Problem
- Sie möchten zusätzliche HIPS-Regeln in den folgenden ESET Business Produkten für Windows konfigurieren oder eine Richtlinie in ESET PROTECT oder ESET PROTECT On-Prem mit zusätzlichen HIPS-Einstellungen zum Schutz vor Ransomware-Malware (Filecoder) erstellen
- ESET Endpoint Security
- ESET Endpoint Antivirus
- ESET Mail Security für Microsoft Exchange Server
- ESET Dateisicherheit für Microsoft Windows Server
- Manuelles Erstellen einer ESET PROTECT-Richtlinie/Konfigurieren der Einstellungen in ESET Business Produkten
- Herunterladen und Importieren der ESET PROTECT-Richtlinie
Click an image to open the ESET Knowledgebase article for anti-ransomware best practices and additional product configurations:
Einzelheiten
Klicken Sie zum Erweitern
Das Host-based Intrusion Prevention System (HIPS) von ESET ist in ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security für Microsoft Exchange Server und ESET File Security für Microsoft Windows Server enthalten. HIPS überwacht die Systemaktivität und verwendet einen vordefinierten Satz von Regeln, um verdächtiges Systemverhalten zu erkennen.
Wenn diese Art von Aktivität erkannt wird, stoppt der HIPS-Selbstverteidigungsmechanismus das angreifende Programm oder den Prozess an der Ausführung einer potenziell schädlichen Aktivität. Durch das Verbot der Standardausführung von JavaScript und anderen Skripten kann Ransomware nicht heruntergeladen oder ausgeführt werden. Um Ransomware-Malware auf Ihren Windows-Systemen zu verhindern, können Sie die folgenden Regeln in den neuesten ESET Business-Produkten mit HIPS erstellen oder eine ESET PROTECT-Richtlinie erstellen und anwenden.
Lösung
Erstellen Sie manuell eine ESET PROTECT-Richtlinie/konfigurieren Sie die Einstellungen in ESET Business Produkten
- Öffnen Sie ESET PROTECT oder ESET PROTECT On-Prem. Klicken Sie im Dropdown-Menü Quick Links auf Create New Policy....
Wenn Sie ein ESET Business-Produkt ohne Remote-Verwaltung verwenden, öffnen Sie das Hauptprogrammfenster Ihres ESET Windows-Produkts und drücken Sie die F5-Taste, um das erweiterte Setup aufzurufen. Fahren Sie mit Schritt 3 fort. - Klicken Sie auf Einstellungen, und wählen Sie im Dropdown-Menü Produkt auswählen... eines der folgenden ESET Business-Produkte mit HIPS aus:
-
- ESET Endpoint für Windows.
- ESET Dateisicherheit für Windows Server (V6+).
- ESET Mail Security für Microsoft Exchange (V6+).
Klicken Sie auf das Bild, um es in einem neuen Fenster größer anzuzeigen
- Klicken Sie auf Detection Engine(Computer in ESET Mail Security für Microsoft Exchange Server) → HIPS. Klicken Sie auf Bearbeiten neben Regeln.
Klicken Sie auf das Bild, um es in einem neuen Fenster zu vergrößern
Klicken Sie auf die Option (I. bis VII.), um jeden Abschnitt unten zu erweitern und die HIPS-Regeln für die vorgeschlagenen Prozesse zu erstellen.
I. Prozesse von ausführbaren Skripten verweigern
- Klicken Sie im Fenster HIPS-Regeln auf Hinzufügen.
-
Geben Sie Deny child processes from script executables in das Feld Rule name ein. Wählen Sie aus dem Dropdown-Menü Aktion die Option Blockieren. Klicken Sie auf die Kippschalter neben Anwendungen, Aktiviert und Benutzer benachrichtigen, um diese Einstellungen zu aktivieren. Wählen Sie aus dem Dropdown-Menü Schweregrad der Protokollierung die Option Warnung und klicken Sie auf Weiter.
-
Klicken Sie im Fenster Quellanwendungen auf Hinzufügen, geben Sie die folgenden Namen ein und klicken Sie nach jedem Namen auf OK → Hinzufügen :
C:\Windows\System32\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exe
Klicken Sie auf Weiter.
- Klicken Sie im Fenster Anwendungsvorgänge auf das Kästchen neben Neue Anwendung starten, um es zu aktivieren, und klicken Sie auf Weiter.
- Wählen Sie Alle Anwendungen aus dem Dropdown-Menü und klicken Sie auf Fertig stellen.
- Lassen Sie das Fenster mit den HIPS-Regeln geöffnet und fahren Sie mit dem nächsten Abschnitt fort.
II. Vom Explorer gestartete Skriptprozesse verweigern
- Klicken Sie im Fenster HIPS-Regeln auf Hinzufügen.
-
Geben Sie Deny script processes started by explorer in das Feld Rule name ein.
Wählen Sie aus dem Dropdown-Menü Aktion die Option Blockieren.
Klicken Sie auf das Kippsymbol neben:
Wählen Sie im Dropdown-Menü Schweregrad der Protokollierung die Option Warnung und klicken Sie auf Weiter.
- Klicken Sie im Fenster Quellanwendungen auf Hinzufügen, geben Sie C:\Windows\explorer.exe in das Feld Dateipfad angeben ein, und klicken Sie dann auf OK → Weiter.
- Klicken Sie im Fenster Anwendungsvorgänge auf das Kästchen neben Neue Anwendung starten, um sie zu aktivieren, und klicken Sie auf Weiter.
-
Klicken Sie im Fenster Anwendungen auf Hinzufügen, geben Sie die folgenden Namen ein und klicken Sie nach jedem Namen auf OK → Hinzufügen :
C:\Windows\System32\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\SysWOW64\cscript.exe
Klicken Sie auf Fertigstellen.
- Lassen Sie das Fenster mit den HIPS-Regeln geöffnet und fahren Sie mit dem nächsten Abschnitt fort.
III. Verhindern von untergeordneten Prozessen von Office 2013/2016-Prozessen
- Klicken Sie im Fenster HIPS-Regeln auf Hinzufügen.
-
Geben Sie Deny child processes from Office 2013 processes in das Feld Rule name ein. Wählen Sie im Dropdown-Menü Aktion die Option Blockieren. Klicken Sie auf die Kippschalter neben Anwendungen, Aktiviert und Benutzer benachrichtigen, um diese Einstellungen zu aktivieren. Wählen Sie aus dem Dropdown-Menü Schweregrad der Protokollierung die Option Warnung und klicken Sie auf Weiter.
-
Klicken Sie im Fenster Quellanwendungen auf Hinzufügen, geben Sie die folgenden Namen ein und klicken Sie nach jedem Namen auf OK → Hinzufügen :
C:\Programmdateien\Microsoft Office\Office15\WINWORD.EXEC:\Programmdateien\Microsoft Office\Office15\OUTLOOK.EXEC:\Programmdateien\Microsoft Office\Office15\EXCEL.EXEC:\Programmdateien\Microsoft Office\Office15\POWERPNT.EXEC:\Programmdateien (x86)\Microsoft Office\Office15\WINWORD.EXEC:\Programmdateien (x86)\Microsoft Office\Office15\OUTLOOK.EXEC:\Programmdateien (x86)\Microsoft Office\Office15\EXCEL.EXEC:\Programmdateien (x86)\Microsoft Office\Office15\POWERPNT.EXE
Klicken Sie auf Weiter.
- Klicken Sie im Fenster Anwendungsvorgänge auf das Kästchen neben Neue Anwendung starten, um es zu aktivieren, und klicken Sie auf Weiter.
-
Klicken Sie im Fenster Anwendungen auf Hinzufügen, geben Sie die folgenden Namen ein und klicken Sie nach jedem Namen auf OK → Hinzufügen :
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exeC:\Windows\System32\regsvr32.exeC:\Windows\SysWOW64\regsvr32.exeC:\Windows\System32\rundll32.exeC:\Windows\SysWOW64\rundll32.exe
Klicken Sie auf Fertigstellen.
-
Fügen Sie bei Bedarf weitere Office-Versionen hinzu und wiederholen Sie die Anweisungen wie oben.
- 2016 = Office16 (C:\Program Files (x86)\Microsoft Office\Root\Office16\...)
- 2010 = Office14
-
Lassen Sie das Fenster mit den HIPS-Regeln geöffnet und fahren Sie mit dem nächsten Abschnitt fort.
IV. Verhindern von untergeordneten Prozessen für regsrv32.exe
- Klicken Sie im Fenster HIPS-Regeln auf Hinzufügen.
-
Geben Sie Deny child processes for regsrv32.exe in das Feld Rule name ein.
Wählen Sie im Dropdown-Menü Aktion die Option Blockieren.
Klicken Sie auf das Kippsymbol neben den folgenden Einstellungen, um sie zu aktivieren:
- Anwendungen
- Aktiviert
- Benutzer benachrichtigen
Wählen Sie aus dem Dropdown-Menü Schweregrad der Protokollierung die Option Warnung und klicken Sie auf Weiter.
-
Klicken Sie im Fenster Quellanwendungen auf Hinzufügen, geben Sie die folgenden Namen ein und klicken Sie nach jedem Namen auf OK → Hinzufügen :
C:\Windows\System32\regsvr32.exeC:\Windows\SysWOW64\regsvr32.exe
Klicken Sie auf Weiter.
- Klicken Sie im Fenster Anwendungsvorgänge auf das Kästchen neben Neue Anwendung starten, um es zu aktivieren, und klicken Sie auf Weiter.
-
Klicken Sie im Fenster Anwendungen auf Hinzufügen und geben Sie die folgenden Namen ein, indem Sie nach jedem Namen auf OK → Hinzufügen klicken:
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Klicken Sie auf Fertigstellen.
- Lassen Sie das Fenster HIPS-Regeln geöffnet und fahren Sie mit dem nächsten Abschnitt fort.
V. Verhindern von untergeordneten Prozessen für mshta.exe
- Klicken Sie im Fenster HIPS-Regeln auf Hinzufügen.
-
Geben Sie Deny child processes for mshta.exe in das Feld Rule name ein.
Wählen Sie im Dropdown-Menü Aktion die Option Blockieren.
Klicken Sie auf das Kippsymbol neben den folgenden Einstellungen, um sie zu aktivieren:
- Anwendungen
- Aktiviert
- Benutzer benachrichtigen
Wählen Sie aus dem Dropdown-Menü Schweregrad der Protokollierung die Option Warnung und klicken Sie auf Weiter.
-
Klicken Sie im Fenster Quellanwendungen auf Hinzufügen, geben Sie die folgenden Namen ein und klicken Sie nach jedem Namen auf OK → Hinzufügen :
C:\Windows\System32\mshta.exeC:\Windows\SysWOW64\mshta.exe
Klicken Sie auf Weiter.
- Klicken Sie im Fenster Anwendungsvorgänge auf das Kästchen neben Neue Anwendung starten, um sie zu aktivieren, und klicken Sie auf Weiter.
- Wählen Sie Alle Anwendungen aus dem Dropdown-Menü und klicken Sie auf Fertig stellen.
- Lassen Sie das Fenster mit den HIPS-Regeln geöffnet und fahren Sie mit dem nächsten Abschnitt fort.
VI. Verhindern von untergeordneten Prozessen für rundll32.exe
- Klicken Sie im Fenster HIPS-Regeln auf Hinzufügen.
-
Geben Sie Deny child processes for rundll32.exe in das Feld Rule name ein.
Wählen Sie im Dropdown-Menü Aktion die Option Blockieren.
Klicken Sie auf das Kippsymbol neben den folgenden Einstellungen, um sie zu aktivieren:
- Anwendungen
- Aktiviert
- Benutzer benachrichtigen
Wählen Sie aus dem Dropdown-Menü Schweregrad der Protokollierung die Option Warnung und klicken Sie auf Weiter.
- Klicken Sie im Fenster Quellanwendungen auf Hinzufügen, geben Sie
C:\Windows\System32\rundll32.exein das Feld Dateipfad angeben ein, und klicken Sie dann auf OK → Weiter.
- Klicken Sie im Fenster Anwendungsvorgänge auf das Kästchen neben Neue Anwendung starten, um es zu aktivieren, und klicken Sie auf Weiter.
-
Klicken Sie im Fenster Anwendungen auf Hinzufügen, geben Sie die folgenden Namen ein und klicken Sie nach jedem Namen auf OK → Hinzufügen :
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Klicken Sie auf Fertigstellen.
- Lassen Sie das Fenster HIPS-Regeln geöffnet und fahren Sie mit dem nächsten Abschnitt fort.
VII. Verhindern von untergeordneten Prozessen für powershell.exe
- Klicken Sie im Fenster HIPS-Regeln auf Hinzufügen.
-
Geben Sie Deny child processes for powershell.exe in das Feld Rule name ein.
Wählen Sie im Dropdown-Menü Aktion die Option Blockieren aus.
Klicken Sie auf das Umschaltfeld neben den folgenden Einstellungen, um sie zu aktivieren:
- Anwendungen
- Aktiviert
- Benutzer benachrichtigen
Wählen Sie aus dem Dropdown-Menü Schweregrad der Protokollierung die Option Warnung und klicken Sie auf Weiter.
-
Klicken Sie im Fenster Quellanwendungen auf Hinzufügen, geben Sie die folgenden Namen ein und klicken Sie nach jedem Namen auf OK → Hinzufügen :
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Klicken Sie auf Weiter.
- Klicken Sie im Fenster Anwendungsvorgänge auf das Kippsymbol neben Neue Anwendung starten, um es zu aktivieren, und klicken Sie auf Weiter.
- Wählen Sie Alle Anwendungen aus dem Dropdown-Menü und klicken Sie auf Fertig stellen.
- Klicken Sie im Fenster HIPS-Regeln auf OK. Erweitern Sie Zuweisen , um die Richtlinie einem Client oder einer Gruppe zuzuweisen; andernfalls klicken Sie im Bildschirm Neue Richtlinie - Einstellungen auf Fertig stellen . Wenn die Richtlinie zugewiesen wurde, werden die Einstellungen auf die Zielgruppen oder Client-Computer angewendet, sobald diese in ESET PROTECT oder ESET PROTECT On-Prem eingecheckt sind.
Wenn Sie ein ESET Business-Produkt ohne Fernverwaltung verwenden, klicken Sie zweimal auf OK.
Herunterladen und Importieren der ESET PROTECT-Richtlinie
Die ESET PROTECT-Richtlinie für ESET Business-Produkte mit zusätzlichen HIPS-Einstellungen zum Schutz vor Ransomware-Malware (Filecoder) kann über die unten stehenden Links heruntergeladen und importiert werden. Die ESET PROTECT Policy ist nur für die neueste Version der ESET Produkte verfügbar. Die Kompatibilität mit früheren Versionen kann nicht garantiert werden.
-
Laden Sie die ESET PROTECT-Richtlinie für zusätzlichen HIPS-Schutz herunter:
-
Öffnen Sie ESET PROTECT oder ESET PROTECT On-Prem. Klicken Sie im Hauptmenü auf Policies.
- Klicken Sie auf Aktionen → Importieren.....
Klicken Sie auf das Bild, um es in einem neuen Fenster größer anzuzeigen
- Klicken Sie auf Choose file to upload, wählen Sie die heruntergeladene Richtlinie aus und klicken Sie auf Import.
- Weisen Sie die Richtlinie einem Client zu oder weisen Sie die Richtlinie einer Gruppe zu. Die Richtlinieneinstellungen werden auf die Zielgruppen oder Client-Computer angewendet, sobald diese in ESET PROTECT oder ESET PROTECT On-Prem eingecheckt sind.
