[KB6132] Konfigurace pravidel firewallu v ESET Endpoint Security pro ochranu před ransomware
Situace
Potřebujete nastavit dodatečná pravidla firewallu v produktu ESET Endpoint Security nebo vytvořit politiku v ESET PROTECT pro ochranu před ransomware (filecoder)
Kliknutím na následující obrázky otevřete články ESET Databáze znalostí, ve kterých naleznete osvědčené postupy pro ochranu před ransomware a dodatečné konfigurace bezpečnostních řešení a dalšího softwaru:
Podrobnosti
Klikněte pro rozbalení
Při výchozím nastavení, pokud dojde ke spuštění škodlivého kódu s dropperem (tzv. nosič), ESET Endpoint Security zabrání stažení malware pomocí integrovaného ESET Firewallu. Pro zvýšení prevence ransomware v systémech Windows pomocí ESET Endpoint Security vytvořte následující pravidla v nejnovější verzi ESET Endpoint Security nebo vytvořte a aplikujte politiku pomocí ESET PROTECT.
Řešení
Neupravujte nastavení na produkčních systémech
Následující nastavení představují dodatečné konfigurace a konkrétní nastavení potřebná pro vaše bezpečnostní prostředí se mohou lišit. Před použitím v produkčním prostředí doporučujeme otestovat nastavení pro každou implementaci v testovacím prostředí.
Ruční vytvoření politiky v ESET PROTECT/konfigurace nastavení v ESET Endpoint Security
Pokud používáte ESET Endpoint Security bez vzdálené správy, otevřete hlavní okno produktu ESET a stiskněte klávesu F5 pro přístup k Rozšířenému nastavení. Přejděte na krok č. 3.
Klikněte na Nastavení a v rozbalovací nabídce Vyberte produkt... vyberte ESET Endpoint for Windows. Přejděte na krok č. 4.
Obrázek 1-1 Kliknutím na obrázek jej zobrazíte ve větší velikosti v novém okně
Klikněte na Ochrana síťového připojení → Ochrana proti síťovým útokům a ověřte, že máte povolenou možnost Zapnout ochranu proti zapojení do botnetu.
Obrázek 1-2
Klikněte na Ochrany → Ochrana síťového připojení → FIREWALL → zvolte položku Pravidla a klikněte na Změnit.
Obrázek 1-3 Kliknutím na obrázek jej zobrazíte ve větší velikosti v novém okně
V okně Pravidla klikněte na Přidat.
Obrázek 1-4
Do pole Název zadejte Deny network connections for cmd.exe (native).
Pro vytvoření pravidla použijte následující konfiguraci:
V nabídce Směr vyberte možnost Oba.
V nabídce Akce vyberte možnost Blokovat.
V nabídce IP Protokol vyberte možnost Jakýkoli.
V nabídce Profil vyberte možnost Jakýkoli.
Obrázek 1-5
Klikněte na Aplikace a do pole Cesta k aplikaci zadejte C:\Windows\System32\cmd.exe.
Obrázek 1-6
Klikněte na Uložit → Přidat a opakujte kroky 6 a 7 pro vytvoření následujících pravidel:
Název: Deny network connections for cmd.exe (SysWOW64) Cesta k aplikaci: C:\Windows\SysWOW64\cmd.exe
Název: Deny network connections for wscript.exe (native) Cesta k aplikaci: C:\Windows\System32\wscript.exe
Název: Deny network connections for wscript.exe (SysWOW64) Cesta k aplikaci: C:\Windows\SysWOW64\wscript.exe
Název: Deny network connections for cscript.exe (native) Cesta k aplikaci: C:\Windows\System32\cscript.exe
Název: Deny network connections for cscript.exe (SysWOW64) Cesta k aplikaci: C:\Windows\SysWOW64\cscript.exe
Název: Deny network connections for powershell.exe (native) Cesta k aplikaci: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Název: Deny network connections for powershell.exe (SysWOW64) Cesta k aplikaci: C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Název: Deny network connections for ntvdm.exe Cesta k aplikaci: C:\Windows\System32\ntvdm.exe
Název: Deny network connections for regsvr.exe (native) Cesta k aplikaci: C:\Windows\System32\regsvr.exe
Název: Deny network connections for regsvr.exe (SysWOW64) Cesta k aplikaci: C:\Windows\SysWOW64\regsvr.exe
Název: Deny network connections for rundll32.exe (native) Cesta k aplikaci: C:\Windows\System32\rundll32.exe
Název: Deny network connections for rundll32.exe (SysWOW64) Cesta k aplikaci: C:\Windows\SysWOW64\rundll32.exe
V okně Pravidel klikněte po přidání všech pravidel na OK. Poté v nastavení politiky klikněte na Přiřadit a zvolte skupinu nebo klienty, na které se má politika aplikovat. V opačném případě klikněte na Dokončit, politika se pouze uloží do seznamu již vytvořených politik. Pokud je politika přiřazena, bude její nastavení aplikováno na cílové skupiny nebo klientské počítače po jejich přihlášení k serveru ESET PROTECT.
Pokud používáte ESET Endpoint Security bez vzdálené správy, klikněte po přidání všech pravidel na OK→ OK.
Obrázek 1-7 Kliknutím na obrázek jej zobrazíte ve větší velikosti v novém okně
Stažení a importování politky v ESET PROTECT
Politika obsahující dodatečné nastavení pro ESET Endpoint Security pro ochranu proti ransomware (filecoder) je k dispozici ke stažení pomocí odkazu v bodu č. 1. níže. Politika ESET PROTECT je k dispozici pouze pro nejnovější verze produktů ESET. Kompatibilitu se staršími verzemi nelze zaručit.