[KB6119] Määritä HIPS-säännöt ESETin yritystuotteille suojaamaan lunnasohjelmilta

HUOM:

Tämä sivu on käännetty tietokoneella. Klikkaa englantia tämän sivun Kielet-kohdassa näyttääksesi alkuperäisen tekstin. Jos jokin on epäselvää, ota yhteyttä paikalliseen tukeen.

 

Kysymys

#@##placeholder id='1510' language='1'#@#

Lisätietoja

Laajenna klikkaamalla


ESETin Host-based Intrusion Prevention System (HIPS) sisältyy ESET Endpoint Securityn, ESET Endpoint Antiviruksen, ESET Mail Security for Microsoft Exchange Serverin ja ESET File Security for Microsoft Windows Serverin tuotteisiin. HIPS valvoo järjestelmän toimintaa ja käyttää ennalta määritettyjä sääntöjä epäilyttävän järjestelmän käyttäytymisen tunnistamiseen.

Kun tällainen toiminta tunnistetaan, HIPS-itsepuolustusmekanismi pysäyttää rikkovan ohjelman tai prosessin suorittamasta mahdollisesti haitallista toimintaa. Estämällä JavaScriptin ja muiden komentosarjojen tavanomaisen suorittamisen lunnasohjelmia ei voi ladata tai suorittaa. Jos haluat edelleen estää lunnasohjelmistojen haittaohjelmat Windows-järjestelmissäsi, luo seuraavat säännöt uusimmissa ESET Business -tuotteissa, joissa on HIPS, tai luo ja sovella ESET PROTECT -käytäntöä.

Ratkaisu

Älä säädä asetuksia tuotantojärjestelmissä

Seuraavat asetukset ovat lisämäärityksiä, ja tietoturvaympäristössäsi tarvittavat erityisasetukset voivat vaihdella. Suosittelemme, että testaat kunkin toteutuksen asetukset testiympäristössä ennen kuin käytät niitä tuotantoympäristössä.

Luo manuaalisesti ESET PROTECT -käytäntö/määritä asetukset ESET-liiketoimintatuotteiden asetuksissa

  1. Avaa ESET PROTECT tai ESET PROTECT On-Prem. Napsauta Pikalinkit-pudotusvalikossa Luo uusi käytäntö.....

    Jos käytät ESET Business -tuotetta, jossa ei ole etähallintaa, avaa ESET Windows -tuotteen pääohjelmaikkuna ja paina F5-näppäintä päästäksesi lisäasetuksiin. Jatka vaiheeseen 3.
  2. Napsauta Asetukset ja valitse avattavasta Valitse tuote... -valikosta jokin seuraavista ESET Business Products with HIPS -tuotteista:
    • ESET Endpoint for Windows.
    • ESET File Security for Windows Server (V6+).
    • ESET Mail Security for Microsoft Exchange (V6+).
Kuva 1-1
Klikkaa kuvaa nähdäksesi sen suurempana uudessa ikkunassa
  1. Valitse Detection Engine(Tietokone ESET Mail Security for Microsoft Exchange Server -ohjelmassa) → HIPS. Napsauta Säännöt-kohdan vieressä olevaa Muokkaa .
Kuva 1-2
Klikkaa kuvaa nähdäksesi sen suurempana uudessa ikkunassa

Laajenna kutakin alla olevaa osiota napsauttamalla vaihtoehtoa (I. - VII.), jotta voit luoda HIPS-säännöt ehdotetuille prosesseille.


I. Kiellä prosessit skriptien suoritettavista tiedostoista
  1. Napsauta HIPS-säännöt-ikkunassa Add (Lisää).
Kuva 2-1

  1. Kirjoita Deny child processes from script executables (Kiellä lapsiprosessit komentosarjojen suoritustiedostoista ) -kenttään Rule name (Säännön nimi ). Valitse Action (Toiminto ) -pudotusvalikosta Block (Estä). Ota nämä asetukset käyttöön napsauttamalla Sovellukset, Käytössä ja Ilmoita käyttäjälle -kohdan vieressä olevaa vaihtokytkintä. Valitse Loggauksen vakavuus -pudotusvalikosta Varoitus ja napsauta Seuraava.

Kuva 2-2

  1. Napsauta Source applications (Lähdesovellukset ) -ikkunassa Add (Lisää) ja kirjoita seuraavat nimet ja napsauta OK Add (Lisää) jokaisen nimen jälkeen:

    • C:\Windows\System32\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe

    Napsauta Seuraava.

Kuva 2-3
  1. Aktivoi Application operations (Sovellustoiminnot ) -ikkunassa Start new application (Käynnistä uusi sovellus ) -kohdan vieressä oleva valintaruutu ja napsauta Next (Seuraava) -painiketta.
Kuva 2-4
  1. Valitse All applications (Kaikki sovellukset ) pudotusvalikosta ja napsauta Finish (Valmis).
Kuva 2-5
  1. Jätä HIPS-säännöt-ikkuna auki ja jatka seuraavaan osioon.

II. Explorerin käynnistämien skriptiprosessien kieltäminen
  1. Napsauta HIPS-sääntöikkunassa Add (Lisää).

  1. Kirjoita Deny script processes started by explorer (Explorerin käynnistämät skriptiprosessit kielletty ) -kenttään Rule name (Säännön nimi ).

    Valitse Action (Toiminto ) -pudotusvalikosta Block (Estä).

    Napsauta vieressä olevaa vaihtokytkintä:

    Valitse Loggauksen vakavuus -pudotusvalikosta Varoitus ja napsauta Seuraava.

Kuva 3-1
  1. Napsauta Source applications (Lähde sovellukset ) -ikkunassa Add (Lisää), kirjoita Specify file path (Määritä tiedostopolku ) -kenttään C:\Windows\explorer.exe ja napsauta sitten OK Next (Seuraava ) .
Kuva 3-2
  1. Ota Sovellustoiminnot-ikkunassa uusi sovellus käyttöön napsauttamalla Käynnistä uusi sovellus -kohdan vieressä olevaa vaihtokytkintä ja napsauta Seuraava.
Kuva 3-3

  1. Napsauta Applications (Sovellukset ) -ikkunassa Add (Lisää) ja kirjoita seuraavat nimet ja napsauta OK Add (Lisää) jokaisen nimen jälkeen:

    • C:\Windows\System32\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\SysWOW64\cscript.exe

    Napsauta Finish.

Kuva 3-4
  1. Jätä HIPS-säännöt-ikkuna auki ja jatka seuraavaan osioon.

III. Kiellä Office 2013/2016 -prosessien lapsiprosessit
  1. Napsauta HIPS-säännöt-ikkunassa Lisää.

  2. Kirjoita Säännön nimi -kenttään Deny child processes from Office 2013 processes. Valitse Action (Toiminto ) -pudotusvalikosta Block (Estä). Ota nämä asetukset käyttöön napsauttamalla Sovellukset, Käytössä ja Ilmoita käyttäjälle -kohdan vieressä olevaa vaihtokytkintä. Valitse Loggauksen vakavuus -pudotusvalikosta Varoitus ja napsauta Seuraava.

Kuva 4-1

  1. Napsauta Source applications (Lähdesovellukset ) -ikkunassa Add (Lisää) ja kirjoita seuraavat nimet ja napsauta OK Add (Lisää) jokaisen nimen jälkeen:

    • Ohjelmatiedostot\Microsoft Office\Office15\WINWORD.EXE
    • C:\Program Files\Microsoft Office\Office15\OUTLOOK.EXE
    • C:\Program Files\Microsoft Office\Office15\EXCEL.EXE
    • C:\Program Files\Microsoft Office\Office15\POWERPNT.EXE
    • C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE
    • C:\Program Files (x86)\Microsoft Office\Office15\OUTLOOK.EXE
    • C:\Program Files (x86)\Microsoft Office\Office15\EXCEL.EXE
    • C:\Program Files (x86)\Microsoft Office\Office15\POWERPNT.EXE

    Napsauta Seuraava.

Kuva 4-2
  1. Ota Sovellustoiminnot-ikkunassa käyttöön napsauttamalla Käynnistä uusi sovellus -kohdan vieressä olevaa vaihtokytkintä ja napsauta Seuraava.
Kuva 4-3

  1. Napsauta Sovellukset-ikkunassa Lisää ja kirjoita seuraavat nimet ja napsauta OK Lisää jokaisen nimen jälkeen:

    • C:\Windows\System32\cmd.exe
    • C:\Windows\SysWOW64\cmd.exe
    • C:\Windows\System32\wscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\System32\regsvr32.exe
    • C:\Windows\SysWOW64\regsvr32.exe
    • C:\Windows\System32\rundll32.exe
    • C:\Windows\SysWOW64\rundll32.exe

    Napsauta Finish.

Kuva 4-4

  1. Lisää lisää Office-versioita tarpeen mukaan toistamalla samat ohjeet kuin edellä.

    • 2016 = Office16 (C:\Program Files (x86)\Microsoft Office\Root\Office16\...))
    • 2010 = Office14

  1. Jätä HIPS-säännöt-ikkuna auki ja jatka seuraavaan osioon.


IV. Kiellä regsrv32.exe:n aliprosessit
  1. Napsauta HIPS-sääntöikkunassa Add (Lisää).

  1. Kirjoita Säännön nimi -kenttään Deny child processes for regsrv32.exe.

    Valitse Action (Toiminto ) -pudotusvalikosta Block (Estä).

    Ota seuraavat asetukset käyttöön napsauttamalla niiden vieressä olevaa vaihtokytkintä:

    • Sovellukset
    • Enabled
    • Ilmoita käyttäjälle

    Valitse Loggauksen vakavuus -pudotusvalikosta Varoitus ja napsauta Seuraava.

Kuva 5-1

  1. Napsauta Source applications (Lähdesovellukset ) -ikkunassa Add (Lisää) ja kirjoita seuraavat nimet ja napsauta OK Add (Lisää) jokaisen nimen jälkeen:

    • C:\Windows\System32\regsvr32.exe
    • C:\Windows\SysWOW64\regsvr32.exe

    Napsauta Seuraava.

Kuva 5-2
  1. Ota Sovellustoiminnot-ikkunassa käyttöön napsauttamalla Käynnistä uusi sovellus -kohdan vieressä olevaa vaihtokytkintä ja napsauta Seuraava.
Kuva 5-3

  1. Napsauta Sovellukset-ikkunassa Lisää ja kirjoita seuraavat nimet ja napsauta OK Lisää jokaisen nimen jälkeen:

    • C:\Windows\System32\cmd.exe
    • C:\Windows\SysWOW64\cmd.exe
    • C:\Windows\System32\wscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

    Napsauta Finish.

Kuva 5-4
  1. Jätä HIPS-säännöt-ikkuna auki ja jatka seuraavaan osioon.

V. Kiellä mshta.exe:n lapsiprosessit
  1. Napsauta HIPS-sääntöikkunassa Add (Lisää).

  1. Kirjoita Säännön nimi -kenttään Deny child processes for mshta.exe.

    Valitse Action (Toiminto ) -pudotusvalikosta Block (Estä).

    Ota seuraavat asetukset käyttöön napsauttamalla niiden vieressä olevaa vaihtokytkintä:

    • Sovellukset
    • Enabled
    • Ilmoita käyttäjälle

    Valitse Loggauksen vakavuus -pudotusvalikosta Varoitus ja napsauta Seuraava.

Kuva 6-1

  1. Napsauta Source applications (Lähdesovellukset ) -ikkunassa Add (Lisää) ja kirjoita seuraavat nimet ja napsauta OK Add (Lisää) jokaisen nimen jälkeen:

    • C:\Windows\System32\mshta.exe
    • C:\Windows\SysWOW64\mshta.exe

    Napsauta Seuraava.

Kuva 6-2
  1. Ota Sovellustoiminnot-ikkunassa käyttöön napsauttamalla Käynnistä uusi sovellus -kohdan vieressä olevaa vaihtokytkintä ja napsauta Seuraava.
Kuva 6-3
  1. Valitse All applications (Kaikki sovellukset ) pudotusvalikosta ja napsauta Finish (Valmis).
  1. Jätä HIPS-säännöt-ikkuna auki ja jatka seuraavaan osioon.

VI. Rundll32.exe:n lapsiprosessien kieltäminen
  1. Napsauta HIPS-sääntöikkunassa Add (Lisää).

  1. Kirjoita Säännön nimi -kenttään Deny child processes for rundll32.exe.

    Valitse Action (Toiminto ) -pudotusvalikosta Block (Estä).

    Ota seuraavat asetukset käyttöön napsauttamalla niiden vieressä olevaa vaihtokytkintä:

    • Sovellukset
    • Enabled
    • Ilmoita käyttäjälle

    Valitse Loggauksen vakavuus -pudotusvalikosta Varoitus ja napsauta Seuraava.

Kuva 7-1
  1. Napsauta Source applications (Lähdesovellukset ) -ikkunassa Add (Lisää), kirjoita Specify file path (Määritä tiedostopolku ) -kenttään C:\Windows\System32\rundll32.exe ja napsauta sitten OK Next (Seuraava ) .
Kuva 7-2
  1. Ota Sovellustoiminnot-ikkunassa käyttöön napsauttamalla Käynnistä uusi sovellus -kohdan vieressä olevaa vaihtokytkintä ja napsauta Seuraava.
Kuva 7-3

  1. Napsauta Applications (Sovellukset ) -ikkunassa Add (Lisää) ja kirjoita seuraavat nimet napsauttamalla OK Add (Lisää) jokaisen nimen jälkeen:

    • C:\Windows\System32\cmd.exe
    • C:\Windows\SysWow64\cmd.exe
    • C:\Windows\System32\wscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

    Napsauta Finish.

Kuva 7-4
  1. Jätä HIPS-säännöt-ikkuna auki ja jatka seuraavaan osioon.

VII. Kiellä powershell.exe:n aliprosessit
  1. Napsauta HIPS-sääntöikkunassa Add (Lisää).

  1. Kirjoita Säännön nimi -kenttään Deny child processes for powershell.exe.

    Valitse Action (Toiminto ) -pudotusvalikosta Block (Estä).

    Ota seuraavat asetukset käyttöön napsauttamalla niiden vieressä olevaa vaihtokytkintä:

    • Sovellukset
    • Enabled
    • Ilmoita käyttäjälle

    Valitse Loggauksen vakavuus -pudotusvalikosta Varoitus ja napsauta Seuraava.

Kuva 8-1

  1. Napsauta Source applications (Lähdesovellukset ) -ikkunassa Add (Lisää) ja kirjoita seuraavat nimet ja napsauta OK Add (Lisää) jokaisen nimen jälkeen:

    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

    Napsauta Seuraava.

Kuva 8-2
  1. Ota Sovellustoiminnot-ikkunassa käyttöön napsauttamalla Käynnistä uusi sovellus -kohdan vieressä olevaa vaihtokytkintä ja napsauta Seuraava.
Kuva 8-3
  1. Valitse All applications (Kaikki sovellukset ) pudotusvalikosta ja napsauta Finish (Valmis).
  1. Napsauta HIPS-säännöt-ikkunassa OK. Laajenna Assign (Määritä ), jos haluat määrittää käytännön asiakkaalle tai ryhmälle; muussa tapauksessa napsauta Finish (Valmis ) New Policy - Settings (Uusi käytäntö - asetukset ) -näytössä. Jos käytäntösi asetukset on osoitettu, niitä sovelletaan kohderyhmiin tai asiakastietokoneisiin, kun ne kirjautuvat sisään ESET PROTECT- tai ESET PROTECT On-Prem -palveluun.

    Jos käytät ESET Business -tuotetta ilman etähallintaa, napsauta OK kahdesti.

Lataa ja tuo ESET PROTECT -käytäntö

ESET PROTECT -käytäntö ESET business -tuotteille, jossa on ylimääräisiä HIPS-asetuksia suojaamaan ransomware-haittaohjelmilta (filecoder), voidaan ladata ja tuoda alla olevista linkeistä. ESET PROTECT -käytäntö on käytettävissä vain ESET-tuotteiden uusimmassa versiossa. Yhteensopivuutta aiempien versioiden kanssa ei voida taata.

  1. Lataa ylimääräinen HIPS-suojaus ESET PROTECT Policy for:

  1. Avaa ESET PROTECT tai ESET PROTECT On-Prem. Valitse päävalikossa Policies (Käytännöt).

  2. Napsauta Actions Import....
Kuva 9-1
Klikkaa kuvaa nähdäksesi sen suurempana uudessa ikkunassa
  1. Valitse Choose file to upload, valitse ladattu käytäntö ja napsauta Import.
Kuva 9-2
  1. Määritä käytäntö asiakkaalle tai määritä käytäntö ryhmälle. Käytännön asetukset sovelletaan kohderyhmiin tai asiakastietokoneisiin, kun ne kirjautuvat sisään ESET PROTECT- tai ESET PROTECT On-Prem -palveluun.
Edellinen päivitys: 21.11.2025

Lisäresurssit

Käyttöoppaat

ESET-foorumi

Youtube-videot
ESET Status Portal ESET Technical Support

Olemassa oleva asiakas?