Click an image to open the ESET Knowledgebase article for anti-ransomware best practices and additional product configurations:
詳細
クリックして拡大
ESET のデフォルト設定では、ドロッパー付きの悪意のあるコードが実行された場合、ESET Endpoint Security は統合された ESET Firewall でマルウェアのダウンロードを阻止します。ESET Endpoint SecurityでWindowsシステム上のランサムウェアマルウェアをさらに防ぐには、最新のESET Endpoint Securityで以下のルールを作成するか、ESET PROTECTポリシーを作成して適用します。
対策
本番システムで設定を調整しない
以下の設定は追加設定であり、セキュリティ環境に必要な具体的な設定は異なる場合があります。本番環境で使用する前に、テスト環境で各実装の設定をテストすることをお勧めします。
手動で ESET PROTECT ポリシーを作成する/ESET Endpoint Security で設定を構成する
- #ESET PROTECT または ESET PROTECT Cloud Web コンソールを開く' target='_self'#@#.クイックリンク]ドロップダウンメニューで、[新しいポリシーを作成...] をクリックします。
リモート管理のないESET Endpoint Securityを使用している場合は、ESETのWindows製品のメインプログラムウィンドウを開くし、F5キーを押して詳細設定にアクセスします。ステップ3に進みます。
- 設定 ] をクリックし、[製品の選択...] ドロップダウン メニューで [ESET Endpoint for Windows] を選択します。ステップ 4 に進みます。
図 1-1
クリックすると新しいウィンドウで拡大表示されます。 - Network Protection(ネットワーク保護 )] → [Network attack protection(ネットワーク攻撃保護 )] をクリックし、[Enable Botnet protection(ボットネット保護を有効にする)] が有効になっていることを確認します。
図1-2 - Network Protection」をクリックし、「
Advanced」を展開し、「Rules」の横にある「Edit」をクリックします。
図 1-3
クリックすると新しいウィンドウで拡大表示されます。 - ファイアウォールルールウィンドウで、「Add」をクリックする。
図1-4 - Name (名前 )」フィールドに、「Deny network connections for cmd.exe (native)」と入力します。
このルールには以下の設定を使用します:
- Direction] ドロップダウン メニューから、[Both] を選択します。
- アクション ] ドロップダウン メニューで [拒否] を選択します。
- プロトコル ] ドロップダウン メニューから [すべて] を選択します。
- プロファイル ] ドロップダウン メニューから、[任意のプロファイル] を選択します。
図 1-5 - Local」タブをクリックし、「Application」フィールドに「
C:」と
入力する。
図1-6 - OK」→「Add」をクリックし、ステップ6~7を繰り返して以下のルールリストを作成する:
- 名前cmd.exe(SysWOW64)のネットワーク接続を拒否する。
アプリケーション:アプリケーション:C:¥Windows¥SysWOW64¥cmd.exe - 名前wscript.exe (native)のネットワーク接続を拒否する
アプリケーションアプリケーション:C:¥Windows¥System32¥wscript.exe - 名前:Deny network connections for wscript.exewscript.exe (SysWOW64)のネットワーク接続を拒否します。
アプリケーションです:C:¥Windows¥SysWOW64¥wscript.exe - 名前:Deny network connections for cscript.execscript.exe (native)のネットワーク接続を拒否する
アプリケーションC:¥Windows¥System32¥cscript.exe - 名前:Deny network connections for cscript.execscript.exe (SysWOW64)のネットワーク接続を拒否します。
アプリケーションC:¥Windows¥SysWOW64¥cscript.exe - 名前:Deny network connections for powershell.exepowershell.exe (native)のネットワーク接続を拒否します。
アプリケーションC:¥Windows¥System32¥WindowsPowerShell¥v1.0¥powershell.exe - 名前Deny network connections for powershell.exe (SysWOW64)
アプリケーションです:C:¦WindowsSysWOW64¦WindowsPowerShell¦v1.0¦powershell.exe - 名前Deny network connections for ntvdm.exe
アプリケーションです:アプリケーション: ntvdm.exe - 名前:Deny network connections for regsvv.exeregsvr.exe (ネイティブ)のネットワーク接続を拒否する
アプリケーションアプリケーション: C:¦Windows¦System32¦regsvr.exe - 名前:Deny network connections for regsvr.exeネットワーク接続拒否 for regsvr.exe (SysWOW64)
アプリケーションです:C:¥Windows¥SysWOW64¥regsvr.exe - 名前:Deny network connections for rundll:rundll32.exe (native)のネットワーク接続を拒否する
アプリケーションアプリケーション: C:¥Windows¥System32¥rundll32.exe - 名前:Deny network connections for rundll32.exeRundll32.exe (SysWOW64)のネットワーク接続を拒否します。
アプリケーションです:アプリケーション:C:¦Windows¦SysWOW64¦rundll32.exe
- ファイアウォールのルール ]ウィンドウで、すべてのルールを追加したら[OK]をクリックします。ポリシーをクライアントまたはグループに割り当てる場合は[割り当て ]をクリックし、そうでない場合は[新しいポリシー - 設定]画面で[完了 ]をクリックします。割り当てられた場合、ESET PROTECT にチェックインすると、対象のグループまたはクライアントコンピュータにポリシー設定が適用されます。
リモート管理のない ESET Endpoint Security を使用している場合は、すべてのル ールを追加した後、OK→OKをクリックします。
図 1-7
クリックすると新しいウィンドウで拡大表示されます。
ESET PROTECT ポリシーのダウンロードとインポート
ランサムウェアマルウェア(filecoder)から保護するためのファイアウォール設定を追加した ESET Endpoint Security 用の ESET PROTECT Policy は、以下のリンクからダウンロードしてインポートすることができます。ESET PROTECT ポリシーは、ESET 製品の最新バージョンでのみ使用できます。それ以前のバージョンとの互換性は保証できません。
追加のランサムウェア対策 ESET PROTECT ポリシーをダウンロードする。
ESETプロテクトまたはESETプロテクトクラウドのWebコンソールを開く.ESET PROTECT Web Console のメインメニューで、[Policies] をクリックします。
- Actions→ Import をクリックします。
図 2-1
クリックすると新しいウィンドウで拡大表示されます
- Choose file to upload] をクリックし、ダウンロードしたポリシーを選択し、[Import] をクリックします。
図2-2 - ポリシーをクライアントに割り当てるか、ポリシーをグループに割り当てます。ポリシー設定は、ESET PROTECT にチェックインすると、対象のグループまたはクライアントコンピュータに適用されます。