Mit Anwendungsschutzregeln verringern Sie Kompatibilitäts- und Stabilitätsprobleme im Zusammenhang mit Prozess-Hooks. Sie erlauben oder blockieren das API-Hooking auf Benutzerebene für definierte und generierte Prozesslisten. Datei- und Registrierungs-Hooks auf Kernelebene sind davon nicht betroffen.
Die Host Intrusion Prevention bietet eine statische Liste an Prozessen, die erlaubt oder blockiert werden. Diese Liste wird mit Inhaltsaktualisierungen aktualisiert. Darüber hinaus können für Hooks erlaubte Prozesse dynamisch zur Liste der Prozesse hinzugefügt werden, wenn die Prozessanalyse aktiviert ist. Diese Analyse findet statt:
Im Rahmen dieser Analyse wird zuerst geprüft, ob sich ein Prozess in der Liste der blockierten Vorgänge befindet. Wenn dies nicht der Fall ist, wird die Liste der zugelassenen Prozesse geprüft. Wenn der Prozess nicht in der Liste aufgeführt ist, wird er analysiert, um herauszufinden, ob er einen Netzwerk-Port überwacht oder als Dienst ausgeführt wird. Wenn dies nicht der Fall ist, wird er blockiert, wenn er einen Port überwacht oder als Dienst ausgeführt wird, wird er für das Erstellen von Hooks zugelassen.
Die IPS-Komponente verwaltet einen Informations-Cache für laufende Prozesse, der die Hook-Informationen aufzeichnet. Die Firewall-Komponente ermittelt, ob ein Prozess einen Netzwerk-Port überwacht, ruft eine von der IPS-Komponente exportierte API auf und übergibt die Informationen an die API, die diese zur Überwachungsliste hinzufügt. Wenn die API aufgerufen wird, sucht die IPS-Komponente in ihrer Liste der ausgeführten Prozesse nach dem entsprechenden Eintrag. Für Prozesse ohne Hook, die sich nicht in der statischen Blockierliste befinden, wird dann ein Hook durchgeführt. Die Firewall liefert die PID (Prozess-ID), die bei der Cache-Suche nach einem Prozess als Schlüssel dient.
Mit der von der IPS-Komponente exportierten API kann die Client-UI außerdem die Liste der aktuellen Hook-Prozesse abrufen, die jedes Mal aktualisiert wird, wenn ein Prozess als Hook hinzugefügt oder entfernt wird. Ein Hook-Prozess wird entfernt, wenn die Konsole eine aktualisierte Prozessliste sendet, die angibt, dass der Hook-Prozess entfernt werden soll. Wenn die Liste der Hook-Prozesse aktualisiert wird, werden alle im Informations-Cache der laufenden Prozesse enthaltenen Prozesse mit der aktualisierten Liste verglichen. Wenn die Liste angibt, dass ein Prozess-Hook erstellt werden soll und der Prozess-Hook noch nicht existiert, dann wird der Prozess-Hook erzeugt. Wenn die Liste angibt, dass ein Prozess-Hook entfernt werden soll und der Prozess-Hook bereits existiert, dann wird der Prozess-Hook entfernt.
Die Prozess-Hooking-Listen können auf der Registerkarte Anwendungsschutzregeln angezeigt und bearbeitet werden. Die Client-Benutzeroberfläche zeigt, anders als die Ansicht in der Richtlinie „IPS-Regeln“ eine Liste aller Anwendungsprozesse mit einem Hook.
So erstellen Sie eine Anwendungsschutzregel: