[KB6119] Настройка правил HIPS в бизнес-приложениях ESET или с помощью ESET PROTECT или ESET PRTOECT On-Prem

примечание:

Этот документ переведен для вашего удобства с помощью машинного перевода. Пожалуйста, будьте уверены, что мы приложили все усилия, чтобы обеспечить максимально точный перевод. Однако ни один автоматизированный перевод не призван заменить переводчика-человека. Официальным текстом является английская версия, которую можно найти, нажав на English справа от этого текста (или внизу, если вы читаете с мобильного). Если у вас возникли вопросы или замечания относительно точности переведенного текста, пожалуйста, обратитесь к официальной версии на английском языке или свяжитесь с местной службой поддержки. Спасибо за ваше терпение.

Выпуск

Подробности

Нажмите для расширения


Система предотвращения вторжений на основе хоста (HIPS) компании ESET входит в состав ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security для Microsoft Exchange Server и ESET Server Security для Microsoft Windows Server. HIPS отслеживает активность системы и использует заранее определенный набор правил для распознавания подозрительного поведения системы.

При выявлении такого рода активности механизм самозащиты HIPS останавливает программу или процесс, совершающий потенциально опасное действие. Запрещая стандартное выполнение JavaScript и других скриптов, вымогательские программы не могут загружаться и исполняться. Чтобы дополнительно предотвратить появление вредоносных программ-вымогателей в системах Windows, создайте следующие правила в новейших бизнес-приложениях ESET с HIPS или создайте и примените политику ESET PROTECT или ESET PROTECT On-Prem.

Решение

Не изменяйте настройки в производственных системах

Приведенные ниже параметры являются дополнительными настройками, и конкретные настройки, необходимые для вашей среды безопасности, могут отличаться. Мы рекомендуем проверить настройки для каждой реализации в тестовой среде, прежде чем использовать их в производственной среде.

Ручное создание политики ESET PROTECT или ESET PROTECT On-Prem / настройка параметров в бизнес-приложениях ESET

  1. Откройте редактор правил HIPS в мастере создания политики или конфигурации приложения ESET:

    ESET PROTECT или ESET PROTECT On-Prem Policy

    2. Создание политики в ESET PROTECT или ESET PROTECT On-Prem.

    3. В разделе Настройки выберите ESET Endpoint for Windows из выпадающего меню. Щелкните HIPS и нажмите кнопку Изменить рядом с пунктом Правила.

    Приложение ESET

    1. Откройте главное окно программы вашего приложения ESET Endpoint для Windows.

    2. Нажмите клавишу F5, чтобы перейти к расширенным настройкам.

    3. Щелкните HIPS и нажмите кнопку Изменить рядом с пунктом Правила.

  2. Выберите вариант (I. - VII.), чтобы развернуть каждый раздел ниже для создания всех дополнительных правил HIPS.


    I. Запрет процессов из исполняемых сценариев

    1. В окне Правила HIPS нажмите Добавить.

    2. В поле Имя правила введите Запретить дочерние процессы из исполняемых файлов сценариев. В раскрывающемся меню Действие выберите Блокировать. Щелкните тумблер рядом с пунктами Приложения, Включено и Уведомлять пользователя, чтобы включить эти параметры. В раскрывающемся меню Строгость регистрации выберите Предупреждение и нажмите Далее.

    3. В окне Исходные приложения нажмите Добавить и введите следующие имена, нажимая OK Добавить после каждого из них:

      • C:\Windows\System32\wscript.exe
      • C:\Windows\System32\cscript.exe
      • C:\Windows\SysWOW64\wscript.exe
      • C:\Windows\SysWOW64\cscript.exe
      • C:\Windows\System32\ntvdm.exe

      Нажмите кнопку Далее.

    4. В окне Операции с приложениями щелкните тумблер рядом с пунктом Запустить новое приложение, чтобы включить его, и нажмите Далее.

    5. В раскрывающемся меню выберите Все приложения и нажмите Готово.

    6. Оставьте окно правил HIPS открытым и перейдите к следующему разделу.


    II. Запрет процессов сценариев, запускаемых проводником

    1. В окне правил HIPS нажмите кнопку Добавить.

    2. Введите Deny script processes started by explorer в поле Rule name.

      В раскрывающемся меню Действие выберите Блокировать.

      Включите тумблер рядом с пунктом Приложения.

      В раскрывающемся меню Строгость регистрации выберите Предупреждение и нажмите Далее.

    3. В окне Исходные приложения нажмите Добавить, введите C:\Windows\explorer.exe в поле Укажите путь к файлу и нажмите OK Далее.

    4. В окне Операции с приложениями щелкните тумблер рядом с пунктом Запустить новое приложение, чтобы включить его, и нажмите кнопку Далее.

    5. В окне Приложения нажмите Добавить и введите следующие имена, нажимая OK Добавить после каждого из них:

      • C:\Windows\System32\wscript.exe
      • C:\Windows\System32\cscript.exe
      • C:\Windows\SysWOW64\wscript.exe
      • C:\Windows\SysWOW64\cscript.exe

      Нажмите кнопку Готово.

    6. Оставьте окно правил HIPS открытым и перейдите к следующему разделу.


    III. Запрет дочерних процессов от процессов Office 2024

    1. В окне правил HIPS нажмите кнопку Добавить.

    2. Введите Запретить дочерние процессы из процессов Office 2024 в поле Имя правила. В раскрывающемся меню Действие выберите Блокировать. Щелкните тумблер рядом с пунктами Приложения, Включено и Уведомлять пользователя, чтобы включить эти параметры. В раскрывающемся меню Строгость регистрации выберите Предупреждение и нажмите Далее.

    3. В окне Исходные приложения нажмите Добавить и введите следующие имена, нажимая OK Добавить после каждого из них:

      • C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE
      • C:\Program Files\Microsoft Office\root\Office16\OUTLOOK.EXE
      • C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE
      • C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE
      • C:\Program Files (x86)\Microsoft Office\root\Office16\WINWORD.EXE
      • C:\Program Files (x86)\Microsoft Office\root\Office16\OUTLOOK.EXE
      • C:\Program Files (x86)\Microsoft Office\root\Office16\EXCEL.EXE
      • C:\Program Files (x86)\Microsoft Office\root\Office16\POWERPNT.EXE

      Нажмите кнопку Далее.

    4. В окне Операции с приложениями установите флажок рядом с пунктом Запустить новое приложение, чтобы включить его, и нажмите кнопку Далее.

    5. В окне Приложения нажмите Добавить и введите следующие имена, нажимая OK Добавить после каждого из них:

      • C:\Windows\System32\cmd.exe
      • C:\Windows\SysWOW64\cmd.exe
      • C:\Windows\System32\wscript.exe
      • C:\Windows\SysWOW64\wscript.exe
      • C:\Windows\System32\cscript.exe
      • C:\Windows\SysWOW64\cscript.exe
      • C:\Windows\System32\ntvdm.exe
      • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
      • C:\Windows\System32\regsvr32.exe
      • C:\Windows\SysWOW64\regsvr32.exe
      • C:\Windows\System32\rundll32.exe
      • C:\Windows\SysWOW64\rundll32.exe

      Нажмите Готово.

    6. Добавьте дополнительные версии Office по мере необходимости, повторив те же инструкции, что и выше.

      • 2013 = Office15(C:\Program Files (x86)\Microsoft Office\Office15\...)
      • 2010 = Office14

    7. Оставьте окно правил HIPS открытым и перейдите к следующему разделу.


    IV. Запрет дочерних процессов для regsrv32.exe

    1. В окне правил HIPS нажмите кнопку Добавить.

    2. Введите Запретить дочерние процессы для regsrv32.exe в поле Имя правила.

      В раскрывающемся меню Действие выберите Блокировать.

      Щелкните тумблер рядом со следующими параметрами, чтобы включить их:

      • Приложения
      • Включено
      • Оповещать пользователя

      В раскрывающемся меню Строгость регистрации выберите Предупреждение и нажмите Далее.

    3. В окне Исходные приложения нажмите Добавить и введите следующие имена, нажимая OK Добавить после каждого из них:

      • C:\Windows\System32\regsvr32.exe
      • C:\Windows\SysWOW64\regsvr32.exe

      Нажмите кнопку Далее.

    4. В окне Операции с приложениями щелкните тумблер рядом с пунктом Запустить новое приложение, чтобы включить его, и нажмите Далее.

    5. В окне Приложения нажмите Добавить и введите следующие имена, нажимая OK Добавить после каждого из них:

      • C:\Windows\System32\cmd.exe
      • C:\Windows\SysWOW64\cmd.exe
      • C:\Windows\System32\wscript.exe
      • C:\Windows\SysWOW64\wscript.exe
      • C:\Windows\System32\cscript.exe
      • C:\Windows\SysWOW64\cscript.exe
      • C:\Windows\System32\ntvdm.exe
      • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

      Нажмите кнопку Готово.

    6. Оставьте окно правил HIPS открытым и перейдите к следующему разделу.


    V. Запретить дочерние процессы для mshta.exe

    1. В окне правил HIPS нажмите кнопку Добавить.

    2. Введите Запретить дочерние процессы для mshta.exe в поле Имя правила.

      В раскрывающемся меню Действие выберите Блокировать.

      Щелкните тумблер рядом со следующими параметрами, чтобы включить их:

      • Приложения
      • Включено
      • Уведомлять пользователя

      В раскрывающемся меню Строгость регистрации выберите Предупреждение и нажмите Далее.

    3. В окне Исходные приложения нажмите Добавить и введите следующие имена, нажимая OK Добавить после каждого из них:

      • C:\Windows\System32\mshta.exe
      • C:\Windows\SysWOW64\mshta.exe

      Нажмите кнопку Далее.

    4. В окне Операции с приложениями щелкните тумблер рядом с пунктом Запустить новое приложение, чтобы включить его, и нажмите Далее.

    5. В раскрывающемся меню выберите Все приложения и нажмите Готово.

    6. Оставьте окно правил HIPS открытым и перейдите к следующему разделу.


    VI. Запрет дочерних процессов для rundll32.exe

    1. В окне правил HIPS нажмите кнопку Добавить.

    2. Введите Запретить дочерние процессы для rundll32.exe в поле Имя правила.

      В раскрывающемся меню Действие выберите Блокировать.

      Щелкните тумблер рядом со следующими параметрами, чтобы включить их:

      • Приложения
      • Включено
      • Уведомлять пользователя

      В раскрывающемся меню Строгость ведения журнала выберите Предупреждение и нажмите Далее.

    3. В окне Исходные приложения нажмите Добавить, введите C:\Windows\System32\rundll32.exe в поле Укажите путь к файлу, а затем нажмите OK Далее.

    4. В окне Операции с приложениями щелкните тумблер рядом с пунктом Запустить новое приложение, чтобы включить его, и нажмите кнопку Далее.

    5. В окне Приложения нажмите Добавить и введите следующие имена, нажимая OK Добавить после каждого из них:

      • C:\Windows\System32\cmd.exe
      • C:\Windows\SysWOW64\cmd.exe
      • C:\Windows\System32\wscript.exe
      • C:\Windows\SysWOW64\wscript.exe
      • C:\Windows\System32\cscript.exe
      • C:\Windows\SysWOW64\cscript.exe
      • C:\Windows\System32\ntvdm.exe
      • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

      Нажмите кнопку Готово.

    6. Оставьте окно правил HIPS открытым и перейдите к следующему разделу.


    VII. Запрет дочерних процессов для powershell.exe

    1. В окне правил HIPS нажмите кнопку Добавить.

    2. Введите Запретить дочерние процессы для powershell.exe в поле Имя правила.

      В раскрывающемся меню Действие выберите Блокировать.

      Щелкните тумблер рядом со следующими параметрами, чтобы включить их:

      • Приложения
      • Включено
      • Уведомлять пользователя

      В раскрывающемся меню Строгость регистрации выберите Предупреждение и нажмите Далее.

    3. В окне Исходные приложения нажмите Добавить и введите следующие имена, нажимая OK Добавить после каждого из них:

      • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

      Нажмите кнопку Далее.

    4. В окне Операции с приложениями щелкните тумблер рядом с пунктом Запустить новое приложение, чтобы включить его, и нажмите кнопку Далее.

    5. В раскрывающемся меню выберите Все приложения и нажмите Готово.

  3. Если вы создаете политику, в окне Правила HIPS нажмите OK и завершите работу мастера создания политики.

    Если вы настраиваете бизнес-приложение ESET, нажмите OKOK.

Загрузка и импорт политики ESET PROTECT или ESET PROTECT On-Prem

Политику ESET PROTECT или ESET PROTECT On-Prem для бизнес-приложений ESET с дополнительными настройками HIPS для защиты от вредоносных программ-вымогателей (filecoder) можно загрузить по ссылкам ниже. Политики доступны только для последней версии приложений ESET. Совместимость с более ранними версиями не гарантируется.

  1. Загрузите дополнительную политику HIPS-защиты ESET PROTECT или ESET PROTECT On-Prem для:

  3. Откройте окно импорта политики:

    ESET PROTECT

    Нажмите КонфигурацияРасширенная настройкаДействияИмпорт.

    ESET PROTECT On-Prem

    Нажмите ПолитикиДействияИмпорт.

  4. Нажмите кнопку Выберите файл для загрузки, выберите загруженную политику и нажмите Импорт.

  5. Назначьте политику клиенту или назначьте политику группе.

Last Updated: 27 апр. 2026 г.

Дополнительные ресурсы

Документация

Форум пользователей

Видео
ESET Status Portal ESET Technical Support

Существующий клиент?