O čo ide
- Chcete nakonfigurovať ďalšie pravidlá HIPS v nasledujúcich firemných produktoch ESET pre Windows alebo vytvoriť politiku v ESET PROTECT alebo ESET PROTECT On-Prem s dodatočnými nastaveniami HIPS na ochranu pred ransomvérom (škodlivým softvérom filecoder)
- ESET Endpoint Security
- ESET Endpoint Antivirus
- ESET Mail Security for Microsoft Exchange Server
- ESET File Security pre Microsoft Windows Server
- Manuálne vytvorenie politiky v ESET PROTECT/konfigurácia nastavení vo firemných produktoch ESET
- Stiahnutie a importovanie politiky v ESET PROTECT
Kliknutím na nasledujúce obrázky otvoríte články databázy znalostí spoločnosti ESET, v ktorých nájdete osvedčené postupy pri ochrane pred ransomvérom a dodatočné konfigurácie produktov:
Podrobnosti
Kliknutím rozbaľte
Systém HIPS (Host-based Intrusion Prevention System) je súčasťou produktov ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security for Microsoft Exchange Server a ESET File Security for Microsoft Windows Server. Systém HIPS monitoruje aktivitu systému a používa vopred definovaný súbor pravidiel na rozpoznanie podozrivého správania systému.
Keď dôjde k identifikovaniu takéhoto typu aktivity, sebaobranný mechanizmus HIPS zastaví problematický program alebo proces, aby nevykonával potenciálne škodlivú činnosť. Zakázaním štandardného spustenia JavaScriptu a iných skriptov sa ransomvér nemôže stiahnuť ani spustiť. Ak chcete ransomvéru na systémoch Windows predchádzať ešte dôkladnejšie, vytvorte nasledujúce pravidlá v najnovších firemných produktoch ESET s HIPS alebo vytvorte a aplikujte politiku v ESET PROTECT.
Riešenie
Manuálne vytvorenie politiky v ESET PROTECT/konfigurácia nastavení vo firemných produktoch ESET
- Otvorte ESET PROTECT alebo ESET PROTECT On-Prem. V roletovom menu Rýchle odkazy kliknite na položku Vytvoriť novú politiku...
Ak používate firemný produkt ESET bez vzdialenej správy, otvorte hlavné okno produktu ESET pre Windows a stlačte kláves F5, aby ste sa dostali k rozšíreným nastaveniam. Prejdite na krok č. 3.
- Kliknite na Nastavenia a z roletového menu Vyberte produkt... vyberte jeden z nasledujúcich firemných produktov ESET s HIPS:
-
- ESET Endpoint for Windows
- ESET File Security for Windows Server (V6+)
- ESET Mail Security for Microsoft Exchange (V6+)
Kliknite na obrázok pre jeho zväčšenie v novom okne.
- Kliknite na Detekčné jadro (v produkte ESET Mail Security for Microsoft Exchange Server na Počítač) → HIPS. Kliknite na možnosť Upraviť vedľa položky Pravidlá.
Kliknite na obrázok pre jeho zväčšenie v novom okne.
Kliknutím na čísla I. až VII. rozbaľte jednotlivé časti s pokynmi na vytvorenie pravidiel HIPS pre navrhované procesy.
I. Zakázanie procesov zo spustiteľných súborov skriptov
- V okne Pravidlá HIPS kliknite na Pridať.
-
Do poľa Názov pravidla zadajte Deny child processes from script executables (Zakázať procesy zo spustiteľných súborov skriptov). V roletovom menu Akcia vyberte možnosť Blokovať. Kliknite na prepínacie tlačidlo vedľa možnosti Aplikácie, Zapnuté a Upozorniť používateľa, aby ste zapli tieto nastavenia. Z roletového menu Závažnosť zapisovania do protokolu vyberte možnosť Upozornenie a kliknite na Ďalej.
-
V okne Zdrojové aplikácie kliknite na Pridať, zadajte nasledujúce názvy a zakaždým kliknite na OK → Pridať :
C:\Windows\System32\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exe
Kliknite na Ďalej.
- V okne Aplikačné operácie kliknite na prepínač vedľa položky Spustiť novú aplikáciu, aby ste ju zapli, a kliknite na Ďalej.
- Z roletového menu vyberte Všetky aplikácie a kliknite na Dokončiť.
- Okno Pravidlá HIPS nechajte otvorené a prejdite na ďalšiu sekciu.
II. Zakázanie procesov skriptov spustených prieskumníkom
- V okne Pravidlá HIPS kliknite na Pridať.
-
Do poľa Názov pravidla zadajte Deny script processes started by explorer (Zakázať procesy skriptov spustené prieskumníkom).
V roletovom menu Akcia vyberte možnosť Blokovať.
Kliknite na prepínacie tlačidlo vedľa možnosti Aplikácie, Zapnuté a Upozorniť používateľa.
Z roletového menu Závažnosť zapisovania do protokolu vyberte možnosť Upozornenie a kliknite na Ďalej.
- V okne Zdrojové aplikácie kliknite na tlačidlo Pridať, do poľa Zadajte cestu k súboru zadajte C:\Windows\explorer.exe a potom kliknite na tlačidlo OK → Ďalej.
- V okne Aplikačné operácie kliknite na prepínač vedľa položky Spustiť novú aplikáciu, aby ste ju zapli, a kliknite na Ďalej.
-
V okne Aplikácie kliknite na Pridať, zadajte nasledujúce názvy a zakaždým kliknite na OK → Pridať :
C:\Windows\System32\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\SysWOW64\cscript.exe
Kliknite na Dokončiť.
- Okno Pravidlá HIPS nechajte otvorené a prejdite na ďalšiu sekciu.
III. Zakázanie podriadených procesov z procesov balíka Office 2013/2016
- V okne Pravidlá HIPS kliknite na Pridať.
-
Do poľa Názov pravidla zadajte Deny child processes from Office 2013 processes (Zakázať podriadené procesy z procesov balíka Office 2013). V roletovom menu Akcia vyberte možnosť Blokovať. Kliknite na prepínacie tlačidlo vedľa možnosti Aplikácie, Zapnuté a Upozorniť používateľa, aby ste zapli tieto nastavenia. Z roletového menu Závažnosť zapisovania do protokolu vyberte možnosť Upozornenie a kliknite na Ďalej.
-
V okne Zdrojové aplikácie kliknite na Pridať, zadajte nasledujúce názvy a zakaždým kliknite na OK → Pridať :
C:\Program Files\Microsoft Office\Office15\WINWORD.EXEC:\Program Files\Microsoft Office\Office15\OUTLOOK.EXEC:\Program Files\Microsoft Office\Office15\EXCEL.EXEC:\Program Files\Microsoft Office\Office15\POWERPNT.EXEC:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXEC:\Program Files (x86)\Microsoft Office\Office15\OUTLOOK.EXEC:\Program Files (x86)\Microsoft Office\Office15\EXCEL.EXEC:\Program Files (x86)\Microsoft Office\Office15\POWERPNT.EXE
Kliknite na Ďalej.
- V okne Aplikačné operácie kliknite na prepínač vedľa položky Spustiť novú aplikáciu, aby ste ju zapli, a kliknite na Ďalej.
-
V okne Aplikácie kliknite na Pridať, zadajte nasledujúce názvy a zakaždým kliknite na OK → Pridať:
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exeC:\Windows\System32\regsvr32.exeC:\Windows\SysWOW64\regsvr32.exeC:\Windows\System32\rundll32.exeC:\Windows\SysWOW64\rundll32.exe
Kliknite na Dokončiť.
-
Podľa potreby pridajte ďalšie verzie balíka Office a zopakujte rovnaké pokyny ako vyššie.
- 2016 = Office16 (C:\Program Files (x86)\Microsoft Office\Root\Office16\...)
- 2010 = Office14
-
Okno Pravidlá HIPS nechajte otvorené a prejdite na ďalšiu sekciu.
IV. Zakázanie podriadených procesov pre regsrv32.exe
- V okne Pravidlá HIPS kliknite na Pridať.
-
Do poľa Názov pravidla zadajte Deny child processes for regsrv32.exe (Zakázať podriadené procesy pre regsrv32.exe).
V roletovom menu Akcia vyberte možnosť Blokovať.
Kliknite na prepínacie tlačidlo vedľa nasledujúcich možností na ich zapnutie:
- Aplikácie
- Zapnuté
- Upozorniť používateľa
Z roletového menu Závažnosť zapisovania do protokolu vyberte možnosť Upozornenie a kliknite na Ďalej.
-
V okne Zdrojové aplikácie kliknite na Pridať, zadajte nasledujúce názvy a zakaždým kliknite na OK → Pridať:
C:\Windows\System32\regsvr32.exeC:\Windows\SysWOW64\regsvr32.exe
Kliknite na Ďalej.
- V okne Aplikačné operácie kliknite na prepínač vedľa položky Spustiť novú aplikáciu, aby ste ju zapli, a kliknite na Ďalej.
-
V okne Aplikácie kliknite na Pridať, zadajte nasledujúce názvy a zakaždým kliknite na OK → Pridať:
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Kliknite na Dokončiť.
- Okno Pravidlá HIPS nechajte otvorené a prejdite na ďalšiu sekciu.
V. Zakázanie podriadených procesov pre mshta.exe
- V okne Pravidlá HIPS kliknite na Pridať.
-
Do poľa Názov pravidla zadajte Deny child processes for mshta.exe (Zakázať podriadené procesy pre mshta.exe).
V roletovom menu Akcia vyberte možnosť Blokovať.
Kliknite na prepínacie tlačidlo vedľa nasledujúcich možností na ich zapnutie:
- Aplikácie
- Zapnuté
- Upozorniť používateľa
Z roletového menu Závažnosť zapisovania do protokolu vyberte možnosť Upozornenie a kliknite na Ďalej.
-
V okne Zdrojové aplikácie kliknite na Pridať, zadajte nasledujúce názvy a zakaždým kliknite na OK → Pridať:
C:\Windows\System32\mshta.exeC:\Windows\SysWOW64\mshta.exe
Kliknite na Ďalej.
- V okne Aplikačné operácie kliknite na prepínač vedľa položky Spustiť novú aplikáciu, aby ste ju zapli, a kliknite na Ďalej.
- Z roletového menu vyberte Všetky aplikácie a kliknite na Dokončiť.
- Okno Pravidlá HIPS nechajte otvorené a prejdite na ďalšiu sekciu.
VI. Zakázanie podriadených procesov pre rundll32.exe
- V okne Pravidlá HIPS kliknite na Pridať.
-
Do poľa Názov pravidla zadajte Deny child processes for rundll32.exe (Zakázať podriadené procesy pre rundll32.exe).
V roletovom menu Akcia vyberte možnosť Blokovať.
Kliknite na prepínacie tlačidlo vedľa nasledujúcich možností na ich zapnutie:
- Aplikácie
- Zapnuté
- Upozorniť používateľa
Z roletového menu Závažnosť zapisovania do protokolu vyberte možnosť Upozornenie a kliknite na Ďalej.
- V okne Zdrojové aplikácie kliknite na tlačidlo Pridať, do poľa Zadajte cestu k súboru zadajte
C:\Windows\System32\rundll32.exea potom kliknite na tlačidlo OK → Ďalej.
- V okne Aplikačné operácie kliknite na prepínač vedľa položky Spustiť novú aplikáciu, aby ste ju zapli, a kliknite na Ďalej.
-
V okne Aplikácie kliknite na Pridať, zadajte nasledujúce názvy a zakaždým kliknite na OK → Pridať:
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Kliknite na Dokončiť.
- Okno Pravidlá HIPS nechajte otvorené a prejdite na ďalšiu sekciu.
VII. Zakázanie podriadených procesov pre powershell.exe
- V okne Pravidlá HIPS kliknite na Pridať.
-
Do poľa Názov pravidla zadajte Deny child processes for powershell.exe (Zakázať podriadené procesy pre powershell.exe).
V roletovom menu Akcia vyberte možnosť Blokovať.
Kliknite na prepínacie tlačidlo vedľa nasledujúcich možností na ich zapnutie:
- Aplikácie
- Zapnuté
- Upozorniť používateľa
Z roletového menu Závažnosť zapisovania do protokolu vyberte možnosť Upozornenie a kliknite na Ďalej.
-
V okne Zdrojové aplikácie kliknite na Pridať, zadajte nasledujúce názvy a zakaždým kliknite na OK → Pridať:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Kliknite na Ďalej.
- V okne Aplikačné operácie kliknite na prepínač vedľa položky Spustiť novú aplikáciu, aby ste ju zapli, a kliknite na Ďalej.
- Z roletového menu vyberte Všetky aplikácie a kliknite na Dokončiť.
- V okne Pravidlá HIPS kliknite na OK. Ak chcete priradiť politiku ku klientu alebo skupine, rozbaľte položku Priradiť; v opačnom prípade kliknite na tlačidlo Dokončiť na obrazovke Nová politika – Nastavenia. Po priradení politík sa ich nastavenia aplikujú na cieľové skupiny alebo klientske počítače, keď sa prihlásia do ESET PROTECT alebo ESET PROTECT On-Prem.
Ak používate firemný produkt ESET bez vzdialenej správy, dvakrát kliknite na tlačidlo OK.
Stiahnutie a importovanie politiky v ESET PROTECT
Politiku ESET PROTECT pre firemné produkty ESET s dodatočnými nastaveniami HIPS na ochranu pred ransomvérom (škodlivým softvérom filecoder) si môžete stiahnuť a importovať z odkazov nižšie. Politika ESET PROTECT je dostupná len pre najnovšie verzie produktov ESET. Kompatibilitu so staršími verziami nemožno zaručiť.
-
Stiahnite si politiku ESET PROTECT s nastaveniami HIPS na ochranu pred ransomvérom pre:
-
Otvorte ESET PROTECT alebo ESET PROTECT On-Prem. V hlavnom menu kliknite na Politiky.
- Kliknite na Akcie → Importovať....
Kliknite na obrázok pre jeho zväčšenie v novom okne.
- Kliknite na Vybrať súbor, vyberte stiahnutú politiku a kliknite na Importovať.
- Priraďte politiku ku klientu alebo k skupine. Nastavenia politiky sa aplikujú na cieľové skupiny alebo klientske počítače, keď sa prihlásia do ESET PROTECT alebo ESET PROTECT On-Prem.
