A HIPS szabályainak szerkesztése
Először tekintse meg a Behatolásmegelőző rendszer szabályainak kezelése című részt.
Szabály neve – A szabály felhasználó által megadott vagy automatikusan választott neve.
Művelet – A szabályok egy-egy műveletet – Engedélyezés, Tiltás vagy Rákérdezés – határoznak meg, amelyet a feltételek teljesülése esetén a program végrehajt.
Műveletek által érintett – Ki kell jelölnie a művelet típusát, amelyre a szabály vonatkozni fog. A szabály csak az ilyen típusú műveletre és a kijelölt célterületre vonatkozik.
Engedélyezve – Tiltsa le a kapcsolót, ha meg szeretné őrizni a szabályt a listában, de nem kívánja alkalmazni.
Naplózás részletessége – Ha bekapcsolja ezt a funkciót, a szabállyal kapcsolatos információkat a program bejegyzi a HIPS naplójába.
Felhasználó értesítése – Esemény kiváltásakor egy kis értesítési ablak jelenik meg képernyő jobb alsó sarkában.
A szabály az azt kiváltó feltételeket leíró részekből áll:
Forrásalkalmazások – A szabály alkalmazására csak akkor kerül sor, ha az eseményt ezek az alkalmazások váltották ki. A legördülő listában válassza az Adott alkalmazások elemet, és kattintson a Hozzáadás műveletre új fájlok hozzáadásához, illetve ha az összes alkalmazást hozzá szeretné adni, a legördülő listában választhatja Az összes alkalmazás elemet is.
Célfájlok – A szabály alkalmazásához a műveletnek erre a célterületre kell vonatkoznia. A legördülő listában válassza ki az Adott fájlok elemet, és kattintson a Hozzáadás elemre új fájlok vagy mappák hozzáadásához, illetve ha az összeset hozzá szeretné adni, a legördülő listában kiválaszthatja a Minden fájl elemet is.
Alkalmazások – A szabály alkalmazásához a műveletnek erre a célterületre kell vonatkoznia. A legördülő listában válassza az Adott alkalmazások elemet, és kattintson a Hozzáadás műveletre új fájlok vagy mappák hozzáadásához, illetve ha az összes alkalmazást hozzá szeretné adni, a legördülő listában választhatja Az összes alkalmazás elemet is.
Beállításjegyzék bejegyzései – A szabály alkalmazásához a műveletnek erre a célterületre kell vonatkoznia. A legördülő listában válassza az Adott bejegyzések elemet, és kattintson a Hozzáadás elemre a kézi beíráshoz, illetve egy beállításkulcs választásához kattinthat a Beállításszerkesztő megnyitása elemre is. A legördülő listában választhatja a Az összes bejegyzés elemet is az összes alkalmazás hozzáadásához.
A HIPS által előre létrehozott speciális szabályok egyes műveletei alapértelmezés szerint engedélyezettek, és nem tilthatók le. Emellett a HIPS nem figyel minden rendszerműveletet. A HIPS azokat figyeli, amelyek nem biztonságosak. |
Az alábbi szakaszok a fontosabb műveleteket ismertetik.
Fájlműveletek
•Fájl törlése – Az alkalmazás engedélyt kér a célfájlok törléséhez.
•Írás fájlba – Az alkalmazás engedélyt kér a célfájlok írásához.
•Közvetlen hozzáférés lemezhez – Az alkalmazás a Windows szokásos eljárásainak megkerülésével, nem normál módon próbálja meg olvasni vagy írni a lemezt. Ilyenkor nem alkalmazhatók a megfelelő szabályok, és ellenőrizetlenül módosulnak a fájlok. Ilyen műveleteket az észlelést kerülni próbáló kártevők, a lemezekről pontos másolatot készítő biztonsági mentési szoftverek, illetve a lemezkötetek átszervezését végző partíciókezelő szoftverek is végrehajthatnak.
•Globális beavatkozási rutin telepítése – Az MSDN-könyvtár SetWindowsHookEx függvényének hívása.
•Illesztőprogram betöltése – Illesztőprogramok betöltése és telepítése a rendszerben.
Alkalmazásműveletek
•Másik alkalmazás hibakeresése – Hibakereső csatlakoztatása a folyamathoz. Hibakeresés közben megfigyelhető és módosítható a tanulmányozott alkalmazás viselkedése, továbbá elérhetők az adatai is.
•Események elfogása másik alkalmazásból – A forrásalkalmazás megpróbálja elfogni a célalkalmazásnak szóló eseményeket (például egy keylogger így kaphatja el a böngésző eseményeit).
•Másik alkalmazás megszakítása/felfüggesztése – Egy folyamat felfüggesztése, folytatása vagy befejezése (közvetlenül a folyamattallózóból vagy a Folyamatok lapról érhető el).
•Új alkalmazás indítása – Új alkalmazások vagy folyamatok indítása.
•Másik alkalmazás állapotának módosítása – A forrásalkalmazás megpróbál írni a célalkalmazás memóriájába, vagy a célalkalmazás nevében kísérel meg programkódot futtatni. Ez a műveletvédelmi beállítás az alapvető fontosságú alkalmazások védelmében használható különösen jól. Ehhez az alkalmazást célalkalmazásként kell beállítania egy szabályban, mely letiltja ezt a műveletet.
Beállításjegyzék-műveletek
•Indítási beállítások módosítása – A Windows indításakor futtatandó alkalmazásokkal kapcsolatos beállítások módosítása. A beállítások egy részét megtalálja, ha a Run kulcsra keres a Windows beállításjegyzékében.
•Törlés a beállításjegyzékből – Beállításkulcs vagy beállításazonosító törlése.
•Beállításkulcs átnevezése – A beállításkulcsok átnevezése.
•Beállításjegyzék módosítása – Új beállításazonosítók létrehozása a beállításkulcsokban, a beállításazonosítók módosítása, adatok áthelyezése a beállításjegyzék fájában, illetve felhasználói vagy csoportos jogosultságok beállítása beállításkulcsokra.
A célok megadásakor bizonyos korlátozásokkal, de használhat helyettesítő karaktereket is. A kulcsok pontos neve helyett a * karaktert is megadhatja, ami a beállításkulcs elérési útjában tetszőleges kulcsot jelent. Például a HKEY_USERS\*\software kulcs magában foglalja a HKEY_USER\.default\software kulcsot, de a HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software kulcsot nem. A HKEY_LOCAL_MACHINE\system\ControlSet* nem érvényes beállításkulcs. A \* rekurzív megadást tesz lehetővé, azaz magában foglalja a megadott elérési utat, illetve mindazon elérési utakat, melyeknek része a \* előtti elérési út. Célfájloknál csak így használható helyettesítő karakter. A program előbb a megadott elérési utat értékeli ki, majd a helyettesítő karakter (*) utáni elérési utakat. |
Ha nagyon általános szabályt hoz létre, a program figyelmeztetést jelenít meg erről a szabálytípusról. |
Az alábbi példa egy adott alkalmazás nem kívánt működésének korlátozási módját szemlélteti:
1.Nevezze el a szabályt, és válassza ki a Tiltás elemet (vagy a Rákérdezés elemet, ha később szeretné kiválasztani) a Művelet legördülő listában.
2.Engedélyezze a Felhasználó értesítése szöveg melletti kapcsolót, ha a szabályok alkalmazásakor értesítést szeretne megjeleníteni.
3.Válasszon ki legalább egy műveletet a Műveletek által érintett csoportban a szabályhoz.
4.Kattintson a Továbbgombra.
5.A Forrásalkalmazások ablak legördülő listájában válassza Adott alkalmazások elemet, ha azt szeretné, hogy az új szabály minden alkalmazásra vonatkozzon, amelyik megkísérli végrehajtani a kijelölt műveletek valamelyikét a megadott alkalmazásokon.
6.A Hozzáadás, majd a ... elemre kattintva válassza ki az adott alkalmazáshoz vezető útvonalat, és ezután nyomja meg az OK gombot. Ha szeretne, adjon meg további alkalmazásokat.
Példa: C:\Program Files (x86)\Untrusted application\application.exe
7.Válassza ki az Írás fájlba műveletet.
8.Válassza ki az Összes fájl menüpontot a legördülő menüben. Ezzel megakadályozza, hogy az előző lépésben kiválasztott alkalmazások írni tudjanak bármelyik fájlba.
9.A Befejezés gombra kattintva mentse az új szabályt.