Dodawanie własnych obiektów chronionych
Wybieramy zakładkę ITSM –> Profile Management [1] -> [NAZWA_PROFILU] -> HIPS [2] -> Protected Objects [3].
Aby dodać chroniony plik, wybieramy “Protected files” z listy Show [4], oraz “File list” z listy By [5] i naciskamy [Add…] [6] (tu: [Add File Path]).
W oknie kontekstowym pisujemy ścieżkę do pliku lub folderu i naciskamy [OK].
Wybranie “Group List” z listy By [5] pozwoli dodać grupę plików przyciskiem [Add…] [6] (tu: [Add Protected Group]]; więcej o grupach plików tutaj: File Groups Variables – (zabezpieczenia.it)
Aby dodać chroniony klucz rejestru, wybieramy “Registry keys” z listy Show [4], oraz “Key list” z listy By [5] i naciskamy [Add…] [6] (tu: [Add Registry Key]).
W oknie kontekstowym pisujemy klucz rejestru i naciskamy [OK].
Wybranie “Group List” z listy By [5] pozwoli dodać grupę kluczy przyciskiem [Add…] [6] (tu: [Add Registry Group]]; więcej o grupach kluczy rejestru tutaj: Registry Variables – (zabezpieczenia.it)
Aby dodać chroniony interfejs COM, wybieramy “COM interfaces” z listy Show [4], oraz “Classes list” z listy By [5] i naciskamy [Add…] [6] (tu: [Add COM Class]).
W oknie kontekstowym pisujemy nazwę klasy COM i naciskamy [OK].
Wybranie “Group List” z listy By [5] pozwoli dodać grupę COM przyciskiem [Add…] [6] (tu: [Add COM Group]]; więcej o grupach komponentów COM tutaj: COM Variables – (zabezpieczenia.it)
Dodawanie własnych zestawów reguł
Wybieramy zakładkę ITSM – > Profile Management -> [NAZWA_PROFILU] -> HIPS -> Rulesets i naciskamy [Add Ruleset].
W pole Name wpisujemy nazwę własną zestawu reguł.
W zakładce Access Rights ustalamy
Access Rights [1]
ACCESS NAME [2]
Zestaw reguł dla HIPS przewiduje 14 uprawnień i/lub dostępów do zasobów systemowych:
– Run an executable – uruchamianie pliku wykonywalnego.
– Interprocess Memory Accesses – dostęp do pamięci między procesami.
– Windows/WinEvent Hooks – uchwyty zdarzeń systemu Windows.
– Processes’ Termination – kończenie procesów.
– Device Drivers’ Installation – tnstalacja sterowników urządzeń
– Window Messages – komunikaty w oknach.
– Protected COM Interfaces – chronione interfejsy COM (patrz akapit wyżej: ⇑”Dodawanie własnych obiektów chronionych”⇑).
– Protected Registry Keys – chronione klucze rejestru (patrz akapit wyżej: ⇑”Dodawanie własnych obiektów chronionych”⇑).
– Protected File/Folders – chronione pliki/foldery (patrz akapit wyżej: ⇑”Dodawanie własnych obiektów chronionych”⇑).
– DNS Client Service – usługa klienta DNS.
– Physical Memory – dostęp do pamięci fizycznej
– Computer Monitor – dostęp do monitora komputera.
– Disk – dostęp do dysku.
– Keyboard -dostęp do klawiatury.
ACTION [3]
Działanie HIPS w przypadku próby uzyskania dostępu do zasobu:
– Allow – zezwól (za wyjątkiem uruchamiania pliku wykonywalnego).
– Ask – zapytaj użytkownika.
– Block – blokuj.
EXCLUSIONS [4]
9 spośród 14 uprawnień/dostępów przewiduje stosowanie wyjątków, które dodajemy po po wybraniu opcji Modify [5] .
Wyjątki dla “Run an executable”, “Interprocess Memory Accesses”, “Windows/WinEvent Hooks”, “Processes’ Termination, “Device Drivers’ Installation”, “Window Messages” oraz “Protected File/Folders” dodajemy do kolumny wyjątków dozwolonych (“Allowed Files/Folders”) [7] lub blokowanych (“Blocked Files/Folders”) [8], naciskając [Add] [9].
Do wyjątków możemy dodać:
– File path – ścieżka do pliku (wpisujemy w oknie kontekstowym).
– Folder – ścieżka do folderu (wpisujemy w oknie kontekstowym).
– Process – ścieżka do procesu (wpisujemy w oknie kontekstowym).
– File groups – grupy plików; więcej o grupach plików tutaj: File Groups Variables – (zabezpieczenia.it)
Wyjątki dla “Protected Registry Keys” dodajemy do kolumny kluczy dozwolonych (“Allowed Registry Keys”) lub blokowanych (“Blocked Registry Keys”) , naciskając [Add] .
Do wyjątków możemy dodać:
– Registry Entry – wpis (klucz) w rejestrze (wpisujemy w oknie kontekstowym). Registry Variables – (zabezpieczenia.it)
– Registry Groups – grupa kluczy rejestru systemowego; więcej o grupach kluczy tutaj:
Wyjątki dla “Protected COM Interfaces” dodajemy do kolumny interfejsów dozwolonych (“Allowed COM Interfaces”) lub blokowanych (“Blocked COM Interfaces”) , naciskając [Add] .
Do wyjątków możemy dodać:
– COM Component – komponent COM (wpisujemy w oknie kontekstowym).
– COM Groups – grupa komponentów COM; więcej o o grupach COM tutaj: COM Variables – (zabezpieczenia.it).
Protection Settings [6]
PROTECTION
Zestaw reguł dla HIPS przewiduje 4 ustawienia ochrony zdarzeń systemowych:
– Interprocess Memory Accesses – dostęp do pamięci między procesami.
– Windows/WinEvent Hooks – uchwyty zdarzeń systemu Windows.
– Processes’ Termination – kończenie procesów.
– Window Messages – komunikaty w oknach.
STATE
Ochrona każdego ze zdarzeń może mieć 2 stany: aktywny (“Active”) i nieaktywny (“Inactive”).
EXCLUSIONS
Wyjątki dla “Interprocess Memory Accesses”, “Windows/WinEvent Hooks”, “Processes’ Termination” oraz “Window Messages” dodajemy w taki sam sposób, jak w zakładce Access Rights [1].
Zestaw reguł zatwierdzamy, naciskając [OK].
Dodawanie własnych reguł HIPS
Wybieramy zakładkę ITSM – > Profile Management [1, 2] -> [NAZWA_PROFILU] -> HIPS [3] -> HIPS Rules [4] i naciskamy [Add Rule] [5].
W oknie HIPS Rule używamy następujących opcji:
– Name [6] – wpisujemy w polu po prawej ścieżkę do pliku/folderu, którego ma dotyczyć reguła HIPS lub zaznaczamy [•] Use group aby wskazać grupę plików; więcej o grupach plików tutaj: File Groups Variables – (zabezpieczenia.it).
– Use ruleset [7] – wybór zestawu reguł z rozwijanej listy [Use ruleset — ∇], bez możliwości edycji.
– Use custom ruleset [8] – skopiowanie zestawu reguł z rozwijanej listy [Copy from ∇]->Rulesets, z możliwością modyfikacji.
Istnieje możliwość używania zestawu reguł predefiniowanych przez producenta, jak również zdefiniowanych samodzielnie (patrz akapit wyżej: ⇑”Dodawanie własnych zestawów reguł”⇑).
Regułę HIPS zatwierdzamy, naciskając [OK].
UWAGA!
Reguły w HIPS mają charakter odwrotnie hierarchiczny, tzn.:
– reguła będąca niżej na liście ma wyższy priorytet.
– reguła będąca wyżej nie wykona się, jeśli reguła będąca niżej ją przesłania lub wyklucza.
PRZYKŁAD:
Reguła dla aplikacji “thunderbird.exe” traktowanej zestawem reguł “Allowed Application” jest wyjątkiem/wykluczeniem dla HIPS i znajduje się na pierwszym miejscu na liście.
Wspomniana reguła wyjątku nie będzie działać, jeśli na pozycji drugiej umieścimy regułę traktującą grupę “Email Clients” zestawem “Blocked Application”.