[KB6119] Configurazione delle regole HIPS per i prodotti aziendali ESET per la protezione dal ransomware

NOTA:

Questa pagina è stata tradotta da un computer. Fai clic su English sotto Languages in questa pagina per visualizzare il testo originale. Se trovi qualcosa di poco chiaro, contatta il tuo supporto locale.

Problema

Click an image to open the ESET Knowledgebase article for anti-ransomware best practices and additional product configurations:

Dettagli

Fare clic per espandere


Il sistema di prevenzione delle intrusioni basato su host (HIPS) di ESET è incluso in ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security per Microsoft Exchange Server e ESET File Security per Microsoft Windows Server. HIPS monitora l'attività del sistema e utilizza una serie di regole predefinite per riconoscere i comportamenti sospetti del sistema.

Quando viene identificato questo tipo di attività, il meccanismo di autodifesa HIPS impedisce al programma o al processo incriminato di svolgere un'attività potenzialmente dannosa. Vietando l'esecuzione standard di JavaScript e altri script, il ransomware non può essere scaricato o eseguito. Per prevenire ulteriormente il malware ransomware sui vostri sistemi Windows, create le seguenti regole nei più recenti prodotti aziendali ESET con HIPS, oppure create e applicate un criterio ESET PROTECT.

Soluzione

Non modificare le impostazioni sui sistemi di produzione

Le seguenti impostazioni sono configurazioni aggiuntive e le impostazioni specifiche necessarie per il vostro ambiente di sicurezza possono variare. Si consiglia di testare le impostazioni di ciascuna implementazione in un ambiente di prova prima di utilizzarle in un ambiente di produzione.

Creare manualmente un criterio ESET PROTECT/configurare le impostazioni nei prodotti aziendali ESET

  1. Aprire ESET PROTECT o ESET PROTECT On-Prem. Nel menu a discesa Collegamenti rapidi, fare clic su Crea nuovo criterio....

    Se si utilizza un prodotto ESET business senza gestione remota, aprire la finestra del programma principale del prodotto ESET Windows e premere il tasto F5 per accedere alla configurazione avanzata. Procedere al passaggio 3.
  2. Fare clic su Impostazioni e nel menu a discesa Seleziona prodotto... selezionare uno dei seguenti prodotti ESET business con HIPS:
    • ESET Endpoint per Windows.
    • ESET File Security per Windows Server (V6+).
    • ESET Mail Security per Microsoft Exchange (V6+).
Figura 1-1
Fare clic sull'immagine per ingrandirla nella nuova finestra
  1. Fare clic su Motore di rilevamento(Computer in ESET Mail Security for Microsoft Exchange Server) → HIPS. Fare clic su Modifica accanto a Regole.
Figura 1-2
Fare clic sull'immagine per ingrandirla nella nuova finestra

Fare clic sull'opzione (da I. a VII.) per espandere ogni sezione sottostante e creare le regole HIPS per i processi suggeriti.


I. Rifiuta i processi dagli eseguibili di script
  1. Nella finestra delle regole HIPS, fare clic su Aggiungi.
Figura 2-1

  1. Nel campo Nome regola digitare Nega processi figli da eseguibili di script. Dal menu a discesa Azione , selezionare Blocca. Fare clic sulla levetta accanto ad Applicazioni, Abilitato e Notifica utente per abilitare queste impostazioni. Dal menu a discesa Gravità di registrazione, selezionare Avviso e fare clic su Avanti.

Figura 2-2

  1. Nella finestra Applicazioni di origine, fate clic su Aggiungi e digitate i seguenti nomi, facendo clic su OK Aggiungi dopo ciascuno di essi:

    • C:\Windows\System32\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\WindowsSysWOW64\wscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe

    Fare clic su Avanti.

Figura 2-3
  1. Nella finestra Operazioni applicazione, fate clic sulla levetta accanto a Avvia nuova applicazione per attivarla e fate clic su Avanti.
Figura 2-4
  1. Selezionate Tutte le applicazioni dal menu a discesa e fate clic su Fine.
Figura 2-5
  1. Lasciate aperta la finestra delle regole HIPS e proseguite con la sezione successiva.

II. Negare i processi di script avviati da explorer
  1. Nella finestra delle regole HIPS, fate clic su Aggiungi.

  1. Nel campo Nome regola digitare Nega processi di script avviati da explorer.

    Dal menu a discesa Azione , selezionare Blocca.

    Fare clic sulla levetta accanto a:

    Dal menu a discesa Gravità di registrazione, selezionare Avviso e fare clic su Avanti.

Figura 3-1
  1. Nella finestra Applicazioni di origine fare clic su Aggiungi, digitare C:\Windows\explorer.exe nel campo Specifica percorso file, quindi fare clic su OK Avanti.
Figura 3-2
  1. Nella finestra Operazioni applicazione, fate clic sulla levetta accanto a Avvia nuova applicazione per attivarla e fate clic su Avanti.
Figura 3-3

  1. Nella finestra Applicazioni, fate clic su Aggiungi e digitate i seguenti nomi, facendo clic su OK Aggiungi dopo ciascuno di essi:

    • C:\Windows\System32\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\WindowsSysWOW64\wscript.exe
    • C:\Windows\SysWOW64\cscript.exe

    Fare clic su Fine.

Figura 3-4
  1. Lasciare aperta la finestra delle regole HIPS e continuare con la sezione successiva.

III. Negare i processi figli dei processi di Office 2013/2016
  1. Nella finestra delle regole HIPS, fare clic su Aggiungi.

  2. Nel campo Nome regola digitare Rifiuta processi figlio da processi Office 2013. Dal menu a discesa Azione , selezionare Blocca. Fare clic sulla levetta accanto ad Applicazioni, Abilitato e Notifica utente per abilitare queste impostazioni. Dal menu a discesa Gravità di registrazione, selezionare Avviso e fare clic su Avanti.

Figura 4-1

  1. Nella finestra Applicazioni di origine, fate clic su Aggiungi e digitate i seguenti nomi, facendo clic su OK Aggiungi dopo ciascuno di essi:

    • C:\Program Files\Microsoft Office\Office15\WINWORD.EXE
    • C:\Programmi\Microsoft Office\Office15\OUTLOOK.EXE
    • C:\File di programma\Microsoft Office\Office15\EXCEL.EXE
    • C:´File di programma\Microsoft Office\Office15\POWERPNT.EXE
    • C:´File di programma (x86)´Microsoft Office\Office15\WINWORD.EXE
    • C:´File di programma (x86)´Microsoft Office\Office15\OUTLOOK.EXE
    • C:´File di programma (x86)´Microsoft Office\Office15\EXCEL.EXE
    • C:´File di programma (x86)´Microsoft Office\Office15\POWERPNT.EXE

    Fare clic su Avanti.

Figura 4-2
  1. Nella finestra Operazioni dell'applicazione, fate clic sulla levetta accanto a Avvia nuova applicazione per attivarla e fate clic su Avanti.
Figura 4-3

  1. Nella finestra Applicazioni, fate clic su Aggiungi e digitate i seguenti nomi, facendo clic su OK Aggiungi dopo ciascuno di essi:

    • C:\Windows\System32\cmd.exe
    • C:\Windows\SysWOW64\cmd.exe
    • C:\Windows\System32\wscript.exe
    • C:\WindowsSysWOW64\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\System32\regsvr32.exe
    • C:\Windows\SysWOW64\regsvr32.exe
    • C:\Windows\System32\rundll32.exe
    • C:\Windows\SysWOW64\rundll32.exe

    Fare clic su Fine.

Figura 4-4

  1. Aggiungete altre versioni di Office se necessario, ripetendo le stesse istruzioni di cui sopra.

    • 2016 = Office16 (C:\Program Files (x86)\Microsoft Office\Root\Office16\...)
    • 2010 = Office14

  1. Lasciare aperta la finestra delle regole HIPS e continuare con la sezione successiva.


IV. Negare i processi figli di regsrv32.exe
  1. Nella finestra delle regole HIPS, fare clic su Aggiungi.

  1. Digitare Nega processi figli per regsrv32.exe nel campo Nome regola.

    Dal menu a discesa Azione , selezionare Blocca.

    Fare clic sulla levetta accanto alle seguenti impostazioni per attivarle:

    • Applicazioni
    • Abilitato
    • Notifica all'utente

    Dal menu a discesa Gravità di registrazione, selezionate Avviso e fate clic su Avanti.

Figura 5-1

  1. Nella finestra Applicazioni sorgente, fate clic su Aggiungi e digitate i seguenti nomi, facendo clic su OK Aggiungi dopo ciascuno di essi:

    • C:\Windows\System32\regsvr32.exe
    • C:\Windows\SysWOW64\regsvr32.exe

    Fare clic su Avanti.

Figura 5-2
  1. Nella finestra Operazioni applicazione, fate clic sulla levetta accanto a Avvia nuova applicazione per attivarla e fate clic su Avanti.
Figura 5-3

  1. Nella finestra Applicazioni, fate clic su Aggiungi e digitate i seguenti nomi, facendo clic su OK Aggiungi dopo ciascuno di essi:

    • C:\Windows\System32\cmd.exe
    • C:\Windows\SysWOW64\cmd.exe
    • C:\Windows\System32\wscript.exe
    • C:\WindowsSysWOW64\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

    Fare clic su Fine.

Figura 5-4
  1. Lasciate aperta la finestra delle regole HIPS e proseguite con la sezione successiva.

V. Negare i processi figli di mshta.exe
  1. Nella finestra delle regole HIPS, fare clic su Aggiungi.

  1. Nel campo Nome regola digitare Nega processi figli per mshta.exe.

    Dal menu a discesa Azione , selezionare Blocca.

    Fare clic sulla levetta accanto alle seguenti impostazioni per attivarle:

    • Applicazioni
    • Abilitato
    • Notifica all'utente

    Dal menu a discesa Gravità di registrazione, selezionare Avviso e fare clic su Avanti.

Figura 6-1

  1. Nella finestra Applicazioni di origine, fate clic su Aggiungi e digitate i seguenti nomi, facendo clic su OK Aggiungi dopo ciascuno di essi:

    • C:\Windows\System32\mshta.exe
    • C:\Windows\SysWOW64\mshta.exe

    Fare clic su Avanti.

Figura 6-2
  1. Nella finestra Operazioni applicazione, fate clic sulla levetta accanto a Avvia nuova applicazione per attivarla e fate clic su Avanti.
Figura 6-3
  1. Selezionate Tutte le applicazioni dal menu a discesa e fate clic su Fine.
  1. Lasciate aperta la finestra delle regole HIPS e proseguite con la sezione successiva.

VI. Negare i processi figli di rundll32.exe
  1. Nella finestra delle regole HIPS, fare clic su Aggiungi.

  1. Digitare Nega processi figli per rundll32.exe nel campo Nome regola.

    Dal menu a discesa Azione , selezionare Blocca.

    Fare clic sulla levetta accanto alle seguenti impostazioni per attivarle:

    • Applicazioni
    • Abilitato
    • Notifica all'utente

    Dal menu a discesa Gravità di registrazione, selezionare Avviso e fare clic su Avanti.

Figura 7-1
  1. Nella finestra Applicazioni di origine, fate clic su Aggiungi, digitate C:\Windows\System32\rundll32.exe nel campo Specifica percorso file, quindi fate clic su OK Avanti.
Figura 7-2
  1. Nella finestra Operazioni applicazione, fate clic sulla levetta accanto a Avvia nuova applicazione per attivarla e fate clic su Avanti.
Figura 7-3

  1. Nella finestra Applicazioni, fate clic su Aggiungi e digitate i seguenti nomi, facendo clic su OK Aggiungi dopo ciascuno di essi:

    • C:\Windows\System32\cmd.exe
    • C:\Windows\SysWOW64\cmd.exe
    • C:\Windows\System32\wscript.exe
    • C:\WindowsSysWOW64\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

    Fare clic su Fine.

Figura 7-4
  1. Lasciate aperta la finestra delle regole HIPS e proseguite con la sezione successiva.

VII. Negare i processi figli di powershell.exe
  1. Nella finestra delle regole HIPS, fate clic su Aggiungi.

  1. Nel campo Nome regola digitare Nega processi figli di powershell.exe.

    Dal menu a discesa Azione , selezionare Blocca.

    Fare clic sulla levetta accanto alle seguenti impostazioni per attivarle:

    • Applicazioni
    • Abilitato
    • Notifica all'utente

    Dal menu a discesa Gravità di registrazione, selezionare Avviso e fare clic su Avanti.

Figura 8-1

  1. Nella finestra Applicazioni di origine, fate clic su Aggiungi e digitate i seguenti nomi, facendo clic su OK Aggiungi dopo ciascuno di essi:

    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

    Fare clic su Avanti.

Figura 8-2
  1. Nella finestra Operazioni dell'applicazione, fate clic sulla levetta accanto a Avvia nuova applicazione per attivarla e fate clic su Avanti.
Figura 8-3
  1. Selezionate Tutte le applicazioni dal menu a discesa e fate clic su Fine.
  1. Nella finestra delle regole HIPS , fare clic su OK. Espandere Assegna per assegnare il criterio a un client o a un gruppo; altrimenti, fare clic su Fine nella schermata Nuovo criterio - Impostazioni. Se assegnate, le impostazioni del criterio verranno applicate ai gruppi o ai computer client di destinazione una volta effettuato il check-in in ESET PROTECT o ESET PROTECT On-Prem.

    Se si utilizza un prodotto ESET business senza gestione remota, fare clic su OK due volte.

Scaricare e importare il criterio ESET PROTECT

La Politica ESET PROTECT per i prodotti ESET business con impostazioni HIPS aggiuntive per la protezione dal malware ransomware (filecoder) può essere scaricata e importata dai link sottostanti. Il criterio ESET PROTECT è disponibile solo per la versione più recente dei prodotti ESET. La compatibilità con le versioni precedenti non può essere garantita.

  1. Scaricate il criterio di protezione HIPS aggiuntivo ESET PROTECT per:

  1. Aprire ESET PROTECT o ESET PROTECT On-Prem. Nel menu principale, fare clic su Criteri.

  2. Fare clic su Azioni Importa....
Figura 9-1
Fare clic sull'immagine per ingrandirla nella nuova finestra
  1. Fare clic su Scegli file da caricare, selezionare il criterio scaricato e fare clic su Importa.
Figura 9-2
  1. Assegnare il criterio a un client o assegnarlo a un gruppo. Le impostazioni dei criteri verranno applicate ai gruppi o ai computer client di destinazione una volta effettuato il check-in in ESET PROTECT o ESET PROTECT On-Prem.
Ultimo aggiornamento: 17 dic 2025

Ulteriori Risorse:

Guide utente

Forum utenti ESET

Video della Knowledgebase
ESET Status Portal ESET Technical Support

Cliente esistente?