[KB6119] Konfigurer HIPS-regler for ESET Business-produkter for at beskytte mod ransomware

BEMÆRK:

Denne side er blevet oversat af en computer. Klik på engelsk under Sprog på denne side for at få vist den originale tekst. Hvis du finder noget uklart, bedes du kontakte din lokale support.

Problem

Click an image to open the ESET Knowledgebase article for anti-ransomware best practices and additional product configurations:

Detaljer


Klik for at udvide


ESET's Host-based Intrusion Prevention System (HIPS) er inkluderet i ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security for Microsoft Exchange Server og ESET File Security for Microsoft Windows Server. HIPS overvåger systemaktivitet og bruger et foruddefineret sæt regler til at genkende mistænkelig systemadfærd.

Når denne type aktivitet identificeres, stopper HIPS-selvforsvarsmekanismen det krænkende program eller den krænkende proces i at udføre en potentielt skadelig aktivitet. Ved at forbyde standardafvikling af JavaScript og andre scripts kan ransomware ikke downloades eller afvikles. For yderligere at hjælpe med at forhindre ransomware-malware på dine Windows-systemer skal du oprette følgende regler i de nyeste ESET-forretningsprodukter med HIPS eller oprette og anvende en ESET PROTECT-politik.


Løsning

Juster ikke indstillinger på produktionssystemer

Følgende indstillinger er ekstra konfigurationer, og de specifikke indstillinger, der er nødvendige for dit sikkerhedsmiljø, kan variere. Vi anbefaler, at du tester indstillingerne for hver implementering i et testmiljø, før du bruger dem i et produktionsmiljø.

Opret manuelt en ESET PROTECT-politik/konfigurer indstillingerne i ESET-forretningsprodukterne

  1. Åbn ESET PROTECT eller ESET PROTECT On-Prem. Klik på Opret ny politik i rullemenuen Hurtige links....

    Hvis du bruger et ESET-forretningsprodukt uden fjernadministration, skal du åbne hovedprogramvinduet for dit ESET Windows-produkt og trykke på F5-tasten for at få adgang til avanceret opsætning. Fortsæt til trin 3.
  2. Klik på Indstillinger, og i rullemenuen Vælg produkt... skal du vælge et af følgende ESET-forretningsprodukter med HIPS:
    • ESET Endpoint til Windows.
    • ESET File Security til Windows Server (V6+).
    • ESET Mail Security til Microsoft Exchange (V6+).
Figur 1-1
Klik på billedet for at se det større i et nyt vindue
  1. Klik på Detection Engine(Computer i ESET Mail Security for Microsoft Exchange Server) → HIPS. Klik på Rediger ved siden af Regler.
Figur 1-2
Klik på billedet for at se det større i det nye vindue

Klik på muligheden (I. til VII.) for at udvide hvert afsnit nedenfor for at oprette HIPS-regler for de foreslåede processer.



I. Afvis processer fra eksekverbare scripts
  1. Klik på Tilføj i vinduet HIPS-regler.
Figur 2-1
  1. Skriv Deny child processes from script executables i feltet Rule name. Vælg Bloker i rullemenuen Handling . Klik på vippeknappen ved siden af Applications, Enabled og Notify user for at aktivere disse indstillinger. Vælg Warning i rullemenuen Logging severity, og klik på Next.

Figur 2-2
  1. I vinduet Kildeprogrammer skal du klikke på Tilføj og indtaste følgende navne og klikke på OKTilføj efter hvert navn:

    • C:\Windows\System32\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe

    Klik på Næste.

Figur 2-3
  1. I vinduet Application operations skal du klikke på vippeknappen ved siden af Start new application for at aktivere den og klikke på Next.
Figur 2-4
  1. Vælg Alle programmer i rullemenuen, og klik på Udfør.
Figur 2-5
  1. Lad vinduet med HIPS-regler være åbent, og fortsæt til næste afsnit.


II. Afvis scriptprocesser startet af explorer
  1. Klik på Tilføj i vinduet HIPS-regler.
  1. Skriv Deny script processes started by explorer i feltet Rule name.

    Vælg Bloker i rullemenuen Handling .

    Klik på vippeknappen ved siden af:

    Vælg Warning i rullemenuen Logging severity, og klik på Next.

Figur 3-1
  1. Klik på Tilføj i vinduet Kildeprogrammer, skriv C:\Windows\explorer.exe i feltet Angiv filsti, og klik derefter på OK Næste.
Figur 3-2
  1. I vinduet Application operations skal du klikke på vippeknappen ved siden af Start new application for at aktivere den og klikke på Next.
Figur 3-3
  1. I vinduet Applikationer skal du klikke på Tilføj og skrive følgende navne og klikke på OKTilføj efter hvert navn:

    • C:\Windows\System32\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\SysWOW64\cscript.exe

    Klik på Udfør.

Figur 3-4
  1. Lad vinduet med HIPS-regler være åbent, og fortsæt til næste afsnit.


III. Afvis underordnede processer fra Office 2013/2016-processer
  1. Klik på Tilføj i vinduet HIPS-regler.
  2. Skriv Afvis underordnede processer fra Office 2013-processer i feltet Regelnavn. Vælg Bloker i rullemenuen Handling . Klik på vippeknappen ved siden af Applications, Enabled og Notify user for at aktivere disse indstillinger. Vælg Warning i rullemenuen Logging severity, og klik på Next.

Figur 4-1
  1. I vinduet Kildeprogrammer skal du klikke på Tilføj og indtaste følgende navne og klikke på OKTilføj efter hvert navn:

    • C:\Program Files\Microsoft Office\Office15\WINWORD.EXE
    • C:\Program Files\Microsoft Office\Office15\OUTLOOK.EXE
    • C:\Program Files\Microsoft Office\Office15\EXCEL.EXE
    • C:\Program Files\Microsoft Office\Office15\POWERPNT.EXE
    • C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE
    • C:\Program Files (x86)\Microsoft Office\Office15\OUTLOOK.EXE
    • C:\Program Files (x86)\Microsoft Office\Office15\EXCEL.EXE
    • C:\Program Files (x86)\Microsoft Office\Office15\POWERPNT.EXE

    Klik på Næste.

Figur 4-2
  1. I vinduet Application operations skal du klikke på vippeknappen ved siden af Start new application for at aktivere den og klikke på Next.
Figur 4-3
  1. I vinduet Programmer skal du klikke på Tilføj og indtaste følgende navne og klikke på OKTilføj efter hvert navn:

    • C:\Windows\System32\cmd.exe
    • C:\Windows\SysWOW64\cmd.exe
    • C:\Windows\System32\wscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\System32\regsvr32.exe
    • C:\Windows\SysWOW64\regsvr32.exe
    • C:\Windows\System32\rundll32.exe
    • C:\Windows\SysWOW64\rundll32.exe

    Klik på Udfør.

Figur 4-4
  1. Tilføj yderligere Office-versioner efter behov ved at gentage de samme instruktioner som ovenfor.

    • 2016 = Office16 (C:\Program Files (x86)\Microsoft Office\Root\Office16\...)
    • 2010 = Office14
  1. Lad vinduet med HIPS-regler være åbent, og fortsæt til næste afsnit.



IV. Afvis underordnede processer for regsrv32.exe
  1. Klik på Tilføj i vinduet med HIPS-regler.
  1. Skriv Deny child processes for regsrv32.exe i feltet Rule name.

    Vælg Bloker i rullemenuen Handling .

    Klik på vippeknappen ved siden af følgende indstillinger for at aktivere dem:

    • Applikationer
    • Aktiveret
    • Underret bruger

    Vælg Warning i rullemenuen Logging severity, og klik på Next.

Figur 5-1
  1. I vinduet Kildeprogrammer skal du klikke på Tilføj og indtaste følgende navne og klikke på OKTilføj efter hvert navn:

    • C:\Windows\System32\regsvr32.exe
    • C:\Windows\SysWOW64\regsvr32.exe

    Klik på Næste.

Figur 5-2
  1. I vinduet Application operations skal du klikke på knappen ved siden af Start new application for at aktivere den og klikke på Next.
Figur 5-3
  1. I vinduet Programmer skal du klikke på Tilføj og indtaste følgende navne og klikke på OKTilføj efter hvert navn:

    • C:\Windows\System32\cmd.exe
    • C:\Windows\SysWOW64\cmd.exe
    • C:\Windows\System32\wscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

    Klik på Udfør.

Figur 5-4
  1. Lad vinduet med HIPS-regler være åbent, og fortsæt til næste afsnit.


V. Afvis underordnede processer for mshta.exe
  1. Klik på Tilføj i vinduet HIPS-regler.
  1. Skriv Deny child processes for mshta.exe i feltet Rule name.

    Vælg Bloker i rullemenuen Handling .

    Klik på vippeknappen ved siden af følgende indstillinger for at aktivere dem:

    • Applikationer
    • Aktiveret
    • Underret bruger

    Vælg Warning i rullemenuen Logging severity, og klik på Next.

Figur 6-1
  1. I vinduet Kildeprogrammer skal du klikke på Tilføj og indtaste følgende navne og klikke på OKTilføj efter hvert navn:

    • C:\Windows\System32\mshta.exe
    • C:\Windows\SysWOW64\mshta.exe

    Klik på Næste.

Figur 6-2
  1. I vinduet Application operations skal du klikke på vippeknappen ved siden af Start new application for at aktivere den og klikke på Next.
Figur 6-3
  1. Vælg Alle programmer i rullemenuen, og klik på Udfør.
  1. Lad vinduet med HIPS-regler være åbent, og fortsæt til næste afsnit.


VI. Afvis underordnede processer for rundll32.exe
  1. Klik på Tilføj i vinduet HIPS-regler.
  1. Skriv Deny child processes for rundll32.exe i feltet Rule name.

    Vælg Bloker i rullemenuen Handling .

    Klik på vippeknappen ved siden af følgende indstillinger for at aktivere dem:

    • Applikationer
    • Aktiveret
    • Underret bruger

    Vælg Warning i rullemenuen Logging severity, og klik på Next.

Figur 7-1
  1. I vinduet Kildeprogrammer skal du klikke på Tilføj, skrive C:\Windows\System32\rundll32.exe i feltet Angiv filsti og derefter klikke på OK Næste.
Figur 7-2
  1. I vinduet Application operations skal du klikke på vippeknappen ved siden af Start new application for at aktivere den og klikke på Next.
Figur 7-3
  1. I vinduet Applikationer skal du klikke på Tilføj og skrive følgende navne og klikke på OKTilføj efter hvert navn:

    • C:\Windows\System32\cmd.exe
    • C:\Windows\SysWOW64\cmd.exe
    • C:\Windows\System32\wscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

    Klik på Udfør.

Figur 7-4
  1. Lad vinduet med HIPS-regler være åbent, og fortsæt til næste afsnit.


VII. Afvis underordnede processer for powershell.exe
  1. Klik på Tilføj i vinduet HIPS-regler.
  1. Skriv Deny child processes for powershell.exe i feltet Rule name.

    Vælg Bloker i rullemenuen Handling .

    Klik på vippeknappen ved siden af følgende indstillinger for at aktivere dem:

    • Applikationer
    • Aktiveret
    • Underret bruger

    Vælg Warning i rullemenuen Logging severity, og klik på Next.

Figur 8-1
  1. I vinduet Source applications skal du klikke på Add og indtaste følgende navne og klikke på OKAdd efter hvert navn:

    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

    Klik på Næste.

Figur 8-2
  1. I vinduet Application operations skal du klikke på vippeknappen ved siden af Start new application for at aktivere den og klikke på Next.
Figur 8-3
  1. Vælg Alle programmer i rullemenuen, og klik på Udfør.
  1. Klik på OK i vinduet HIPS-regler . Udvid Tildel for at tildele politikken til en klient eller gruppe; ellers skal du klikke på Udfør i skærmbilledet Ny politik - indstillinger. Hvis den er tildelt, vil dine politikindstillinger blive anvendt på målgrupperne eller klientcomputerne, når de tjekker ind i ESET PROTECT eller ESET PROTECT On-Prem.

    Hvis du bruger et ESET Business-produkt uden fjernadministration, skal du klikke på OK to gange.

Download og importer ESET PROTECT-politikken

ESET PROTECT-politikken for ESET Business-produkter med yderligere HIPS-indstillinger til beskyttelse mod ransomware-malware (filecoder) kan downloades og importeres fra nedenstående links. ESET PROTECT-politikken er kun tilgængelig for den seneste version af ESET-produkter. Kompatibilitet med tidligere versioner kan ikke garanteres.

  1. Download den ekstra HIPS-beskyttelses ESET PROTECT-politik til:

  1. Åbn ESET PROTECT eller ESET PROTECT On-Prem. Klik på Politikker i hovedmenuen.

  2. Klik på Handlinger Import....
Figur 9-1
Klik på billedet for at se det større i et nyt vindue
  1. Klik på Choose file to upload, vælg den downloadede politik, og klik på Import.
Figur 9-2
  1. Tildel politikken til en klient, eller tildel politikken til en gruppe. Politikindstillingerne vil blive anvendt på målgrupperne eller klientcomputerne, når de tjekker ind i ESET PROTECT eller ESET PROTECT On-Prem.