|
Имя: пользовательское или автоматически
выбранное имя правила.
Действие: правило задает действие (Разрешить, Блокировать или
Запросить), которое должно быть выполнено
при соблюдении условий.
Правило
активировано: установите
этот флажок, если следует оставить правило в списке, но при этом не
использовать его.
Журнал: если установить этот флажок, информация о
данном правиле будет регистрироваться в журнале системы предотвращения вторжений на
узел.
Уведомить
пользователя: при запуске
события в правом нижнем углу экрана будет выведено небольшое
всплывающее окно.
Правило состоит из трех частей, которые описывают условия,
запускающие его.
|
·
|
Исходные
приложения: правило будет
использоваться только в том случае, если событие вызывается данным
приложением или приложениями. Нажмите кнопку Добавить... для добавления
новых файлов или папок. |
|
·
|
Операции: правило будет
использоваться только для этого типа операций и выбранного
объекта. Установите флажки, чтобы
выбрать операции, или воспользуйтесь параметром Использовать для всех операций. |
|
·
|
Конечные
файлы/приложения/реестр: это правило будет использоваться,
только если операция относится к данному объекту. |
ПРИМЕЧАНИЕ. Некоторые операции
определенных правил, предварительно заданных системой
предотвращения вторжений на узел, невозможно заблокировать, они
разрешены по умолчанию. Кроме того, не все системные операции
отслеживаются системой предотвращения вторжений на узел. Система
предотвращения вторжений на узел отслеживает операции, которые
могут рассматриваться как небезопасные.
В следующем примере будет показано, как ограничить
нежелательное поведение приложений.
| 1.
|
Присвойте
правилу имя и выберите Блокировать
в раскрывающемся меню
Действие. |
| 2.
|
Откройте
вкладку Конечные
приложения. Оставьте
вкладку Исходные приложения
пустой, чтобы новое правило применялось
ко всем приложениям, которые пытаются выполнить любую операцию из
выбранных в списке Операции
с приложениями из списка
Над этими приложениями. |
| 3.
|
Выберите
Изменить состояние другого
приложения. |
| 4.
|
Добавьте
одно или несколько приложений, которые
следует защищать. |
| 5.
|
Установите
флажок Уведомить
пользователя, чтобы уведомление
отображалось при каждом применении правила. |
| 6.
|
Для сохранения нового правила нажмите
кнопку ОК. |
ПРИМЕЧАНИЕ. В 64-разрядных версиях
Windows XP невозможно перехватывать операции процессов.
Описание важных операций
Конечные файлы
|
·
|
Удалить
файл: приложение запрашивает
разрешение на удаление целевого файла.
|
|
·
|
Выполнить запись в
файл: приложение запрашивает
разрешение на запись в целевой файл.
|
|
·
|
Непосредственный доступ
к диску: приложение пытается
выполнить чтение с диска или запись на диск нестандартным образом,
в обход стандартных алгоритмов Windows. Это может привести к
изменению файлов без применения соответствующих правил. Эта
операция может быть вызвана вредоносной программой, пытающейся
избежать обнаружения, программным обеспечением резервного
копирования, которое пытается создать точную копию диска, или
диспетчером разделов, пытающимся реорганизовать тома диска.
|
|
·
|
Установить глобальную
ловушку: вызов функции
SetWindowsHookEx из библиотеки MSDN. |
|
·
|
Загрузить
драйвер: установка и
загрузка драйверов в системе. |
Целевые приложения
|
·
|
Отладка другого
приложения: прикрепление
отладчика к процессу. При отладке какого-либо приложения можно
просмотреть и изменить многие сведения о его поведении и получить
доступ к его данным.
|
|
·
|
Перехватывать события
другого приложения: исходное
приложение пытается захватить события, направленные на целевое
приложение (например, клавиатурный шпион, пытающийся захватить
события браузера).
|
|
·
|
Завершить/приостановить
работу другого приложения:
приостановка, возобновление или завершение процесса (можно получить
доступ непосредственно из обозревателя процессов или панели
«Процессы»).
|
|
·
|
Запустить новое
приложение: запуск новых
приложений или процессов.
|
|
·
|
Изменить состояние
другого приложения: исходное
приложение пытается осуществить запись в память целевого приложения
или выполнить код от его имени. Эта функциональность может быть
полезна для защиты имеющего высокое значение приложения путем
конфигурирования его в качестве целевого приложения в правиле,
блокирующем использование данной операции.
|
Конечный реестр
|
·
|
Изменить параметры
запуска: любые изменения
параметров, которые определяют, какие приложения будут выполнены
при запуске ОС Windows. Их можно найти, например, выполнив поиск
раздела Run в реестре Windows. |
|
·
|
Удалить из
реестра: удаление раздела реестра
или его значения.
|
|
·
|
Переименовать раздел
реестра: переименование разделов
реестра.
|
|
·
|
Изменить реестр:
создание новых значений разделов реестра, изменение существующих
значений, перемещение данных в древовидной структуре базы данных
или настройка прав пользователя или группы для разделов
реестра. |
Если какая-либо часть из данных источника или
объекта оставлена пустой, это автоматически значит «для всех»
(правило задается для всех исходных приложений, для всех операций и
т. д.).
ПРИМЕЧАНИЕ. При вводе объекта можно
использовать подстановочные знаки с определенными ограничениями.
Вместо конкретного раздела в пути реестра можно использовать символ
звездочки («*»). Например, HKEY_USERS\*\software может означать HKEY_USER\.default\software, но не HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software.
HKEY_LOCAL_MACHINE\system\ControlSet*
не является допустимым путем раздела реестра. Путь, в котором
содержится сочетание символов «\*», означает «этот путь или любой
путь на любом уровне после этого символа». Это единственный способ,
которым можно использовать подстановочные знаки, для объектов
файлов. Сначала оценивается точный путь, а затем путь после
подстановочного знака («*»).
|
