[KB6132] Konfigurace pravidel firewallu v ESET Endpoint Security pro ochranu před ransomware

Situace

Kliknutím na následující obrázky otevřete články ESET Databáze znalostí, ve kterých naleznete osvědčené postupy pro ochranu před ransomware a dodatečné konfigurace bezpečnostních řešení a dalšího softwaru:

Podrobnosti


Klikněte pro rozbalení


Při výchozím nastavení, pokud dojde ke spuštění škodlivého kódu s dropperem (tzv. nosič), ESET Endpoint Security zabrání stažení malware pomocí integrovaného ESET Firewallu. Pro zvýšení prevence ransomware v systémech Windows pomocí ESET Endpoint Security vytvořte následující pravidla v nejnovější verzi ESET Endpoint Security nebo vytvořte a aplikujte politiku pomocí ESET PROTECT.


Řešení

Neupravujte nastavení na produkčních systémech

Následující nastavení představují dodatečné konfigurace a konkrétní nastavení potřebná pro vaše bezpečnostní prostředí se mohou lišit. Před použitím v produkčním prostředí doporučujeme otestovat nastavení pro každou implementaci v testovacím prostředí.

Ruční vytvoření politiky v ESET PROTECT/konfigurace nastavení v ESET Endpoint Security

  1. Otevřete webovou konzoli ESET PROTECT. V rozbalovací nabídce Rychlé odkazy klikněte na Vytvořit novou politiku.....

    Pokud používáte ESET Endpoint Security bez vzdálené správy, otevřete hlavní okno produktu ESET a stiskněte klávesu F5 pro přístup k Rozšířenému nastavení. Přejděte na krok č. 3.
  2. Klikněte na Nastavení a v rozbalovací nabídce Vyberte produkt... vyberte ESET Endpoint for Windows. Přejděte na krok č. 4.
Obrázek 1-1
Kliknutím na obrázek jej zobrazíte ve větší velikosti v novém okně
  1. Klikněte na Ochrana síťového připojení Ochrana proti síťovým útokům a ověřte, že máte povolenou možnost Zapnout ochranu proti zapojení do botnetu.
Obrázek 1-2
  1. Klikněte na Ochrany → Ochrana síťového připojení → FIREWALL → zvolte položku Pravidla a klikněte na Změnit.
Obrázek 1-3
Kliknutím na obrázek jej zobrazíte ve větší velikosti v novém okně
  1. V okně Pravidla klikněte na Přidat.
Obrázek 1-4
  1. Do pole Název zadejte Deny network connections for cmd.exe (native).

    Pro vytvoření pravidla použijte následující konfiguraci:
    • V nabídce Směr vyberte možnost Oba.
    • V nabídce Akce vyberte možnost Blokovat.
    • V nabídce IP Protokol vyberte možnost Jakýkoli.
    • V nabídce Profil vyberte možnost Jakýkoli.
Obrázek 1-5
  1. Klikněte na Aplikace a do pole Cesta k aplikaci zadejte C:\Windows\System32\cmd.exe.
Obrázek 1-6
  1. Klikněte na UložitPřidat a opakujte kroky 6 a 7 pro vytvoření následujících pravidel:
  • Název: Deny network connections for cmd.exe (SysWOW64)
    Cesta k aplikaci: C:\Windows\SysWOW64\cmd.exe
  • Název: Deny network connections for wscript.exe (native)
    Cesta k aplikaci: C:\Windows\System32\wscript.exe
  • Název: Deny network connections for wscript.exe (SysWOW64)
    Cesta k aplikaci: C:\Windows\SysWOW64\wscript.exe
  • Název: Deny network connections for cscript.exe (native)
    Cesta k aplikaci: C:\Windows\System32\cscript.exe
  • Název: Deny network connections for cscript.exe (SysWOW64)
    Cesta k aplikaci: C:\Windows\SysWOW64\cscript.exe
  • Název: Deny network connections for powershell.exe (native)
    Cesta k aplikaci: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  • Název: Deny network connections for powershell.exe (SysWOW64)
    Cesta k aplikaci: C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  • Název: Deny network connections for ntvdm.exe
    Cesta k aplikaci: C:\Windows\System32\ntvdm.exe
  • Název: Deny network connections for regsvr.exe (native)
    Cesta k aplikaci: C:\Windows\System32\regsvr.exe
  • Název: Deny network connections for regsvr.exe (SysWOW64)
    Cesta k aplikaci: C:\Windows\SysWOW64\regsvr.exe
  • Název: Deny network connections for rundll32.exe (native)
    Cesta k aplikaci: C:\Windows\System32\rundll32.exe
  • Název: Deny network connections for rundll32.exe (SysWOW64)
    Cesta k aplikaci: C:\Windows\SysWOW64\rundll32.exe
  1. V okně Pravidel klikněte po přidání všech pravidel na OK. Poté v nastavení politiky klikněte na Přiřadit a zvolte skupinu nebo klienty, na které se má politika aplikovat. V opačném případě klikněte na Dokončit, politika se pouze uloží do seznamu již vytvořených politik. Pokud je politika přiřazena, bude její nastavení aplikováno na cílové skupiny nebo klientské počítače po jejich přihlášení k serveru ESET PROTECT.

    Pokud používáte ESET Endpoint Security bez vzdálené správy, klikněte po přidání všech pravidel na OK OK.
Obrázek 1-7
Kliknutím na obrázek jej zobrazíte ve větší velikosti v novém okně

Stažení a importování politky v ESET PROTECT

Politika obsahující dodatečné nastavení pro ESET Endpoint Security pro ochranu proti ransomware (filecoder) je k dispozici ke stažení pomocí odkazu v bodu č. 1. níže. Politika ESET PROTECT je k dispozici pouze pro nejnovější verze produktů ESET. Kompatibilitu se staršími verzemi nelze zaručit.

  1. Stáhněte si dodatečnou politiku ochrany proti ransomware pro produkt ESET Endpoint Security.

  2. Otevřete webovou konzoli ESET PROTECT. V hlavním menu webové konzole ESET PROTECT klikněte na Politiky.

  3. Klikněte na Akce Importovat.
Obrázek 2-1
Kliknutím na obrázek jej zobrazíte ve větší velikosti v novém okně
  1. Klikněte na Vyberte soubor k nahrání, vyberte staženou politiku a klikněte na Importovat.
Obrázek 2-2
  1. Přiřaďte politiku klientovi nebo ji přiřaďte skupině. Nastavení politiky bude aplikováno na cílové skupiny nebo klientské počítače po jejich přihlášení k ESET PROTECT.