[KB6119] Konfiguracja reguł HIPS w aplikacjach biznesowych ESET lub za pośrednictwem ESET PROTECT lub ESET PRTOECT On-Prem

NOTATKA:

Ta strona została przetłumaczona przez komputer. Kliknij przycisk Angielski w sekcji Języki na tej stronie, aby wyświetlić oryginalny tekst. Jeśli coś jest niejasne, skontaktuj się z lokalnym działem pomocy technicznej.

Problem

Skonfiguruj dodatkowe reguły HIPS w następujących aplikacjach biznesowych ESET dla systemu Windows lub utwórz zasady w ESET PROTECT lub ESET PROTECT On-Prem z dodatkowymi ustawieniami HIPS w celu ochrony przed złośliwym oprogramowaniem ransomware (filecoder)
- ESET Endpoint Security dla systemu Windows
- ESET Endpoint Antivirus dla systemu Windows
- ESET Mail Security dla Microsoft Exchange Server
- ESET Server Security dla Microsoft Windows Server
Ręczne tworzenie zasad ESET PROTECT lub ESET PROTECT On-Prem Policy / konfigurowanie ustawień w aplikacjach biznesowych ESET
Pobierz i zaimportuj zasady ESET PROTECT lub ESET PROTECT On-Prem Policy

Szczegóły

Kliknij, aby rozwinąć

ESET Host-based Intrusion Prevention System (HIPS) jest zawarty w ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security dla Microsoft Exchange Server i ESET Server Security dla Microsoft Windows Server. HIPS monitoruje aktywność systemu i wykorzystuje wstępnie zdefiniowany zestaw reguł do rozpoznawania podejrzanego zachowania systemu.

Po zidentyfikowaniu tego typu aktywności, mechanizm samoobrony HIPS powstrzymuje szkodliwy program lub proces przed wykonaniem potencjalnie szkodliwej czynności. Zabraniając standardowego wykonywania JavaScript i innych skryptów, oprogramowanie ransomware nie może zostać pobrane ani uruchomione. Aby jeszcze bardziej pomóc w zapobieganiu złośliwemu oprogramowaniu ransomware w systemach Windows, utwórz następujące reguły w najnowszych aplikacjach biznesowych ESET z HIPS lub utwórz i zastosuj politykę ESET PROTECT lub ESET PROTECT On-Prem.

Rozwiązanie

Nie należy dostosowywać ustawień w systemach produkcyjnych

Poniższe ustawienia są dodatkowymi konfiguracjami, a konkretne ustawienia wymagane dla danego środowiska zabezpieczeń mogą się różnić. Zalecamy przetestowanie ustawień dla każdej implementacji w środowisku testowym przed użyciem ich w środowisku produkcyjnym.

Ręczne tworzenie zasad ESET PROTECT lub ESET PROTECT On-Prem Policy / konfigurowanie ustawień w aplikacjach biznesowych ESET

Otwórz edytor reguł HIPS w kreatorze zasad lub konfiguracji aplikacji ESET:
ESET PROTECT lub ESET PROTECT On-Prem Policy
1. Open the ESET PROTECT Web Console.
2. Utwórz politykę w ESET PROTECT lub ESET PROTECT On-Prem.
3. W sekcji Ustawienia wybierz ESET Endpoint for Windows z menu rozwijanego. Kliknij HIPS i kliknij Edytuj obok pozycji Reguły.
Aplikacja ESET
1. Otwórz główne okno programu aplikacji ESET dla punktów końcowych systemu Windows.
2. Naciśnij klawisz F5, aby uzyskać dostęp do ustawień zaawansowanych.
3. Kliknij HIPS i kliknij Edytuj obok Reguły.
Kliknij opcję (od I. do VII.), aby rozwinąć każdą sekcję poniżej w celu utworzenia wszystkich dodatkowych reguł HIPS.
I. Odmów procesom z plików wykonywalnych skryptów
1. W oknie reguł HIPS kliknij przycisk Dodaj.
2. W polu Nazwa reguły wpisz Odmów procesom podrzędnym z plików wykonywalnych skryptów. Z rozwijanego menu Akcja wybierz opcję Blokuj. Kliknij przełącznik obok opcji Aplikacje, Włączone i Powiadom użytkownika, aby włączyć te ustawienia. Z rozwijanego menu Logging severity wybierz opcję Warning i kliknij Next.
3. W oknie Source applications kliknij Add i wpisz następujące nazwy, klikając OK → Add po każdej z nich:
  - C:\Windows\System32\wscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\Windows\SysWOW64\wscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  - C:\Windows\System32\ntvdm.exe
  Kliknij przycisk Dalej.
4. W oknie Operacje aplikacji kliknij przełącznik obok pozycji Uruchom nową aplikację, aby ją włączyć, a następnie kliknij przycisk Dalej.
5. Wybierz Wszystkie aplikacje z rozwijanego menu i kliknij Zakończ.
6. Pozostaw okno reguł HIPS otwarte i przejdź do następnej sekcji.
II. Odmowa procesów skryptowych uruchamianych przez eksplorator
1. W oknie reguł HIPS kliknij przycisk Dodaj.
2. Wpisz Deny script processes started by explorer w polu Rule name.
  
  Z rozwijanego menu Akcja wybierz opcję Blokuj.
  
  Włącz przełącznik obok pozycji Aplikacje.
  
  Z rozwijanego menu Logging severity wybierz Warning i kliknij Next.
3. W oknie Source applications kliknij Add, wpisz C:\Windows\explorer.exe w polu Specify file path i kliknij OK → Next.
4. W oknie Operacje aplikacji kliknij przełącznik obok opcji Uruchom nową aplikację, aby ją włączyć i kliknij Dalej.
5. W oknie Aplikacje kliknij Dodaj i wpisz następujące nazwy, klikając OK → Dodaj po każdej z nich:
  - C:\Windows\System32\wscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\Windows\SysWOW64\wscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  Kliknij przycisk Zakończ.
6. Pozostaw okno reguł HIPS otwarte i przejdź do następnej sekcji.
III. Odmów procesom podrzędnym z procesów pakietu Office 2024
1. W oknie reguł HIPS kliknij przycisk Dodaj.
2. Wpisz Deny child processes from Office 2024 processes w polu Rule name. Z rozwijanego menu Akcja wybierz opcję Blokuj. Kliknij przełącznik obok opcji Aplikacje, Włączone i Powiadom użytkownika, aby włączyć te ustawienia. Z rozwijanego menu Logging severity wybierz pozycję Warning i kliknij przycisk Next.
3. W oknie Source applications kliknij Add i wpisz następujące nazwy, klikając OK → Add po każdej z nich:
  - C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE
  - C:\Program Files\Microsoft Office\root\Office16\OUTLOOK.EXE
  - C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE
  - C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE
  - C:\Program Files (x86)\Microsoft Office\root\Office16\WINWORD.EXE
  - C:\Program Files (x86)\Microsoft Office\root\Office16\OUTLOOK.EXE
  - C:\Program Files (x86)\Microsoft Office\root\Office16\EXCEL.EXE
  - C:\Program Files (x86)\Microsoft Office\root\Office16\POWERPNT.EXE
  Kliknij przycisk Dalej.
4. W oknie Operacje aplikacji kliknij przełącznik obok pozycji Uruchom nową aplikację, aby ją włączyć, a następnie kliknij przycisk Dalej.
5. W oknie Aplikacje kliknij Dodaj i wpisz następujące nazwy, klikając OK → Dodaj po każdej z nich:
  - C:\Windows\System32\cmd.exe
  - C:\Windows\SysWOW64\cmd.exe
  - C:\Windows\System32\wscript.exe
  - C:\Windows\SysWOW64\wscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  - C:\Windows\System32\ntvdm.exe
  - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  - C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  - C:\Windows\System32\regsvr32.exe
  - C:\Windows\SysWOW64\regsvr32.exe
  - C:\Windows\System32\rundll32.exe
  - C:\Windows\SysWOW64\rundll32.exe
  Kliknij przycisk Zakończ.
6. W razie potrzeby dodaj dodatkowe wersje pakietu Office, powtarzając te same instrukcje, co powyżej.
  - 2013 = Office15(C:\Program Files (x86)\Microsoft Office\Office15\...)
  - 2010 = Office14
7. Pozostaw okno reguł HIPS otwarte i przejdź do następnej sekcji.
IV. Odmowa procesów podrzędnych dla regsrv32.exe
1. W oknie reguł HIPS kliknij przycisk Dodaj.
2. Wpisz Deny child processes for regsrv32. exe w polu Rule name.
  
  Z rozwijanego menu Akcja wybierz opcję Blokuj.
  
  Kliknij przełącznik obok następujących ustawień, aby je włączyć:
  - Aplikacje
  - Włączone
  - Powiadom użytkownika
  Z rozwijanego menu Logging severity wybierz pozycję Warning i kliknij przycisk Next.
3. W oknie Source applications kliknij Add i wpisz następujące nazwy, klikając OK → Add po każdej z nich:
  - C:\Windows\System32\regsvr32.exe
  - C:\Windows\SysWOW64\regsvr32.exe
  Kliknij przycisk Dalej.
4. W oknie Operacje aplikacji kliknij przełącznik obok pozycji Uruchom nową aplikację, aby ją włączyć, a następnie kliknij przycisk Dalej.
5. W oknie Aplikacje kliknij Dodaj i wpisz następujące nazwy, klikając OK → Dodaj po każdej z nich:
  - C:\Windows\System32\cmd.exe
  - C:\Windows\SysWOW64\cmd.exe
  - C:\Windows\System32\wscript.exe
  - C:\Windows\SysWOW64\wscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  - C:\Windows\System32\ntvdm.exe
  - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  - C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  Kliknij przycisk Zakończ.
6. Pozostaw okno reguł HIPS otwarte i przejdź do następnej sekcji.
V. Odmowa procesów podrzędnych dla mshta.exe
1. W oknie reguł HIPS kliknij przycisk Dodaj.
2. W polu Nazwa reguły wpisz Odmów procesom podrzędnym dla mshta.exe.
  
  Z rozwijanego menu Akcja wybierz opcję Blokuj.
  
  Kliknij przełącznik obok następujących ustawień, aby je włączyć:
  - Aplikacje
  - Włączone
  - Powiadom użytkownika
  Z rozwijanego menu Logging severity wybierz pozycję Warning i kliknij przycisk Next.
3. W oknie Aplikacje źródłowe kliknij Dodaj i wpisz następujące nazwy, klikając OK → Dodaj po każdej z nich:
  - C:\Windows\System32\mshta.exe
  - C:\Windows\SysWOW64\mshta.exe
  Kliknij przycisk Dalej.
4. W oknie Operacje aplikacji kliknij przełącznik obok opcji Uruchom nową aplikację, aby ją włączyć, a następnie kliknij Dalej.
5. Wybierz Wszystkie aplikacje z rozwijanego menu i kliknij Zakończ.
6. Pozostaw okno reguł HIPS otwarte i przejdź do następnej sekcji.
VI. Odmowa procesów podrzędnych dla rundll32.exe
1. W oknie reguł HIPS kliknij przycisk Dodaj.
2. Wpisz Deny child processes for rundll32.ex e w polu Rule name.
  
  Z rozwijanego menu Akcja wybierz opcję Blokuj.
  
  Kliknij przełącznik obok następujących ustawień, aby je włączyć:
  - Aplikacje
  - Włączone
  - Powiadom użytkownika
  Z rozwijanego menu Logging severity wybierz pozycję Warning i kliknij przycisk Next.
3. W oknie Aplikacje źródłowe kliknij Dodaj, wpisz C:\Windows\System32\rundll32.exe w polu Określ ścieżkę pliku, a następnie kliknij OK → Dalej.
4. W oknie Operacje aplikacji kliknij przełącznik obok opcji Uruchom nową aplikację, aby ją włączyć, a następnie kliknij Dalej.
5. W oknie Aplikacje kliknij Dodaj i wpisz następujące nazwy, klikając OK → Dodaj po każdej z nich:
  - C:\Windows\System32\cmd.exe
  - C:\Windows\SysWOW64\cmd.exe
  - C:\Windows\System32\wscript.exe
  - C:\Windows\SysWOW64\wscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  - C:\Windows\System32\ntvdm.exe
  - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  - C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  Kliknij przycisk Zakończ.
6. Pozostaw okno reguł HIPS otwarte i przejdź do następnej sekcji.
VII. Odmowa procesów podrzędnych dla powershell.exe
1. W oknie reguł HIPS kliknij przycisk Dodaj.
2. Wpisz Deny child processes for powershell. exe w polu Rule name.
  
  Z rozwijanego menu Akcja wybierz opcję Blokuj.
  
  Kliknij przełącznik obok następujących ustawień, aby je włączyć:
  - Aplikacje
  - Włączone
  - Powiadom użytkownika
  Z rozwijanego menu Logging severity wybierz pozycję Warning i kliknij przycisk Next.
3. W oknie Source applications kliknij Add i wpisz następujące nazwy, klikając OK → Add po każdej z nich:
  - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  - C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  Kliknij przycisk Dalej.
4. W oknie Operacje aplikacji kliknij przełącznik obok opcji Uruchom nową aplikację, aby ją włączyć, a następnie kliknij przycisk Dalej.
5. Wybierz Wszystkie aplikacje z rozwijanego menu i kliknij Zakończ.
Jeśli tworzysz zasady, w oknie Reguły HIPS kliknij OK i zakończ działanie kreatora zasad.

Jeśli konfigurujesz aplikację biznesową ESET, kliknij OK → OK.

Pobieranie i importowanie zasad ESET PROTECT lub ESET PROTECT On-Prem Policy

Zasady ESET PROTECT lub ESET PROTECT On-Prem Policy dla aplikacji biznesowych ESET z dodatkowymi ustawieniami HIPS w celu ochrony przed złośliwym oprogramowaniem typu ransomware (filecoder) można pobrać z poniższych łączy. Polityki są dostępne tylko dla najnowszej wersji aplikacji ESET. Nie można zagwarantować zgodności z wcześniejszymi wersjami.

Pobierz dodatkowe zasady ochrony HIPS ESET PROTECT lub ESET PROTECT On-Prem dla:
Open the ESET PROTECT Web Console.
Otwórz okno importu zasad:

ESET PROTECT

Kliknij Konfiguracja → Konfiguracja zaawansowana → Akcje → Importuj.

ESET PROTECT On-Prem

Kliknij kolejno opcje Zasady → Akcje → Importuj.
Kliknij Wybierz plik do przesłania, wybierz pobraną politykę i kliknij Importuj.
Przypiszzasady do klienta lub przypisz zasady do grupy.

Ostatnio zaktualizowany: 27 kwi 2026

[KB6119] Konfiguracja reguł HIPS w aplikacjach biznesowych ESET lub za pośrednictwem ESET PROTECT lub ESET PRTOECT On-Prem

NOTATKA:

Problem

Szczegóły

Rozwiązanie

Nie należy dostosowywać ustawień w systemach produkcyjnych

Ręczne tworzenie zasad ESET PROTECT lub ESET PROTECT On-Prem Policy / konfigurowanie ustawień w aplikacjach biznesowych ESET

Pobieranie i importowanie zasad ESET PROTECT lub ESET PROTECT On-Prem Policy

Dodatkowe materiały:

Dokumentacja

Forum ESET

Poradniki w formie filmów

Obecny klient?