Situace
- Potřebujete nakonfigurovat další pravidla HIPS v následujících firemních produktech ESET pro Windows nebo vytvořit politiku v ESET PROTECT s dodatečným nastavením HIPS pro ochranu před ransomware (škodlivý software filecoder)
- ESET Endpoint Security
- ESET Endpoint Antivirus
- ESET Mail Security pro Microsoft Exchange Server
- ESET Server/File Security pro Microsoft Windows Server
- Ruční vytvoření politiky v ESET PROTECT/konfigurace nastavení ve firemních produktech ESET
- Stažení a importování politiky v ESET PROTECT
Kliknutím na následující obrázky otevřete články ESET Databáze znalostí, ve kterých naleznete osvědčené postupy pro ochranu před ransomware a dodatečné konfigurace bezpečnostních řešení a dalšího softwaru:
Podrobnosti
Klikněte pro rozbalení
Systém HIPS (Host-based-intrusion Prevention System) je součástí produktů ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security pro Microsoft Exchange Server a ESET Server Security pro Microsoft Windows Server. Systém HIPS monitoruje aktivitu systému a používá předem definovaný soubor pravidel na rozpoznání podezřelého chování systému.
Pokud dojde k identifikování takového typu aktivity, sebeobranný mechanismus HIPS zastaví problematický program nebo proces, aby nevykonával potenciálně škodlivou činnost. Zakázáním standardního spouštění JavaScriptu a dalších skriptů se ransomware nemůže stáhnout ani spustit. Chcete-li ransomware na systémech Windows předcházet ještě více, vytvořte následující pravidla v nejnovějších firemních produktech ESET s HIPS nebo vytvořte a aplikujte politiku v ESET PROTECT.
Řešení
Ruční vytvoření politiky v ESET PROTECT/konfigurace nastavení ve firemních produktech ESET
- Otevřete webovou konzoli ESET PROTECT nebo ESET PROTECT Cloud. V rozbalovací nabídce Rychlé odkazy klikněte na Vytvořit Novou politiku.....
Pokud používáte firemní produkt ESET bez vzdálené správy, otevřete hlavní okno produktu ESET pro Windows a stiskněte klávesu F5 pro přístup k Rozšířenému nastavení. Přejděte na krok č. 3. - Klikněte na Nastavení a v rozbalovací nabídce Vyberte produkt... vyberte jeden z následujících firemních produktů ESET s HIPS:
-
- ESET Endpoint for Windows.
- ESET Server/File Security pro Windows Server (V6+).
- ESET Mail Security pro Microsoft Exchange (V6+).
Kliknutím na obrázek jej zobrazíte ve větší velikosti v novém okně
- Klikněte na Detekční jádro (v produktu ESET Mail Security pro Microsoft Exchange Server na Počítač) → HIPS. Klikněte na Změnit u položky Pravidla.
Kliknutím na obrázek jej zobrazíte ve větší velikosti v novém okně
Kliknutím na čísla I. až VII. rozbalte jednotlivé části s pokyny na vytvoření pravidel HIPS pro navrhované procesy.
I. Zakázání procesů ze script executables
- V okně pravidel HIPS klikněte na Přidat.
-
Do pole Název pravidla zadejte Deny child processes from script executables. V rozbalovací nabídce Akce vyberte možnost Blokovat. Kliknutím na přepínač u položky Aplikace ji povolte (bude modrá) a stejně tak u položky Upozornit uživatele. V rozbalovací nabídce Zaznamenávat od úrovně vyberte možnost Varování a klikněte na Další.
-
V okně Zdrojové aplikace klikněte na Přidat a zadejte následující názvy, přičemž za každým z nich klikněte na OK → Přidat :
C:\Windows\System32\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exe
Klikněte na Další.
- V okně Operace s aplikací klikněte na přepínač u položky Spustit novou aplikaci, abyste ji povolili a klikněte na Další.
- V rozbalovací nabídce vyberte možnost Všechny aplikace a klikněte na Dokončit.
- Ponechte okno s pravidly HIPS otevřené a pokračujte k další části.
II. Zakázání procesů skriptů spuštěných Průzkumníkem
- V okně pravidel HIPS klikněte na Přidat.
-
Do pole Název pravidla zadejte Deny script processes started by explorer.
V rozbalovací nabídce Akce vyberte možnost Blokovat.
Kliknutím na přepínač u položky Aplikace ji povolte (bude modrá) a stejně tak u položky Upozornit uživatele.
V rozbalovací nabídce Zaznamenávat od úrovně vyberte možnost Varování a klikněte na Další.
- V okně Zdrojové aplikace klikněte na Přidat, do pole Vyberte cestu k souboru zadejte C:\Windows\explorer.exe a klikněte na OK → Další.
- V okně Operace s aplikací klikněte na přepínač u položky Spustit novou aplikaci, čímž ji povolíte a klikněte na Další.
-
V okně Aplikace klikněte na Přidat a zadejte následující názvy, přičemž za každým z nich klikněte na OK → Přidat :
C:\Windows\System32\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\SysWOW64\cscript.exe
Klikněte na Dokončit.
- Nechte okno s pravidly HIPS otevřené a pokračujte k další části.
III. Zakázání child procesů z Office 2013/2016 procesů
- V okně pravidel HIPS klikněte na Přidat.
- Do pole Název pravidla zadejte Deny child processes from Office 2013 processes. V rozbalovací nabídce Akce vyberte možnost Blokovat. Kliknutím na přepínač u položky Aplikace ji povolte (bude modrá) a stejně tak u položky Upozornit uživatele. V rozbalovací nabídce Zaznamenávat od úrovně vyberte možnost Varování a klikněte na Další.
-
V okně Zdrojové aplikace klikněte na Přidat a zadejte následující názvy, přičemž za každým z nich klikněte na OK → Přidat :
C:\Program Files\Microsoft Office\Office15\WINWORD.EXEC:\Program Files\Microsoft Office\Office15\OUTLOOK.EXEC:\Program Files\Microsoft Office\Office15\EXCEL.EXEC:\Program Files\Microsoft Office\Office15\POWERPNT.EXEC:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXEC:\Program Files (x86)\Microsoft Office\Office15\OUTLOOK.EXEC:\Program Files (x86)\Microsoft Office\Office15\EXCEL.EXEC:\Program Files (x86)\Microsoft Office\Office15\POWERPNT.EXE
Klikněte na Další.
- V okně Operace s aplikací klikněte na přepínač u položky Spustit novou aplikaci, čímž ji povolíte, klikněte na Další.
-
V okně Aplikace klikněte na Přidat a zadejte následující názvy, přičemž za každým z nich klikněte na OK → Přidat :
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exeC:\Windows\System32\regsvr32.exeC:\Windows\SysWOW64\regsvr32.exeC:\Windows\System32\rundll32.exeC:\Windows\SysWOW64\rundll32.exe
Klikněte na Dokončit.
-
Dle potřeby přidejte další verze sady Office a opakujte stejné pokyny tohoto bodu.
- 2016 = Office16 (C:\Program Files (x86)\Microsoft Office\Root\Office16\...)
- 2010 = Office14
-
Ponechejte okno s pravidly HIPS otevřené a pokračujte k další části.
IV. Zakázání child procesů pro regsrv32.exe
- V okně pravidel HIPS klikněte na Přidat.
-
Do pole Název pravidla zadejte Deny child processes for regsrv32.exe. V rozbalovací nabídce Akce vyberte možnost Blokovat. Kliknutím na přepínač u položky Aplikace ji povolte (bude modrá) a stejně tak u položky Upozornit uživatele. V rozbalovací nabídce Zaznamenávat od úrovně vyberte možnost Varování a klikněte na Další.
-
V okně Zdrojové aplikace klikněte na Přidat a zadejte následující názvy, přičemž za každým z nich klikněte na OK → Přidat :
C:\Windows\System32\regsvr32.exeC:\Windows\SysWOW64\regsvr32.exe
Klikněte na Další.
- V okně Operace s aplikací klikněte na přepínač u položky Spustit novou aplikaci, čímž ji povolíte, klikněte na Další.
-
V okně Aplikace klikněte na Přidat a zadejte následující názvy, přičemž za každým z nich klikněte na tlačítko OK → Přidat :
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Klikněte na Dokončit.
- Ponechtejte okno s pravidly HIPS otevřené a pokračujte k další části.
V. Zakázání child procesů pro mshta.exe
- V okně pravidel HIPS klikněte na Přidat.
-
Do pole Název pravidla zadejte Deny child processes for mshta.exe. V rozbalovací nabídce Akce vyberte možnost Blokovat. Kliknutím na přepínač u položky Aplikace ji povolte (bude modrá) a stejně tak u položky Upozornit uživatele. V rozbalovací nabídce Zaznamenávat od úrovně vyberte možnost Varování a klikněte na Další.
-
V okně Zdrojové aplikace klikněte na Přidat a zadejte následující názvy, přičemž za každým z nich klikněte na OK → Přidat :
C:\Windows\System32\mshta.exeC:\Windows\SysWOW64\mshta.exe
Klikněte na Další.
- V okně Operace s aplikací klikněte na přepínač u položky Spustit novou aplikaci, abyste ji povolili, klikněte na Další.
- V rozbalovací nabídce vyberte možnost Všechny aplikace a klikněte na Dokončit.
- Ponechejte okno s pravidly HIPS otevřené a pokračujte na další část.
VI. Zakázání child procesů pro rundll32.exe
- V okně pravidel HIPS klikněte na Přidat.
-
Do pole Název pravidla zadejte Deny child processes for rundll32.exe. V rozbalovací nabídce Akce vyberte možnost Blokovat. Kliknutím na přepínač u položky Aplikace ji povolte (bude modrá) a stejně tak u položky Upozornit uživatele. V rozbalovací nabídce Zaznamenávat od úrovně vyberte možnost Varování a klikněte na Další.
- V okně Zdrojové aplikace klikněte na Přidat, do pole Vyberte cestu k souboru zadejte
C:\Windows\System32\rundll32.exea klikněte na OK → Další.
- V okně Operace s aplikací klikněte na přepínač u položky Spustit novou aplikaci, čímž ji povolíte, klikněte na Další.
-
V okně Aplikace klikněte na Přidat a zadejte následující názvy, přičemž za každým z nich klikněte na OK → Přidat :
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Klikněte na Dokončit.
- Ponechejte okno s pravidly HIPS otevřené a pokračujte k další části.
VII. Zakázání child procesů pro powershell.exe
- V okně pravidel HIPS klikněte na Přidat.
-
Do pole Název pravidla zadejte Deny child processes for powershell.exe. V rozbalovací nabídce Akce vyberte možnost Blokovat. Kliknutím na přepínač u položky Aplikace ji povolte (bude modrá) a stejně tak u položky Upozornit uživatele. V rozbalovací nabídce Zaznamenávat od úrovně vyberte možnost Varování a klikněte na Další.
-
V okně Zdrojové aplikace klikněte na Přidat a zadejte následující názvy, přičemž za každým z nich klikněte na OK → Přidat :
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SystemWOW64\WindowsPowerShell\v1.0\powershell.exe
Klikněte na Další.
- V okně Operace s aplikací klikněte na přepínač u položky Spustit novou aplikaci, čímž ji povolíte, klikněte na Další.
- V rozbalovací nabídce vyberte možnost Všechny aplikace a klikněte na Dokončit.
- V okně Pravidel HIPS klikněte na OK. Rozbalte položku Přiřadit pro přiřazení politiky klientovi nebo skupině; v opačném případě klikněte na Dokončit v Nová Politika - nastavení. Pokud je politika přiřazena, bude její nastavení aplikováno na cílové skupiny nebo klientské počítače po jejich přihlášení k ESET PROTECT.
Pokud používáte firemní produkt ESET bez vzdálené správy, klikněte dvakrát na OK.
Stáhněte si a importujte politiku do ESET PROTECT
Politiku ESET PROTECT pro firemní produkty ESET s dodatečným nastavením HIPS pro ochranu před ransomware (filecoder) lze stáhnout a importovat z odkazů níže. Politiky ESET PROTECT jsou k dispozici pouze pro nejnovější verze produktů ESET. Kompatibilitu se staršími verzemi nelze zaručit.
-
Stáhněte si politiku pro:
-
Otevřete webovou konzoli ESET PROTECT nebo ESET PROTECT Cloud. V hlavním menu webové konzole ESET PROTECT klikněte na položku Politiky.
- Klikněte na Akce → Importovat....
Kliknutím na obrázek jej zobrazíte ve větší velikosti v novém okně
- Klikněte na Vyberte soubor k nahrání, vyberte staženou politiku a klikněte na Importovat.
- Přiřaďte politiku klientovi nebo ji přiřaďte skupině. Nastavení politiky bude aplikováno na cílové skupiny nebo klientské počítače po jejich přihlášení k ESET PROTECT.
