Situace
- Potřebujete nastavit dodatečná pravidla firewallu v produktu ESET Endpoint Security nebo vytvořit politiku v ESET PROTECT pro ochranu před ransomware (filecoder)
- Ruční vytvoření politiky v ESET PROTECT/konfigurace nastavení produktu ESET Endpoint Security
- Stažení a importování politiky v ESET PROTECT
Kliknutím na následující obrázky otevřete články ESET Databáze znalostí, ve kterých naleznete osvědčené postupy pro ochranu před ransomware a dodatečné konfigurace bezpečnostních řešení a dalšího softwaru:
Podrobnosti
Klikněte pro rozbalení
Při výchozím nastavení, pokud dojde ke spuštění škodlivého kódu s dropperem (tzv. nosič), ESET Endpoint Security zabrání stažení malware pomocí integrovaného ESET Firewallu. Pro zvýšení prevence ransomware v systémech Windows pomocí ESET Endpoint Security vytvořte následující pravidla v nejnovější verzi ESET Endpoint Security nebo vytvořte a aplikujte politiku pomocí ESET PROTECT.
Řešení
Ruční vytvoření politiky v ESET PROTECT/konfigurace nastavení v ESET Endpoint Security
- Otevřete webovou konzoli ESET PROTECT. V rozbalovací nabídce Rychlé odkazy klikněte na Vytvořit novou politiku.....
Pokud používáte ESET Endpoint Security bez vzdálené správy, otevřete hlavní okno produktu ESET a stiskněte klávesu F5 pro přístup k Rozšířenému nastavení. Přejděte na krok č. 3. - Klikněte na Nastavení a v rozbalovací nabídce Vyberte produkt... vyberte ESET Endpoint for Windows. Přejděte na krok č. 4.
Kliknutím na obrázek jej zobrazíte ve větší velikosti v novém okně
- Klikněte na Ochrana síťového připojení → Ochrana proti síťovým útokům a ověřte, že máte povolenou možnost Zapnout ochranu proti zapojení do botnetu.
- Klikněte na Ochrany → Ochrana síťového připojení → FIREWALL → zvolte položku Pravidla a klikněte na Změnit.
Kliknutím na obrázek jej zobrazíte ve větší velikosti v novém okně
- V okně Pravidla klikněte na Přidat.
- Do pole Název zadejte Deny network connections for cmd.exe (native).
Pro vytvoření pravidla použijte následující konfiguraci:
-
- V nabídce Směr vyberte možnost Oba.
- V nabídce Akce vyberte možnost Blokovat.
- V nabídce IP Protokol vyberte možnost Jakýkoli.
- V nabídce Profil vyberte možnost Jakýkoli.
- Klikněte na Aplikace a do pole Cesta k aplikaci zadejte
C:\Windows\System32\cmd.exe.
- Klikněte na Uložit → Přidat a opakujte kroky 6 a 7 pro vytvoření následujících pravidel:
- Název: Deny network connections for cmd.exe (SysWOW64)
Cesta k aplikaci: C:\Windows\SysWOW64\cmd.exe - Název: Deny network connections for wscript.exe (native)
Cesta k aplikaci: C:\Windows\System32\wscript.exe - Název: Deny network connections for wscript.exe (SysWOW64)
Cesta k aplikaci: C:\Windows\SysWOW64\wscript.exe - Název: Deny network connections for cscript.exe (native)
Cesta k aplikaci: C:\Windows\System32\cscript.exe - Název: Deny network connections for cscript.exe (SysWOW64)
Cesta k aplikaci: C:\Windows\SysWOW64\cscript.exe - Název: Deny network connections for powershell.exe (native)
Cesta k aplikaci: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe - Název: Deny network connections for powershell.exe (SysWOW64)
Cesta k aplikaci: C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe - Název: Deny network connections for ntvdm.exe
Cesta k aplikaci: C:\Windows\System32\ntvdm.exe - Název: Deny network connections for regsvr.exe (native)
Cesta k aplikaci: C:\Windows\System32\regsvr.exe - Název: Deny network connections for regsvr.exe (SysWOW64)
Cesta k aplikaci: C:\Windows\SysWOW64\regsvr.exe - Název: Deny network connections for rundll32.exe (native)
Cesta k aplikaci: C:\Windows\System32\rundll32.exe - Název: Deny network connections for rundll32.exe (SysWOW64)
Cesta k aplikaci: C:\Windows\SysWOW64\rundll32.exe
- V okně Pravidel klikněte po přidání všech pravidel na OK. Poté v nastavení politiky klikněte na Přiřadit a zvolte skupinu nebo klienty, na které se má politika aplikovat. V opačném případě klikněte na Dokončit, politika se pouze uloží do seznamu již vytvořených politik. Pokud je politika přiřazena, bude její nastavení aplikováno na cílové skupiny nebo klientské počítače po jejich přihlášení k serveru ESET PROTECT.
Pokud používáte ESET Endpoint Security bez vzdálené správy, klikněte po přidání všech pravidel na OK → OK.
Kliknutím na obrázek jej zobrazíte ve větší velikosti v novém okně
Stažení a importování politky v ESET PROTECT
Politika obsahující dodatečné nastavení pro ESET Endpoint Security pro ochranu proti ransomware (filecoder) je k dispozici ke stažení pomocí odkazu v bodu č. 1. níže. Politika ESET PROTECT je k dispozici pouze pro nejnovější verze produktů ESET. Kompatibilitu se staršími verzemi nelze zaručit.
-
Stáhněte si dodatečnou politiku ochrany proti ransomware pro produkt ESET Endpoint Security.
-
Otevřete webovou konzoli ESET PROTECT. V hlavním menu webové konzole ESET PROTECT klikněte na Politiky.
- Klikněte na Akce → Importovat.
Kliknutím na obrázek jej zobrazíte ve větší velikosti v novém okně
- Klikněte na Vyberte soubor k nahrání, vyberte staženou politiku a klikněte na Importovat.
- Přiřaďte politiku klientovi nebo ji přiřaďte skupině. Nastavení politiky bude aplikováno na cílové skupiny nebo klientské počítače po jejich přihlášení k ESET PROTECT.
