Що таке HIPS. Найкращий експертний HIPS (проактивний захист)

Загальні відомості

Коли компонент HIPSвключений, активність програм обмежується відповідно до правил. Ситуації, для яких правило не задано, вирішуються залежно від режиму HIPS, рейтингу програм та інших умов.

Зазвичай Безпечний режим дозволяє довіреним програмам будь-яку активність, не заборонену правилами, крім запуску невідомих файлів. Запуск непізнаних програм, а також будь-яка дія цих програм припиняється оповіщеннями.

Параноїдальний режим припиняє оповіщення будь-яку активність будь-яких програм, не передбачену правилами.

У Режими навчання за будь-якої не передбаченої правилами активності будь-яких програм автоматично створюватимуться нові роздільні правила.

Правила представлені на вкладці HIPS → Правила HIPSу вигляді списку додатківта призначених їм наборів правил.

Як додатки можуть виступати точні шляхи до файлів, шаблони шляхів із символами * та? , а також групи файлів. У шляхах та їх шаблонах можна використовувати. Групи файлів - це набори шляхів чи шаблонів, які налаштовуються на вкладці Рейтинг файлів → Групи файлів. Підкреслю, що додатки у правилах HIPS ідентифікуються лише за їхніми шляхами, а не хешами тощо.

Набір правил, призначений програмі, складається з двох вкладок: «Права доступу» та «Налаштування захисту». На першій задаються права самого додатка, на другому – навпаки, його захист від інших програм. Додаток може мати або власний набір правил, або якийсь із заздалегідь сформованих наборів: вони налаштовуються на вкладці HIPS → Набори правил.

Набір правил «Системний додаток Windows» дозволяє будь-яку активність, набір «Дозволений додаток» - будь-яку, але не регламентує запуск дочірніх процесів; набір «Ізольована програма» жорстко забороняє будь-яку активність; набір «Обмежена програма» забороняє майже всі, крім віконних повідомлень та доступу до монітора, і не регламентує запуск дочірніх процесів. Можна не тільки створювати свої набори, а й міняти встановлені.

Починаючи з версії CIS 10.0.1.6223, набір правил HIPS «Ізольована програма» перейменований на «Додаток, запущений у Контейнері». На мій погляд, це помилковий переклад назви «Contained Application», оскільки насправді правила HIPS не мають жодного відношення до Контейнера (віртуального середовища). Щоб уникнути плутанини, рекомендую перейменувати цей набір назад у «Ізольований додаток», і в статті він називатиметься саме так.

Особливий випадок – набір правил «Установка або оновлення», він наділяє програми. Програми з такими привілеями вільно виконують будь-які дії (крім заборонених правилами), в т.ч. запускають будь-які програми, які дочірні процеси також отримують привілеї установника. Виконувані файли, створені такими програмами, автоматично стають довіреними.

Різні вихідні конфігурації COMODO Internet Security відрізняються і початковим набором правил, і контрольованим спектром діяльності програм. Для повного HIPS-захисту необхідно спочатку вибрати конфігурацію Proactive Securityі вже від неї вести подальше налаштування.

При обмеженні доступу до різних ресурсів HIPS спирається на дані розділу HIPS → Захищені об'єкти. Наприклад, файл або каталог може бути захищений від модифікації, лише якщо його повне ім'я підходить під будь-який шаблон на вкладці «Захищені файли». Так, якщо потрібно заборонити будь-якій програмі зміну файлів на диску D: (незалежно від їх типу), необхідно спочатку занести цей диск до списку захищених.

Після створення конкретних правил можна буде варіювати обмеження доступу до тих чи інших захищених об'єктів, натиснувши «Змінити» у стовпці «Винятки».

Найбільш доцільно використовувати HIPS Безпечний режим , відключивши опцію Створювати правила для безпечних програм, або в Параноїдальний. Тоді порядок визначення доступу програми до ресурсу буде таким:

Як бачимо, в HIPS дію «Запитати» виражає відсутність правила (на відміну від фаєрвола, де воно наказує показати оповіщення).

Отже, найвищий пріоритет має вкладка «Дозволені» найвищого правила, придатного для цієї програми; потім – вкладка «Заблоковані»; потім - зазначена у цьому правилі дія, якщо вона однозначна; потім - вкладка "Дозволені" наступного правила і т.д. За відсутності однозначного правила доступ дозволяється, якщо (i) діють привілеї установника, або (ii) програма є "довіреною", а режим HIPS - "Безпечним", або (iii) зазначено опцію "Не показувати оповіщення: Дозволяти запити". Якщо не виконується жодна з цих умов - доступ блокується, якщо зазначено опцію «Не показувати оповіщення: Блокувати запити», або видається оповіщення, якщо цю опцію вимкнено.

Особливий випадок: якщо програма виконується у віртуальному середовищі та/або з обмеженнями Auto-Containment, то без правила їй буде надано дозвіл (подібно до опції «Не показувати оповіщення: Дозволяти запити»). Крім того, у віртуальному середовищі взагалі відсутній захист файлів та реєстру, навіть при явно заданих заборонах.

Управління правами програм через оповіщення

При відповіді на оповіщення HIPS додаткам призначаються правила: тимчасово чи постійно, залежно від опції «Запам'ятати мій вибір».

Важливий момент: правила призначаються додатком, зазначеним у лівій частині оповіщення. Наприклад, якщо питається про запуск невідомої програми провідником, правила будуть призначені саме провіднику. Типові помилки новачків: вибрати в такому оповіщенні варіант «Заблокувати і завершити виконання» (вбивши тим самим процес провідника), або варіант «Ізольована програма» (жорстко обмеживши права провідника), або варіант «Встановлення або оновлення» (тим самим втративши майже весь захист ). Зазвичай найрозумніший вибір у сповіщенні про запуск програми - "Дозволити" або "Тільки заблокувати".

Варіанти "Дозволити" або "Тільки заблокувати" в різних оповіщеннях HIPS означають дозвіл або заборону лише щодо певного ресурсу. Наприклад, якщо дозволити застосунку створити файл C:\test\A.exe , спроба створити файл C:\test\B.exe знову призведе до оповіщення. Щоб дозволити застосунку створювати будь-які файли в каталозі C:\test, доведеться редагувати правило через вікно налаштування CIS. На жаль, у сповіщеннях не передбачено дозволів для каталогів, шаблонів, груп тощо. Однак через оповіщення можна застосувати до програми будь-який набір правил, заздалегідь створений на вкладці HIPS → Набори правил.

Якщо при відповіді на оповіщення включити в ньому опцію «Запам'ятати мій вибір», то зміниться набір правил, призначений для цього додатка; якщо ж для цієї програми немає правила HIPS - вона буде створена вгорі списку. При виборі варіанта Дозволитиабо Тільки заблокуватидо правил додасться дозвіл або заборона точно для певного ресурсу (файлу, COM-інтерфейсу і т.д.). При виборі будь-якого набору правилнові правила не додадуться до старих, а замінять їх, тобто. перестануть діяти правила, призначені цій програмі раніше.

Якщо вимкнути в оповіщенні опцію «Запам'ятати мій вибір», то призначені додатком дозволи, заборони або набори правил припинять дію із завершенням роботи цієї програми або навіть раніше, і жодних змін у конфігурації CIS не відбудеться. Щоб зрозуміти логіку роботи цих тимчасових правил, зручно уявити, що з кожній відповіді оповіщення (без запам'ятовування) створюється уявна запис у списку правил HIPS. Всі «уявні» записи розташовуються в списку правил нижче «справжніх» записів, але нові «уявні» - вище за інші «уявні». Це означає, що тому самому додатку можна кілька разів призначати через оповіщення різні набори правил (без запам'ятовування), і всі ці набори правил діяти. При цьому найвищий пріоритет матимуть «справжні» правила, потім найсвіжіше з «уявних», потім більш раннє і т.д. Але щойно буде створено якесь «справжнє» правило (із запам'ятовуванням) - всі «уявні» правила для всіх програм знищаться.

Наприклад, отримавши сповіщення про будь-яку програму, призначимо їй набір правил «Ізольована програма», без запам'ятовування. За промовчанням групі «Всі програми» дозволено змінювати тимчасові файли, тому ця програма все ще зможе це робити, незважаючи на те, що набір «Ізольована програма» це забороняє. Якщо ж призначити цей набір правил із запам'ятовуванням - зміна тимчасових файлів буде заборонена, тому що буде створено нове правило HIPS вгорі списку.

Помічені деякі винятки з описаного порядку роботи за вимкненої опції «Запам'ятати мій вибір». По-перше, не створюються «уявні» дозволи на запуск додатків (тобто при повторному запуску тієї ж програми знову виникне оповіщення). По-друге, якщо будь-якій програмі дозволити через оповіщення «зміна інтерфейсу користувача іншої програми», то вона тимчасово зможе відправляти віконні повідомлення будь-яким додаткам, а не тільки зазначеному.

Контроль запуску програм

Можливість запуску будь-якої програми задається в HIPS правилом для запускаєпрограми, а не для запуску. При «Параноїдальному режимі» запуск програм мовчки дозволяється лише за наявності явного дозволу в правилах. При «Безпечному режимі» без правила запуск дозволяється, якщо і програма, що запускає, і запускається є довіреними. Винятки - виконання програм із привілеями установника, а також під дією віртуалізації та/або обмежень Auto-Containment.

Припустимо, що при «Безпечному режимі» HIPS програма parent.exe запущена і намагається запустити програму child.exe . Без додаткових правил запуск відбудеться мовчки, тільки якщо обидві програми є довіреними. Якщо ж програма child.exe непізнана, а в правилах HIPS для програми parent.exe (або групи, що її містить) відсутній дозвіл на запуск програми child.exe (або містить її групи), то незалежно від правил HIPS для самої програми child.exe і незалежно від рейтингу програми parent.exe перед запуском виникне оповіщення (причому щодо саме програми parent.exe).

Таким чином, щоб дозволити виконання невідомої програми, мало задати дозвільні правила для неї самої – потрібен дозвіл на її запуск батьківського процесу, як варіант – групі «Всі додатки».

Якщо ж потрібно припинити запуск програми, то, отримавши оповіщення щодо батьківського процесу, зазвичай слід відключити опцію про запам'ятовування та вибрати Блокувати → Тільки заблокувати. Увага! Пункт «Заблокувати та завершити виконання» в оповіщенні про запуск програмиозначає завершення роботи батьківського процесу.

Можливість запуску будь-якої програми визначають правила не лише HIPS, а й Auto-Containment. Запуск буде заблоковано, якщо цього вимагає хоча б один із цих компонентів. Якщо запуск програми дозволено в правилах HIPS, а правила Auto-Containment наказують ізолювати цю програму- вона запускатиметься ізольовано.

Важливо знати, що, на відміну від Auto-Containment, в HIPS дочірній процес не успадковує батьківського обмеження: якщо дозволити сумнівній програмі запустити безпечну, то від імені безпечної програми може бути завдано шкоди.

Автоматичне створення правил HIPS у «Режимі навчання» та в «Безпечному режимі»

У певних режимах створення правил HIPS відбувається автоматично:

• якщо увімкнено «Режим навчання» та опцію «Не показувати оповіщення» вимкнено або встановлено в режим «Блокувати запити», то будуть створюватися правила, що дозволяють кожну помічену дію будь-яких додатків;
• якщо увімкнено «Безпечний режим», увімкнено опцію «Створювати правила для безпечних програм», а опцію «Не показувати оповіщення» вимкнено або встановлено в режим «Блокувати запити», то будуть створюватися правила, що дозволяють кожну помічену дію довірених додатків.

У більшості випадків ці режими не користуються і застосовуються лише для тестування або підготовки до переключення в «Параноїдальний режим».

Правила для програми (будь-який при «Режимі навчання» або довіреній при «Безпечному режимі») створюються таким чином:

Вигляд нового правила залежатиме від дії, що запитується:

• Коли одна програма запускає іншу, першою створюється правило, що дозволяє запускати конкретно певну програму.
• Коли програма змінює файл або ключ реєстру, який входить до списку на вкладці HIPS → Захищені об'єкти, вигляд правила залежатиме від того, як записаний шаблон цього ресурсу.
  • Якщо наприкінці шаблону стоїть знак | , то створиться правило, що дозволяє зміна саме об'єкта, якого звернулася програма. Наприклад, програма створює на робочому столі файл text.txt. Він відповідає шаблону?:\Users\*\Desktop\*| . Отже, буде створено правило, що дозволяє змінювати файл C:\Users\Name\Desktop\text.txt .
  • Якщо наприкінці шаблону відсутній знак | , то створиться правило, що дозволяє зміну будь-якого об'єкта за цим шаблоном. Наприклад, програма створює файл D:\prog.exe. У списку захищених об'єктів файл відповідає шаблону *.exe . Значить, створиться правило, що дозволяє цій програмі зміна будь-яких exe-файлів.
• При зверненні програми до будь-якого з наступних ресурсів автоматично створюються правила, що дозволяють їй доступом до них усім:
  • Захищені COM-інтерфейси,
  • Хуки Windows та хуки додатків,
  • Міжпроцесний доступ до пам'яті,
  • Переривання роботи додатків,
  • DNS-запити,
  • Диск(Прямий доступ),
  • Клавіатура,
  • Монітор.

Захист процесів

У вікні з правилами HIPS для будь-якої програми можна обмежити не тільки власну активність цієї програми, але й вплив на роботу інших програм. Для цього вкладці Налаштування захистувказується, які дії з цією програмою блокуватимуться, а у вікні виключень (кнопка Змінити) - яким програмам вони будуть дозволені. Оповіщення тут не передбачені – лише дозвіл чи заборона, незалежно від рейтингу. Заборонена таким чином дія блокуватиметься, незалежно від правил та рейтингу інших програм.

Зокрема, за допомогою цієї функції здійснюється самозахист CIS від вивантаження його процесів та доступу до пам'яті. Тому навіть коли HIPS не потрібен, бажано включити його хоча б з опцією «Не показувати оповіщення: Дозволяти запити» (в «Безпечному» або «Параноїдальному» режимі).

Побічним ефектом самозахисту CIS є величезна кількість записів у журналі «Події Захисту+» під час використання деяких програм, наприклад ProcessExplorer. Можна позбутися необов'язкових блокувань, дозволивши окремим програмам доступ до пам'яті групи COMODO Internet Security.

Зазначу, що сам собою захист від переривання роботи додатків не охоплює всіх способів вивантажити процес. Так, багато програм можна завершити за допомогою віконних повідомлень або за допомогою доступу до пам'яті. Щоб захистити програму від таких способів завершення, знадобиться в його правилах на вкладці «Налаштування захисту» не тільки пункт «Преривання роботи програм», але й інші.

Привілеї установника

Сенс привілеїв установника

За певних умов програма отримує привілеї установника, які полягають у наступному:

1. HIPS дозволяє такому додатку все, що не заборонено йому у правилах явно, тобто. працює подібно до режиму «Не показувати оповіщення: Дозволяти запити»;
2. Auto-Containment не ізолює програми, які запускаються цим додатком;
3. поки ця програма працює, її дочірні процеси (а також їх дочірні процеси тощо) виконуються з привілеями установника;
4. виконувані файли, які створює цю програму (або дочірні процеси, які успадкували його привілеї), автоматично стають довіреними.

Автоматичне занесення файлів до довірених відбувається лише при включеній опції «Довіряти додаткам, встановленим за допомогою довірених установників» на вкладці . Також у деяких особливих випадках привілеї установника даються додаткам у «усіченому» вигляді: без , або коли користувач відповідає дозволом (якщо програма непізнана і має ознаку установника), або коли програмі призначено відповідне , або коли це правило застосовано до неї , або коли програма успадковує ці привілеї від батьківського процесу.

Автоматичне наділення програми привілеями установника

Програма автоматично отримує привілеї інсталятора, якщо вона є довіреною і має ознаку інсталятора. Побачити, чи є додаток ознака установника, можна у списку активних процесів.

В яких властивостях програми полягає ознака установника, говорилося: судячи з експериментів, установниками вважаються програми, у яких в імені файлу або в File Version Info (у полі FileDescription, ProductName, InternalName або OriginalFilename) міститься слово install, setup або update; також установниками вважаються msi-файли.

У старих версіях CIS ознаки установника були іншими, зокрема, установниками вважалися програми, що запитують при запуску права адміністратора, програми, розмір яких перевищує 40 МБ, та ін. Через це багато прикладних програм помилково наділялися привілеями установника (зокрема, PortableApps- складання), що створювало очевидну небезпеку. У версії CIS 10 ця загроза є значно нижчою.

Призначення привілеїв установника через оповіщення Auto-Containment

У стандартній конфігурації «Proactive Security» під час запуску невідомої програми, що має ознаку установника, з'являється оповіщення, що пропонує вибір із чотирьох варіантів: «Блокувати», «Ізольований запуск», «Запуск без обмежень» при вимкненій опції «Довіряти цьому додатку» та «Запуск без обмежень» при включеній опції «Довіряти цьому додатку».

Варіант блокування означає заборону запуску. Варіант «Ізольований запуск» означає, що програма буде запущена ізольовано відповідно до правил Auto-Containment.

Якщо увімкнути опцію «Довіряти цій програмі» та вибрати пункт «Запуск без обмежень», то програма стане довіреною та запуститься з привілеями установника. Разом з тим, створиться правило Auto-Containment, що виключає дочірні процеси цієї програми з ізоляції. Зазвичай це правило немає сенсу, і я рекомендую його видалити.

Якщо ж вибрати пункт «Запуск без обмежень» при вимкненій опції «Довіряти цій програмі», то програма тимчасово запуститься з «усіченими» привілеями інсталятора, без довіри до створюваних файлів. Тобто. виконуються пункти, та, але не.

Взагалі, таке оповіщення виникає, якщо виконуються такі умови:

• компонент Auto-Containment включений,
• на вкладці Containment → Налаштування Containmentвключена опція «Виявляти програми, що вимагають підвищених привілеїв»,
• там же відключено опцію «Не показувати оповіщення при запитах підвищених привілеїв»,
• програма, що запускається, повинна, згідно з правилами Auto-Containment, запускатися віртуально та/або з обмеженнями,
• програма, що запускається, має ознаку установника або запитує при запуску права адміністратора.

Як бачимо, для показу оповіщення програма, що запускається, не обов'язково повинна бути непізнаною - потрібно лише, щоб правила Auto-Containment наказували її ізолювати. Крім того, програма може вимагати при запуску права адміністратора, але не бути інсталятором.

Якщо увімкнути опцію «Не показувати оповіщення при запитах підвищених привілеїв», то в меню цієї опції можна буде вибрати автоматичну ізоляцію (рекомендується) або блокування невідомих установників без оповіщень. Також там представлені варіанти "Запускати без обмежень" та "Запускати без обмежень і довіряти" - зрозуміло, вибирати їх дуже небезпечно.

Призначення привілеїв установника через оповіщення та правила HIPS

Привілеї інсталятора можуть бути призначені програмі явно через HIPS: їм відповідає правило «Встановлення або оновлення».

Коли виникає повідомлення HIPS щодо активності будь-якої програми, можна у вікні цієї оповіщення вибрати Обробити як → Встановлення або оновлення, із запам'ятовуванням чи без.

Якщо відзначити опцію про запам'ятовування та вибрати варіант «Установка або оновлення», то буде створено відповідне правило HIPS і програма отримає привілеї інсталятора. Якщо ж вибрати цей варіант без опції про запам'ятовування, правило не створиться, а додаток отримає «усічений» варіант привілеїв установника, без довіри створюваним файлам (тимчасовому запуску непізнаного установника без обмежень Auto-Containment).

Через вікно налаштування CIS можна заздалегідь призначити програмі правило HIPS «Встановлення або оновлення». Вочевидь, у разі додаток отримає привілеї установника без оповіщень й у повною мірою.

Довіра файлам, створеним з привілеями інсталятора

Як уже сказано, виконувані файли, створювані довіреними інсталяторами, автоматично стають довіреними, якщо увімкнена опція «Довіряти додаткам, встановленим за допомогою довірених інсталяторів» на вкладці Рейтинг файлів → Налаштування рейтингу файлів. Також говорилося, що інформація про створення файлів довіреними інсталяторами заноситься до бази даних, навіть якщо цю опцію вимкнено.

Судячи з експериментів, при відключеній опції ДПУПДУ в базу CIS заноситься інформація про створення файлів безпосередньо довіреними установниками, а не будь-якими програмами, що мають привілеї установника. Тобто. якщо файл створений дочірнім процесом довіреного інсталятора або програмою, що отримала привілеї інсталятора на підставі правил HIPS, то не вважається, що цей файл створений довіреним інсталятором. Але якщо опція ДПУПДУ включена, то файли, створені будь-якими програмами, які так чи інакше отримали привілеї установника, відзначаються в базі як створені довіреними установниками.

Визначаючи, чи створено файл під дією привілеїв інсталятора, CIS розрізняє створення та копіювання файлу. Так, якщо програма, що має привілеї інсталятора, виконає звичайне копіювання файлу, файл від цього ще не стане довіреним. Але якщо під дією привілеїв установника відбудеться, наприклад, вилучення файлу з архіву - CIS довірятиме цьому файлу і всім ідентичним йому (при включеній опції ДПУПДУ).

Певною мірою привілеї установника працюють у віртуальному середовищі: якщо довірений установник виконується віртуально, але створює файли в реальному середовищі (в області загального доступу), то ці файли відзначаються в базі як створені довіреним установником. Аналогічна ситуація виникає під час роботи у реальному середовищі з обмеженнями Auto-Containment. На мій погляд, це недоробка, причому потенційно небезпечна.

Хоча опція ДПУПДУ підвищує зручність використання CIS, є певний сенс у її відключенні. Зокрема, коли ця опція включена, CIS може довіряти потенційно небажаним програмам, які встановлюються разом із безпечними програмами.

Буває, що установник будь-якої програми, навіть якщо є довіреним, у процесі роботи створює та запускає невідомі програми. Зазвичай CIS не перешкоджає їх роботі, оскільки вони успадковують привілеї установника. Однак, як сказано вище, успадковані привілеї діють не завжди (що виправдано міркуваннями безпеки), і іноді в процесі установки може спрацювати проактивний захист. Якщо це виявиться лише оповіщенням HIPS, то для продовження встановлення достатньо відповісти на нього. Але якщо HIPS налаштований на блокування без оповіщень або якщо використовується Auto-Containment, виникає ризик некоректної установки програми. Цей ризик особливо високий, якщо вимкнено опцію «Довіряти програмам, встановленим за допомогою довірених установників» або «Виявляти програми, які потребують підвищених привілеїв».

Щоб установка програм проходила без перешкод із боку CIS, пропоную запускати інсталятори через спеціальний пункт контекстного меню. Для цього буде використовуватися найпростіша програма, яка запускає файл, вказаний у аргументах командного рядка. Потрібно завантажити архів із програмою (пароль cis), помістити програму в будь-яке зручне місце, додати її в довірені та запустити – буде запропоновано додати в контекстне меню провідника новий пункт (його видалення виконується повторним запуском). Програма написана на AutoIt3, у папці source додається вихідний код та конвертер: у разі сумнівів ви можете згенерувати аналогічну програму, перевіривши її код та підпис конвертера.

Потім потрібно призначити цій програмі правило HIPS «Встановлення та оновлення», а також правило Auto-Containment:

• вибрати дію «Ігнорувати»,
• в умовах вказати розташування програми,
• залишити вимкненою опцію «Не застосовувати обрану дію до дочірніх процесів».

Тепер, щоб установка будь-якої безпечної програми пройшла безперешкодно, буде достатньо викликати на установнику, утримуючи клавішу Shift , контекстне меню і вибрати "COMODO: запустити як установник". У результаті навіть коли сама програма-установник завершить роботу, її дочірні процеси продовжать виконуватися з привілеями установника. Ці привілеї знімуться після закриття спеціального вікна з текстом «Натисніть OK після завершення встановлення». Але навіть тоді ці процеси залишаться виключеними із контролю Auto-Containment.

Принцип роботи HIPS (Host-based Intrusion Prevention System): детальний опис. Загальні параметри HIPS та Auto-Sandbox у Comodo Internet Security 8. Viruscope

HIPS

Режими HIPS

Коли компонент HIPS увімкнено, активність програм обмежується відповідно до правил. Наявні правила встановлюють дозволи для деяких системних програм, а в інших випадках наказують запитувати користувача. Користувач може додавати свої правила через інтерфейс вкладки «Правила HIPS», або вони будуть створюватися за допомогою відповідей на оповіщення, або створюватися автоматично при включеному «Режимі навчання». Можна вимкнути оповіщення, наказавши завжди дозволяти або завжди забороняти активність без правила.

Показ сповіщень про програму залежить від режиму HIPS. У «Безпечному режимі» оповіщення видаватимуться лише щодо непізнаних програм, довіреним же мовчки надаватиметься дозвіл (за відсутності забороняючого правила) на будь-яку дію, крім запуску будь-якої непізнаної програми. У "Параноїдальному режимі" оповіщення виникнуть для всіх програм, незалежно від репутації.

У режимі «Чистий ПК» оповіщення з'являються лише нових непізнаних програм, тобто. яких раніше не було на диску, а «старі» сприймаються подібно довіреним у «Безпечному режимі». Режим «Чистий ПК» працює так: з включення цього режиму відстежується створення нових програм, тобто. виконуваних файлів. Якщо нова програма менше 40 МБ і не має репутації «довіреної», то вона заноситься як «невідома». Лише програми зі списку непізнаних будуть обмежені в правах. Інші програми, менші 40 МБ, будуть сприйматися аналогічно довіреним: такими їх сприйме і HIPS, і Auto-Sandbox, і фаєрвол.

Режим «Чистий ПК» є дуже проблемним, і я не рекомендую його використовувати. Зокрема, якщо при цьому режимі помістити нову невідому програму в будь-який каталог і змінити його ім'я, то програма вважатиметься «старою», тобто. отримає дозволи. Проте можна реалізувати коректно працюючий аналог режиму «Чистий ПК» у «Безпечному режимі» шляхом додавання всіх виконуваних файлів довіреним способом, запропонованим у .

Порядок роботи «Безпечного режиму» із включеною опцією «Створювати правила для безпечних програм», а також «Режиму навчання» . Робота в режимі «Чистий ПК» подібна до «Безпечного», але відрізняється тим, що непізнані файли, що знаходилися на диску до включення цього режиму, будуть оброблятися аналогічно довіреним («довіряти» їм буде не тільки HIPS, але і Auto-Sandbox, і фаєрвол ).

Обговорю особливий випадок: якщо програма виконується у віртуальному середовищі та/або з обмеженнями Auto-Sandbox, то без дозволу або забороняючого правила буде дано дозвіл (подібно до опції «Не показувати оповіщення: Дозволяти запити»). У віртуальному середовищі захисту файлів та реєстру взагалі не буде, навіть за явно заданих заборон. Але, звичайно, на цю програму та її дочірні процеси накладуться віртуального середовища та/або Auto-Sandbox.

Управління правами програм через оповіщення

Якщо у повідомленні HIPS вибрати «Дозволити» або «Тільки заблокувати», ця роздільна здатність або заборона діятиме лише щодо певного ресурсу. Наприклад, якщо дозволити застосунку створити файл C:\test\A.exe , спроба створити файл C:\test\B.exe знову призведе до оповіщення. Щоб дозволити застосунку створювати будь-які файли в каталозі C:\test, доведеться редагувати правило через вікно налаштування CIS. На жаль, у сповіщеннях не передбачено дозволів для каталогів, шаблонів, груп тощо.

Помічено один виняток: якщо будь-якій програмі дозволити через оповіщення «зміна інтерфейсу користувача іншої програми», то створиться правило, що дозволяє цій програмі відправляти віконні повідомлення будь-яким додаткам, а не тільки зазначеному.

Однак через оповіщення можна застосувати до застосування заздалегідь створену політику. Ці політики створюються на вкладці «HIPS» > «Набори правил». Попередня політика «Системний додаток Windows» дозволяє будь-яку активність, політика «Дозволений додаток» — будь-яку, але не регламентує запуск дочірніх процесів; політика «Ізольована програма» жорстко забороняє будь-яку активність; політика «Обмежена програма» забороняє майже все, крім віконних повідомлень та монітора, і не регламентує запуск дочірніх процесів. Можна не лише створювати свої політики, а й змінювати встановлені.

Дозволи, заборони та політики, призначені будь-якому додатку через оповіщення, діють по-різному, залежно від того, чи в оповіщенні опція «Запам'ятати мій вибір» включена. Якщо увімкнути цю опцію та вибрати варіант «Дозволити» або «Тільки заблокувати», то зміниться призначений цій програмі набір правил: до нього додасться дозвіл або заборона точно для певного ресурсу (файлу, інтерфейсу і т.д.). Якщо ж увімкнути опцію «Запам'ятати мій вибір» і вибрати будь-який набір правилнові правила не додадуться до старих, а повністю замінять їх; тобто. перестануть діяти правила, призначені цій програмі раніше. Якщо для цієї програми немає правила HIPS, вона буде створена вгорі списку.

Якщо вимкнути в оповіщенні опцію «Запам'ятати мій вибір», то призначені додатком дозволи, заборони або політики припинять дію із завершенням роботи цієї програми або навіть раніше, і жодних змін у правилах не відбудеться. Щоб зрозуміти логіку роботи цих тимчасових правил, зручно уявити, що при кожній відповіді на сповіщення (без запам'ятовування) створюється «фантомний» запис у списку правил HIPS. Всі «фантомні» записи розташовуються в списку правил нижче «справжніх» записів, але нові «фантомні» — вище за інші «фантомні». Це означає, що одному й тому додатку можна кілька разів призначати через оповіщення різні політики (без запам'ятовування), і всі ці політики діятимуть. При цьому найвищий пріоритет матимуть «справжні» правила, потім найсвіжіше з «фантомних», потім більш раннє і т.д. Але щойно буде створено якесь «справжнє» правило (із запам'ятовуванням) — усі «фантомні» правила для всіх програм знищаться.

Наприклад, призначимо будь-якій програмі політику «Ізольована програма», без запам'ятовування. За промовчанням групі «Всі програми» дозволено змінювати тимчасові файли, тому ця програма все ще зможе це робити, незважаючи на те, що політика «Ізольована програма» це забороняє. Якщо ж призначити цю політику із запам'ятовуванням — зміна тимчасових файлів буде заборонена, оскільки буде створено нове правило HIPS вгорі списку.

Контроль запуску програм

Можливість запуску будь-якої програми задається в HIPS правилом для запускаєпрограми, а не для запуску. При «Параноїдальному режимі» запуск програм мовчки дозволяється лише за наявності явного дозволу в правилах (за ). При «Безпечному режимі» без правила запуск дозволяється, якщо і програма, що запускає, і запускається, мають репутацію «довірених».

Припустимо, що при «Безпечному режимі» HIPS програма parent.exe запущена і намагається запустити програму child.exe . Без додаткових правил запуск відбудеться мовчки, тільки якщо обидві програми є довіреними. Якщо ж програма child.exe непізнана, а в правилах HIPS для програми parent.exe (або групи, що її містить) відсутній дозвіл на запуск програми child.exe (або містить її групи), то незалежно від правил HIPS для самої програми child.exe і незалежно від рейтингу програми parent.exe перед запуском виникне оповіщення (причому щодо саме програми parent.exe).

Таким чином, щоб дозволити виконання невідомої програми, мало задати дозвільні правила для неї самої - потрібен дозвіл на її запуск батьківського процесу, як варіант - групі "Всі додатки".

Якщо ж потрібно припинити запуск програми, то, отримавши сповіщення щодо батьківського процесу, слід вимкнути опцію про запам'ятовування та вибрати "Блокувати" > "Тільки заблокувати".

Увага! Пункт «Заблокувати та завершити виконання» в оповіщенні про запуск програмиозначає завершення роботи батьківського процесу. Також і вибір будь-якої політики (тобто набору правил) у цьому оповіщенні призначить її саме батьківському процесу. Відповідно, включення опції «Запам'ятати мій вибір» у такому оповіщенні призведе до створення/зміни правила HIPS для батьківського процесу. Типова помилка користувачів — вибір політики в оповіщенні про запуск програми провідником. А правильний порядок дій — спочатку лише дозволити запуск, а політику вибрати у подальшому оповіщенні про свою активність програми.

Важливо знати, що, на відміну від Auto-Sandbox, у HIPS дочірній процес не успадковує батьківського обмеження: якщо дозволити сумнівній програмі запуск програми, що має дозволи, то безпека опиниться під загрозою.

Можливість запуску будь-якої програми визначають правила як HIPS, а й . Запуск буде заблоковано, якщо цього вимагає хоча б один із цих компонентів. Якщо ж запуск дозволено в правилах HIPS, а правила Auto-Sandbox наказують ізолювати цю програму - вона запускатиметься ізольовано.

Описаний порядок роботи має певні винятки. Перший виняток стосується програм, які вже ізольовані у Sandbox. Дочірні процеси цих програм будуть ізольовані так само, не підкоряючись іншим правилам Auto-Sandbox. Повідомлень HIPS про їх запуск не буде: лише за наявності явного забороняючого правила HIPS відбудеться блокування. Інакше кажучи, робота HIPS для таких програм подібна до включення опції «Не показувати оповіщення: Дозволяти запити».

Інший виняток - програми, що мають привілеї установника. Їхні дочірні процеси не підкоряються правилам Auto-Sandbox (це поведінка) і не викликають сповіщень HIPS. Вони підкоряються лише явним заборонам у правилах HIPS, подібно до включеної опції «Не показувати оповіщення: Дозволяти запити» (ця поведінка налаштуванню не піддається).

Третій виняток - програми, що мають в Auto-Sandbox правило дію "Ігнорувати" з відключеною опцією " ". Такі програми просто виключені із контролю Auto-Sandbox разом зі своїми дочірніми процесами. Правила HIPS до них застосовують у звичайному порядку.

Автоматичне створення правил HIPS у «Режимі навчання» та в «Безпечному режимі»

У певних режимах створення правил HIPS відбувається автоматично:

• якщо увімкнено «Режим навчання» та опцію «Не показувати оповіщення» вимкнено або встановлено в режим «Блокувати запити», то відстежуватиметься активність усіх додатків та створюватимуться правила, що дозволяють кожну їхню помічену дію;
• якщо увімкнено «Безпечний режим», увімкнено опцію «Створювати правила для безпечних програм», а опцію «Не показувати оповіщення» вимкнено або встановлено в режим «Блокувати запити», то будуть створюватися правила, що дозволяють кожну помічену дію довірених додатків.

У більшості випадків ці режими не користуються і використовуються лише для тестування або підготовки до переключення в «Параноїдальний режим».

Правила для програми (будь-який при «Режимі навчання» або довіреній при «Безпечному режимі») створюються таким чином:

Вигляд нового правила залежатиме від дії, що запитується:

• Коли одна програма запускає іншу, першою створюється правило, що дозволяє запускати конкретно певну програму.
• Коли програма змінює файл або ключ реєстру, що входить до списку на вкладці «HIPS» > «Захищені об'єкти», вигляд правила залежатиме від того, як записано шаблон цього ресурсу.
  • Якщо наприкінці шаблону стоїть знак | , то створиться правило, що дозволяє зміна саме об'єкта, якого звернулася програма. Наприклад, програма створює на робочому столі файл text.txt. Він відповідає шаблону "?:\Users\*\Desktop\*| ». Отже, буде створено правило, що дозволяє змінювати файл C:\Users\Name\Desktop\text.txt .
  • Якщо наприкінці шаблону відсутній знак | , то створиться правило, що дозволяє зміну будь-якого об'єкта за цим шаблоном. Наприклад, програма створює файл D:\prog.exe. У списку захищених об'єктів файл відповідає шаблону *.exe . Значить, створиться правило, що дозволяє цій програмі зміна будь-яких exe-файлів.
• При зверненні програми до будь-якого з наступних ресурсів автоматично створюються правила, що дозволяють їй доступом до них усім:
  • «Захищені COM-інтерфейси»,
  • "Хуки Windows і хукі додатків",
  • «Міжпроцесний доступ до пам'яті»,
  • «Перерив роботи додатків»,
  • «DNS-запити»,
  • "Диск" (прямий доступ),
  • «Клавіатура»,
  • "Монітор".

Зазвичай реальний порядок роботи HIPS збігається з описаним, але трапляються різні відступи. Наприклад, іноді правила HIPS створюються автоматично навіть для програм, що виконуються з привілеями інсталятора; це спостерігалося під час відключення Auto-Sandbox. Також спостерігалася ситуація, коли правила для програми, що створилися в Режимі навчання, зафіксували доступ не до всіх файлових об'єктів, запрошених нею в Параноідальному режимі.

Ідентифікація додатків їхніми шляхами

У явно заданих правилах враховується лише шлях до програми. Її цілісність, а точніше, рейтинг перевіряється лише за відсутності правил у «Безпечному режимі». Замість однозначного шляху можна використовувати шаблони та змінні середовища аналогічно, а також самі групи файлів.

Раніше іноді спостерігалося, що після перейменування або переміщення програми HIPS сприймав її на колишньому місці. Це виражалося в тому, що для цієї програми діяли правила, де вона записана старим шляхом, і не діяли правила з новим шляхом. Проблема вирішувалася перезавантаженням.

У зв'язку з тим, що правила HIPS засновані на шляхах, є небезпека опція «Створювати правила для безпечних додатків». Наприклад, якщо вона включена, і Провідник запустить довірену (має підпис) програму C:\myDownloads\test.exe , то при "Безпечному режимі" HIPS автоматично створяться правила; а в інший раз на місці test.exe виявиться щось інше. Тому рекомендую відключати цю опцію.

Захист процесів

У вікні з правилами HIPS для будь-якої програми можна обмежити не тільки власну активність цієї програми, але й вплив на роботу інших програм. Для цього вкладці «Налаштування захисту» вибираємо, які дії з цією програмою блокуватимуться, а у вікні винятків (кнопка «Змінити») — яким програмам вони будуть дозволені. Оповіщення тут не передбачені лише дозвіл або заборона, незалежно від рейтингу. Заборонена таким чином дія блокуватиметься, незалежно від правил та рейтингу інших програм.

Зокрема, за допомогою цієї функції здійснюється самозахист CIS від вивантаження його процесів та доступу до пам'яті. Тому навіть коли HIPS не потрібен, бажано включити його хоча б з опцією «Не показувати оповіщення: Дозволяти запити» (в «Безпечному» або «Параноїдальному» режимі).

Побічним ефектом самозахисту CIS є величезна кількість записів у журналі «Події Захисту+» під час використання деяких програм, наприклад ProcessExplorer. Можна позбутися необов'язкових блокувань, дозволивши окремим програмам доступ до пам'яті CIS.

Зазначу, що сам собою захист від переривання роботи додатків не охоплює всіх способів вивантажити процес. Так, багато програм (але не процеси CIS) можна завершити за допомогою віконних повідомлень (наприклад, програмою System Explorer) або за допомогою доступу до пам'яті. Щоб захистити програму від таких способів завершення, знадобиться в його правилах на вкладці «Налаштування захисту» не тільки пункт «Преривання роботи програм», а й пункти «Віконні повідомлення» та «Міжпроцесний доступ до пам'яті».

Метод переривання процесів, застосовуваний програмою Process Hacker дозволяє вивантажити навіть CIS. Щоб заборонити застосування цього методу, можна змінити правило HIPS для групи "Всі додатки": у пункті "Захищені COM-інтерфейси" натиснути "Змінити" і на вкладку "Заблоковані" додати рядок LocalSecurityAuthority.Restore . Однак не рекомендується вносити цю заборону, оскільки вона створить проблеми під час оновлення Windows.

Привілеї установника

Сенс привілеїв установника

За певних умов програма отримує привілеї установника, які полягають у наступному:

1. HIPS дозволяє такому додатку все, що не заборонено йому у правилах явно, тобто. працює подібно до режиму «Не показувати оповіщення: Дозволяти запити»;
2. Auto-Sandbox не ізолює програми, що запускаються цією програмою;
3. поки ця програма працює - його дочірні процеси (а також їх дочірні процеси і т.д.) виконуються з привілеями установника;
4. виконувані файли, які створить цю програму (або дочірні процеси, що успадкували його привілеї), автоматично занесуться до списку довірених (крім скриптів та файлів, що перевищують 40 МБ).

Автоматичне внесення файлів у довірені відбувається лише при включеній опції «Довіряти програмам, встановленим за допомогою довірених інсталяторів» на вкладці «Рейтинг файлів» > «Налаштування рейтингу файлів». Також у деяких особливих випадках привілеї установника даються додаткам у «усіченому» вигляді: без , незважаючи на включення даної опції.

Нарешті, звернемо увагу на: коли додаток-установник завершиться, його дочірні процеси втратять успадковані привілеї, і HIPS контролюватиме їх у звичайному режимі. А їх подальші дочірні процеси потраплять і під контроль Auto-Sandbox.

Припустимо, програма-установник "A" запускає процес "B", а "B" запускає процес "C". Як правило, в результаті процес «C» отримує привілеї установника і володіє ними доти, доки виконується програма «А», навіть після завершення процесу «B». Але після завершення програми «A» процес «C» втратить ці привілеї.

Порівняно з привілеями установника, успадковується «надійніше»: воно продовжує діяти на дочірні процеси навіть після завершення всіх батьківських. (Однак помічено баг: успадкування цього правила обривається, якщо перед запуском дочірнього процесу 2 хвилини не відповідати на оповіщення HIPS.)

Програма отримує привілеї установника різними шляхами: або коли , або коли (якщо програма непізнана і має ознаку установника), або коли , або коли , або коли програма успадковує ці привілеї батьківського процесу. Програма може наділятись привілеями установника лише при запуску в реальному середовищі без обмежень Auto-Sandbox. Якщо ж програму запущено ізольовано — вона не отримує цих привілеїв, незважаючи на жодні ознаки та правила.

Автоматичне наділення програми привілеями установника

Програма автоматично отримує привілеї установника, якщо вона є довіреною і має . Цей статус призначається програмам, які запитують під час запуску права адміністратора, та деяким іншим.

У попередніх версіях CIS автоматичне наділення програми привілеями установника відбувалося лише тоді, коли обмеження проактивного захисту залежали від рейтингу цієї програми. Якщо ж програма була виключена з Auto-Sandbox і їй було призначено цілком певну політику HIPS (на зразок «Системного додатка»), то привілеями установника вона не наділялася. У версії CIS 8 привілеї інсталятора даються навіть при відключенні HIPS і Auto-Sandbox. Єдина помічена ситуація, коли програма зі статусом довіреного інсталятора — якщо її обмеження в HIPS не залежать від рейтингу, а правила Auto-Sandbox виключають із ізоляції її батьківськийпроцес разом із дочірніми.

Призначення привілеїв установника через оповіщення та правила HIPS

Привілеї інсталятора можуть бути призначені програмі явно через HIPS: їм відповідає політика «Встановлення або оновлення».

Коли виникає повідомлення HIPS щодо активності будь-якої програми, можна у вікні цього повідомлення вибрати бажану політику, із запам'ятовуванням або без нього.

Якщо відзначити опцію про запам'ятовування та вибрати політику «Встановлення або оновлення», то створиться відповідне правило HIPS і програма отримає привілеї інсталятора. Якщо ж вибрати цю політику без опції про запам'ятовування, то правило не створиться, а додаток отримає «усічений» варіант привілеїв установника: без автоматичного занесення файлів, що створюються в довірені (тимчасовому запуску «непізнаного інсталятора» без обмежень Auto-Sandbox).

Через вікно налаштування CIS можна заздалегідь призначити програмі політику «Встановлення або оновлення» у списку правил HIPS. Вочевидь, у разі додаток отримає привілеї установника без оповіщень й у повною мірою.

Загальні функції та параметри проактивного захисту

Розглянемо опції, що впливають на роботу проактивного захисту загалом: і HIPS, і Auto-Sandbox.

Різні параметри проактивного захисту

Опція "Увімкнути режим посиленого захисту" на вкладці "Налаштування HIPS" призначена для запобігання обходу проактивного захисту в 64-бітних версіях Windows, тому її необхідно відзначати в таких системах. Але одночасно вона включає підтримку апаратної віртуалізації, що загрожує конфліктами із віртуальними машинами.

Опція «Адаптувати режим роботи при низьких ресурсах системи» потрібна лише за нестачі оперативної пам'яті. Коли вона увімкнена, CIS використовує прийоми економії пам'яті, щоб уникнути збою при виконанні своїх завдань. Проте цим знижується продуктивність.

Опція «Блокувати невідомі запити, якщо програма не запущена» призначена лише для заражених систем і не рекомендується до постійного використання, оскільки вона заважає коректному автозапуску безпечних програм. Якщо цю опцію увімкнено, до тих пір, поки не завантажиться графічний інтерфейс CIS, усім програмам, незалежно від їх рейтингу, буде заблоковано будь-яку активність, крім явно дозволеної в правилах HIPS. Інакше кажучи, до завантаження GUI поведінка HIPS буде подібна до «Параноїдального режиму» з опцією «Не показувати оповіщення: Блокувати запити». Блокування не буде, якщо HIPS вимкнено або увімкнено з опцією «Не показувати оповіщення: Дозволяти запити».

Також до загальних параметрів проактивного захисту можна віднести опцію "Довіряти програмам, встановленим за допомогою довірених інсталяторів" на вкладці "Налаштування рейтингу файлів", про неї.

Ще одна опція, яка впливає на роботу проактивного захисту, хоча розташована в іншому розділі, є «Максимальний розмір файлу» на вкладці «Антивірусний моніторинг». Якщо файл не підписаний довіреним постачальником, і розмір його перевищує зазначений, цей файл буде сприйнятий як невідомий, навіть якщо вручну додати його до списку довірених. За замовчуванням встановлено розмір 40 МБ, він може бути збільшений, але зменшений. За наявності підпису довіреного постачальника це обмеження не діє.

Параметри, що задаються в розділі «HIPS» > «Захищені об'єкти», мають значення не тільки для HIPS, але і для Auto-Sandbox. Так, якщо програма виконується , то захисту підлягатимуть саме ті файли та ключі реєстру, які вказані на відповідних вкладках цього розділу. Для додатків, що виконуються у віртуальному середовищі, параметри цього розділу теж мають значення: буде ховатись вміст каталогів, перерахованих на вкладці «Папки із захищеними даними».

До об'єктів, що входять до списку «HIPS» > «Захищені об'єкти» > «Заблоковані файли», забороняється будь-який доступ, включаючи запис, читання. До цього списку вносяться шляхи та шаблони шляхів до файлів. Блокування працює тільки при увімкненому HIPS.

Обговорю особливий випадок: режим "Чистий ПК". Формально цей режим відноситься до HIPS, але насправді він визначає роботу всього проактивного захисту. Якщо увімкнути цей режим, то «невідомими» будуть вважатися лише файли, які з'являться на диску згодом. Файли ж, що були на диску до включення цього режиму, отримають права довірених: і HIPS, і Auto-Sandbox, і фаєрвол сприйматимуть ці «старі» файли так, якби вони входили до списку довірених. , що режим «Чистий ПК» має певні проблеми і не рекомендується використовувати.

Особливості захисту файлів

Як уже говорилося, захисту за допомогою HIPS або Auto-Sandbox (без віртуалізації) підлягають тільки ті файли, які занесені до списку «HIPS» > «Захищені об'єкти» > «Захищені файли». Для вказівки цих файлів можна використовувати шаблони (знаки * і?) та змінні середовища (% temp %, % windir % і т.д.), як і .

Відзначу особливість використання шаблонів для захисту каталогів. Зазвичай, якщо через інтерфейс CIS вказати якийсь каталог, він запишеться як шаблона: D:\Docs\* . Такого типу шаблону відповідають файли та папки, розташовані у вибраному каталозі D:\Docs , а також у його підкаталогах. Додавання цього шаблону до списку захищених файлів означає захист відповідних файлів та папок від зміни та зміни. Однак сам вибраний каталог Docs не стає захищеним від перейменування. Якщо ж перейменувати його, то його вміст перестане бути захищеним. Щоб захистити каталог від перейменування, слід записати його без слеша та зірочки на кінці: D:\Docs . Таким чином, для повноцінного захисту каталогу та його вмісту слід заносити до списку захищених два рядки: D:\Docs\* та D:\Docs . (Можливий варіант з одним рядком - залишити на кінці зірочку, але без слеша: D: Docs *. Але такий шаблон захистить одночасно каталоги D: Docs, D: Docs2 і т.п.)

У списку "HIPS" > "Захищені об'єкти" > "Захищені файли" багато шаблонів мають на кінці символ | . Використання цього знака впливає на обмеження, що накладаються Auto-Sandbox. Якщо будь-яка програма запущена в Auto-Sandbox з обмеженнями без віртуалізації, їй буде заборонено створювати, видаляти або змінювати файли, які задані шаблонами із символом | на кінці. Файли, задані шаблонами без символу наприкінці, теж будуть захищені від змін, проте обмеженій за допомогою Auto-Sandbox програмі дозволяється створювати такі файли, а також видаляти створені їй (але не модифікувати). Наприклад, за промовчанням програмі, що виконується з рівнем обмежень «Частково обмежене», дозволяється створювати файли, що виконуються в каталозі %PROGRAMFILES% , але забороняється — в каталозі автозавантаження. Наголошую, що символ | впливає обмеження саме Auto-Sandbox в режимах без віртуалізації. При захисті ж за допомогою HIPS забороняється створення, видалення, і модифікація файлів, незалежно від наявності символу | у їхніх шаблонах.

Є проблема із зазначенням шляхів на знімних пристроях. Формально можна створити правило HIPS, Auto-Sandbox або іншого компонента з використанням шляху до знімного пристрою на зразок H:\Docs\*, але таке правило не працюватиме: CIS не сприймає літери знімних дисків. Однак на знімних носіях працюватимуть правила, не прив'язані до літери диска, наприклад захист exe-файлів. З іншого боку, все ж таки є можливість створювати правила Auto-Sandbox, які будуть виконуватися саме для програм, розташованих на знімних носіях. Приклад такого правила наведено.

Як і у випадку зі знімними пристроями, CIS некоректно працює з літерами мережевих дисків: дані на мережному диску Y: можуть не відповідати шаблону Y:\* , ні навіть?:\* . Замість шаблонів з буквою мережного диска можна використовувати шаблони виду \\ім'я_мережевого_ресурсу* - експерименти показали коректну їхню роботу. Зокрема, щоб захистити дані на Яндекс.Диску, підключеному у вигляді мережного диска по протоку WebDAV, можна додати до списку «Захищені об'єкти» > «Захищені файли» рядок \\webdav.yandex* .

Також слід сказати, що CIS сприймає як "файли" не тільки фізичні файли, але й різні системні об'єкти, наприклад, фізичні або віртуальні пристрої. З одного боку, так забезпечується гнучкість налаштування. З іншого боку — пригадаємо, що . Тому такі об'єкти не будуть захищені від віртуально запущених програм навіть за наявності жорстких заборон у правилах HIPS.

Особливості захисту реєстру

Як і у випадку файлів, захисту за допомогою HIPS та Auto-Sandbox підлягають лише ті ключі реєстру, які перелічені у списку «HIPS» > «Захищені об'єкти» > «Ключі реєстру».

При заданні ключів реєстру можна записувати шаблони шляхів реєстру за допомогою знаків * і? .

Розглянемо, наприклад, рядок *\Software\Microsoft\Windows\CurrentVersion\Run* . Знак * на початку означає, що вона охоплює і системний розділ реєстру HKEY_LOCAL_MACHINE , і розділ HKEY_CURRENT_USER кожного користувача окремо. Звернемо увагу, що знак * наприкінці цього рядка не відокремлений слешем. Це означає, що рядок охоплює обидва підрозділи: Run і Run Once. Сенс саме цього рядка у захисті одночасно різних видівавтозавантаження: як загального автозавантаження, так і автозавантаження користувача; як постійної, і одноразової.

У встановлених у CIS групах реєстру використовуються скорочені назви розділів: HKLM, HKCU та HKUS. Також за вказівкою шляхів реєстру через інтерфейс CIS автоматично підставляються ці скорочені назви. Проте насправді правила HIPS, у яких розділи реєстру вказані скорочено, можуть працювати. Таким чином, завжди слід вказувати повні назви розділів реєстру: наприклад, не HKCU\SOFTWARE\Policies\* , а HKEY_CURRENT_USER\SOFTWARE\Policies\* . Також потрібно виправити шляхи в встановлених групах на вкладці «Групи HIPS» > «Групи реєстру»:

• замінити HKLM на HKEY_LOCAL_MACHINE
• замінити HKCU на HKEY_CURRENT_USER
• замінити HKUS на HKEY_USERS

За моїми спостереженнями, CIS некоректно сприймає абревіатури кореневих розділів реєстру у випадках, коли цей шлях є посиланням, а не «реальним» місцезнаходженням у реєстрі. Приклади таких шляхів-посилань - HKLM\SYSTEM\CurrentControlSet\*, HKCU\*.

Можливий варіант вказівки у розділі HKEY_CURRENT_USER — шаблон HKEY_USERS* . До цього шаблону можна додати ідентифікатор користувача. Наприклад, рядком HKEY_USERS*1002\SOFTWARE\Policies\* задається гілка SOFTWARE\Policies розділу HKEY_CURRENT_USER для одного конкретного користувача. Цей прийом можна використовувати, щоб заборонити обмеженому користувачеві змінювати автозавантаження, асоціації та інші параметри.

Для зручного та наочного створення правил рекомендується застосовувати групи реєстру:

• відкрити вкладку «HIPS» > «Групи HIPS» > «Групи реєстру» та через контекстне меню створити нову групу;
• додати до цієї групи ключі реєстру та за необхідності відредагувати шляхи;
• відкрити вкладку «HIPS» > «Захищені об'єкти» > «Ключі реєстру» та додати нову групу до списку;
• на вкладці «Правила HIPS» встановити необхідні дозволи та заборони з використанням груп.

Захист даних від читання

Можна захищати дані не тільки від змін, але й певною мірою від читання певними додатками. Для цього використовується вкладка «HIPS» > «Захищені об'єкти» > «Папки із захищеними даними». Каталоги, додані до списку на цій вкладці, захищаються таким чином:

• програми, запущені віртуально, сприймають ці каталоги порожніми;
• програмам, запущеним у реальному середовищі з обмеженнями Auto-Sandbox, забороняється огляд вмісту цих каталогів;
• програмам, яким за допомогою HIPS заблоковано ресурс «Диск», забороняється огляд вмісту цих каталогів (але залишається можливим відкриття файлів, що містяться в них).

Підкреслю, що саме при використанні віртуалізації захищені папки сприйматимуть ізольовані програми як порожні, а їх файли — як неіснуючі. Якщо програма обмежена лише з допомогою HIPS, вона зможе відкривати файли, «знаючи» їх шляху.

Через інтерфейс CIS можна додати до списку "Папок із захищеними даними" лише ті каталоги, які видно у провіднику. Якщо необхідно захистити дані в якомусь прихованому каталозі, слід тимчасово дозволити показ прихованих файлів та папок у провіднику (наприклад, через Панель управління).

Інтерфейс CIS дозволяє заносити до списку «Папок із захищеними даними» лише однозначні шляхи до каталогів, але не шаблони, на зразок *ReadProtected. Спроба внести в цей список шаблон редагування файлу конфігурації може призвести до BSOD.

До списку папок із захищеними даними слід додавати каталоги, розташовані лише на локальних дисках. Формально можна додати до цього списку знімні носії або віртуальні шифровані диски, але захист, як правило, не працює.

Цей захист здатний повністю обійти програми, що виконуються від імені адміністратора. Такі програми зможуть побачити вміст захищеного каталогу та прочитати дані в ньому, навіть якщо їм заблоковано доступ до диска, навіть якщо вони виконуються у віртуальному середовищі, і навіть якщо вони ізольовані в Auto-Sandbox як «частково обмежений» або «підозрілий». Настійно рекомендую тримати увімкненим UAC.

Захист пам'яті процесів

CIS здатний забороняти одним процесам змінювати пам'ять інших. Так, програмам, запущеним віртуально та/або з обмеженнями Auto-Sandbox, заборонено змінювати пам'ять процесів, що виконуються в реальному середовищі. Додаткові обмеження на міжпроцесну зміну пам'яті задаються у правилах HIPS.

CIS захищає пам'ять процесів від змін, але з читання. Навіть якщо заблокувати шкідливу програму "Міжпроцесний доступ до пам'яті" і навіть якщо запустити її віртуально, вона зможе прочитати конфіденційні дані з пам'яті процесів, що виконуються в реальному середовищі. Зазначу, що ця проблема стосується не лише віртального середовища Comodo Sandbox, а й Sandboxie.

У той самий час захист від міжпроцесного зміни пам'яті перешкоджає створенню дампа пам'яті. Очевидно, забороняється саме призупинення процесу, необхідне створення дампа, але з саме читання пам'яті.

Аналіз командного рядка

Деякі види програм виконуються не самостійно, а за допомогою програм-інтерпретаторів. Наприклад, виконанням bat-скриптів займається системний інтерпретатор cmd.exe, виконанням vbs-скриптів - системний інтерпретатор wscript.exe, виконанням jar-додатків - програма javaw.exe, що входить до складу віртуальної машини Java, і т.д. При запуску скрипта (або подібної програми) фактично запускається асоційована з ним програма-інтерпретатор, отримуючи шлях цього скрипта в аргументах командного рядка.

CIS відстежує запуск деяких інтерпретаторів і застосовує до них обмеження, які має файл, заданий в аргументах командного рядка. Завдяки цьому деякі види скриптів сприймаються CIS як самостійні програми: їх активність обмежується правилами HIPS або викликає оповіщення, а Auto-Sandbox ізолює роботу скриптів, які не є довіреними. (Деякі особливості роботи Auto-Sandbox зі скриптами описані у відповідній статті: неможливість або .) Також на місці інтерпретаторів відображаються виконувані ними скрипти.

Описаним чином контролюється запуск та активність різних видівдодатків: *.bat, *.cmd, *.js, *.vbs, *.wsf, *.hta, *.chm, *.msi, *.jar та ін. Аналогічно контролюються бібліотечні файли, коли їх виконанням займається системна програма rundll32.exe.

Ця поведінка задається опцією "Виконувати евристичний аналіз командного рядка для певних програм" на вкладці "Налаштування HIPS", за замовчуванням вона включена. Якщо її відключити, то скрипти та подібні додатки будуть виконуватися з тими ж правами, які мають їх інтерпретатори.

У версії CIS 7 був баг: не контролювався запуск скриптів з довгими шляхами. У версії CIS 8.0 баг усунено. Також у всіх версіях від 5.10 до 8.1 мала місце серйозна вразливість аналізу командного рядка, що дозволяло запустити одну програму з правами іншої. У версії CIS 8.2 цю вразливість майже усунуто.

Опція захисту від впровадження shell-коду

На вкладці "Налаштування HIPS" розташована опція "Виявляти використання shell-коду". Як випливає з назви, її включення покликане запобігати атакам, заснованим на переповненні буфера.

Проте опція «Виявляти використання shell-коду» все-таки впливає на роботу CIS. Точніше — вплив надає перелік винятків цієї опції, незалежно від цього, включена вона сама. У роботі додатків, доданих до списку винятків «захисту від shell-коду», спостерігаються такі особливості:

При цьому HIPS контролює програми, виключені із «захисту від shell-коду», щодо запуску програм, доступу до пам'яті інших процесів, відправлення віконних повідомлень, зміни файлів і реєстру, доступу до клавіатури, до диска. Також, якщо ці програми запускаються віртуально (вручну або на підставі правил Auto-Sandbox), зміни файлів та реєстру не повинні торкнутися реального середовища.

Очевидно, саме використання бібліотеки guard(32|64).dll відповідає ті функції CIS, які працюють для додатків, виключених із «захисту від shell-коду».

Іноді занесення програм у виключення опції «Виявляти використання shell-коду» усуває деякі конфлікти. Так, зазвичай рекомендується додавати у ці винятки каталог програми VMware Player/Workstation, програму Alcohol, програму та каталог її пісочниці. Також мав місце конфлікт версії CIS 8.2.0.4674 з браузером Google Chrome 45.0.2454.85, що усувався додаванням файлу chrome.exe у виключення цієї опції.

Viruscope

Оповіщення Viruscope

Крім основних засобів проактивного захисту – HIPS та Auto-Sandbox – є компонент Viruscope, призначений для динамічного виявлення підозрілої активності процесів. Він повинен виявляти небезпечну поведінку непізнанихпрограм і видавати оповіщення з пропозицією відкотити зміни, зроблені певною програмою та її дочірніми процесами, а саму програму видалити.

Якщо увімкнено опцію «Не показувати сповіщення» на вкладці «Viruscope», видалення програм і відкат змін відбудеться автоматично (аналогічно, якщо не відповідати на сповіщення протягом 2 хвилин).

Відкат змін вручну

Завершення програм з відкатом зроблених ними змін можна проводити не тільки при виявленні підозрілої активності, але й вручну. Для цього слід запустити менеджер завдань KillSwitch, викликати контекстне меню на потрібному процесі та вибрати пункт «Завершити дерево процесу та повернути зроблені зміни». Файл програми не видаляється. Цей пункт контекстного меню KillSwitch є лише при включеному Viruscope.

Інший шлях ручного завершення програм з відкатом вироблених ними змін – оповіщення HIPS та фаєрволу. Коли увімкнено Viruscope, у цих оповіщеннях з'являється додатковий пункт: «Заблокувати, завершити виконання та скасувати зміни». При виборі цього пункту завершиться вказана в оповіщенні програма та всі її дочірні процеси, а також буде скасовано зроблені ними зміни; файл програми видалено не буде.

Звіт про активність

При увімкненому Viruscope у контекстному меню, що викликається з головного вікна CIS, з'являється новий пункт: «Показати активність». Натисканням на нього відкриється вікно зі звітом про активність вибраної програми та її дочірніх процесів.

Також при включеному Viruscope в оповіщення різних компонентів CIS з'являється кнопка «Показати активність». Після натискання на неї також відкривається звіт про активність програми, зазначеної в повідомленні.

Слід сказати, що подання звіту про активність у вікні CIS далеко від зручного. Однак можна через контекстне меню експортувати цей звіт до файлу XML і вивчати окремо.

Також звіт про активність можна переглянути через менеджер завдань KillSwitch: у вікні властивостей процесу, що викликається через контекстне меню, є вкладка «Активність процесу». Однак у KillSwitch цей звіт представлений ще гірше, ніж у CIS, причому відсутня функція експорту до файлу.

Обмеження контролю Viruscope лише ізольованими програмами

За промовчанням у конфігурації «Proactive Security» на вкладці «Viruscope» увімкнено опцію «Використовувати Viruscope» і вимкнено опцію «Застосовувати дію Viruscope тільки до програм Sandbox». У такій конфігурації відбувається стеження за всіма процесами в реальному та у віртуальному середовищі. Вище описано роботу Viruscope саме для такого режиму.

Якщо відзначити опцію «Застосовувати дію Viruscope тільки до програм Sandbox», то буде відстежуватися активність лише тих програм, які запущені у віртуальному середовищі або обмежені за допомогою Auto-Sandbox. А для програм, що виконуються в реальному середовищі без обмежень Auto-Sandbox, не буде вестись запис активності і, відповідно, не буде даватися звіт про неї.

Однак після включення даної опції сповіщення HIPS і фаєрволу, як і раніше, будуть містити пункт «Заблокувати, завершити виконання та скасувати зміни», а також у контекстному меню KillSwitch буде пункт «Завершити дерево процесу та повернути зроблені зміни». Насправді вибір цих пунктів призведе не до відкату змін, а лише до завершення обраної програми та її дочірніх процесів.

Управління розпізнавателями

На вкладці Viruscope вказаний файл, на підставі даних якого певна активність додатків вважається підозрілою. У цьому файлі задано зразки поведінки, які повинні викликати оповіщення Viruscope. Якщо перевести статус такого файлу у відключене положення, то відповідна поведінка додатків не призведе до сповіщень та блокувань Viruscope; стеження активністю програм у своїй збережеться.

Обмеженість застосування та проблеми Viruscope

У Viruscope неможливо відкатати такі дії, як видалення файлів з диска. Також не підлягають відкату зміни, виконані за попередні цикли роботи підозрілого процесу. Відкат дій процесу, помилково визнаного небезпечним, може призвести до втрати даних (цей ризик виникає в режимі «Не показувати оповіщення»).

У версії CIS 7 спостерігалася серйозна проблема – при включеному Viruscope відбувалися непередбачувані збої у роботі безпечних програм. Ці збої відбувалися за відсутності будь-яких повідомлень та записів у журналах CIS, що ускладнювало пошук їх причини. Очевидно, збої провокувалися самим спостереженням процесами, а чи не виявленням підозрілого поведінки.

У версії CIS 8 перестали виявлятися колишні відомі конфлікти. Можливо, проблему усунуто. Однак, зважаючи на її серйозність і труднощі виявлення, я, як і раніше, рекомендую відмовитися від Viruscope. З урахуванням усіх обмежень, користь від Viruscope у захисті невелика.

Для безпечного використання Viruscope можна увімкнути його з опцією «Застосовувати дію Viruscope тільки до програм Sandbox». Але в цьому випадку призначенням Viruscope стане не захист, а дослідження роботи програм, запущених у віртуальному середовищі.

Please enable JavaScript to view the

Продовжуючи обговорювати пластик для 3D-друку, звернімо увагу на HIPS. Які в нього властивості? Для чого він найкраще підходить? Знаючи відповіді на ці питання, а також деякі нюанси, про які буде розказано нижче, можна поповнити свій арсенал знань про 3D-друк, що допоможе зрештою досягати оптимальних результатів. Отже, що таке HIPS?

Склад філаменту HIPS

Високоміцний полістирол (high-impact polystyrene, HIPS) - термопластичний полімер. Його одержують, додаючи під час полімеризації полібутадієн до полістиролу. В результаті утворення хімічних зв'язків полістирол набуває еластичності бутадієнового каучуку, і виходить високоякісний міцний та пружний філамент.

Переваги HIPS як матеріалу для друку

Багато характеристик HIPS схожі на характеристики ABS, PLA або SBS, проте відрізняються на краще:

• Матеріал не поглащує вологу, краще переносить умови довкілля, не схильний до розкладання. Довше зберігається у відкритому стані без пакування.
• М'який, краще піддається механічній постобробці.
• Легкість і низьке водопоглинання дозволяють при дотриманні певних умов створити об'єкт, що не тоне у воді.
• Незабарвлений HIPS має яскраво-білий колір, що надає йому естетичні переваги. Матова фактура візуально згладжує шари та шероховаті печатки.
• З нього виготовляється пластиковий посуд. Ще важливіша та обставина, що він нешкідливий для людей і тварин і є неканцерогенним.

Застосування HIPS як основний матеріал друку

Після того, як об'єкт з HIPS роздрукований, його можна шліфувати, грунтувати і фарбувати, щоб надати йому бажаного вигляду. Якщо порівнювати характеристики HIPS на цьому останньому етапі, то не можна не відзначити, що всі процедури, пов'язані з постпроцесингом – доведення, шліфування, полірування тощо – виконуються на цьому матеріалі виключно легко. Деталі, що виходять, і об'єкти, які створені з використанням тільки цього філаменту, міцні і в міру пластичні і, крім усього іншого, досить легкі. HIPS м'якший і гладкіший матеріал, його легше обробляти механічним способом, на відміну від PLA чи ABS. При використанні HIPS пластику рекомендуємо включати обдування (охолодження) сопла, це дозволить шарам застигати рівно, надрукована поверхня буде більш гладкою.

Моделі роздруковані HIPS-пластиком

HIPS як матеріал підтримки, розчинність HIPS

HIPS розчинний у лимонені - безбарвному рідкому вуглеводні з сильним запахом цитрусових. Оскільки вони (HIPS та лимонен) ніяк не взаємодіють з ABS, то HIPS чудово підходить для виготовлення підтримок, і в порівнянні з PVA виходить значно дешевше.

Використання HIPS для створення складних форм.

Якщо у принтера два екструдери, досить просто поставити котушку ABS і котушку HIPS, і все готове для друку хитромудрих конструкцій, отримати які з іншим матеріалом для підтримки було б важко. До речі, у нас ви можете придбати пробний зразок цього матеріалу, HIPS-пробник довжиною 10 метрів.

Добре, коли друк ведеться різними кольорами: у процесі видалення підтримки з HIPS це допоможе переконатися, що вони повністю розчинилися і залишився тільки ABS-об'єкт.

Що зазвичай роблять з HIPS у промисловому виробництві

Дуже часто з HIPS роблять іграшки, а також упаковку та господарське приладдя, побутову техніку. Оскільки матеріал нешкідливий, з нього нерідко виготовляють одноразові столові прилади, тарілки і стаканчики.

Екструдування філаменту HIPS (параметри друку)

Правильна температура для роботи з будь-якими філаментами у різних принтерів різна, але почати експерименти краще з 230-260 ° C. Якщо у принтера платформа з підігрівом, під час друку HIPS виставте на ній температуру 100 ° C - це допоможе отримувати більш рівні та цілісні об'єкти. Крім того, щоб зробити ще краще, спробуйте наклеїти на платформу поліамідну (каптонову) стрічку так, щоб її смужки не перетиналися.

Запобіжні заходи при роботі з HIPS

Незважаючи на те, що HIPS нетоксичний, під час його екструдування виділяються речовини, які можуть викликати подразнення дихальних шляхів та очей, тому друкувати рекомендується в приміщенні, що добре провітрюється.

Якщо платформа принтера відкрита, необхідно забезпечити відповідну вентиляцію та завжди працювати з винятковою обережністю. Незахищений контакт із нагрітою речовиною може призвести до серйозних опіків шкіри.

HIPS-система за допомогою власного драйвера перехоплює всі звернення до ядра ОС. У разі спроби виконання потенційно небезпечної дії з боку ПЗ, HIPS-система блокує виконання цієї дії та видає запит користувачеві, який вирішує дозволити або заборонити виконання цієї дії.

Основу будь-якої HIPS становить таблиця правил. В одних продуктах вона ніяк не поділяється, в інших – розбивається на проміжні таблиці відповідно до характеру правил (наприклад, правила для файлів, правила для мереж, правила для системних привілеїв тощо), у третіх поділ таблиці відбувається за додатками та їх групами . Ці системи контролюють певні системні події (наприклад, такі як створення або видалення файлів, доступ до реєстру, доступ до пам'яті, запуск інших процесів), і щоразу, коли ці події повинні відбутися, HIPS звіряється зі своєю таблицею правил, після чого діє відповідно до заданих у таблиці налаштувань. Дія або дозволяється, або забороняється, або HIPS ставить користувачеві питання про те, що їй слід зробити в даному конкретному випадку.

Особливістю HIPS є групова політика, яка дозволяє застосовувати ті самі дозволи для всіх додатків, внесених до певної групи. Як правило, додатки поділяються на довірені та недовірені, а також можливі проміжні групи (наприклад, слабко обмежені та сильно обмежені). Довірені додатки ніяк не обмежуються у своїх правах та можливостях, слабо обмеженим забороняються найбільш небезпечні для системи дії, сильно обмеженим дозволені лише ті дії, які не можуть завдати істотних збитків, а недовірені не можуть виконувати практично жодних системних дій.

Правила HIPS містять три базові компоненти: суб'єкт (тобто програма або група, яка викликає певну подію), дію (дозволити, заборонити або запитувати користувача) та об'єкт (те, до чого програма або група намагається отримати доступ). Залежно від типу об'єкта правила поділяються на три групи:

• файли та системний реєстр (об'єкт – файли, ключі реєстру);
• системні права (об'єкт – системні права виконання тих чи інших дій);
• мережі (об'єкт – -адреси та їх групи, порти та напрямки).

Види HIPS

• HIPS, у яких рішення приймається користувачем- коли перехоплювач Application Programming Interface (API) -функцій перехоплює будь-яку функцію програми, виводиться питання подальшому дії. Користувач повинен вирішити, запускати програму чи ні, з якими привілеями чи обмеженнями її запускати.
• HIPS, у яких рішення приймається системою- Рішення приймає аналізатор, для цього розробником створюється база даних, в яку занесені правила та алгоритми прийняття рішень.
• «Змішана» HIPS система- Рішення приймає аналізатор, але коли він не може прийняти рішення або включені налаштування «про прийняття рішень користувачем» рішення та вибір подальших дій надаються користувачеві.

Переваги HIPS

• Низьке споживання системних ресурсів.
• Не вимагають апаратного забезпечення комп'ютера.
• Можуть працювати на різних платформах.
• Висока ефективність протистояння нових загроз.
• Висока ефективність протидії руткітам, що працюють на прикладному рівні (user-mode).

Недоліки HIPS

• Низька ефективність протидії руткітам, які працюють на рівні ядра.
• Велика кількість звернень до користувача.
• Користувач повинен мати знання про принципи функціонування

Допитливий розум часто підштовхує технічно підкованих користувачів до сміливих експериментів. Читач «Ми ESET» Дмитро Мінаєв провести лікнеп з тонкого настроювання правил HIPS, і ми не можемо йому відмовити.

Система запобігання вторгненням на вузол (HIPS) з'явилася в 4-му поколінні антивірусних продуктів ESET. Вона захищає комп'ютер від потенційно небезпечних програм.

У 10-му з'явився новий модуль, створений для боротьби з блокувальниками та шифраторами. HIPS використовує розширений аналіз поведінки та можливості мережевої фільтрації. Це дозволяє відстежувати запущені процеси, файли та реєстр.

Система HIPS поєднує низку модулів для боротьби з різними типами загроз. Кожен із них можна налаштувати вручну, «під себе».

"Заводських налаштувань" має бути достатньо для домашнього користувача (наприклад, модуль "Захист від програм-вимагачів" активовано в HIPS за замовчуванням). За бажання можна задати більше високий рівеньобмежень (але це може збільшити відсоток хибних спрацьовувань).

Якщо вам таки хочеться пограти з налаштуваннями, ми підкажемо, на що звернути увагу, та розглянемо простий приклад створення правила для системи HIPS.

Попередження:Зміна встановлених параметрів системи HIPS рекомендується лише для досвідчених користувачів.

Параметри HIPS знаходяться у розділі «Розширені параметри»:

F5 - Захист від вірусів -HIPS - Основне

font-size:=" ">

Доступні 4 режими фільтрації:

• Автоматичний режим: увімкнено всі операції (за винятком тих, що були заблоковані за допомогою попередньо заданих правил).
• Інтелектуальний режим: користувач отримуватиме повідомлення лише про дуже підозрілі події.
• Інтерактивний режим: користувач пропонуватиме підтверджувати операції.
• Режим з урахуванням політики: операції блокуються.

Крім того, існує режим навчання, про який можна дізнатися .

font-size:=" ">

• Ім'я правила - задається користувачем або вибирається автоматично
• Дія - вибір операції, яка буде виконана за певних умов (наприклад, дозволити чи заборонити втручання у поточні процеси)
  
• Операції впливу - вибір операцій, до яких застосовуватиметься правило. Правило буде використовуватися лише для операцій даного типу та для вибраного об'єкта. Сюди входятьпрограми, файлиі запису реєстру.

font-size:=" ">

Програми- у списку, що розкривається, виберіть «Певні програми», натисніть «Додати» і виберіть потрібні програми. Або виберіть «Всі програми».

Файли- у списку, що розкривається, виберіть пункт "Підкреслені файли" і натисніть "Додати", щоб додати нові файли або папки. Або виберіть "Всі файли".

Записи реєстру- у списку, що розкривається, виберіть пункт «Певні записи» і натисніть «Додати» для введення вручну. Або відкрийте редактор реєстру, щоб вибрати параметр у реєстрі. Також можна вибрати «Всі записи», щоб додати всі програми.

Основні операції та налаштування включають операції з програмами, файлами та реєстром. Їх опис можна переглянути.

Додаткові налаштування:

• Увімкнено - вимкніть параметр, щоб правило не використовувалося, але залишилося у списку
• Журнал - увімкнути параметр, щоб інформація про правило записувалася до журналу HIPS
  
• Повідомити користувача - запуск події викличе спливаюче вікно в правому нижньому куті екрану

Приклад налаштувань HIPS:

1. Введіть ім'я для правила.
2. У меню «Дія» виберіть «Блокувати».
3. Активуйте перемикач "Повідомити користувача", щоб спливаюче вікно з'являлося при кожному застосуванні правила.
4. Виберіть операцію, до якої буде застосовуватись правило. У вікні «Вихідні програми» виберіть пункт «Всі програми».
5. Виберіть «Змінити стан іншої програми».
6. Виберіть «Параметри» та додайте одну або кілька програм, які потрібно захистити.
7. Натисніть кнопку «Готово», щоб зберегти правило.

font-size:=" ">

Більше дізнатися про HIPS можна .

Залишились питання? Пишіть на