HIPS jest systemem przeciwdziałania włamaniom na stacje robocze (ang. Host Intrusion Prevention System).
Sekcja HIPS zawiera 4 zakładki.
HIPS Settings
Globalne ustawienia dla HIPS:
– Enable HIPS – włączenie HIPS w jednym z 3 trybów: paranoicznym (“Paranoid mode”), bezpiecznym (“Safe mode”) lub uczenia (“Training Mode”).
Monitoring settings
Ustawienia monitorowania określają zakres działania podsystemu bezpieczeństwa HIPS.
– Activities to Monitor – rodzaje aktywności do monitorowania:
—— Interprocess memory access – międzyprocesowy dostęp do pamięci.
—— Windows/WinEvent hooks – uchwyty zdarzeń systemu Windows.
—— Device driver installations – instalacje sterowników urządzeń.
—— Processes terminations – zakończenia procesów.
—— Process execution – wykonywanie procesów.
—— Window messages – komunikaty w oknach.
—— DNS/RPC client service – sługa klienta DNS/RPC
– Objects to Monitor Against Modifications – obiekty monitorowane w celu zapobiegania modyfikacjom:
—— Protected COM interfaces – chronione interfejsy COM.
—— Protected files/folders – chronione pliki/foldery.
—— Protected registry keys – chronione klucze rejestru.
– Objects to Monitor Against Direct Access – obiekty monitorowane pod kątem ochrony przed dostępem bezpośrednim:
—— Physical memory – pamięć fizyczna.
—— Computer monitor – monitor komputera.
—— Disks – dyski.
—— Keyboard – klawiatura.
– Temporarily switch HIPS to training mode – tymczasowe przełączenie HIPS w tryb nauki na wybraną liczbę dni i godzin.
– Do NOT show popup alerts – NIE wyświetlaj wyskakujących powiadomień; zamiast powiadomienia – stałe zezwalanie (“Allow requests”) lub blokowanie (“Blosk requests”).
– Set popup alerts to verbose mode – ustaw wyskakujące alerty na tryb szczegółowy.
– Create rules for safe applications – opcja tworzenia reguł dla bezpiecznych aplikacji.
– Erase automatically created rules when settings are updated – usuwanie automatycznie utworzonych reguł po aktualizacji ustawień.
– Set new on-screen alert timeout to: – ustawienie limitu czasu alertu na ekranie (w sekundach).
– Enable adaptive mode under low system resources – włącz tryb adaptacyjny przy niskich zasobach systemowych.
– Block unknown requests when the application is not running – blokowanie nieznanych żądań, gdy aplikacja nie jest uruchomiona.
– Enable enhanced protection mode (requires a system restart) – włącz tryb rozszerzonej ochrony (wymaga ponownego uruchomienia systemu).
HIPS Rules
Reguła w HIPS składa się zasobu i zestawu mniejszych reguł szczegółowych.
Reguły w HIPS mają charakter hierarchiczny, tzn.:
– reguła będąca wyżej na liście ma wyższy priorytet.
– reguła będąca niżej nie wykona się, jeśli reguła będąca wyżej ją przesłania lub wyklucza.
Przełącznikiem [ON/OFF] uaktywniamy lub dezaktywujemy regułę.
Ikony ołówka i kosza służą odpowiednio do edycji i usunięcia reguły.
Przyciskiem [Add Rule] ustalamy własną regułę podsystemu bezpieczeństwa HIPS; więcej w poradniku: 2.2.2. HIPS – (zabezpieczenia.it).
Rulesets
Zestawy reguł dotyczą poziomu dostępności elementów systemu operacyjnego, objętych ochroną HIPS.
Producent udostępnia 4 predefiniowane zestawy reguł dla:
– Allowed Applications – aplikacji dozwolonych.
– Windows System Application – aplikacji systemowych Windows.
– Isolated Applications – aplikacji izolowanych.
– Limited Applications – aplikacji z ograniczeniami.
Aby dodać własny zestaw reguł, naciskamy [Add Ruleset]; więcej w poradniku: 2.2.2. HIPS – (zabezpieczenia.it)
Protected Objects
Obiekty chronione, ujęte w liście rozwijanej Show dzielą się na:
– chronione pliki (“Protected files”); więcej tutaj: File Groups Variables (zabezpieczenia.it).
– klucze rejestru (“Registry keys”); więcej tutaj: COM Variables (zabezpieczenia.it).
– interfejsy COM (“COM interfaces”); więcej tutaj: Registry Variables (zabezpieczenia.it).
Lista By pozwala doprecyzować rodzaj obiektów chronionych (pojedyncze pliki, klucze, interfejsy COM lub ich grupy).
Wybór pozwala wyświetlić na liście obiekty chronione dodane przez użytkownika; więcej o dodawaniu obiektów chronionych w poradniku: 2.2.2. HIPS – (zabezpieczenia.it)