[KB6119] Konfigurer HIPS-regler i ESETs forretningsapplikasjoner eller via ESET PROTECT eller ESET PRTOECT On-Prem

MERK:

Denne siden er oversatt av en datamaskin. Klikk på engelsk under Språk på denne siden for å se originalteksten. Hvis noe er uklart, kan du kontakte din lokale kundestøtte.

Problemstilling

Konfigurer flere HIPS-regler i følgende ESET-virksomhetsapplikasjoner for Windows, eller opprett en policy i ESET PROTECT eller ESET PROTECT On-Prem med flere HIPS-innstillinger for å beskytte mot løsepengevirus (filecoder)
- ESET Endpoint Security for Windows
- ESET Endpoint Antivirus for Windows
- ESET Mail Security for Microsoft Exchange Server
- ESET Server Security for Microsoft Windows Server
Opprett en ESET PROTECT- eller ESET PROTECT On-Prem-policy manuelt / konfigurer innstillingene i ESET-virksomhetsapplikasjoner
Last ned og importer ESET PROTECT- eller ESET PROTECT On-Prem-policyen

Detaljer

Klikk for å utvide

ESETs Host-based Intrusion Prevention System (HIPS) er inkludert i ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security for Microsoft Exchange Server og ESET Server Security for Microsoft Windows Server. HIPS overvåker systemaktivitet og bruker et forhåndsdefinert sett med regler for å gjenkjenne mistenkelig systematferd.

Når denne typen aktivitet identifiseres, stopper HIPS' selvforsvarsmekanisme det aktuelle programmet eller prosessen fra å utføre en potensielt skadelig aktivitet. Ved å forby standard kjøring av JavaScript og andre skript, kan ikke løsepengevirus lastes ned eller kjøres. For å ytterligere bidra til å forhindre skadevare i form av løsepengevirus på Windows-systemene dine, kan du opprette følgende regler i de nyeste ESET-virksomhetsapplikasjonene med HIPS, eller opprette og bruke en ESET PROTECT- eller ESET PROTECT On-Prem-policy.

Løsning

Ikke juster innstillingene på produksjonssystemer

Følgende innstillinger er tilleggskonfigurasjoner, og de spesifikke innstillingene som er nødvendige for ditt sikkerhetsmiljø, kan variere. Vi anbefaler at du tester innstillingene for hver implementering i et testmiljø før du bruker dem i et produksjonsmiljø.

Opprett en ESET PROTECT- eller ESET PROTECT On-Prem-policy manuelt / konfigurer innstillingene i ESET-virksomhetsapplikasjoner

Åpne HIPS-regelredigeringsprogrammet i policyveiviseren eller ESET-programkonfigurasjonen:
ESET PROTECT eller ESET PROTECT On-Prem-policy
1. Open the ESET PROTECT Web Console.
2. Opprett en policy i ESET PROTECT eller ESET PROTECT On-Prem.
3. I Innstillinger-delen velger du ESET Endpoint for Windows fra rullegardinmenyen. Klikk på HIPS, og klikk på Rediger ved siden av Regler.
ESET-applikasjon
1. Åpne hovedprogramvinduet til ESET Windows-sluttpunktprogrammet.
2. Trykk på F5-tasten for å få tilgang til Avansert oppsett.
3. Klikk på HIPS, og klikk på Rediger ved siden av Regler.
Klikk på alternativet (I. til VII.) for å utvide hver seksjon nedenfor for å opprette alle ekstra HIPS-regler.
I. Avslå prosesser fra kjørbare skript
1. Klikk på Legg til i vinduet HIPS-regler.
2. Skriv inn Nekt underordnede prosesser fra kjørbare skript i feltet Regelnavn. Velg Blokker fra rullegardinmenyen Handling . Klikk på vekslebryteren ved siden av Programmer, Aktivert og Varsle brukeren for å aktivere disse innstillingene. Velg Advarsel i rullegardinmenyen Loggingsalvorlighetsgrad, og klikk på Neste.
3. I vinduet Kildeprogrammer klikker du på Legg til, skriver inn følgende navn og klikker på OK → Legg til etter hvert navn:
  - C:\Windows\System32\wscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\Windows\SysWOW64\wscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  - C:\Windows\System32\ntvdm.exe
  Klikk på Neste.
4. I vinduet Programoperasjoner klikker du på bryteren ved siden av Start nytt program for å aktivere det, og klikker på Neste.
5. Velg Alle programmer fra rullegardinmenyen, og klikk på Fullfør.
6. La vinduet HIPS-regler stå åpent og fortsett til neste avsnitt.
II. Avslå skriptprosesser som startes av Explorer
1. Klikk på Legg til i HIPS-regelvinduet.
2. Skriv inn Avslå skriptprosesser som startes av utforskeren i feltet Regelnavn.
  
  Velg Blokker i rullegardinmenyen Handling .
  
  Aktiver bryteren ved siden av Programmer.
  
  Velg Advarsel i rullegardinmenyen Loggingsalvorlighetsgrad, og klikk på Neste.
3. I vinduet Kildeprogrammer klikker du på Legg til, skriver inn C:\Windows\explorer.exe i feltet Angi filbane, og klikker på OK → Neste.
4. I vinduet Programoperasjoner klikker du på vippeknappen ved siden av Start nytt program for å aktivere det, og klikker på Neste.
5. I vinduet Programmer klikker du på Legg til og skriver inn følgende navn, og klikker på OK → Legg til etter hvert navn:
  - C:\Windows\System32\wscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\Windows\SysWOW64\wscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  Klikk på Fullfør.
6. La HIPS-regelvinduet være åpent og fortsett til neste avsnitt.
III. Nekte underordnede prosesser fra Office 2024-prosesser
1. Klikk på Legg til i HIPS-regelvinduet.
2. Skriv inn Nekt underordnede prosesser fra Office 2024-prosesser i feltet Regelnavn. Velg Blokker fra rullegardinmenyen Handling . Klikk på vekslebryteren ved siden av Programmer, Aktivert og Varsle brukeren for å aktivere disse innstillingene. Velg Advarsel i rullegardinmenyen Loggingsalvorlighetsgrad, og klikk på Neste.
3. I vinduet Kildeprogrammer klikker du på Legg til, skriver inn følgende navn og klikker på OK → Legg til etter hvert navn:
  - C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE
  - C:\Program Files\Microsoft Office\root\Office16\OUTLOOK.EXE
  - C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE
  - C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE
  - C:\Program Files (x86)\Microsoft Office\root\Office16\WINWORD.EXE
  - C:\Program Files (x86)\Microsoft Office\root\Office16\OUTLOOK.EXE
  - C:\Program Files (x86)\Microsoft Office\root\Office16\EXCEL.EXE
  - C:\Program Files (x86)\Microsoft Office\root\Office16\POWERPNT.EXE
  Klikk på Neste.
4. I vinduet Programoperasjoner klikker du på bryteren ved siden av Start nytt program for å aktivere det, og klikker på Neste.
5. I vinduet Programmer klikker du på Legg til og skriver inn følgende navn, og klikker på OK → Legg til etter hvert navn:
  - C:\Windows\System32\cmd.exe
  - C:\Windows\SysWOW64\cmd.exe
  - C:\Windows\System32\wscript.exe
  - C:\Windows\SysWOW64\wscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  - C:WindowsSystem32ntvdm.exe
  - C:WindowsSystem32WindowsPowerShellv1.0powershell.exe
  - C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  - C:WindowsSystem32regsvr32.exe
  - C:\Windows\SysWOW64\regsvr32.exe
  - C:WindowsSystem32rundll32.exe
  - C:\Windows\SysWOW64\rundll32.exe
  Klikk på Fullfør.
6. Legg til flere Office-versjoner etter behov, og gjenta de samme instruksjonene som ovenfor.
  - 2013 = Office15(C:\Program Files (x86)\Microsoft Office\Office15\...)
  - 2010 = Office14
7. La HIPS-regelvinduet være åpent, og fortsett til neste avsnitt.
IV. Avslå underordnede prosesser for regsrv32.exe
1. Klikk på Legg til i HIPS-regelvinduet.
2. Skriv inn Nekt underordnede prosesser for regsrv32.exe i feltet Regelnavn.
  
  Velg Blokker i rullegardinmenyen Handling .
  
  Klikk på vekslebryteren ved siden av følgende innstillinger for å aktivere dem:
  - Programmer
  - Aktivert
  - Varsle brukeren
  Velg Advarsel i rullegardinmenyen Loggingsalvorlighetsgrad, og klikk på Neste.
3. I vinduet Kildeprogrammer klikker du på Legg til og skriver inn følgende navn, og klikker OK → Legg til etter hvert navn:
  - C:\Windows\System32\regsvr32.exe
  - C:\Windows\SysWOW64\regsvr32.exe
  Klikk på Neste.
4. I vinduet Programoperasjoner klikker du på bryteren ved siden av Start nytt program for å aktivere det, og klikker deretter på Neste.
5. I vinduet Programmer klikker du på Legg til og skriver inn følgende navn, og klikker OK → Legg til etter hvert navn:
  - C:\Windows\System32\cmd.exe
  - C:\Windows\SysWOW64\cmd.exe
  - C:\Windows\System32\wscript.exe
  - C:\Windows\SysWOW64\wscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  - C:WindowsSystem32ntvdm.exe
  - C:WindowsSystem32WindowsPowerShellv1.0powershell.exe
  - C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  Klikk på Fullfør.
6. La HIPS-regelvinduet være åpent og fortsett til neste avsnitt.
V. Avslå underordnede prosesser for mshta.exe
1. Klikk på Legg til i HIPS-regelvinduet.
2. Skriv inn Nekt underordnede prosesser for mshta.exe i feltet Regelnavn.
  
  Velg Blokker i rullegardinmenyen Handling .
  
  Klikk på vekslebryteren ved siden av følgende innstillinger for å aktivere dem:
  - Programmer
  - Aktivert
  - Varsle brukeren
  Velg Advarsel i rullegardinmenyen Loggingsalvorlighetsgrad, og klikk på Neste.
3. I vinduet Kildeprogrammer klikker du på Legg til, skriver inn følgende navn og klikker OK → Legg til etter hvert navn:
  - C:\Windows\System32\mshta.exe
  - C:\Windows\SysWOW64\mshta.exe
  Klikk på Neste.
4. I vinduet Programoperasjoner klikker du på bryteren ved siden av Start nytt program for å aktivere det, og klikker deretter på Neste.
5. Velg Alle programmer fra rullegardinmenyen, og klikk på Fullfør.
6. La vinduet HIPS-regler stå åpent og fortsett til neste avsnitt.
VI. Avslå underordnede prosesser for rundll32.exe
1. Klikk på Legg til i HIPS-regelvinduet.
2. Skriv inn Nekt underordnede prosesser for rundll32.exe i feltet Regelnavn.
  
  Velg Blokker i rullegardinmenyen Handling .
  
  Klikk på vekslebryteren ved siden av følgende innstillinger for å aktivere dem:
  - Programmer
  - Aktivert
  - Varsle brukeren
  Velg Advarsel i rullegardinmenyen Loggingsalvorlighetsgrad, og klikk på Neste.
3. I vinduet Kildeprogrammer klikker du på Legg til, skriver inn C:\Windows\System32\rundll32.exe i feltet Angi filbane, og klikker deretter på OK → Neste.
4. I vinduet Programoperasjoner klikker du på bryteren ved siden av Start nytt program for å aktivere det, og deretter klikker du på Neste.
5. I vinduet Programmer klikker du på Legg til og skriver inn følgende navn, og klikker på OK → Legg til etter hvert navn:
  - C:\Windows\System32\cmd.exe
  - C:\Windows\SysWOW64\cmd.exe
  - C:\Windows\System32\wscript.exe
  - C:\Windows\SysWOW64\wscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  - C:WindowsSystem32ntvdm.exe
  - C:WindowsSystem32WindowsPowerShellv1.0powershell.exe
  - C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  Klikk på Fullfør.
6. La HIPS-regelvinduet være åpent og fortsett til neste avsnitt.
VII. Avslå underordnede prosesser for powershell.exe
1. Klikk på Legg til i HIPS-regelvinduet.
2. Skriv inn Nekt underordnede prosesser for powershell.exe i feltet Regelnavn.
  
  Velg Blokker fra rullegardinmenyen Handling .
  
  Klikk på vekslebryteren ved siden av følgende innstillinger for å aktivere dem:
  - Programmer
  - Aktivert
  - Varsle brukeren
  Velg Advarsel i rullegardinmenyen Loggingsalvorlighetsgrad, og klikk på Neste.
3. I vinduet Kildeprogrammer klikker du på Legg til og skriver inn følgende navn, og klikker OK → Legg til etter hvert navn:
  - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  - C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  Klikk på Neste.
4. I vinduet Programoperasjoner klikker du på bryteren ved siden av Start nytt program for å aktivere det, og klikker på Neste.
5. Velg Alle programmer fra rullegardinmenyen, og klikk på Fullfør.
Hvis du oppretter en policy, klikker du på OK i vinduet HIPS-regler og fullfører policyveiviseren.

Hvis du konfigurerer et ESET-bedriftsprogram, klikker du på OK → OK.

Last ned og importer ESET PROTECT- eller ESET PROTECT On-Prem-policyen

ESET PROTECT- eller ESET PROTECT On-Prem-policyen for ESET-virksomhetsapplikasjoner med ekstra HIPS-innstillinger for å beskytte mot løsepengevirus (filkoder) kan lastes ned fra lenkene nedenfor. Policyer er kun tilgjengelige for den nyeste versjonen av ESET-applikasjoner. Kompatibilitet med tidligere versjoner kan ikke garanteres.

Last ned retningslinjene for ekstra HIPS-beskyttelse ESET PROTECT eller ESET PROTECT On-Prem for:
Open the ESET PROTECT Web Console.
Åpne vinduet for policyimport:

ESET PROTECT

Klikk på Konfigurasjon → Avansert oppsett → Handlinger → Importer.

ESET PROTECT On-Prem

Klikk på Policyer → Handlinger → Importer.
Klikk på Velg fil som skal lastes opp, velg den nedlastede policyen, og klikk på Importer.
Tilordne policyen til en klient eller tilordne policyen til en gruppe.

Sist oppdatert: 27. apr. 2026

[KB6119] Konfigurer HIPS-regler i ESETs forretningsapplikasjoner eller via ESET PROTECT eller ESET PRTOECT On-Prem

MERK:

Problemstilling

Detaljer

Løsning

Ikke juster innstillingene på produksjonssystemer

Opprett en ESET PROTECT- eller ESET PROTECT On-Prem-policy manuelt / konfigurer innstillingene i ESET-virksomhetsapplikasjoner

Last ned og importer ESET PROTECT- eller ESET PROTECT On-Prem-policyen

Tilleggsressurser

Brukerveiledninger

ESET Forum

YouTube-videoer

Eksisterende kunde?