Problem
- Chcesz skonfigurować dodatkowe reguły HIPS w następujących produktach biznesowych ESET dla systemu Windows lub utworzyć politykę w ESET PROTECT lub ESET PROTECT On-Prem z dodatkowymi ustawieniami HIPS w celu ochrony przed złośliwym oprogramowaniem ransomware (filecoder)
- ESET Endpoint Security
- ESET Endpoint Antivirus
- ESET Mail Security dla Microsoft Exchange Server
- ESET File Security dla Microsoft Windows Server
- Ręczne tworzenie zasad ESET PROTECT Policy/konfiguracja ustawień w produktach biznesowych ESET
- Pobierz i zaimportuj zasady ESET PROTECT
Click an image to open the ESET Knowledgebase article for anti-ransomware best practices and additional product configurations:
Szczegóły
Kliknij, aby rozwinąć
ESET Host-based Intrusion Prevention System (HIPS) jest zawarty w ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security for Microsoft Exchange Server i ESET File Security for Microsoft Windows Server. HIPS monitoruje aktywność systemu i wykorzystuje wstępnie zdefiniowany zestaw reguł do rozpoznawania podejrzanego zachowania systemu.
Po zidentyfikowaniu tego typu aktywności, mechanizm samoobrony HIPS powstrzymuje szkodliwy program lub proces przed wykonaniem potencjalnie szkodliwej czynności. Zabraniając standardowego wykonywania JavaScript i innych skryptów, oprogramowanie ransomware nie może zostać pobrane ani uruchomione. Aby jeszcze bardziej pomóc w zapobieganiu złośliwemu oprogramowaniu ransomware w systemach Windows, utwórz następujące reguły w najnowszych produktach biznesowych ESET z HIPS lub utwórz i zastosuj politykę ESET PROTECT.
Rozwiązanie
Ręczne utworzenie zasad ESET PROTECT Policy/konfiguracja ustawień w produktach ESET dla firm
- Otwórz aplikację ESET PROTECT lub ESET PROTECT On-Prem. W menu rozwijanym Szybkie łącza kliknij opcję Utwórz nową politykę....
Jeśli używasz produktu biznesowego ESET bez zdalnego zarządzania, otwórz główne okno programu swojego produktu ESET Windows i naciśnij klawisz F5, aby uzyskać dostęp do zaawansowanej konfiguracji. Przejdź do kroku 3. - Kliknij Ustawienia i w menu rozwijanym Wybierz produkt... wybierz jeden z następujących produktów biznesowych ESET z HIPS:
-
- ESET Endpoint for Windows.
- ESET File Security for Windows Server (V6+).
- ESET Mail Security for Microsoft Exchange (V6+).
Kliknij obraz, aby wyświetlić go w większym rozmiarze w nowym oknie
- Kliknij Silnik wykrywania(Komputer w ESET Mail Security for Microsoft Exchange Server) → HIPS. Kliknij Edytuj obok opcji Reguły.
Kliknij obraz, aby wyświetlić go w większym rozmiarze w nowym oknie
Kliknij opcję (od I. do VII.), aby rozwinąć każdą sekcję poniżej w celu utworzenia reguł HIPS dla sugerowanych procesów.
I. Odmów procesom z plików wykonywalnych skryptów
- W oknie reguł HIPS kliknij przycisk Dodaj.
-
Wpisz Deny child processes from script executables w polu Rule name. Z rozwijanego menu Akcja wybierz opcję Blokuj. Kliknij przełącznik obok opcji Aplikacje, Włączone i Powiadom użytkownika, aby włączyć te ustawienia. Z rozwijanego menu Logging severity wybierz opcję Warning i kliknij Next.
-
W oknie Source applications kliknij Add i wpisz następujące nazwy, klikając OK → Add po każdej z nich:
C:\Windows\System32\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exe
Kliknij przycisk Dalej.
- W oknie Operacje aplikacji kliknij przełącznik obok opcji Uruchom nową aplikację, aby ją włączyć, a następnie kliknij przycisk Dalej.
- Wybierz Wszystkie aplikacje z rozwijanego menu i kliknij Zakończ.
- Pozostaw okno reguł HIPS otwarte i przejdź do następnej sekcji.
II. Odmowa procesów skryptowych uruchamianych przez eksplorator
- W oknie reguł HIPS kliknij przycisk Dodaj.
-
Wpisz Deny script processes started by explorer w polu Rule name.
Z rozwijanego menu Akcja wybierz opcję Blokuj.
Kliknij przełącznik obok:
Z rozwijanego menu Logging severity wybierz Warning i kliknij Next.
- W oknie Source applications kliknij Add, wpisz C:\Windows\explorer.exe w polu Specify file path, a następnie kliknij OK → Next.
- W oknie Operacje aplikacji kliknij przełącznik obok opcji Uruchom nową aplikację, aby ją włączyć, a następnie kliknij Dalej.
-
W oknie Aplikacje kliknij Dodaj i wpisz następujące nazwy, klikając OK → Dodaj po każdej z nich:
C:\Windows\System32\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\SysWOW64\cscript.exe
Kliknij przycisk Zakończ.
- Pozostaw okno reguł HIPS otwarte i przejdź do następnej sekcji.
III. Odmów procesom podrzędnym z procesów Office 2013/2016
- W oknie reguł HIPS kliknij przycisk Dodaj.
-
Wpisz Deny child processes from Office 2013 processes w polu Rule name. Z rozwijanego menu Akcja wybierz opcję Blokuj. Kliknij przełącznik obok opcji Aplikacje, Włączone i Powiadom użytkownika, aby włączyć te ustawienia. Z rozwijanego menu Logging severity wybierz Warning i kliknij Next.
-
W oknie Source applications kliknij Add i wpisz następujące nazwy, klikając OK → Add po każdej z nich:
C:\Program Files\Microsoft Office\Office15\WINWORD.EXEC:\Program Files\Microsoft Office\Office15\OUTLOOK.EXEC:\Program Files\Microsoft Office\Office15\EXCEL.EXEC:\Program Files\Microsoft Office\Office15\POWERPNT.EXEC:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXEC:\Program Files (x86)\Microsoft Office\Office15\OUTLOOK.EXEC:\Program Files (x86)\Microsoft Office\Office15\EXCEL.EXEC:\Program Files (x86)\Microsoft Office\Office15\POWERPNT.EXE
Kliknij przycisk Dalej.
- W oknie Operacje aplikacji kliknij przełącznik obok pozycji Uruchom nową aplikację, aby ją włączyć, a następnie kliknij przycisk Dalej.
-
W oknie Aplikacje kliknij Dodaj i wpisz następujące nazwy, klikając OK → Dodaj po każdej z nich:
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exeC:\Windows\System32\regsvr32.exeC:\Windows\SysWOW64\regsvr32.exeC:\Windows\System32\rundll32.exeC:\Windows\SysWOW64\rundll32.exe
Kliknij przycisk Zakończ.
-
W razie potrzeby dodaj dodatkowe wersje pakietu Office, powtarzając te same instrukcje, co powyżej.
- 2016 = Office16 (C:\Program Files (x86)\Microsoft Office\Root\Office16\...)
- 2010 = Office14
-
Pozostaw okno reguł HIPS otwarte i przejdź do następnej sekcji.
IV. Odmowa procesów podrzędnych dla regsrv32.exe
- W oknie reguł HIPS kliknij przycisk Dodaj.
-
Wpisz Deny child processes for regsrv32. exe w polu Rule name.
Z rozwijanego menu Akcja wybierz opcję Blokuj.
Kliknij przełącznik obok następujących ustawień, aby je włączyć:
- Aplikacje
- Włączone
- Powiadom użytkownika
Z rozwijanego menu Logging severity wybierz opcję Warning i kliknij Next.
-
W oknie Source applications kliknij Add i wpisz następujące nazwy, klikając OK → Add po każdej z nich:
C:\Windows\System32\regsvr32.exeC:\Windows\SysWOW64\regsvr32.exe
Kliknij przycisk Dalej.
- W oknie Operacje aplikacji kliknij przełącznik obok opcji Uruchom nową aplikację, aby ją włączyć, a następnie kliknij przycisk Dalej.
-
W oknie Aplikacje kliknij Dodaj i wpisz następujące nazwy, klikając OK → Dodaj po każdej z nich:
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Kliknij przycisk Zakończ.
- Pozostaw okno reguł HIPS otwarte i przejdź do następnej sekcji.
V. Odmowa procesów podrzędnych dla mshta.exe
- W oknie reguł HIPS kliknij przycisk Dodaj.
-
Wpisz Deny child processes for mshta.ex e w polu Rule name.
Z rozwijanego menu Akcja wybierz opcję Blokuj.
Kliknij przełącznik obok następujących ustawień, aby je włączyć:
- Aplikacje
- Włączone
- Powiadom użytkownika
Z rozwijanego menu Logging severity wybierz opcję Warning i kliknij Next.
-
W oknie Source applications kliknij Add i wpisz następujące nazwy, klikając OK → Add po każdej z nich:
C:\Windows\System32\mshta.exeC:\Windows\SysWOW64\mshta.exe
Kliknij przycisk Dalej.
- W oknie Operacje aplikacji kliknij przełącznik obok opcji Uruchom nową aplikację, aby ją włączyć, a następnie kliknij przycisk Dalej.
- Wybierz Wszystkie aplikacje z rozwijanego menu i kliknij Zakończ.
- Pozostaw okno reguł HIPS otwarte i przejdź do następnej sekcji.
VI. Odmowa procesów podrzędnych dla rundll32.exe
- W oknie reguł HIPS kliknij przycisk Dodaj.
-
Wpisz Deny child processes for rundll32. exe w polu Rule name.
Z rozwijanego menu Akcja wybierz opcję Blokuj.
Kliknij przełącznik obok następujących ustawień, aby je włączyć:
- Aplikacje
- Włączone
- Powiadom użytkownika
Z rozwijanego menu Logging severity wybierz opcję Warning i kliknij Next.
- W oknie Source applications kliknij Add, wpisz
C:\Windows\System32\rundll32.exew polu Specify file path, a następnie kliknij OK → Next.
- W oknie Operacje aplikacji kliknij przełącznik obok opcji Uruchom nową aplikację, aby ją włączyć, a następnie kliknij Dalej.
-
W oknie Aplikacje kliknij Dodaj i wpisz następujące nazwy, klikając OK → Dodaj po każdej z nich:
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Kliknij przycisk Zakończ.
- Pozostaw okno reguł HIPS otwarte i przejdź do następnej sekcji.
VII. Odmowa procesów podrzędnych dla powershell.exe
- W oknie reguł HIPS kliknij przycisk Dodaj.
-
Wpisz Deny child processes for powershell. exe w polu Rule name.
Z rozwijanego menu Akcja wybierz opcję Blokuj.
Kliknij przełącznik obok następujących ustawień, aby je włączyć:
- Aplikacje
- Włączone
- Powiadom użytkownika
Z rozwijanego menu Logging severity wybierz opcję Warning i kliknij Next.
-
W oknie Source applications kliknij Add i wpisz następujące nazwy, klikając OK → Add po każdej z nich:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Kliknij przycisk Dalej.
- W oknie Operacje aplikacji kliknij przełącznik obok opcji Uruchom nową aplikację, aby ją włączyć, a następnie kliknij przycisk Dalej.
- Wybierz Wszystkie aplikacje z rozwijanego menu i kliknij Zakończ.
- W oknie reguł HIPS kliknij OK. Rozwiń opcję Przypisz , aby przypisać politykę do klienta lub grupy; w przeciwnym razie kliknij przycisk Zakończ na ekranie Nowa polityka - Ustawienia. Po przypisaniu ustawienia zasad zostaną zastosowane do grup docelowych lub komputerów klienckich po zalogowaniu się do programu ESET PROTECT lub ESET PROTECT On-Prem.
Jeśli korzystasz z produktu ESET dla firm bez zdalnego zarządzania, kliknij dwukrotnie przycisk OK.
Pobieranie i importowanie zasad programu ESET PROTECT
Zasady ESET PROTECT dla produktów ESET dla firm z dodatkowymi ustawieniami HIPS w celu ochrony przed złośliwym oprogramowaniem typu ransomware (filecoder) można pobrać i zaimportować za pomocą poniższych łączy. Polityka ESET PROTECT jest dostępna tylko dla najnowszej wersji produktów ESET. Nie można zagwarantować zgodności z wcześniejszymi wersjami.
-
Pobierz Dodatkowe zasady ochrony HIPS ESET PROTECT dla:
-
Otwórz aplikację ESET PROTECT lub ESET PROTECT On-Prem. W menu głównym kliknij opcję Zasady.
- Kliknij kolejno Akcje → Importuj....
Kliknij obraz, aby wyświetlić go w większym rozmiarze w nowym oknie
- Kliknij Wybierz plik do przesłania, wybierz pobraną politykę i kliknij Importuj.
- Przypiszpolitykę do klienta lub przypisz politykę do grupy. Ustawienia zasad zostaną zastosowane do grup docelowych lub komputerów klienckich po zalogowaniu się do programu ESET PROTECT lub ESET PROTECT On-Prem.
