Problem
- Du vil konfigurere yderligere HIPS-regler i følgende ESET-forretningsprodukter til Windows eller oprette en politik i ESET PROTECT eller ESET PROTECT On-Prem med yderligere HIPS-indstillinger for at beskytte mod ransomware-malware (filecoder)
- ESET Endpoint-sikkerhed
- ESET Endpoint Antivirus
- ESET Mail Security til Microsoft Exchange Server
- ESET File Security til Microsoft Windows Server
- Opret en ESET PROTECT-politik manuelt/konfigurer indstillingerne i ESET Business-produkterne
- Download og importer ESET PROTECT-politikken
Click an image to open the ESET Knowledgebase article for anti-ransomware best practices and additional product configurations:
Detaljer
Klik for at udvide
ESET's Host-based Intrusion Prevention System (HIPS) er inkluderet i ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security for Microsoft Exchange Server og ESET File Security for Microsoft Windows Server. HIPS overvåger systemaktivitet og bruger et foruddefineret sæt regler til at genkende mistænkelig systemadfærd.
Når denne type aktivitet identificeres, stopper HIPS-selvforsvarsmekanismen det krænkende program eller den krænkende proces i at udføre en potentielt skadelig aktivitet. Ved at forbyde standardafvikling af JavaScript og andre scripts kan ransomware ikke downloades eller afvikles. For yderligere at hjælpe med at forhindre ransomware-malware på dine Windows-systemer skal du oprette følgende regler i de nyeste ESET-forretningsprodukter med HIPS eller oprette og anvende en ESET PROTECT-politik.
Løsning
Opret manuelt en ESET PROTECT-politik/konfigurer indstillingerne i ESET-forretningsprodukterne
- Åbn ESET PROTECT eller ESET PROTECT On-Prem. Klik på Opret ny politik i rullemenuen Hurtige links....
Hvis du bruger et ESET-forretningsprodukt uden fjernadministration, skal du åbne hovedprogramvinduet for dit ESET Windows-produkt og trykke på F5-tasten for at få adgang til avanceret opsætning. Fortsæt til trin 3. - Klik på Indstillinger, og i rullemenuen Vælg produkt... skal du vælge et af følgende ESET-forretningsprodukter med HIPS:
-
- ESET Endpoint til Windows.
- ESET File Security til Windows Server (V6+).
- ESET Mail Security til Microsoft Exchange (V6+).
Klik på billedet for at se det større i et nyt vindue
- Klik på Detection Engine(Computer i ESET Mail Security for Microsoft Exchange Server) → HIPS. Klik på Rediger ved siden af Regler.
Klik på billedet for at se det større i det nye vindue
Klik på muligheden (I. til VII.) for at udvide hvert afsnit nedenfor for at oprette HIPS-regler for de foreslåede processer.
I. Afvis processer fra eksekverbare scripts
- Klik på Tilføj i vinduet HIPS-regler.
-
Skriv Deny child processes from script executables i feltet Rule name. Vælg Bloker i rullemenuen Handling . Klik på vippeknappen ved siden af Applications, Enabled og Notify user for at aktivere disse indstillinger. Vælg Warning i rullemenuen Logging severity, og klik på Next.
-
I vinduet Kildeprogrammer skal du klikke på Tilføj og indtaste følgende navne og klikke på OK → Tilføj efter hvert navn:
C:\Windows\System32\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exe
Klik på Næste.
- I vinduet Application operations skal du klikke på vippeknappen ved siden af Start new application for at aktivere den og klikke på Next.
- Vælg Alle programmer i rullemenuen, og klik på Udfør.
- Lad vinduet med HIPS-regler være åbent, og fortsæt til næste afsnit.
II. Afvis scriptprocesser startet af explorer
- Klik på Tilføj i vinduet HIPS-regler.
-
Skriv Deny script processes started by explorer i feltet Rule name.
Vælg Bloker i rullemenuen Handling .
Klik på vippeknappen ved siden af:
Vælg Warning i rullemenuen Logging severity, og klik på Next.
- Klik på Tilføj i vinduet Kildeprogrammer, skriv C:\Windows\explorer.exe i feltet Angiv filsti, og klik derefter på OK → Næste.
- I vinduet Application operations skal du klikke på vippeknappen ved siden af Start new application for at aktivere den og klikke på Next.
-
I vinduet Applikationer skal du klikke på Tilføj og skrive følgende navne og klikke på OK → Tilføj efter hvert navn:
C:\Windows\System32\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\SysWOW64\cscript.exe
Klik på Udfør.
- Lad vinduet med HIPS-regler være åbent, og fortsæt til næste afsnit.
III. Afvis underordnede processer fra Office 2013/2016-processer
- Klik på Tilføj i vinduet HIPS-regler.
-
Skriv Afvis underordnede processer fra Office 2013-processer i feltet Regelnavn. Vælg Bloker i rullemenuen Handling . Klik på vippeknappen ved siden af Applications, Enabled og Notify user for at aktivere disse indstillinger. Vælg Warning i rullemenuen Logging severity, og klik på Next.
-
I vinduet Kildeprogrammer skal du klikke på Tilføj og indtaste følgende navne og klikke på OK → Tilføj efter hvert navn:
C:\Program Files\Microsoft Office\Office15\WINWORD.EXEC:\Program Files\Microsoft Office\Office15\OUTLOOK.EXEC:\Program Files\Microsoft Office\Office15\EXCEL.EXEC:\Program Files\Microsoft Office\Office15\POWERPNT.EXEC:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXEC:\Program Files (x86)\Microsoft Office\Office15\OUTLOOK.EXEC:\Program Files (x86)\Microsoft Office\Office15\EXCEL.EXEC:\Program Files (x86)\Microsoft Office\Office15\POWERPNT.EXE
Klik på Næste.
- I vinduet Application operations skal du klikke på vippeknappen ved siden af Start new application for at aktivere den og klikke på Next.
-
I vinduet Programmer skal du klikke på Tilføj og indtaste følgende navne og klikke på OK → Tilføj efter hvert navn:
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exeC:\Windows\System32\regsvr32.exeC:\Windows\SysWOW64\regsvr32.exeC:\Windows\System32\rundll32.exeC:\Windows\SysWOW64\rundll32.exe
Klik på Udfør.
-
Tilføj yderligere Office-versioner efter behov ved at gentage de samme instruktioner som ovenfor.
- 2016 = Office16 (C:\Program Files (x86)\Microsoft Office\Root\Office16\...)
- 2010 = Office14
-
Lad vinduet med HIPS-regler være åbent, og fortsæt til næste afsnit.
IV. Afvis underordnede processer for regsrv32.exe
- Klik på Tilføj i vinduet med HIPS-regler.
-
Skriv Deny child processes for regsrv32.exe i feltet Rule name.
Vælg Bloker i rullemenuen Handling .
Klik på vippeknappen ved siden af følgende indstillinger for at aktivere dem:
- Applikationer
- Aktiveret
- Underret bruger
Vælg Warning i rullemenuen Logging severity, og klik på Next.
-
I vinduet Kildeprogrammer skal du klikke på Tilføj og indtaste følgende navne og klikke på OK → Tilføj efter hvert navn:
C:\Windows\System32\regsvr32.exeC:\Windows\SysWOW64\regsvr32.exe
Klik på Næste.
- I vinduet Application operations skal du klikke på knappen ved siden af Start new application for at aktivere den og klikke på Next.
-
I vinduet Programmer skal du klikke på Tilføj og indtaste følgende navne og klikke på OK → Tilføj efter hvert navn:
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Klik på Udfør.
- Lad vinduet med HIPS-regler være åbent, og fortsæt til næste afsnit.
V. Afvis underordnede processer for mshta.exe
- Klik på Tilføj i vinduet HIPS-regler.
-
Skriv Deny child processes for mshta.exe i feltet Rule name.
Vælg Bloker i rullemenuen Handling .
Klik på vippeknappen ved siden af følgende indstillinger for at aktivere dem:
- Applikationer
- Aktiveret
- Underret bruger
Vælg Warning i rullemenuen Logging severity, og klik på Next.
-
I vinduet Kildeprogrammer skal du klikke på Tilføj og indtaste følgende navne og klikke på OK → Tilføj efter hvert navn:
C:\Windows\System32\mshta.exeC:\Windows\SysWOW64\mshta.exe
Klik på Næste.
- I vinduet Application operations skal du klikke på vippeknappen ved siden af Start new application for at aktivere den og klikke på Next.
- Vælg Alle programmer i rullemenuen, og klik på Udfør.
- Lad vinduet med HIPS-regler være åbent, og fortsæt til næste afsnit.
VI. Afvis underordnede processer for rundll32.exe
- Klik på Tilføj i vinduet HIPS-regler.
-
Skriv Deny child processes for rundll32.exe i feltet Rule name.
Vælg Bloker i rullemenuen Handling .
Klik på vippeknappen ved siden af følgende indstillinger for at aktivere dem:
- Applikationer
- Aktiveret
- Underret bruger
Vælg Warning i rullemenuen Logging severity, og klik på Next.
- I vinduet Kildeprogrammer skal du klikke på Tilføj, skrive
C:\Windows\System32\rundll32.exei feltet Angiv filsti og derefter klikke på OK → Næste.
- I vinduet Application operations skal du klikke på vippeknappen ved siden af Start new application for at aktivere den og klikke på Next.
-
I vinduet Applikationer skal du klikke på Tilføj og skrive følgende navne og klikke på OK → Tilføj efter hvert navn:
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Klik på Udfør.
- Lad vinduet med HIPS-regler være åbent, og fortsæt til næste afsnit.
VII. Afvis underordnede processer for powershell.exe
- Klik på Tilføj i vinduet HIPS-regler.
-
Skriv Deny child processes for powershell.exe i feltet Rule name.
Vælg Bloker i rullemenuen Handling .
Klik på vippeknappen ved siden af følgende indstillinger for at aktivere dem:
- Applikationer
- Aktiveret
- Underret bruger
Vælg Warning i rullemenuen Logging severity, og klik på Next.
-
I vinduet Source applications skal du klikke på Add og indtaste følgende navne og klikke på OK → Add efter hvert navn:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Klik på Næste.
- I vinduet Application operations skal du klikke på vippeknappen ved siden af Start new application for at aktivere den og klikke på Next.
- Vælg Alle programmer i rullemenuen, og klik på Udfør.
- Klik på OK i vinduet HIPS-regler . Udvid Tildel for at tildele politikken til en klient eller gruppe; ellers skal du klikke på Udfør i skærmbilledet Ny politik - indstillinger. Hvis den er tildelt, vil dine politikindstillinger blive anvendt på målgrupperne eller klientcomputerne, når de tjekker ind i ESET PROTECT eller ESET PROTECT On-Prem.
Hvis du bruger et ESET Business-produkt uden fjernadministration, skal du klikke på OK to gange.
Download og importer ESET PROTECT-politikken
ESET PROTECT-politikken for ESET Business-produkter med yderligere HIPS-indstillinger til beskyttelse mod ransomware-malware (filecoder) kan downloades og importeres fra nedenstående links. ESET PROTECT-politikken er kun tilgængelig for den seneste version af ESET-produkter. Kompatibilitet med tidligere versioner kan ikke garanteres.
-
Download den ekstra HIPS-beskyttelses ESET PROTECT-politik til:
-
Åbn ESET PROTECT eller ESET PROTECT On-Prem. Klik på Politikker i hovedmenuen.
- Klik på Handlinger → Import....
Klik på billedet for at se det større i et nyt vindue
- Klik på Choose file to upload, vælg den downloadede politik, og klik på Import.
- Tildel politikken til en klient, eller tildel politikken til en gruppe. Politikindstillingerne vil blive anvendt på målgrupperne eller klientcomputerne, når de tjekker ind i ESET PROTECT eller ESET PROTECT On-Prem.
