[KB6119] HIPS-reeglite seadistamine ESETi äritoodete jaoks, et kaitsta lunavara eest

MÄRGE:

See lehekülg on tõlgitud arvuti poolt. Klõpsa selle lehekülje keelte all inglise keeles, et kuvada originaaltekst. Kui midagi jääb ebaselgeks, võta palun ühendust oma kohaliku klienditoega.

Väljaanne

Click an image to open the ESET Knowledgebase article for anti-ransomware best practices and additional product configurations:

#@#

Details

Klõpsake laiendamiseks


ESET Host-based Intrusion Prevention System (HIPS) on lisatud ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security for Microsoft Exchange Server ja ESET File Security for Microsoft Windows Server. HIPS jälgib süsteemi tegevust ja kasutab eelnevalt määratletud reeglistikku, et tuvastada süsteemi kahtlast käitumist.

Kui selline tegevus tuvastatakse, peatab HIPS-i enesekaitse mehhanism rikkuva programmi või protsessi potentsiaalselt kahjuliku tegevuse. Keelates JavaScripti ja muude skriptide tavapärase täitmise, ei saa lunavara alla laadida ega käivitada. Et aidata veelgi paremini ära hoida lunavara pahavara kasutamist teie Windowsi süsteemides, looge HIPSiga uusimates ESETi äritoodetes järgmised reeglid või looge ja rakendage ESET PROTECT Policy'i.

Lahendus

Ärge kohandage seadistusi tootmissüsteemides

Järgnevad seaded on lisakonfiguratsioonid ja teie turvakeskkonna jaoks vajalikud konkreetsed seaded võivad erineda. Soovitame iga rakenduse seadistusi testida testkeskkonnas, enne kui kasutate neid tootmiskeskkonnas.

Looge käsitsi ESET PROTECT Policy/konfigureerige seaded ESETi äritoodetes

  1. Avage ESET PROTECT või ESET PROTECT On-Prem. Klõpsake rippmenüüst Quick Links (Kiirviited ) nuppu Create New Policy.....

    Kui kasutate ESETi äritoodet ilma kaugjuhtimiseta, avage oma ESETi Windowsi toote peaprogrammi aken ja vajutage klahvi F5, et pääseda Advanced setup'ile. Jätkake sammu 3 juurde.
  2. Klõpsake Seaded ja valige rippmenüüst Select product... üks järgmistest ESETi äritoodetest koos HIPSiga:
    • ESET Endpoint for Windows.
    • ESET File Security for Windows Server (V6+).
    • ESET Mail Security for Microsoft Exchange (V6+).
Joonis 1-1
Uues aknas suuremalt kuvale klõpsates saate seda vaadata
  1. Klõpsake nuppu Detection Engine(Computer in ESET Mail Security for Microsoft Exchange Server) → HIPS. Klõpsake Reeglite kõrval nuppu Edit (Muuda) .
Joonis 1-2
Uues aknas suuremalt vaatamiseks klõpsake pildil

Klõpsake valikut (I. kuni VII.), et laiendada iga allpool olevat jaotist, et luua HIPS-reeglid soovitatud protsesside jaoks.


I. Keelata protsesside skriptide käivitamine
  1. Klõpsake HIPS-reeglite aknas nuppu Add (Lisa).
Joonis 2-1

  1. Kirjutage väljale Rule name (Reegli nimi ) Deny child processes from script executables (Keelata lapselisi protsesse skriptide käivitatavatest fail idest). Valige rippmenüüst Action (Toiming ) valik Block (Bloke). Nende seadete lubamiseks klõpsake lülitit Applications, Enabled ja Notify user kõrval. Valige rippmenüüst Logimise raskusaste (Logging severity ) valik Warning ja klõpsake Next.

Joonis 2-2

  1. Klõpsake aknas Source applications (Läherakendused ) nuppu Add (Lisa) ja sisestage järgmised nimed, klõpsates iga nime järel OK Add (Lisa) :

    • C:\Windows\System32\wscript.exe: C:\Windows\System32\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe

    Klõpsake nuppu Next.

Joonis 2-3
  1. Aknas Application operations (Rakenduse toimingud ) klõpsake selle lubamiseks nuppu Start new application (Käivita uus rakendus ) ja klõpsake Next (Edasi).
Joonis 2-4
  1. Valige rippmenüüst All applications ja klõpsake Finish.
Joonis 2-5
  1. Jätke HIPS-reeglite aken avatuks ja jätkake järgmise jaotisega.

II. Keelata exploreri poolt käivitatud skriptiprotsessid
  1. Klõpsake HIPS-reeglite aknas nuppu Add.

  1. Kirjutage väljale Rule name (Reegli nimi ) Deny script processes started by explorer (Keelata exploreri poolt käivitatud skriptiprotsesse ).

    Valige rippmenüüst Action (Toiming ) valik Block (Bloke).

    Klõpsake lüliti kõrval oleval nupul:

    Valige rippmenüüst Logimise raskusaste (Logging severity ) valik Warning (hoiatus ) ja klõpsake nuppu Next (edasi).

Joonis 3-1
  1. Klõpsake aknas Source applications (Lähterakendused ) nuppu Add (Lisa), sisestage väljal Specify file path (Määrake failipolku ) faili C:\Windows\explorer.exe ja klõpsake OK Next (Edasi).
Joonis 3-2
  1. Aknas Application operations (Rakendustoimingud ) klõpsake selle lubamiseks Start new application (Käivita uus rakendus ) kõrval oleval lülitusel ja klõpsake Next (Edasi).
Joonis 3-3

  1. Aknas Applications (Rakendused ) klõpsake Add (Lisa) ja sisestage järgmised nimed, klõpsates iga nime järel OK Add (Lisa) :

    • C:\Windows\System32\wscript.exe: C:\Windows\System32\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\SysWOW64\cscript.exe

    Klõpsake nuppu Finish.

Joonis 3-4
  1. Jätke HIPS-reeglite aken avatuks ja jätkake järgmise lõiguga.

III. Office 2013/2016 protsesside allprotsesside keelamine
  1. Klõpsake HIPS-reeglite aknas nuppu Add.

  2. Kirjutage väljale Rule name (Reegli nimi ) Deny child processes from Office 2013 processes (Keelata Office 2013 protsesside lapselisi protsesse ). Valige rippmenüüst Action (Toiming ) valik Block (Bloke). Nende seadete lubamiseks klõpsake lülitit Applications, Enabled ja Notify user kõrval. Valige rippmenüüst Logimise raskusaste (Logging severity ) valik Warning ja klõpsake Next.

Joonis 4-1

  1. Klõpsake aknas Source applications (Läherakendused ) nuppu Add (Lisa) ja sisestage järgmised nimed, klõpsates iga nime järel OK Add (Lisa) :

    • C:\Programmifailid\Microsoft Office\Office15\WINWORD.EXE
    • C:\Programmifailid\Microsoft Office\Office15\OUTLOOK.EXE
    • C:\Programmifailid\Microsoft Office\Office15\EXCEL.EXE
    • C:\Programmifailid\Microsoft Office\Office15\POWERPNT.EXE
    • C:\Programmifailid (x86)\Microsoft Office\Office15\WINWORD.EXE
    • C:\Programmifailid (x86)\Microsoft Office\Office15\OUTLOOK.EXE
    • C:\Programmifailid (x86)\Microsoft Office\Office15\EXCEL.EXE
    • C:\Programmifailid (x86)\Microsoft Office\Office15\POWERPNT.EXE

    Klõpsake nuppu Next.

Joonis 4-2
  1. Aknas Application operations (Rakenduse toimingud ) klõpsake selle lubamiseks lülitit Start new application (Alusta uut rakendust ) ja klõpsake Next (Edasi).
Joonis 4-3

  1. Rakenduste aknas klõpsake nuppu Add ja sisestage järgmised nimed, klõpsates iga nime järel OK Add :

    • C:\Windows\System32\cmd.exe: C:\Windows\System32\cmd.exe
    • C:\Windows\SysWOW64\cmd.exe
    • C:\Windows\System32\wscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\System32\regsvr32.exe
    • C:\Windows\SysWOW64\regsvr32.exe
    • C:\Windows\System32\rundll32.exe
    • C:\Windows\SysWOW64\rundll32.exe

    Klõpsake nuppu Finish.

Joonis 4-4

  1. Lisage vajaduse korral täiendavaid Office'i versioone, korrates samu juhiseid nagu eespool.

    • 2016 = Office16 (C:\Program Files (x86)\Microsoft Office\Root\Office16\...)
    • 2010 = Office14

  1. Jätke HIPS-reeglite aken avatuks ja jätkake järgmise lõiguga.


IV. Regsrv32.exe lapseliste protsesside keelamine
  1. Klõpsake HIPS-eeskirjade aknas nuppu Add.

  1. Kirjutage väljale Rule name (Reegli nimi ) Deny child processes for regsrv32.exe.

    Valige rippmenüüst Action (Toiming ) valik Block (Bloke).

    Nende lubamiseks klõpsake järgmiste seadete kõrval oleval lülitusel:

    • Rakendused
    • Enabled
    • Teavita kasutajat

    Valige rippmenüüst Logimise raskusaste valik hoiatus ja klõpsake nuppu Next.

Joonis 5-1

  1. Klõpsake aknas Source applications (Läherakendused ) nuppu Add (Lisa) ja sisestage järgmised nimed, klõpsates iga nime järel OK Add (Lisa) :

    • C:\Windows\System32\regsvr32.exe: C:\Windows\System32\regsvr32.exe
    • C:\Windows\SysWOW64\regsvr32.exe

    Klõpsake nuppu Next.

Joonis 5-2
  1. Aknas Application operations (Rakendustoimingud ) klõpsake selle lubamiseks lülitit Start new application (Käivita uus rakendus ) kõrval ja klõpsake Next (Edasi).
Joonis 5-3

  1. Rakenduste aknas klõpsake nuppu Add ja sisestage järgmised nimed, klõpsates iga nime järel OK Add :

    • C:\Windows\System32\cmd.exe: C:\Windows\System32\cmd.exe
    • C:\Windows\SysWOW64\cmd.exe
    • C:\Windows\System32\wscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

    Klõpsake nuppu Finish.

Joonis 5-4
  1. Jätke HIPS-reeglite aken avatuks ja jätkake järgmise lõiguga.

V. Keelata mshta.exe lapselised protsessid
  1. Klõpsake HIPS-reeglite aknas nuppu Add.

  1. Kirjutage väljale Rule name (Reegli nimi ) Deny child processes for mshta.exe.

    Valige rippmenüüst Action (Toiming ) valik Block (Bloke).

    Nende lubamiseks klõpsake järgmiste seadete kõrval oleval lülitusel:

    • Rakendused
    • Enabled
    • Teavita kasutajat

    Valige rippmenüüst Logimise raskusaste valik hoiatus ja klõpsake nuppu Next.

Joonis 6-1

  1. Klõpsake aknas Source applications (Läherakendused ) nuppu Add (Lisa) ja sisestage järgmised nimed, klõpsates iga nime järel OK Add (Lisa) :

    • C:\Windows\System32\mshta.exe: C:\Windows\System32\mshta.exe
    • C:\Windows\SysWOW64\mshta.exe

    Klõpsake nuppu Next.

Joonis 6-2
  1. Aknas Application operations (Rakendustoimingud ) klõpsake selle lubamiseks lülitit Start new application (Käivita uus rakendus ) kõrval ja klõpsake Next (Edasi).
Joonis 6-3
  1. Valige rippmenüüst All applications ja klõpsake Finish.
  1. Jätke HIPS-reeglite aken avatuks ja jätkake järgmise jaotisega.

VI. Rundll32.exe lapseliste protsesside keelamine
  1. Klõpsake HIPS-reeglite aknas nuppu Add.

  1. Kirjutage väljale Rule name (Reegli nimi ) Deny child processes for rundll32.exe.

    Valige rippmenüüst Action (Toiming ) valik Block (Bloke).

    Nende lubamiseks klõpsake järgmiste seadete kõrval oleval lülitusel:

    • Rakendused
    • Enabled
    • Teavita kasutajat

    Valige rippmenüüst Logimise raskusaste valik hoiatus ja klõpsake nuppu Next.

Joonis 7-1
  1. Klõpsake aknas Source applications (Läherakendused ) nuppu Add (Lisa), sisestage lahtrisse Specify file path (Määra faili tee) faili C:\Windows\System32\rundll32.exe ja klõpsake OK Next (Edasi).
Joonis 7-2
  1. Aknas Application operations (Rakendustoimingud ) klõpsake selle lubamiseks Start new application (Käivita uus rakendus ) kõrval oleval lülitusel ja klõpsake Next (Edasi).
Joonis 7-3

  1. Aknas Applications (Rakendused ) klõpsake Add (Lisa) ja sisestage järgmised nimed, klõpsates iga nime järel OK Add (Lisa) :

    • C:\Windows\System32\cmd.exe: C:\Windows\System32\cmd.exe
    • C:\Windows\SysWOW64\cmd.exe
    • C:\Windows\System32\wscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

    Klõpsake nuppu Finish.

Joonis 7-4
  1. Jätke HIPS-reeglite aken avatuks ja jätkake järgmise lõiguga.

VII. Keelake powershell.exe lapselised protsessid
  1. Klõpsake HIPS-reeglite aknas nuppu Add.

  1. Kirjutage väljale Rule name (Reegli nimi ) Deny child processes for powershell.exe.

    Valige rippmenüüst Action (Toiming ) valik Block (Bloke).

    Klõpsake järgmiste seadete kõrval oleval lülitusel, et neid lubada:

    • Rakendused
    • Enabled
    • Teavita kasutajat

    Valige rippmenüüst Logimise raskusaste valik hoiatus ja klõpsake nuppu Next.

Joonis 8-1

  1. Klõpsake aknas Source applications (Läherakendused ) nuppu Add (Lisa) ja sisestage järgmised nimed, klõpsates iga nime järel OK Add (Lisa) :

    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

    Klõpsake nuppu Next.

Joonis 8-2
  1. Aknas Application operations (Rakenduse toimingud ) klõpsake selle lubamiseks nuppu Start new application (Käivita uus rakendus ) ja klõpsake Next (Edasi).
Joonis 8-3
  1. Valige rippmenüüst All applications ja klõpsake Finish.
  1. Klõpsake aknas HIPS-reeglite aknas OK. Laiendage Assign , et määrata poliitika kliendile või grupile; vastasel juhul klõpsake New Policy - Settings (Uus poliitika - seaded ) ekraanil Finish (Lõpeta ). Määramise korral kohaldatakse teie poliitika seadeid sihtrühmadele või kliendiarvutitele, kui nad registreeruvad ESET PROTECTi või ESET PROTECT On-Premi sisse.

    Kui kasutate ESETi äritoodet ilma kaugjuhtimiseta, klõpsake kaks korda nuppu OK.

ESET PROTECTi poliitika allalaadimine ja importimine

ESET PROTECTi poliitika ESETi äritoodete jaoks koos täiendavate HIPS-seadistustega, mis kaitsevad lunavara pahavara (filecoder) eest, saab alla laadida ja importida allolevatest linkidest. ESET PROTECT Policy on saadaval ainult ESETi toodete uusima versiooni jaoks. Ühilduvus varasemate versioonidega ei ole tagatud.

  1. Laadige alla täiendav HIPS-kaitse ESET PROTECT Policy for:

  1. Avage ESET PROTECT või ESET PROTECT On-Prem. Klõpsake peamenüüs Policies (Poliitikad).

  2. Klõpsake nuppu Actions Import....
Joonis 9-1
Uues aknas suuremalt kuvale klõpsates
  1. Klõpsake nuppu Choose file to upload, valige allalaaditud poliitika ja klõpsake nuppu Import.
Joonis 9-2
  1. Määrake poliitika kliendile või määrake poliitika grupile. Poliitika seaded rakendatakse sihtrühmadele või kliendiarvutitele, kui nad registreeruvad ESET PROTECTi või ESET PROTECT On-Premi sisse.
Viimati uuendatud: 18. dets 2025

Lisaressursid

Kasutusjuhendid

ESETi foorum

YouTube'i videod
ESET Status Portal ESET Technical Support

Olemasolev klient?