[KB6119] Konfigurer HIPS-regler for ESET Business-produkter for at beskytte mod ransomware
BEMÆRK:
Denne side er blevet oversat af en computer. Klik på engelsk under Sprog på denne side for at få vist den originale tekst. Hvis du finder noget uklart, bedes du kontakte din lokale support.
Problem
Du vil konfigurere yderligere HIPS-regler i følgende ESET-forretningsprodukter til Windows eller oprette en politik i ESET PROTECT eller ESET PROTECT On-Prem med yderligere HIPS-indstillinger for at beskytte mod ransomware-malware (filecoder)
Click an image to open the ESET Knowledgebase article for anti-ransomware best practices and additional product configurations:
Detaljer
Klik for at udvide
ESET's Host-based Intrusion Prevention System (HIPS) er inkluderet i ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security for Microsoft Exchange Server og ESET File Security for Microsoft Windows Server. HIPS overvåger systemaktivitet og bruger et foruddefineret sæt regler til at genkende mistænkelig systemadfærd.
Når denne type aktivitet identificeres, stopper HIPS-selvforsvarsmekanismen det krænkende program eller den krænkende proces i at udføre en potentielt skadelig aktivitet. Ved at forbyde standardafvikling af JavaScript og andre scripts kan ransomware ikke downloades eller afvikles. For yderligere at hjælpe med at forhindre ransomware-malware på dine Windows-systemer skal du oprette følgende regler i de nyeste ESET-forretningsprodukter med HIPS eller oprette og anvende en ESET PROTECT-politik.
Løsning
Juster ikke indstillinger på produktionssystemer
Følgende indstillinger er ekstra konfigurationer, og de specifikke indstillinger, der er nødvendige for dit sikkerhedsmiljø, kan variere. Vi anbefaler, at du tester indstillingerne for hver implementering i et testmiljø, før du bruger dem i et produktionsmiljø.
Opret manuelt en ESET PROTECT-politik/konfigurer indstillingerne i ESET-forretningsprodukterne
Hvis du bruger et ESET-forretningsprodukt uden fjernadministration, skal du åbne hovedprogramvinduet for dit ESET Windows-produkt og trykke på F5-tasten for at få adgang til avanceret opsætning. Fortsæt til trin 3.
Klik på Indstillinger, og i rullemenuen Vælg produkt... skal du vælge et af følgende ESET-forretningsprodukter med HIPS:
ESET Endpoint til Windows.
ESET File Security til Windows Server (V6+).
ESET Mail Security til Microsoft Exchange (V6+).
Figur 1-1 Klik på billedet for at se det større i et nyt vindue
Klik på Detection Engine(Computer i ESET Mail Security for Microsoft Exchange Server) → HIPS. Klik på Rediger ved siden af Regler.
Figur 1-2 Klik på billedet for at se det større i det nye vindue
Klik på muligheden (I. til VII.) for at udvide hvert afsnit nedenfor for at oprette HIPS-regler for de foreslåede processer.
I. Afvis processer fra eksekverbare scripts
Klik på Tilføj i vinduet HIPS-regler.
Figur 2-1
Skriv Deny child processes from script executables i feltet Rule name. Vælg Bloker i rullemenuen Handling . Klik på vippeknappen ved siden af Applications, Enabled og Notify user for at aktivere disse indstillinger. Vælg Warning i rullemenuen Logging severity, og klik på Next.
Figur 2-2
I vinduet Kildeprogrammer skal du klikke på Tilføj og indtaste følgende navne og klikke på OK→ Tilføj efter hvert navn:
C:\Windows\System32\wscript.exe
C:\Windows\System32\cscript.exe
C:\Windows\SysWOW64\wscript.exe
C:\Windows\SysWOW64\cscript.exe
C:\Windows\System32\ntvdm.exe
Klik på Næste.
Figur 2-3
I vinduet Application operations skal du klikke på vippeknappen ved siden af Start new application for at aktivere den og klikke på Next.
Figur 2-4
Vælg Alle programmer i rullemenuen, og klik på Udfør.
Figur 2-5
Lad vinduet med HIPS-regler være åbent, og fortsæt til næste afsnit.
II. Afvis scriptprocesser startet af explorer
Klik på Tilføj i vinduet HIPS-regler.
Skriv Deny script processes started by explorer i feltet Rule name.
Vælg Bloker i rullemenuen Handling .
Klik på vippeknappen ved siden af:
Vælg Warning i rullemenuen Logging severity, og klik på Next.
Figur 3-1
Klik på Tilføj i vinduet Kildeprogrammer, skriv C:\Windows\explorer.exe i feltet Angiv filsti, og klik derefter på OK→ Næste.
Figur 3-2
I vinduet Application operations skal du klikke på vippeknappen ved siden af Start new application for at aktivere den og klikke på Next.
Figur 3-3
I vinduet Applikationer skal du klikke på Tilføj og skrive følgende navne og klikke på OK→ Tilføj efter hvert navn:
C:\Windows\System32\wscript.exe
C:\Windows\System32\cscript.exe
C:\Windows\SysWOW64\wscript.exe
C:\Windows\SysWOW64\cscript.exe
Klik på Udfør.
Figur 3-4
Lad vinduet med HIPS-regler være åbent, og fortsæt til næste afsnit.
III. Afvis underordnede processer fra Office 2013/2016-processer
Klik på Tilføj i vinduet HIPS-regler.
Skriv Afvis underordnede processer fra Office 2013-processer i feltet Regelnavn. Vælg Bloker i rullemenuen Handling . Klik på vippeknappen ved siden af Applications, Enabled og Notify user for at aktivere disse indstillinger. Vælg Warning i rullemenuen Logging severity, og klik på Next.
Figur 4-1
I vinduet Kildeprogrammer skal du klikke på Tilføj og indtaste følgende navne og klikke på OK→ Tilføj efter hvert navn:
I vinduet Application operations skal du klikke på vippeknappen ved siden af Start new application for at aktivere den og klikke på Next.
Figur 8-3
Vælg Alle programmer i rullemenuen, og klik på Udfør.
Klik på OK i vinduet HIPS-regler . Udvid Tildel for at tildele politikken til en klient eller gruppe; ellers skal du klikke på Udfør i skærmbilledet Ny politik - indstillinger. Hvis den er tildelt, vil dine politikindstillinger blive anvendt på målgrupperne eller klientcomputerne, når de tjekker ind i ESET PROTECT eller ESET PROTECT On-Prem.
Hvis du bruger et ESET Business-produkt uden fjernadministration, skal du klikke på OK to gange.
Download og importer ESET PROTECT-politikken
ESET PROTECT-politikken for ESET Business-produkter med yderligere HIPS-indstillinger til beskyttelse mod ransomware-malware (filecoder) kan downloades og importeres fra nedenstående links. ESET PROTECT-politikken er kun tilgængelig for den seneste version af ESET-produkter. Kompatibilitet med tidligere versioner kan ikke garanteres.
Download den ekstra HIPS-beskyttelses ESET PROTECT-politik til: