Questão
- Você deseja configurar regras adicionais de firewall no ESET Endpoint Security ou criar uma política no ESET PROTECT ou ESET PROTECT On-Prem com configurações adicionais de firewall para o ESET Endpoint Security para proteger contra malware de ransomware (filecoder)
- Criar manualmente uma política do ESET PROTECT/configurar as configurações no ESET Endpoint Security
- Faça o download e importe a Política do ESET PROTECT
Click an image to open the ESET Knowledgebase article for anti-ransomware best practices and additional product configurations:
Detalhes
Clique para expandir
Com as configurações padrão da ESET, se um código malicioso com um dropper for executado, o ESET Endpoint Security impedirá o download do malware com o ESET Firewall integrado. Para ajudar ainda mais a evitar o malware de ransomware em seus sistemas Windows com o ESET Endpoint Security, crie as seguintes regras no ESET Endpoint Security mais recente ou crie e aplique uma Política ESET PROTECT.
Solução
Criar manualmente uma política do ESET PROTECT/configurar as definições no ESET Endpoint Security
- Abra o ESET PROTECT ou ESET PROTECT On-Prem. No menu suspenso Links rápidos, clique em Criar nova política....
Se estiver utilizando um ESET Endpoint Security sem gerenciamento remoto, abra a janela principal do programa de seu produto ESET Windows e pressione a tecla F5 para acessar a Configuração avançada. Prossiga para a etapa 3. - Clique em Configurações e no menu suspenso Selecionar produto..., selecioneESET Endpoint para Windows. Prossiga para a etapa 4.
Clique na imagem para ampliá-la em uma nova janela
- Clique em Proteção de rede → Proteção contra ataques de rede e verifique se a opção Ativar proteção contra Botnet está ativada.
- Clique em Network Protection, expanda
Advanced e clique em Edit ao lado de Rules.
Clique na imagem para ampliá-la em uma nova janela
- Na janela Regras de firewall, clique em Add.
- No campo Name , digite Deny network connections for cmd.exe (native).
Use a seguinte configuração para a regra:
-
- No menu suspenso Direction (Direção ), selecione Both (Ambos).
- No menu suspenso Action (Ação ), selecione Deny (Negar).
- No menu suspenso Protocol (Protocolo ), selecione Any (Qualquer).
- No menu suspenso Profile (Perfil ), selecione Any profile (Qualquer perfil).
- Clique na guia Local e, no campo Application (Aplicativo ), digite
C:\Windows\System32\cmd.exe.
- Clique em OK → Add e repita as etapas 6 a 7 para criar a seguinte lista de regras:
- Name (Nome): Negar conexões de rede para cmd.exe (SysWOW64)
Aplicativo: C:\Windows\SysWOW64\cmd.exe - Name (Nome): Negar conexões de rede para wscript.exe (nativo)
Aplicativo: C:\Windows\System32\wscript.exe - Nome: Negar conexões de rede para wscript.exe (SysWOW64)
Aplicativo: C:\Windows\SysWOW64\wscript.exe - Nome: Negar conexões de rede para o cscript.exe (nativo)
Aplicativo: C:\Windows\System32\cscript.exe - Nome: Negar conexões de rede para o cscript.exe (SysWOW64)
Aplicativo: C:\Windows\SysWOW64\cscript.exe - Nome: Negar conexões de rede para powershell.exe (nativo)
Aplicativo: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe - Nome: Negar conexões de rede para powershell.exe (SysWOW64)
Aplicativo: C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe - Nome: Negar conexões de rede para ntvdm.exe
Aplicativo: C:\Windows\System32\ntvdm.exe - Nome: Negar conexões de rede para regsvr.exe (nativo)
Aplicativo: C:\Windows\System32\regsvr.exe - Nome: Negar conexões de rede para regsvr.exe (SysWOW64)
Aplicativo: C:\Windows\SysWOW64\regsvr.exe - Nome: Negar conexões de rede para rundll32.exe (nativo)
Aplicativo: C:\Windows\System32\rundll32.exe - Nome: Negar conexões de rede para rundll32.exe (SysWOW64)
Aplicativo: C:\Windows\SysWOW64\rundll32.exe
- Na janela Regras de firewall , clique em OK após adicionar todas as regras. Clique em Assign (Atribuir ) para atribuir a política a um cliente ou grupo; caso contrário, clique em Finish (Concluir ) na tela New Policy - Settings (Nova política - Configurações ). Se atribuídas, as configurações de sua política serão aplicadas aos grupos-alvo ou computadores clientes assim que eles fizerem o check-in no ESET PROTECT ou ESET PROTECT On-Prem.
Se estiver utilizando um ESET Endpoint Security sem gerenciamento remoto, clique em OK → OK após adicionar todas as regras.
Clique na imagem para ampliá-la em uma nova janela
Download e importação da Política do ESET PROTECT
A Política do ESET PROTECT para o ESET Endpoint Security com configurações adicionais de firewall para proteger contra o malware ransomware (filecoder) pode ser baixada e importada a partir do link abaixo. A Política ESET PROTECT está disponível somente para a versão mais recente dos produtos ESET. A compatibilidade com versões anteriores não pode ser garantida.
-
Faça o download da Política ESET PROTECT de Proteção Adicional contra Ransomware.
-
Abra o ESET PROTECT ou ESET PROTECT On-Prem. No menu principal, clique em Políticas.
- Clique em Ações → Importar.
Clique na imagem para ampliá-la em uma nova janela
- Clique em Choose file to upload (Escolher arquivo para carregar), selecione a política baixada e clique em Import (Importar).
- Atribua a política a um cliente ou atribua a política a um grupo. As configurações da política serão aplicadas aos grupos-alvo ou aos computadores clientes assim que eles fizerem o check-in no ESET PROTECT ou no ESET PROTECT On-Prem.
