Questão
- Você deseja configurar regras adicionais de HIPS nos seguintes produtos empresariais da ESET para Windows ou criar uma política no ESET PROTECT ou ESET PROTECT On-Prem com configurações adicionais de HIPS para proteger contra malware de ransomware (filecoder)
- ESET Endpoint Security
- ESET Endpoint Antivirus
- ESET Mail Security para Microsoft Exchange Server
- ESET File Security para Microsoft Windows Server
- Criar manualmente uma Política do ESET PROTECT/configurar os ajustes nos produtos empresariais da ESET
- Baixar e importar a Política do ESET PROTECT
Click an image to open the ESET Knowledgebase article for anti-ransomware best practices and additional product configurations:
Detalhes
Clique para expandir
O sistema de prevenção de intrusão baseado em host da ESET (HIPS) está incluído no ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security para Microsoft Exchange Server e ESET File Security para Microsoft Windows Server. O HIPS monitora a atividade do sistema e utiliza um conjunto de regras predefinidas para reconhecer comportamentos suspeitos do sistema.
Quando esse tipo de atividade é identificado, o mecanismo de autodefesa do HIPS impede que o programa ou processo ofensivo realize uma atividade potencialmente prejudicial. Ao proibir a execução padrão de JavaScript e outros scripts, o ransomware não pode ser baixado ou executado. Para ajudar ainda mais a evitar o malware de ransomware em seus sistemas Windows, crie as seguintes regras nos produtos empresariais mais recentes da ESET com HIPS ou crie e aplique uma Política do ESET PROTECT.
Solução
Criar manualmente uma Política do ESET PROTECT/configurar as definições nos produtos empresariais da ESET
- Abra o ESET PROTECT ou ESET PROTECT On-Prem. No menu suspenso Links rápidos, clique em Criar nova política....
Se estiver utilizando um produto comercial da ESET sem gerenciamento remoto, abra a janela principal do programa de seu produto ESET Windows e pressione a tecla F5 para acessar a Configuração avançada. Prossiga para a etapa 3. - Clique em Configurações e no menu suspenso Selecionar produto..., selecione um dos seguintes produtos empresariais da ESET com HIPS:
-
- ESET Endpoint para Windows.
- ESET File Security para Windows Server (V6+).
- ESET Mail Security para Microsoft Exchange (V6+).
Clique na imagem para ampliá-la em uma nova janela
- Clique em Mecanismo de detecção(Computador no ESET Mail Security para Microsoft Exchange Server) → HIPS. Clique em Editar ao lado de Regras.
Clique na imagem para ampliá-la em uma nova janela
Clique na opção (I. a VII.) para expandir cada seção abaixo e criar as regras de HIPS para os processos sugeridos.
I. Negar processos a partir de executáveis de script
- Na janela de regras de HIPS, clique em Adicionar.
-
Digite Negar processos filhos de executáveis de script no campo Nome da regra. No menu suspenso Action (Ação ), selecione Block (Bloquear). Clique no botão de alternância ao lado de Applications (Aplicativos), Enabled (Ativado) e Notify user (Notificar usuário ) para ativar essas configurações. No menu suspenso Gravidade do registro, selecione Warning e clique em Next.
-
Na janela Aplicativos de origem, clique em Add e digite os seguintes nomes, clicando em OK → Add após cada um deles:
C:\Windows\System32\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exe
Clique em Next (Avançar).
- Na janela Operações do aplicativo, clique no botão de alternância ao lado de Iniciar novo aplicativo para ativá-lo e clique em Next.
- Selecione All applications (Todos os aplicativos ) no menu suspenso e clique em Finish (Concluir).
- Deixe a janela de regras do HIPS aberta e continue na próxima seção.
II. Negar processos de script iniciados pelo Explorer
- Na janela de regras do HIPS, clique em Add (Adicionar).
-
Digite Deny script processes started by explorer (Negar processos de script iniciados pelo explorador ) no campo Rule name (Nome da regra).
No menu suspenso Action (Ação ), selecione Block(Bloquear).
Clique no botão de alternância ao lado de:
No menu suspenso Gravidade do registro, selecione Aviso e clique em Avançar.
- Na janela Aplicativos de origem, clique em Add, digite C:\Windows\explorer.exe no campo Specify file path e clique em OK → Next.
- Na janela Operações do aplicativo, clique no botão de alternância ao lado de Iniciar novo aplicativo para ativá-lo e clique em Next.
-
Na janela Aplicativos, clique em Add e digite os seguintes nomes, clicando em OK → Add após cada um deles:
C:\Windows\System32\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\SysWOW64\cscript.exe
Clique em Finish (Concluir).
- Deixe a janela de regras do HIPS aberta e continue na próxima seção.
III. Negar processos filhos de processos do Office 2013/2016
- Na janela de regras do HIPS, clique em Add (Adicionar).
-
Digite Negar processos filhos de processos do Office 2013 no campo Nome da regra. No menu suspenso Ação , selecione Bloquear. Clique no botão de alternância ao lado de Aplicativos, Ativado e Notificar usuário para ativar essas configurações. No menu suspenso Gravidade do registro, selecione Aviso e clique em Avançar.
-
Na janela Aplicativos de origem, clique em Add e digite os seguintes nomes, clicando em OK → Add após cada um deles:
C:\Arquivos de Programas\Microsoft Office\Office15\WINWORD.EXEC:\Arquivos de Programas\Microsoft Office\Office15\OUTLOOK.EXEC:\Arquivos de Programas\Microsoft Office\Office15\EXCEL.EXEC:\Arquivos de Programas\Microsoft Office\Office15\POWERPNT.EXEC:\Arquivos de Programas (x86)\Microsoft Office\Office15\WINWORD.EXEC:\Arquivos de Programas (x86)\Microsoft Office\Office15\OUTLOOK.EXEC:\Arquivos de Programas (x86)\Microsoft Office\Office15\EXCEL.EXEC:\Arquivos de Programas (x86)\Microsoft Office\Office15\POWERPNT.EXE
Clique em Next (Avançar).
- Na janela Operações do aplicativo, clique no botão de alternância ao lado de Iniciar novo aplicativo para ativá-lo e clique em Next.
-
Na janela Aplicativos, clique em Add e digite os seguintes nomes, clicando em OK → Add após cada um deles:
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exeC:\Windows\System32\regsvr32.exeC:\Windows\SysWOW64\regsvr32.exeC:\Windows\System32\rundll32.exeC:\Windows\SysWOW64\rundll32.exe
Clique em Finish (Concluir).
-
Adicione outras versões do Office conforme necessário, repetindo as mesmas instruções acima.
- 2016 = Office16 (C:\Program Files (x86)\Microsoft Office\Root\Office16\...)
- 2010 = Office14
-
Deixe a janela de regras do HIPS aberta e continue na próxima seção.
IV. Negar processos filhos para regsrv32.exe
- Na janela de regras do HIPS, clique em Add (Adicionar).
-
Digite Negar processos filhos para regsrv32.exe no campo Nome da regra.
No menu suspenso Ação , selecione Bloquear.
Clique no botão de alternância ao lado das seguintes configurações para ativá-las:
- Aplicativos
- Ativado
- Notificar usuário
No menu suspenso Gravidade do registro, selecione Aviso e clique em Avançar.
-
Na janela Aplicativos de origem, clique em Add e digite os seguintes nomes, clicando em OK → Add após cada um deles:
C:\Windows\System32\regsvr32.exeC:\Windows\SysWOW64\regsvr32.exe
Clique em Next.
- Na janela Operações do aplicativo, clique no botão de alternância ao lado de Iniciar novo aplicativo para ativá-lo e clique em Next.
-
Na janela Aplicativos, clique em Adicionar e digite os seguintes nomes, clicando em OK → Adicionar após cada um deles:
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Clique em Finish (Concluir).
- Deixe a janela de regras de HIPS aberta e continue na próxima seção.
V. Negar processos filhos para mshta.exe
- Na janela de regras do HIPS, clique em Add (Adicionar).
-
Digite Deny child processes for mshta.exe no campo Rule name (Nome da regra).
No menu suspenso Ação , selecione Bloquear.
Clique no botão de alternância ao lado das seguintes configurações para ativá-las:
- Aplicativos
- Ativado
- Notificar usuário
No menu suspenso Gravidade do registro, selecione Aviso e clique em Avançar.
-
Na janela Aplicativos de origem, clique em Add e digite os seguintes nomes, clicando em OK → Add após cada um deles:
C:\Windows\System32\mshta.exeC:\Windows\SysWOW64\mshta.exe
Clique em Next.
- Na janela Operações do aplicativo, clique no botão de alternância ao lado de Iniciar novo aplicativo para ativá-lo e clique em Next.
- Selecione All applications (Todos os aplicativos ) no menu suspenso e clique em Finish (Concluir).
- Deixe a janela de regras do HIPS aberta e continue na próxima seção.
VI. Negar processos filhos para rundll32.exe
- Na janela de regras de HIPS, clique em Add (Adicionar).
-
Digite Deny child processes for rundll32.exe no campo Rule name (Nome da regra).
No menu suspenso Action (Ação ), selecione Block (Bloquear).
Clique no botão de alternância ao lado das seguintes configurações para ativá-las:
- Aplicativos
- Ativado
- Notificar usuário
No menu suspenso Gravidade do registro, selecione Aviso e clique em Avançar.
- Na janela Aplicativos de origem, clique em Add, digite
C:\Windows\System32\rundll32.exeno campo Specify file path e clique em OK → Next.
- Na janela Operações do aplicativo, clique no botão de alternância ao lado de Iniciar novo aplicativo para ativá-lo e clique em Next.
-
Na janela Aplicativos, clique em Adicionar e digite os seguintes nomes, clicando em OK → Adicionar após cada um deles:
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Clique em Finish (Concluir).
- Deixe a janela de regras do HIPS aberta e continue na próxima seção.
VII. Negar processos filhos para powershell.exe
- Na janela de regras do HIPS, clique em Add (Adicionar).
-
Digite Deny child processes for powershell.exe no campo Rule name (Nome da regra).
No menu suspenso Action (Ação ), selecione Block (Bloquear).
Clique no botão de alternância ao lado das seguintes configurações para ativá-las:
- Aplicativos
- Ativado
- Notificar usuário
No menu suspenso Gravidade do registro, selecione Aviso e clique em Avançar.
-
Na janela Aplicativos de origem, clique em Add e digite os seguintes nomes, clicando em OK → Add após cada um deles:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Clique em Next (Avançar).
- Na janela Operações do aplicativo, clique no botão de alternância ao lado de Iniciar novo aplicativo para ativá-lo e clique em Next.
- Selecione All applications (Todos os aplicativos ) no menu suspenso e clique em Finish (Concluir).
- Na janela Regras de HIPS , clique em OK. Expanda Atribuir para atribuir a política a um cliente ou grupo; caso contrário, clique em Concluir na tela Nova política - Configurações. Se atribuídas, as configurações de sua política serão aplicadas aos grupos-alvo ou computadores clientes assim que eles fizerem check-in no ESET PROTECT ou ESET PROTECT On-Prem.
Se estiver usando um produto comercial da ESET sem gerenciamento remoto, clique em OK duas vezes.
Download e importação da Política do ESET PROTECT
A Política do ESET PROTECT para produtos empresariais da ESET com configurações adicionais de HIPS para proteção contra malware de ransomware (filecoder) pode ser baixada e importada a partir dos links abaixo. A Política ESET PROTECT está disponível somente para a versão mais recente dos produtos ESET. A compatibilidade com versões anteriores não pode ser garantida.
-
Faça o download da Política ESET PROTECT de Proteção HIPS Adicional para:
-
Abra o ESET PROTECT ou ESET PROTECT On-Prem. No menu principal, clique em Políticas.
- Clique em Ações → Importar....
Clique na imagem para ampliá-la em uma nova janela
- Clique em Choose file to upload (Escolher arquivo para carregar), selecione a política baixada e clique em Import (Importar).
- Atribua a política a um cliente ou atribua a política a um grupo. As configurações da política serão aplicadas aos grupos-alvo ou aos computadores clientes assim que eles fizerem o check-in no ESET PROTECT ou no ESET PROTECT On-Prem.
