[KB6132] Configurar reglas de firewall para que ESET Endpoint Security proteja contra el ransomware (7.3 - 9.x)

NOTA:

Esta página ha sido traducida por un ordenador. Haga clic en Inglés bajo Idiomas en esta página para mostrar el texto original. Si encuentra algo que no está claro, por favor, póngase en contacto con su soporte local.

Asunto

Click an image to open the ESET Knowledgebase article for anti-ransomware best practices and additional product configurations:

Detalles


Haga clic para ampliar


Con la configuración predeterminada de ESET, si se ejecuta un código malicioso con un dropper, ESET Endpoint Security impedirá la descarga del malware con el Firewall de ESET integrado. Para ayudar aún más a prevenir el malware ransomware en sus sistemas Windows con ESET Endpoint Security, cree las siguientes reglas en la última versión de ESET Endpoint Security, o cree y aplique una política ESET PROTECT.


Solución

No ajustar la configuración en sistemas de producción

Los siguientes ajustes son configuraciones adicionales, y los ajustes específicos necesarios para su entorno de seguridad pueden variar. Le recomendamos que pruebe los ajustes de cada implementación en un entorno de prueba antes de utilizarlos en un entorno de producción.

Crear manualmente una política de ESET PROTECT/configurar los ajustes en ESET Endpoint Security

  1. Abra la consola web de ESET PROTECT o ESET PROTECT Cloud. En el menú desplegable Vínculos rápidos, haga clic en Crear nueva política....

    Si utiliza un ESET Endpoint Security sin gestión remota, abra la ventana principal del programa de su producto ESET Windows y pulse la tecla F5 para acceder a la configuración avanzada. Continúe con el paso 3.
     
  2. Haga clic en Configuración y en el menú desplegable Seleccionar producto..., seleccione ESET Endpoint for Windows. Continúe con el paso 4.
  3. .
Figura 1-1
Haga clic en la imagen para verla más grande en una ventana nueva
  1. Haga clic en Protección de redProtección contra ataques de red y verifique que Activar protección contra botnets esté activada.
Figura 1-2
  1. Haga clic en Protección de la red, expanda Avanzado y haz clic en Editar junto a Reglas.
Figura 1-3
Haga clic en la imagen para verla más grande en una ventana nueva
  1. En la ventana Reglas de firewall, haga clic en Añadir.
  2. .
Figura 1-4
  1. En el campo Nombre, escriba Deny network connections for cmd.exe (native).
    Utilice la siguiente configuración para la regla:
  2. .
    • Desde el menú desplegable Dirección, seleccione Ambas.
    • Desde el menú desplegable Acción, seleccione Deny.
    • .
    • Desde el menú desplegable Protocolo , seleccione Cualquier.
    • .
    • Desde el menú desplegable Perfil , seleccione Cualquier perfil.
    • .
  • Se puede utilizar la opción "Perfil" en el menú desplegable.
Figura 1-5
  1. Haga clic en la pestaña Local y, en el campo Aplicación, escriba C:\NWindows\NSystem32\cmd.exe.
  2. .
Figura 1-6
  1. Haga clic en AceptarAñadir, y repita los pasos 6 – 7 para crear la siguiente lista de reglas:
  2. .
  • Nombre: Denegar conexiones de red para cmd.exe (SysWOW64)
    Aplicación: C:\Windows\SysWOW64\cmd.exe
  • Nombre: Denegar conexiones de red para wscript.exe (nativo)
    Aplicación: C:\Windows\System32\wscript.exe
  • Nombre: Denegar conexiones de red para wscript.exe (SysWOW64)
    Aplicación: C:\NWindows\NSysWOW64\wscript.exe
  • Nombre: Denegar conexiones de red para cscript.exe (nativo)
    Aplicación: C:\Windows\System32\cscript.exe
  • Nombre: Denegar conexiones de red para cscript.exe (SysWOW64)
    Aplicación: C:\NWindows\NSysWOW64\Ncscript.exe
  • Nombre: Denegar conexiones de red para powershell.exe (nativo)
    Aplicación: C:\NWindowsSystem32\NWindowsPowerShell\Nv1.0\Npowershell.exe
  • Nombre: Denegar conexiones de red para powershell.exe (SysWOW64)
    Aplicación: C:\NWindows\NSysWOW64\NWindowsPowerShell\Nv1.0\Npowershell.exe
  • Nombre: Denegar conexiones de red para ntvdm.exe
    Aplicación: C:\Windows\System32\ntvdm.exe
  • Nombre: Denegar conexiones de red para regsvr.exe (nativo)
    Aplicación: C:\Windows\System32\regsvr.exe
  • Nombre: Denegar conexiones de red para regsvr.exe (SysWOW64)
    Aplicación: C:\NWindows\NSysWOW64\Nregsvr.exe
  • Nombre: Denegar conexiones de red para rundll32.exe (nativo)
    Aplicación: C:\NWindows\NSystem32\Nrundll32.exe
  • Nombre: Denegar conexiones de red para rundll32.exe (SysWOW64)
    Aplicación: C:\NWindows\NSysWOW64\Nrundll32.exe
  1. En la ventana Reglas de firewall, haga clic en Aceptar después de añadir todas las reglas. Haga clic en Asignar para asignar la política a un cliente o grupo; de lo contrario, haga clic en Finalizar en la pantalla Nueva política – Configuración. Si se asigna, la configuración de su política se aplicará a los grupos o equipos cliente de destino una vez que se registren en ESET PROTECT.

    Si utiliza un ESET Endpoint Security sin gestión remota, haga clic en AceptarAceptar después de añadir todas las reglas.
Figura 1-7
Haga clic en la imagen para verla más grande en una ventana nueva

Descargue e importe la política de ESET PROTECT

La Política de ESET PROTECT para ESET Endpoint Security con configuraciones adicionales de firewall para proteger contra el malware ransomware(filecoder) se puede descargar e importar desde el siguiente enlace. La política de ESET PROTECT sólo está disponible para la última versión de los productos ESET. No se puede garantizar la compatibilidad con versiones anteriores.

  1. Descargue la Política adicional de protección contra el ransomware ESET PROTECT.

  2. @#publication_url id='2954' language='1' content='Abra la consola web de ESET PROTECT o ESET PROTECT Cloud' target='_self'#@#. En el menú principal de ESET PROTECT Web Console, haga clic en Políticas.

  3. Por favor, no se olvide de hacer clic en Política.
  4. Haga clic en Acciones Importación.
  5. .
Figura 2-1
Haga clic en la imagen para verla más grande en una ventana nueva
  1. Haga clic en Seleccionar archivo para cargar, seleccione la política descargada y haga clic en Importar.
  2. .
Figura 2-2
  1. Asignar la política a un cliente o asignar la política a un grupo. La configuración de la política se aplicará a los grupos de destino o a los equipos cliente una vez que se registren en ESET PROTECT.