[KB6119] HIPS-szabályok konfigurálása az ESET üzleti termékekhez a zsarolóprogramok elleni védelem érdekében

JEGYZET:

Ezt az oldalt egy számítógép fordította le. Az eredeti szöveg megjelenítéséhez kattintson az oldalon a Nyelvek menüpont alatt az angolra. Ha bármi nem világos, kérjük, forduljon a helyi ügyfélszolgálathoz.

Kiadvány

Click an image to open the ESET Knowledgebase article for anti-ransomware best practices and additional product configurations:

Részletek

Kattintson a bővítéshez


Az ESET Host-based Intrusion Prevention System (HIPS) az ESET Endpoint Security, az ESET Endpoint Antivirus, az ESET Mail Security for Microsoft Exchange Server és az ESET File Security for Microsoft Windows Server szolgáltatásokban is megtalálható. A HIPS figyeli a rendszertevékenységet, és előre meghatározott szabálykészletet használ a gyanús rendszerviselkedés felismerésére.

Ha ilyen típusú tevékenységet azonosít, a HIPS önvédelmi mechanizmusa megállítja a jogsértő programot vagy folyamatot a potenciálisan káros tevékenység végrehajtásában. A JavaScript és más szkriptek szabványos futtatásának megtiltásával a zsarolóprogramok nem tudnak letölteni vagy végrehajtani. A Windows rendszereken a zsarolóvírus-kártékony programok további megelőzése érdekében hozza létre a következő szabályokat a legújabb ESET HIPS-sel rendelkező üzleti termékekben, vagy hozzon létre és alkalmazzon egy ESET PROTECT házirendet.

Megoldás

Ne módosítsa a beállításokat a termelési rendszereken

Az alábbi beállítások kiegészítő konfigurációk, és az Ön biztonsági környezetéhez szükséges konkrét beállítások eltérőek lehetnek. Javasoljuk, hogy tesztelje az egyes megvalósítások beállításait tesztkörnyezetben, mielőtt azokat a termelési környezetben használná.

Kézzel hozzon létre egy ESET PROTECT házirendet/konfigurálja a beállításokat az ESET üzleti termékekben

  1. Nyissa meg az ESET PROTECT vagy az ESET PROTECT On-Prem. A Gyorslinkek legördülő menüben kattintson az Új házirend létrehozása.... gombra.

    Ha távoli kezelés nélküli ESET üzleti terméket használ, #@##publication_url id='351' target='_blank' content='nyissa meg az ESET Windows termék fő programablakát' focus=''#@# és nyomja meg az F5 billentyűt a Speciális beállítások eléréséhez. Folytassa a 3. lépéssel.
  2. Kattintson a Beállítások gombra, majd a Termék kiválasztása... legördülő menüben válassza ki a következő HIPS-szel rendelkező ESET üzleti termékek egyikét:
    • ESET Endpoint for Windows.
    • ESET File Security for Windows Server (V6+).
    • ESET Mail Security for Microsoft Exchange (V6+).
1-1. ábra
Kattintson a képre a nagyobb méretben való megjelenítéshez az új ablakban
  1. Kattintson a Detection Engine(Computer in ESET Mail Security for Microsoft Exchange Server) → HIPS gombra. Kattintson a Szerkesztés gombra a Szabályok mellett.
1-2. ábra
Kattintson a képre a nagyobb méretben való megjelenítéshez az új ablakban

Kattintson az opcióra (I.-VII.) az egyes alábbi szakaszok kibővítéséhez, hogy létrehozza a javasolt folyamatokra vonatkozó HIPS-szabályokat.


I. Folyamatok megtagadása a szkriptek futtatható részeiből
  1. A HIPS-szabályok ablakban kattintson a Hozzáadás gombra.
2-1. ábra

  1. Írja be a Szabály neve mezőbe a Deny child processes from script executables (Gyermekfolyamatok tiltása a szkriptek futtatható fájljaiból ) parancsot. A Művelet legördülő menüből válassza a Blokkolás lehetőséget. Kattintson az Alkalmazások, az Engedélyezve és a Felhasználó értesítése melletti kapcsolóra a beállítások engedélyezéséhez. A Naplózás súlyossága legördülő menüből válassza a Figyelmeztetés lehetőséget, majd kattintson a Tovább gombra.

2-2. ábra

  1. A Forrás alkalmazások ablakban kattintson a Hozzáadás gombra, és írja be a következő neveket, mindegyik után kattintson az OK Hozzáadás gombra:

    • C:\Windows\System32\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe

    Kattintson a Tovább gombra.

2-3. ábra
  1. Az Alkalmazási műveletek ablakban kattintson az Új alkalmazás indítása melletti kapcsolóra az engedélyezéshez, majd kattintson a Tovább gombra.
2-4. ábra
  1. Válassza ki a legördülő menüből a Minden alkalmazás lehetőséget, majd kattintson a Befejezés gombra.
2-5. ábra
  1. Hagyja nyitva a HIPS-szabályok ablakot, és folytassa a következő résszel.

II. Az explorer által indított szkriptfolyamatok megtagadása
  1. A HIPS-szabályok ablakban kattintson a Hozzáadás gombra.

  1. Írja be a Szabály neve mezőbe a Deny script processes started by explorer (A felfedező által indított parancsfájl-folyamatok elutasítása ) szöveget.

    A Művelet legördülő menüből válassza a Blokkolás lehetőséget.

    Kattintson a mellette lévő kapcsolóra:

    A Naplózás súlyossága legördülő menüből válassza a Figyelmeztetés lehetőséget, majd kattintson a Tovább gombra.

3-1. ábra
  1. A Forrásalkalmazások ablakban kattintson a Hozzáadás gombra, írja be a C:\Windows\explorer.exe fájlt a Specify file path mezőbe, majd kattintson az OK Tovább gombra.
3-2. ábra
  1. Az Alkalmazási műveletek ablakban kattintson az Új alkalmazás indítása melletti kapcsolóra az engedélyezéshez, majd kattintson a Tovább gombra.
3-3. ábra

  1. Az Alkalmazások ablakban kattintson a Hozzáadás gombra, majd írja be a következő neveket, és mindegyik után kattintson az OK Hozzáadás gombra:

    • C:\Windows\System32\wscript.exe: C:\Windows\System32\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\SysWOW64\cscript.exe

    Kattintson a Befejezés gombra.

3-4. ábra
  1. Hagyja nyitva a HIPS-szabályok ablakot, és folytassa a következő résszel.

III. Az Office 2013/2016 folyamatok gyermekfolyamatainak megtagadása
  1. A HIPS-szabályok ablakban kattintson a Hozzáadás gombra.

  2. Írja be a Szabály neve mezőbe a Deny child processes from Office 2013 processes (Office 2013-as folyamatok gyermekfolyamatainak tiltása ) szöveget. A Művelet legördülő menüből válassza a Blokkolás lehetőséget. Kattintson az Alkalmazások, az Engedélyezve és a Felhasználó értesítése melletti kapcsolóra a beállítások engedélyezéséhez. A Naplózás súlyossága legördülő menüből válassza a Figyelmeztetés lehetőséget, majd kattintson a Tovább gombra.

4-1. ábra

  1. A Forrás alkalmazások ablakban kattintson a Hozzáadás gombra, és írja be a következő neveket, mindegyik után kattintson az OK Hozzáadás gombra:

    • Office15\WINWORD.EXE: C:\Program Files\Microsoft Office\Office15\WINWORD.EXE
    • C:\Program Files\Microsoft Office\Office15\OUTLOOK.EXE
    • C:\Program Files\Microsoft Office\Office15\EXCEL.EXE
    • C:\Program Files\Microsoft Office\Office15\POWERPNT.EXE
    • C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE
    • C:\Program Files (x86)\Microsoft Office\Office15\OUTLOOK.EXE
    • C:\Program Files (x86)\Microsoft Office\Office15\EXCEL.EXE
    • C:\Program Files (x86)\Microsoft Office\Office15\POWERPNT.EXE

    Kattintson a Tovább gombra.

4-2. ábra
  1. Az Alkalmazási műveletek ablakban kattintson az Új alkalmazás indítása melletti kapcsolóra az engedélyezéshez, majd kattintson a Tovább gombra.
4-3. ábra

  1. Az Alkalmazások ablakban kattintson a Hozzáadás gombra, és írja be a következő neveket, mindegyik után kattintson az OK Hozzáadás gombra:

    • C:\Windows\System32\cmd.exe: C:\Windows\System32\cmd.exe
    • C:\Windows\SysWOW64\cmd.exe
    • C:\Windows\System32\wscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\System32\regsvr32.exe
    • C:\Windows\SysWOW64\regsvr32.exe
    • C:\Windows\System32\rundll32.exe
    • C:\Windows\SysWOW64\rundll32.exe

    Kattintson a Befejezés gombra.

4-4. ábra

  1. Adjon hozzá további Office-verziókat szükség szerint, megismételve a fenti utasításokat.

    • 2016 = Office16 (C:\Program Files (x86)\Microsoft Office\Root\Office16\...)
    • 2010 = Office14

  1. Hagyja nyitva a HIPS-szabályok ablakot, és folytassa a következő résszel.


IV. A regsrv32.exe gyermekfolyamatainak megtagadása
  1. A HIPS-szabályok ablakban kattintson a Hozzáadás gombra.

  1. Írja be a szabály neve mezőbe a regsrv32.exe gyermekfolyamatainak megtagadása parancsot.

    A Művelet legördülő menüből válassza a Blokkolás lehetőséget.

    Kattintson a következő beállítások melletti kapcsolóra az engedélyezéshez:

    • Alkalmazások
    • Enabled
    • Felhasználó értesítése

    A Naplózás súlyossága legördülő menüből válassza a Figyelmeztetés lehetőséget, majd kattintson a Tovább gombra.

5-1. ábra

  1. A Forrás alkalmazások ablakban kattintson a Hozzáadás gombra, majd írja be a következő neveket, és mindegyik után kattintson az OK Hozzáadás gombra:

    • C:\Windows\System32\regsvr32.exe: C:\Windows\System32\regsvr32.exe
    • C:\Windows\SysWOW64\regsvr32.exe

    Kattintson a Tovább gombra.

5-2. ábra
  1. Az Alkalmazásműveletek ablakban az Új alkalmazás indítása mellett lévő kapcsolóval engedélyezzük a funkciót, majd kattintsunk a Tovább gombra.
5-3. ábra

  1. Az Alkalmazások ablakban kattintson a Hozzáadás gombra, és írja be a következő neveket, mindegyik után kattintson az OK Hozzáadás gombra:

    • C:\Windows\System32\cmd.exe: C:\Windows\System32\cmd.exe
    • C:\Windows\SysWOW64\cmd.exe
    • C:\Windows\System32\wscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

    Kattintson a Befejezés gombra.

5-4. ábra
  1. Hagyja nyitva a HIPS-szabályok ablakot, és folytassa a következő résszel.

V. Az mshta.exe gyermekfolyamatainak megtagadása
  1. A HIPS-szabályok ablakban kattintson a Hozzáadás gombra.

  1. Írja be a Szabály neve mezőbe a Deny child processes for mshta.exe parancsot.

    A Művelet legördülő menüből válassza a Blokkolás lehetőséget.

    Kattintson a következő beállítások melletti kapcsolóra az engedélyezéshez:

    • Alkalmazások
    • Enabled
    • Felhasználó értesítése

    A Naplózás súlyossága legördülő menüből válassza a Figyelmeztetés lehetőséget, majd kattintson a Tovább gombra.

6-1. ábra

  1. A Forrás alkalmazások ablakban kattintson a Hozzáadás gombra, majd írja be a következő neveket, és mindegyik után kattintson az OK Hozzáadás gombra:

    • C:\Windows\System32\mshta.exe: C:\Windows\System32\mshta.exe
    • C:\Windows\SysWOW64\mshta.exe

    Kattintson a Tovább gombra.

6-2. ábra
  1. Az Alkalmazásműveletek ablakban az Új alkalmazás indítása mellett lévő kapcsolóval engedélyezzük a funkciót, majd kattintsunk a Tovább gombra.
6-3. ábra
  1. Válassza ki a legördülő menüből a Minden alkalmazás lehetőséget, majd kattintson a Befejezés gombra.
  1. Hagyja nyitva a HIPS-szabályok ablakot, és folytassa a következő résszel.

VI. A rundll32.exe gyermekfolyamatainak megtagadása
  1. A HIPS-szabályok ablakban kattintson a Hozzáadás gombra.

  1. Írja be a szabály neve mezőbe a következő szöveget: Deny child processes for rundll32.exe.

    A Művelet legördülő menüből válassza a Blokkolás lehetőséget.

    Kattintson a következő beállítások melletti kapcsolóra az engedélyezéshez:

    • Alkalmazások
    • Enabled
    • Felhasználó értesítése

    A Naplózás súlyossága legördülő menüből válassza a Figyelmeztetés lehetőséget, majd kattintson a Tovább gombra.

7-1. ábra
  1. A Forrás alkalmazások ablakban kattintson a Hozzáadás gombra, írja be a C:\Windows\System32\rundll32.exe fájlt a Specify file path mezőbe, majd kattintson az OK Tovább gombra.
7-2. ábra
  1. Az Alkalmazási műveletek ablakban az Új alkalmazás indítása mellett lévő kapcsoló gombra kattintva engedélyezze az alkalmazást, majd kattintson a Tovább gombra.
7-3. ábra

  1. Az Alkalmazások ablakban kattintson a Hozzáadás gombra, majd írja be a következő neveket, és mindegyik után kattintson az OK Hozzáadás gombra:

    • C:\Windows\System32\cmd.exe: C:\Windows\System32\cmd.exe
    • C:\Windows\SysWOW64\cmd.exe
    • C:\Windows\System32\wscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

    Kattintson a Befejezés gombra.

7-4. ábra
  1. Hagyja nyitva a HIPS-szabályok ablakot, és folytassa a következő résszel.

VII. A powershell.exe gyermekfolyamatainak megtagadása
  1. A HIPS-szabályok ablakban kattintson a Hozzáadás gombra.

  1. Írja be a szabály neve mezőbe a powershell.exe gyermekfolyamatainak megtagadása parancsot.

    A Művelet legördülő menüből válassza a Blokkolás lehetőséget.

    Kattintson a következő beállítások melletti kapcsolóra az engedélyezéshez:

    • Alkalmazások
    • Enabled
    • Felhasználó értesítése

    A Naplózás súlyossága legördülő menüből válassza a Figyelmeztetés lehetőséget, majd kattintson a Tovább gombra.

8-1. ábra

  1. A Forrás alkalmazások ablakban kattintson a Hozzáadás gombra, majd írja be a következő neveket, és mindegyik után kattintson az OK Hozzáadás gombra:

    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

    Kattintson a Tovább gombra.

8-2. ábra
  1. Az Alkalmazási műveletek ablakban kattintson az Új alkalmazás indítása melletti kapcsolóra az engedélyezéshez, majd kattintson a Tovább gombra.
8-3. ábra
  1. Válassza ki a legördülő menüből a Minden alkalmazás lehetőséget, majd kattintson a Befejezés gombra.
  1. A HIPS-szabályok ablakban kattintson az OK gombra. Bontsa ki a Hozzárendelés lehetőséget a házirend ügyfélhez vagy csoporthoz való hozzárendeléséhez; ellenkező esetben kattintson a Befejezés gombra az Új házirend - beállítások képernyőn. Ha hozzárendelte, a házirend beállításai alkalmazásra kerülnek a célcsoportokra vagy az ügyfélszámítógépekre, amint azok bejelentkeznek az ESET PROTECT vagy az ESET PROTECT On-Prem rendszerbe.

    Ha távoli kezelés nélküli ESET üzleti terméket használ, kattintson kétszer az OK gombra.

Az ESET PROTECT házirend letöltése és importálása

Az ESET PROTECT házirend az ESET üzleti termékekhez a zsarolóvírusos rosszindulatú szoftverek (filecoder) elleni védelemhez szükséges további HIPS-beállításokkal letölthető és importálható az alábbi linkekről. Az ESET PROTECT házirend csak az ESET termékek legújabb verziójához érhető el. A korábbi verziókkal való kompatibilitás nem garantálható.

  1. A Kiegészítő HIPS-védelem ESET PROTECT házirend letöltése a következőkhöz:

  1. Nyissa meg az ESET PROTECT vagy ESET PROTECT On-Prem. A főmenüben kattintson a Házirendek gombra.

  2. Kattintson a Műveletek Importálás.... gombra.
9-1. ábra
Kattintson a képre a nagyobb méretben való megjelenítéshez az új ablakban
  1. Kattintson a Feltöltendő fájl kiválasztása gombra, válassza ki a letöltött házirendet, majd kattintson az Importálás gombra.
9-2. ábra
  1. Rendelje a házirendet egy ügyfélhez, vagy rendelje a házirendet egy csoporthoz. A házirend-beállítások a célcsoportokra vagy az ügyfélszámítógépekre akkor kerülnek alkalmazásra, amikor azok bejelentkeznek az ESET PROTECT vagy az ESET PROTECT On-Prem rendszerbe.
Utolsó frissítés: 2025. dec. 17.

További lehetőségek:

Felhasználói kézikönyvek

ESET Security Forum

Tudásbázis videók
ESET Status Portal ESET Technical Support

Meglévő ügyfél?