
الإجراء - لتحديد الإجراء - سماح أو حظر أو سؤال - الذي يجب تنفيذه في حالة استيفاء الشروط.
العمليات المتضررة - يجب تحديد نوع العملية التي سيتم تطبيق القاعدة عليها. لن يتم استخدام القاعدة إلا مع نوع العملية هذا ومع الهدف المحدد فقط.
ممكَّن - قم بتعطيل شريط التمرير إذا أردت الاحتفاظ بالقاعدة في القائمة مع عدم تطبيقها.
تسجيل الخطورة: - في حالة تنشيط هذا الخيار، ستتم كتابة معلومات عن هذه القاعدة في سجل HIPS.
إعلام المستخدم - نافذة إعلام صغيرة تظهر في الزاوية السفلية اليسرى في حالة تشغيل حدث.
تتكون القاعدة من أجزاء تصف شروط تشغيل هذه القاعدة:
التطبيقات المصدر - لن يتم استخدام القاعدة إلا في حالة تشغيل الحدث بواسطة هذا التطبيق (التطبيقات). حدد تطبيقات معينة من القائمة المنسدلة وانقر فوق إضافة لإضافة ملفات جديدة أو حدد كل التطبيقات من القائمة المنسدلة لإضافة كل التطبيقات.
الملفات الهدف - سيتم استخدام القاعدة فقط إذا كانت العملية مرتبطة بهذا الهدف. حدد ملفات معينة من القائمة المنسدلة وانقر فوق إضافة لإضافة ملفات أو مجلدات جديدة أو يمكنك تحديد جميع الملفات من القائمة المنسدلة لإضافة جميع الملفات.
التطبيقات - لن يتم استخدام القاعدة إلا إذا كانت العملية ذات صلة بهذا الهدف. حدد تطبيقات معينة من القائمة المنسدلة وانقر فوق إضافة لإضافة ملفات أو مجلدات جديدة أو حدد كل التطبيقات من القائمة المنسدلة لإضافة كل التطبيقات.
إدخالات السجل - لن يتم استخدام القاعدة إلا إذا كانت العملية ذات صلة بهذا الهدف. حدد إدخالات معينة من القائمة المنسدلة وانقر فوقإضافة لكتابته يدوياً أو يمكنك النقر فوق فتح محرر التسجيل لتحديد مفتاح من السجل. ويمكنك تحديد كل الإدخالاتمن القائمة المنسلة لإضافة جميع التطبيقات.
لا يمكن حظر بعض العمليات الخاصة بالقواعد المعرفة مسبقاً بواسطة نظام HIPS ويتم السماح بها حسب الإعداد الافتراضي. إضافة إلى ذلك، لا تتم مراقبة كل عمليات النظام بواسطة HIPS. فنظام HIPS يراقب العمليات التي من المحتمل أن تكون غير آمنة. |
أوصاف العمليات المهمة:
عمليات الملفات
- حذف ملف - يطلب التطبيق الحصول على إذن لحذف الملف الهدف.
- كتابة إلى الملف - يطلب التطبيق الحصول على إذن للكتابة في الملف الهدف.
- وصول مباشر إلى القرص - يحاول التطبيق القراءة من القرص أو الكتابة عليه بطريقة غير قياسية ستخدع إجراءات Windows المعتادة. قد يؤدي هذا إلى تعديل الملفات بدون تطبيق القواعد المقابلة. قد تحدث هذه العملية بسبب أن أحد البرامج الضارة يحاول تجنب الحذف، أو أن برنامج النسخ الاحتياطي يحاول إجراء نسخة طبق الأصل من القرص، أو أن إدارة الأقسام تحاول إعادة تنظيم وحدات التخزين على القرص.
- تثبيت موضع الإضافة في الروتين العمومي - تشير إلى استدعاء وظيفة SetWindowsHookEx من مكتبة MSDN.
- تحميل برنامج التشغيل - تثبيت برامج التشغيل وتحميلها على النظام.
عمليات التطبيقات
- تصحيح أخطاء تطبيق آخر - إرفاق مصحح أخطاء بالعملية. أثناء تصحيح أخطاء التطبيق، يمكن عرض العديد من تفاصيل السلوك الخاص به وتعديلها، كما يمكن الوصول إلى بياناته.
- اعتراض أحداث من تطبيق آخر - يحاول التطبيق المصدر التقاط الأحداث المستهدفة في تطبيق معين (على سبيل المثال، يحاول برنامج تسجيل ضغطات المفاتيح التقاط أحداث المستعرض).
- إنهاء/تعليق تطبيق آخر - تعليق عملية أو استئنافها أو إنهاؤها (يمكن الوصول إلى ذلك مباشرةً من مستكشف العمليات أو جزء العمليات).
- بدء تطبيق جديد - بدء تطبيقات أو عمليات جديدة.
- تعديل حالة تطبيق آخر - يحاول التطبيق المصدر الكتابة في ذاكرة التطبيقات الهدف أو تشغيل التعليمات البرمجية من أجلها. قد تكون هذه الوظيفة مفيدة لحماية تطبيق أساسي بتكوينه كتطبيق هدف في قاعدة تحظر استخدام هذه العملية.
عمليات التسجيل
- تعديل إعدادات بدء التشغيل - أي تغييرات في الإعدادات التي تعرّف التطبيقات التي يتم تشغيلها عند بدء تشغيل Windows. ويمكن العثور عليها، على سبيل المثال، عبر البحث عن مفتاح Run في تسجيل Windows.
- حذف من التسجيل - حذف مفتاح تسجيل أو قيمته.
- إعادة تسمية مفتاح التسجيل - إعادة تسمية مفاتيح التسجيل.
- تعديل التسجيل - إنشاء قيم جديدة لمفاتيح التسجيل، أو تغيير القيم الموجودة، أو نقل البيانات في شجرة قاعدة البيانات، أو إعداد حقوق المستخدم أو المجموعة لمفاتيح التسجيل.
يمكنك استخدام أحرف البدل مع بعض التقييدات عند إدخال هدف. فبدلاً من مفتاح معين، يمكن استخدام الرمز * (النجمة) في مسارات السجل. على سبيل المثال، HKEY_USERS\*\software يمكن أن يعني HKEY_USER\.default\software ولكن لا يمكن أن يعني HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. المسار HKEY_LOCAL_MACHINE\system\ControlSet* ليس مسار مفتاح تسجيل صالحاً. يعرّف مسار مفتاح التسجيل الذي يحتوي على \* "هذا المسار أو أي مسار في أي مستوى بعد هذا الرمز". هذه هي الطريقة الوحيدة لاستخدام أحرف البدل لأهداف الملفات. أولاً، سيتم تقييم الجزء المحدد من المسار، ثم المسار الذي يلي رمز حرف البدل (*). |
في حالة إنشاء قاعدة عامة إلى حد بعيد، سيتم عرض تحذير عن هذا النوع من القواعد. |
في المثال التالي، سنعرض كيفية تقييد السلوكيات غير المرغوب فيها لتطبيق معين:
- أطلق اسماً للقاعدة وحدد حظر (أو سؤال إذا كنت تفضل الاختيار لاحقاً) من القائمة المنسدلة إجراء.
- قم بتمكين شريط التمرير بجوار إعلام المستخدم لعرض إعلام في أي مرة يتم فيها تطبيق قاعدة.
- حدد عملية واحدة على الأقل في قسم العمليات المتضررة للقاعدة التي سيتم تطبيقها.
- انقر فوق التالي.
- من نافذة التطبيقات المصدر، حدد كل التطبيقات من القائمة المنسدلة لتطبيق القاعدة الجديدة على تطبيقات معينة التي تحاول تنفيذ أي من عمليات التطبيقات المحددة في التطبيقات التي حددتها.
- انقر فوق إضافة ثم ... لاختيار مسار لتطبيق معين ثم اضغط على موافق. أضف المزيد من التطبيقات إذا كنت تريد ذلك.
على سبيل المثال: C:\Program Files (x86)\Untrusted application\application.exe - حدد عملية الكتابة في ملف.
- حدد جميع الملفات من القائمة المنسدلة . سيؤدي هذا إلى حظر أي محاولات للكتابة في أي ملفات من قبل التطبيق (التطبيقات) المحددة من الخطوة السابقة.
- انقر فوق إنهاء لحفظ القاعدة الجديدة.