[KB6119] ESETビジネスアプリケーション、またはESET PROTECTまたはESET PRTOECT On-PremでHIPSルールを設定します。

課題

• ランサムウェア マルウェア (filecoder) から保護するために、以下の Windows 用 ESET ビジネス アプリケーションで追加の HIPS ルールを構成するか、ESET PROTECT または ESET PROTECT On-Prem で追加の HIPS 設定を含むポリシーを作成します。
  • Windows用ESETエンドポイントセキュリティ
  • ESET Endpoint Antivirus for Windows
  • ESET Mail Security for Microsoft Exchange Server
  • ESET サーバーセキュリティ for Microsoft Windows Server
• ESET PROTECT または ESET PROTECT On-Prem ポリシーを手動で作成する / ESET ビジネスアプリケーションで設定を構成する
• ESET PROTECT または ESET PROTECT On-Prem ポリシーのダウンロードとインポート

詳細

対策

ESET PROTECT または ESET PROTECT On-Prem ポリシーを手動で作成する / ESET ビジネスアプリケーションで設定を構成する

1. ポリシーウィザードまたは ESET アプリケーション設定で HIPS ルールエディタを開きます：

   ---

   ESET PROTECT または ESET PROTECT On-Prem ポリシー

   
   

   1. Open the ESET PROTECT Web Console.

   2. ESETプロテクトまたはESETプロテクトオンプレムでポリシーを作成する.

   3. 設定]セクションで、ドロップダウンメニューから[ESET Endpoint for Windows]を選択します。HIPS] をクリックし、[ルール] の横にある [編集] をクリックします。

      

   ---

   ESET アプリケーション

   
   

   1. ESETのWindowsエンドポイントアプリケーションのメインプログラムウィンドウを開く.

   2. F5キーを押して、詳細設定にアクセスします。

   3. HIPS] をクリックし、[ルール] の横にある [編集]をクリックします。

      

   ---

2. オプション (I. ～ VII.) をクリックして、以下の各セクションを展開し、追加の HIPS ルールをすべて作成します。

   ---

   
   

   I.スクリプト実行可能ファイルからのプロセスの拒否

   1. HIPS ルールウィンドウで、［追加］をクリックします。

      

   2. ルール名］フィールドに［スクリプト実行可能ファイルからの子プロセスを拒否］と入力します。アクション] ドロップダウン メニューから [ブロック] を選択します。これらの設定を有効にするには、［アプリケーション］、［有効］、および［ユー ザーに通知］の横にあるトグルをクリックします。ログの重要度］ドロップダウンメニューから［警告］を選択し、 ［次へ］をクリックします。

      

   3. ソースアプリケーション]ウィンドウで、[追加]をクリックして以下の名前を入力し、それぞれの後に[OK] →[ 追加] をクリックします：

      • C:⊖WindowsSystem32⊖wscript.exe
      • C:¥Windows¥System32¥cscript.exe
      • C:￤WindowsSysWOW64￤wscript.exe
      • C:¥Windows¥System¥WOW64¥cscript.exe
      • C:¥Windows¥System32¥ntvdm.exe
        
        

      Next をクリックします。

      

   4. Application operations（アプリケーションの操作）ウィンドウで、 Start new application（新しいアプリケーションの開始）の横にあるトグルをクリックして有効にし、Next（次へ）をクリックします。

      

   5. ドロップダウン・メニューから［すべてのアプリケーション］を選択し、［完了］をクリックする。

      

   6. HIPS ルールウィンドウを開いたままにして、次のセクションに進みます。

   ---

   
   

   II.エクスプローラによって開始されるスクリプトプロセスを拒否する

   1. HIPS ルールウィンドウで、［追加］をクリックします。

   2. ルール名］フィールドに［エクスプローラによって開始されるスクリプトプロセ スを拒否］と入力します。

      アクション］ ドロップダウン メニューから［ブロック］を選択します。

      アプリケーション］の横にあるトグルを有効にします。

      ログの重要度］ドロップダウンメニューから［警告］を選択し、 ［次へ］をクリックします。

      

   3. Source applications］ウィンドウで［Add］をクリックし、［Specify file path］フィールドに［C:˶Windowsexplorer.exe］と入力して［OK］ → ［Next］をクリックします。

      

   4. アプリケーションの操作]ウィンドウで、[新しいアプリケーションの開始]の横にあるトグルをクリックして有効にし、[次へ]をクリックします。

      

   5. アプリケーション」ウィンドウで、「追加」をクリックし、以下の名前を入力し、それぞれの後に「OK」 → 「追加 」をクリックします：

      • C:￤WindowsSystem32￤wscript.exe
      • C:￤WindowsSystem32￤cscript.exe
      • C:￤WindowsSysWOW64￤wscript.exe
      • C:￤WindowsSysWOW64￤cscript.exe
        
        

      Finishをクリックする。

      

   6. HIPS ルールウィンドウを開いたままにして、次のセクションに進む。

   ---

   
   

   III.Office 2024 プロセスから子プロセスを拒否する

   1. HIPS ルールウィンドウで、[追加]をクリックする。

   2. ルール名］フィールドに、［Office 2024 プロセスからの子プロセスを拒否］と入力します。アクション] ドロップダウン メニューから[ブロック] を選択します。これらの設定を有効にするには、[アプリケーション]、[有効]、[ユーザーに通知]の横にあるトグルをクリックします。ログの重要度] ドロップダウン メニューから [警告]を選択し、[次へ] をクリックします。

      

   3. Source applications（ソースアプリケーション）ウィンドウで、Add（追加）をクリックして以下の名前を入力し、それぞれの後にOK → Add をクリックします：

      • C:￤Program Files￤Microsoft Office￤Office￤WINWORD.EXE
      • C:￤Program Files￤Microsoft Office￤Office￤OUTLOOK.EXE
      • C:¥Program Files¥Microsoft Office¥root¥Office16¥EXCEL.EXE
      • C:¥Program Files¥Microsoft Office¥root¥Office16¥POWERPNT.EXE
      • C:¥Program Files (x86)¥Microsoft Office¥root¥Office¥WINWORD.EXE
      • C:◆Program Files (x86)◆マイクロソフトオフィス
      • C:¥Program Files (x86)¥Microsoft Office¥rootOffice¥EXCEL.EXE
      • C:¥Program Files (x86)¥Microsoft Office¥POWERPNT.EXE
        
        

      Nextをクリックします。

      

   4. Application operations（アプリケーションの操作）ウィンドウで、Start new application（新しいアプリケーションの開始）の横にあるトグルをクリックして有効にし、Next（次へ）をクリックします。

      

   5. アプリケーション」ウィンドウで、「追加」をクリックし、以下の名前を入力し、それぞれの後に「OK」 →「 追加 」をクリックします：

      • C:¥Windows¥System32¥cmd.exe
      • C:￭WindowsSysWOW64￭cmd.exe
      • C:¥Windows¥System32¥Windowscript.exe
      • C:⊖WindowsSysWOW64⊖wscript.exe
      • C:¥Windows¥System32¥cscript.exe
      • C:\WindowsSysWOW64pcscript.exe
      • C:¥Windows¥System32¥ntvdm.exe
      • C:¥Windows¥System32¥WindowsPowerShell¥v1.0¥powershell.exe
      • C:¥Windows¥SysWOW64¥WindowsPowerShell¥v1.0¥powershell.exe
      • C:¥Windows¥System32¥regsvr32.exe
      • C:¥Windows¥SysWOW64¥regsvr32.exe
      • C:¥Windows¥System32¥rundll32.exe
      • C:￤WindowsSysWOW64￤rundll32.exe
        
        

      Finishをクリックする。

      

   6. 上記と同じ手順を繰り返し、必要に応じてOfficeのバージョンを追加します。

      • 2013 = Office15(C:︓Program Files (x86)︓Microsoft Office︓Office15︓...)
      • 2010 = Office14
        
        

   7. HIPS ルールウィンドウを開いたままにして、次のセクションに進みます。

   ---

   
   

   IV.regsrv32.exe の子プロセスを拒否する

   1. HIPS ルールウィンドウで、［追加］をクリックする。

   2. ルール名フィールドに「Deny child processes for regsrv32.exe」と入力する。

      アクション］ ドロップダウンメニューから、［ブロック］を選択します。

      以下の設定の横にあるトグルをクリックして有効にします：

      • アプリケーション
      • アプリケーション
      • ユーザーへの通知
        
        

      ログの重要度］ドロップダウンメニューから［警告］を選択し、［次へ］をクリックします。

      

   3. Source applications（ソースアプリケーション）ウィンドウで、Add（追加）をクリックし、以下の名前を入力し、それぞれの後にOK→Addを クリックします：

      • C:¥WindowsSystem32¥regsvr32.exe
      • C:¥Windows¥SysWOW64¥regsvr32.exe
        
        

      Nextをクリックします。

      

   4. Application operations（アプリケーションの操作）ウィンドウで、Start new application（新しいアプリケーションの開始）の横にあるトグルをクリックして有効にし、Next（次へ）をクリックします。

      

   5. アプリケーション」ウィンドウで、「追加」をクリックし、以下の名前を入力し、それぞれの後に「OK」 →「 追加 」をクリックします：

      • C:¥Windows¥System32¥cmd.exe
      • C:￭WindowsSysWOW64￭cmd.exe
      • C:¥Windows¥System32¥Windowscript.exe
      • C:⊖WindowsSysWOW64⊖wscript.exe
      • C:¥Windows¥System32¥cscript.exe
      • C:\WindowsSysWOW64pcscript.exe
      • C:¥Windows¥System32¥ntvdm.exe
      • C:¥Windows¥System32¥WindowsPowerShell¥v1.0¥powershell.exe
      • C:¥Windows¥SysWOW64¥WindowsPowerShell¥v1.0¥powershell.exe
        
        

      Finishをクリックする。

      

   6. HIPSルール・ウィンドウを開いたままにして、次のセクションに進む。

   ---

   
   

   V.mshta.exe の子プロセスの拒否

   1. HIPS ルールウィンドウで、［追加］をクリックします。

   2. ルール名フィールドに「Deny child processes for mshta.exe」と入力します。

      アクション] ドロップダウン メニューから [ブロック] を選択します。

      次の設定の横にあるトグルをクリックして有効にします：

      • アプリケーション
      • アプリケーション
      • ユーザーへの通知
        
        

      ログの重要度］ドロップダウンメニューから［警告］を選択し、［次へ］をクリックします。

      

   3. ソースアプリケーション]ウィンドウで、[追加]をクリックし、以下の名前を入力し、それぞれの後に[OK] →[ 追加] をクリックします：

      • C:¥Windows¥System32¥mshta.exe
      • C:￭WindowsSysWOW64￭mshta.exe
        
        

      次へ」をクリックします。

      

   4. Application operations（アプリケーションの操作）ウィンドウで、Start new application（新しいアプリケーションの開始）の横にあるトグルをクリックして有効にし、Next（次へ）をクリックします。

      

   5. ドロップダウンメニューから［すべてのアプリケーション］を選択し、［完了］をクリックします。

   6. HIPSルールウィンドウを開いたままにして、次のセクションに進みます。

   ---

   
   

   VI.rundll32.exe の子プロセスを拒否する

   1. HIPS ルールウィンドウで、［追加］をクリックする。

   2. ルール名フィールドに「Deny child processes for rundll32.exe」と入力します。

      アクション] ドロップダウン メニューから、[ブロック] を選択します。

      次の設定の横にあるトグルをクリックして有効にします：

      • アプリケーション
      • アプリケーション
      • ユーザーへの通知
        
        

      ログの重要度]ドロップダウンメニューから[警告]を選択し、[次へ]をクリックします。

      

   3. Source applications（ソースアプリケーション）ウィンドウで、Add（追加）をクリックし、Specify file path（ファイルパスの指定）フィールドにC:∕Windows∕System32∕rundll32.exe と入力して、OK → Next（次へ）をクリックします。

      

   4. アプリケーションの操作]ウィンドウで、[新しいアプリケーションの開始]の横にあるトグルをクリックして有効にし、[次へ]をクリックします。

      

   5. アプリケーションウィンドウで、追加をクリックし、以下の名前を入力し、それぞれの後にOK→追加を クリックします：

      • C:¥Windows¥System32¥cmd.exe
      • C:￭WindowsSysWOW64￭cmd.exe
      • C:¥Windows¥System32¥Windowscript.exe
      • C:⊖WindowsSysWOW64⊖wscript.exe
      • C:¥Windows¥System32¥cscript.exe
      • C:\WindowsSysWOW64pcscript.exe
      • C:¥Windows¥System32¥ntvdm.exe
      • C:¥Windows¥System32¥WindowsPowerShell¥v1.0¥powershell.exe
      • C:¥Windows¥SysWOW64¥WindowsPowerShell¥v1.0¥powershell.exe
        
        

      Finishをクリックする。

      

   6. HIPSルール・ウィンドウを開いたままにして、次のセクションに進む。

   ---

   
   

   VII.powershell.exeの子プロセスを拒否する。

   1. HIPS ルールウィンドウで、［追加］をクリックする。

   2. ルール名フィールドに「Deny child processes for powershell.exe」と入力します。

      アクション］ ドロップダウンメニューから、［ブロック］を選択します。

      以下の設定の横にあるトグルをクリックして有効にします：

      • アプリケーション
      • アプリケーション
      • ユーザーへの通知
        
        

      ログの重要度（Logging severity）］ドロップダウンメニューから［警告（Warning）］を選択し、［次へ（Next）］をクリックします。

      

   3. ソースアプリケーション]ウィンドウで、[追加]をクリックして以下の名前を入力し、それぞれの後に[OK] →[ 追加] をクリックします：

      • C:¥WindowsSystem32¥WindowsPowerShell¥v1.0¥powershell.exe
      • C:￤WindowsSysWOW64￤WindowsPowerShell￤v1.0￤powershell.exe
        
        

      Nextをクリックします。

      

   4. Application operations（アプリケーションの操作）ウィンドウで、Start new application（新しいアプリケーションの開始）の横にあるトグルをクリックして有効にし、Next（次へ）をクリックします。

      

   5. ドロップダウン メニューから［すべてのアプリケーション］を選択し、［完了］をクリックします。

   ---

3. ポリシーを作成する場合は、HIPS ルールウィンドウで [OK]をクリックし、ポリシー ウィザードを終了します。

   ESET ビジネスアプリケーションを設定する場合は、[OK]→ [OK] をクリックします。

ESET PROTECT または ESET PROTECT On-Prem ポリシーのダウンロードとインポート

ランサムウェア マルウェア（filecoder）から保護するための追加 HIPS 設定を備えた ESET ビジネス アプリケーション用の ESET PROTECT または ESET PROTECT On-Prem ポリシーは、以下のリンクからダウンロードできます。ポリシーはESETアプリケーションの最新バージョンでのみ利用可能です。それ以前のバージョンとの互換性は保証できません。

1. 追加HIPS保護ESET PROTECTまたはESET PROTECT On-Premポリシーをダウンロードしてください：

   • ESETエンドポイントセキュリティ/ESETエンドポイントアンチウイルス for Windows
   • ESET サーバーセキュリティ（Microsoft Windows Server
   • ESETメールセキュリティ（Microsoft Exchange Server用

2. #プレースホルダ id='1499' language='1'##

3. ポリシーのインポートウィンドウを開きます：

   ---

   ESET PROTECT

   
   

   設定→詳細設定→アクション→インポート をクリックします。

   

   ---

   ESET PROTECT オンプレム

   
   

   ポリシー→アクション→インポート をクリックします。

   

   ---

4. アップロードするファイルを選択] をクリックし、ダウンロードしたポリシーを選択して [インポート] をクリックします。

   

5. ポリシーをクライアントに割り当てるか、ポリシーをグループに割り当てます。