Выпуск
- Вы хотите настроить дополнительные правила HIPS в следующих бизнес-продуктах ESET для Windows или создать политику в ESET PROTECT или ESET PROTECT On-Prem с дополнительными настройками HIPS для защиты от вредоносного ПО с функцией выкупа (filecoder)
- ESET Endpoint Security
- ESET Endpoint Antivirus
- ESET Mail Security для Microsoft Exchange Server
- ESET Server Security для Microsoft Windows Server
- Ручное создание политики ESET PROTECT/настройка параметров в продуктах ESET для бизнеса
- Загрузите и импортируйте политику ESET PROTECT
Click an image to open the ESET Knowledgebase article for anti-ransomware best practices and additional product configurations:
Подробности
Нажмите для расширения
Система предотвращения вторжений на основе хоста (HIPS) компании ESET входит в состав ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security для Microsoft Exchange Server и ESET Server Security для Microsoft Windows Server. HIPS отслеживает активность системы и использует заранее определенный набор правил для распознавания подозрительного поведения системы.
При выявлении такого рода активности механизм самозащиты HIPS останавливает программу или процесс, совершающий потенциально опасное действие. Запрещая стандартное выполнение JavaScript и других скриптов, вымогательские программы не могут загружаться и исполняться. Чтобы дополнительно предотвратить появление вредоносных программ-вымогателей в системах Windows, создайте следующие правила в новейших бизнес-продуктах ESET с HIPS или создайте и примените политику ESET PROTECT.
Решение
Ручное создание политики ESET PROTECT/настройка параметров в бизнес-продуктах ESET
- Откройте ESET PROTECT или ESET PROTECT On-Prem. В раскрывающемся меню Быстрые ссылки нажмите Создать новую политику.....
Если вы используете бизнес-продукт ESET без удаленного управления, откройте главное окно программы вашего продукта ESET Windows и нажмите клавишу F5, чтобы перейти к расширенной настройке. Перейдите к шагу 3. - Нажмите кнопку Настройки и в раскрывающемся меню Выберите продукт... выберите один из следующих бизнес-продуктов ESET с HIPS:
-
- ESET Endpoint for Windows.
- ESET File Security для Windows Server (V6+).
- ESET Mail Security для Microsoft Exchange (V6+).
Нажмите на изображение, чтобы увеличить его в новом окне
- Щелкните Detection Engine(Компьютер в ESET Mail Security для Microsoft Exchange Server) → HIPS. Нажмите Редактировать рядом с пунктом Правила.
Щелкните изображение для просмотра в большем размере в новом окне
Щелкните вариант (I. - VII.), чтобы развернуть каждый раздел ниже для создания правил HIPS для предложенных процессов.
I. Запретить процессы из исполняемых сценариев
- В окне правил HIPS нажмите кнопку Добавить.
-
Введите Запретить дочерние процессы из исполняемых файлов сценариев в поле Имя правила. В раскрывающемся меню Действие выберите Блокировать. Щелкните тумблер рядом с Приложениями, Включено и Уведомлять пользователя, чтобы включить эти параметры. В раскрывающемся меню Строгость регистрации выберите Предупреждение и нажмите Далее.
-
В окне Исходные приложения нажмите Добавить и введите следующие имена, нажимая OK → Добавить после каждого из них:
C:\Windows\System32\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exe
Нажмите кнопку Далее.
- В окне Операции с приложениями нажмите на тумблер рядом с пунктом Запустить новое приложение, чтобы включить его, и нажмите Далее.
- Выберите Все приложения из выпадающего меню и нажмите Готово.
- Оставьте окно правил HIPS открытым и перейдите к следующему разделу.
II. Запрет процессов сценариев, запускаемых проводником
- В окне правил HIPS нажмите Добавить.
-
Введите Deny script processes started by explorer в поле Rule name.
В раскрывающемся меню Действие выберите Блокировать.
Щелкните тумблер рядом с:
В раскрывающемся меню Строгость регистрации выберите Предупреждение и нажмите Далее.
- В окне Исходные приложения нажмите Добавить, введите C:\Windows\explorer.exe в поле Укажите путь к файлу, а затем нажмите OK → Далее.
- В окне Операции с приложениями нажмите на тумблер рядом с пунктом Запустить новое приложение, чтобы включить его, и нажмите Далее.
-
В окне Приложения нажмите Добавить и введите следующие имена, нажимая OK → Добавить после каждого из них:
C:\Windows\System32\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\SysWOW64\cscript.exe
Нажмите Готово.
- Оставьте окно правил HIPS открытым и перейдите к следующему разделу.
III. Запрет дочерних процессов из процессов Office 2013/2016
- В окне правил HIPS нажмите Добавить.
-
Введите Запретить дочерние процессы из процессов Office 2013 в поле Имя правила. В раскрывающемся меню Действие выберите Блокировать. Щелкните тумблер рядом с пунктами Приложения, Включено и Уведомлять пользователя, чтобы включить эти параметры. В раскрывающемся меню Строгость регистрации выберите Предупреждение и нажмите Далее.
-
В окне Исходные приложения нажмите Добавить и введите следующие имена, нажимая OK → Добавить после каждого из них:
C:\Program Files\Microsoft Office\Office15\WINWORD.EXEC:\Program Files\Microsoft Office\Office15\OUTLOOK.EXEC:\Program Files\Microsoft Office\Office15\EXCEL.EXEC:\Program Files\Microsoft Office\Office15\POWERPNT.EXEC:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXEC:\Program Files (x86)\Microsoft Office\Office15\OUTLOOK.EXEC:\Program Files (x86)\Microsoft Office\Office15\EXCEL.EXEC:\Program Files (x86)\Microsoft Office\Office15\POWERPNT.EXE
Нажмите кнопку Далее.
- В окне Операции с приложениями нажмите на переключатель рядом с пунктом Запустить новое приложение, чтобы включить его, и нажмите Далее.
-
В окне Приложения нажмите Добавить и введите следующие имена, нажимая OK → Добавить после каждого из них:
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exeC:\Windows\System32\regsvr32.exeC:\Windows\SysWOW64\regsvr32.exeC:\Windows\System32\rundll32.exeC:\Windows\SysWOW64\rundll32.exe
Нажмите Готово.
-
Добавьте дополнительные версии Office по мере необходимости, повторив те же инструкции, что и выше.
- 2016 = Office16 (C:\Program Files (x86)\Microsoft Office\Root\Office16\...)
- 2010 = Office14
-
Оставьте окно правил HIPS открытым и перейдите к следующему разделу.
IV. Запретить дочерние процессы для regsrv32.exe
- В окне правил HIPS нажмите кнопку Добавить.
-
Введите Запретить дочерние процессы для regsrv32.exe в поле Имя правила.
В раскрывающемся меню Действие выберите Блокировать.
Щелкните тумблер рядом со следующими параметрами, чтобы включить их:
- Приложения
- Включено
- Оповещать пользователя
В раскрывающемся меню Строгость ведения журнала выберите Предупреждение и нажмите Далее.
-
В окне Исходные приложения нажмите Добавить и введите следующие имена, нажимая OK → Добавить после каждого из них:
C:\Windows\System32\regsvr32.exeC:\Windows\SysWOW64\regsvr32.exe
Нажмите Далее.
- В окне Операции с приложениями нажмите на тумблер рядом с пунктом Запустить новое приложение, чтобы включить его, и нажмите Далее.
-
В окне Приложения нажмите Добавить и введите следующие имена, нажимая OK → Добавить после каждого из них:
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Нажмите Готово.
- Оставьте окно правил HIPS открытым и перейдите к следующему разделу.
V. Запрет дочерних процессов для mshta.exe
- В окне правил HIPS нажмите Добавить.
-
Введите Запретить дочерние процессы для mshta.exe в поле Имя правила.
В раскрывающемся меню Действие выберите Блокировать.
Щелкните тумблер рядом со следующими параметрами, чтобы включить их:
- Приложения
- Включено
- Уведомлять пользователя
В раскрывающемся меню Строгость регистрации выберите Предупреждение и нажмите Далее.
-
В окне Исходные приложения нажмите Добавить и введите следующие имена, нажимая OK → Добавить после каждого из них:
C:\Windows\System32\mshta.exeC:\Windows\SysWOW64\mshta.exe
Нажмите Далее.
- В окне Операции с приложениями нажмите на тумблер рядом с пунктом Запустить новое приложение, чтобы включить его, и нажмите Далее.
- Выберите Все приложения из выпадающего меню и нажмите Готово.
- Оставьте окно правил HIPS открытым и перейдите к следующему разделу.
VI. Запрет дочерних процессов для rundll32.exe
- В окне правил HIPS нажмите кнопку Добавить.
-
Введите Запретить дочерние процессы для rundll32.exe в поле Имя правила.
В раскрывающемся меню Действие выберите Блокировать.
Щелкните тумблер рядом со следующими параметрами, чтобы включить их:
- Приложения
- Включено
- Уведомлять пользователя
В раскрывающемся меню Строгость регистрации выберите Предупреждение и нажмите Далее.
- В окне Исходные приложения нажмите Добавить, введите
C:\Windows\System32\rundll32.exeв поле Укажите путь к файлу, а затем нажмите OK → Далее.
- В окне Операции с приложениями нажмите на тумблер рядом с пунктом Запустить новое приложение, чтобы включить его, и нажмите Далее.
-
В окне Приложения нажмите Добавить и введите следующие имена, нажимая OK → Добавить после каждого из них:
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Нажмите Готово.
- Оставьте окно правил HIPS открытым и перейдите к следующему разделу.
VII. Запрет дочерних процессов для powershell.exe
- В окне правил HIPS нажмите Добавить.
-
Введите Запретить дочерние процессы для powershell.exe в поле Имя правила.
В раскрывающемся меню Действие выберите Блокировать.
Щелкните тумблер рядом со следующими параметрами, чтобы включить их:
- Приложения
- Включено
- Уведомлять пользователя
В раскрывающемся меню Строгость регистрации выберите Предупреждение и нажмите Далее.
-
В окне Исходные приложения нажмите Добавить и введите следующие имена, нажимая OK → Добавить после каждого из них:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Нажмите кнопку Далее.
- В окне Операции с приложениями нажмите на тумблер рядом с пунктом Запустить новое приложение, чтобы включить его, и нажмите Далее.
- Выберите Все приложения из выпадающего меню и нажмите Готово.
- В окне Правила HIPS нажмите OK. Чтобы назначить политику клиенту или группе, нажмите Назначить ; в противном случае нажмите Готово в окне Новая политика - Параметры. Если политика назначена, ее параметры будут применяться к целевым группам или клиентским компьютерам после их регистрации в ESET PROTECT или ESET PROTECT On-Prem.
Если вы используете бизнес-продукт ESET без удаленного управления, дважды нажмите OK.
Загрузка и импорт политики ESET PROTECT
Политику ESET PROTECT для бизнес-продуктов ESET с дополнительными настройками HIPS для защиты от вредоносных программ-вымогателей (filecoder) можно загрузить и импортировать по ссылкам ниже. Политика ESET PROTECT доступна только для последней версии продуктов ESET. Совместимость с более ранними версиями не гарантируется.
-
Загрузите политику дополнительной HIPS-защиты ESET PROTECT для:
-
Откройте ESET PROTECT или ESET PROTECT On-Prem. В главном меню нажмите Политики.
- Нажмите Действия → Импорт.....
Щелкните изображение, чтобы увеличить его в новом окне
- Нажмите Выберите файл для загрузки, выберите загруженную политику и нажмите Импорт.
- Назначьте политику клиенту или назначьте политику группе. Параметры политики будут применены к целевым группам или клиентским компьютерам после их регистрации в ESET PROTECT или ESET PROTECT On-Prem.
