|
Ім’я правила – визначене користувачем або автоматично вибране ім’я правила.
Дія – визначає дію (Дозволити, Заблокувати або Запитувати), яка виконуватиметься за відповідних умов.
Охоплені операції – потрібно вибрати тип операції, для якої застосовуватиметься правило. Правило використовуватиметься лише для цього типу операцій і для вибраної цілі.
Увімкнуто – вимкніть цей перемикач, якщо потрібно тільки зберегти правило у списку, а не застосовувати.
Журнал – якщо ввімкнути цю опцію, інформація про таке правило записуватиметься в журнал HIPS.
Сповістити користувача – у разі ініціації події в правому нижньому куті відображається невелике спливаюче вікно.
Правило складається з частин, що описують умови, які його ініціюють.
Програми-джерела – правило використовуватиметься, лише якщо подію ініціюють ці програми. У розкривному меню виберіть Окремі програми й натисніть Додати, щоб додати нові файли. Також можна вибрати Усі програми, щоб додати всі програми.
Файли – правило використовуватиметься лише в тому випадку, якщо операція пов’язана з таким цільовим об’єктом. У розкривному меню виберіть Окремі файли й натисніть Додати, щоб додати нові файли чи папки, або виберіть Усі файли, щоб додати всі програми.
Програми – правило використовуватиметься лише в тому випадку, якщо операція пов’язана з таким цільовим об’єктом. У розкривному меню виберіть Окремі програми й натисніть Додати, щоб додати нові файли чи папки, або виберіть Усі програми, щоб додати всі програми.
Записи реєстру – правило використовуватиметься, лише якщо операція пов’язана з таким цільовим об’єктом. У розкривному меню виберіть Окремі записи й натисніть Додати, щоб ввести вручну, або натисніть Відкрити редактор реєстру, щоб вибрати ключ із реєстру. Ви також можете вибрати в розкривному меню елемент Усі записи, щоб додати всі програми.
ПРИМІТКА. Деякі операції за певними правилами, визначені заздалегідь системою HIPS, не можна заблокувати, і їх дозволено за замовчуванням. Окрім того, не всі системні операції контролюються HIPS. HIPS відстежує лише ті операції, які можуть вважатися небезпечними.
Опис важливих операцій
Операції з файлами
| • | Видалити файл – програма відображає запит про надання дозволу на видалення цільового файлу. |
| • | Виконати запис до файлу – програма відображає запит про надання дозволу на запис до цільового файлу. |
| • | Безпосередній доступ до диска – програма намагається розпочати читання з диска або запис на нього нестандартним способом, який дає змогу обійти звичайні процедури Windows. Це може призвести до зміни файлів без застосування відповідних процедур. Таку операцію може виконувати шкідливе ПЗ, яке намагається уникнути виявлення, програма резервного копіювання, що робить спробу створити точну копію диска, або менеджер розділів, який намагається повторно впорядкувати томи диска. |
| • | Установити глобальне перехоплення – передбачає виклик функції SetWindowsHookEx із бібліотеки MSDN. |
| • | Завантажити драйвер – інсталяція та завантаження в системі драйверів. |
Операції з програмами
| • | Налагодити іншу програму – приєднання засобу налагодження до процесу. Під час виправлення неполадок у роботі іншої програми багато відомостей про її поведінку можна переглядати й коригувати. Також можна отримати доступ до даних цієї програми. |
| • | Зупиняти події від іншої програми – програма-джерело намагається перехопити події, пов’язані з певною програмою (наприклад, клавіатурний шпигун робить спробу перехопити події, пов’язані з браузером). |
| • | Припинити/призупинити роботу іншої програми – призупинення, відновлення або припинення процесу (доступ можна отримати безпосередньо з диспетчера процесів або вкладки "Процеси"). |
| • | Запустити нову програму – запуск нових програм або процесів. |
| • | Змінити стан іншої програми – програма-джерело намагається здійснити запис у пам’яті цільової програми або виконати певний код від її імені. Ця функція може бути корисною для захисту важливої програми. Для цього її потрібно визначити як цільову у правилі, яке блокує використання такої операції. |
ПРИМІТКА. Не можна зупинити виконання процесу на 64-розрядній версії Windows XP.
Операції з реєстром
| • | Змінити параметри запуску – будь-які зміни в налаштуваннях, що визначають, які програми запускатимуться під час завантаження Windows. Їх можна знайти, наприклад, здійснивши пошук за назвою розділу Run у реєстрі Windows. |
| • | Видалити з реєстру – видалення розділу або його значення. |
| • | Перейменувати розділ реєстру – перейменування розділів реєстру. |
| • | Внести зміни до реєстру – створення нових значень розділів реєстру, зміна наявних значень, переміщення даних у дереві бази даних або налаштування прав доступу до розділів реєстру для користувачів і груп. |
ПРИМІТКА. Під час введення цілі можна користуватися символами узагальнення (з певними обмеженнями). Замість назви конкретного розділу у шляху реєстру можна ввести символ * (астериск). Наприклад, HKEY_USERS\*\software може означати HKEY_USER\.default\software, але не може означати HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* – не дійсний шлях до розділу реєстру. Шлях до розділу реєстру, який містить \*, означає "цей шлях або будь-який шлях на будь-якому рівні після цього символу". Символи узагальнення для цільових файлів можна використовувати лише таким чином. Спершу перевіряється визначена частина шляху, а потім шлях після символу узагальнення (*).
 Якщо створити дуже загальне правило, відобразиться відповідне попередження.
На наведеному нижче прикладі ми продемонструємо, як обмежити небажану поведінку програм.
| 1. | Призначте ім’я правилу та виберіть Заблокувати в розкривному меню Дія. |
| 2. | Увімкніть перемикач Сповістити користувача, щоб відображати сповіщення щоразу, коли застосовується правило. |
| 3. | Виберіть принаймні одну операцію, до якої необхідно застосувати правило. У розкривному меню вікна Програми-джерела виберіть Усі програми, щоб застосувати нове правило до всіх програм, які намагаються виконати будь-яку з вибраних операцій з указаними програмами. |
| 4. | Виберіть Змінити стан іншої програми. |
| 5. | У розкривному меню виберіть елемент Окремі програми й за допомогою опції Додати вкажіть одну або кілька програм, які потрібно захистити. |
| 6. | Натисніть кнопку Готово, щоб зберегти нове правило. |
|
