Aide en ligne ESET

Sélectionnez le sujet

Modifier une règle HIPS

Voir d’abord la gestion des règles HIPS.

Nom de la règle - Nom de la règle défini par l'utilisateur ou choisi automatiquement.

Action - La règle précise une action - Autoriser, Bloquer ou Demander - qui doit être effectuée lorsque les conditions sont satisfaites.

Opérations concernées - Vous devez sélectionner le type d'opérations auquel s'appliquera la règle. La règle ne sera utilisée pour ce type d'opération et pour la cible sélectionnée.

Activé - Désactiver cette barre coulissante si vous voulez conserver la règle dans la liste sans l'appliquer.

Journalisation de la gravité - Si vous activez cette option, l'information connexe à cette règle sera inscrite dans le journal HIPS.

Notifier l’utilisateur : une petite fenêtre de notification s'affichera dans le coin inférieur droit, lorsqu'un événement est déclenché.

La règle comporte plusieurs parties qui décrivent les conditions qui la déclenchent :

Applications sources - La règle ne sera utilisée que si l'événement est déclenché par cette ou ces applications. Sélectionnez Applications spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers. Vous pouvez également sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les applications.

Fichiers cibles : La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Fichiers spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Tous les fichiers dans le menu déroulant pour ajouter tous les fichiers.

Applications - La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Applications spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les applications.

Entrées du régistre - La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Entrées spécifiques dans le menu déroulant et cliquez sur Ajouter pour les entrer manuellement. Vous pouvez également cliquer sur Ouvrir l'éditeur de registre pour sélectionner une clé dans le registre. Vous pouvez également sélectionner Toutes les entrées dans le menu déroulant pour ajouter toutes les applications.

note

Certaines opérations de règles spécifiques prédéfinies par HIPS ne peuvent pas être bloquées et sont autorisées par défaut. En plus, toutes les opérations système ne sont pas contrôlées par HIPS. HIPS contrôle les opérations qui peuvent être considérées comme dangereuses.

Description d'opérations importantes :

Opérations sur le fichier

Supprimer le fichier - L'application vous invite à autoriser la suppression du fichier cible.

Écrire dans le fichier - L'application vous invite à autoriser l'écriture dans le fichier cible.

Accès direct au disque - L'application tente de lire ou d'écrire sur le disque d'une manière non standard, qui contournera les procédures courantes de Windows. Cela peut entraîner la modification de fichiers sans application des règles correspondantes. Cette opération peut découler d'un logiciel malveillant qui tente d'éviter la détection, d'un logiciel de sauvegarde qui essaie de faire une copie exacte d'un disque ou d'un gestionnaire de partitions qui tente de réorganiser des volumes de disque.

Installer le crochet global - Se réfère à l'appel de la fonctionSetWindowsHookEx de la bibliothèque MSDN.

Charger pilote - Installation et chargement de pilotes dans le système.

Activités de l'application

Déboguer une autre application - Joindre un débogueur au processus. Lors du débogage d'une application, de nombreux détails de son comportement peuvent être affichés et modifiés et ses données deviennent accessibles.

Intercepter des événements à partir d'une autre application - L'application source tente d'intercepter des événements destinés à une application spécifique (par exemple un enregistreur de frappe qui tente de capturer les événements d'un navigateur).

Mettre fin à une autre application/la suspendre - Suspendre, reprendre ou arrêter un processus (accès direct par l'explorateur de processus ou le volet Processus).

Lancer une nouvelle application - Lancement de nouvelles applications ou de nouveaux processus.

Modifier l'état d'une autre application - L'application source tente d'écrire dans la mémoire de l'application cible ou d'exécuter du code en son nom. Cette fonctionnalité peut être utile pour protéger une application essentielle en la configurant comme application cible dans une règle qui bloque l'utilisation de cette opération.

Opérations sur le registre

Modifier les paramètres de démarrage - Toutes les modifications des paramètres qui définissent quelles applications seront exécutées au démarrage de Windows. Il est possible de les trouver, par exemple, en recherchant la cléRun dans le registre de Windows.

Supprimer du registre - Supprimer une clé de registre ou sa valeur.

Renommer la clé de registre - Renomme les clés de registre.

Modifier le registre - Créer de nouvelles valeurs de clés de registre, modifier des valeurs existantes, déplacer des données dans l'arborescence de la base de données ou définir les droits du groupe ou de l'utilisateur à l'égard de clés de registre.

note

Vous pouvez utiliser des caractères génériques avec certaines restrictions au moment d'entrer une cible. Plutôt qu'une clé particulière, vous pouvez utiliser un symbole * (astérisque) dans les chemins d'accès du registre. Par exemple, HKEY_USERS\*\software peut vouloir dire HKEY_USER\.default\software, mais non HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* n'est pas un chemin d'accès à la clé du registre valide. Un chemin d'accès à la clé du registre contenant \* définit « ce chemin d'accès, sur tout niveau, après ce symbole ». C'est la seule façon d'utiliser les caractères génériques pour les fichiers cibles. La partie spécifique d'un chemin sera la première à être évaluée, puis elle sera suivie du chemin se trouvant après le caractère générique (*).

warning

Si vous créez une règle très générique, l'avertissement sur ce type de règle s'affiche.

Dans l'exemple suivant, nous allons illustrer comment limiter le comportement indésirable d'une application précise :

1.Nommez la règle et sélectionnez Bloquer (ou Demander si vous désirez choisir plus tard) dans le menu déroulant Action.

2.Activez le commutateur situé à côté de Avertir l'utilisateur pour afficher une notification chaque fois qu'une règle est appliquée.

3.Sélectionnez au moins une opération dans la section Opérations concernées pour laquelle la règle sera appliquée.

4.Cliquez sur Suivant.

5.Dans la fenêtre Applications sources, sélectionnez Applications précises dans le menu déroulant pour appliquer la nouvelle règle à toutes les applications qui tentent d'effectuer l'une des opérations sélectionnées parmi celles spécifiées.

6.Cliquez sur Ajouter puis sur ... pour choisir le chemin d'accès à une application spécifique et appuyez sur OK. Ajoutez d'autres applications si vous le souhaitez.
Par exemple : C:\Program Files (x86)\Untrusted application\application.exe

7.Sélectionnez l'opérationÉcrire dans un fichier

8.Sélectionnez Tous les fichiers dans le menu déroulant. Cela bloquera toute tentative d'écriture dans un fichier par l'application ou les applications sélectionnées à l'étape précédente.

9.Cliquez sur Terminer pour enregistrer la nouvelle règle.

CONFIG_HIPS_RULES_EXAMPLE