Knowledgebase business article search

ESET Mail Security beállítása a ransomware típusú kártevők ellen

Probléma

  • Módosítsa az ESET Remote Administrator (6.3 és újabb) Antispam policy beállítását, hogy az ESET Mail Security for Microsoft Exchange Server program a Filecoder (ransomware) típusú kártevőkkel szemben a leghatékonyabb védelmet biztosítsa

A ransomware típusú kártevőkkel szemben javasolt beállításokat, illetve további segítséget a következő tudásbázis bejegyzésünkben talál:

A leghatékonyabb védekezés a Filecoder (ransomware) típusú kártevőkkel szemben.

Részletek

A megfelelő levélszemétszűrő szabályok használatával a beérkező üzenetek már a szerveren átvizsgálásra kerülnek. Ezzel elérhető, hogy a kártékony dropper program ne jusson el a felhasználói postafiókokba, így a zsaroló kártevő nem lesz képes lefutni a végponton.

Megoldás

A Microsoft Exchange server ransomware típusú kártevőkkel szembeni magasabb szintű védelméhez készítse el a következő policy-t az ESET Remote Administrator (6.3 vagy újabb) programban:

Videó segédlet

Ne változtassa meg a policy-t éles környezetben

Az alábbi beállítások csupán a javasolt beállítások, amelyek bizonyos környezetben eltérőek lehetnek. Javasoljuk a beállítások leellenőrzését egy tesztkörnyezetben, mielőtt az éles rendszeren alkalmazná azokat.

  1. Kattintson az Admin Policies menüpontra, válassza ki a szerverre/szerverekre érvényes policy-t, majd kattintson a Policies Edit feliratra.

    Vagy készíthet egy új policy-t is az ESET Remote Administrator (6.x) segítségével.
     
  2. Bontsa ki a Settings ágat, majd kattintson a  Server → Rules menüpontra.
     
  3. A Mail Transport Protection részen kattintson a Rules mellett található Edit feliratra.

Kattintson a nagyobb képért 

  1. Nyomja meg az Add gombot a szabály létrehozásához, amely a gyakori, ransomware terjesztésre használatos droppereket, letöltő programokat karanténba fogja helyezni.

 

  1. Adjon a szabálynak egy tetszőleges új nevet, például “Ransomware droppers”.
     
  2. A Condition type részen kattintson az Add gombra.

.

Kattintson a nagyobb képért 

  1. A Type nevű legördülő menüben válassza az Attachment name lehetőséget, majd kattintson az Add gombra. 

Kattintson a nagyobb képért 

  1. Kattintson az Enter multiple values feliratra, majd adja meg a következő fájlneveket Enter billentyűkkel elválasztva, soronként egy elemet:
    • *.js
    • *.hta
    • *.doc
    • *.docm
    • *.xls
    • *.xlsm
    • *.ppt
    • *.pptm
    • *.vbs
    • *.bat
    • *.wsf
    • *.7z
    • *.zip
    • *.rar

Figure 1-5

  1. Kattintson az OK gombra mindkét ablakban.
     
  2. Kattintson az Add gombra Action type részen, majd válassza ki a kívánt akciót. A példában a Quarantine message a kiválasztott akció.

    A következő opcionális akciókat adhatja még hozzá:

    Delete attachment, Quarantine attachment, Replace attachment with action information, Delete message, Send email notification, Evaluate other rules és Log to event.

  3. Kattintson az OK gombra. 

 

  1. Jelölje be a jelölőnégyzetet a Dangerous executable file attachments sor előtt, majd kattintson az Edit gombra.

 

  1. Kattintson a Condition type felirat alatti elemre, majd az Edit gombra.

    Az alább látható futtatható fájl csatolmányok kerülnek feldolgozásra. Ha a hálózati környezet megkívánja ezen típusok bármelyikét, akkor módosíthatja, hogy milyen fájlformátumok legyenek blokkolva. Több helyen például kiveszik a jelölést a .exe és .msi fájltípusok elől. 

    ESET Mail Security version 6.2.10012 és korábbiak esetén

    Ha az ESET Mail Security egy korábbi verzióját használja (6.3 előtti), akkor az "Executable" szabály bejelölése az összes Microsoft Office dokumentumot blokkolni fogja.

    • Windows Executable (*.exe, *.dll,* .sys*, *.drv; *.ocx, *.scr)
    • MS-DOS Executable (*.exe)
    • ELF Executable and Linkable format (for example, Linux) (*.elf)
    • Adobe Flash (*.swf)
    • Java Class Bytecode (*.class)
    • Windows Installer Package (*.msi)
    • Apple OS X Universal binary executable
    • Apple OS X Mach-O binary executable
    • Android executable (*.dex)

 

  1. Kattintson a plusz ikonra  az Executable files sor előtt, majd jelölje be az összes olyan fájltípus előtti jelölőnégyzetet, amelyet engedélyezni szeretne az adott rendszerkörnyezetében (A jelölőnégyzet bejelölése megakadályozza az adott elem törlését), majd kattintson az OK gombra mindkét ablakban.

 

  1. A Rules ablakban kattintson a Save gombra. 
     
  2. Amennyiben új policy-t hozott létre, akkor nyissa le az Assign részt, majd rendelje hozzá a kívánt csoporthoz. Egyébként pedig kattintson a Finish gombra az Edit/New Policy – Settings képernyőn. 


A policy beállítás akkor fog érvénybe lépni a hozzárendelt csoporton vagy számítógépen, amikor az a következő alkalommal bejelentkezik az ESET Remote Administrator programba.

 

Az alábbiakban látható, ahogy a "Ransomware-ek elleni policy" kiszűr egy kártevőt, illetve az ehhez kapcsolódó mail quarantine riport

 

 



Was this information helpful?