რა არის HIPS? საუკეთესო ექსპერტი HIPS (პროაქტიული დაცვა)

Ზოგადი ინფორმაცია

როდესაც კომპონენტი HIPSჩართულია, პროგრამის აქტივობა შეზღუდულია წესების შესაბამისად. სიტუაციები, რომლებზეც წესი არ არის მითითებული, წყდება HIPS რეჟიმის, პროგრამის რეიტინგისა და სხვა პირობების მიხედვით.

როგორც წესი, უსაფრთხო რეჟიმი საშუალებას აძლევს სანდო პროგრამებს განახორციელონ ნებისმიერი აქტივობა, რომელიც არ არის აკრძალული წესებით, გარდა დაუდგენელი ფაილების გაშვებისა. დაუდგენელი პროგრამების გაშვება, ისევე როგორც ამ პროგრამების ნებისმიერი ქმედება, აღკვეთილია გაფრთხილებით.

პარანოიდული რეჟიმი აჩერებს გაფრთხილებით ნებისმიერი პროგრამის ნებისმიერ აქტივობას, რომელიც არ არის გათვალისწინებული წესებით.

ტრენინგის რეჟიმში, ნებისმიერი პროგრამის ნებისმიერი აქტივობა, რომელიც არ არის გათვალისწინებული წესებით, ავტომატურად შექმნის ახალ დაშვების წესებს.

წესები წარმოდგენილია ჩანართზე HIPS → HIPS წესებიროგორც სია აპლიკაციებიდა მის მიერ დანიშნული წესების ნაკრები.

აპლიკაციები შეიძლება იყოს ზუსტი ბილიკები ფაილებისკენ, ბილიკის შაბლონები * და? , ისევე როგორც ფაილების ჯგუფები. ბილიკებში და მათ შაბლონებში შეგიძლიათ გამოიყენოთ . ფაილური ჯგუფები არის ბილიკების ან შაბლონების კოლექცია, ისინი კონფიგურირებულია ჩანართზე ფაილის რეიტინგი → ფაილების ჯგუფები. ხაზგასმით მინდა აღვნიშნო, რომ HIPS-ის წესებში აპლიკაციები იდენტიფიცირებულია მხოლოდ მათი გზებით და არა ჰეშებით და ა.შ.

აპლიკაციისთვის მინიჭებული წესების ნაკრები შედგება ორი ჩანართისგან: „წვდომის უფლებები“ და „უსაფრთხოების პარამეტრები“. პირველი ადგენს თავად აპლიკაციის უფლებებს, მეორე კი პირიქით, იცავს მას სხვა პროგრამებისგან. აპლიკაციას შეიძლება ჰქონდეს ან საკუთარი წესების ნაკრები, ან რომელიმე წინასწარ გენერირებული კომპლექტი: ისინი კონფიგურირებულია ჩანართზე HIPS → წესების ნაკრები.

წესების წინასწარ განსაზღვრული ნაკრები „Windows System Application“ იძლევა ნებისმიერ აქტივობას, ნაკრები „Allowed Application“ იძლევა ნებისმიერ აქტივობას, მაგრამ არ არეგულირებს ბავშვის პროცესების დაწყებას; კომპლექტი „იზოლირებული აპლიკაცია“ მკაცრად კრძალავს ნებისმიერ საქმიანობას; შეზღუდული აპლიკაციების ნაკრები კრძალავს თითქმის ყველაფერს, გარდა ფანჯრის შეტყობინებებისა და მონიტორის წვდომისა, და არ არეგულირებს ბავშვის პროცესების დაწყებას. თქვენ შეგიძლიათ არა მხოლოდ შექმნათ თქვენი საკუთარი ნაკრები, არამედ შეცვალოთ წინასწარ დაყენებული.

CIS 10.0.1.6223 მდგომარეობით, HIPS "იზოლირებული აპლიკაციის" წესები ეწოდა "განაცხადს, რომელიც მუშაობს კონტეინერში". ჩემი აზრით, ეს არის სახელის „შემცველი აპლიკაციის“ არასწორი თარგმანი, რადგან სინამდვილეში HIPS-ის წესებს საერთო არაფერი აქვს კონტეინერთან (ვირტუალურ გარემოსთან). დაბნეულობის თავიდან აცილების მიზნით, გირჩევთ ამ კომპლექტს დაარქვათ "იზოლირებული აპლიკაცია" და სტატიაში მას ასე დაერქმევა.

განსაკუთრებული შემთხვევაა „ინსტალაცია ან განახლება“ წესების ნაკრები, რომელიც იძლევა აპლიკაციებს. ასეთი პრივილეგიების მქონე პროგრამები თავისუფლად ასრულებენ ნებისმიერ მოქმედებას (გარდა წესებით პირდაპირ აკრძალულისა), მათ შორის. გაუშვით ნებისმიერი პროგრამა და მათი შვილობილი პროცესები ასევე იღებენ ინსტალერის პრივილეგიებს. ასეთი პროგრამების მიერ შექმნილი შესრულებადი ფაილები ავტომატურად არის სანდო.

COMODO Internet Security-ის სხვადასხვა საწყისი კონფიგურაცია განსხვავდება როგორც წესების საწყისი ნაკრებით, ასევე პროგრამის აქტივობების კონტროლირებადი დიაპაზონით. HIPS-ის ყველაზე სრულყოფილი დაცვისთვის, თავდაპირველად უნდა აირჩიოთ კონფიგურაცია პროაქტიული უსაფრთხოებადა იქიდან განახორციელეთ შემდგომი კონფიგურაცია.

სხვადასხვა რესურსებზე პროგრამის წვდომის შეზღუდვისას, HIPS ეყრდნობა განყოფილების მონაცემებს HIPS → დაცული ობიექტები. მაგალითად, ფაილი ან დირექტორია შეიძლება იყოს დაცული მოდიფიკაციისგან მხოლოდ იმ შემთხვევაში, თუ მისი სრული სახელი ემთხვევა დაცული ფაილების ჩანართის რომელიმე შაბლონს. ასე რომ, თუ გსურთ ხელი შეუშალოთ რომელიმე პროგრამას D: დისკზე ფაილების შეცვლაში (მიუხედავად მათი ტიპისა), ჯერ ეს დისკი უნდა დაამატოთ დაცული სიაში.

შემდეგ, კონკრეტული წესების შექმნისას, შეგიძლიათ შეცვალოთ წვდომის შეზღუდვები გარკვეულ დაცულ ობიექტებზე "გამონაკლისების" სვეტში "რედაქტირების" დაწკაპუნებით.

ყველაზე სასურველია HIPS-ის გამოყენება Უსაფრთხო რეჟიმი ვარიანტის გამორთვით შექმენით წესები უსაფრთხო აპლიკაციებისთვის, ან შიგნით პარანოიდი. შემდეგ პროგრამის რესურსზე წვდომის დადგენის პროცედურა იქნება შემდეგი:

როგორც ვხედავთ, HIPS-ში მოქმედება „Ask“ გამოხატავს წესის არარსებობას (განსხვავებით firewall-ისგან, სადაც ის ავალებს გაფრთხილების ჩვენებას).

ამრიგად, მოცემული პროგრამისთვის შესაფერისი უმაღლეს წესის „დაშვებული“ ჩანართს აქვს უმაღლესი პრიორიტეტი; შემდეგ - ჩანართი "დაბლოკილი"; შემდეგ - ამ წესით განსაზღვრული ქმედება, თუ ის ცალსახაა; შემდეგ - შემდეგი წესის "ნებადართული" ჩანართი და ა.შ. აშკარა წესის არარსებობის შემთხვევაში, წვდომა ნებადართულია, თუ (i) მოქმედებს ინსტალერის პრივილეგიები, ან (ii) პროგრამა არის "სანდო" და HIPS რეჟიმი არის "უსაფრთხო", ან (iii) "არ მაჩვენო გაფრთხილებები. : მოთხოვნების დაშვება" ოფცია მონიშნულია. როდესაც არცერთი ეს პირობა არ არის დაკმაყოფილებული, წვდომა იბლოკება, თუ მონიშნულია „გაფრთხილებების არ ჩვენება: მოთხოვნების დაბლოკვა“ ან გაფრთხილება გაიცემა, თუ ეს პარამეტრი გამორთულია.

განსაკუთრებული შემთხვევა: თუ პროგრამა მუშაობს ვირტუალურ გარემოში და/ან ავტომატური შეკავების შეზღუდვით, მაშინ წესის არარსებობის შემთხვევაში მას მიენიჭება ნებართვა (როგორც ოფცია „არ მაჩვენო გაფრთხილებები: მოთხოვნის დაშვება“). გარდა ამისა, ვირტუალურ გარემოში საერთოდ არ არის ფაილების ან რეესტრის დაცვა, თუნდაც აშკარად დაწესებული შეზღუდვებით.

პროგრამის უფლებების მართვა შეტყობინებების მეშვეობით

HIPS გაფრთხილებებზე რეაგირებისას, აპლიკაციებს ენიჭებათ წესები, დროებით ან სამუდამოდ, რაც დამოკიდებულია "დაიმახსოვრე ჩემი არჩევანი".

მნიშვნელოვანი პუნქტი: წესები ენიჭება აპლიკაციას, რომელიც ჩამოთვლილია განგაშის მარცხენა მხარეს. მაგალითად, თუ გკითხავთ Explorer-ის მიერ უცნობი პროგრამის გაშვების შესახებ, მაშინ წესები სპეციალურად მიენიჭება Explorer-ს. დამწყებთათვის ტიპიური შეცდომები: ასეთ გაფრთხილებაში აირჩიეთ „დაბლოკვა და შესრულების შეწყვეტა“ (რითაც კლავს Explorer პროცესს), ან „იზოლირებული აპლიკაცია“ (მკაცრად ზღუდავს Explorer-ის უფლებებს) ან „ინსტალაცია ან განახლება“ (ამით. კარგავს თითქმის ყველა დაცვას). როგორც წესი, ყველაზე ჭკვიანური არჩევანი პროგრამის გაშვების გაფრთხილებაში არის „ნება“ ან „მხოლოდ დაბლოკვა“.

სხვადასხვა HIPS გაფრთხილებებში "დაშვება" ან "მხოლოდ დაბლოკვა" ოფციები ნიშნავს მხოლოდ კონკრეტული რესურსის დაშვებას ან უარყოფას. მაგალითად, თუ ნებას რთავთ აპლიკაციას შექმნას ფაილი C:\test\A.exe, მაშინ ფაილის C:\test\B.exe შექმნის მცდელობა კვლავ გამოიწვევს გაფრთხილებას. იმისათვის, რომ აპლიკაციამ შექმნას ნებისმიერი ფაილი C:\test დირექტორიაში, თქვენ მოგიწევთ წესის რედაქტირება CIS პარამეტრების ფანჯრის მეშვეობით. სამწუხაროდ, გაფრთხილებები არ იძლევა ნებართვებს დირექტორიების, შაბლონების, ჯგუფებისთვის და ა.შ. თუმცა, გაფრთხილების საშუალებით, შეგიძლიათ აპლიკაციას მიმართოთ ჩანართზე ადრე შექმნილი წესების ნებისმიერი ნაკრები HIPS → წესების ნაკრები.

თუ გაფრთხილებაზე რეაგირებისას ჩართავთ ოფციას „დაიმახსოვრე ჩემი არჩევანი“, შეიცვლება მითითებულ აპლიკაციაზე მინიჭებული წესების ნაკრები; თუ არ არსებობს HIPS წესი ამ აპლიკაციისთვის, ის შეიქმნება სიის ზედა ნაწილში. ვარიანტის არჩევისას დაშვებაან მხოლოდ დაბლოკვანებართვა ან აკრძალვა დაემატება წესებს ზუსტად კონკრეტული რესურსისთვის (ფაილი, COM ინტერფეისი და ა.შ.). ნებისმიერის არჩევისას წესების ნაკრებიძველს ახალი წესები კი არ დაემატება, არამედ მთლიანად ჩაანაცვლებს, ე.ი. ამ აპლიკაციაზე ადრე მინიჭებული წესები აღარ იქნება გამოყენებული.

თუ გაფრთხილებისას გამორთავთ „დაიმახსოვრე ჩემი არჩევანი“ ოფციას, აპლიკაციისთვის მინიჭებული ნებისმიერი ნებართვა, შეზღუდვა ან წესების ნაკრები იწურება აპლიკაციის შეწყვეტისას ან უფრო ადრე და დსთ-ის კონფიგურაციაში ცვლილებები არ მოხდება. ამ დროებითი წესების მუშაობის ლოგიკის გასაგებად, მოსახერხებელია წარმოვიდგინოთ, რომ ყოველ ჯერზე, როდესაც გაფრთხილებას პასუხობენ (გახსენების გარეშე), წარმოსახვითი ჩანაწერი იქმნება HIPS წესების სიაში. ყველა "წარმოსახვითი" ჩანაწერი მოთავსებულია წესების სიაში "რეალური" ჩანაწერების ქვემოთ, მაგრამ ახალი "წარმოსახვითი" ჩანაწერები განთავსებულია სხვა "წარმოსახვითი" ჩანაწერების ზემოთ. ეს ნიშნავს, რომ ერთსა და იმავე აპლიკაციას შეიძლება მიენიჭოს სხვადასხვა წესების ნაკრები გაფრთხილების მეშვეობით რამდენჯერმე (დამახსოვრების გარეშე) და ყველა ეს წესი ძალაში იქნება. ამ შემთხვევაში „რეალურ“ წესებს მიენიჭება უმაღლესი პრიორიტეტი, შემდეგ „წარმოსახვითი“ უახლესს, შემდეგ უფრო ადრინდელს და ა.შ. მაგრამ როგორც კი რაიმე "რეალური" წესი (დამახსოვრებით) შეიქმნება, ყველა "წარმოსახვითი" წესი ყველა განაცხადისთვის განადგურდება.

მაგალითად, პროგრამის შესახებ შეტყობინების მიღების შემდეგ, ჩვენ მას მივანიჭებთ წესების "იზოლირებული აპლიკაციის" კომპლექტს, მისი დამახსოვრების გარეშე. ნაგულისხმევად, ყველა აპლიკაციის ჯგუფს უფლება აქვს შეცვალოს დროებითი ფაილები, ამიტომ ეს პროგრამა მაინც შეძლებს ამის გაკეთებას, მიუხედავად იმისა, რომ იზოლირებული აპების ნაკრები ხელს უშლის ამას. თუ წესების ამ კომპლექტს დამახსოვრებას მიაკუთვნებთ, დროებითი ფაილების შეცვლა აიკრძალება, რადგან სიის ზედა ნაწილში შეიქმნება ახალი HIPS წესი.

არსებობს რამდენიმე გამონაკლისი აღწერილი პროცედურისგან, როდესაც "დაიმახსოვრე ჩემი არჩევანი" ოფცია გამორთულია. პირველი, ის არ ქმნის "წარმოსახვითი" აპის ნებართვებს (ანუ, იგივე აპის ხელახლა გაშვება კვლავ გამოიწვევს გაფრთხილებას). მეორეც, თუ პროგრამას ეძლევა სიგნალის საშუალებით „შეცვალოს სხვა აპლიკაციის მომხმარებლის ინტერფეისი“, მაშინ ის დროებით შეძლებს ფანჯრის შეტყობინებების გაგზავნას ნებისმიერ აპლიკაციაზე და არა მხოლოდ მითითებულზე.

პროგრამის გაშვების კონტროლი

ნებისმიერი პროგრამის გაშვების შესაძლებლობა HIPS-ში მითითებულია წესით გაშვებაპროგრამა, არა იმ პროგრამისთვის, რომელიც ამოქმედდა. „პარანოიდულ რეჟიმში“, პროგრამებს ჩუმად გაშვება ეძლევათ მხოლოდ იმ შემთხვევაში, თუ არსებობს აშკარა ნებართვა წესებში. „უსაფრთხო რეჟიმში“, წესის არარსებობის შემთხვევაში, ჩართვა ნებადართულია, თუ როგორც გაშვების, ისე გაშვებული პროგრამის სანდოა. გამონაკლისს წარმოადგენს პროგრამების შესრულება ინსტალატორის პრივილეგიებით, ასევე ვირტუალიზაციის და/ან ავტო-შეზღუდვის შეზღუდვების გავლენის ქვეშ.

ასე რომ, დავუშვათ, რომ "უსაფრთხო რეჟიმში" HIPS პროგრამა გაშვებულია parent.exe და ცდილობს დაიწყოს პროგრამა child.exe. დამატებითი წესების არარსებობის შემთხვევაში, გაშვება მოხდება ჩუმად მხოლოდ იმ შემთხვევაში, თუ ორივე პროგრამას ენდობა. თუ child.exe პროგრამა დაუდგენელია და HIPS-ის წესებს parent.exe პროგრამისთვის (ან მისი შემცველი ჯგუფისთვის) არ აქვს უფლება გაუშვას child.exe პროგრამა (ან მისი შემცველი ჯგუფი), მაშინ HIPS-ის მიუხედავად. წესები თავად child.exe პროგრამისთვის და განურჩევლად parent.exe პროგრამის რეიტინგისა, გაფრთხილება გამოჩნდება გაშვებამდე (და კონკრეტულად parent.exe პროგრამასთან დაკავშირებით).

ამრიგად, დაუდგენელი პროგრამის შესრულების დასაშვებად, საკმარისი არ არის მისთვის დაშვებული წესების დაწესება - მშობელი პროცესი, ან, ალტერნატიულად, "ყველა აპლიკაცია" ჯგუფს სჭირდება ნებართვა მის გასაშვებად.

თუ გსურთ პროგრამის გაშვების შეჩერება, მაშინ, როდესაც მიიღეთ შეტყობინება მშობლის პროცესთან დაკავშირებით, ჩვეულებრივ უნდა გამორთოთ დამახსოვრების ვარიანტი და აირჩიოთ დაბლოკვა → მხოლოდ დაბლოკვა. ყურადღება! შეტყობინებაში პუნქტი „დაბლოკვა და დასრულება“. პროგრამის დაწყების შესახებნიშნავს გათიშვას მშობლის პროცესი.

ნებისმიერი პროგრამის გაშვების შესაძლებლობა განისაზღვრება არა მხოლოდ HIPS წესებით, არამედ Auto-Containment. გაშვება დაიბლოკება, თუ ამ კომპონენტიდან ერთი მაინც მოითხოვს ამას. თუ პროგრამის გაშვება დაშვებულია HIPS-ის წესებში და ავტომატური შეკავების წესები მოითხოვს იზოლაციას ამ პროგრამას- იზოლირებულად იმუშავებს.

მნიშვნელოვანია იცოდეთ, რომ Auto-Containment-ისგან განსხვავებით, HIPS-ში ბავშვის პროცესი არ მემკვიდრეობით იღებს მშობლის შეზღუდვებს: თუ საეჭვო პროგრამას ნებას რთავთ უსაფრთხო პროგრამის გაშვებას, მაშინ ზიანი შეიძლება მოხდეს უსაფრთხო პროგრამის სახელით.

HIPS წესების ავტომატური შექმნა „სწავლის რეჟიმში“ და „უსაფრთხო რეჟიმში“

გარკვეულ რეჟიმებში, HIPS წესები იქმნება ავტომატურად:

  • თუ "სწავლის რეჟიმი" ჩართულია და "არ მაჩვენო შეტყობინებების" ოფცია გამორთულია ან დაყენებულია "დაბლოკვის მოთხოვნების" რეჟიმში, მაშინ შეიქმნება წესები, რომლებიც საშუალებას მისცემს ნებისმიერი აპლიკაციის გამოვლენილ მოქმედებას;
  • თუ ჩართულია „უსაფრთხო რეჟიმი“, ჩართულია ოფცია „უსაფრთხო აპლიკაციების წესების შექმნა“ და „არ მაჩვენო შეტყობინებების“ ოფცია გამორთულია ან დაყენებულია „მოთხოვნის დაბლოკვაზე“, მაშინ შეიქმნება წესები, რომლებიც საშუალებას მისცემს თითოეულ გამოვლენილ მოქმედებას. სანდო აპლიკაციები.

უმეტეს შემთხვევაში, ეს რეჟიმები არ არის გამოსადეგი და გამოიყენება მხოლოდ ტესტირებისთვის ან მოსამზადებლად პარანოიდულ რეჟიმში გადასასვლელად.

პროგრამის წესები (ან „სწავლის რეჟიმში“ ან სანდო „უსაფრთხო რეჟიმში“) იქმნება შემდეგნაირად:

ახალი წესის ტიპი დამოკიდებული იქნება მოთხოვნილ მოქმედებაზე:

  • როდესაც ერთი პროგრამა მეორეს აწარმოებს, პირველისთვის იქმნება წესი, რომელიც საშუალებას აძლევს კონკრეტულ პროგრამას გაუშვას.
  • როდესაც პროგრამა ცვლის ფაილს ან რეესტრის გასაღებს, რომელიც ჩამოთვლილია HIPS → დაცული ობიექტები, წესის ტიპი დამოკიდებული იქნება იმაზე, თუ როგორ იწერება ამ რესურსის შაბლონი.
    • თუ ნიმუშის ბოლოს არის ნიშანი | , მაშინ შეიქმნება წესი, რომელიც საშუალებას აძლევს შეიცვალოს კონკრეტულად იმ ობიექტზე, რომელზედაც წვდომა პროგრამამ მიიღო. მაგალითად, პროგრამა ქმნის text.txt ფაილს სამუშაო მაგიდაზე. ემთხვევა თუ არა შაბლონს?:\Users\*\Desktop\*| . ეს ნიშნავს, რომ შეიქმნება წესი, რომელიც საშუალებას იძლევა შეიცვალოს ფაილი C:\Users\Name\Desktop\text.txt.
    • თუ შაბლონის ბოლოს არ არის | , მაშინ შეიქმნება წესი, რომელიც საშუალებას გაძლევთ შეცვალოთ ნებისმიერი ობიექტი ამ შაბლონის მიხედვით. მაგალითად, პროგრამა ქმნის ფაილს D:\prog.exe. დაცული ობიექტების სიაში ეს ფაილი შეესაბამება *.exe შაბლონს. ეს ნიშნავს, რომ შეიქმნება წესი, რომელიც საშუალებას აძლევს ამ პროგრამას შეცვალოს ნებისმიერი exe ფაილი.
  • როდესაც პროგრამა წვდება რომელიმე ქვემოთ მოცემულ რესურსს, ავტომატურად იქმნება წესები, რომლებიც საშუალებას აძლევს მას ყველა მათგანზე ერთდროულად წვდომას:
    • უსაფრთხო COM ინტერფეისები,
    • Windows Hooks და Application Hooks,
    • ინტერპროცესული მეხსიერების წვდომა,
    • აპლიკაციების შეწყვეტა,
    • DNS მოთხოვნები,
    • დისკი(პირდაპირი წვდომა),
    • კლავიატურა,
    • მონიტორი.

პროცესის დაცვა

აპლიკაციის HIPS წესების ფანჯარაში შეგიძლიათ შეზღუდოთ არა მხოლოდ აპლიკაციის საკუთარი აქტივობა, არამედ სხვა პროგრამების გავლენა მის მუშაობაზე. ამ ჩანართისთვის დაცვის დაყენებამიუთითებს ამ აპლიკაციის რომელი მოქმედებები დაიბლოკება და გამონაკლისების ფანჯარაში (ღილაკი შეცვლა) - რომელი პროგრამები იქნება ნებადართული. აქ შეტყობინებები არ არის - მხოლოდ ნებართვა ან აკრძალვა, განურჩევლად რეიტინგისა. ამ გზით აკრძალული ქმედება დაიბლოკება, მიუხედავად სხვა პროგრამების წესებისა და რეიტინგებისა.

კერძოდ, ამ ფუნქციის დახმარებით დსთ იცავს თავის პროცესებს განტვირთვისა და მეხსიერებაზე წვდომისგან. ამიტომ, მაშინაც კი, როდესაც HIPS არ არის საჭირო, მიზანშეწონილია მისი ჩართვა მინიმუმ ოფციით „არ მაჩვენო გაფრთხილებები: დაუშვა მოთხოვნები“ („უსაფრთხო“ ან „პარანოიდული“ რეჟიმში).

დსთ-ს თავდაცვის გვერდითი ეფექტი არის დიდი რაოდენობით ჩანაწერები Protection Events+ ჟურნალში ზოგიერთი პროგრამის გამოყენებისას, მაგალითად, ProcessExplorer. თქვენ შეგიძლიათ მოიშოროთ არასაჭირო საკეტები ცალკეულ აპლიკაციებს COMODO ინტერნეტ უსაფრთხოების ჯგუფში მეხსიერებაში წვდომის მიცემით.

მე აღვნიშნავ, რომ თავად განაცხადის შეწყვეტისგან დაცვა არ მოიცავს პროცესის განტვირთვის ყველა გზას. ამრიგად, მრავალი აპლიკაციის შეწყვეტა შესაძლებელია ფანჯრის შეტყობინებების ან მეხსიერების წვდომის საშუალებით. განაცხადის შეწყვეტის ასეთი მეთოდებისგან დასაცავად, თქვენ უნდა შეამოწმოთ მისი წესები ჩანართზე "დაცვის პარამეტრები" არა მხოლოდ პუნქტი "აპლიკაციების შეწყვეტა", არამედ სხვა.

ინსტალერის პრივილეგიები

ინსტალერის პრივილეგიების მნიშვნელობა

გარკვეულ პირობებში, აპლიკაცია იღებს ინსტალერის პრივილეგიებს, რომლებიც შემდეგია:

  1. HIPS საშუალებას აძლევს ასეთ აპლიკაციას ყველაფერი, რაც აშკარად არ არის აკრძალული წესებით, ე.ი. მუშაობს მსგავსი რეჟიმის „არ მაჩვენო სიგნალიზაცია: მოთხოვნების დაშვება“;
  2. Auto-Containment არ იზოლირებს ამ აპლიკაციის მიერ გაშვებულ პროგრამებს;
  3. ამ აპლიკაციის გაშვებისას, მისი შვილობილი პროცესები (და მათი შვილობილი პროცესები და ა.შ.) მუშაობს ინსტალერის პრივილეგიებით;
  4. შესრულებადი ფაილები, რომლებსაც ეს აპლიკაცია ქმნის (ან შვილობილი პროცესები, რომლებიც მემკვიდრეობით იღებენ მის პრივილეგიებს) ავტომატურად არის სანდო.

ფაილები ავტომატურად ემატება სანდო ფაილებს მხოლოდ მაშინ, როდესაც ჩართულია ჩანართზე „სანდო აპლიკაციები დაინსტალირებული სანდო ინსტალატორების გამოყენებით“ . ასევე, ზოგიერთ განსაკუთრებულ შემთხვევებში, ინსტალერის პრივილეგიები ენიჭება აპლიკაციებს „შეკვეცილი“ ფორმით: გარეშე, ან როდესაც მომხმარებელი პასუხობს ნებართვით (თუ პროგრამა უცნობია და აქვს ინსტალერის ატრიბუტი), ან როდესაც პროგრამას ენიჭება შესაბამისი , ან როდესაც ეს წესი გამოიყენება მასზე, ან როდესაც პროგრამა მემკვიდრეობით იღებს ამ პრივილეგიებს საწყისი პროცესისგან.

აპლიკაციის ინსტალერის პრივილეგიების ავტომატურად მინიჭება

აპლიკაცია ავტომატურად იძენს ინსტალერის პრივილეგიებს, თუ მას სანდო აქვს და აქვს ინსტალერის ატრიბუტი. თქვენ შეგიძლიათ ნახოთ, აქვს თუ არა აპლიკაციას ინსტალერის ტეგი აქტიური პროცესების სიაში.

აპლიკაციის რა თვისებებია ინსტალერის ნიშანი. ითქვა: ექსპერიმენტების მიხედვით, ინსტალერები განიხილება პროგრამებზე, რომლებსაც აქვთ სიტყვა install, setup ან update ფაილის სახელში ან ფაილის ვერსიის ინფორმაციაში (FileDescription, ProductName? , InternalName ან OriginalFilename ველი); MSI ფაილები ასევე განიხილება ინსტალატორები.

CIS-ის ძველ ვერსიებში ინსტალერის მახასიათებლები განსხვავდებოდა, კერძოდ, ინსტალერები ითვლებოდა პროგრამებად, რომლებიც ითხოვდნენ ადმინისტრატორის უფლებებს გაშვებისას, პროგრამები, რომელთა ზომა აღემატებოდა 40 მბ-ს და ა.შ. პრივილეგიები (კერძოდ, PortableApps- assembly), რამაც აშკარა საფრთხე შექმნა. დსთ 10-ში ეს საფრთხე მნიშვნელოვნად შემცირდა.

ინსტალერის პრივილეგიების მინიჭება ავტომატური შეკავების გაფრთხილების მეშვეობით

სტანდარტული "პროაქტიული უსაფრთხოების" კონფიგურაციაში, როდესაც გაუშვით დაუდგენელი პროგრამა, რომელსაც აქვს ინსტალატორის ტეგი, გამოჩნდება გაფრთხილება, რომელიც გთავაზობთ ოთხი ვარიანტის არჩევანს: "დაბლოკვა", "იზოლირებული გაშვება", "გაშვება შეზღუდვების გარეშე" ღილაკით "ენდეთ ამას". აპლიკაცია" და "გაშვება" ოფცია გამორთულია. შეზღუდვების გარეშე", როდესაც ჩართულია ოფცია "ენდეთ ამ აპლიკაციას".

"ბლოკის" ვარიანტი ნიშნავს გაშვების აკრძალვას. "იზოლირებული გაშვება" ოფცია ნიშნავს, რომ პროგრამა ამოქმედდება იზოლირებულად ავტომატური შეკავების წესების შესაბამისად.

თუ ჩართავთ ოფციას „ენდეთ ამ აპლიკაციას“ და აირჩიეთ „გაშვება შეზღუდვების გარეშე“, პროგრამა გახდება სანდო და იმუშავებს ინსტალერის პრივილეგიებით. ამავდროულად, შეიქმნება Auto-Containment წესი, რომელიც გამორიცხავს ამ პროგრამის ბავშვურ პროცესებს იზოლაციისგან. ამ წესს, როგორც წესი, აზრი არ აქვს და გირჩევთ ამოიღოთ იგი.

თუ აირჩევთ პარამეტრს „გაშვება შეზღუდვების გარეშე“, როდესაც „ენდეთ ამ აპლიკაციას“ ოფცია გამორთულია, პროგრამა დროებით ამოქმედდება „შეკვეცილი“ ინსტალერის პრივილეგიებით, შექმნილ ფაილებზე ნდობის გარეშე. იმათ. ქულები და , მაგრამ არა .

ზოგადად, ასეთი გაფრთხილება ხდება შემდეგი პირობების დაკმაყოფილების შემთხვევაში:

  • ჩართულია ავტომატური შეკავების კომპონენტი,
  • ჩანართზე შეკავება → შეკავების პარამეტრებიჩართულია "პროგრამების აღმოჩენა, რომლებიც საჭიროებენ ამაღლებულ პრივილეგიებს",
  • ოფცია „არ აჩვენო შეტყობინებები ამაღლებული პრივილეგიების მოთხოვნისას“ გამორთულია,
  • გასაშვები პროგრამა, ავტომატური შეკავების წესების შესაბამისად, უნდა იყოს გაშვებული ვირტუალურად და/ან შეზღუდვებით,
  • გაშვებულ პროგრამას აქვს ინსტალერის ატრიბუტი ან ითხოვს ადმინისტრატორის უფლებებს გაშვებისას.

როგორც ხედავთ, გაფრთხილების საჩვენებლად, გაშვებული პროგრამა არ უნდა იყოს ამოუცნობი - საჭიროა მხოლოდ Auto-Containment წესების მითითება მისი იზოლირება. გარდა ამისა, პროგრამამ შეიძლება მოითხოვოს ადმინისტრატორის უფლებები გაშვებისას, მაგრამ არ იყოს ინსტალერი.

თუ ჩართავთ პარამეტრს „არ მაჩვენო გაფრთხილებები გაზრდილი პრივილეგიების მოთხოვნებისთვის“, შეგიძლიათ აირჩიოთ ოფციების მენიუდან ავტომატურად იზოლირებული (რეკომენდებული) ან დაბლოკოთ დაუდგენელი ინსტალატორები გაფრთხილების გარეშე. ასევე არსებობს ვარიანტები „გაუშვი შეზღუდვების გარეშე“ და „იქეცი შეზღუდვებისა და ნდობის გარეშე“ - რა თქმა უნდა, მათი არჩევა ძალიან საშიშია.

ინსტალერის პრივილეგიების მინიჭება HIPS სიგნალებისა და წესების მეშვეობით

ინსტალერის პრივილეგიები შეიძლება მიენიჭოს პროგრამას აშკარად HIPS-ის მეშვეობით: ისინი შეესაბამება „ინსტალაციის ან განახლების“ წესს.

როდესაც HIPS გაფრთხილება ხდება აპლიკაციის აქტივობასთან დაკავშირებით, შეგიძლიათ აირჩიოთ დამუშავება როგორც → ინსტალაცია ან განახლება, დამახსოვრებით ან მის გარეშე.

თუ მონიშნეთ დამახსოვრების ოფცია და აირჩიეთ „ინსტალაცია ან განახლება“, შეიქმნება შესაბამისი HIPS წესი და აპლიკაცია მიიღებს ინსტალერის პრივილეგიებს. თუ აირჩევთ ამ პარამეტრს დამახსოვრების ოფციის გარეშე, წესი არ შეიქმნება და აპლიკაცია მიიღებს ინსტალატორის პრივილეგიების „შეკვეცილ“ ვერსიას, შექმნილი ფაილების ნდობის გარეშე (დროებით გაუშვით ამოუცნობი ინსტალერი ავტო-შეზღუდვის გარეშე).

დსთ-ს კონფიგურაციის ფანჯრის საშუალებით შეგიძლიათ წინასწარ მიანიჭოთ აპლიკაციას HIPS „ინსტალაციის ან განახლების“ წესი. ცხადია, ამ შემთხვევაში აპლიკაცია მიიღებს ინსტალერის პრივილეგიებს შეტყობინების გარეშე და სრულად.

ინსტალერის პრივილეგიებით შექმნილი ფაილების სანდოობა

როგორც უკვე აღვნიშნეთ, სანდო ინსტალატორების მიერ შექმნილი შესრულებადი ფაილები ავტომატურად არის სანდო, თუ ჩართულია ჩანართზე "სანდო აპლიკაციები დაინსტალირებული სანდო ინსტალატორების გამოყენებით". ფაილის რეიტინგი → ფაილის რეიტინგის დაყენება. ასევე ნათქვამია, რომ ინფორმაცია სანდო ინსტალატორების მიერ ფაილის შექმნის შესახებ შესულია მონაცემთა ბაზაში, მაშინაც კი, თუ ეს პარამეტრი გამორთულია.

ექსპერიმენტების მიხედვით ვიმსჯელებთ, როდესაც DPUPDU ოფცია გამორთულია, ინფორმაცია პირდაპირ სანდო ინსტალატორების მიერ ფაილების შექმნის შესახებ და არა რომელიმე პროგრამის მიერ, რომელსაც აქვს ინსტალერის პრივილეგიები, შედის დსთ მონაცემთა ბაზაში. იმათ. თუ ფაილი იქმნება სანდო ინსტალერის შვილობილი პროცესით ან პროგრამის მიერ, რომელმაც მოიპოვა ინსტალერის პრივილეგიები HIPS წესების საფუძველზე, მაშინ ფაილი არ ითვლება სანდო ინსტალერის მიერ შექმნილად. მაგრამ თუ DPUPDU ოფცია ჩართულია, მაშინ ნებისმიერი პროგრამის მიერ შექმნილი ფაილები, რომლებმაც როგორღაც მიიღეს ინსტალერის პრივილეგიები, მოინიშნება მონაცემთა ბაზაში, როგორც სანდო ინსტალატორების მიერ შექმნილი.

როდესაც ადგენს, შეიქმნა თუ არა ფაილი ინსტალერის პრივილეგიებით, CIS განასხვავებს ფაილის შექმნასა და კოპირებას. ასე რომ, თუ პროგრამა ინსტალერის პრივილეგიებით ასრულებს ფაილის ნორმალურ ასლს, მაშინ ფაილი ჯერ კიდევ არ გახდება სანდო. მაგრამ თუ, ინსტალერის პრივილეგიების გავლენის ქვეშ, ფაილი ამოღებულია არქივიდან, მაგალითად, CIS ენდობა ამ ფაილს და ყველა იდენტურს (ჩართულია DPUPDU ვარიანტი).

გარკვეულწილად, ინსტალატორის პრივილეგიები მუშაობს ვირტუალურ გარემოში: თუ სანდო ინსტალერი მუშაობს ვირტუალურად, მაგრამ ქმნის ფაილებს რეალურ გარემოში (გაზიარებულ ზონაში), მაშინ ეს ფაილები მონიშნულია მონაცემთა ბაზაში, როგორც სანდო ინსტალერის მიერ შექმნილი. ანალოგიური ვითარება წარმოიქმნება რეალურ გარემოში მუშაობისას Auto-Containment შეზღუდვებით. ჩემი აზრით, ეს არის ნაკლი და პოტენციურად საშიში.

მიუხედავად იმისა, რომ DPUPDU ვარიანტი აუმჯობესებს დსთ-ს გამოყენებადობას, მის გამორთვას გარკვეული ღირსება აქვს. კერძოდ, როდესაც ეს პარამეტრი ჩართულია, CIS-ს შეუძლია ენდოს პოტენციურად არასასურველ პროგრამებს, რომლებიც დაინსტალირებულია კეთილთვისებიანი აპლიკაციების გვერდით.

ხდება ისე, რომ აპლიკაციის ინსტალერი, თუნდაც ის იყოს სანდო, მისი მუშაობისას ქმნის და უშვებს დაუდგენელ პროგრამებს. როგორც წესი, CIS არ უშლის მათ გაშვებას, რადგან ისინი მემკვიდრეობით იღებენ ინსტალერის პრივილეგიებს. თუმცა, როგორც ზემოთ აღინიშნა, მემკვიდრეობით მიღებული პრივილეგიები ყოველთვის არ მოქმედებს (უსაფრთხოების მიზეზების გამო) და ზოგჯერ პროაქტიული დაცვა შეიძლება გააქტიურდეს ინსტალაციის პროცესში. თუ ეს გამოჩნდება მხოლოდ როგორც HIPS გაფრთხილება, მაშინ საჭიროა მხოლოდ მასზე რეაგირება ინსტალაციის გასაგრძელებლად. მაგრამ თუ HIPS კონფიგურირებულია დაბლოკვისთვის შეტყობინების გარეშე, ან თუ გამოიყენება Auto-Containment, მაშინ არსებობს რისკი, რომ აპლიკაცია არ დაინსტალირდეს სწორად. ეს რისკი განსაკუთრებით მაღალია, თუ გამორთულია „სანდო ინსტალატორების მეშვეობით დაინსტალირებული სანდო აპლიკაციები“ ან „პროგრამების აღმოჩენა, რომლებიც საჭიროებენ ამაღლებულ პრივილეგიებს“ გამორთულია.

დსთ-ს მხრიდან ჩარევის გარეშე აპლიკაციების დასაყენებლად, მე გთავაზობთ ინსტალატორების გაშვებას კონტექსტური მენიუს სპეციალური ელემენტის საშუალებით. ამისათვის ჩვენ გამოვიყენებთ მარტივ პროგრამას, რომელიც აწარმოებს მის ბრძანების არგუმენტებში მითითებულ ფაილს. თქვენ დაგჭირდებათ არქივის ჩამოტვირთვა პროგრამით (პაროლი cis), განათავსეთ პროგრამა ნებისმიერ მოსახერხებელ ადგილას, დაამატეთ იგი სანდო სიაში და გაუშვით - მოგეთხოვებათ ახალი ელემენტის დამატება Explorer-ის კონტექსტურ მენიუში (შეიძლება წაიშლება ხელახლა გაშვებით). პროგრამა იწერება AutoIt3-ში, წყაროს საქაღალდე და გადამყვანი შედის წყაროს საქაღალდეში: თუ ეჭვი გეპარებათ, შეგიძლიათ შექმნათ მსგავსი პროგრამა მისი კოდისა და გადამყვანის ხელმოწერის შემოწმებით.

შემდეგ ამ პროგრამას მოგიწევთ HIPS „ინსტალაციისა და განახლების“ წესის მინიჭება, ასევე ავტომატური შეკავების წესი:

  • აირჩიეთ მოქმედება "იგნორირება",
  • კრიტერიუმებში მიუთითეთ პროგრამის ადგილმდებარეობა,
  • გამორთეთ ოფცია „არ გამოიყენო არჩეული მოქმედება შვილობილ პროცესებზე“.

ახლა, იმისათვის, რომ ნებისმიერი უსაფრთხო აპლიკაციის ინსტალაცია შეუფერხებლად წარიმართოს, საკმარისი იქნება ინსტალერზე კონტექსტური მენიუს გახსნა Shift კლავიშის დაჭერისას და აირჩიეთ „COMODO: გაშვება როგორც ინსტალერი“. შედეგად, მაშინაც კი, როდესაც თავად ინსტალერი გადის, მისი შვილობილი პროცესები გაგრძელდება ინსტალერის პრივილეგიებით. ეს პრივილეგიები წაიშლება სპეციალური ფანჯრის დახურვის შემდეგ, ტექსტით „დააწკაპუნეთ Ok როდესაც ინსტალაცია დასრულდება“. მაგრამ მაშინაც კი, ეს პროცესები გამორიცხული დარჩება Auto-Containment-ის კონტროლიდან.

HIPS-ის (Host-based Intrusion Prevention System) ოპერაციული პრინციპი: დეტალური აღწერა. ზოგადი HIPS და Auto-Sandbox პარამეტრები Comodo Internet Security 8. Viruscope

HIPS

HIPS რეჟიმები

როდესაც HIPS ჩართულია, პროგრამის აქტივობა შეზღუდულია წესების მიხედვით. თავდაპირველად ხელმისაწვდომი წესები ადგენს ნებართვებს ზოგიერთი სისტემური პროგრამისთვის და სხვა შემთხვევებში მოითხოვს მომხმარებლის კითხვას. მომხმარებელს შეუძლია დაამატოს საკუთარი წესები HIPS წესების ჩანართის ინტერფეისის მეშვეობით, ან ისინი შეიქმნება მისი პასუხების მეშვეობით გაფრთხილებებზე, ან ავტომატურად შეიქმნება, როდესაც ჩართულია „სწავლის რეჟიმი“. თქვენ შეგიძლიათ გამორთოთ გაფრთხილებები იმის მითითებით, რომ აქტივობა ყოველთვის უნდა იყოს დაშვებული ან აქტივობა ყოველთვის უნდა იყოს უარყოფილი, თუ არ არსებობს წესი.

პროგრამის გაფრთხილებების ჩვენება დამოკიდებულია პროგრამაზე და მის HIPS რეჟიმში. „უსაფრთხო რეჟიმში“ გაფრთხილებები გაიცემა მხოლოდ ამოუცნობ პროგრამებთან დაკავშირებით, ხოლო სანდოებს მიენიჭებათ ჩუმად ნებართვა (აკრძალვის წესის არარსებობის შემთხვევაში) განახორციელონ ნებისმიერი ქმედება, გარდა დაუდგენელი აპლიკაციის გაშვებისა. პარანოიდულ რეჟიმში, გაფრთხილებები გამოჩნდება ყველა პროგრამისთვის, მიუხედავად რეპუტაციისა.

სუფთა კომპიუტერის რეჟიმში, გაფრთხილებები ჩნდება მხოლოდ ახალი ამოუცნობი პროგრამებისთვის, ე.ი. რომლებიც ადრე არ იყო დისკზე და "ძველები" აღიქმება სანდო "უსაფრთხო რეჟიმში". "სუფთა კომპიუტერის" რეჟიმი მუშაობს შემდეგნაირად: ამ რეჟიმის ჩართვის მომენტიდან ხდება ახალი პროგრამების შექმნის მონიტორინგი, ე.ი. შესრულებადი ფაილები. თუ ახალი პროგრამა 40 მბ-ზე ნაკლებია და არ აქვს „სანდო“ რეპუტაცია, მაშინ ის შეიყვანება როგორც „გაუცნობი“. შეზღუდული უფლებები მხოლოდ პროგრამებს „უცნობი“ სიიდან ექნებათ. დანარჩენი პროგრამები, 40 მბ-ზე ნაკლები, იქნება აღქმული, როგორც სანდო: ისინი აღიქმება როგორც HIPS, Auto-Sandbox და firewall.

სუფთა კომპიუტერის რეჟიმი საკმაოდ პრობლემურია და არ გირჩევთ მის გამოყენებას. კერძოდ, თუ ამ რეჟიმში განათავსებთ ახალ უცნობ პროგრამას დირექტორიაში და შეცვლით მის სახელს, მაშინ პროგრამა ჩაითვლება „ძველად“, ე.ი. მიიღებს ნებართვებს. თუმცა, თქვენ შეგიძლიათ განახორციელოთ "სუფთა კომპიუტერის" რეჟიმის სწორად მომუშავე ანალოგი "უსაფრთხო რეჟიმში" ყველა შესრულებადი ფაილების სანდო ფაილებში მითითებით, შემოთავაზებული წესით.

როგორ ვიმუშაოთ „უსაფრთხო რეჟიმი“ ოფცია „უსაფრთხო აპლიკაციების წესების შექმნა“ ჩართული, ასევე „სწავლის რეჟიმი“. "სუფთა კომპიუტერის" რეჟიმში მუშაობა "უსაფრთხოს" მსგავსია, მაგრამ განსხვავდება იმით, რომ ამოუცნობი ფაილები, რომლებიც ამ რეჟიმის ჩართვამდე იყო დისკზე, დამუშავდება სანდოების მსგავსად ("მათ ენდობიან" არა მხოლოდ HIPS-ს, არამედ Auto-Sandbox და firewall-ით).

განვმარტავ განსაკუთრებულ შემთხვევას: თუ პროგრამა შესრულებულია ვირტუალურ გარემოში და/ან Auto-Sandbox შეზღუდვებით, მაშინ დაშვების ან უარყოფის წესის არარსებობის შემთხვევაში მიენიჭება ნებართვა (ვარიანტის „არ მაჩვენო გაფრთხილებები“ : მოთხოვნების დაშვება“). ვირტუალურ გარემოში, ფაილებისა და რეესტრის დაცვა საერთოდ არ იქნება, თუნდაც აშკარად დაწესებული შეზღუდვებით. მაგრამ, რა თქმა უნდა, ვირტუალური გარემო და/ან Auto-Sandbox იქნება გადატვირთული ამ პროგრამაზე და მის შვილობილ პროცესებზე.

პროგრამის უფლებების მართვა შეტყობინებების მეშვეობით

თუ აირჩევთ დაშვებას ან მხოლოდ დაბლოკვას HIPS გაფრთხილებაში, ეს ნებართვა ან დაბლოკვა მხოლოდ ამ კონკრეტულ რესურსზე გავრცელდება. მაგალითად, თუ ნებას რთავთ აპლიკაციას შექმნას ფაილი C:\test\A.exe, მაშინ ფაილის C:\test\B.exe შექმნის მცდელობა კვლავ გამოიწვევს გაფრთხილებას. იმისათვის, რომ აპლიკაციამ შექმნას ნებისმიერი ფაილი C:\test დირექტორიაში, თქვენ მოგიწევთ წესის რედაქტირება CIS პარამეტრების ფანჯრის მეშვეობით. სამწუხაროდ, გაფრთხილებები არ იძლევა ნებართვებს დირექტორიების, შაბლონების, ჯგუფებისთვის და ა.შ.

დაფიქსირდა ერთი გამონაკლისი: თუ პროგრამას ეძლევა სიგნალის საშუალებით „შეცვალოს სხვა აპლიკაციის მომხმარებლის ინტერფეისი“, შეიქმნება წესი, რომელიც საშუალებას აძლევს ამ პროგრამას გააგზავნოს ფანჯრის შეტყობინებები ნებისმიერ აპლიკაციაში და არა მხოლოდ მითითებულზე.

თუმცა, გაფრთხილების საშუალებით, შეგიძლიათ განაცხადოთ წინასწარ შექმნილი პოლიტიკა. ეს წესები იქმნება ჩანართში HIPS > წესების ნაკრები. წინასწარ დაყენებული „Windows სისტემის აპლიკაციის“ პოლიტიკა იძლევა ნებისმიერ აქტივობას, „ნებადართული აპლიკაციის“ პოლიტიკა ნებას რთავს ნებისმიერ აქტივობას, მაგრამ არ არეგულირებს საბავშვო პროცესების დაწყებას; იზოლირებული განაცხადის პოლიტიკა მკაცრად კრძალავს ნებისმიერ საქმიანობას; შეზღუდული აპლიკაციის პოლიტიკა გათიშავს თითქმის ყველაფერს, გარდა ფანჯრის შეტყობინებებისა და მონიტორისა და არ არეგულირებს ბავშვის პროცესების დაწყებას. თქვენ შეგიძლიათ არა მხოლოდ შექმნათ თქვენი საკუთარი პოლიტიკა, არამედ შეცვალოთ წინასწარ დაყენებული პოლიტიკა.

ნებართვებს, შეზღუდვებსა და პოლიტიკებს, რომლებიც აპლიკაციისთვის მინიჭებულია გაფრთხილებების საშუალებით, აქვთ სხვადასხვა ეფექტი იმისდა მიხედვით, ჩართულია თუ არა ოფცია „დაიმახსოვრე ჩემი არჩევანი“ გაფრთხილებაში. თუ ჩართავთ ამ პარამეტრს და აირჩევთ ოფციას „დაშვება“ ან „მხოლოდ დაბლოკვა“, შეიცვლება ამ აპლიკაციისთვის მინიჭებული წესების ნაკრები: ის დაემატება, რათა დაუშვას ან დაბლოკოს ზუსტად კონკრეტული რესურსი (ფაილი, ინტერფეისი და ა.შ.). თუ ჩართავთ პარამეტრს „დაიმახსოვრე ჩემი არჩევანი“ და აირჩიეთ რომელიმე წესების ნაკრები— ძველს არ დაემატება ახალი წესები, არამედ მთლიანად ჩაანაცვლებს მათ; იმათ. ამ აპლიკაციაზე ადრე მინიჭებული წესები აღარ იქნება გამოყენებული. თუ არ არსებობს HIPS წესი ამ აპლიკაციისთვის, ის შეიქმნება სიის ზედა ნაწილში.

თუ თქვენ გამორთავთ ოფციას „დაიმახსოვრე ჩემი არჩევანი“ გაფრთხილებაში, აპლიკაციას მინიჭებული ნებართვები, შეზღუდვები ან პოლიტიკა გაუქმდება, როდესაც განაცხადი შეწყდება ან უფრო ადრეც, და წესებში ცვლილებები არ მოხდება. ამ დროებითი წესების მუშაობის ლოგიკის გასაგებად, მოსახერხებელია წარმოვიდგინოთ, რომ ყოველ ჯერზე, როდესაც გაფრთხილებას პასუხობენ (დამახსოვრების გარეშე), იქმნება „ფანტომური“ ჩანაწერი HIPS წესების სიაში. ყველა "ფანტომური" ჩანაწერი განლაგებულია წესების სიაში "რეალური" ჩანაწერების ქვემოთ, მაგრამ ახალი "ფანტომური" ჩანაწერები განთავსებულია სხვა "ფანტომური" ჩანაწერების ზემოთ. ეს ნიშნავს, რომ ერთსა და იმავე აპლიკაციას შეიძლება მიენიჭოს სხვადასხვა პოლიტიკა გაფრთხილების მეშვეობით რამდენჯერმე (დამახსოვრების გარეშე) და ყველა ეს პოლიტიკა ძალაში იქნება. ამ შემთხვევაში „რეალურ“ წესებს ექნებათ უმაღლესი პრიორიტეტი, შემდეგ „ფანტომური“ უახლესს, შემდეგ უფრო ადრინდელს და ა.შ. მაგრამ როგორც კი რაიმე "რეალური" წესი (დამახსოვრებით) შეიქმნება, ყველა აპლიკაციისთვის ყველა "ფანტომური" წესი განადგურდება.

მაგალითად, მივანიჭოთ „იზოლირებული აპლიკაციის“ პოლიტიკა რომელიმე პროგრამას, მისი დამახსოვრების გარეშე. ნაგულისხმევად, ყველა აპლიკაციის ჯგუფს უფლება აქვს შეცვალოს დროებითი ფაილები, ამიტომ ეს პროგრამა მაინც შეძლებს ამის გაკეთებას, მიუხედავად იმისა, რომ იზოლირებული აპლიკაციის პოლიტიკა ხელს უშლის ამას. თუ ამ პოლიტიკას დამახსოვრებას მიაკუთვნებთ, დროებითი ფაილების შეცვლა აიკრძალება, რადგან სიის ზედა ნაწილში შეიქმნება ახალი HIPS წესი.

პროგრამის გაშვების კონტროლი

ნებისმიერი პროგრამის გაშვების შესაძლებლობა HIPS-ში მითითებულია წესით გაშვებაპროგრამა, არა იმ პროგრამისთვის, რომელიც ამოქმედდა. „პარანოიდულ რეჟიმში“ პროგრამების გაშვება ჩუმად არის დაშვებული მხოლოდ იმ შემთხვევაში, თუ არსებობს აშკარა ნებართვა წესებში (for). „უსაფრთხო რეჟიმში“, წესის არარსებობის შემთხვევაში, ჩართვა ნებადართულია, თუ როგორც გაშვებულ, ასევე გაშვებულ პროგრამას აქვს „სანდო“ რეპუტაცია.

ასე რომ, დავუშვათ, რომ "უსაფრთხო რეჟიმში" HIPS პროგრამა გაშვებულია parent.exe და ცდილობს დაიწყოს პროგრამა child.exe. დამატებითი წესების არარსებობის შემთხვევაში, გაშვება მოხდება ჩუმად მხოლოდ იმ შემთხვევაში, თუ ორივე პროგრამას ენდობა. თუ child.exe პროგრამა დაუდგენელია და HIPS-ის წესებს parent.exe პროგრამისთვის (ან მისი შემცველი ჯგუფისთვის) არ აქვს უფლება გაუშვას child.exe პროგრამა (ან მისი შემცველი ჯგუფი), მაშინ HIPS-ის მიუხედავად. წესები თავად child.exe პროგრამისთვის და განურჩევლად parent.exe პროგრამის რეიტინგისა, გაფრთხილება გამოჩნდება გაშვებამდე (და კონკრეტულად parent.exe პროგრამასთან დაკავშირებით).

ამრიგად, დაუდგენელი პროგრამის შესრულების დასაშვებად, საკმარისი არ არის მისთვის დაშვებული წესების დაწესება - მშობელი პროცესი, ან, ალტერნატიულად, "ყველა აპლიკაცია" ჯგუფს სჭირდება ნებართვა მის გასაშვებად.

თუ გსურთ პროგრამის გაშვების შეჩერება, მაშინ, როდესაც მიიღეთ შეტყობინება მშობლის პროცესთან დაკავშირებით, უნდა გამორთოთ დამახსოვრების ვარიანტი და აირჩიეთ „დაბლოკვა“ > „მხოლოდ დაბლოკვა“.

ყურადღება! შეტყობინებაში პუნქტი „დაბლოკვა და დასრულება“. პროგრამის დაწყების შესახებნიშნავს გათიშვას მშობლის პროცესი. ასევე, ამ შეტყობინებაში ნებისმიერი პოლიტიკის (ანუ წესების ნაკრების) არჩევა მას კონკრეტულად მშობლის პროცესს მიაკუთვნებს. შესაბამისად, „დაიმახსოვრე ჩემი არჩევანის“ ოფცია ასეთ გაფრთხილებაში გამოიწვევს HIPS წესის შექმნას/მოდიფიკაციას მშობელი პროცესისთვის. მომხმარებლების მიერ დაშვებული ტიპიური შეცდომა არის Explorer-ის მიერ გაშვებული პროგრამის შესახებ შეტყობინებაში პოლიტიკის არჩევა. მოქმედების სწორი კურსია, ჯერ მხოლოდ გაშვების დაშვება და პროგრამის საკუთარი აქტივობის შესახებ შემდგომ შეტყობინებაში პოლიტიკის არჩევა.

მნიშვნელოვანია ვიცოდეთ, რომ Auto-Sandbox-ისგან განსხვავებით, HIPS-ში ბავშვის პროცესი არ მემკვიდრეობით იღებს მშობლის შეზღუდვებს: საეჭვო პროგრამის დაშვება, რომ გაუშვას პროგრამა, რომელსაც აქვს ნებართვები, საფრთხეს უქმნის უსაფრთხოებას.

ნებისმიერი პროგრამის გაშვების შესაძლებლობა განისაზღვრება არა მხოლოდ HIPS წესებით, არამედ . გაშვება დაიბლოკება, თუ ამ კომპონენტიდან ერთი მაინც მოითხოვს ამას. თუ გაშვება ნებადართულია HIPS-ის წესებში და Auto-Sandbox წესები მოითხოვს ამ პროგრამის იზოლირებას, ის იზოლირებულად დაიწყება.

აღწერილი პროცედურისგან არის გარკვეული გამონაკლისები. პირველი გამონაკლისი ეხება პროგრამებს, რომლებიც უკვე შეფუთულია. ამ პროგრამების შვილობილი პროცესები იზოლირებული იქნება იმავე გზით, არ ექვემდებარება სხვადასხვა Auto-Sandbox წესებს. არ იქნება HIPS შეტყობინებები მათი გაშვების შესახებ: დაბლოკვა მოხდება მხოლოდ იმ შემთხვევაში, თუ არსებობს HIPS აკრძალვის აშკარა წესი. სხვა სიტყვებით რომ ვთქვათ, HIPS-ის ფუნქციონირება ასეთი პროგრამებისთვის მსგავსია „არ მაჩვენო გაფრთხილებები: მოთხოვნების დაშვება“ ოფციის ჩართვას.

კიდევ ერთი გამონაკლისი არის პროგრამები, რომლებსაც აქვთ ინსტალერის პრივილეგიები. მათი ბავშვის პროცესები არ ემორჩილება Auto-Sandbox-ის წესებს (ეს არის ქცევა) და არ აყენებს HIPS სიგნალებს. ისინი ექვემდებარება მხოლოდ აშკარა აკრძალვებს HIPS-ის წესებში, როგორიცაა ჩართული ვარიანტი „არ აჩვენო გაფრთხილებები: დაუშვა მოთხოვნები“ (ამ ქცევის კონფიგურაცია შეუძლებელია).

მესამე გამონაკლისი არის პროგრამები, რომლებსაც აქვთ „იგნორირება“ მოქმედების წესი Auto-Sandbox-ში „ ” ოფციით გამორთული. ასეთი პროგრამები უბრალოდ გამორიცხულია Auto-Sandbox-ის კონტროლისგან მათი შვილობილ პროცესებთან ერთად. HIPS-ის წესები მათზე ვრცელდება, როგორც ყოველთვის.

HIPS წესების ავტომატური შექმნა „სწავლის რეჟიმში“ და „უსაფრთხო რეჟიმში“

გარკვეულ რეჟიმებში, HIPS წესები იქმნება ავტომატურად:

  • თუ ჩართულია „სწავლის რეჟიმი“ და „არ მაჩვენო შეტყობინებების“ ოფცია გამორთულია ან დაყენებულია „მოთხოვნის დაბლოკვის“ რეჟიმში, მაშინ ყველა აპლიკაციის აქტივობა მონიტორინგდება და შეიქმნება წესები, რომლებიც საშუალებას აძლევს მათ გამოვლენილ თითოეულ მოქმედებას;
  • თუ ჩართულია „უსაფრთხო რეჟიმი“, ჩართულია ოფცია „უსაფრთხო აპლიკაციების წესების შექმნა“ და „არ მაჩვენო შეტყობინებების“ ოფცია გამორთულია ან დაყენებულია „მოთხოვნის დაბლოკვაზე“, მაშინ შეიქმნება წესები, რომლებიც საშუალებას მისცემს თითოეულ გამოვლენილ მოქმედებას. სანდო აპლიკაციები.

უმეტეს შემთხვევაში, ეს რეჟიმები არ არის გამოსადეგი და გამოიყენება მხოლოდ ტესტირებისთვის ან მოსამზადებლად პარანოიდულ რეჟიმში გადასასვლელად.

პროგრამის წესები (ან „სწავლის რეჟიმში“ ან სანდო „უსაფრთხო რეჟიმში“) იქმნება შემდეგნაირად:

ახალი წესის ტიპი დამოკიდებული იქნება მოთხოვნილ მოქმედებაზე:

  • როდესაც ერთი პროგრამა მეორეს აწარმოებს, პირველისთვის იქმნება წესი, რომელიც საშუალებას აძლევს კონკრეტულ პროგრამას გაუშვას.
  • როდესაც პროგრამა ცვლის ფაილს ან რეესტრის კლავიშს, რომელიც ჩამოთვლილია ჩანართზე HIPS > Protected Objects, წესის ტიპი დამოკიდებული იქნება იმაზე, თუ როგორ დაიწერება რესურსის შაბლონი.
    • თუ ნიმუშის ბოლოს არის ნიშანი | , მაშინ შეიქმნება წესი, რომელიც საშუალებას აძლევს შეიცვალოს კონკრეტულად იმ ობიექტზე, რომელზედაც წვდომა პროგრამამ მიიღო. მაგალითად, პროგრამა ქმნის text.txt ფაილს სამუშაო მაგიდაზე. ის ემთხვევა შაბლონს " ?:\Users\*\Desktop\*| " ეს ნიშნავს, რომ შეიქმნება წესი, რომელიც საშუალებას იძლევა შეიცვალოს ფაილი C:\Users\Name\Desktop\text.txt.
    • თუ შაბლონის ბოლოს არ არის | , მაშინ შეიქმნება წესი, რომელიც საშუალებას გაძლევთ შეცვალოთ ნებისმიერი ობიექტი ამ შაბლონის მიხედვით. მაგალითად, პროგრამა ქმნის ფაილს D:\prog.exe. დაცული ობიექტების სიაში ეს ფაილი შეესაბამება *.exe შაბლონს. ეს ნიშნავს, რომ შეიქმნება წესი, რომელიც საშუალებას აძლევს ამ პროგრამას შეცვალოს ნებისმიერი exe ფაილი.
  • როდესაც პროგრამა წვდება რომელიმე ქვემოთ მოცემულ რესურსს, ავტომატურად იქმნება წესები, რომლებიც საშუალებას აძლევს მას ყველა მათგანზე ერთდროულად წვდომას:
    • "დაცული COM ინტერფეისები"
    • "Windows Hooks და Application Hooks",
    • "ინტერპროცესული მეხსიერების წვდომა"
    • "აპლიკაციის შეწყვეტა"
    • "DNS მოთხოვნები"
    • "დისკი" (პირდაპირი წვდომა),
    • "კლავიატურა",
    • "მონიტორი".

როგორც წესი, HIPS-ის ფაქტობრივი ოპერაციული პროცედურა ემთხვევა აღწერილს, მაგრამ ხდება სხვადასხვა გადახრები. მაგალითად, ზოგჯერ HIPS წესები იქმნება ავტომატურად, თუნდაც ინსტალერის პრივილეგიებით გაშვებული პროგრამებისთვის; ეს დაფიქსირდა, როდესაც Auto-Sandbox გამორთული იყო. ასევე იყო სიტუაცია, როდესაც პროგრამის წესებმა, რომლებიც შეიქმნა „სწავლის რეჟიმში“, არ აღრიცხავდა წვდომას მის მიერ მოთხოვნილ ყველა ფაილის ობიექტზე „პარანოიდულ რეჟიმში“.

აპლიკაციების იდენტიფიცირება მათი გზების მიხედვით

აშკარა წესები ითვალისწინებს მხოლოდ პროგრამის გზას. მისი მთლიანობა, უფრო სწორად, მისი რეიტინგი მოწმდება მხოლოდ "უსაფრთხო რეჟიმში" წესების არარსებობის შემთხვევაში. უნიკალური ბილიკის ნაცვლად, შეგიძლიათ გამოიყენოთ შაბლონები და გარემოს ცვლადები ანალოგიურად, ისევე როგორც თავად ფაილური ჯგუფები.

ადრე, ზოგჯერ შეინიშნებოდა, რომ პროგრამის გადარქმევის ან გადატანის შემდეგ, HIPS აღიქვამდა, რომ იგი იმავე ადგილას იყო. ეს გამოიხატა იმით, რომ ამ პროგრამისთვის მოქმედებდა წესები, სადაც ის იწერებოდა ძველ გზაზე და არ მოქმედებდა ახალი გზის წესები. პრობლემა მოგვარდა გადატვირთვით.

იმის გამო, რომ HIPS წესები ბილიკზეა დაფუძნებული, ვარიანტი „უსაფრთხო აპლიკაციებისთვის წესების შექმნა“ საშიშია. მაგალითად, თუ ის ჩართულია და Explorer აწარმოებს სანდო (ხელმოწერილ) პროგრამას C:\myDownloads\test.exe, მაშინ HIPS „Safe Mode“ ავტომატურად შექმნის წესებს; და სხვა დროს რაღაც სხვა გამოჩნდება test.exe-ის ნაცვლად. ამიტომ, გირჩევთ გამორთოთ ეს ვარიანტი.

პროცესის დაცვა

აპლიკაციის HIPS წესების ფანჯარაში შეგიძლიათ შეზღუდოთ არა მხოლოდ აპლიკაციის საკუთარი აქტივობა, არამედ სხვა პროგრამების გავლენა მის მუშაობაზე. ამისათვის, "დაცვის პარამეტრების" ჩანართში აირჩიეთ, რომელი მოქმედებები დაიბლოკება ამ აპლიკაციით, ხოლო გამონაკლისების ფანჯარაში (ღილაკი "შეცვლა") - რომელ პროგრამებს ექნებათ ამის უფლება. აქ შეტყობინებები არ არის - მხოლოდ ნებართვა ან აკრძალვა, განურჩევლად რეიტინგისა. ამ გზით აკრძალული ქმედება დაიბლოკება, მიუხედავად სხვა პროგრამების წესებისა და რეიტინგებისა.

კერძოდ, ამ ფუნქციის დახმარებით დსთ იცავს თავის პროცესებს განტვირთვისა და მეხსიერებაზე წვდომისგან. ამიტომ, მაშინაც კი, როდესაც HIPS არ არის საჭირო, მიზანშეწონილია მისი ჩართვა მინიმუმ ოფციით „არ მაჩვენო გაფრთხილებები: დაუშვა მოთხოვნები“ („უსაფრთხო“ ან „პარანოიდული“ რეჟიმში).

დსთ-ს თავდაცვის გვერდითი ეფექტი არის დიდი რაოდენობით ჩანაწერები Protection Events+ ჟურნალში ზოგიერთი პროგრამის გამოყენებისას, მაგალითად, ProcessExplorer. თქვენ შეგიძლიათ აღმოფხვრათ არასაჭირო ჩამკეტები ცალკეულ აპლიკაციებს CIS მეხსიერებაზე წვდომის მიცემით.

მე აღვნიშნავ, რომ თავად განაცხადის შეწყვეტისგან დაცვა არ მოიცავს პროცესის განტვირთვის ყველა გზას. ამრიგად, ბევრი აპლიკაციის (მაგრამ არა დსთ პროცესების) შეწყვეტა შესაძლებელია ფანჯრის შეტყობინებების საშუალებით (მაგალითად, System Explorer-ის მიერ) ან მეხსიერების წვდომის საშუალებით. აპლიკაციის დასაცავად ასეთი შეწყვეტის მეთოდებისგან, თქვენ უნდა შეამოწმოთ მისი წესები ჩანართზე „დაცვის პარამეტრები“ არა მხოლოდ „აპლიკაციის შეწყვეტის“ პუნქტი, არამედ „ფანჯრის შეტყობინებები“ და „ინტერპროცესური მეხსიერების წვდომა“.

პროცესის ჰაკერის პროცესის შეფერხების მეთოდს შეუძლია CIS-ის განტვირთვაც კი. ამ მეთოდის გამოყენების აკრძალვის მიზნით, შეგიძლიათ შეცვალოთ HIPS წესი „ყველა აპლიკაციის“ ჯგუფისთვის: პუნქტში „უსაფრთხო COM ინტერფეისები“ დააწკაპუნეთ „რედაქტირება“ და დაამატეთ ხაზი LocalSecurityAuthority. აღადგინეთ „დაბლოკილი“ ჩანართზე. თუმცა, ამ აკრძალვის გაკეთება არ არის რეკომენდებული, რადგან ეს Windows-ის განახლებისას პრობლემებს შექმნის.

ინსტალერის პრივილეგიები

ინსტალერის პრივილეგიების მნიშვნელობა

გარკვეულ პირობებში, აპლიკაცია იღებს ინსტალერის პრივილეგიებს, რომლებიც შემდეგია:

  1. HIPS საშუალებას აძლევს ასეთ აპლიკაციას ყველაფერი, რაც აშკარად არ არის აკრძალული წესებით, ე.ი. მუშაობს მსგავსი რეჟიმის „არ მაჩვენო სიგნალიზაცია: მოთხოვნების დაშვება“;
  2. Auto-Sandbox არ იზოლირებს ამ აპლიკაციის მიერ გაშვებულ პროგრამებს;
  3. ამ აპლიკაციის გაშვებისას, მისი შვილობილი პროცესები (ისევე როგორც მათი შვილობილი პროცესები და ა.შ.) მუშაობს ინსტალერის პრივილეგიებით;
  4. შესრულებადი ფაილები, რომლებსაც ეს აპლიკაცია ქმნის (ან შვილობილი პროცესები, რომლებიც მემკვიდრეობით იღებენ მის პრივილეგიებს) ავტომატურად დაემატება სანდო სიას (გარდა სკრიპტებისა და 40 მბ-ზე მეტი ზომის ფაილებისა).

ფაილები ავტომატურად ემატება სანდო ფაილებს მხოლოდ მაშინ, როდესაც ჩართულია „სანდო აპლიკაციები დაინსტალირებული სანდო ინსტალატორების გამოყენებით“ ჩანართზე „ფაილის შეფასება“ > „ფაილის შეფასების პარამეტრები“. ასევე, ზოგიერთ განსაკუთრებულ შემთხვევაში, ინსტალერის პრივილეგიები ენიჭება აპლიკაციებს "შეკვეცილი" ფორმით: გარეშე, მიუხედავად ამ ვარიანტის ჩართვისა.

და ბოლოს, გაითვალისწინეთ, რომ ინსტალერის აპლიკაციის გასვლისას, მისი შვილობილი პროცესები დაკარგავს მემკვიდრეობით მიღებულ პრივილეგიებს და HIPS გააკონტროლებს მათ ჩვეულებრივად. და მათი შემდგომი შვილობილი პროცესები დაეცემა Auto-Sandbox-ის კონტროლის ქვეშ.

ვთქვათ, ინსტალერი "A" იწყებს პროცესს "B" და "B" იწყებს პროცესს "C". როგორც წესი, ეს გამოიწვევს პროცესს "C" ინსტალერის პრივილეგიების მოპოვებას და მათ შენარჩუნებას მანამ, სანამ პროგრამა "A" მუშაობს, მაშინაც კი, როდესაც "B" პროცესი შეწყდება. მაგრამ პროგრამის "A" შეწყვეტის შემდეგ, პროცესი "C" დაკარგავს ამ პრივილეგიებს.

ინსტალატორის პრივილეგიებთან შედარებით, მემკვიდრეობა უფრო „სანდოა“: ის აგრძელებს გავლენას ბავშვის პროცესებზე მაშინაც კი, როცა ყველა მშობელი პროცესი შეწყდება. (თუმცა, დაფიქსირდა შეცდომა: ამ წესის მემკვიდრეობა წყდება, თუ HIPS-ის გაფრთხილებაზე არ არის პასუხი ბავშვის პროცესის დაწყებამდე 2 წუთით ადრე.)

პროგრამა იძენს ინსტალერის პრივილეგიებს სხვადასხვა გზით: ან როდესაც , ან როდესაც (თუ პროგრამა უცნობია და აქვს ინსტალერის ატრიბუტი), ან როდესაც , ან როდესაც , ან როდესაც პროგრამა მემკვიდრეობით იღებს ამ პრივილეგიებს საწყისი პროცესისგან. პროგრამას შეიძლება მიენიჭოს ინსტალერის პრივილეგიები მხოლოდ მაშინ, როდესაც მუშაობს ცოცხალ გარემოში Auto-Sandbox შეზღუდვების გარეშე. თუ პროგრამა იზოლირებულად ამოქმედდა, ის არ იღებს ამ პრივილეგიებს, მიუხედავად რაიმე ნიშნისა და წესისა.

აპლიკაციის ინსტალერის პრივილეგიების ავტომატურად მინიჭება

აპლიკაცია ავტომატურად იძენს ინსტალერის პრივილეგიებს, თუ მას სანდო აქვს და აქვს . ეს სტატუსი ენიჭება აპლიკაციებს, რომლებიც ითხოვენ ადმინისტრატორის უფლებებს გაშვებისას და ზოგიერთ სხვას.

CIS-ის წინა ვერსიებში პროგრამას ავტომატურად ენიჭებოდა ინსტალერის პრივილეგიები მხოლოდ მაშინ, როდესაც პროაქტიული დაცვის შეზღუდვები დამოკიდებული იყო პროგრამის რეიტინგზე. თუ პროგრამა გამოირიცხა Auto-Sandbox-დან და მიენიჭა სრულად განსაზღვრული HIPS პოლიტიკა (როგორიცაა სისტემის აპლიკაცია), მაშინ მას არ მიენიჭა ინსტალერის პრივილეგიები. CIS 8-ში, ინსტალერის პრივილეგიები მოცემულია მაშინაც კი, როდესაც HIPS და Auto-Sandbox გამორთულია. ერთადერთი დაფიქსირებული სიტუაცია, როდესაც პროგრამას აქვს სანდო ინსტალერის სტატუსი, არის თუ მისი შეზღუდვები HIPS-ში არ არის დამოკიდებული რეიტინგზე და Auto-Sandbox წესები გამორიცხავს მას იზოლაციისგან. მშობელიპროცესი თავის შვილებთან ერთად.

ინსტალერის პრივილეგიების მინიჭება HIPS სიგნალებისა და წესების მეშვეობით

ინსტალერის პრივილეგიები შეიძლება მიენიჭოს პროგრამას პირდაპირ HIPS-ის მეშვეობით: ისინი შეესაბამება ინსტალაციის ან განახლების პოლიტიკას.

როდესაც HIPS გაფრთხილება ხდება აპლიკაციის აქტივობასთან დაკავშირებით, შეგიძლიათ აირჩიოთ სასურველი პოლიტიკა გაფრთხილების ფანჯრიდან, დამახსოვრების გარეშე ან მის გარეშე.

თუ შეამოწმებთ დამახსოვრების ვარიანტს და აირჩევთ პოლიტიკას „ინსტალაცია ან განახლება“, შეიქმნება შესაბამისი HIPS წესი და აპლიკაცია მიიღებს ინსტალერის პრივილეგიებს. თუ აირჩევთ ამ პოლიტიკას დამახსოვრების ოფციის გარეშე, მაშინ წესი არ შეიქმნება და აპლიკაცია მიიღებს ინსტალატორის პრივილეგიების „შეკვეცილ“ ვერსიას: შექმნილი ფაილების სანდო ფაილებში ავტომატურად დამატების გარეშე (დროებით გაშვება „უცნობი ინსტალერი“ ავტომატური გარეშე -Sandbox შეზღუდვები).

CIS კონფიგურაციის ფანჯრის მეშვეობით შეგიძლიათ წინასწარ მიანიჭოთ აპლიკაციას ინსტალაციის ან განახლების პოლიტიკა HIPS წესების სიაში. ცხადია, ამ შემთხვევაში აპლიკაცია მიიღებს ინსტალერის პრივილეგიებს შეტყობინების გარეშე და სრულად.

პროაქტიული დაცვის ზოგადი მახასიათებლები და პარამეტრები

მოდით შევხედოთ ვარიანტებს, რომლებიც გავლენას ახდენენ პროაქტიული დაცვის მუშაობაზე მთლიანობაში: როგორც HIPS, ასევე Auto-Sandbox.

პროაქტიული დაცვის სხვადასხვა ვარიანტები

გაძლიერებული დაცვის რეჟიმის ჩართვა HIPS კონფიგურაციის ჩანართზე შექმნილია პროაქტიული დაცვის გვერდის ავლით Windows-ის 64-ბიტიან ვერსიებზე და უნდა შემოწმდეს ასეთ სისტემებზე. მაგრამ ამავე დროს, იგი მოიცავს აპარატურის ვირტუალიზაციის მხარდაჭერას, რაც საფრთხეს უქმნის კონფლიქტებს ვირტუალურ მანქანებთან.

ვარიანტი „ოპერაციული რეჟიმის ადაპტირება, როდესაც სისტემის რესურსები დაბალია“ საჭიროა მხოლოდ იმ შემთხვევაში, თუ არ არის საკმარისი ოპერატიული მეხსიერება. როდესაც ჩართულია, CIS იყენებს მეხსიერების დაზოგვის ტექნიკას, რათა თავიდან აიცილოს მისი ამოცანების ავარია. თუმცა, ეს ამცირებს პროდუქტიულობას.

ოფცია „დაბლოკეთ უცნობი მოთხოვნები, თუ აპლიკაცია არ მუშაობს“ განკუთვნილია მხოლოდ ინფიცირებული სისტემებისთვის და არ არის რეკომენდებული მუდმივი გამოყენებისთვის, რადგან ის ხელს უშლის უსაფრთხო აპლიკაციების სწორად გაშვებას. თუ ეს პარამეტრი ჩართულია, მაშინ დსთ-ს GUI-ის ჩატვირთვამდე, ყველა პროგრამა, განურჩევლად მათი რეიტინგისა, დაიბლოკება ნებისმიერი აქტივობისგან, გარდა იმისა, რაც აშკარად დაშვებულია HIPS-ის წესებში. სხვა სიტყვებით რომ ვთქვათ, GUI-ს ჩატვირთვამდე, HIPS-ის ქცევა მსგავსი იქნება „პარანოიდული რეჟიმის“ ოფციით „არ მაჩვენო გაფრთხილებები: დაბლოკე მოთხოვნები“. არ იქნება დაბლოკვა, თუ HIPS გათიშულია ან ჩართულია ოფციით „არ მაჩვენო გაფრთხილებები: დაუშვა შეკითხვები“.

ასევე, პროაქტიული დაცვის ზოგად პარამეტრებში შედის ვარიანტი "სანდო აპლიკაციები დაინსტალირებული სანდო ინსტალატორების გამოყენებით" ჩანართზე "ფაილის რეიტინგის დაყენება", ამის შესახებ.

კიდევ ერთი ვარიანტი, რომელიც გავლენას ახდენს პროაქტიული დაცვის მუშაობაზე, თუმცა განლაგებულია სხვა განყოფილებაში, არის „ფაილის მაქსიმალური ზომა“ ჩანართზე „ანტივირუსული მონიტორინგი“. თუ ფაილი არ არის ხელმოწერილი სანდო პროვაიდერის მიერ და მისი ზომა აღემატება მითითებულ ზომას, მაშინ ეს ფაილი აღიქმება როგორც ამოუცნობი, მაშინაც კი, თუ თქვენ ხელით დაამატებთ მას სანდო სიაში. ნაგულისხმევი ზომა არის 40 მბ, მისი გაზრდა შესაძლებელია, მაგრამ არა შემცირება. თუ ფაილს ხელს აწერს სანდო პროვაიდერი, ეს შეზღუდვა არ ვრცელდება.

HIPS > Protected Objects განყოფილებაში მითითებული პარამეტრები მნიშვნელოვანია არა მხოლოდ HIPS-ისთვის, არამედ Auto-Sandbox-ისთვისაც. ასე რომ, თუ აპლიკაცია გაშვებულია, მაშინ დაცული იქნება ზუსტად ის ფაილები და რეესტრის გასაღებები, რომლებიც ჩამოთვლილია ამ განყოფილების შესაბამის ჩანართებზე. ვირტუალურ გარემოში გაშვებული აპლიკაციებისთვის, ამ განყოფილების პარამეტრები ასევე მნიშვნელოვანია: "დაცული მონაცემებით საქაღალდეების" ჩანართზე ჩამოთვლილი დირექტორიების შინაარსი დაიმალება.

„HIPS“ > „დაცული ობიექტები“ > „დაბლოკილი ფაილები“ ​​სიაში შეტანილ ობიექტებს ეკრძალებათ ყოველგვარი წვდომა, მათ შორის როგორც წერაზე, ასევე კითხვაზე. ეს სია შეიცავს ბილიკებს და ფაილის ბილიკების შაბლონებს. დაბლოკვა მუშაობს მხოლოდ მაშინ, როდესაც HIPS ჩართულია.

მე აღვნიშნავ განსაკუთრებულ შემთხვევას: "სუფთა კომპიუტერის" რეჟიმი. ფორმალურად, ეს რეჟიმი ეხება HIPS-ს, მაგრამ სინამდვილეში ის განსაზღვრავს ყველა პროაქტიული დაცვის მოქმედებას. თუ ჩართავთ ამ რეჟიმს, მხოლოდ ის ფაილები, რომლებიც შემდგომ გამოჩნდება დისკზე, ჩაითვლება "დაუცნობად". ფაილები, რომლებიც ამ რეჟიმის ჩართვამდე იმყოფებოდნენ დისკზე, მიიღებენ სანდო უფლებებს: ორივე HIPS, Auto-Sandbox და firewall აღიქვამენ ამ „ძველ“ ფაილებს, თითქოს ისინი შეყვანილი იყვნენ სანდო სიაში. , რომ „სუფთა კომპიუტერის“ რეჟიმს აქვს გარკვეული პრობლემები და არ არის რეკომენდებული გამოსაყენებლად.

ფაილის დაცვის მახასიათებლები

როგორც უკვე აღვნიშნეთ, მხოლოდ ის ფაილები, რომლებიც შედის სიაში „HIPS“ > „დაცული ობიექტები“ > „დაცული ფაილები“ ​​ექვემდებარება დაცვას HIPS-ის ან Auto-Sandbox-ის გამოყენებით (ვირტუალიზაციის არარსებობის შემთხვევაში). თქვენ შეგიძლიათ გამოიყენოთ wildcards (* და ?) და გარემოს ცვლადები (%temp%, %windir% ა.შ.) ამ ფაილების დასაზუსტებლად, ისევე როგორც .

მინდა აღვნიშნო თარგების გამოყენების თავისებურება დირექტორიების დაცვისას. როგორც წესი, თუ თქვენ მიუთითებთ დირექტორიას დსთ ინტერფეისის მეშვეობით, ის ჩაიწერება შაბლონად: D:\Docs\* . ამ ტიპის შაბლონი შეესაბამება ფაილებსა და საქაღალდეებს, რომლებიც მდებარეობენ შერჩეულ დირექტორიაში D:\Docs, ისევე როგორც მის ქვეცნობარებში. ამ შაბლონის დამატება დაცული ფაილების სიაში ნიშნავს მის შესაბამისი ფაილების და საქაღალდეების დაცვას ცვლილებებისა და ცვლილებებისგან. თუმცა, არჩეული Docs დირექტორია არ არის დაცული სახელის გადარქმევისგან. თუ გადაარქმევთ მას, მაშინ მისი შინაარსი აღარ იქნება დაცული. დირექტორიას სახელის გადარქმევისგან დასაცავად, თქვენ უნდა დაწეროთ ის ხაზების და ვარსკვლავის გარეშე ბოლოს: D:\Docs. ამრიგად, დირექტორიასა და მისი შიგთავსის სრულად დასაცავად, დაცულ სიას უნდა დაემატოს ორი ხაზი: D:\Docs\* და D:\Docs . (შესაძლებელია ვარიანტი ერთი ხაზით - ბოლოს დატოვეთ ვარსკვლავი, ოღონდ დახაზვის გარეშე: D:\Docs*. მაგრამ ასეთი ნიმუში ერთდროულად დაიცავს დირექტორიებს D:\Docs, D:\Docs2 და ა.შ.)

სიაში HIPS > Protected Items > Protected Files, ბევრ შაბლონს აქვს | . ამ ნიშნის გამოყენება გავლენას ახდენს Auto-Sandbox-ის მიერ დაწესებულ შეზღუდვებზე. თუ რომელიმე პროგრამა მუშაობს Auto-Sandbox-ში შეზღუდვებით ვირტუალიზაციის გარეშე, მაშინ მას აეკრძალება ფაილების შექმნა, წაშლა ან შეცვლა, რომლებიც მითითებულია შაბლონებით | ბოლოს. ფაილები, რომლებიც მითითებულია შაბლონებით | ბოლოს, ასევე დაცული იქნება ცვლილებებისგან, მაგრამ პროგრამას, რომელიც შეზღუდულია Auto-Sandbox-ით, უფლება აქვს შექმნას ასეთი ფაილები, ასევე წაშალოს მის მიერ შექმნილი ფაილები (მაგრამ არა შეცვლა). მაგალითად, ნაგულისხმევად, პროგრამას, რომელიც მუშაობს ნაწილობრივ შეზღუდული შეზღუდვის დონით, უფლება აქვს შექმნას შესრულებადი ფაილები %PROGRAMFILES% დირექტორიაში, მაგრამ დაუშვებელია შესრულებადი ფაილების შექმნა გაშვების დირექტორიაში. ხაზგასმით აღვნიშნავ, რომ სიმბოლო | ეს არის Auto-Sandbox რეჟიმებში ვირტუალიზაციის გარეშე, რაც გავლენას ახდენს შეზღუდვებზე. როდესაც დაცულია HIPS-ის გამოყენებით, ფაილების შექმნა, წაშლა და მოდიფიკაცია აკრძალულია, მიუხედავად იმისა, რომ არსებობს | მათ შაბლონებში.

მოსახსნელ მოწყობილობებზე ბილიკების მითითების პრობლემაა. ფორმალურად, შეგიძლიათ შექმნათ HIPS, Auto-Sandbox ან სხვა კომპონენტის წესი მოსახსნელი მოწყობილობისკენ მიმავალი ბილიკის გამოყენებით, როგორიცაა H:\Docs\*, მაგრამ ასეთი წესი არ იმუშავებს: CIS არ იღებს მოსახსნელ დისკის ასოებს. ამასთან, მოსახსნელ მედიაზე იმუშავებს წესები, რომლებიც არ არის მიბმული დისკის ასოზე, მაგალითად, exe ფაილების დაცვაში. მეორეს მხრივ, ჯერ კიდევ შესაძლებელია Auto-Sandbox წესების შექმნა, რომლებიც შესრულდება სპეციალურად მოსახსნელ მედიაზე განთავსებული პროგრამებისთვის. მოცემულია ასეთი წესის მაგალითი.

როგორც მოსახსნელი მოწყობილობების შემთხვევაში, CIS არ მუშაობს სწორად ქსელის დისკის ასოებით: მონაცემები ქსელის დისკზე Y: შეიძლება არ ემთხვეოდეს შაბლონს Y:\* , ან თუნდაც ?:\* . ქსელის დისკის ასოების მქონე შაბლონების ნაცვლად, შეგიძლიათ გამოიყენოთ ისეთი შაბლონები, როგორიცაა \\network_resource_name* - ექსპერიმენტებმა აჩვენა, რომ ისინი სწორად მუშაობენ. კერძოდ, Yandex.Disk-ზე მონაცემების დასაცავად, რომელიც დაკავშირებულია ქსელის დისკზე WebDAV პროტოკოლით, შეგიძლიათ დაამატოთ ხაზი \\webdav.yandex* „დაცული ობიექტები“ > „დაცული ფაილები“ ​​სიაში.

ასევე უნდა ითქვას, რომ დსთ აღიქვამს არა მხოლოდ ფიზიკურ ფაილებს, როგორც "ფაილებს", არამედ სხვადასხვა სისტემის ობიექტებს, მაგალითად, ფიზიკურ ან ვირტუალურ მოწყობილობებს. ერთის მხრივ, ეს უზრუნველყოფს კონფიგურაციის მოქნილობას. მეორეს მხრივ, გახსოვდეთ ეს. ამიტომ, ასეთი ობიექტები არ იქნება დაცული ვირტუალურად გაშვებული პროგრამებისგან, მაშინაც კი, თუ არსებობს მკაცრი აკრძალვები HIPS-ის წესებში.

რეესტრის დაცვის მახასიათებლები

ფაილების მსგავსად, მხოლოდ ის რეესტრის გასაღებები, რომლებიც ჩამოთვლილია HIPS > დაცული ობიექტები > რეესტრის გასაღებების სიაში, დაცულია HIPS და Auto-Sandbox გამოყენებით.

რეესტრის გასაღებების დაყენებისას შეგიძლიათ დაწეროთ რეესტრის ბილიკის შაბლონები * და? .

განვიხილოთ, მაგალითად, სტრიქონი *\Software\Microsoft\Windows\CurrentVersion\Run*. მისი დასაწყისში * ნიშნავს, რომ იგი მოიცავს როგორც სისტემის რეესტრის გასაღებს HKEY_LOCAL_MACHINE, ასევე თითოეული მომხმარებლის ინდივიდუალურად HKEY_CURRENT_USER გასაღებს. გთხოვთ, გაითვალისწინოთ, რომ * ამ ხაზის ბოლოს არ არის გამოყოფილი ხაზით. ეს ნიშნავს, რომ ხაზი მოიცავს ორივე ქვეგანყოფილებას: Run და RunOnce. ამ კონკრეტული ხაზის მნიშვნელობა არის ამავე დროს დაცვა განსხვავებული ტიპები autoload: როგორც ზოგადი ავტომატური დატვირთვა, ასევე მომხმარებლის ავტოჩატვირთვა; როგორც მუდმივი, ასევე ერთჯერადი.

დსთ-ში წინასწარ დაინსტალირებული რეესტრის ჯგუფები იყენებენ გასაღების შემოკლებულ სახელებს: HKLM, HKCU და HKUS. ასევე, დსთ ინტერფეისის მეშვეობით რეესტრის ბილიკების მითითებისას, ეს აბრევიატურები ავტომატურად იცვლება. თუმცა, სინამდვილეში, HIPS-ის წესები, რომლებიც რეესტრის გასაღებების შემოკლებით წერს, შეიძლება არ იმუშაოს. ამიტომ, ყოველთვის უნდა მიუთითოთ რეესტრის გასაღებების სრული სახელები: მაგალითად, არა HKCU\SOFTWARE\Policies\*, არამედ HKEY_CURRENT_USER\SOFTWARE\Policies\*. თქვენ ასევე დაგჭირდებათ ბილიკების გამოსწორება წინასწარ განსაზღვრულ ჯგუფებში ჩანართზე HIPS ჯგუფები > რეესტრის ჯგუფები:

  • შეცვალეთ HKLM HKEY_LOCAL_MACHINE-ით
  • შეცვალეთ HKCU HKEY_CURRENT_USER-ით
  • შეცვალეთ HKUS HKEY_USERS-ით

ჩემი დაკვირვებით, CIS სწორად არ ესმის root რეესტრის აბრევიატურებს იმ შემთხვევებში, როდესაც მითითებული ბილიკი არის ბმული და არა "რეალური" მდებარეობა რეესტრში. ასეთი ბმული გზების მაგალითებია HKLM\SYSTEM\CurrentControlSet\*, HKCU\*.

HKEY_CURRENT_USER განყოფილების მითითების შესაძლო ვარიანტია HKEY_USERS* შაბლონი. ამ შაბლონს შეგიძლიათ დაამატოთ მომხმარებლის ID-ის ნაწილი. მაგალითად, ხაზი HKEY_USERS*1002\SOFTWARE\Policies\* განსაზღვრავს HKEY_CURRENT_USER განყოფილების SOFTWARE\Policies ფილიალს ერთი კონკრეტული მომხმარებლისთვის. ეს ტექნიკა შეიძლება გამოყენებულ იქნას იმისათვის, რომ შეზღუდულმა მომხმარებელმა არ შეცვალოს გაშვება, ასოციაციები და სხვა პარამეტრები.

წესების მოსახერხებელი და ვიზუალური შექმნისთვის რეკომენდებულია რეესტრის ჯგუფების გამოყენება:

  • გახსენით „HIPS“ ჩანართი > „HIPS Groups“ > „Registry Groups“ და შექმენით ახალი ჯგუფი კონტექსტური მენიუს მეშვეობით;
  • დაამატეთ რეესტრის გასაღებები ამ ჯგუფში და საჭიროების შემთხვევაში შეცვალეთ ბილიკები;
  • გახსენით „HIPS“ ჩანართი > „დაცული ობიექტები“ > „რეესტრის გასაღებები“ და დაამატეთ სიას ახალი ჯგუფი;
  • "HIPS წესების" ჩანართზე დააყენეთ საჭირო ნებართვები და შეზღუდვები ჯგუფების გამოყენებით.

წაიკითხეთ დაცვა

თქვენ შეგიძლიათ დაიცვათ მონაცემები არა მხოლოდ ცვლილებებისგან, არამედ, გარკვეულწილად, გარკვეული აპლიკაციების წაკითხვისგან. ამისათვის გამოიყენეთ „HIPS“ ჩანართი > „დაცული ობიექტები“ > „საქაღალდეები დაცული მონაცემებით“. ამ ჩანართზე სიაში დამატებული დირექტორიები დაცულია შემდეგნაირად:

  • პროგრამები, რომლებიც მუშაობენ, პრაქტიკულად აღიქვამენ ამ დირექტორიებს, როგორც ცარიელი;
  • პროგრამებს, რომლებიც მუშაობენ რეალურ გარემოში Auto-Sandbox შეზღუდვებით, ეკრძალებათ ამ დირექტორიების შინაარსის დათვალიერება;
  • პროგრამებს, რომლებსაც აქვთ დისკის რესურსი დაბლოკილი HIPS-ის გამოყენებით, ეკრძალებათ ამ დირექტორიების შინაარსის ნახვა (მაგრამ მათში შემავალი ფაილების გახსნა შესაძლებელია).

მინდა ხაზგასმით აღვნიშნო, რომ ვირტუალიზაციის გამოყენებისას, იზოლირებული აპლიკაციების მიერ დაცული საქაღალდეები აღიქმება როგორც ცარიელი, ხოლო მათი ფაილები, როგორც არარსებული. თუ პროგრამა შემოიფარგლება მხოლოდ HIPS-ით, მაშინ ის შეძლებს ფაილების გახსნას მათი გზების „შეცნობით“.

დსთ-ს ინტერფეისის საშუალებით შეგიძლიათ დაამატოთ „დაცული მონაცემებით საქაღალდეების“ სიაში მხოლოდ ის დირექტორიები, რომლებიც ჩანს Explorer-ში. თუ თქვენ გჭირდებათ მონაცემების დაცვა ფარული დირექტორიაში, დროებით უნდა დაუშვათ ფარული ფაილების და საქაღალდეების ჩვენება Explorer-ში (მაგალითად, საკონტროლო პანელის მეშვეობით).

CIS ინტერფეისი საშუალებას გაძლევთ დაამატოთ მხოლოდ ცალსახა დირექტორიის ბილიკები „დაცული მონაცემთა საქაღალდეების“ სიაში, მაგრამ არა ისეთი შაბლონები, როგორიცაა *\ReadProtected\*. ამ სიაში შაბლონის დამატების მცდელობამ კონფიგურაციის ფაილის რედაქტირებით შეიძლება გამოიწვიოს BSOD.

თქვენ უნდა დაამატოთ მხოლოდ ლოკალურ დისკებზე განთავსებული დირექტორიები „დაცული მონაცემებით საქაღალდეების“ სიაში. ფორმალურად, თქვენ შეგიძლიათ დაამატოთ მოსახსნელი მედია ან ვირტუალური დაშიფრული დისკები ამ სიაში, მაგრამ მათი დაცვა, როგორც წესი, არ მუშაობს.

ეს დაცვა შეიძლება მთლიანად გვერდის ავლით აპლიკაციებს, რომლებიც მუშაობენ როგორც ადმინისტრატორი. ასეთ აპლიკაციებს შეეძლებათ დაინახონ დაცული დირექტორიაში შიგთავსი და წაიკითხონ მასში არსებული მონაცემები, მაშინაც კი, თუ დაბლოკილია დისკზე წვდომა, მაშინაც კი, თუ ისინი მუშაობენ ვირტუალურ გარემოში და მაშინაც კი, თუ ისინი ქვიშის ყუთშია ჩადებული Auto-Sandbox-ში. როგორც "ნაწილობრივ შეზღუდული" ან "საეჭვო". მე მკაცრად გირჩევთ, რომ ჩართოთ UAC.

პროცესის მეხსიერების დაცვა

დსთ-ს შეუძლია ხელი შეუშალოს ზოგიერთ პროცესს სხვების მეხსიერების შეცვლაში. ამრიგად, პროგრამებს, რომლებიც გაშვებულია ვირტუალურად და/ან Auto-Sandbox შეზღუდვებით, ეკრძალებათ რეალურ გარემოში მიმდინარე პროცესების მეხსიერების შეცვლა. დამატებითი შეზღუდვები ინტერპროცესული მეხსიერების მოდიფიკაციაზე მითითებულია HIPS-ის წესებში.

CIS იცავს პროცესის მეხსიერებას ცვლილებებისგან, მაგრამ არა წაკითხვისგან. მაშინაც კი, თუ დაბლოკავთ მავნე პროგრამას Interprocess Memory Access-დან და თუნდაც ვირტუალურად გაუშვათ, ის შეძლებს რეალურ გარემოში მიმდინარე პროცესების მეხსიერებიდან მგრძნობიარე მონაცემების წაკითხვას. მე აღვნიშნავ, რომ ეს პრობლემა ეხება არა მხოლოდ Comodo Sandbox ვირტუალურ გარემოს, არამედ Sandboxie-საც.

ამავდროულად, მეხსიერების პროცესთაშორისი მოდიფიკაციისგან დაცვა ხელს უშლის მეხსიერების ნაგავსაყრელის შექმნას. როგორც ჩანს, აკრძალულია ნაგავსაყრელის შესაქმნელად საჭირო პროცესის შეჩერება, მაგრამ არა თავად მეხსიერების კითხვა.

ბრძანების ხაზის ანალიზი

ზოგიერთი ტიპის აპლიკაცია არ სრულდება დამოუკიდებლად, არამედ თარჯიმნის პროგრამების მეშვეობით. მაგალითად, bat სკრიპტების შესრულებას ახორციელებს სისტემის თარჯიმანი cmd.exe, vbs სკრიპტების შესრულება სისტემური თარჯიმანი wscript.exe, jar აპლიკაციების შესრულება პროგრამით javaw.exe, რომელიც ჯავის ნაწილია. ვირტუალური მანქანა და ა.შ. როდესაც თქვენ აწარმოებთ სკრიპტს (ან მსგავს აპლიკაციას), ის რეალურად აწარმოებს მის ასოცირებულ თარჯიმნის პროგრამას და იღებს სკრიპტის გზას ბრძანების ხაზის არგუმენტების სახით.

CIS მონიტორინგს უწევს გარკვეული თარჯიმნების გაშვებას და მიმართავს მათ შეზღუდვებს, რომლებიც მითითებულია ბრძანების ხაზის არგუმენტებში. ამის წყალობით, სკრიპტების ზოგიერთი ტიპი აღიქმება დსთ-ს მიერ, როგორც დამოუკიდებელ აპლიკაციებად: მათი აქტივობა შემოიფარგლება HIPS წესებით ან იწვევს სიგნალიზაციას, ხოლო Auto-Sandbox იზოლირებს სკრიპტების მუშაობას, რომლებიც არ არის სანდო. (სკრიპტებთან მუშაობის Auto-Sandbox-ის ზოგიერთი მახასიათებელი აღწერილია შესაბამის სტატიაში: შეუძლებლობა ან.) მათ მიერ შესრულებული სკრიპტები ასევე ნაჩვენებია თარჯიმნების ნაცვლად.

გაშვება და აქტივობა კონტროლდება აღწერილი წესით. სხვადასხვა სახისაპლიკაციები: *.bat, *.cmd, *.js, *.vbs, *.wsf, *.hta, *.chm, *.msi, *.jar და ა.შ. ბიბლიოთეკის ფაილები კონტროლდება იმავე გზით, როდესაც ისინი შესრულებულია სისტემის rundll32.exe პროგრამით.

ეს ქცევა დაყენებულია "Hips Configuration" ჩანართზე "ბრძანების ხაზის ევრისტიკული ანალიზის შესრულება კონკრეტული აპლიკაციებისთვის" პარამეტრით, რომელიც ჩართულია ნაგულისხმევად. თუ გამორთავთ მას, მაშინ სკრიპტები და მსგავსი აპლიკაციები შესრულდება იმავე უფლებებით, რაც მათ თარჯიმნებს აქვთ.

CIS 7-ში იყო შეცდომა: გრძელი ბილიკებით სკრიპტების გაშვება არ იყო კონტროლირებადი. შეცდომა დაფიქსირდა CIS 8.0-ში. ასევე, ყველა ვერსიაში 5.10 – დან 8.1 – მდე, იყო სერიოზული ბრძანების ხაზის ანალიზის დაუცველობა, რამაც შესაძლებელი გახადა ერთი პროგრამის გაშვება მეორის უფლებებით. ეს დაუცველობა თითქმის აღმოფხვრილია CIS 8.2-ში.

Shellcode ინექციის დაცვის ვარიანტი

"HIPS Configuration" ჩანართზე არის ვარიანტი "Detect shell code injection". როგორც სახელი გვთავაზობს, მისი ჩართვა მიზნად ისახავს ბუფერის გადინების შეტევების თავიდან აცილებას.

თუმცა, "Detect shell code injection" ვარიანტი კვლავ მოქმედებს დსთ-ს მუშაობაზე. უფრო სწორად, ამ პარამეტრის გამონაკლისების სიას აქვს ეფექტი, მიუხედავად იმისა, ჩართულია თუ არა იგი. შემდეგი მახასიათებლები შეინიშნება აპლიკაციების ფუნქციონირებაში, რომლებიც დამატებულია "shellcode დაცვის" გამორიცხვის სიაში:

ამავდროულად, HIPS აკონტროლებს აპლიკაციებს, რომლებიც გამორიცხულია "shellcode დაცვისგან" პროგრამების გაშვებისთვის, სხვა პროცესების მეხსიერებაში წვდომისთვის, ფანჯრის შეტყობინებების გაგზავნისთვის, ფაილების და რეესტრის შეცვლაზე, კლავიატურაზე წვდომისთვის და დისკზე წვდომისთვის. ასევე, თუ ეს აპლიკაციები ვირტუალურადაა გაშვებული (ან ხელით ან Auto-Sandbox წესების საფუძველზე), ფაილის და რეესტრის ცვლილებები არ უნდა იმოქმედოს რეალურ გარემოზე.

როგორც ჩანს, სწორედ guard(32|64).dll ბიბლიოთეკის იმპლემენტაციაა პასუხისმგებელი დსთ-ს იმ ფუნქციებზე, რომლებიც არ მუშაობს "shellcode დაცვის"გან გამორიცხულ აპლიკაციებზე.

ზოგჯერ პროგრამების დამატება გამონაკლისებში "გამოავლინეთ ჭურვის კოდის ინექცია" ოფციაში მოაგვარებს ზოგიერთ კონფლიქტს. ამრიგად, ჩვეულებრივ რეკომენდირებულია ამ გამონაკლისებს დაამატოთ VMware Player/Workstation პროგრამის დირექტორია, Alcohol პროგრამა, პროგრამა და მისი sandbox დირექტორია. ასევე იყო კონფლიქტი CIS ვერსია 8.2.0.4674 და Google Chrome ბრაუზერის 45.0.2454.85 შორის, რომელიც მოგვარდა chrome.exe ფაილის დამატებით ამ პარამეტრის გამონაკლისებში.

ვირუსკოპი

ვირუსკოპის გაფრთხილებები

ძირითადი პროაქტიული დაცვის საშუალებების - HIPS-ისა და Auto-Sandbox-ის გარდა, არის Viruscope კომპონენტი, რომელიც შექმნილია საეჭვო პროცესის აქტივობის დინამიური გამოვლენისთვის. მან უნდა გამოავლინოს საშიში ქცევა ამოუცნობიპროგრამებს და გასცემს გაფრთხილებას, რომელიც მოგთხოვთ, გააუქმოთ ცვლილებები კონკრეტული პროგრამისა და მისი შვილობილ პროცესების მიერ და წაშალოთ თავად პროგრამა.

თუ ჩანართზე „არ მაჩვენო გაფრთხილებები“ ჩართულია, მაშინ პროგრამები წაიშლება და ცვლილებები ავტომატურად დაიბრუნებს უკან (ასევე, თუ გაფრთხილებას 2 წუთის განმავლობაში არ უპასუხებთ).

უკან დაბრუნება იცვლება ხელით

პროგრამების დასრულება და მათ მიერ განხორციელებული ცვლილებების უკან დაბრუნება შესაძლებელია არა მხოლოდ საეჭვო აქტივობის აღმოჩენის შემთხვევაში, არამედ ხელითაც. ამისათვის გაუშვით KillSwitch დავალების მენეჯერი, გამოიძახეთ კონტექსტური მენიუ სასურველ პროცესზე და აირჩიეთ „პროცესის ხის დასრულება და განხორციელებული ცვლილებების დაბრუნება“. პროგრამის ფაილი არ არის წაშლილი. KillSwitch კონტექსტური მენიუს ელემენტი ხელმისაწვდომია მხოლოდ მაშინ, როდესაც ჩართულია Viruscope.

პროგრამების ხელით შეწყვეტისა და მათ მიერ განხორციელებული ცვლილებების უკან დაბრუნების კიდევ ერთი გზაა HIPS და firewall-ის გაფრთხილებები. როდესაც Viruscope ჩართულია, ამ გაფრთხილებებში ჩნდება დამატებითი ვარიანტი: „დაბლოკვა, დასრულება და ცვლილებების გაუქმება“. როდესაც თქვენ აირჩევთ ამ ელემენტს, გაფრთხილებაში მითითებული პროგრამა და მისი ყველა შვილობილი პროცესი დასრულდება და მათ მიერ განხორციელებული ცვლილებები გაუქმდება; პროგრამის ფაილი არ წაიშლება.

აქტივობის ანგარიში

როდესაც Viruscope ჩართულია, კონტექსტური მენიუში გამოჩნდება ახალი ელემენტი, რომელსაც ეწოდება CIS მთავარი ფანჯრიდან: „აქტივობის ჩვენება“. მასზე დაწკაპუნებით გაიხსნება ფანჯარა არჩეული პროგრამის აქტივობისა და მისი შვილობილ პროცესების შესახებ მოხსენებით.

ასევე, როდესაც Viruscope ჩართულია, ღილაკი "აქტივობის ჩვენება" გამოჩნდება დსთ-ს სხვადასხვა კომპონენტის გაფრთხილებებში. მასზე დაწკაპუნება ასევე ხსნის ანგარიშს სიგნალში მითითებული პროგრამის აქტივობის შესახებ.

უნდა ითქვას, რომ დსთ-ს ფანჯარაში საქმიანობის ანგარიშის წარდგენა შორს არის მოსახერხებელი. თუმცა, შეგიძლიათ გამოიყენოთ კონტექსტური მენიუ ამ მოხსენების XML ფაილში ექსპორტისთვის და ცალკე შესასწავლად.

თქვენ ასევე შეგიძლიათ ნახოთ აქტივობის ანგარიში KillSwitch ამოცანების მენეჯერის მეშვეობით: პროცესის თვისებების ფანჯარაში, რომელიც გამოძახებულია კონტექსტური მენიუდან, არის ჩანართი „პროცესის აქტივობა“. თუმცა, KillSwitch წარმოგიდგენთ ამ ანგარიშს დსთ-ზე უარესად და არ არსებობს ფაილში ექსპორტის ფუნქცია.

Viruscope კონტროლის შეზღუდვა მხოლოდ sandboxed პროგრამებით

ნაგულისხმევად, "Viruscope" ჩანართზე "Proactive Security" კონფიგურაციაში ჩართულია "Use Viruscope" ვარიანტი და "Apply Viruscope action only to apps in Sandbox" ოფცია გამორთულია. ამ კონფიგურაციაში ხდება ყველა პროცესის მონიტორინგი რეალურ და ვირტუალურ გარემოში. Viruscope-ის მუშაობა სპეციალურად ამ რეჟიმისთვის აღწერილია ზემოთ.

თუ მონიშნეთ ოფცია „Viruscope-ის მოქმედების გამოყენება მხოლოდ Sandbox-ის აპლიკაციებზე“, მაშინ მონიტორინგდება მხოლოდ იმ პროგრამების აქტივობა, რომლებიც მუშაობენ ვირტუალურ გარემოში ან შეზღუდულია Auto-Sandbox-ით. რეალურ გარემოში გაშვებული პროგრამებისთვის Auto-Sandbox შეზღუდვების გარეშე, აქტივობა არ ჩაიწერება და, შესაბამისად, არ იქნება მოხსენებული ამის შესახებ.

თუმცა, ამ პარამეტრის ჩართვის შემდეგ, HIPS და firewall-ის გაფრთხილებები კვლავ შეიცავენ ოფციას „დაბლოკვა, შესრულების შეწყვეტა და ცვლილებების გაუქმება“, ხოლო KillSwitch კონტექსტურ მენიუში იქნება ვარიანტი „პროცესის ხის დასრულება და განხორციელებული ცვლილებების დაბრუნება“. ფაქტობრივად, ამ ელემენტების არჩევა არ დააბრუნებს ცვლილებებს, არამედ მხოლოდ შეწყვეტს არჩეულ პროგრამას და მის შვილობილ პროცესებს.

ამომცნობი მენეჯმენტი

"Viruscope" ჩანართი აჩვენებს ფაილს, რომლის მონაცემებზე დაყრდნობითაც აპლიკაციის გარკვეული აქტივობა საეჭვოდ ითვლება. ეს ფაილი განსაზღვრავს ქცევის ნიმუშებს, რომლებმაც უნდა გამოიწვიონ Viruscope გაფრთხილებები. თუ თქვენ დააყენეთ ასეთი ფაილის სტატუსი გამორთულია, მაშინ აპლიკაციების შესაბამისი ქცევა არ გამოიწვევს Viruscope შეტყობინებებს და დაბლოკვას; მონიტორინგის პროგრამის აქტივობა გაგრძელდება.

ვირუსკოპის გამოყენების შეზღუდვები და პრობლემები

Viruscope არ გაძლევთ საშუალებას უკან დააბრუნოთ მოქმედებები, როგორიცაა ფაილების დისკიდან წაშლა. ასევე, საეჭვო პროცესის წინა ციკლებში განხორციელებული ცვლილებების უკან დაბრუნება შეუძლებელია. პროცესის მოქმედებების უკან დაბრუნებამ, რომელიც შეცდომით იქნა გამოვლენილი, როგორც საშიში, შეიძლება გამოიწვიოს მონაცემთა დაკარგვა (ეს რისკი ხდება „არ მაჩვენო გაფრთხილებების“ რეჟიმში).

CIS 7 ვერსიაში იყო სერიოზული პრობლემა - როდესაც Viruscope ჩართული იყო, არაპროგნოზირებადი ავარია მოხდა უსაფრთხო აპლიკაციებში. ეს წარუმატებლობა მოხდა დსთ-ს ჟურნალებში რაიმე შეტყობინებების ან ჩანაწერების არარსებობის შემთხვევაში, რაც ართულებს მიზეზის პოვნას. როგორც ჩანს, ჩავარდნები გამოწვეული იყო თავად პროცესის დაკვირვებით და არა საეჭვო ქცევის გამოვლენით.

CIS 8-ში, წინა ცნობილი კონფლიქტები აღარ ხდება. შესაძლოა პრობლემა მოგვარებულიყო. თუმცა, მისი სიმძიმისა და გამოვლენის სირთულის გამო, მე მაინც გირჩევთ ვირუსკოპის საწინააღმდეგოდ. ყველა შეზღუდვის გათვალისწინებით, Viruscope-ის დაცვის სარგებელი მცირეა.

Viruscope-ის უსაფრთხოდ გამოსაყენებლად, შეგიძლიათ ჩართოთ ის ოფციით "Viruscope-ის მოქმედების გამოყენება მხოლოდ Sandbox-ის აპლიკაციებზე". მაგრამ ამ შემთხვევაში, Viruscope-ის დანიშნულება იქნება არა დაცვა, არამედ ვირტუალურ გარემოში გაშვებული აპლიკაციების მუშაობის კვლევა.

გთხოვთ, ჩართოთ JavaScript სანახავად

ვაგრძელებთ 3D ბეჭდვის პლასტმასის დისკუსიას, მოდით, ყურადღება მივაქციოთ HIPS-ს. რა არის მისი მახასიათებლები? რისთვის არის ეს საუკეთესო? ამ კითხვებზე პასუხების ცოდნამ, ასევე ქვემოთ განხილული ზოგიერთი ნიუანსის ცოდნამ შეიძლება შემატოს თქვენი ცოდნის არსენალი 3D ბეჭდვის შესახებ, რაც საბოლოოდ დაგეხმარებათ ოპტიმალური შედეგების მიღწევაში. რა არის HIPS?

HIPS ძაფის შემადგენლობა

მაღალი ზემოქმედების პოლისტირონი (HIPS) არის თერმოპლასტიკური პოლიმერი. იგი მიიღება პოლიბუტადიენის დამატებით პოლისტირონში პოლიმერიზაციის დროს. ქიმიური ბმების წარმოქმნის შედეგად პოლისტირონი იძენს ბუტადიენური რეზინის ელასტიურობას და მიიღება მაღალი ხარისხის, გამძლე და ელასტიური ძაფი.

HIPS-ის, როგორც საბეჭდი მასალის უპირატესობები

HIPS-ის მრავალი მახასიათებელი მსგავსია ABS-ის, PLA-ს ან SBS-ის მახასიათებლებს, მაგრამ განსხვავდება უკეთესობისკენ:

  • მასალა არ შთანთქავს ტენიანობას, უკეთ მოითმენს გარემო პირობებს და არ ექვემდებარება დაშლას. უფრო დიდხანს ინახება შეფუთვის გარეშე გახსნისას.
  • რბილი, უკეთესად ემორჩილება მექანიკურ შემდგომ დამუშავებას.
  • სიმსუბუქე და დაბალი წყლის შთანთქმა შესაძლებელს ხდის გარკვეულ პირობებში შექმნას ობიექტი, რომელიც არ იძირება წყალში.
  • Undyed HIPS-ს აქვს ნათელი თეთრი ფერი, რაც მას ესთეტიკურ უპირატესობას ანიჭებს. მქრქალი ტექსტურა ვიზუალურად არბილებს პრინტის ფენებს და უხეშობას.
  • მისგან მზადდება პლასტმასის ჭურჭელი. კიდევ უფრო მნიშვნელოვანია ის ფაქტი, რომ ის უვნებელია ადამიანებისა და ცხოველებისთვის და არაკანცეროგენულია.

HIPS-ის, როგორც ძირითადი საბეჭდი მასალის გამოყენება

მას შემდეგ, რაც HIPS ობიექტი დაიბეჭდება, შესაძლებელია მისი დაფქვა, პრიმიტირება და მოხატვა, რათა მას სასურველი სახე მიეცეს. თუ შევადარებთ HIPS-ის მახასიათებლებს ამ ბოლო ეტაპზე, უნდა აღინიშნოს, რომ ყველა პროცედურა, რომელიც დაკავშირებულია შემდგომ დამუშავებასთან - დასრულება, დაფქვა, გაპრიალება და ა.შ. - უაღრესად მარტივად სრულდება ამ მასალაზე. შედეგად მიღებული ნაწილები და ობიექტები, რომლებიც იქმნება მხოლოდ ამ ძაფის გამოყენებით, არის ძლიერი და ზომიერად დრეკადი და, უპირველეს ყოვლისა, საკმაოდ მსუბუქი. HIPS უფრო რბილი და გლუვი მასალაა, უფრო ადვილი დასამუშავებელი მექანიკურად PLA ან ABS-ისგან განსხვავებით. HIPS პლასტმასის გამოყენებისას გირჩევთ ჩართოთ საქშენის აფეთქება (გაგრილება), ეს საშუალებას მისცემს ფენებს თანაბრად გამკვრივდეს და დაბეჭდილი ზედაპირი უფრო გლუვი გახდება.

მოდელები იბეჭდება HIPS პლასტმასით

HIPS, როგორც დამხმარე მასალა, HIPS ხსნადობა

HIPS ხსნადია ლიმონენში, უფერო თხევად ნახშირწყალბადში, ძლიერი ციტრუსის სუნით. ვინაიდან ისინი (HIPS და ლიმონენი) არანაირად არ ურთიერთობენ ABS-თან, HIPS შესანიშნავია საყრდენების დასამზადებლად და გაცილებით იაფია ვიდრე PVA.

HIPS-ის გამოყენება რთული ფორმების შესაქმნელად.

თუ პრინტერს აქვს ორი ექსტრუდერი, უბრალოდ დაამატეთ ABS კოჭა და HIPS კოჭა და მზად ხართ დაბეჭდოთ რთული დიზაინი, რომლის მიღწევაც რთული იქნება სხვა დამხმარე მასალებით. სხვათა შორის, ჩვენთან შეგიძლიათ შეიძინოთ ამ მასალის ნიმუში, HIPS ნიმუში 10 მეტრი სიგრძის.

კარგია სხვადასხვა ფერებში ბეჭდვისას: HIPS-დან საყრდენების ამოღების პროცესში, ეს დაგეხმარებათ იმის უზრუნველსაყოფად, რომ ისინი მთლიანად დაიშალა და დარჩეს მხოლოდ ABS ობიექტი.

რა მზადდება ჩვეულებრივ HIPS-ისგან სამრეწველო წარმოებაში?

ძალიან ხშირად, სათამაშოები მზადდება HIPS-ისგან, ასევე შეფუთვით და საყოფაცხოვრებო ნივთებით, საყოფაცხოვრებო ნივთები. ვინაიდან მასალა უვნებელია, მისგან ხშირად მზადდება ერთჯერადი დანაჩანგალი, ასევე თეფშები და ჭიქები.

HIPS ძაფის ექსტრუზია (ბეჭდვის პარამეტრები)

ნებისმიერ ძაფთან მუშაობის სწორი ტემპერატურა განსხვავდება პრინტერიდან პრინტერამდე, მაგრამ უმჯობესია ექსპერიმენტები დაიწყოთ 230-260°C-ით. თუ პრინტერს აქვს გაცხელებული პლატფორმა, HIPS-ის დაბეჭდვისას დააყენეთ მასზე ტემპერატურა 100°C-ზე. დაგეხმარებათ მიიღოთ უფრო გლუვი და მყარი ობიექტები. ასევე, კიდევ უფრო უკეთ რომ გახადოთ, სცადეთ პლატფორმაზე პოლიამიდის (კაპტონის) ლენტის წასმა ისე, რომ ზოლები არ გადაიკვეთოს.

სიფრთხილის ზომები HIPS-თან მუშაობისას

მიუხედავად იმისა, რომ HIPS არატოქსიკურია, ექსტრუზიის დროს ის ათავისუფლებს ნივთიერებებს, რამაც შეიძლება გამოიწვიოს რესპირატორული და თვალის გაღიზიანება, ამიტომ რეკომენდირებულია ბეჭდვა კარგად ვენტილირებად ადგილას.

თუ პრინტერის პლატფორმა ღიაა, უზრუნველყოთ ადეკვატური ვენტილაცია და ყოველთვის იმოქმედეთ უკიდურესი სიფრთხილით. გაცხელებულ ნივთიერებებთან დაუცველმა კონტაქტმა შეიძლება გამოიწვიოს კანის მძიმე დამწვრობა.

HIPS სისტემა, საკუთარი დრაივერის გამოყენებით, წყვეტს ყველა პროგრამულ ზარს OS ბირთვში. თუ პროგრამული უზრუნველყოფა ცდილობს განახორციელოს პოტენციურად საშიში მოქმედება, HIPS სისტემა ბლოკავს ამ მოქმედების შესრულებას და უგზავნის მოთხოვნას მომხმარებელს, რომელიც გადაწყვეტს დაუშვას ან აკრძალოს ამ მოქმედების შესრულება.

ნებისმიერი HIPS-ის საფუძველი არის წესების ცხრილი. ზოგიერთ პროდუქტში ის არანაირად არ იყოფა, ზოგიერთში კი იყოფა შუალედურ ცხრილებად, წესების ბუნების შესაბამისად (მაგალითად, ფაილების წესები, ქსელების წესები, სისტემის პრივილეგიების წესები და ა.შ.). სხვები ცხრილი დაყოფილია აპლიკაციებისა და მათი ჯგუფების მიხედვით. ეს სისტემები აკონტროლებენ გარკვეულ სისტემურ მოვლენებს (მაგალითად, ფაილების შექმნა ან წაშლა, რეესტრში წვდომა, მეხსიერებაზე წვდომა, სხვა პროცესების გაშვება) და ყოველ ჯერზე, როცა ეს მოვლენები მოხდება, HIPS ამოწმებს თავის წესების ცხრილს და შემდეგ მოქმედებს ცხრილში მითითებული პარამეტრების შესაბამისად. ქმედება ან დაშვებულია ან უარყოფილია, ან HIPS ეკითხება მომხმარებელს, რა ქმედება უნდა მიიღოს მან ამ კონკრეტულ შემთხვევაში.

HIPS-ის განსაკუთრებული მახასიათებელია ჯგუფური პოლიტიკა, რომელიც საშუალებას აძლევს ერთნაირი ნებართვების გამოყენებას კონკრეტულ ჯგუფში შემავალ ყველა აპლიკაციაზე. როგორც წესი, აპლიკაციები იყოფა სანდო და არასანდო, ასევე შესაძლებელია შუალედური ჯგუფები (მაგალითად, სუსტად შეზღუდული და ძალიან შეზღუდული). სანდო აპლიკაციებს არანაირად არ შემოიფარგლება მათი უფლებები და შესაძლებლობები, სუსტად შეზღუდულებს ეკრძალებათ სისტემისთვის ყველაზე საშიში მოქმედებების შესრულება, ძალზე შეზღუდულებს მხოლოდ ის მოქმედებები აქვთ დაშვებული, რომლებსაც არ შეუძლიათ მნიშვნელოვანი ზიანის მიყენება, ხოლო არასანდოებს არ შეუძლიათ პრაქტიკულად რაიმეს შესრულება. სისტემის მოქმედებები.

HIPS წესები შეიცავს სამ ძირითად კომპონენტს: საგანს (ანუ აპლიკაციას ან ჯგუფს, რომელიც იწვევს კონკრეტულ მოვლენას), მოქმედებას (დაუშვას, უარყოფს ან სთხოვოს მომხმარებელს) და ობიექტს (რაზე წვდომას ცდილობს აპლიკაცია ან ჯგუფი). ობიექტის ტიპის მიხედვით, წესები იყოფა სამ ჯგუფად:

  • ფაილები და სისტემის რეესტრი (ობიექტი – ფაილები, რეესტრის გასაღებები);
  • სისტემური უფლებები (ობიექტი – სისტემური უფლებები გარკვეული მოქმედებების შესასრულებლად);
  • ქსელები (ობიექტი - მისამართები და მათი ჯგუფები, პორტები და მიმართულებები).

HIPS-ის სახეები

  • HIPS სადაც გადაწყვეტილებას იღებს მომხმარებელი- როდესაც აპლიკაციის პროგრამირების ინტერფეისის (API) ფუნქციის ჩამჭრელი წყვეტს რაიმე აპლიკაციის ფუნქციას, გამოჩნდება შეკითხვა შემდგომი ქმედებების შესახებ. მომხმარებელმა უნდა გადაწყვიტოს გაუშვას თუ არა აპლიკაცია, რა პრივილეგიებითა თუ შეზღუდვებით გაუშვას იგი.
  • HIPS, რომელშიც გადაწყვეტილებას იღებს სისტემა- გადაწყვეტილებას იღებს ანალიზატორი, დეველოპერი ქმნის მონაცემთა ბაზას, რომელშიც შედის წესები და გადაწყვეტილების მიღების ალგორითმები.
  • "შერეული" HIPS სისტემა- გადაწყვეტილებას იღებს ანალიზატორი, მაგრამ როდესაც მას არ შეუძლია გადაწყვეტილების მიღება ან ჩართულია "მომხმარებლის გადაწყვეტილების მიღების" პარამეტრები, გადაწყვეტილება და შემდგომი ქმედებების არჩევანი რჩება მომხმარებლისთვის.

HIPS-ის უპირატესობები

  • სისტემის რესურსების დაბალი მოხმარება.
  • არ არის მომთხოვნი კომპიუტერის აპარატურაზე.
  • შეუძლია სხვადასხვა პლატფორმაზე მუშაობა.
  • უაღრესად ეფექტურია ახალი საფრთხეების წინააღმდეგ ბრძოლაში.
  • ძალიან ეფექტურია აპლიკაციის დონეზე მოქმედი rootkits-ის წინააღმდეგ (მომხმარებლის რეჟიმი).

HIPS-ის ნაკლოვანებები

  • ბირთვის დონეზე მოქმედი rootkits-ის წინააღმდეგობის დაბალი ეფექტურობა.
  • დიდი რაოდენობით მოთხოვნა მომხმარებლისთვის.
  • მომხმარებელს უნდა ჰქონდეს ოპერაციული პრინციპების ცოდნა

ცნობისმოყვარე გონება ხშირად უბიძგებს ტექნიკურად მცოდნე მომხმარებლებს თამამი ექსპერიმენტებისკენ. "ჩვენ ვართ ESET"-ის მკითხველმა დიმიტრი მინაევმა ჩაატარა საგანმანათლებლო პროგრამა HIPS წესების დახვეწაზე და მასზე უარის თქმა არ შეგვიძლია.

Host Intrusion Prevention System (HIPS) დაინერგა ESET ანტივირუსული პროდუქტების მე-4 თაობაში. ის იცავს თქვენს კომპიუტერს პოტენციურად საშიში პროგრამებისგან.

10 წელს გამოჩნდა ახალი მოდული, რომელიც შეიქმნა ბლოკერებისა და დაშიფვრის წინააღმდეგ საბრძოლველად. HIPS იყენებს გაფართოებულ ქცევის ანალიზს და ქსელის ფილტრაციის შესაძლებლობებს. ეს საშუალებას გაძლევთ აკონტროლოთ მიმდინარე პროცესები, ფაილები და რეესტრი.

HIPS სისტემა აერთიანებს უამრავ მოდულს სხვადასხვა სახის საფრთხეებთან საბრძოლველად. თითოეული მათგანის კონფიგურაცია შესაძლებელია ხელით, "საკუთარი თავისთვის".

"ქარხნული პარამეტრები" საკმარისი უნდა იყოს სახლის მომხმარებლისთვის (მაგალითად, "Anti-Ransomware" მოდული გააქტიურებულია HIPS-ში ნაგულისხმევად). თუ სასურველია, შეგიძლიათ მიუთითოთ მეტი მაღალი დონეშეზღუდვები (მაგრამ ამან შეიძლება გაზარდოს ცრუ პოზიტივის პროცენტი).

თუ კვლავ გსურთ პარამეტრებთან თამაში, ჩვენ გაჩვენებთ, თუ რა უნდა მოძებნოთ და გადავიდეთ HIPS სისტემის წესის შექმნის მარტივ მაგალითზე.

გაფრთხილება: HIPS სისტემის წინასწარ დაყენებული პარამეტრების შეცვლა რეკომენდებულია მხოლოდ გამოცდილი მომხმარებლებისთვის.

HIPS ოფციები გვხვდება გაფართოებული პარამეტრების განყოფილებაში:

F5 - ვირუსებისგან დაცვა -HIPS - ძირითადი

font-size:=" ">

ხელმისაწვდომია 4 ფილტრაციის რეჟიმი:

  • ავტომატური რეჟიმი: ყველა ოპერაცია ჩართულია (გარდა წინასწარ განსაზღვრული წესებით დაბლოკილი).
  • ჭკვიანი რეჟიმი: მომხმარებელი მიიღებს შეტყობინებებს მხოლოდ ძალიან საეჭვო მოვლენებზე.
  • ინტერაქტიული რეჟიმი: მომხმარებელს მოეთხოვება დაადასტუროს ტრანზაქცია.
  • პოლიტიკაზე დაფუძნებული რეჟიმი: ოპერაციები დაბლოკილია.

გარდა ამისა, არის ტრენინგის რეჟიმი, რომლის შესახებაც შეგიძლიათ გაეცნოთ.

font-size:=" ">

  • წესის სახელი - მომხმარებლის მიერ განსაზღვრული ან ავტომატურად არჩეული
  • მოქმედება - ოპერაციის შერჩევა, რომელიც შესრულდება გარკვეულ პირობებში (მაგალითად, ჩარევის დაშვება ან აკრძალვა მიმდინარე პროცესებში)
  • გავლენის ოპერაციები - შეარჩიეთ ოპერაციები, რომლებზეც გამოყენებული იქნება წესი. წესი გამოყენებული იქნება მხოლოდ ამ ტიპის ოპერაციებისთვის და არჩეული ობიექტისთვის. Ეს მოიცავსაპლიკაციები, ფაილებიდა რეესტრის ჩანაწერები.

font-size:=" ">

აპლიკაციები- ჩამოსაშლელი სიიდან აირჩიეთ „განსაკუთრებული აპლიკაციები“, დააწკაპუნეთ „დამატება“ და აირჩიეთ თქვენთვის სასურველი აპლიკაციები. ან აირჩიეთ ყველა აპლიკაცია.

ფაილები- ჩამოსაშლელი სიიდან აირჩიეთ „სპეციფიკური ფაილები“ ​​და დააწკაპუნეთ „დამატება“ ახალი ფაილების ან საქაღალდეების დასამატებლად. ან აირჩიეთ ყველა ფაილი.

რეესტრის ჩანაწერები- ჩამოსაშლელ სიაში აირჩიეთ „სპეციფიკური ჩანაწერები“ და დააწკაპუნეთ „დამატება“ ხელით შესაყვანად. ან გახსენით რეესტრის რედაქტორი, რომ აირჩიოთ პარამეტრი რეესტრში. თქვენ ასევე შეგიძლიათ აირჩიოთ „ყველა ჩანაწერი“ ყველა აპლიკაციის დასამატებლად.

ძირითადი ოპერაციები და პარამეტრები მოიცავს ოპერაციებს აპლიკაციებთან, ფაილებთან და რეესტრთან. მათი აღწერა შეგიძლიათ ნახოთ.

დამატებითი პარამეტრები:

  • ჩართულია - გამორთეთ ვარიანტი ისე, რომ წესი არ იყოს გამოყენებული, მაგრამ დარჩეს სიაში
  • ჟურნალი - ჩართეთ ვარიანტი, რომ წესების ინფორმაცია ჩაიწეროს HIPS ჟურნალში
  • შეატყობინეთ მომხმარებელს - მოვლენის გააქტიურება გამოიწვევს ეკრანის ქვედა მარჯვენა კუთხეში ამომხტარ ფანჯარას

HIPS პარამეტრების მაგალითი:
  1. დაარქვით წესს სახელი.
  2. მოქმედების ჩამოსაშლელი მენიუდან აირჩიეთ დაბლოკვა.
  3. ჩართეთ Notify მომხმარებლის გადამრთველი, რათა გამოჩნდეს ამომხტარი ფანჯარა ყოველ ჯერზე, როცა ეს წესი გამოიყენება.
  4. აირჩიეთ ოპერაცია, რომელზეც გავრცელდება წესი. წყაროს პროგრამების ფანჯარაში აირჩიეთ ყველა აპლიკაცია.
  5. აირჩიეთ "სხვა აპლიკაციის მდგომარეობის შეცვლა".
  6. აირჩიეთ კონკრეტული აპლიკაციები და დაამატეთ ერთი ან მეტი აპი, რომელთა დაცვაც გსურთ.
  7. დააწკაპუნეთ "შესრულებულია" წესის შესანახად.
font-size:=" ">

შეგიძლიათ მეტი გაიგოთ HIPS-ის შესახებ .

ჯერ კიდევ გაქვთ შეკითხვები? მიწერეთ



შეიძლება თქვენც დაგაინტერესოთ
მთვარის ასაკი 1 იანვარს
მთვარის ასაკი 1 იანვარს
მთვარის რიცხვი (L) გამოიყენება მთვარის სავარაუდო ასაკის გამოსათვლელად ფორმულის გამოყენებით: V = D + M + L V -...
რატომ ოცნებობთ ვარდებზე? ოცნების ინტერპრეტაცია. რატომ ოცნებობთ ფურცელზე ოცნების წიგნის მიხედვით ოცნებობთ ქორწილში ვარდის ფურცლების სროლაზე
რატომ ოცნებობთ ვარდებზე? ოცნების ინტერპრეტაცია. რატომ ოცნებობთ ფურცელზე ოცნების წიგნის მიხედვით ოცნებობთ ქორწილში ვარდის ფურცლების სროლაზე
ვარდის ფურცლების ოცნების ინტერპრეტაცია ფიქრი იმაზე, თუ რატომ ოცნებობენ ვარდის ფურცლები, რომანტიკული აზრები მაშინვე გიჩნდება თავში, მაგრამ რა...