[KB6132] Configurar reglas de firewall para que ESET Endpoint Security proteja contra el ransomware (7.3 - 9.x)
NOTA:
Esta página ha sido traducida por un ordenador. Haga clic en Inglés bajo Idiomas en esta página para mostrar el texto original. Si encuentra algo que no está claro, por favor, póngase en contacto con su soporte local.
Asunto
Desea configurar reglas de firewall adicionales en ESET Endpoint Security o crear una política en ESET PROTECT con ajustes de firewall adicionales para que ESET Endpoint Security proteja contra el malware ransomware(filecoder)
Click an image to open the ESET Knowledgebase article for anti-ransomware best practices and additional product configurations:
Detalles
Haga clic para ampliar
Con la configuración predeterminada de ESET, si se ejecuta un código malicioso con un dropper, ESET Endpoint Security impedirá la descarga del malware con el Firewall de ESET integrado. Para ayudar aún más a prevenir el malware ransomware en sus sistemas Windows con ESET Endpoint Security, cree las siguientes reglas en la última versión de ESET Endpoint Security, o cree y aplique una política ESET PROTECT.
Solución
No ajustar la configuración en sistemas de producción
Los siguientes ajustes son configuraciones adicionales, y los ajustes específicos necesarios para su entorno de seguridad pueden variar. Le recomendamos que pruebe los ajustes de cada implementación en un entorno de prueba antes de utilizarlos en un entorno de producción.
Crear manualmente una política de ESET PROTECT/configurar los ajustes en ESET Endpoint Security
Haga clic en Configuración y en el menú desplegable Seleccionar producto..., seleccione ESET Endpoint for Windows. Continúe con el paso 4.
.
Figura 1-1 Haga clic en la imagen para verla más grande en una ventana nueva
Haga clic en Protección de red→ Protección contra ataques de red y verifique que Activar protección contra botnets esté activada.
Figura 1-2
Haga clic en Protección de la red, expanda Avanzado y haz clic en Editar junto a Reglas.
Figura 1-3 Haga clic en la imagen para verla más grande en una ventana nueva
En la ventana Reglas de firewall, haga clic en Añadir.
.
Figura 1-4
En el campo Nombre, escriba Deny network connections for cmd.exe (native). Utilice la siguiente configuración para la regla:
.
Desde el menú desplegable Dirección, seleccione Ambas.
Desde el menú desplegable Acción, seleccione Deny.
.
Desde el menú desplegable Protocolo , seleccione Cualquier.
.
Desde el menú desplegable Perfil , seleccione Cualquier perfil.
.
Se puede utilizar la opción "Perfil" en el menú desplegable.
Figura 1-5
Haga clic en la pestaña Local y, en el campo Aplicación, escriba C:\NWindows\NSystem32\cmd.exe.
.
Figura 1-6
Haga clic en Aceptar → Añadir, y repita los pasos 6 – 7 para crear la siguiente lista de reglas:
.
Nombre: Denegar conexiones de red para cmd.exe (SysWOW64) Aplicación: C:\Windows\SysWOW64\cmd.exe
Nombre: Denegar conexiones de red para wscript.exe (nativo) Aplicación: C:\Windows\System32\wscript.exe
Nombre: Denegar conexiones de red para wscript.exe (SysWOW64) Aplicación: C:\NWindows\NSysWOW64\wscript.exe
Nombre: Denegar conexiones de red para cscript.exe (nativo) Aplicación: C:\Windows\System32\cscript.exe
Nombre: Denegar conexiones de red para cscript.exe (SysWOW64) Aplicación: C:\NWindows\NSysWOW64\Ncscript.exe
Nombre: Denegar conexiones de red para powershell.exe (nativo) Aplicación: C:\NWindowsSystem32\NWindowsPowerShell\Nv1.0\Npowershell.exe
Nombre: Denegar conexiones de red para powershell.exe (SysWOW64) Aplicación: C:\NWindows\NSysWOW64\NWindowsPowerShell\Nv1.0\Npowershell.exe
Nombre: Denegar conexiones de red para ntvdm.exe Aplicación: C:\Windows\System32\ntvdm.exe
Nombre: Denegar conexiones de red para regsvr.exe (nativo) Aplicación: C:\Windows\System32\regsvr.exe
Nombre: Denegar conexiones de red para regsvr.exe (SysWOW64) Aplicación: C:\NWindows\NSysWOW64\Nregsvr.exe
Nombre: Denegar conexiones de red para rundll32.exe (nativo) Aplicación: C:\NWindows\NSystem32\Nrundll32.exe
Nombre: Denegar conexiones de red para rundll32.exe (SysWOW64) Aplicación: C:\NWindows\NSysWOW64\Nrundll32.exe
En la ventana Reglas de firewall, haga clic en Aceptar después de añadir todas las reglas. Haga clic en Asignar para asignar la política a un cliente o grupo; de lo contrario, haga clic en Finalizar en la pantalla Nueva política – Configuración. Si se asigna, la configuración de su política se aplicará a los grupos o equipos cliente de destino una vez que se registren en ESET PROTECT.
Si utiliza un ESET Endpoint Security sin gestión remota, haga clic en Aceptar → Aceptar después de añadir todas las reglas.
Figura 1-7 Haga clic en la imagen para verla más grande en una ventana nueva
Descargue e importe la política de ESET PROTECT
La Política de ESET PROTECT para ESET Endpoint Security con configuraciones adicionales de firewall para proteger contra el malware ransomware(filecoder) se puede descargar e importar desde el siguiente enlace. La política de ESET PROTECT sólo está disponible para la última versión de los productos ESET. No se puede garantizar la compatibilidad con versiones anteriores.
@#publication_url id='2954' language='1' content='Abra la consola web de ESET PROTECT o ESET PROTECT Cloud' target='_self'#@#. En el menú principal de ESET PROTECT Web Console, haga clic en Políticas.
Por favor, no se olvide de hacer clic en Política.
Haga clic en Acciones → Importación.
.
Figura 2-1 Haga clic en la imagen para verla más grande en una ventana nueva
Haga clic en Seleccionar archivo para cargar, seleccione la política descargada y haga clic en Importar.