HIPS-regelinstellingen
In dit venster vindt u een overzicht van bestaande HIPS-regels.
Regel |
Door de gebruiker gedefinieerde of automatisch gekozen regelnaam. |
|---|---|
Ingeschakeld |
Schakel deze schakelaar uit als u de regel in de lijst wilt behouden maar deze niet wilt gebruiken. |
Actie |
De regel geeft een actie aan, namelijk Toestaan, Blokkeren of Vragen, die moet worden uitgevoerd als aan de voorwaarden wordt voldaan. |
Bronnen |
De regel wordt alleen gebruikt als de gebeurtenis door een of meer toepassingen wordt/worden geactiveerd. |
Doelen |
De regel wordt alleen gebruikt als de bewerking verband houdt met een bepaald bestand, een bepaalde toepassing of een bepaalde registervermelding. |
Ernst van logboekregistratie |
Als u deze optie activeert, wordt informatie over deze regel naar het HIPS-logboek geschreven. |
Melden |
Er wordt een klein venster weergegeven in het systeemvak van Windows als een gebeurtenis wordt geactiveerd. |
Maak een nieuwe regel, klik op Toevoegen om een nieuwe HIPS-regel toe te voegen of op Bewerken om geselecteerde vermeldingen te bewerken.
Regelnaam
Door de gebruiker gedefinieerde of automatisch gekozen regelnaam.
Actie
De regel geeft een actie aan, namelijk Toestaan, Blokkeren of Vragen, die moet worden uitgevoerd als aan de voorwaarden wordt voldaan.
Bewerkingen die gevolgen hebben voor
U dient het type bewerking op te geven waarvoor de regel wordt toegepast. De regel wordt alleen voor dit type bewerking en voor het geselecteerde doel gebruikt. De regel bestaat uit delen, waarmee de voorwaarden worden beschreven die deze regel activeren.
Brontoepassingen
De regel wordt alleen gebruikt als de gebeurtenis door deze toepassing(en) wordt geactiveerd. Selecteer Bepaalde toepassingen in het vervolgkeuzemenu en klik op Toevoegen om nieuwe bestanden of mappen toe te voegen of selecteer Alle toepassingen in het vervolgkeuzemenu om alle toepassingen toe te voegen.
|
Sommige bewerkingen van bepaalde regels die vooraf zijn gedefinieerd door HIPS kunnen niet worden geblokkeerd en worden standaard toegestaan. Bovendien worden niet alle systeembewerkingen door HIPS gecontroleerd. HIPS controleert bewerkingen die als onveilig worden beschouwd. |
Beschrijving van belangrijke bewerkingen:
Bestandsbewerkingen
Bestand verwijderen |
De toepassing vraagt om toestemming om het doelbestand te verwijderen. |
|---|---|
Schrijven naar bestand |
De toepassing vraagt om toestemming om te schrijven in het doelbestand. |
Rechtstreeks toegang tot schijf |
De toepassing probeert te lezen van of te schrijven naar de schijf op een manier die niet standaard is en waarmee de gebruikelijke Windows-procedures worden omzeild. Dit kan resulteren in bestanden die worden gewijzigd zonder toepassing van de overeenkomende regels. Deze bewerking kan worden veroorzaakt door malware die detectie probeert te omzeilen, back-upsoftware die een exacte kopie van een schijf probeert te maken of een partitiebeheerprogramma dat schijfvolumes probeert te reorganiseren. |
Algemene hook installeren |
Verwijst naar het aanroepen van de functie SetWindowsHookEx van de MSDN-bibliotheek. |
Stuurprogramma laden |
Installatie en laden van stuurprogramma's in het systeem. |
De regel wordt alleen gebruikt als de bewerking betrekking heeft op dit doel. Selecteer Bepaalde bestanden in het vervolgkeuzemenu en klik op Toevoegen om nieuwe bestanden of mappen toe te voegen. U kunt ook Alle bestanden in het vervolgkeuzemenu selecteren om alle toepassingen toe te voegen.
Toepassingsbewerkingen
Een andere toepassing debuggen |
Hiermee kunt u een foutopsporingsprogramma aan het proces koppelen. Terwijl fouten worden opgespoord in een toepassing, kunt u veel details van het gedrag weergeven en wijzigen, en kunt u gegevens openen. |
|---|---|
Gebeurtenissen van een andere toepassing onderscheppen |
De brontoepassing probeert gebeurtenissen te detecteren die zijn gericht op een bepaalde toepassing (bijvoorbeeld een keylogger die browsergebeurtenissen probeert te detecteren). |
Een andere toepassing afsluiten/onderbreken |
Stelt een proces uit of hervat of beëindigt een proces (deze optie is direct toegankelijk vanuit de procesverkenner of het venster Processen). |
Nieuwe toepassing starten |
Starten van nieuwe toepassingen of processen. |
Status van een andere toepassing wijzigen |
De brontoepassing probeert te schrijven naar het geheugen van de doeltoepassing of probeert code namens de toepassing uit te voeren. Deze functie kan handig zijn om een essentiële toepassing te beschermen door deze als doeltoepassing te configureren in een regel waarmee het gebruik van deze bewerking wordt geblokkeerd. |
De regel wordt alleen gebruikt als de bewerking betrekking heeft op dit doel. Selecteer Bepaalde toepassingen in het vervolgkeuzemenu en klik op Toevoegen om nieuwe bestanden of mappen toe te voegen. U kunt ook Alle toepassingen in het vervolgkeuzemenu selecteren om alle toepassingen toe te voegen.
Registerbewerkingen
Opstartinstellingen wijzigen |
Wijzigingen in instellingen die bepalen welke toepassingen worden uitgevoerd tijdens het opstarten van Windows. Deze vindt u bijvoorbeeld door te zoeken naar de sleutel Run in het Windows-register. |
|---|---|
Uit register verwijderen |
Hiermee kunt u een registersleutel of de waarde ervan verwijderen. |
Naam van registersleutel bewerken |
Hiermee kunt u namen van registersleutels wijzigen |
Register wijzigen |
Nieuwe waarden van registersleutels maken, bestaande waarden wijzigen, gegevens verplaatsen in de databasestructuur of gebruikers- of groepsrechten instellen voor registersleutels. |
De regel wordt alleen gebruikt als de bewerking betrekking heeft op dit doel. Selecteer Bepaalde vermeldingen uit het vervolgkeuzemenu en klik op Toevoegen om nieuwe bestanden of mappen toe te voegen. U kunt ook Alle vermeldingen in het vervolgkeuzemenu selecteren om alle toepassingen toe te voegen.
|
U kunt met bepaalde beperkingen gebruikmaken van jokertekens wanneer u een doel invoert. In plaats van een specifieke sleutel kan het symbool * (asterisk) worden gebruikt in registerpaden. Bijvoorbeeld HKEY_USERS\*\software can mean HKEY_USER\.default\software, maar niet HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* is geen geldig registersleutelpad. Een registersleutelpad dat \* bevat, definieert 'dit pad of elk ander pad op elk niveau na dat symbool'. Dit is de enige manier waarop jokertekens voor bestandsdoelen worden gebruikt. Eerst wordt het specifieke onderdeel van een pad geëvalueerd en vervolgens het pad na het jokerteken (*). |
|
Mogelijk ontvangt u een melding als u een te algemene regel maakt. |
