[KB6132] Configurer les règles du pare-feu pour ESET Endpoint Security afin de se protéger contre les ransomwares

• Vous souhaitez configurer des règles de pare-feu supplémentaires dans ESET Endpoint Security ou créer une politique dans ESET PROTECT ou ESET PROTECT On-Prem avec des paramètres de pare-feu supplémentaires pour ESET Endpoint Security afin de vous protéger contre les logiciels malveillants de type ransomware (filecoder)
• Créer manuellement une politique ESET PROTECT/configurer les paramètres dans ESET Endpoint Security
• Télécharger et importer la politique ESET PROTECT

Click an image to open the ESET Knowledgebase article for anti-ransomware best practices and additional application configurations:

Détails

Solution

Créer manuellement une politique ESET PROTECT/configurer les paramètres dans ESET Endpoint Security

1. Open the ESET PROTECT or ESET PROTECT On-Prem. Dans le menu déroulant Liens rapides, cliquez sur Créer une nouvelle politique....
   
   Si vous utilisez un produit ESET Endpoint Security sans gestion à distance, ouvrez la fenêtre du programme principal de votre produit ESET Windows et appuyez sur la touche F5 pour accéder à la configuration avancée. Passez à l'étape 3.
   
2. Cliquez sur Paramètres et dans le menu déroulant Sélectionner un produit..., sélectionnezESET Endpoint pour Windows. Passez à l'étape 4.

3. Cliquez sur Protection du réseau → Protection contre les attaques du réseau et vérifiez que l'option Activer la protection contre les réseaux de zombies est activée.

4. Cliquez sur Protection du réseau, développez Advanced et cliquez sur Edit (Modifier) en regard de Rules (Règles).

5. Dans la fenêtre Règles de pare-feu, cliquez sur Ajouter.

6. Dans le champ Nom , tapez Refuser les connexions réseau pour cmd.exe (natif).
   
   Utilisez la configuration suivante pour la règle :

• • Dans le menu déroulant Direction , sélectionnez Les deux.
  • Dans le menu déroulant Action , sélectionnez Refuser.
  • Dans le menu déroulant Protocole , sélectionnez N'importe lequel.
  • Dans le menu déroulant Profil , sélectionnez Tout profil.

7. Cliquez sur l'onglet Local et, dans le champ Application, tapez C:\NWindows\NSystem32\Ncmd.exe.

8. Cliquez sur OK → Ajouter, et répétez les étapes 6 à 7 pour créer la liste de règles suivante :

• Nom: Refuser les connexions réseau pour cmd.exe (SysWOW64)
  Application: C:\NWindows\NSysWOW64\Ncmd.exe
• Nom: Refuser les connexions réseau pour wscript.exe (SysWOW64) Refuser les connexions réseau pour wscript.exe (natif)
  Application: C:\NWindows\NSystem32\Nwscript.exe
• Name: Refuser les connexions réseau pour wscript.exe (SysWOW64)
  Application: C:\NWindows\NSysWOW64\Nwscript.exe
• Nom: Refuser les connexions réseau pour cscript.exe (SysWOW64) Refuser les connexions réseau pour cscript.exe (natif)
  Application: C:\NWindows\NSystem32\Ncscript.exe
• Name: Refuser les connexions réseau pour cscript.exe (SysWOW64)
  Application: C:\NWindows\NSysWOW64\cscript.exe
• Nom: Refuser les connexions réseau pour powershell.exe (SysWOW64) Refuser les connexions réseau pour powershell.exe (natif)
  Application: C:\NWindows\NSystem32\NWindowsPowerShell\Nv1.0\Npowershell.exe
• Nom: Refuser les connexions réseau pour powershell.exe (SysWOW64)
  Application: C:\NWindows\NSysWOW64\NWindowsPowerShell\Nv1.0\Npowershell.exe
• Nom: Refuser les connexions réseau pour ntvdm.exe
  Application: C:\NWindows\NSystem32\Ntvdm.exe
• Nom : Deny network connections for ntvdm.exe Refuser les connexions réseau pour regsvr.exe (natif)
  Application : C:\NWindowsSystem32\Ntvdm.exe C:\NWindows\NSystem32\Nregsvr.exe
• Nom : Deny network connections for regsvr.exe (native) Refuser les connexions réseau pour regsvr.exe (SysWOW64)
  Application: C:\NWindows\NSysWOW64\Nregsvr.exe
• Nom: "Deny network connections for regsvr.exe" (SysWOW64) Refuser les connexions réseau pour rundll32.exe (natif)
  Application: C:\NWindows\NSystem32\Nrundll32.exe
• Nom : Deny network connections for rundll32.exe (native) Refuser les connexions réseau pour rundll32.exe (SysWOW64)
  Application: C:\NWindows\NSysWOW64\Nrundll32.exe

9. Dans la fenêtre Règles du pare-feu , cliquez sur OK après avoir ajouté toutes les règles. Cliquez sur Attribuer pour attribuer la stratégie à un client ou à un groupe ; sinon, cliquez sur Terminer dans l'écran Nouvelle stratégie - Paramètres. S'ils sont attribués, les paramètres de votre politique seront appliqués aux groupes cibles ou aux ordinateurs clients une fois qu'ils se seront enregistrés dans ESET PROTECT ou ESET PROTECT On-Prem.
   
   Si vous utilisez ESET Endpoint Security sans gestion à distance, cliquez sur OK → OK après avoir ajouté toutes les règles.

Téléchargement et importation de la politique ESET PROTECT

La politique ESET PROTECT pour ESET Endpoint Security avec des paramètres de pare-feu supplémentaires pour la protection contre les logiciels malveillants de type ransomware (filecoder) peut être téléchargée et importée à partir du lien ci-dessous. La politique ESET PROTECT n'est disponible que pour la dernière version des produits ESET. La compatibilité avec les versions antérieures n'est pas garantie.

1. Télécharger la politique ESET PROTECT de protection supplémentaire contre les ransomwares.

2. Open the ESET PROTECT or ESET PROTECT On-Prem. Dans le menu principal, cliquez sur Policies.

3. Cliquez sur Actions → Importer.

4. Cliquez sur Choose file to upload, sélectionnez la politique téléchargée et cliquez sur Import.

5. Attribuez la politique à un client ou à un groupe. Les paramètres de la politique seront appliqués aux groupes cibles ou aux ordinateurs clients une fois qu'ils se seront enregistrés dans ESET PROTECT ou ESET PROTECT On-Prem.