[KB6132] ランサムウェアから保護するためのESET Endpoint Securityのファイアウォールルールの設定 (9.x - 10.x)

注意事項

このページはコンピュータによって翻訳されています。このページの「言語」の「英語」をクリックすると、原文が表示されます。ご不明な点がございましたら、お近くのサポートまでお問い合わせください。

問題

Click an image to open the ESET Knowledgebase article for anti-ransomware best practices and additional product configurations:

詳細


クリックして拡大


ESET のデフォルト設定では、ドロッパー付きの悪意のあるコードが実行された場合、ESET Endpoint Security は統合された ESET Firewall でマルウェアのダウンロードを阻止します。ESET Endpoint SecurityでWindowsシステム上のランサムウェアマルウェアをさらに防ぐには、最新のESET Endpoint Securityで以下のルールを作成するか、ESET PROTECTポリシーを作成して適用します。


対策

本番システムで設定を調整しない

以下の設定は追加設定であり、セキュリティ環境に必要な具体的な設定は異なる場合があります。本番環境で使用する前に、テスト環境で各実装の設定をテストすることをお勧めします。

手動で ESET PROTECT ポリシーを作成する/ESET Endpoint Security で設定を構成する

  1. #ESET PROTECT または ESET PROTECT Cloud Web コンソールを開く' target='_self'#@#.クイックリンク]ドロップダウンメニューで、[新しいポリシーを作成...] をクリックします。

    リモート管理のないESET Endpoint Securityを使用している場合は、ESETのWindows製品のメインプログラムウィンドウを開くし、F5キーを押して詳細設定にアクセスします。ステップ3に進みます。
  2. 設定 ] をクリックし、[製品の選択...] ドロップダウン メニューで [ESET Endpoint for Windows] を選択します。ステップ 4 に進みます。
図 1-1
クリックすると新しいウィンドウで拡大表示
されます。
  1. Network Protection(ネットワーク保護 )] → [Network attack protection(ネットワーク攻撃保護 )] をクリックし、[Enable Botnet protection(ボットネット保護を有効にする)] が有効になっていることを確認します。
図1
-2
  1. Network Protection」をクリックし、「 Advanced」を展開し、「Rules」の横にある「Edit」をクリックします。
図 1-3
クリックすると新しい
ウィンドウで拡大表示されます。
  1. ファイアウォールルールウィンドウで、「Add」をクリックする。
1-4
  1. Name (名前 )」フィールドに、「Deny network connections for cmd.exe (native)」と入力します

    このルールには以下の設定を使用します:
    • Direction] ドロップダウン メニューから、[Both] を選択します。
    • アクション ] ドロップダウン メニューで [拒否] を選択します。
    • プロトコル ] ドロップダウン メニューから [すべて] を選択します。
    • プロファイル ] ドロップダウン メニューから、[任意のプロファイル] を選択します。
図 1-5
  1. Local」タブをクリックし、「Application」フィールドに「C:」と入力する
1-6
  1. OK」→「Add」をクリックし、ステップ6~7を繰り返して以下のルールリストを作成する:
  • 名前cmd.exe(SysWOW64)のネットワーク接続を拒否する。
    アプリケーション:アプリケーション:C:¥Windows¥SysWOW64¥cmd.exe
  • 名前wscript.exe (native)のネットワーク接続を拒否する
    アプリケーションアプリケーション:C:¥Windows¥System32¥wscript.exe
  • 名前:Deny network connections for wscript.exewscript.exe (SysWOW64)のネットワーク接続を拒否します。
    アプリケーションです:C:¥Windows¥SysWOW64¥wscript.exe
  • 名前:Deny network connections for cscript.execscript.exe (native)のネットワーク接続を拒否する
    アプリケーションC:¥Windows¥System32¥cscript.exe
  • 名前:Deny network connections for cscript.execscript.exe (SysWOW64)のネットワーク接続を拒否します。
    アプリケーションC:¥Windows¥SysWOW64¥cscript.exe
  • 名前:Deny network connections for powershell.exepowershell.exe (native)のネットワーク接続を拒否します。
    アプリケーションC:¥Windows¥System32¥WindowsPowerShell¥v1.0¥powershell.exe
  • 名前Deny network connections for powershell.exe (SysWOW64)
    アプリケーションです:C:¦WindowsSysWOW64¦WindowsPowerShell¦v1.0¦powershell.exe
  • 名前Deny network connections for ntvdm.exe
    アプリケーションです:アプリケーション: ntvdm.exe
  • 名前:Deny network connections for regsvv.exeregsvr.exe (ネイティブ)のネットワーク接続を拒否する
    アプリケーションアプリケーション: C:¦Windows¦System32¦regsvr.exe
  • 名前:Deny network connections for regsvr.exeネットワーク接続拒否 for regsvr.exe (SysWOW64)
    アプリケーションです:C:¥Windows¥SysWOW64¥regsvr.exe
  • 名前:Deny network connections for rundll:rundll32.exe (native)のネットワーク接続を拒否する
    アプリケーションアプリケーション: C:¥Windows¥System32¥rundll32.exe
  • 名前:Deny network connections for rundll32.exeRundll32.exe (SysWOW64)のネットワーク接続を拒否します。
    アプリケーションです:アプリケーション:C:¦Windows¦SysWOW64¦rundll32.exe
  1. ファイアウォールのルール ]ウィンドウで、すべてのルールを追加したら[OK]をクリックします。ポリシーをクライアントまたはグループに割り当てる場合は[割り当て ]をクリックし、そうでない場合は[新しいポリシー - 設定]画面で[完了 ]をクリックします。割り当てられた場合、ESET PROTECT にチェックインすると、対象のグループまたはクライアントコンピュータにポリシー設定が適用されます。

    リモート管理のない ESET Endpoint Security を使用している場合は、すべてのル ールを追加した後、OKOKをクリックします。
図 1-7
クリックすると新しいウィンドウで拡大表示
されます。

ESET PROTECT ポリシーのダウンロードとインポート

ランサムウェアマルウェア(filecoder)から保護するためのファイアウォール設定を追加した ESET Endpoint Security 用の ESET PROTECT Policy は、以下のリンクからダウンロードしてインポートすることができます。ESET PROTECT ポリシーは、ESET 製品の最新バージョンでのみ使用できます。それ以前のバージョンとの互換性は保証できません。

  1. 追加のランサムウェア対策 ESET PROTECT ポリシーをダウンロードする。

  2. ESETプロテクトまたはESETプロテクトクラウドのWebコンソールを開く.ESET PROTECT Web Console のメインメニューで、[Policies] をクリックします。

  3. ActionsImport をクリックします。
図 2-1
クリックすると新しいウィンドウで拡大表示
されます

  1. Choose file to upload] をクリックし、ダウンロードしたポリシーを選択し、[Import] をクリックします。
2-2
  1. ポリシーをクライアントに割り当てるか、ポリシーをグループに割り当てます。ポリシー設定は、ESET PROTECT にチェックインすると、対象のグループまたはクライアントコンピュータに適用されます。