[KB6119] Configurer les règles HIPS dans les applications commerciales ESET ou via ESET PROTECT ou ESET PRTOECT On-Prem

NOTE:

Cette page a été traduite par un ordinateur. Cliquez sur English sous Languages sur cette page pour afficher le texte original. Si vous estimez que quelque chose n'est pas clair, veuillez contacter votre support local.

Problème

Configurez des règles HIPS supplémentaires dans les applications professionnelles ESET pour Windows suivantes ou créez une politique dans ESET PROTECT ou ESET PROTECT On-Prem avec des paramètres HIPS supplémentaires pour vous protéger contre les logiciels malveillants de type ransomware (filecoder)
- ESET Endpoint Security pour Windows
- ESET Endpoint Antivirus pour Windows
- ESET Mail Security pour Microsoft Exchange Server
- ESET Server Security pour Microsoft Windows Server
Créer manuellement une politique ESET PROTECT ou ESET PROTECT On-Prem / configurer les paramètres dans les applications professionnelles ESET
Télécharger et importer la politique ESET PROTECT ou ESET PROTECT On-Prem

Détails

Cliquez pour agrandir

Le système de prévention des intrusions basé sur l'hôte (HIPS) d'ESET est inclus dans ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security pour Microsoft Exchange Server et ESET Server Security pour Microsoft Windows Server. Le système HIPS surveille l'activité du système et utilise un ensemble de règles prédéfinies pour reconnaître les comportements suspects du système.

Lorsque ce type d'activité est identifié, le mécanisme d'autodéfense HIPS empêche le programme ou le processus incriminé de mener à bien une activité potentiellement dangereuse. En interdisant l'exécution standard de JavaScript et d'autres scripts, le ransomware ne peut pas être téléchargé ou exécuté. Pour mieux prévenir les ransomwares sur vos systèmes Windows, créez les règles suivantes dans les dernières applications professionnelles ESET avec HIPS, ou créez et appliquez une politique ESET PROTECT ou ESET PROTECT On-Prem.

Solution

Ne pas ajuster les paramètres sur les systèmes de production

Les paramètres suivants sont des configurations supplémentaires, et les paramètres spécifiques nécessaires à votre environnement de sécurité peuvent varier. Nous vous recommandons de tester les paramètres de chaque implémentation dans un environnement de test avant de les utiliser dans un environnement de production.

Créer manuellement une politique ESET PROTECT ou ESET PROTECT On-Prem / configurer les paramètres dans les applications commerciales ESET

Ouvrez l'éditeur de règles HIPS dans l'assistant de politique ou dans la configuration de l'application ESET :
Politique ESET PROTECT ou ESET PROTECT On-Prem
1. Open the ESET PROTECT Web Console.
2. Create a policy in ESET PROTECT or ESET PROTECT On-Prem.
3. Dans la section Paramètres, sélectionnez ESET Endpoint pour Windows dans le menu déroulant. Cliquez sur HIPS et cliquez sur Modifier en regard de Règles.
Application ESET
1. Ouvrez la fenêtre du programme principal de votre application ESET pour Windows.
2. Appuyez sur la touche F5 pour accéder à la configuration avancée.
3. Cliquez sur HIPS et cliquez sur Modifier en regard de Règles.
Cliquez sur l'option (I. à VII.) pour développer chaque section ci-dessous afin de créer toutes les règles HIPS supplémentaires.
I. Refuser les processus à partir des exécutables de script
1. Dans la fenêtre des règles HIPS, cliquez sur Ajouter.
2. Tapez Deny child processes from script executables dans le champ Rule name (Nom de la règle). Dans le menu déroulant Action , sélectionnez Bloquer. Cliquez sur la bascule en regard de Applications, Activé et Notifier l'utilisateur pour activer ces paramètres. Dans le menu déroulant Gravité de la journalisation, sélectionnez Avertissement et cliquez sur Suivant.
3. Dans la fenêtre Applications sources, cliquez sur Ajouter et saisissez les noms suivants, en cliquant sur OK → Ajouter après chacun d'eux :
  - C:\NWindows\NSystem32\Nwscript.exe
  - C:\NWindows\NSystem32\cscript.exe
  - C:\Windows\SysWOW64\wscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  - C:\NWindows\NSystem32\Ntvdm.exe
  Cliquez sur Suivant.
4. Dans la fenêtre Opérations d'application, cliquez sur la bascule située à côté de Démarrer une nouvelle application pour l'activer, puis cliquez sur Suivant.
5. Sélectionnez Toutes les applications dans le menu déroulant et cliquez sur Terminer.
6. Laissez la fenêtre des règles HIPS ouverte et passez à la section suivante.
II. Refuser les processus de script lancés par l'explorateur
1. Dans la fenêtre des règles HIPS, cliquez sur Ajouter.
2. Dans le champ Nom de la règle, tapez Refuser les processus de script lancés par l'explorateur.
  
  Dans le menu déroulant Action , sélectionnez Bloquer.
  
  Activez la case à cocher située à côté de Applications.
  
  Dans le menu déroulant Gravité de la journalisation, sélectionnez Avertissement et cliquez sur Suivant.
3. Dans la fenêtre Applications sources, cliquez sur Ajouter, tapez C:\NWindows\Nexplorer.exe dans le champ Spécifier le chemin d'accès au fichier et cliquez sur OK → Suivant.
4. Dans la fenêtre Opérations d'application, cliquez sur la bascule située à côté de Démarrer une nouvelle application pour l'activer, puis cliquez sur Suivant.
5. Dans la fenêtre Applications, cliquez sur Ajouter et tapez les noms suivants, en cliquant sur OK → Ajouter après chacun d'eux :
  - C:\NWindows\NSystem32\Nwscript.exe
  - C:\NWindows\NSystem32\cscript.exe
  - C:\Windows\SysWOW64\wscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  Cliquez sur Terminer.
6. Laissez la fenêtre des règles HIPS ouverte et passez à la section suivante.
III. Refuser les processus enfants des processus Office 2024
1. Dans la fenêtre des règles HIPS, cliquez sur Ajouter.
2. Tapez Deny child processes from Office 2024 processes dans le champ Rule name (Nom de la règle). Dans le menu déroulant Action , sélectionnez Bloquer. Cliquez sur la bascule en regard de Applications, Activé et Notifier l'utilisateur pour activer ces paramètres. Dans le menu déroulant Gravité de la journalisation, sélectionnez Avertissement et cliquez sur Suivant.
3. Dans la fenêtre Applications sources, cliquez sur Ajouter et saisissez les noms suivants, en cliquant sur OK → Ajouter après chacun d'eux :
  - C:\NProgram Files\NMicrosoft Office\NRot\NOffice16\NWINWORD.EXE
  - C:\NProgram Files\NMicrosoft Office\NRot\NOffice16\OUTLOOK.EXE
  - C:\NProgram Files\NMicrosoft Office\NRot\NOffice16\EXCEL.EXE
  - C:\NProgram Files\NMicrosoft Office\NRot\NOffice16\NPOWERPNT.EXE
  - C:\Program Files (x86)\Microsoft Office\root\Office16\WINWORD.EXE
  - C:\NProgram Files (x86)\NMicrosoft Office\NRot\NOffice16\NOUTLOOK.EXE
  - C:\NProgram Files (x86)\NMicrosoft Office\NRot\NOffice16\EXCEL.EXE
  - C:\NProgram Files (x86)\NMicrosoft Office\NRot\NOffice16\NPOWERPNT.EXE
  Cliquez sur Suivant.
4. Dans la fenêtre Opérations d'application, cliquez sur la bascule située à côté de Démarrer une nouvelle application pour l'activer et cliquez sur Suivant.
5. Dans la fenêtre Applications, cliquez sur Ajouter et tapez les noms suivants, en cliquant sur OK → Ajouter après chacun d'eux :
  - C:\NWindows\NSystem32\Ncmd.exe
  - C:\NWindows\NSysWOW64\cmd.exe
  - C:\NWindows\NSystem32\Nwscript.exe
  - C:\NWindows\NSysWOW64\Nwscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  - C:\NWindows\NSystem32\Ntvdm.exe
  - C:\NWindows\NSystem32\NWindowsPowerShell\Nv1.0\Npowershell.exe
  - C:\NWindows\NSysWOW64\NWindowsPowerShell\Nv1.0\Npowershell.exe
  - C:\NWindows\NSystem32\Nregsvr32.exe
  - C:\NWindows\NSysWOW64\Nregsvr32.exe
  - C:\NWindows\NSystem32\rundll32.exe
  - C:\Windows\SysWOW64\rundll32.exe
  Cliquez sur Terminer.
6. Ajoutez d'autres versions d'Office si nécessaire, en répétant les mêmes instructions que ci-dessus.
  - 2013 = Office15(C:\NProgram Files (x86)\NMicrosoft Office\NOffice15\N...)
  - 2010 = Office14
7. Laissez la fenêtre des règles HIPS ouverte et passez à la section suivante.
IV. Refuser les processus enfants pour regsrv32.exe
1. Dans la fenêtre des règles HIPS, cliquez sur Ajouter.
2. Tapez Deny child processes for regsrv32.exe dans le champ Rule name (Nom de la règle).
  
  Dans le menu déroulant Action , sélectionnez Bloquer.
  
  Cliquez sur la bascule en regard des paramètres suivants pour les activer :
  - Applications
  - Activé
  - Notifier l'utilisateur
  Dans le menu déroulant Gravité de la journalisation, sélectionnez Avertissement et cliquez sur Suivant.
3. Dans la fenêtre Applications sources, cliquez sur Ajouter et saisissez les noms suivants, en cliquant sur OK → Ajouter après chacun d'eux :
  - C:\NWindows\NSystem32\Nregsvr32.exe
  - C:\NWindows\NSysWOW64\Nregsvr32.exe
  Cliquez sur Suivant.
4. Dans la fenêtre Opérations d'application, cliquez sur la bascule située à côté de Démarrer une nouvelle application pour l'activer et cliquez sur Suivant.
5. Dans la fenêtre Applications, cliquez sur Ajouter et tapez les noms suivants, en cliquant sur OK → Ajouter après chacun d'eux :
  - C:\NWindows\NSystem32\Ncmd.exe
  - C:\NWindows\NSysWOW64\cmd.exe
  - C:\NWindows\NSystem32\Nwscript.exe
  - C:\NWindows\NSysWOW64\Nwscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  - C:\NWindows\NSystem32\Ntvdm.exe
  - C:\NWindows\NSystem32\NWindowsPowerShell\Nv1.0\Npowershell.exe
  - C:\NWindows\NSysWOW64\NWindowsPowerShell\Nv1.0\Npowershell.exe
  Cliquez sur Terminer.
6. Laissez la fenêtre des règles HIPS ouverte et passez à la section suivante.
V. Refuser les processus enfants pour mshta.exe
1. Dans la fenêtre des règles HIPS, cliquez sur Ajouter.
2. Tapez Deny child processes for mshta.exe dans le champ Rule name (Nom de la règle).
  
  Dans le menu déroulant Action , sélectionnez Bloquer.
  
  Cliquez sur la bascule en regard des paramètres suivants pour les activer :
  - Applications
  - Activé
  - Notifier l'utilisateur
  Dans le menu déroulant Gravité de la journalisation, sélectionnez Avertissement et cliquez sur Suivant.
3. Dans la fenêtre Applications sources, cliquez sur Ajouter et saisissez les noms suivants, en cliquant sur OK → Ajouter après chacun d'eux :
  - C:\NWindows\NSystem32\Nmshta.exe
  - C:\NWindows\NSysWOW64\Nmshta.exe
  Cliquez sur Suivant.
4. Dans la fenêtre Opérations d'application, cliquez sur la bascule située à côté de Démarrer une nouvelle application pour l'activer, puis cliquez sur Suivant.
5. Sélectionnez Toutes les applications dans le menu déroulant et cliquez sur Terminer.
6. Laissez la fenêtre des règles HIPS ouverte et passez à la section suivante.
VI. Refuser les processus enfants pour rundll32.exe
1. Dans la fenêtre des règles HIPS, cliquez sur Ajouter.
2. Tapez Deny child processes for rundll32.exe dans le champ Rule name (Nom de la règle).
  
  Dans le menu déroulant Action , sélectionnez Bloquer.
  
  Cliquez sur la bascule en regard des paramètres suivants pour les activer :
  - Applications
  - Activé
  - Notifier l'utilisateur
  Dans le menu déroulant Gravité de la journalisation, sélectionnez Avertissement et cliquez sur Suivant.
3. Dans la fenêtre Applications sources, cliquez sur Ajouter, tapez C:\NWindows\NSystem32\Nrundll32.exe dans le champ Spécifier le chemin d'accès au fichier, puis cliquez sur OK → Suivant.
4. Dans la fenêtre Opérations d'application, cliquez sur la bascule située à côté de Démarrer une nouvelle application pour l'activer, puis cliquez sur Suivant.
5. Dans la fenêtre Applications, cliquez sur Ajouter et tapez les noms suivants, en cliquant sur OK → Ajouter après chacun d'eux :
  - C:\NWindows\NSystem32\Ncmd.exe
  - C:\NWindows\NSysWOW64\cmd.exe
  - C:\NWindows\NSystem32\Nwscript.exe
  - C:\NWindows\NSysWOW64\Nwscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  - C:\NWindows\NSystem32\Ntvdm.exe
  - C:\NWindows\NSystem32\NWindowsPowerShell\Nv1.0\Npowershell.exe
  - C:\NWindows\NSysWOW64\NWindowsPowerShell\Nv1.0\Npowershell.exe
  Cliquez sur Terminer.
6. Laissez la fenêtre des règles HIPS ouverte et passez à la section suivante.
VII. Refuser les processus enfants pour powershell.exe
1. Dans la fenêtre des règles HIPS, cliquez sur Ajouter.
2. Tapez Deny child processes for powershell.exe dans le champ Rule name (Nom de la règle).
  
  Dans le menu déroulant Action , sélectionnez Bloquer.
  
  Cliquez sur la bascule en regard des paramètres suivants pour les activer :
  - Applications
  - Activé
  - Notifier l'utilisateur
  Dans le menu déroulant Gravité de la journalisation, sélectionnez Avertissement et cliquez sur Suivant.
3. Dans la fenêtre Applications sources, cliquez sur Ajouter et saisissez les noms suivants, en cliquant sur OK → Ajouter après chacun d'eux :
  - C:\NWindows\NSystem32\NWindowsPowerShell\Nv1.0\Npowershell.exe
  - C:\NWindows\NSysWOW64\NWindowsPowerShell\Nv1.0\Npowershell.exe
  Cliquez sur Suivant.
4. Dans la fenêtre Opérations d'application, cliquez sur la bascule située à côté de Démarrer une nouvelle application pour l'activer, puis cliquez sur Suivant.
5. Sélectionnez Toutes les applications dans le menu déroulant et cliquez sur Terminer.
Si vous créez une politique, dans la fenêtre Règles HIPS, cliquez sur OK et terminez l'assistant de politique.

Si vous configurez une application commerciale ESET, cliquez sur OK → OK.

Télécharger et importer la politique ESET PROTECT ou ESET PROTECT On-Prem

La politique ESET PROTECT ou ESET PROTECT On-Prem pour les applications professionnelles ESET avec des paramètres HIPS supplémentaires pour la protection contre les logiciels malveillants de type ransomware (filecoder) peut être téléchargée à partir des liens ci-dessous. Les politiques ne sont disponibles que pour la dernière version des applications ESET. La compatibilité avec les versions antérieures n'est pas garantie.

Téléchargez la politique de protection HIPS supplémentaire ESET PROTECT ou ESET PROTECT On-Prem pour :
Open the ESET PROTECT Web Console.
Ouvrez la fenêtre d'importation de la politique :

ESET PROTECT

Cliquez sur Configuration → Configuration avancée → Actions → Importation.

ESET PROTECT On-Prem

Cliquez sur Policies → Actions → Import.
Cliquez sur Choose file to upload (Choisir le fichier à télécharger), sélectionnez la politique téléchargée et cliquez sur Import (Importer).
Attribuez la politique à un client ou à un groupe.

Dernière mise à jour: 27 avr. 2026

[KB6119] Configurer les règles HIPS dans les applications commerciales ESET ou via ESET PROTECT ou ESET PRTOECT On-Prem

NOTE:

Problème

Détails

Solution

Ne pas ajuster les paramètres sur les systèmes de production

Créer manuellement une politique ESET PROTECT ou ESET PROTECT On-Prem / configurer les paramètres dans les applications commerciales ESET

Télécharger et importer la politique ESET PROTECT ou ESET PROTECT On-Prem

Ressources supplémentaires:

Aide en ligne

Forum ESET

Vidéos de la base de connaissances

Client existant?