[KB6132] Konfigurácia pravidiel firewallu pre produkt ESET Endpoint Security na ochranu pred ransomvérom (9.x – 10.x)

Problém

Kliknutím na nasledujúce obrázky otvoríte články databázy znalostí spoločnosti ESET, v ktorých nájdete osvedčené postupy pri ochrane pred ransomvérom a dodatočné konfigurácie produktov:

Podrobnosti


Kliknutím rozbaľte


Pri predvolených nastaveniach platí, že ak sa spustí škodlivý kód s dropperom (tzv. nosič), ESET Endpoint Security zabráni stiahnutiu malvéru pomocou integrovaného ESET Firewallu. Ak chcete ransomvéru na systémoch Windows s produktom ESET Endpoint Security predchádzať ešte dôkladnejšie, vytvorte nasledujúce pravidlá v najnovšej verzii ESET Endpoint Security alebo vytvorte a aplikujte politiku v ESET PROTECT.


Riešenie

Neupravujte nastavenia na produkčných systémoch

Nasledujúce nastavenia predstavujú dodatočné konfigurácie a konkrétne nastavenia potrebné pre vaše bezpečnostné prostredie sa môžu líšiť. Pred použitím v produkčnom prostredí odporúčame otestovať nastavenia pre každú implementáciu v testovacom prostredí.

Manuálne vytvorenie politiky v ESET PROTECT/konfigurácia nastavení v produkte ESET Endpoint Security

  1. Otvorte ESET PROTECT alebo ESET PROTECT Cloud Web Console. V roletovom menu Rýchle odkazy kliknite na položku Vytvoriť novú politiku....

    Ak používate produkt ESET Endpoint Security bez vzdialenej správy, otvorte hlavné okno produktu ESET pre Windows a stlačte kláves F5, aby ste sa dostali k rozšíreným nastaveniam. Prejdite na krok č. 3.
     
  2. Kliknite na Nastavenia a z roletového menu Vyberte produkt... vyberte ‪ESET Endpoint for Windows. Prejdite na krok č. 4.
Obrázok 1-1
Kliknutím na obrázok si ho môžete zväčšiť v novom okne.
  1. Kliknite na položku Ochrana siete Ochrana pred sieťovými útokmi a overte, či je zapnutá možnosť Zapnúť ochranu pred botnetmi.
Obrázok 1-2
  1. Kliknite na položku Ochrana siete, rozbaľte sekciu Pokročilé a vedľa položky Pravidlá kliknite na Upraviť.
Obrázok 1-3
Kliknutím na obrázok si ho môžete zväčšiť v novom okne.
  1. V okne Pravidlá firewallu kliknite na Pridať.
Obrázok 1-4
  1. Do poľa Názov zadajte Deny network connections for cmd.exe (native).

    Použite nasledujúcu konfiguráciu pravidla:
    • V roletovom menu Smer vyberte možnosť Oba
    • V roletovom menu Akcia vyberte možnosť Zakázať.
    • V roletovom menu Protokol vyberte možnosť Akýkoľvek.
    • V roletovom menu Profil vyberte možnosť Akýkoľvek profil.
Obrázok 1-5
  1. Kliknite na kartu Lokálna strana a do poľa Aplikácia zadajte C:\Windows\System32\cmd.exe.
Obrázok 1-6
  1. Kliknite na tlačidlo OKPridať a zopakujte kroky 6 – 7, aby ste vytvorili nasledujúci zoznam pravidiel:
  • Názov: Deny network connections for cmd.exe (SysWOW64)
    Aplikácia: C:\Windows\SysWOW64\cmd.exe
  • Názov: Deny network connections for wscript.exe (native)
    Aplikácia: C:\Windows\System32\wscript.exe
  • Názov: Deny network connections for wscript.exe (SysWOW64)
    Aplikácia: C:\Windows\SysWOW64\wscript.exe
  • Názov: Deny network connections for cscript.exe (native)
    Aplikácia: C:\Windows\System32\cscript.exe
  • Názov: Deny network connections for cscript.exe (SysWOW64)
    Aplikácia: C:\Windows\SysWOW64\cscript.exe
  • Názov: Deny network connections for powershell.exe (native)
    Aplikácia: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  • Názov: Deny network connections for powershell.exe (SysWOW64)
    Aplikácia: C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  • Názov: Deny network connections for ntvdm.exe
    Aplikácia: C:\Windows\System32\ntvdm.exe
  • Názov: Deny network connections for regsvr.exe (native)
    Aplikácia: C:\Windows\System32\regsvr.exe
  • Názov: Deny network connections for regsvr.exe (SysWOW64)
    Aplikácia: C:\Windows\SysWOW64\regsvr.exe
  • Názov: Deny network connections for rundll32.exe (native)
    Aplikácia: C:\Windows\System32\rundll32.exe
  • Názov: Deny network connections for rundll32.exe (SysWOW64)
    Aplikácia: C:\Windows\SysWOW64\rundll32.exe
  1. V okne Pravidlá firewallu kliknite po pridaní všetkých pravidiel na tlačidlo OK. Ak chcete priradiť politiku ku klientskemu počítaču alebo skupine počítačov, rozbaľte položku Priradiť; v opačnom prípade kliknite na tlačidlo Dokončiť na obrazovke Nová politika – Nastavenia. Po priradení politík sa ich nastavenia aplikujú na cieľové skupiny alebo klientske počítače, keď sa prihlásia do ESET PROTECT.

    Ak používate ESET Endpoint Security bez vzdialenej správy, po pridaní všetkých pravidiel kliknite na tlačidlo OK OK.
Obrázok 1-7
Kliknutím na obrázok si ho môžete zväčšiť v novom okne.

Stiahnutie a importovanie politiky v ESET PROTECT

Politiku ESET PROTECT pre produkt ESET Endpoint Security s dodatočnými nastaveniami firewallu na ochranu pred ransomvérom (škodlivým softvérom filecoder) si môžete stiahnuť a importovať z odkazu nižšie. Politika ESET PROTECT je dostupná len pre najnovšie verzie produktov ESET. Kompatibilitu so staršími verziami nemožno zaručiť.

  1. Stiahnite si politiku ESET PROTECT s dodatočnými nastaveniami na ochranu pred ransomvérom.

  2. Otvorte ESET PROTECT alebo ESET PROTECT Cloud Web Console. V hlavnom menu ESET PROTECT Web Console kliknite na Politiky.

  3. Kliknite na Akcie Importovať.
Obrázok 2-1
Kliknutím na obrázok si ho môžete zväčšiť v novom okne.
  1. Kliknite na Vybrať súbor, vyberte stiahnutú politiku a kliknite na Importovať.
Obrázok 2-2
  1. Priraďte politiku ku klientu alebo k skupine. Nastavenia politiky sa aplikujú na cieľové skupiny alebo klientske počítače, keď sa prihlásia do ESET PROTECT.