[KB8921] Prispôsobenie systému HIPS na lepšiu ochranu pred ransomvérom v aplikáciách ESET pre Windows

Požadované oprávnenia používateľov

Tento článok predpokladá, že na vykonávanie nižšie uvedených úloh máte príslušné prístupové práva a povolenia.

Ak nemôžete vykonať nižšie uvedené úlohy (nemáte túto možnosť k dispozícii), vytvorte v konzole ESET PROTECT alebo ESET PROTECT On‑Prem druhého správcu so všetkými prístupovými právami.

Problém

  • Zlepšite ochranu pred ransomvérom vytvorením špecifických pravidiel HIPS v aplikáciách ESET pre Windows.
  • Chráňte najcitlivejšie priečinky alebo súbory pred nežiaducim prístupom.

Podrobnosti


Kliknutím rozbaľte

HIPS (Host-based Intrusion Prevention System) monitoruje činnosť systému a používa prednastavené pravidlá na zachytenie podozrivého správania. Keď dôjde k identifikovaniu takéhoto typu aktivity, sebaobranný mechanizmus HIPS zastaví problematický program alebo proces, aby nevykonával potenciálne škodlivú činnosť.

Pomocou funkcie ESET HIPS môžete účinne chrániť najcitlivejšie priečinky alebo súbory pred nežiaducim prístupom:

  • Identifikujte priečinky obsahujúce kritické citlivé údaje.
  • Zistite, ktoré aplikácie vyžadujú prístup k týmto údajom.
  • Zablokujte možnosť upravovať a odstraňovať súbory pre všetky ostatné aplikácie.
  • Výslovne povoľte prístup len schváleným aplikáciám.

Tento postup by mal byť prispôsobený konkrétnemu používateľovi a mal by ho implementovať skúsený správca, ktorý nakonfiguruje pravidlá HIPS tak, aby poskytovali silnú ochranu pred ransomvérom, pričom zabezpečí, že iba schválené aplikácie budú môcť upravovať alebo odstraňovať kritické priečinky alebo súbory.

Prečítajte si viac o konfigurácii ďalších pravidiel HIPS vo firemných aplikáciách ESET alebo prostredníctvom ESET PROTECT či ESET PROTECT On‑Prem alebo si pozrite dokumentáciu k systému HIPS.


Riešenie

Skúsení správcovia

Tento obsah je určený pre skúsených IT správcov.

Systém HIPS je predvolene nakonfigurovaný tak, aby zabezpečil maximálnu ochranu zariadenia. Hoci vytvorenie pravidla HIPS môže byť v niektorých zriedkavých prípadoch potrebné na vyriešenie problému, manipulácia s pravidlami HIPS si vyžaduje pokročilé znalosti aplikácií a operačných systémov a neodporúča sa.

Iné aplikácie ESET (spravované a nespravované)

V tomto článku bola ako príklad použitá aplikácia ESET Endpoint Security for Windows.

Opísaný postup sa vzťahuje aj na ESET Endpoint Antivirus for Windows, ESET Mail Security for Microsoft Exchange Server a ESET Server Security for Microsoft Windows Server.

Upozorňujeme, že používateľské rozhranie pre nastavenie pravidiel HIPS je vo firemných aplikáciách ESET (rozšírené nastavenia) mierne odlišné v porovnaní s konfiguráciou pomocou politiky v konzole ESET PROTECT alebo ESET PROTECT On‑Prem.

Tento postup platí aj pre aplikácie ESET pre domácnosti a malé firmy s OS Windows (cez rozšírené nastavenia).

  1. Otvorte ESET PROTECT Web Console.

  2. Vytvorte politiku v konzole ESET PROTECT alebo ESET PROTECT On‑Prem.

  3. Kliknite na Nastavenia a z roletového menu vyberte možnosť ESET Endpoint for Windows. Kliknite na položku OchranaHIPS a potom na možnosť Upraviť vedľa položky Pravidlá.

  4. Kliknite na Pridať.

  5. Postupujte podľa nižšie uvedených krokov a vytvorte pravidlá HIPS na blokovanie prístupupovolenie prístupu.

    Pravidlá HIPS

    Pravidlo HIPS na blokovanie prístupu výslovne zakazuje definovanú operáciu alebo interakciu medzi procesmi, priečinkami, súbormi alebo položkami databázy Registry. Ak sú splnené podmienky pravidla, akcia sa nevykoná, čo pomáha zabrániť nežiaducemu alebo potenciálne škodlivému správaniu.

    Pravidlo HIPS na povolenie prístupu výslovne povoľuje definovanú operáciu alebo interakciu. V prípade splnenia podmienok pravidla je daná aktivita povolená bez obmedzenia, čím sa zabezpečí, že dôveryhodné aplikácie alebo procesy budú môcť správne fungovať aj vtedy, keď by ich iné pravidlá blokovali.

Vytvorenie pravidla HIPS na blokovanie prístupu
    1. Zadajte názov pravidla a z roletového menu Akcia vyberte Blokovať. Zapnite prepínacie tlačidlo vedľa položky Cieľové súbory. Z roletového menu Závažnosť zapisovania do protokolu vyberte požadovanú možnosť. Kliknutím na prepínacie tlačidlo zapnite možnosť Upozorniť používateľa a potom kliknite na Ďalej.

      Závažnosť zapisovania do protokolu

      Správca by mal pri nastavovaní závažnosti zapisovania do protokolu postupovať opatrne, aby sa zabránilo nadmernému vytváraniu protokolov alebo ich spamovému charakteru.

    2. Skontrolujte, či je v roletovom menu zvolená možnosť Všetky aplikácie, a potom kliknite na Ďalej. Zapnite prepínacie tlačidlá vedľa položiek Vymazanie súboruZápis do súboru a kliknite na Ďalej.

    3. V roletovom menu vyberte možnosť Konkrétne súbory a kliknite na Pridať. V okne Pridať zadajte alebo skopírujte a vložte cestu k súboru a kliknite na OKDokončiť.

Vytvorenie pravidla HIPS na povolenie prístupu
    1. Zadajte názov pravidla a z roletového menu Akcia vyberte Povoliť. Zapnite prepínacie tlačidlo vedľa položky Cieľové súbory. Z roletového menu Závažnosť zapisovania do protokolu vyberte príslušnú možnosť a kliknite na Ďalej.

      Závažnosť zapisovania do protokolu

      Správca by mal pri nastavovaní závažnosti zapisovania do protokolu postupovať opatrne, aby sa zabránilo nadmernému vytváraniu protokolov alebo ich spamovému charakteru.

    2. Skontrolujte, či je v roletovom menu zvolená možnosť Konkrétne aplikácie, a kliknite na Pridať. V okne Pridať zadajte alebo skopírujte a vložte cestu k súboru a kliknite na OKĎalej.

    3. Zapnite prepínacie tlačidlá vedľa položiek Vymazanie súboru, Zápis do súboruPriamy prístup na disk a kliknite na Ďalej.

    4. Skontrolujte, či je v roletovom menu zvolená možnosť Konkrétne súbory, a kliknite na Pridať. V okne Pridať zadajte alebo skopírujte a vložte cestu k priečinku alebo súboru a kliknite na OKDokončiť.

      Zástupné znaky

      Hviezdičku v pravidle možno použiť iba na zhodu s konkrétnym kľúčom, napríklad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start

      Iné spôsoby použitia zástupných znakov nie sú podporované. 

  1. Skontrolujte vytvorené pravidlá a kliknite na OK.

  2. Kliknite na roletové menu vedľa možnosti Upraviť a vyberte, ako budú pravidlá HIPS definované touto politikou interagovať s predtým definovanými pravidlami HIPS v priradených počítačoch. V tomto príklade je pre obe možnosti vybraná akcia Nahradiť. Kliknite na tlačidlo Pokračovať.

  3. Priraďte zariadenie alebo skupinu zariadení, na ktoré chcete politiku uplatniť.

Na počítačoch priradených k tejto politike sa nové pravidlá HIPS uplatnia pri ďalšom pripojení ku konzole ESET PROTECT alebo ESET PROTECT On‑Prem.