idh_hips_editor_single_rule.html

Изменение правила системы предотвращения вторжений на узел

Имя правила: указанное пользователем или автоматически выбранное имя правила.

Действие: задает действие (Разрешить, Блокировать или Запросить), которое должно быть выполнено при соблюдении условий.

Операции влияния: необходимо выбрать тип операций, к которым должно применяться правило. Правило будет использоваться только для операций данного типа и для выбранного объекта.

Включено: отключите этот параметр, если правило следует оставить в списке, но при этом не использовать.

Журнал: если включить этот параметр, информация о данном правиле будет записываться в журнал HIPS.

Уведомить пользователя: при запуске события в правом нижнем углу экрана будет выведено небольшое всплывающее окно.

В состав правила входят части, в которых описываются условия его выполнения.

Исходные приложения: правило будет использоваться только в том случае, если событие инициируется указанными приложениями. Выберите в раскрывающемся списке пункт Определенные приложения и нажмите кнопкуДобавить, чтобы добавить новые файлы, или же выберите пункт Все приложения, чтобы добавить все приложения.

Файлы: это правило будет использоваться, только если операция относится к данному объекту. Выберите в раскрывающемся списке пункт Определенные файлы и нажмите кнопкуДобавить, чтобы добавить новые файлы или папки, или же выберите пункт Все файлы, чтобы добавить все приложения.

Приложения: это правило будет использоваться, только если операция относится к данному объекту. Выберите в раскрывающемся списке пункт Определенные приложения и нажмите кнопкуДобавить чтобы добавить новые папки, или же выберите пункт Все приложения, чтобы добавить все приложения.

Записи реестра: это правило будет использоваться, только если операция относится к данному объекту. Выберите в раскрывающемся списке пункт Определенные записи и нажмите кнопкуДобавить для ввода вручную или кнопку Открыть редактор реестра для выбора параметра в реестре. Можно также выбрать в раскрывающемся списке пункт Все записи, чтобы добавить все приложения.

ПРИМЕЧАНИЕ. Некоторые операции определенных правил, предварительно заданных системой предотвращения вторжений на узел, невозможно заблокировать, они разрешены по умолчанию. Кроме того, не все системные операции отслеживаются системой предотвращения вторжений на узел. Система HIPS отслеживает операции, которые могут считаться небезопасными.

Описание важных операций

Операции с файлами

Удалить файл: приложение запрашивает разрешение на удаление целевого файла.
Выполнить запись в файл: приложение запрашивает разрешение на запись в целевой файл.
Непосредственный доступ к диску: приложение пытается выполнить чтение с диска или запись на диск нетипичным образом, в обход стандартных алгоритмов Windows. Это может привести к изменению файлов без применения соответствующих правил. Такая операция может выполняться вредоносной программой, пытающейся избежать обнаружения, или же программным обеспечением для резервного копирования, которое пытается создать точную копию диска, либо диспетчером разделов, пытающимся реорганизовать тома диска.
Установить глобальную ловушку: вызов функции SetWindowsHookEx из библиотеки MSDN.
Загрузить драйвер: установка и загрузка драйверов в системе.

Операции приложения

Отладка другого приложения: прикрепление отладчика к процессу. При отладке какого-либо приложения можно просмотреть и изменить многие сведения о его поведении и получить доступ к его данным.
Перехватывать события другого приложения: исходное приложение пытается перехватить события, адресованные другому приложению (например, клавиатурный шпион, пытающийся записать события браузера).
Завершить/приостановить работу другого приложения: приостановка, возобновление или завершение процесса (можно получить доступ непосредственно из обозревателя процессов или панели «Процессы»).
Запустить новое приложение: запуск новых приложений или процессов.
Изменить состояние другого приложения: исходное приложение пытается осуществить запись в память целевого приложения или выполнить код от его имени. Эта функциональность может быть полезна для защиты имеющего высокое значение приложения путем конфигурирования его в качестве целевого приложения в правиле, блокирующем использование данной операции.

ПРИМЕЧАНИЕ. В 64-разрядных версиях Windows XP невозможно перехватывать операции процессов.

Операции с реестром

Изменить параметры запуска: любые изменения параметров, определяющих, какие приложения будут запускаться при запуске ОС Windows. Их можно найти, например, выполнив поиск раздела Run в реестре Windows.
Удалить из реестра: удаление раздела реестра или его значения.
Переименовать раздел реестра: переименование разделов реестра.
Изменить реестр: создание новых значений разделов реестра, изменение существующих значений, перемещение данных в древовидной структуре базы данных или настройка прав пользователя или группы для разделов реестра.

ПРИМЕЧАНИЕ. При вводе объекта можно использовать подстановочные знаки с определенными ограничениями. Вместо конкретного раздела в пути реестра можно использовать символ звездочки («*»). Например, HKEY_USERS\*\software может означать HKEY_USER\.default\software, но не HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* не является допустимым путем раздела реестра. Путь, в котором содержится сочетание символов «\*», означает «этот путь или любой путь на любом уровне после этого символа». Это единственный способ, которым можно использовать подстановочные знаки, для объектов файлов. Сначала оценивается точный путь, а затем путь после подстановочного знака («*»).

MONITOR_RED Если созданное правило будет слишком общим, появится соответствующее предупреждение.

В следующем примере будет показано, как ограничить нежелательное поведение приложений.

1.Присвойте правилу имя и выберите Блокировать в раскрывающемся меню Действие.
2.Активируйте переключатель Уведомить пользователя, чтобы уведомление отображалось при каждом применении правила.
3.Выберите хотя бы одну операцию, к которой будет применяться правило. В окне Исходные приложения выберите в раскрывающемся списке вариант Все приложения. Новое правило будет применяться ко всем приложениям, которые будут пытаться выполнить любое из выбранных действий по отношению к указанным приложениям.
4.Выберите Изменить состояние другого приложения.
5.Выберите в раскрывающемся списке вариант Определенные приложения и добавьте одно или несколько приложений, которые нужно защитить.
6.Нажмите кнопку Готово, чтобы сохранить новое правило.

CONFIG_HIPS_RULES_EXAMPLE


Все страницы справочникаНа главную