[KB6119] Määritä HIPS-säännöt ESETin yrityssovelluksissa tai ESET PROTECTin tai ESET PRTOECT On-Premin kautta

Kysymys

• Määritä ylimääräisiä HIPS-sääntöjä seuraavissa ESETin Windows-yrityssovelluksissa tai luo käytäntö ESET PROTECTissa tai ESET PROTECT On-Premissä, jossa on ylimääräisiä HIPS-asetuksia suojautuaksesi ransomware-haittaohjelmilta (filecoder)
  • ESET Endpoint Security for Windows
  • ESET Endpoint Antivirus for Windows
  • ESET Mail Security Microsoft Exchange Serverille
  • ESET Server Security Microsoft Windows Serverille
• Luo manuaalisesti ESET PROTECT- tai ESET PROTECT On-Prem -käytäntö / määritä asetukset ESET-yrityssovelluksissa
• Lataa ja tuo ESET PROTECT- tai ESET PROTECT On-Prem -käytäntö

Yksityiskohdat

Ratkaisu

Luo manuaalisesti ESET PROTECT- tai ESET PROTECT On-Prem -käytäntö / määritä asetukset ESET-yrityssovelluksissa

1. Avaa HIPS-sääntöeditori ohjatussa toimintatapojen tai ESET-sovellusten määrityksessä:

   ---

   ESET PROTECT- tai ESET PROTECT On-Prem -käytäntö

   
   

   1. Open the ESET PROTECT Web Console.

   2. Luo käytäntö ESET PROTECTissa tai ESET PROTECT On-Premissä.

   3. Valitse Asetukset-osiossa ESET Endpoint for Windows -pudotusvalikosta. Valitse HIPS ja valitse Säännöt-kohdan vieressä Muokkaa.

      

   ---

   ESET-sovellus

   
   

   1. #@##publication_url id='351' language='1' content='Avaa ESET Windows-päätepistesovelluksen pääohjelmaikkuna' target='_blank'#@#.

   2. Paina F5-näppäintä päästäksesi lisäasetuksiin.

   3. Napsauta HIPS ja valitse Säännöt-kohdan vieressä Muokkaa.

      

   ---

2. Laajenna kukin alla oleva osio valitsemalla vaihtoehto (I. - VII.) luodaksesi kaikki ylimääräiset HIPS-säännöt.

   ---

   
   

   I. Kiellä prosessit komentosarjojen suoritusohjelmista

   1. Napsauta HIPS-säännöt-ikkunassa Lisää.

      

   2. Kirjoita Säännön nimi -kenttään Deny child processes from script executables. Valitse Action (Toiminto ) -pudotusvalikosta Block (Estä). Ota nämä asetukset käyttöön napsauttamalla Sovellukset, Käytössä ja Ilmoita käyttäjälle -kohdan vieressä olevaa vaihtokytkintä. Valitse Loggauksen vakavuus -pudotusvalikosta Varoitus ja napsauta Seuraava.

      

   3. Napsauta Source applications (Lähdesovellukset ) -ikkunassa Add (Lisää) ja kirjoita seuraavat nimet ja napsauta OK → Add (Lisää) jokaisen nimen jälkeen:

      • C:\Windows\System32\wscript.exe
      • C:\ Windows\System32\cscript.exe
      • C:\Windows\SysWOW64\wscript.exe
      • C:\Windows\SysWOW64\cscript.exe
      • C:\Windows\System32\ntvdm.exe
        
        

      Napsauta Seuraava.

      

   4. Ota Sovellustoiminnot-ikkunassa käyttöön valitsemalla Käynnistä uusi sovellus -kohdan vieressä oleva valintaruutu ja napsauta Seuraava.

      

   5. Valitse All applications (Kaikki sovellukset ) pudotusvalikosta ja napsauta Finish (Valmis).

      

   6. Jätä HIPS-säännöt-ikkuna auki ja jatka seuraavaan osioon.

   ---

   
   

   II. Explorerin käynnistämien skriptiprosessien kieltäminen

   1. Napsauta HIPS-sääntöikkunassa Add (Lisää).

   2. Kirjoita Deny script processes started by explorer (Explorerin käynnistämät skriptiprosessit kielletty ) Säännön nimi -kenttään.

      Valitse Action (Toiminto ) -pudotusvalikosta Block (Estä).

      Ota Sovellukset-kohdan vieressä oleva valintaruutu käyttöön.

      Valitse Loggauksen vakavuus -pudotusvalikosta Varoitus ja napsauta Seuraava.

      

   3. Napsauta Source applications (Lähde sovellukset ) -ikkunassa Add (Lisää), kirjoita Specify file path (Määritä tiedostopolku ) -kenttään C:\Windows\explorer.exe ja napsauta OK → Next (Seuraava ) .

      

   4. Aktivoi Sovellustoiminnot-ikkunassa Käynnistä uusi sovellus napsauttamalla sen vieressä olevaa vaihtokytkintä ja napsauta Seuraava.

      

   5. Napsauta Sovellukset-ikkunassa Lisää ja kirjoita seuraavat nimet ja napsauta OK → Lisää jokaisen nimen jälkeen:

      • C:\Windows\System32\wscript.exe
      • C:\Windows\System32\cscript.exe
      • C:\Windows\SysWOW64\wscript.exe
      • C:\Windows\SysWOW64\cscript.exe
        
        

      Napsauta Finish.

      

   6. Jätä HIPS-säännöt-ikkuna auki ja jatka seuraavaan osioon.

   ---

   
   

   III. Kiellä Office 2024 -prosessien lapsiprosessit

   1. Napsauta HIPS-sääntöikkunassa Lisää.

   2. Kirjoita Säännön nimi -kenttään Deny child processes from Office 2024 processes. Valitse Action (Toiminto ) -pudotusvalikosta Block (Estä). Ota nämä asetukset käyttöön napsauttamalla Sovellukset, Käytössä ja Ilmoita käyttäjälle -kohdan vieressä olevaa vaihtokytkintä. Valitse Loggauksen vakavuus -pudotusvalikosta Varoitus ja napsauta Seuraava.

      

   3. Napsauta Source applications (Lähdesovellukset ) -ikkunassa Add (Lisää) ja kirjoita seuraavat nimet ja napsauta OK → Add (Lisää) jokaisen nimen jälkeen:

      • Ohjelmatiedostot\Microsoft Office\root\Office16\WINWORD.EXE
      • C:\Program Files\Microsoft Office\root\Office16\OUTLOOK.EXE
      • C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE
      • C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE
      • C:\ Ohjelmatiedostot (x86)\Microsoft Office\root\Office16\WINWORD.EXE
      • C:\Program Files (x86)\Microsoft Office\root\Office16\OUTLOOK.EXE
      • C:\Program Files (x86)\Microsoft Office\root\Office16\EXCEL.EXE
      • C:\Program Files (x86)\Microsoft Office\root\Office16\POWERPNT.EXE
        
        

      Napsauta Seuraava.

      

   4. Ota Sovellustoiminnot-ikkunassa käyttöön napsauttamalla Käynnistä uusi sovellus -kohdan vieressä olevaa vaihtokytkintä ja napsauta Seuraava.

      

   5. Napsauta Sovellukset-ikkunassa Lisää ja kirjoita seuraavat nimet ja napsauta OK → Lisää jokaisen nimen jälkeen:

      • C:\Windows\System32\cmd.exe
      • C:\Windows\SysWOW64\cmd.exe
      • C:\Windows\System32\wscript.exe
      • C:\Windows\SysWOW64\wscript.exe
      • C:\Windows\System32\cscript.exe
      • C:\Windows\SysWOW64\cscript.exe
      • C:\Windows\System32\ntvdm.exe
      • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
      • C:\Windows\System32\regsvr32.exe
      • C:\Windows\SysWOW64\regsvr32.exe
      • C:\Windows\System32\rundll32.exe
      • C:\Windows\SysWOW64\rundll32.exe
        
        

      Napsauta Finish.

      

   6. Lisää lisää Office-versioita tarpeen mukaan toistamalla samat ohjeet kuin edellä.

      • 2013 = Office15(C:\Program Files (x86)\Microsoft Office\Office15\...))
      • 2010 = Office14
        
        

   7. Jätä HIPS-säännöt-ikkuna auki ja jatka seuraavaan osioon.

   ---

   
   

   IV. Kiellä regsrv32.exe:n aliprosessit

   1. Napsauta HIPS-sääntöikkunassa Add (Lisää).

   2. Kirjoita Säännön nimi -kenttään Deny child processes for regsrv32.exe.

      Valitse Action (Toiminto ) -pudotusvalikosta Block (Estä).

      Ota seuraavat asetukset käyttöön napsauttamalla niiden vieressä olevaa vaihtokytkintä:

      • Sovellukset
      • Enabled
      • Ilmoita käyttäjälle
        
        

      Valitse Loggauksen vakavuus -pudotusvalikosta Varoitus ja napsauta Seuraava.

      

   3. Napsauta Source applications (Lähdesovellukset ) -ikkunassa Add (Lisää) ja kirjoita seuraavat nimet ja napsauta OK → Add (Lisää) jokaisen nimen jälkeen:

      • C:\Windows\System32\regsvr32.exe
      • C:\Windows\SysWOW64\regsvr32.exe
        
        

      Napsauta Seuraava.

      

   4. Aktivoi Sovellustoiminnot-ikkunassa Käynnistä uusi sovellus napsauttamalla sen vieressä olevaa vaihtokytkintä ja napsauta Seuraava.

      

   5. Napsauta Sovellukset-ikkunassa Lisää ja kirjoita seuraavat nimet ja napsauta OK → Lisää jokaisen nimen jälkeen:

      • C:\Windows\System32\cmd.exe
      • C:\Windows\SysWOW64\cmd.exe
      • C:\Windows\System32\wscript.exe
      • C:\Windows\SysWOW64\wscript.exe
      • C:\Windows\System32\cscript.exe
      • C:\Windows\SysWOW64\cscript.exe
      • C:\Windows\System32\ntvdm.exe
      • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
        
        

      Napsauta Finish.

      

   6. Jätä HIPS-säännöt-ikkuna auki ja jatka seuraavaan osioon.

   ---

   
   

   V. Kiellä mshta.exe:n aliprosessit

   1. Napsauta HIPS-sääntöikkunassa Add (Lisää).

   2. Kirjoita Säännön nimi -kenttään Deny child processes for mshta.exe.

      Valitse Action (Toiminto ) -pudotusvalikosta Block (Estä).

      Ota seuraavat asetukset käyttöön napsauttamalla niiden vieressä olevaa vaihtokytkintä:

      • Sovellukset
      • Enabled
      • Ilmoita käyttäjälle
        
        

      Valitse Loggauksen vakavuus -pudotusvalikosta Varoitus ja napsauta Seuraava.

      

   3. Napsauta Source applications (Lähdesovellukset ) -ikkunassa Add (Lisää) ja kirjoita seuraavat nimet ja napsauta OK → Add (Lisää) jokaisen nimen jälkeen:

      • C:\Windows\System32\mshta.exe
      • C:\Windows\SysWOW64\mshta.exe
        
        

      Napsauta Seuraava.

      

   4. Ota Sovellustoiminnot-ikkunassa käyttöön napsauttamalla Käynnistä uusi sovellus -kohdan vieressä olevaa vaihtokytkintä ja napsauta Seuraava.

      

   5. Valitse All applications (Kaikki sovellukset ) pudotusvalikosta ja napsauta Finish (Valmis).

   6. Jätä HIPS-säännöt-ikkuna auki ja jatka seuraavaan osioon.

   ---

   
   

   VI. Kiellä rundll32.exe:n aliprosessit

   1. Napsauta HIPS-säännöt-ikkunassa Lisää.

   2. Kirjoita Säännön nimi -kenttään Deny child processes for rundll32.exe.

      Valitse Action (Toiminto ) -pudotusvalikosta Block (Estä).

      Ota seuraavat asetukset käyttöön napsauttamalla niiden vieressä olevaa vaihtokytkintä:

      • Sovellukset
      • Enabled
      • Ilmoita käyttäjälle
        
        

      Valitse Loggauksen vakavuus -pudotusvalikosta Varoitus ja napsauta Seuraava.

      

   3. Napsauta Source applications (Lähdesovellukset ) -ikkunassa Add (Lisää), kirjoita Specify file path (Määritä tiedostopolku ) -kenttään C:\Windows\System32\rundll32.exe ja napsauta sitten OK → Next (Seuraava ) .

      

   4. Ota Sovellustoiminnot-ikkunassa uusi sovellus käyttöön napsauttamalla Käynnistä uusi sovellus -kohdan vieressä olevaa vaihtokytkintä ja napsauta Seuraava.

      

   5. Napsauta Sovellukset-ikkunassa Lisää ja kirjoita seuraavat nimet ja napsauta OK → Lisää jokaisen nimen jälkeen:

      • C:\Windows\System32\cmd.exe
      • C:\Windows\SysWOW64\cmd.exe
      • C:\Windows\System32\wscript.exe
      • C:\Windows\SysWOW64\wscript.exe
      • C:\Windows\System32\cscript.exe
      • C:\Windows\SysWOW64\cscript.exe
      • C:\Windows\System32\ntvdm.exe
      • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
        
        

      Napsauta Finish.

      

   6. Jätä HIPS-säännöt-ikkuna auki ja jatka seuraavaan osioon.

   ---

   
   

   VII. Kiellä powershell.exe:n aliprosessit

   1. Napsauta HIPS-sääntöikkunassa Add (Lisää).

   2. Kirjoita Säännön nimi -kenttään Deny child processes for powershell.exe.

      Valitse Action (Toiminto ) -pudotusvalikosta Block (Estä).

      Ota seuraavat asetukset käyttöön napsauttamalla niiden vieressä olevaa vaihtokytkintä:

      • Sovellukset
      • Enabled
      • Ilmoita käyttäjälle
        
        

      Valitse Loggauksen vakavuus -pudotusvalikosta Varoitus ja napsauta Seuraava.

      

   3. Napsauta Source applications (Lähdesovellukset ) -ikkunassa Add (Lisää) ja kirjoita seuraavat nimet ja napsauta OK → Add (Lisää) jokaisen nimen jälkeen:

      • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
        
        

      Napsauta Seuraava.

      

   4. Ota Sovellustoiminnot-ikkunassa käyttöön napsauttamalla Käynnistä uusi sovellus -kohdan vieressä olevaa valintaruutua ja napsauta Seuraava.

      

   5. Valitse All applications (Kaikki sovellukset ) pudotusvalikosta ja napsauta Finish (Valmis).

   ---

3. Jos olet luomassa käytäntöä, napsauta HIPS-säännöt-ikkunassa OK ja viimeistele ohjattu käytäntö.

   Jos määrität ESET-liikesovelluksen, valitse OK → OK.

Lataa ja tuo ESET PROTECT- tai ESET PROTECT On-Prem -käytäntö

ESET PROTECT- tai ESET PROTECT On-Prem -käytäntö ESET-yrityssovelluksille, joissa on ylimääräisiä HIPS-asetuksia suojaamaan ransomware-haittaohjelmilta (filecoder), voidaan ladata alla olevista linkeistä. Käytännöt ovat saatavilla vain ESET-sovellusten uusimmalle versiolle. Yhteensopivuutta aiempien versioiden kanssa ei voida taata.

1. Lataa ylimääräinen HIPS-suojaus ESET PROTECT tai ESET PROTECT On-Prem -käytäntö varten:

   • ESET Endpoint Security/ESET Endpoint Antivirus for Windows: ESET Endpoint Security/ESET Endpoint Antivirus for Windows
   • ESET Server Security for Microsoft Windows Server
   • ESET Mail Security Microsoft Exchange Serverille

2. Open the ESET PROTECT Web Console.
   #

3. Avaa käytäntöjen tuonti-ikkuna:

   ---

   ESET PROTECT

   
   

   Napsauta Configuration → Advanced setup → Actions → Import.

   

   ---

   ESET PROTECT On-Prem

   
   

   Napsauta Politiikat → Toiminnot → Tuo.

   

   ---

4. Valitse Choose file to upload, valitse ladattu käytäntö ja napsauta Import.

   

5. Määritä käytäntö asiakkaalle tai määritä käytäntö ryhmälle.