Problemställning
- Du vill konfigurera ytterligare HIPS-regler i följande ESET Business-produkter för Windows eller skapa en policy i ESET PROTECT eller ESET PROTECT On-Prem med ytterligare HIPS-inställningar för att skydda mot skadlig ransomware (filkodare)
- ESET Endpoint-säkerhet
- ESET Endpoint Antivirus
- ESET Mail Security för Microsoft Exchange Server
- ESET File Security för Microsoft Windows Server
- Skapa en ESET PROTECT-policy manuellt/konfigurera inställningarna i ESET:s företagsprodukter
- Ladda ner och importera ESET PROTECT-policyn
Click an image to open the ESET Knowledgebase article for anti-ransomware best practices and additional product configurations:
Mer information
Klicka för att expandera
ESET:s Host-based Intrusion Prevention System (HIPS) ingår i ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security för Microsoft Exchange Server och ESET File Security för Microsoft Windows Server. HIPS övervakar systemaktivitet och använder en fördefinierad uppsättning regler för att känna igen misstänkt systembeteende.
När den här typen av aktivitet identifieras stoppar HIPS självförsvarsmekanism det felaktiga programmet eller processen från att utföra en potentiellt skadlig aktivitet. Genom att förbjuda standardkörning av JavaScript och andra skript kan ransomware inte laddas ner eller köras. För att ytterligare hjälpa till att förhindra skadlig ransomware på dina Windows-system kan du skapa följande regler i de senaste ESET Business-produkterna med HIPS eller skapa och tillämpa en ESET PROTECT-policy.
Lösning
Skapa en ESET PROTECT-policy manuellt/konfigurera inställningarna i ESET:s affärsprodukter
- Öppna ESET PROTECT eller ESET PROTECT On-Prem. Klicka på Skapa ny policy i rullgardinsmenyn Snabblänkar....
Om du använder en ESET-affärsprodukt utan fjärrhantering, öppna huvudprogramfönstret för din ESET Windows-produkt och tryck på F5 för att komma till Avancerad installation. Fortsätt till steg 3. - Klicka på Inställningar och välj någon av följande ESET Business-produkter med HIPS i rullgardinsmenyn Välj produkt...:
-
- ESET Endpoint för Windows.
- ESET File Security för Windows Server (V6+).
- ESET Mail Security för Microsoft Exchange (V6+).
Klicka på bilden för att visa den i större format i ett nytt fönster
- Klicka på Detektionsmotor(dator i ESET Mail Security för Microsoft Exchange Server) → HIPS. Klicka på Redigera bredvid Regler.
Klicka på bilden för att se den i större format i det nya fönstret
Klicka på alternativet (I. till VII.) för att expandera varje avsnitt nedan för att skapa HIPS-regler för de föreslagna processerna.
I. Neka processer från körbara skript
- Klicka på Lägg till i fönstret HIPS-regler.
-
Skriv Deny child processes from script executables i fältet Rule name. Välj Blockera i rullgardinsmenyn Åtgärd . Klicka på vippan bredvid Program, Aktiverad och Meddela användare för att aktivera dessa inställningar. Välj Varning i rullgardinsmenyn Loggningens allvarlighetsgrad och klicka på Nästa.
-
Klicka på Lägg till i fönstret Källprogram och skriv in följande namn genom att klicka på OK → Lägg till efter varje namn:
C:\Windows\System32\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exe
Klicka på Nästa.
- I fönstret Application operations (Programverksamhet ) klickar du på reglaget bredvid Start new application (Starta nytt program ) för att aktivera det och klickar på Next(Nästa).
- Välj Alla program i rullgardinsmenyn och klicka på Slutför.
- Lämna fönstret HIPS-regler öppet och fortsätt till nästa avsnitt.
II. Neka skriptprocesser som startas av Explorer
- Klicka på Lägg till i fönstret HIPS-regler.
-
Skriv Deny script processes started by explorer i fältet Rule name.
Välj Blockera i rullgardinsmenyn Åtgärd .
Klicka på vippan bredvid:
Välj Varning i rullgardinsmenyn Loggningens allvarlighetsgrad och klicka på Nästa.
- Klicka på Lägg till i fönstret Källprogram, skriv C:\Windows\explorer.exe i fältet Ange filsökväg och klicka sedan på OK → Nästa.
- I fönstret Programoperationer klickar du på växlingsknappen bredvid Starta nytt program för att aktivera det och klickar sedan på Nästa.
-
Klicka på Lägg till i fönstret Program och skriv in följande namn genom att klicka på OK → Lägg till efter varje namn:
C:\Windows\System32\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\SysWOW64\cscript.exe
Klicka på Slutför.
- Lämna fönstret med HIPS-regler öppet och fortsätt till nästa avsnitt.
III. Neka underordnade processer från Office 2013/2016-processer
- Klicka på Lägg till i fönstret HIPS-regler.
-
Skriv Deny child processes from Office 2013 processes i fältet Rule name. Välj Blockera i rullgardinsmenyn Åtgärd . Klicka på vippan bredvid Program, Aktiverad och Meddela användare för att aktivera dessa inställningar. Välj Varning i rullgardinsmenyn Loggningens allvarlighetsgrad och klicka på Nästa.
-
Klicka på Lägg till i fönstret Källprogram och skriv in följande namn och klicka på OK → Lägg till efter varje namn:
C:\Program Files\Microsoft Office\Office15\WINWORD.EXEC:\Program Files\Microsoft Office\Office15\OUTLOOK.EXEC:\Program Files\Microsoft Office\Office15\EXCEL.EXEC:\Program Files\Microsoft Office\Office15\POWERPNT.EXEC:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXEC:\Program Files (x86)\Microsoft Office\Office15\OUTLOOK.EXEC:\Program Files (x86)\Microsoft Office\Office15\EXCEL.EXEC:\Program Files (x86)\Microsoft Office\Office15\POWERPNT.EXE
Klicka på Nästa.
- I fönstret Programoperationer klickar du på reglaget bredvid Starta nytt program för att aktivera det och klickar på Nästa.
-
Klicka på Lägg till i fönstret Program och skriv in följande namn genom att klicka på OK → Lägg till efter varje namn:
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exeC:\Windows\System32\regsvr32.exeC:\Windows\SysWOW64\regsvr32.exeC:\Windows\System32\rundll32.exeC:\Windows\SysWOW64\rundll32.exe
Klicka på Finish.
-
Lägg till ytterligare Office-versioner efter behov genom att upprepa samma instruktioner som ovan.
- 2016 = Office16 (C:\Program Files (x86)\Microsoft Office\Root\Office16\...)
- 2010 = Office14
-
Lämna fönstret med HIPS-regler öppet och fortsätt till nästa avsnitt.
IV. Neka underordnade processer för regsrv32.exe
- Klicka på Lägg till i fönstret HIPS-regler.
-
Skriv Neka barnprocesser för regsrv32.exe i fältet Regelnamn.
Välj Blockera i rullgardinsmenyn Åtgärd .
Klicka på växla bredvid följande inställningar för att aktivera dem:
- Program
- Aktiverad
- Meddela användare
Välj Warning i rullgardinsmenyn Logging severity och klicka på Next.
-
Klicka på Lägg till i fönstret Källprogram och skriv in följande namn genom att klicka på OK → Lägg till efter varje namn:
C:\Windows\System32\regsvr32.exeC:\Windows\SysWOW64\regsvr32.exe
Klicka på Nästa.
- I fönstret Programoperationer klickar du på reglaget bredvid Starta nytt program för att aktivera det och klickar sedan på Nästa.
-
Klicka på Add i fönstret Applications och skriv in följande namn genom att klicka på OK → Add efter varje namn:
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Klicka på Slutför.
- Lämna fönstret med HIPS-regler öppet och fortsätt till nästa avsnitt.
V. Neka underordnade processer för mshta.exe
- Klicka på Lägg till i fönstret HIPS-regler.
-
Skriv Neka barnprocesser för mshta.exe i fältet Regelnamn.
Välj Blockera i rullgardinsmenyn Åtgärd .
Klicka på växlingsknappen bredvid följande inställningar för att aktivera dem:
- Program
- Aktiverad
- Meddela användare
Välj Warning i rullgardinsmenyn Logging severity och klicka på Next.
-
Klicka på Lägg till i fönstret Källprogram och skriv in följande namn genom att klicka på OK → Lägg till efter varje namn:
C:\Windows\System32\mshta.exeC:\Windows\SysWOW64\mshta.exe
Klicka på Nästa.
- I fönstret Programoperationer klickar du på reglaget bredvid Starta nytt program för att aktivera det och klickar på Nästa.
- Välj Alla program i rullgardinsmenyn och klicka på Slutför.
- Lämna fönstret HIPS-regler öppet och fortsätt till nästa avsnitt.
VI. Neka underordnade processer för rundll32.exe
- Klicka på Lägg till i fönstret HIPS-regler.
-
Skriv Neka barnprocesser för rundll32.exe i fältet Regelnamn.
Välj Blockera i rullgardinsmenyn Åtgärd .
Klicka på växlingsmarkeringen bredvid följande inställningar för att aktivera dem:
- Program
- Aktiverad
- Meddela användare
Välj Warning i rullgardinsmenyn Logging severity och klicka på Next.
- Klicka på Lägg till i fönstret Källprogram, skriv
C:\Windows\System32\rundll32.exei fältet Ange filsökväg och klicka sedan på OK → Nästa.
- I fönstret Programoperationer klickar du på växlingsknappen bredvid Starta nytt program för att aktivera det och klickar sedan på Nästa.
-
Klicka på Lägg till i fönstret Program och skriv in följande namn och klicka på OK → Lägg till efter varje namn:
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Klicka på Slutför.
- Lämna fönstret med HIPS-regler öppet och fortsätt till nästa avsnitt.
VII. Neka underordnade processer för powershell.exe
- Klicka på Lägg till i fönstret HIPS-regler.
-
Skriv Neka barnprocesser för powershell.exe i fältet Regelnamn.
Välj Blockera i rullgardinsmenyn Åtgärd .
Klicka på växlingsknappen bredvid följande inställningar för att aktivera dem:
- Program
- Aktiverad
- Meddela användare
Välj Warning i rullgardinsmenyn Logging severity och klicka på Next.
-
Klicka på Lägg till i fönstret Källprogram och skriv in följande namn och klicka på OK → Lägg till efter varje namn:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Klicka på Nästa.
- I fönstret Programfunktioner klickar du på reglaget bredvid Starta nytt program för att aktivera det och klickar sedan på Nästa.
- Välj Alla program i rullgardinsmenyn och klicka på Slutför.
- Klicka på OK i fönstret HIPS-regler . Expandera Tilldela om du vill tilldela principen till en klient eller grupp, annars klickar du på Slutför i fönstret Ny princip - inställningar. Om du har tilldelat dina policyinställningar kommer de att tillämpas på målgrupperna eller klientdatorerna när de checkar in i ESET PROTECT eller ESET PROTECT On-Prem.
Om du använder en ESET Business-produkt utan fjärrhantering klickar du på OK två gånger.
Hämta och importera ESET PROTECT-policyn
ESET PROTECT-policyn för ESET Business-produkter med ytterligare HIPS-inställningar för att skydda mot skadlig programvara för ransomware (filkodare) kan laddas ner och importeras från länkarna nedan. ESET PROTECT-policyn är endast tillgänglig för den senaste versionen av ESET-produkter. Kompatibilitet med tidigare versioner kan inte garanteras.
-
Ladda ner ESET PROTECT-policyn för ytterligare HIPS-skydd för:
-
Öppna ESET PROTECT eller ESET PROTECT On-Prem. Klicka på Policies i huvudmenyn.
- Klicka på Åtgärder → Importera....
Klicka på bilden för att visa den i större format i ett nytt fönster
- Klicka på Välj fil att ladda upp, välj den nedladdade policyn och klicka på Importera.
- Tilldela policyn till en klient eller tilldela policyn till en grupp. Policyinställningarna kommer att tillämpas på målgrupperna eller klientdatorerna när de checkar in i ESET PROTECT eller ESET PROTECT On-Prem.
