[KB6119] HIPS-regels configureren in ESET bedrijfsapplicaties of via ESET PROTECT of ESET PRTOECT On-Prem

OPMERKING:

Deze pagina is vertaald door een computer. Klik op English onder Languages op deze pagina om de originele tekst weer te geven. Als u iets onduidelijk vindt, neem dan contact op met uw lokale support.

Uitgave

Configureer extra HIPS regels in de volgende ESET zakelijke toepassingen voor Windows of maak een beleid in ESET PROTECT of ESET PROTECT On-Prem met extra HIPS instellingen om te beschermen tegen ransomware malware (filecoder)
- ESET Eindpunt Beveiliging voor Windows
- ESET Antivirus voor Windows
- ESET Mail Beveiliging voor Microsoft Exchange Server
- ESET Server Beveiliging voor Microsoft Windows Server
Maak handmatig een ESET PROTECT of ESET PROTECT On-Prem beleid aan / configureer de instellingen in ESET bedrijfsapplicaties
ESET PROTECT of ESET PROTECT On-Prem Policy downloaden en importeren

Details

Klik om uit te breiden

ESET's Host-based Intrusion Prevention System (HIPS) is opgenomen in ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security voor Microsoft Exchange Server en ESET Server Security voor Microsoft Windows Server. HIPS controleert systeemactiviteit en gebruikt een vooraf gedefinieerde set regels om verdacht systeemgedrag te herkennen.

Wanneer dit type activiteit wordt geïdentificeerd, stopt het HIPS zelfverdedigingsmechanisme het beledigende programma of proces om een potentieel schadelijke activiteit uit te voeren. Door de standaard uitvoering van JavaScript en andere scripts te verbieden, kan ransomware niet worden gedownload of uitgevoerd. Om verder te helpen bij het voorkomen van ransomware-malware op uw Windows-systemen, maakt u de volgende regels in de nieuwste ESET zakelijke toepassingen met HIPS, of creëert en past u een ESET PROTECT of ESET PROTECT On-Prem Policy toe.

Oplossing

Pas geen instellingen aan op productiesystemen

De volgende instellingen zijn aanvullende configuraties en de specifieke instellingen die nodig zijn voor uw beveiligingsomgeving kunnen variëren. We raden u aan om de instellingen voor elke implementatie in een testomgeving te testen voordat u ze in een productieomgeving gebruikt.

Maak handmatig een ESET PROTECT of ESET PROTECT On-Prem beleid / configureer de instellingen in ESET bedrijfsapplicaties

Open de HIPS rules editor in de policy wizard of ESET applicatie configuratie:
ESET PROTECT of ESET PROTECT On-Prem beleid
1. Open the ESET PROTECT Web Console.
2. Een beleid aanmaken in ESET PROTECT of ESET PROTECT On-Prem.
3. Selecteer in het gedeelte Instellingen ESET Endpoint for Windows in het vervolgkeuzemenu. Klik op HIPS en klik op Bewerken naast Regels.
ESET toepassing
1. Open het hoofdprogrammavenster van uw ESET Windows endpointtoepassing.
2. Druk op de F5-toets om naar Geavanceerde instellingen te gaan.
3. Klik op HIPS en klik op Bewerken naast Regels.
Klik op de optie (I. tot VII.) om elke sectie hieronder uit te breiden om alle extra HIPS regels aan te maken.
I. Processen van scriptuitvoerbare bestanden weigeren
1. Klik in het venster HIPS-regels op Toevoegen.
2. Typ Kindprocessen van scriptuitvoerbare bestanden weigeren in het veld Regelnaam. Selecteer Blokkeren in het vervolgkeuzemenu Actie . Klik op het schakelaartje naast Toepassingen, Ingeschakeld en Gebruiker op de hoogte stellen om deze instellingen in te schakelen. Selecteer in het vervolgkeuzemenu Logging severity (Ernst loggen) de optie Warning (Waarschuwing) en klik op Next (Volgende).
3. Klik in het venster Bronapplicaties op Toevoegen en typ de volgende namen in. Klik na elke naam op OK → Toevoegen :
  - C:\Windows\System32\wscript.exe
  - C:\WindowsSystem32\cscript.exe
  - C:\WindowsSysWOW64\wscript.exe
  - C:\WindowsSysWOW64\cscript.exe
  - C:\WindowsSystem32\ntvdm.exe
  Klik op Volgende.
4. Klik in het venster Toepassingsbewerkingen op het schakelaartje naast Nieuwe toepassing starten om deze in te schakelen en klik op Volgende.
5. Selecteer Alle toepassingen in het vervolgkeuzemenu en klik op Voltooien.
6. Laat het venster met HIPS-regels open en ga verder met de volgende sectie.
II. Scriptprocessen weigeren die zijn gestart door de verkenner
1. Klik in het venster HIPS-regels op Toevoegen.
2. Typ Scriptprocessen gestart door verkenner weigeren in het veld Regelnaam.
  
  Selecteer Blokkeren in het vervolgkeuzemenu Actie .
  
  Schakel het schakelvlak naast Toepassingen in.
  
  Selecteer Waarschuwing in het vervolgkeuzemenu Ernst logging en klik op Volgende.
3. Klik in het venster Brontoepassingen op Toevoegen, typ C:\Windows\explorer.exe in het veld Bestandspad opgeven en klik op OK → Volgende.
4. Klik in het venster Toepassingen op het schakelaartje naast Nieuwe toepassing starten om deze in te schakelen en klik op Volgende.
5. Klik in het venster Toepassingen op Toevoegen en typ de volgende namen in. Klik na elke naam op OK → Toevoegen :
  - C:\Windows\System32wscript.exe
  - C:\WindowsSystem32\cscript.exe
  - C:\WindowsSysWOW64\wscript.exe
  - C:\WindowsSysWOW64\cscript.exe
  Klik op Voltooien.
6. Laat het venster met HIPS-regels open en ga verder met de volgende sectie.
III. Kindprocessen van Office 2024-processen weigeren
1. Klik in het venster HIPS-regels op Toevoegen.
2. Typ Kindprocessen van Office 2024-processen weigeren in het veld Regelnaam. Selecteer Blokkeren in het vervolgkeuzemenu Actie . Klik op het schakelaartje naast Toepassingen, Ingeschakeld en Gebruiker op de hoogte stellen om deze instellingen in te schakelen. Selecteer in het vervolgkeuzemenu Logging severity (Ernst loggen) de optie Warning (Waarschuwing) en klik op Next (Volgende).
3. Klik in het venster Bronapplicaties op Toevoegen en typ de volgende namen in. Klik na elke naam op OK → Toevoegen :
  - C:\Program Files\Microsoft Office16WINWORD.EXE
  - C:\Program Files\Microsoft Office16OUTLOOK.EXE
  - C:icrosoft Office16EXCEL.EXE
  - C:icrosoft Office16POWERPNT.EXE
  - C:icrosoft Office 16WINWORD.EXE
  - C:\Program Files (x86)\Microsoft Office16OUTLOOK.EXE
  - C:\Program Files (x86)\Microsoft Office16EXCEL.EXE
  - C:\Program Files (x86)\Microsoft Office16POWERPNT.EXE
  Klik op Volgende.
4. Klik in het venster Toepassingen op het schakelaartje naast Nieuwe toepassing starten om deze in te schakelen en klik op Volgende.
5. Klik in het venster Toepassingen op Toevoegen en typ de volgende namen in. Klik na elke naam op OK → Toevoegen :
  - C:\Windows_systeem32}cmd.exe
  - C:\WindowsSysWOW64.exe
  - C:\WindowsSystem32\wscript.exe
  - C:\WindowsSysWOW64\wscript.exe
  - C:\WindowsSystem32\cscript.exe
  - C:\WindowsSysWOW64\cscript.exe
  - C:\WindowsSystem32\ntvdm.exe
  - C:__WindowsSystem32WindowsPowerShellv1.0}powershell.exe
  - C:\WindowsSysWOW64WindowsPowerShellv1.0\powershell.exe
  - C:\WindowsSysWOW64WindowsPowerShellv1.0.exe
  - C:\WindowsSysWOW64\regsvr32.exe
  - C:\WindowsSystem32\rundll32.exe
  - C:\WindowsSysWOW64\rundll32.exe
  Klik op Voltooien.
6. Voeg indien nodig extra Office-versies toe en herhaal dezelfde instructies als hierboven.
  - 2013 = Office15(C:\Program Files (x86)\Microsoft Office\Office15...)
  - 2010 = Office14
7. Laat het venster met de HIPS-regels open en ga verder met de volgende sectie.
IV. Kindprocessen voor regsrv32.exe weigeren
1. Klik in het venster HIPS-regels op Toevoegen.
2. Typ Kindprocessen voor regsrv32.exe weigeren in het veld Regelnaam.
  
  Selecteer Blokkeren in het vervolgkeuzemenu Actie .
  
  Klik op het schakelaartje naast de volgende instellingen om ze in te schakelen:
  - Toepassingen
  - Ingeschakeld
  - Gebruiker waarschuwen
  Selecteer in de vervolgkeuzelijst Logging severity (Ernst loggen ) de optie Warning (Waarschuwing) en klik op Next (Volgende).
3. Klik in het venster Bronapplicaties op Toevoegen en typ de volgende namen in. Klik na elke naam op OK → Toevoegen :
  - C:\Windows\System32\regsvr32.exe
  - C:\WindowsSysWOW64\regsvr32.exe
  Klik op Volgende.
4. Klik in het venster Toepassingen op het schakelaartje naast Nieuwe toepassing starten om deze in te schakelen en klik op Volgende.
5. Klik in het venster Toepassingen op Toevoegen en typ de volgende namen in. Klik na elke naam op OK → Toevoegen :
  - C:\Windows_systeem32}cmd.exe
  - C:\WindowsSysWOW64.exe
  - C:\WindowsSystem32\wscript.exe
  - C:\WindowsSysWOW64\wscript.exe
  - C:\WindowsSystem32\cscript.exe
  - C:\WindowsSysWOW64\cscript.exe
  - C:\WindowsSystem32\ntvdm.exe
  - C:__WindowsSystem32WindowsPowerShellv1.0}powershell.exe
  - C:\WindowsSysWOW64WindowsPowerShellv1.0\powershell.exe
  Klik op Voltooien.
6. Laat het venster met HIPS-regels open en ga verder met de volgende sectie.
V. Kindprocessen voor mshta.exe weigeren
1. Klik in het venster HIPS-regels op Toevoegen.
2. Typ Kindprocessen voor mshta.exe weigeren in het veld Regelnaam.
  
  Selecteer Blokkeren in het vervolgkeuzemenu Actie .
  
  Klik op het schakelaartje naast de volgende instellingen om ze in te schakelen:
  - Toepassingen
  - Ingeschakeld
  - Gebruiker waarschuwen
  Selecteer in de vervolgkeuzelijst Logging severity (Ernst loggen ) de optie Warning (Waarschuwing) en klik op Next (Volgende).
3. Klik in het venster Brontoepassingen op Toevoegen en typ de volgende namen in. Klik na elke naam op OK → Toevoegen :
  - C:\Windows\System32\mshta.exe
  - C:\WindowsSysWOW64.exe
  Klik op Volgende.
4. Klik in het venster Toepassingsbewerkingen op het schakelaartje naast Nieuwe toepassing starten om deze in te schakelen en klik op Volgende.
5. Selecteer Alle toepassingen in het vervolgkeuzemenu en klik op Voltooien.
6. Laat het venster met HIPS-regels open en ga verder met de volgende sectie.
VI. Kindprocessen voor rundll32.exe weigeren
1. Klik in het venster HIPS-regels op Toevoegen.
2. Typ Kindprocessen voor rundll32.exe weigeren in het veld Regelnaam.
  
  Selecteer Blokkeren in het vervolgkeuzemenu Actie .
  
  Klik op het schakelaartje naast de volgende instellingen om ze in te schakelen:
  - Toepassingen
  - Ingeschakeld
  - Gebruiker waarschuwen
  Selecteer Waarschuwing in het vervolgkeuzemenu Ernst logging en klik op Volgende.
3. Klik in het venster Brontoepassingen op Toevoegen, typ C:\Windows\System32\rundll32.exe in het veld Bestandspad opgeven en klik op OK → Volgende.
4. Klik in het venster Toepassingen op het schakelaartje naast Nieuwe toepassing starten om deze in te schakelen en klik op Volgende.
5. Klik in het venster Toepassingen op Toevoegen en typ de volgende namen in. Klik na elke naam op OK → Toevoegen :
  - C:\Windows_systeem32}cmd.exe
  - C:\WindowsSysWOW64.exe
  - C:\WindowsSystem32\wscript.exe
  - C:\WindowsSysWOW64\wscript.exe
  - C:\WindowsSystem32\cscript.exe
  - C:\WindowsSysWOW64\cscript.exe
  - C:\WindowsSystem32\ntvdm.exe
  - C:__WindowsSystem32WindowsPowerShellv1.0}powershell.exe
  - C:\WindowsSysWOW64WindowsPowerShellv1.0\powershell.exe
  Klik op Voltooien.
6. Laat het venster met HIPS-regels open en ga verder met de volgende sectie.
VII. Kindprocessen voor powershell.exe weigeren
1. Klik in het venster HIPS-regels op Toevoegen.
2. Typ Kindprocessen voor powershell.exe weigeren in het veld Regelnaam.
  
  Selecteer Blokkeren in het vervolgkeuzemenu Actie .
  
  Klik op het schakelaartje naast de volgende instellingen om ze in te schakelen:
  - Toepassingen
  - Ingeschakeld
  - Gebruiker waarschuwen
  Selecteer in de vervolgkeuzelijst Logging severity (Ernst loggen ) de optie Warning (Waarschuwing) en klik op Next (Volgende).
3. Klik in het venster Bronapplicaties op Toevoegen en typ de volgende namen in. Klik na elke naam op OK → Toevoegen :
  - C:\Windows\System32{WindowsPowerShell}v1.0}powershell.exe
  - C:\WindowsSystem32WindowsPowerShellv1.0. exe
  Klik op Volgende.
4. Klik in het venster Toepassingsbewerkingen op het schakelaartje naast Nieuwe toepassing starten om deze in te schakelen en klik op Volgende.
5. Selecteer Alle toepassingen in het vervolgkeuzemenu en klik op Voltooien.
Als u een beleid aan het maken bent, klikt u in het venster HIPS-regels op OK en voltooit u de beleidswizard.

Als u een ESET-bedrijfstoepassing configureert, klikt u op OK → OK.

Het ESET PROTECT of ESET PROTECT On-Prem beleid downloaden en importeren

Het ESET PROTECT of ESET PROTECT On-Prem beleid voor ESET zakelijke toepassingen met extra HIPS-instellingen om te beschermen tegen ransomware-malware (filecoder) kan worden gedownload via de onderstaande links. Policies zijn alleen beschikbaar voor de nieuwste versie van ESET applicaties. Compatibiliteit met eerdere versies kan niet worden gegarandeerd.

Download het Beleid Extra HIPS-bescherming ESET PROTECT of ESET PROTECT On-Prem voor:
Open the ESET PROTECT Web Console.
Open venster voor het importeren van beleidsregels:

ESET PROTECT

Klik op Configuratie → Geavanceerde instellingen → Acties → Importeren.

ESET PROTECT On-Prem

Klik op Beleid → Acties → Importeren.
Klik op Bestand kiezen om te uploaden, selecteer het gedownloade beleid en klik op Importeren.
Wijs het beleid toe aan een client of wijs het beleid toe aan een groep.

Laatst bijgewerkt: 27 apr. 2026

[KB6119] HIPS-regels configureren in ESET bedrijfsapplicaties of via ESET PROTECT of ESET PRTOECT On-Prem

OPMERKING:

Uitgave

Details

Oplossing

Pas geen instellingen aan op productiesystemen

Maak handmatig een ESET PROTECT of ESET PROTECT On-Prem beleid / configureer de instellingen in ESET bedrijfsapplicaties

Het ESET PROTECT of ESET PROTECT On-Prem beleid downloaden en importeren

Meer artikelen:

Documentatie

ESET Security Forum

Kennisbank video's

Bestaande klant?