Editar uma regra HIPS

Consulte primeiro o gerenciamento de regras do HIPS.

Nome da regra - Nome da regra definida pelo usuário ou definida automaticamente.

Ação – Especifica uma ação – Permitir, Bloquear ou Perguntar – que deve ser realizada se as condições forem cumpridas.

Operações afetando - É preciso selecionar o tipo de operação para o qual a regra será aplicada. A regra será utilizada apenas para esse tipo de operação e para o destino selecionado.

Ativado – desative a barra deslizante se deseja manter a regra na lista, mas não deseja aplicá-la.

Gravidade do registro em relatório - Se você ativar essa opção, as informações sobre esta regra serão gravadas no Registro em relatório HIPS.

Notificar usuário - Se um evento for acionado, uma pequena janela pop-up será exibida no canto inferior direito.

A regra consiste em partes que descrevem as condições que acionam essa regra:

Aplicativos de origem - A regra será utilizada apenas se o evento for acionado por esse(s) aplicativo(s). Selecione Aplicativos específicos no menu suspenso e clique em Adicionar para adicionar novos arquivos, ou selecione Todos os aplicativos no menu suspenso para adicionar todos os aplicativos.

Arquivos de destino– A regra será utilizada apenas se a operação estiver relacionada a esse destino. Selecione Arquivos específicos no menu suspenso e clique em Adicionar para adicionar novos arquivos ou pastas, ou selecione Todos os arquivos no menu suspenso para adicionar todos os arquivos.

Aplicativos -A regra será utilizada apenas se a operação estiver relacionada a esse destino. Selecione Aplicativos específicos no menu suspenso e clique em Adicionar para adicionar novos arquivos ou pastas, ou selecione Todos os aplicativos no menu suspenso para adicionar todos os aplicativos.

Entradas do registro - A regra será utilizada apenas se a operação estiver relacionada a esse destino. Selecione Entradas específicas no menu suspenso e clique em Adicionar para digitar manualmente, ou clique em Abrir o editor do registro para selecionar uma chave no Registro. Também é possível selecionar Todas as entradas no menu suspenso para adicionar todos os aplicativos.

Descrição de operações importantes:

Operações de arquivo

•Excluir arquivo - O aplicativo está solicitando permissão para excluir o arquivo de destino.

•Gravar no arquivo - O aplicativo está solicitando permissão para gravar no arquivo de destino.

•Acesso direto ao disco - O aplicativo está tentando ler do disco ou gravar no disco de forma não padrão, o que poderá impedir procedimentos comuns do Windows. Isso pode resultar na alteração de arquivos sem a aplicação das regras correspondentes. Essa operação poderá ser causada por um malware que está tentando impedir a detecção, um software de backup tentando realizar uma cópia exata de um disco ou um gerenciador de partição tentando reorganizar volumes do disco.

•Instalar vínculo global – Refere-se à chamada da função SetWindowsHookEx da biblioteca do MSDN.

•Carregar unidade - Instalação e carregamento de unidades no sistema.

Operações de aplicativo

•Depurar outro aplicativo - Anexa um depurador ao processo. Ao depurar um aplicativo, muitos detalhes de seu comportamento podem ser visualizados e alterados, e seus dados podem ser acessados.

•Interceptar eventos de outro aplicativo - O aplicativo de origem está tentando obter eventos direcionados a um aplicativo específico (por exemplo, um keylogger está tentando capturar eventos do navegador).

•Finalizar/suspender outro aplicativo - Suspende, retoma ou finaliza um processo (pode ser acessado diretamente pelo Explorador de Processos ou pelo painel Processos).

•Iniciar novo aplicativo - Iniciando novos aplicativos ou processos.

•Modificar o estado de outro aplicativo - O aplicativo de origem está tentando gravar na memória do aplicativo de destino ou executar um código em seu nome. Este recurso pode ser útil para proteger um aplicativo essencial, configurando-o como um aplicativo de destino em uma regra bloqueando o uso desta operação.

Operações de registro

•Modificar configurações de inicialização - Quaisquer alterações nas configurações, que definam quais aplicativos serão executados na inicialização do Windows. Esses aplicativos podem ser encontrados, por exemplo, pesquisando pela chave Run no registro do Windows.

•Excluir do registro - Exclui uma chave do registro ou seu valor.

•Renomear chave do registro - Renomeia chaves do registro.

•Alterar registro - Cria novos valores de chaves de registro, alterando os valores existentes, movendo dados na árvore de banco de dados ou configurando direitos de usuário ou de grupos para as chaves do registro.

No exemplo a seguir, demonstraremos como restringir o comportamento indesejado de um aplicativo específico:

1.Nomeie a regra e selecione Bloquear (ou Perguntar se você preferir escolher posteriormente) do menu suspenso Ação.

2.Habilite a barra do controle deslizante ao lado de Notificar usuário para exibir uma notificação sempre que uma regra for aplicada.

3.Selecione pelo menos uma operação para a qual a regra será aplicada na seção Operações afetando.

4.Clique em Avançar.

5.Na janela Aplicativos de origem, selecione Aplicativos específicos no menu suspenso para aplicar sua nova regra a todos os aplicativos que tentarem realizar qualquer uma das operações de aplicativo selecionadas nos aplicativos especificados.

6.Clique em Adicionar e em ... para selecionar um caminho para um aplicativo específico, então pressione OK. Adicione mais aplicativos se preferir.
Por exemplo: C:\Program Files (x86)\Untrusted application\application.exe

7.Selecione a operação Gravar no arquivo.

8.Selecione Todos os arquivos do menu suspenso. Isso vai bloquear qualquer tentativa de gravação em quaisquer arquivos feitas pelo(s) aplicativo(s) selecionado(s) na etapa anterior.

9.Clique em Concluir para salvar sua nova regra.