[KB6119] Configurazione delle regole HIPS nelle applicazioni aziendali ESET o tramite ESET PROTECT o ESET PRTOECT On-Prem

NOTA:

Questa pagina è stata tradotta da un computer. Fai clic su English sotto Languages in questa pagina per visualizzare il testo originale. Se trovi qualcosa di poco chiaro, contatta il tuo supporto locale.

Problema

Configurare regole HIPS aggiuntive nelle seguenti applicazioni aziendali ESET per Windows o creare una policy in ESET PROTECT o ESET PROTECT On-Prem con impostazioni HIPS aggiuntive per la protezione dal malware ransomware (filecoder)
- ESET Endpoint Security per Windows
- ESET Endpoint Antivirus per Windows
- ESET Mail Security per Microsoft Exchange Server
- ESET Server Security per Microsoft Windows Server
Creare manualmente un criterio ESET PROTECT o ESET PROTECT On-Prem / configurare le impostazioni nelle applicazioni aziendali ESET
Scaricare e importare il criterio ESET PROTECT o ESET PROTECT On-Prem

Dettagli

Fare clic per espandere

Il sistema di prevenzione delle intrusioni basato su host (HIPS) di ESET è incluso in ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security per Microsoft Exchange Server e ESET Server Security per Microsoft Windows Server. HIPS monitora l'attività del sistema e utilizza una serie di regole predefinite per riconoscere i comportamenti sospetti del sistema.

Quando viene identificato questo tipo di attività, il meccanismo di autodifesa HIPS impedisce al programma o al processo incriminato di svolgere un'attività potenzialmente dannosa. Impedendo l'esecuzione standard di JavaScript e altri script, il ransomware non può essere scaricato o eseguito. Per prevenire ulteriormente il malware ransomware sui vostri sistemi Windows, create le seguenti regole nelle più recenti applicazioni aziendali ESET con HIPS, oppure create e applicate un criterio ESET PROTECT o ESET PROTECT On-Prem.

Soluzione

Non modificare le impostazioni sui sistemi di produzione

Le seguenti impostazioni sono configurazioni aggiuntive e le impostazioni specifiche necessarie per il vostro ambiente di sicurezza possono variare. Si consiglia di testare le impostazioni di ciascuna implementazione in un ambiente di prova prima di utilizzarle in un ambiente di produzione.

Creare manualmente un criterio ESET PROTECT o ESET PROTECT On-Prem / configurare le impostazioni nelle applicazioni aziendali ESET

Aprire l'editor delle regole HIPS nella procedura guidata della policy o nella configurazione dell'applicazione ESET:
Criterio ESET PROTECT o ESET PROTECT On-Prem
1. Open the ESET PROTECT Web Console.
2. Crea un criterio in ESET PROTECT o ESET PROTECT On-Prem.
3. Nella sezione Impostazioni, selezionare ESET Endpoint for Windows dal menu a discesa. Fare clic su HIPS e fare clic su Modifica accanto a Regole.
Applicazione ESET
1. Aprire la finestra del programma principale dellapplicazione.
2. Premere il tasto F5 per accedere alla configurazione avanzata.
3. Fare clic su HIPS e fare clic su Modifica accanto a Regole.
Fare clic sull'opzione (da I. a VII.) per espandere ogni sezione sottostante e creare tutte le regole HIPS aggiuntive.
I. Rifiuta processi da eseguibili di script
1. Nella finestra delle regole HIPS, fare clic su Aggiungi.
2. Digitare Nega processi figli da eseguibili di script nel campo Nome regola. Dal menu a discesa Azione , selezionare Blocca. Fare clic sulla levetta accanto ad Applicazioni, Abilitato e Notifica utente per abilitare queste impostazioni. Dal menu a discesa Gravità di registrazione, selezionare Avviso e fare clic su Avanti.
3. Nella finestra Applicazioni di origine, fare clic su Aggiungi e digitare i seguenti nomi, facendo clic su OK → Aggiungi dopo ciascuno di essi:
  - C:\Windows\System32\wscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\WindowsSysWOW64\wscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  - C:\Windows\System32\ntvdm.exe
  Fare clic su Avanti.
4. Nella finestra Operazioni applicazione, fare clic sulla levetta accanto a Avvia nuova applicazione per attivarla e fare clic su Avanti.
5. Selezionare Tutte le applicazioni dal menu a discesa e fare clic su Fine.
6. Lasciare aperta la finestra delle regole HIPS e continuare con la sezione successiva.
II. Negare i processi di script avviati da explorer
1. Nella finestra delle regole HIPS, fare clic su Aggiungi.
2. Nel campo Nome regola digitare Nega processi di script avviati da explorer.
  
  Dal menu a discesa Azione , selezionare Blocca.
  
  Attivare la levetta accanto ad Applicazioni.
  
  Dal menu a discesa Gravità di registrazione, selezionare Avviso e fare clic su Avanti.
3. Nella finestra Applicazioni di origine fare clic su Aggiungi, digitare C:\Windows\explorer.exe nel campo Specifica percorso file e fare clic su OK → Avanti.
4. Nella finestra Operazioni applicazione, fate clic sulla levetta accanto a Avvia nuova applicazione per attivarla e fate clic su Avanti.
5. Nella finestra Applicazioni, fate clic su Aggiungi e digitate i seguenti nomi, facendo clic su OK → Aggiungi dopo ciascuno di essi:
  - C:\Windows\System32\wscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\WindowsSysWOW64\wscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  Fare clic su Fine.
6. Lasciare aperta la finestra delle regole HIPS e continuare con la sezione successiva.
III. Negare i processi figli dei processi di Office 2024
1. Nella finestra delle regole HIPS, fare clic su Aggiungi.
2. Nel campo Nome regola digitare Rifiuta processi figli dai processi di Office 2024. Dal menu a discesa Azione , selezionare Blocca. Fare clic sulla levetta accanto ad Applicazioni, Abilitato e Notifica utente per abilitare queste impostazioni. Dal menu a discesa Gravità di registrazione, selezionare Avviso e fare clic su Avanti.
3. Nella finestra Applicazioni di origine, fare clic su Aggiungi e digitare i seguenti nomi, facendo clic su OK → Aggiungi dopo ciascuno di essi:
  - C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE
  - C:\Program Files\Microsoft Office\root\Office16\OUTLOOK.EXE
  - C:\File di programma\Microsoft Office\root\Office16\EXCEL.EXE
  - C:´File di programma (Microsoft Office) Radice (Office16) PowerPNT.EXE
  - C:´File di programma (x86)´Microsoft Office\root\Office16\WINWORD.EXE
  - C:´File di programma (x86)´Microsoft Office´´, radice di Office16´OUTLOOK.EXE
  - C:´File di programma (x86)´Microsoft Office\root\Office16\EXCEL.EXE
  - C:´File di programma (x86)´Microsoft Office\root\Office16\POWERPNT.EXE
  Fate clic su Avanti.
4. Nella finestra Operazioni applicazione, fare clic sulla levetta accanto a Avvia nuova applicazione per attivarla e fare clic su Avanti.
5. Nella finestra Applicazioni, fate clic su Aggiungi e digitate i seguenti nomi, facendo clic su OK → Aggiungi dopo ciascuno di essi:
  - C:\Windows\System32\cmd.exe
  - C:\WindowsSysWOW64\cmd.exe
  - C:\Windows\System32\wscript.exe
  - C:\WindowsSysWOW64\wscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  - C:\Windows\System32\ntvdm.exe
  - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  - C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  - C:\Windows\System32\regsvr32.exe
  - C:\Windows\SysWOW64\regsvr32.exe
  - C:\Windows\System32\rundll32.exe
  - C:\Windows\SysWOW64\rundll32.exe
  Fare clic su Fine.
6. Aggiungete altre versioni di Office se necessario, ripetendo le stesse istruzioni di cui sopra.
  - 2013 = Office15(C:\Program Files (x86)\Microsoft Office\Office15\...)
  - 2010 = Office14
7. Lasciare aperta la finestra delle regole HIPS e continuare con la sezione successiva.
IV. Negare i processi figli di regsrv32.exe
1. Nella finestra delle regole HIPS, fare clic su Aggiungi.
2. Digitare Nega processi figli per regsrv32.exe nel campo Nome regola.
  
  Dal menu a discesa Azione , selezionare Blocca.
  
  Fare clic sulla levetta accanto alle seguenti impostazioni per attivarle:
  - Applicazioni
  - Abilitato
  - Notifica all'utente
  Dal menu a discesa Gravità di registrazione, selezionare Avviso e fare clic su Avanti.
3. Nella finestra Applicazioni di origine, fate clic su Aggiungi e digitate i seguenti nomi, facendo clic su OK → Aggiungi dopo ciascuno di essi:
  - C:\Windows\System32\regsvr32.exe
  - C:\Windows\SysWOW64\regsvr32.exe
  Fare clic su Avanti.
4. Nella finestra Operazioni di applicazione, fare clic sulla levetta accanto a Avvia nuova applicazione per attivarla e fare clic su Avanti.
5. Nella finestra Applicazioni, fate clic su Aggiungi e digitate i seguenti nomi, facendo clic su OK → Aggiungi dopo ciascuno di essi:
  - C:\Windows\System32\cmd.exe
  - C:\Windows\SysWOW64\cmd.exe
  - C:\Windows\System32\wscript.exe
  - C:\WindowsSysWOW64\wscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  - C:\Windows\System32\ntvdm.exe
  - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  - C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  Fare clic su Fine.
6. Lasciare aperta la finestra delle regole HIPS e continuare con la sezione successiva.
V. Negare i processi figlio per mshta.exe
1. Nella finestra delle regole HIPS, fare clic su Aggiungi.
2. Digitare Nega processi figli per mshta.exe nel campo Nome regola.
  
  Dal menu a discesa Azione , selezionare Blocca.
  
  Fare clic sulla levetta accanto alle seguenti impostazioni per attivarle:
  - Applicazioni
  - Abilitato
  - Notifica all'utente
  Dal menu a discesa Gravità di registrazione, selezionare Avviso e fare clic su Avanti.
3. Nella finestra Applicazioni di origine, fate clic su Aggiungi e digitate i seguenti nomi, facendo clic su OK → Aggiungi dopo ciascuno di essi:
  - C:\Windows\System32\mshta.exe
  - C:\Windows\SysWOW64\mshta.exe
  Fare clic su Avanti.
4. Nella finestra Operazioni applicazione, fare clic sulla levetta accanto a Avvia nuova applicazione per attivarla e fare clic su Avanti.
5. Selezionare Tutte le applicazioni dal menu a discesa e fare clic su Fine.
6. Lasciare aperta la finestra delle regole HIPS e continuare con la sezione successiva.
VI. Negare i processi figli di rundll32.exe
1. Nella finestra delle regole HIPS, fare clic su Aggiungi.
2. Digitare Nega processi figli per rundll32.exe nel campo Nome regola.
  
  Dal menu a discesa Azione , selezionare Blocca.
  
  Fare clic sulla levetta accanto alle seguenti impostazioni per attivarle:
  - Applicazioni
  - Abilitato
  - Notifica all'utente
  Dal menu a discesa Gravità di registrazione, selezionare Avviso e fare clic su Avanti.
3. Nella finestra Applicazioni di origine, fate clic su Aggiungi, digitate C:\Windows\System32\rundll32.exe nel campo Specifica percorso file, quindi fate clic su OK → Avanti.
4. Nella finestra Operazioni applicazione, fate clic sulla levetta accanto a Avvia nuova applicazione per attivarla e fate clic su Avanti.
5. Nella finestra Applicazioni, fate clic su Aggiungi e digitate i seguenti nomi, facendo clic su OK → Aggiungi dopo ciascuno di essi:
  - C:\Windows\System32\cmd.exe
  - C:\WindowsSysWOW64\cmd.exe
  - C:\Windows\System32\wscript.exe
  - C:\WindowsSysWOW64\wscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  - C:\Windows\System32\ntvdm.exe
  - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  - C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  Fare clic su Fine.
6. Lasciare aperta la finestra delle regole HIPS e continuare con la sezione successiva.
VII. Negare i processi figli per powershell.exe
1. Nella finestra delle regole HIPS, fare clic su Aggiungi.
2. Digitare Nega processi figli per powershell.exe nel campo Nome regola.
  
  Dal menu a discesa Azione , selezionare Blocca.
  
  Fare clic sulla levetta accanto alle seguenti impostazioni per attivarle:
  - Applicazioni
  - Abilitato
  - Notifica all'utente
  Dal menu a discesa Gravità di registrazione, selezionare Avviso e fare clic su Avanti.
3. Nella finestra Applicazioni di origine, fate clic su Aggiungi e digitate i seguenti nomi, facendo clic su OK → Aggiungi dopo ciascuno di essi:
  - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  - C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  Fare clic su Avanti.
4. Nella finestra Operazioni applicazione, fare clic sulla levetta accanto a Avvia nuova applicazione per attivarla e fare clic su Avanti.
5. Selezionare Tutte le applicazioni dal menu a discesa e fare clic su Fine.
Se si sta creando un criterio, nella finestra Regole HIPS fare clic su OK e terminare la procedura guidata del criterio.

Se si sta configurando un'applicazione aziendale ESET, fare clic su OK → OK.

Scaricare e importare il criterio ESET PROTECT o ESET PROTECT On-Prem

La policy ESET PROTECT o ESET PROTECT On-Prem per le applicazioni aziendali ESET con impostazioni HIPS aggiuntive per la protezione dal malware ransomware (filecoder) può essere scaricata dai link seguenti. Le policy sono disponibili solo per la versione più recente delle applicazioni ESET. La compatibilità con le versioni precedenti non può essere garantita.

Scaricate il criterio di protezione HIPS aggiuntivo ESET PROTECT o ESET PROTECT On-Prem per:
Open the ESET PROTECT Web Console.
Aprire la finestra di importazione dei criteri:

ESET PROTECT

Fare clic su Configurazione → Configurazione avanzata → Azioni → Importa.

ESET PROTECT On-Prem

Fare clic su Criteri → Azioni → Importa.
Fare clic su Scegli file da caricare, selezionare il criterio scaricato e fare clic su Importa.
Assegnare il criterio a un client o assegnarlo a un gruppo.

Ultimo aggiornamento: 27 apr 2026

[KB6119] Configurazione delle regole HIPS nelle applicazioni aziendali ESET o tramite ESET PROTECT o ESET PRTOECT On-Prem

NOTA:

Problema

Dettagli

Soluzione

Non modificare le impostazioni sui sistemi di produzione

Creare manualmente un criterio ESET PROTECT o ESET PROTECT On-Prem / configurare le impostazioni nelle applicazioni aziendali ESET

Scaricare e importare il criterio ESET PROTECT o ESET PROTECT On-Prem

Ulteriori Risorse:

Guide utente

Forum utenti ESET

Video della Knowledgebase

Cliente esistente?