Problém
- Chcete nakonfigurovať ďalšie pravidlá HIPS v nasledujúcich firemných produktoch ESET pre Windows alebo vytvoriť politiku v ESET PROTECT s dodatočnými nastaveniami HIPS na ochranu pred ransomvérom (škodlivým softvérom filecoder)
- ESET Endpoint Security
- ESET Endpoint Antivirus
- ESET Mail Security for Microsoft Exchange Server
- ESET File Security pre Microsoft Windows Server
- Manuálne vytvorenie politiky v ESET PROTECT/konfigurácia nastavení vo firemných produktoch ESET
- Stiahnutie a importovanie politiky v ESET PROTECT
Kliknutím na nasledujúce obrázky otvoríte články databázy znalostí spoločnosti ESET, v ktorých nájdete osvedčené postupy pri ochrane pred ransomvérom a dodatočné konfigurácie produktov:
Podrobnosti
Kliknutím rozbaľte
Systém HIPS (Host-based Intrusion Prevention System) je súčasťou produktov ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security for Microsoft Exchange Server a ESET File Security for Microsoft Windows Server. Systém HIPS monitoruje aktivitu systému a používa vopred definovaný súbor pravidiel na rozpoznanie podozrivého správania systému.
Keď dôjde k identifikovaniu takéhoto typu aktivity, sebaobranný mechanizmus HIPS zastaví problematický program alebo proces, aby nevykonával potenciálne škodlivú činnosť. Zakázaním štandardného spustenia JavaScriptu a iných skriptov sa ransomvér nemôže stiahnuť ani spustiť. Ak chcete ransomvéru na systémoch Windows predchádzať ešte dôkladnejšie, vytvorte nasledujúce pravidlá v najnovších firemných produktoch ESET s HIPS alebo vytvorte a aplikujte politiku v ESET PROTECT.
Riešenie
Manuálne vytvorenie politiky v ESET PROTECT/konfigurácia nastavení vo firemných produktoch ESET
- Otvorte ESET PROTECT alebo ESET PROTECT Cloud Web Console. V roletovom menu Rýchle odkazy kliknite na položku Vytvoriť novú politiku....
Ak používate firemný produkt ESET bez vzdialenej správy, otvorte hlavné okno produktu ESET pre Windows a stlačte kláves F5, aby ste sa dostali k rozšíreným nastaveniam. Prejdite na krok č. 3.
- Kliknite na Nastavenia a z roletového menu Vyberte produkt... vyberte jeden z nasledujúcich firemných produktov ESET s HIPS:
-
- ESET Endpoint for Windows
- ESET File Security for Windows Server (V6+)
- ESET Mail Security for Microsoft Exchange (V6+)
Kliknite na obrázok pre jeho zväčšenie v novom okne.
- Kliknite na Detekčné jadro (v produkte ESET Mail Security for Microsoft Exchange Server na Počítač) → HIPS. Kliknite na možnosť Upraviť vedľa položky Pravidlá.
Kliknite na obrázok pre jeho zväčšenie v novom okne.
Kliknutím na čísla I. až VII. rozbaľte jednotlivé časti s pokynmi na vytvorenie pravidiel HIPS pre navrhované procesy.
I. Zakázanie procesov zo spustiteľných súborov skriptov
- V okne Pravidlá HIPS kliknite na Pridať.
-
Do poľa Názov pravidla zadajte Deny child processes from script executables (Zakázať procesy zo spustiteľných súborov skriptov). V roletovom menu Akcia vyberte možnosť Blokovať. Kliknite na prepínacie tlačidlo vedľa možnosti Aplikácie, Zapnuté a Upozorniť používateľa, aby ste zapli tieto nastavenia. Z roletového menu Závažnosť zapisovania do protokolu vyberte možnosť Upozornenie a kliknite na Ďalej.
-
V okne Zdrojové aplikácie kliknite na Pridať, zadajte nasledujúce názvy a zakaždým kliknite na OK → Pridať :
C:\Windows\System32\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exe
Kliknite na Ďalej.
- V okne Aplikačné operácie kliknite na prepínač vedľa položky Spustiť novú aplikáciu, aby ste ju zapli, a kliknite na Ďalej.
- Z roletového menu vyberte Všetky aplikácie a kliknite na Dokončiť.
- Okno Pravidlá HIPS nechajte otvorené a prejdite na ďalšiu sekciu.
II. Zakázanie procesov skriptov spustených prieskumníkom
- V okne Pravidlá HIPS kliknite na Pridať.
-
Do poľa Názov pravidla zadajte Deny script processes started by explorer (Zakázať procesy skriptov spustené prieskumníkom).
V roletovom menu Akcia vyberte možnosť Blokovať.
Kliknite na prepínacie tlačidlo vedľa možnosti Aplikácie, Zapnuté a Upozorniť používateľa.
Z roletového menu Závažnosť zapisovania do protokolu vyberte možnosť Upozornenie a kliknite na Ďalej.
- V okne Zdrojové aplikácie kliknite na tlačidlo Pridať, do poľa Zadajte cestu k súboru zadajte C:\Windows\explorer.exe a potom kliknite na tlačidlo OK → Ďalej.
- V okne Aplikačné operácie kliknite na prepínač vedľa položky Spustiť novú aplikáciu, aby ste ju zapli, a kliknite na Ďalej.
-
V okne Aplikácie kliknite na Pridať, zadajte nasledujúce názvy a zakaždým kliknite na OK → Pridať :
C:\Windows\System32\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\SysWOW64\cscript.exe
Kliknite na Dokončiť.
- Okno Pravidlá HIPS nechajte otvorené a prejdite na ďalšiu sekciu.
III. Zakázanie podriadených procesov z procesov balíka Office 2013/2016
- V okne Pravidlá HIPS kliknite na Pridať.
-
Do poľa Názov pravidla zadajte Deny child processes from Office 2013 processes (Zakázať podriadené procesy z procesov balíka Office 2013). V roletovom menu Akcia vyberte možnosť Blokovať. Kliknite na prepínacie tlačidlo vedľa možnosti Aplikácie, Zapnuté a Upozorniť používateľa, aby ste zapli tieto nastavenia. Z roletového menu Závažnosť zapisovania do protokolu vyberte možnosť Upozornenie a kliknite na Ďalej.
-
V okne Zdrojové aplikácie kliknite na Pridať, zadajte nasledujúce názvy a zakaždým kliknite na OK → Pridať :
C:\Program Files\Microsoft Office\Office15\WINWORD.EXEC:\Program Files\Microsoft Office\Office15\OUTLOOK.EXEC:\Program Files\Microsoft Office\Office15\EXCEL.EXEC:\Program Files\Microsoft Office\Office15\POWERPNT.EXEC:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXEC:\Program Files (x86)\Microsoft Office\Office15\OUTLOOK.EXEC:\Program Files (x86)\Microsoft Office\Office15\EXCEL.EXEC:\Program Files (x86)\Microsoft Office\Office15\POWERPNT.EXE
Kliknite na Ďalej.
- V okne Aplikačné operácie kliknite na prepínač vedľa položky Spustiť novú aplikáciu, aby ste ju zapli, a kliknite na Ďalej.
-
V okne Aplikácie kliknite na Pridať, zadajte nasledujúce názvy a zakaždým kliknite na OK → Pridať :
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exeC:\Windows\System32\regsvr32.exeC:\Windows\SysWOW64\regsvr32.exeC:\Windows\System32\rundll32.exeC:\Windows\SysWOW64\rundll32.exe
Kliknite na Dokončiť.
-
Podľa potreby pridajte ďalšie verzie balíka Office a zopakujte rovnaké pokyny ako vyššie.
- 2016 = Office16 (C:\Program Files (x86)\Microsoft Office\Root\Office16\...)
- 2010 = Office14
-
Okno Pravidlá HIPS nechajte otvorené a prejdite na ďalšiu sekciu.
IV. Zakázanie podriadených procesov pre regsrv32.exe
- V okne Pravidlá HIPS kliknite na Pridať.
-
Do poľa Názov pravidla zadajte Deny child processes for regsrv32.exe (Zakázať podriadené procesy pre regsrv32.exe).
V roletovom menu Akcia vyberte možnosť Blokovať.
Kliknite na prepínacie tlačidlo vedľa nasledujúcich možností na ich zapnutie:
- Aplikácie
- Zapnuté
- Upozorniť používateľa
Z roletového menu Závažnosť zapisovania do protokolu vyberte možnosť Upozornenie a kliknite na Ďalej.
-
V okne Zdrojové aplikácie kliknite na Pridať, zadajte nasledujúce názvy a zakaždým kliknite na OK → Pridať :
C:\Windows\System32\regsvr32.exeC:\Windows\SysWOW64\regsvr32.exe
Kliknite na Ďalej.
- V okne Aplikačné operácie kliknite na prepínač vedľa položky Spustiť novú aplikáciu, aby ste ju zapli, a kliknite na Ďalej.
-
V okne Aplikácie kliknite na Pridať, zadajte nasledujúce názvy a zakaždým kliknite na OK → Pridať :
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Kliknite na Dokončiť.
- Okno Pravidlá HIPS nechajte otvorené a prejdite na ďalšiu sekciu.
V. Zakázanie podriadených procesov pre mshta.exe
- V okne Pravidlá HIPS kliknite na Pridať.
-
Do poľa Názov pravidla zadajte Deny child processes for mshta.exe (Zakázať podriadené procesy pre mshta.exe).
V roletovom menu Akcia vyberte možnosť Blokovať.
Kliknite na prepínacie tlačidlo vedľa nasledujúcich možností na ich zapnutie:
- Aplikácie
- Zapnuté
- Upozorniť používateľa
Z roletového menu Závažnosť zapisovania do protokolu vyberte možnosť Upozornenie a kliknite na Ďalej.
-
V okne Zdrojové aplikácie kliknite na Pridať, zadajte nasledujúce názvy a zakaždým kliknite na OK → Pridať :
C:\Windows\System32\mshta.exeC:\Windows\SysWOW64\mshta.exe
Kliknite na Ďalej.
- V okne Aplikačné operácie kliknite na prepínač vedľa položky Spustiť novú aplikáciu, aby ste ju zapli, a kliknite na Ďalej.
- Z roletového menu vyberte Všetky aplikácie a kliknite na Dokončiť.
- Okno Pravidlá HIPS nechajte otvorené a prejdite na ďalšiu sekciu.
VI. Zakázanie podriadených procesov pre rundll32.exe
- V okne Pravidlá HIPS kliknite na Pridať.
-
Do poľa Názov pravidla zadajte Deny child processes for rundll32.exe (Zakázať podriadené procesy pre rundll32.exe).
V roletovom menu Akcia vyberte možnosť Blokovať.
Kliknite na prepínacie tlačidlo vedľa nasledujúcich možností na ich zapnutie:
- Aplikácie
- Zapnuté
- Upozorniť používateľa
Z roletového menu Závažnosť zapisovania do protokolu vyberte možnosť Upozornenie a kliknite na Ďalej.
- V okne Zdrojové aplikácie kliknite na tlačidlo Pridať, do poľa Zadajte cestu k súboru zadajte
C:\Windows\System32\rundll32.exea potom kliknite na tlačidlo OK → Ďalej.
- V okne Aplikačné operácie kliknite na prepínač vedľa položky Spustiť novú aplikáciu, aby ste ju zapli, a kliknite na Ďalej.
-
V okne Aplikácie kliknite na Pridať, zadajte nasledujúce názvy a zakaždým kliknite na OK → Pridať :
C:\Windows\System32\cmd.exeC:\Windows\SysWOW64\cmd.exeC:\Windows\System32\wscript.exeC:\Windows\SysWOW64\wscript.exeC:\Windows\System32\cscript.exeC:\Windows\SysWOW64\cscript.exeC:\Windows\System32\ntvdm.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Kliknite na Dokončiť.
- Okno Pravidlá HIPS nechajte otvorené a prejdite na ďalšiu sekciu.
VII. Zakázanie podriadených procesov pre powershell.exe
- V okne Pravidlá HIPS kliknite na Pridať.
-
Do poľa Názov pravidla zadajte Deny child processes for powershell.exe (Zakázať podriadené procesy pre powershell.exe).
V roletovom menu Akcia vyberte možnosť Blokovať.
Kliknite na prepínacie tlačidlo vedľa nasledujúcich možností na ich zapnutie:
- Aplikácie
- Zapnuté
- Upozorniť používateľa
Z roletového menu Závažnosť zapisovania do protokolu vyberte možnosť Upozornenie a kliknite na Ďalej.
-
V okne Zdrojové aplikácie kliknite na Pridať, zadajte nasledujúce názvy a zakaždým kliknite na OK → Pridať :
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Kliknite na Ďalej.
- V okne Aplikačné operácie kliknite na prepínač vedľa položky Spustiť novú aplikáciu, aby ste ju zapli, a kliknite na Ďalej.
- Z roletového menu vyberte Všetky aplikácie a kliknite na Dokončiť.
- V okne Pravidlá HIPS kliknite na OK. Ak chcete priradiť politiku ku klientu alebo skupine, rozbaľte položku Priradiť; v opačnom prípade kliknite na tlačidlo Dokončiť na obrazovke Nová politika – Nastavenia. Po priradení politík sa ich nastavenia aplikujú na cieľové skupiny alebo klientske počítače, keď sa prihlásia do ESET PROTECT.
Ak používate firemný produkt ESET bez vzdialenej správy, dvakrát kliknite na tlačidlo OK.
Stiahnutie a importovanie politiky v ESET PROTECT
Politiku ESET PROTECT pre firemné produkty ESET s dodatočnými nastaveniami HIPS na ochranu pred ransomvérom (škodlivým softvérom filecoder) si môžete stiahnuť a importovať z odkazov nižšie. Politika ESET PROTECT je dostupná len pre najnovšie verzie produktov ESET. Kompatibilitu so staršími verziami nemožno zaručiť.
-
Stiahnite si politiku ESET PROTECT s nastaveniami HIPS na ochranu pred ransomvérom pre:
-
Otvorte ESET PROTECT alebo ESET PROTECT Cloud Web Console. V hlavnom menu ESET PROTECT Web Console kliknite na Politiky.
- Kliknite na Akcie → Importovať....
Kliknite na obrázok pre jeho zväčšenie v novom okne.
- Kliknite na Vybrať súbor, vyberte stiahnutú politiku a kliknite na Importovať.
- Priraďte politiku ku klientu alebo k skupine. Nastavenia politiky sa aplikujú na cieľové skupiny alebo klientske počítače, keď sa prihlásia do ESET PROTECT.
