Problème
- Vous souhaitez configurer des règles HIPS supplémentaires dans les produits commerciaux ESET pour Windows suivants ou créer une politique dans ESET PROTECT ou ESET PROTECT On-Prem avec des paramètres HIPS supplémentaires pour se protéger contre les logiciels malveillants de type ransomware (filecoder)
- ESET Endpoint Security
- ESET Endpoint Antivirus
- ESET Mail Security pour Microsoft Exchange Server
- ESET File Security pour Microsoft Windows Server
- Créer manuellement une politique ESET PROTECT/configurer les paramètres des produits commerciaux ESET
- Télécharger et importer la politique ESET PROTECT
Click an image to open the ESET Knowledgebase article for anti-ransomware best practices and additional product configurations:
Détails
Cliquez pour agrandir
Le système de prévention des intrusions basé sur l'hôte (HIPS) d'ESET est inclus dans ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security pour Microsoft Exchange Server et ESET File Security pour Microsoft Windows Server. Le système HIPS surveille l'activité du système et utilise un ensemble de règles prédéfinies pour reconnaître les comportements suspects du système.
Lorsque ce type d'activité est identifié, le mécanisme d'autodéfense HIPS empêche le programme ou le processus incriminé de mener à bien une activité potentiellement dangereuse. En interdisant l'exécution standard de JavaScript et d'autres scripts, le ransomware ne peut pas être téléchargé ou exécuté. Pour mieux prévenir les ransomwares sur vos systèmes Windows, créez les règles suivantes dans les derniers produits commerciaux ESET avec HIPS, ou créez et appliquez une politique ESET PROTECT.
Solution
Créer manuellement une politique ESET PROTECT/configurer les paramètres dans les produits commerciaux ESET
- Open the ESET PROTECT or ESET PROTECT On-Prem. Dans le menu déroulant Liens rapides, cliquez sur Créer une nouvelle politique....
Si vous utilisez un produit ESET professionnel sans gestion à distance, ouvrez la fenêtre du programme principal de votre produit ESET Windows et appuyez sur la touche F5 pour accéder à la configuration avancée. Passez à l'étape 3. - Cliquez sur Paramètres, et dans le menu déroulant Sélectionner un produit..., sélectionnez l'un des produits professionnels ESET avec HIPS suivants :
-
- ESET Endpoint pour Windows.
- ESET File Security pour Windows Server (V6+).
- ESET Mail Security pour Microsoft Exchange (V6+).
Cliquez sur l'image pour l'agrandir dans une nouvelle fenêtre
- Cliquez sur Moteur de détection(ordinateur dans ESET Mail Security pour Microsoft Exchange Server) → HIPS. Cliquez sur Edit (Modifier) en regard de Rules (Règles).
Cliquez sur l'image pour l'agrandir dans la nouvelle fenêtre
Cliquez sur l'option (I. à VII.) pour développer chaque section ci-dessous afin de créer les règles HIPS pour les processus suggérés.
I. Refuser les processus à partir des exécutables de script
- Dans la fenêtre des règles HIPS, cliquez sur Ajouter.
-
Tapez Deny child processes from script executables dans le champ Rule name (Nom de la règle). Dans le menu déroulant Action , sélectionnez Bloquer. Cliquez sur la bascule en regard de Applications, Activé et Notifier l'utilisateur pour activer ces paramètres. Dans le menu déroulant Gravité de la journalisation, sélectionnez Avertissement et cliquez sur Suivant.
-
Dans la fenêtre Applications sources, cliquez sur Ajouter et saisissez les noms suivants, en cliquant sur OK → Ajouter après chacun d'eux :
C:\NWindows\NSystem32\Nwscript.exeC:\NWindows\NSystem32\cscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\SysWOW64\cscript.exeC:\NWindows\NSystem32\Ntvdm.exe
Cliquez sur Suivant.
- Dans la fenêtre Opérations d'application, cliquez sur la bascule située à côté de Démarrer une nouvelle application pour l'activer, puis cliquez sur Suivant.
- Sélectionnez Toutes les applications dans le menu déroulant et cliquez sur Terminer.
- Laissez la fenêtre des règles HIPS ouverte et passez à la section suivante.
II. Refuser les processus de script lancés par l'explorateur
- Dans la fenêtre des règles HIPS, cliquez sur Ajouter.
-
Tapez Refuser les processus de script lancés par l'explorateur dans le champ Nom de la règle.
Dans le menu déroulant Action , sélectionnez Bloquer.
Cliquez sur la bascule située à côté de :
Dans le menu déroulant Gravité de la journalisation, sélectionnez Avertissement et cliquez sur Suivant.
- Dans la fenêtre Applications sources, cliquez sur Ajouter, tapez C:\NWindows\Nexplorer.exe dans le champ Spécifier le chemin d'accès au fichier, puis cliquez sur OK → Suivant.
- Dans la fenêtre Opérations de l'application, cliquez sur la bascule située à côté de Démarrer une nouvelle application pour l'activer, puis cliquez sur Suivant.
-
Dans la fenêtre Applications, cliquez sur Ajouter et tapez les noms suivants, en cliquant sur OK → Ajouter après chacun d'eux :
C:\NWindows\NSystem32\Nwscript.exeC:\NWindows\NSystem32\cscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\SysWOW64\cscript.exe
Cliquez sur Terminer.
- Laissez la fenêtre des règles HIPS ouverte et passez à la section suivante.
III. Refuser les processus enfants des processus Office 2013/2016
- Dans la fenêtre des règles HIPS, cliquez sur Ajouter.
-
Tapez Deny child processes from Office 2013 processes dans le champ Rule name (Nom de la règle). Dans le menu déroulant Action , sélectionnez Bloquer. Cliquez sur la bascule en regard de Applications, Activé et Notifier l'utilisateur pour activer ces paramètres. Dans le menu déroulant Gravité de la journalisation, sélectionnez Avertissement et cliquez sur Suivant.
-
Dans la fenêtre Applications sources, cliquez sur Ajouter et saisissez les noms suivants, en cliquant sur OK → Ajouter après chacun d'eux :
C:\NProgram Files\NMicrosoft Office\NOffice15\NWINWORD.EXEC:\NProgram Files\NMicrosoft Office\NOffice15\NOUTLOOK.EXEC:\NProgram Files\NMicrosoft Office\NOffice15\NEXCEL.EXEC:\NProgram Files\NMicrosoft Office\NOffice15\NPOWERPNT.EXEC:\NProgram Files (x86)\NMicrosoft Office\NOffice15\NWINWORD.EXEC:\NProgram Files (x86)\NMicrosoft Office\NOffice15\NOUTLOOK.EXEC:\NProgram Files (x86)\NMicrosoft Office\NOffice15\NEXCEL.EXEC:\NProgram Files (x86)\NMicrosoft Office\NOffice15\NPOWERPNT.EXE
Cliquez sur Suivant.
- Dans la fenêtre Opérations d'application, cliquez sur la bascule située à côté de Démarrer une nouvelle application pour l'activer et cliquez sur Suivant.
-
Dans la fenêtre Applications, cliquez sur Ajouter et tapez les noms suivants, en cliquant sur OK → Ajouter après chacun d'eux :
C:\NWindows\NSystem32\Ncmd.exeC:\NWindows\NSysWOW64\cmd.exeC:\NWindows\NSystem32\Nwscript.exeC:\NWindows\NSysWOW64\Nwscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\NWindows\NSystem32\Ntvdm.exeC:\NWindows\NSystem32\NWindowsPowerShell\Nv1.0\Npowershell.exeC:\NWindows\NSysWOW64\NWindowsPowerShell\Nv1.0\Npowershell.exeC:\NWindows\NSystem32\Nregsvr32.exeC:\NWindows\NSysWOW64\Nregsvr32.exeC:\NWindows\NSystem32\rundll32.exeC:\Windows\SysWOW64\rundll32.exe
Cliquez sur Terminer.
-
Ajoutez d'autres versions d'Office si nécessaire, en répétant les mêmes instructions que ci-dessus.
- 2016 = Office16 (C:\NProgram Files (x86)\NMicrosoft Office\NRoot\NOffice16\N...)
- 2010 = Office14
-
Laissez la fenêtre des règles HIPS ouverte et passez à la section suivante.
IV. Refuser les processus enfants pour regsrv32.exe
- Dans la fenêtre des règles HIPS, cliquez sur Ajouter.
-
Tapez Deny child processes for regsrv32.exe dans le champ Rule name (Nom de la règle).
Dans le menu déroulant Action , sélectionnez Bloquer.
Cliquez sur la bascule en regard des paramètres suivants pour les activer :
- Applications
- Activé
- Notifier l'utilisateur
Dans le menu déroulant Gravité de la journalisation, sélectionnez Avertissement et cliquez sur Suivant.
-
Dans la fenêtre Applications sources, cliquez sur Ajouter et saisissez les noms suivants, en cliquant sur OK → Ajouter après chacun d'eux :
C:\NWindows\NSystem32\Nregsvr32.exeC:\NWindows\NSysWOW64\Nregsvr32.exe
Cliquez sur Suivant.
- Dans la fenêtre Opérations de l'application, cliquez sur la bascule située à côté de Démarrer une nouvelle application pour l'activer et cliquez sur Suivant.
-
Dans la fenêtre Applications, cliquez sur Ajouter et tapez les noms suivants, en cliquant sur OK → Ajouter après chacun d'eux :
C:\NWindows\NSystem32\Ncmd.exeC:\NWindows\NSysWOW64\cmd.exeC:\NWindows\NSystem32\Nwscript.exeC:\NWindows\NSysWOW64\Nwscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\NWindows\NSystem32\Ntvdm.exeC:\NWindows\NSystem32\NWindowsPowerShell\Nv1.0\Npowershell.exeC:\NWindows\NSysWOW64\NWindowsPowerShell\Nv1.0\Npowershell.exe
Cliquez sur Terminer.
- Laissez la fenêtre des règles HIPS ouverte et passez à la section suivante.
V. Refuser les processus enfants pour mshta.exe
- Dans la fenêtre des règles HIPS, cliquez sur Ajouter.
-
Tapez Deny child processes for mshta.exe dans le champ Rule name (Nom de la règle).
Dans le menu déroulant Action , sélectionnez Bloquer.
Cliquez sur la bascule en regard des paramètres suivants pour les activer :
- Applications
- Activé
- Notifier l'utilisateur
Dans le menu déroulant Gravité de la journalisation, sélectionnez Avertissement et cliquez sur Suivant.
-
Dans la fenêtre Applications sources, cliquez sur Ajouter et saisissez les noms suivants, en cliquant sur OK → Ajouter après chacun d'eux :
C:\NWindows\NSystem32\Nmshta.exeC:\NWindows\NSysWOW64\Nmshta.exe
Cliquez sur Suivant.
- Dans la fenêtre Opérations d'application, cliquez sur la bascule située à côté de Démarrer une nouvelle application pour l'activer et cliquez sur Suivant.
- Sélectionnez Toutes les applications dans le menu déroulant et cliquez sur Terminer.
- Laissez la fenêtre des règles HIPS ouverte et passez à la section suivante.
VI. Refuser les processus enfants pour rundll32.exe
- Dans la fenêtre des règles HIPS, cliquez sur Ajouter.
-
Tapez Deny child processes for rundll32.exe dans le champ Rule name (Nom de la règle).
Dans le menu déroulant Action , sélectionnez Bloquer.
Cliquez sur la bascule en regard des paramètres suivants pour les activer :
- Applications
- Activé
- Notifier l'utilisateur
Dans le menu déroulant Gravité de la journalisation, sélectionnez Avertissement et cliquez sur Suivant.
- Dans la fenêtre Applications sources, cliquez sur Ajouter, tapez
C:\NWindows\NSystem32\Nrundll32.exedans le champ Spécifier le chemin d'accès au fichier, puis cliquez sur OK → Suivant.
- Dans la fenêtre Opérations d'application, cliquez sur la bascule située à côté de Démarrer une nouvelle application pour l'activer, puis cliquez sur Suivant.
-
Dans la fenêtre Applications, cliquez sur Ajouter et tapez les noms suivants, en cliquant sur OK → Ajouter après chacun d'eux :
C:\NWindows\NSystem32\Ncmd.exeC:\NWindows\NSysWOW64\cmd.exeC:\NWindows\NSystem32\Nwscript.exeC:\NWindows\NSysWOW64\Nwscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\NWindows\NSystem32\Ntvdm.exeC:\NWindows\NSystem32\NWindowsPowerShell\Nv1.0\Npowershell.exeC:\NWindows\NSysWOW64\NWindowsPowerShell\Nv1.0\Npowershell.exe
Cliquez sur Terminer.
- Laissez la fenêtre des règles HIPS ouverte et passez à la section suivante.
VII. Refuser les processus enfants pour powershell.exe
- Dans la fenêtre des règles HIPS, cliquez sur Ajouter.
-
Tapez Deny child processes for powershell.exe dans le champ Rule name (Nom de la règle).
Dans le menu déroulant Action , sélectionnez Bloquer.
Cliquez sur la bascule en regard des paramètres suivants pour les activer :
- Applications
- Activé
- Notifier l'utilisateur
Dans le menu déroulant Gravité de la journalisation, sélectionnez Avertissement et cliquez sur Suivant.
-
Dans la fenêtre Applications sources, cliquez sur Ajouter et saisissez les noms suivants, en cliquant sur OK → Ajouter après chacun d'eux :
C:\NWindows\NSystem32\NWindowsPowerShell\Nv1.0\Npowershell.exeC:\NWindows\NSysWOW64\NWindowsPowerShell\Nv1.0\Npowershell.exe
Cliquez sur Suivant.
- Dans la fenêtre Opérations d'application, cliquez sur la bascule située à côté de Démarrer une nouvelle application pour l'activer et cliquez sur Suivant.
- Sélectionnez Toutes les applications dans le menu déroulant et cliquez sur Terminer.
- Dans la fenêtre Règles HIPS , cliquez sur OK. Développez Attribuer pour attribuer la politique à un client ou à un groupe ; sinon, cliquez sur Terminer dans l'écran Nouvelle politique - Paramètres. S'ils sont attribués, les paramètres de votre politique seront appliqués aux groupes cibles ou aux ordinateurs clients une fois qu'ils se seront enregistrés dans ESET PROTECT ou ESET PROTECT On-Prem.
Si vous utilisez un produit commercial ESET sans gestion à distance, cliquez deux fois sur OK.
Télécharger et importer la politique ESET PROTECT
La politique ESET PROTECT pour les produits professionnels ESET avec des paramètres HIPS supplémentaires pour la protection contre les logiciels malveillants de type ransomware (filecoder) peut être téléchargée et importée à partir des liens ci-dessous. La politique ESET PROTECT n'est disponible que pour la dernière version des produits ESET. La compatibilité avec les versions antérieures n'est pas garantie.
-
Télécharger la politique ESET PROTECT de protection HIPS supplémentaire pour :
-
Open the ESET PROTECT or ESET PROTECT On-Prem. Dans le menu principal, cliquez sur Policies.
- Cliquez sur Actions → Importer....
Cliquez sur l'image pour l'agrandir dans une nouvelle fenêtre
- Cliquez sur Choose file to upload, sélectionnez la politique téléchargée et cliquez sur Import.
- Attribuez la politique à un client ou à un groupe. Les paramètres de la politique seront appliqués aux groupes cibles ou aux ordinateurs clients une fois qu'ils se seront enregistrés dans ESET PROTECT ou ESET PROTECT On-Prem.
