HIPS-reegli redigeerimine
Esiteks vt HIPS-i reeglite haldus.
Reegli nimi – kasutaja määratud või automaatselt valitud reegli nimi.
Toiming – määrab toimingu (Luba, Tõkesta või Küsi), mida tuleks tingimuste täitmisel teha.
Mõjutatud toimingud – peate valima toimingu tüübi, millele reegel kehtestatakse. Reeglit kasutatakse ainult seda tüüpi toimingu ja valitud sihtmärgi jaoks.
Lubatud – keelake see liugurriba, kui soovite reeglit loendis hoida, kuid ei soovi seda rakendada.
Logi tõsidus– kui aktiveerite selle suvandi, kirjutatakse selle reegli kohta käiv teave HIPS-i logisse.
Teavita kasutajat – sündmuse käivitumise korral kuvatakse paremas allnurgas väike teavitusaken.
Reegel koosneb osadest, mis kirjeldavad seda reeglit käivitavaid tingimusi.
Lähterakendused –reeglit kasutatakse ainult siis, kui see rakendus / need rakendused sündmuse käivitavad. Valige rippmenüüst suvand Kindlad rakendused ja klõpsake uute failide või kaustade lisamiseks nuppu Lisa või valige kõikide rakenduste lisamiseks rippmenüüst suvand Kõik rakendused.
Sihtfailid – reeglit kasutatakse ainult siis, kui toiming on seotud selle sihtmärgiga. Valige rippmenüüst suvand Kindlad failid ja klõpsake uute failide või kaustade lisamiseks nuppu Lisa või valige kõikide failide lisamiseks rippmenüüst suvand Kõik failid.
Rakendused – reeglit kasutatakse ainult siis, kui toiming on seotud selle sihtmärgiga. Valige rippmenüüst suvand Kindlad rakendused ja klõpsake uute failide või kaustade lisamiseks nuppu Lisa või valige kõikide rakenduste lisamiseks rippmenüüst suvand Kõik rakendused.
Registrikirjed – reeglit kasutatakse ainult siis, kui toiming on seotud selle sihtmärgiga. Valige rippmenüüst suvand Kindlad kirjed ja klõpsake kirje käsitsi sisestamiseks käsku Lisa või registris võtme valimiseks käsku Ava registriredaktor. Samuti võite kõigi rakenduste lisamiseks valida rippmenüüst suvandi Kõik kirjed.
Mõnda HIPS-i eelmääratud reegli toimingut ei saa tõkestada ja see on vaikimisi lubatud. Peale selle ei jälgi HIPS kõiki süsteemitoiminguid. HIPS jälgib toiminguid, mida võidakse pidada ebaturvaliseks. |
Oluliste toimingute kirjeldused
Failitoimingud
•Eemalda fail – rakendus küsib luba sihtfaili kustutamiseks.
•Kirjuta faili – rakendus küsib luba sihtfaili kirjutamiseks.
•Otsene juurdepääs kettale– rakendus proovib kettalt lugeda või sinna kirjutada ebatavapärasel viisil, mis väldib Windowsi harilikke protseduure. Selle tulemusena võidakse faile rakenduse või asjakohase reeglita muuta. Seda võib põhjustada ründevara, mis püüab vältida tuvastamist, varundamistarkvara, mis püüab teha kettast täpset koopiat, või sektsioonihaldur, mis püüab tuvastada kettaköiteid.
•Installi globaalne haak – viitab funktsiooni SetWindowsHookEx kutsumisele MSDN-i teegist.
•Laadi draiver – draiverite installimine ja laadimine süsteemi.
Rakenduste toimingud
•Muu rakenduse silumine – siluja lisamine protsessile. Rakenduse silumisel saab vaadata ja muuta selle paljusid käitumise üksikasju ning võimalik on ka juurdepääs selle andmetele.
•Sündmuste ülevõtmine muust rakendusest – lähterakendus püüab tabada sündmusi, mille sihtmärgiks on konkreetne rakendus (nt klahvinuhk üritab tabada brauseri sündmusi).
•Muu rakenduse katkestamine/peatamine – protsessi peatamine, jätkamine või katkestamine (pääseb juurde ka Process Exploreri või protsesside paani kaudu).
•Uue rakenduse käivitamine – uue rakenduse või protsessi käivitamine.
•Muu rakenduse oleku muutmine – lähterakendus püüab kirjutada sihtrakenduse mällu või käitada selle nimel mõnd koodi. See funktsioon võib olla kasulik, kui soovite kaitsta mõnd olulist rakendust, määrates selle sihtrakenduseks reeglis, mis tõkestab asjaomase toimingu kasutamist.
Registritoimingud
•Muuda käivitussätteid– mis tahes muudatused sätetes, mis määravad, millised rakendused käivitatakse Windowsi käivitumisel. Nende otsimiseks saate kasutada Windowsi registris näiteks märksõna Run (käivita).
•Registrist kustutamine – registrivõtme või selle väärtuse kustutamine.
•Nimeta registrivõti ümber – registrivõtmete ümbernimetamine.
•Registri muutmine – registrivõtmete uute väärtuste loomine, olemasolevate väärtuste muutmine, andmete teisaldamine andmebaasipuus või kasutaja- või rühmaõiguste määramine registrivõtmetele.
Sihtmärgi sisestamisel võite teatud piirangutega kasutada ka metamärke. Kindla võtme asemel saab kasutada registriteedes tärni (*). Näiteks võib HKEY_USERS\*\software HKEY_USER\.default\software, kuid mitte aga HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* ei ole kehtiv registrivõtme tee. Registrivõtme tee, mis sisaldab märke \*, tähendab, et „see tee või ükskõik milline tee ükskõik millisel tasandil selle sümboli järel”. See on ainus viis metamärkide kasutamiseks sihtfailide jaoks. Esmalt hinnatakse kindlat teeosa ning seejärel teeosa pärast metamärki (*). |
Kui loote väga üldise reegli, kuvatakse seda tüüpi reegli kohta hoiatus. |
Järgmises näites demonstreerime, kuidas piirata kindla rakenduse soovimatut käitumist.
1.Määrake reeglile nimi ja valige rippmenüüs Toiming suvand Tõkesta (või Küsi, kui eelistate hiljem otsustada).
2.Valige sätte Teavita kasutajat kõrval asuv liugur, et kuvada teavitus iga kord, kui reeglit rakendatakse.
3.Valige vähemalt üks toiming jaotisest Mõjutatud toimingud, mille puhul tuleb reeglit rakendada.
4.Klõpsake nuppu Järgmine.
5.Tehke akna Lähterakendused rippmenüüs valik Kindlad rakendused, et rakendada uus reegel kõigile rakendustele, mis püüavad teie määratud rakendustel teha mis tahes valitud rakendusetoiminguid.
6.Klõpsake nuppu Lisa ja seejärel valikut ..., et valida kindla rakenduse failitee, ja seejärel vajutage nuppu OK. Soovi korral võite lisada rohkem rakendusi.
Näide: C:\Program Files (x86)\Untrusted application\application.exe
7.Valige toiming Kirjuta faili.
8.Valige rippmenüüst Kõik failid. See blokeerib eelmises etapis valitud rakendus(te) katsed kirjutada mis tahes faili.
9.Uue reegli salvestamiseks klõpsake nuppu Lõpeta.