HIPSルールの編集

ルール名 - ユーザーが定義したか、または自動選択されたルール名。

アクション - ルールは、条件が一致した場合に実行する必要のあるアクション、つまり[許可]、[ブロック]、または[確認]を指定します。

動作影響 - ルールが適用される処理のタイプを選択する必要があります。ルールは、選択された[ターゲット]に対するこのタイプの操作に限り使用されます。

有効 - ルールをリスト内に置いたまま、適用しない場合にこのチェックボックスをオフにします。

ログに記録 - このオプションをオンにすると、このルールに関する情報がHIPSログに書き込まれます。

ユーザーに通知する - イベントが起動された場合に、小さいポップアップウィンドウが右下隅に表示されます。

ルールは、このルールの使用をトリガする条件を記述した部分で構成されます。

ソースアプリケーション - ルールは、このアプリケーションによってイベントが起動された場合のみ使用されます。ドロップダウンメニューから特定のアプリケーションを選択し、[追加]をクリックして、新しいファイルを選択します。あるいは、ドロップダウンメニューからすべてのアプリケーションを選択してすべてのアプリケーションを追加します。

ファイル- ルールは、操作がこのターゲットと関連する場合に限り使用されます。ドロップダウンメニューから特定のファイルを選択し、[追加]をクリックして、新しいファイルまたはフォルダを選択します。あるいは、ドロップダウンメニューからすべてのファイルを選択してすべてのアプリケーションを追加します。

アプリケーション- ルールは、操作がこのターゲットと関連する場合に限り使用されます。ドロップダウンメニューから特定のアプリケーションを選択し、[追加]をクリックして、新しいファイルまたはフォルダを選択します。あるいは、ドロップダウンメニューからすべてのアプリケーションを選択してすべてのアプリケーションを追加します。

レジストリエントリ- ルールは、操作がこのターゲットと関連する場合に限り使用されます。ドロップダウンメニューから特定のエントリを選択し、[追加]をクリックして、手動で入力します。あるいは、レジストリエディタを開くを選択してレジストリからキーを選択します。または、ドロップダウンメニューからすべてのエントリを選択してすべてのアプリケーションを追加します。

注意: HIPSで事前定義された特定のルールの操作にはブロックできないものがあり、既定で許可されています。さらに、システムの動作すべてがHIPSにより監視されているわけではありません。HIPSは、危険性があると考えられる動作を監視しています。

主要な操作の説明

ファイルの操作

ファイルの削除 - アプリケーションはターゲットファイルを削除する許可を求めています。
ファイルへの書き込み - アプリケーションはターゲットファイルに書き込む許可を求めています。
ディスクへの直接アクセス - アプリケーションは標準的でない方法でディスクからの読み出しまたは書き込みを行おうとしており、通常のWindowsの手順をたどりません。この結果、対応するルールの適用なしにファイルが変更される場合があります。この動作は、マルウェアが検知されるのを逃れようとしたり、バックアップソフトウェアがディスクの正確なコピーを作成しようとしたり、またはパーティションマネージャがディスクボリュームを認識しようとしたりすることで引き起こされる場合があります。
グローバルフックのインストール - MSDNライブラリからのSetWindowsHookEx関数の呼び出しを指します。
ドライバの読み込み - システムへのドライバのインストールと読み込み。

アプリケーション動作

別のアプリケーションのデバッグ - デバッガをプロセスにアタッチします。アプリケーションのデバッグ中にそのアプリケーションの動作のさまざまな詳細を表示して変更し、そのデータにアクセスできます。
別のアプリケーションからのイベントの取得 - ソースアプリケーションは、特定のアプリケーションを対象としたイベントを取得しようとします(キーロガーがブラウザのイベントのキャプチャを試みるなど)。
別のアプリケーションの終了/中断 - プロセスの中断、再開、終了(Process ExplorerまたはProcessesペインから直接アクセス可能)。
新規アプリケーションの開始 - 新しいアプリケーションまたはプロセスの開始。
別のアプリケーションの状態を変更 - ソースアプリケーションは、ターゲットアプリケーションのメモリに書き込もうとしているか、または代行でコードを実行しようとしています。この機能は、この動作の使用をブロックするルール中で、重要なアプリケーションをターゲットアプリケーションとして設定することによって保護するのに役立ちます。

注意: 64ビットバージョンのWindows XP上のプロセス操作をインターセプトすることはできません。

レジストリの操作

スタートアップ設定の変更 - 設定(Windows起動時に実行するアプリケーションの定義)の変更。これらは、たとえばWindowsレジストリのRunのキーを検索することによって見つけられます。
レジストリからの削除 - レジストリキーまたはその値の削除。
レジストリキー名の変更 - レジストリキーの名前の変更。
レジストリの変更 - レジストリキーの新しい値の作成、既存の値の変更、データベース ツリー内のデータの移動、またはレジストリキーのユーザー権限またはグループ権限の設定。

注意: ターゲットの入力では、一定の制限付きでワイルドカードを使用できます。レジストリのパス内では、特定のキーの代わりに *(アスタリスク)記号を使用できます。たとえば、HKEY_USERS\*\softwareは、HKEY_USER\.default\softwareとは一致しますが、HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\softwareとは一致しません。HKEY_LOCAL_MACHINE\system\ControlSet*は、有効なレジストリキーパスではありません。\*の入ったレジストリキーのパスは、「このパスまたはこの記号の後の任意のレベルの任意のパス」を意味します。ファイルターゲットに対してワイルドカードを使用する方法はこの方法だけです。最初に、パスの特定の部分が評価された後、ワイルドカード記号(*)に続くパスが評価されます。

MONITOR_RED 非常に一般的なルールを作成すると、このタイプのルールに関する警告が表示されます。

次の例では、アプリケーションの不要な動作を制限する方法を説明します。

1.ルールに名前を付けて、[アクション]ドロップダウンメニューから[ブロック]を選択します。
2.[ユーザーに通知]チェックボックスをチェックすると、ルールが適用されたときはいつでも通知が表示されます。
3.ルールを適用する処理を1つ以上選択します。ソースアプリケーションウィンドウで、ドロップダウンメニューからすべてのアプリケーションを選択し、指定したアプリケーションに対して選択したアプリケーション処理のいずれかを実行しようとするすべてのアプリケーションに、新しいルールを適用します。
4.[別のアプリケーションの状態を変更]を選択します(すべての操作は製品ヘルプに記載されており、F1キーを押すことでアクセスできます)。.
5.ドロップダウンメニューから特定のアプリケーションを選択し、保護する1つ以上のアプリケーションを追加します。
6.[完了]をクリックして新規ルールを保存します。

CONFIG_HIPS_RULES_EXAMPLE