[KB6119] Налаштуйте правила HIPS у бізнес-програмах ESET або за допомогою ESET PROTECT чи ESET PRTOECT On-Prem

ПРИМІТКА:

Ця сторінка перекладена за допомогою комп'ютера. Клацніть англійську мову в розділі Мови на цій сторінці, щоб переглянути оригінальний текст. Якщо вам щось незрозуміло, зверніться до місцевої служби підтримки.

Проблема

Налаштуйте додаткові правила HIPS у наведених нижче бізнес-програмах ESET для Windows або створіть політику в ESET PROTECT або ESET PROTECT On-Prem із додатковими параметрами HIPS для захисту від шкідливого програмного забезпечення-здирника (файлокодера)
- ESET Endpoint Security для Windows
- ESET Endpoint Antivirus для Windows
- ESET Mail Security для Microsoft Exchange Server
- ESET Server Security для Microsoft Windows Server
Створіть вручну політику ESET PROTECT або ESET PROTECT On-Prem / налаштуйте параметри в бізнес-додатках ESET
Завантажте та імпортуйте політику ESET PROTECT або ESET PROTECT On-Prem

Деталі

Клацніть, щоб розгорнути

Система запобігання вторгненням на основі хостів (HIPS) від ESET входить до складу ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security для Microsoft Exchange Server і ESET Server Security для Microsoft Windows Server. HIPS відстежує системну активність і використовує попередньо визначений набір правил для розпізнавання підозрілої поведінки системи.

Коли такий тип активності виявлено, механізм самозахисту HIPS зупиняє програму або процес, що порушує правила, від виконання потенційно шкідливої діяльності. Забороняючи стандартне виконання JavaScript та інших скриптів, програми-вимагачі не можуть завантажуватися або виконуватися. Щоб додатково запобігти появі шкідливих програм-вимагачів у системах Windows, створіть наведені нижче правила в найновіших бізнес-програмах ESET із HIPS або створіть і застосуйте політику ESET PROTECT або ESET PROTECT On-Prem.

Рішення

Не змінюйте налаштування у виробничих системах

Наведені нижче параметри є додатковими конфігураціями, і конкретні параметри, необхідні для вашого середовища захисту, можуть відрізнятися. Ми рекомендуємо перевірити налаштування для кожної реалізації в тестовому середовищі, перш ніж використовувати їх у виробничому середовищі.

Створення вручну політики ESET PROTECT або ESET PROTECT On-Prem / налаштування параметрів у бізнес-програмах ESET

Відкрийте редактор правил HIPS у майстрі створення політики або конфігурації програми ESET:
ESET PROTECT або ESET PROTECT On-Prem Policy
1. Open the ESET PROTECT Web Console.
  ##
2. Створити політику в ESET PROTECT або ESET PROTECT On-Prem.
3. У розділі Налаштування виберіть ESET Endpoint для Windows зі спадного меню. Натисніть HIPS і натисніть Редагувати поруч із пунктом Правила.
Додаток ESET
1. Відкрийте головне вікно програми ESET Endpoint для Windows.
2. Натисніть клавішу F5, щоб перейти до розширених налаштувань.
3. Клацніть HIPS і натисніть кнопку Змінити поруч із пунктом Правила.
Клацніть опцію (I. - VII.), щоб розгорнути кожен розділ нижче, щоб створити всі додаткові правила HIPS.
I. Заборонити процесам виконувані файли сценаріїв
1. У вікні правил HIPS натисніть кнопку Додати.
2. У полі Назва правила введіть Заборонити дочірні процеси з виконуваних файлів сценаріїв. У спадному меню Дія виберіть Блокувати. Встановіть перемикач біля пунктів Програми, Увімкнено і Сповіщати користувача, щоб увімкнути ці параметри. У спадному меню Ступінь серйозності жур налювання виберіть Попередження і натисніть кнопку Далі.
3. У вікні Джерело програм натисніть кнопку Додати і введіть наступні назви, натискаючи кнопку Гаразд → Додати після кожної з них:
  - C:\Windows\System32\wscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\Windows\SysWOW64\wscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  - C:\Windows\System32\ntvdm.exe
  Натисніть кнопку Далі.
4. У вікні Операції з програмами встановіть перемикач біля пункту Запустити нову програму, щоб увімкнути його, і натисніть кнопку Далі.
5. У спадному меню виберіть пункт Усі програми і натисніть кнопку Готово.
6. Залиште вікно правил HIPS відкритим і перейдіть до наступного розділу.
II. Заборона процесів сценаріїв, запущених провідником
1. У вікні правил HIPS натисніть кнопку Додати.
2. У полі Назва правила введіть Заборонити виконання сценаріїв, запущених провідником.
  
  У спадному меню Дія виберіть Блокувати.
  
  Увімкніть перемикач навпроти пункту Програми.
  
  У спадному меню Ступінь серйозності журналювання виберіть Попередження і натисніть кнопку Далі.
3. У вікні Джерело програм натисніть кнопку Додати, введіть C:\Windows\explorer.exe у полі Вказати шлях до файлу і натисніть кнопку Гаразд → Далі.
4. У вікні Операції з програмами встановіть перемикач напроти пункту Запустити нову програму, щоб увімкнути його, і натисніть кнопку Далі.
5. У вікні Програми натисніть кнопку Додати і введіть наступні імена, натискаючи після кожного з них кнопку ОК → Додати :
  - C:\Windows\System32\wscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\Windows\SysWOW64\wscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  Натисніть кнопку Готово.
6. Залиште вікно правил HIPS відкритим і перейдіть до наступного розділу.
III. Заборона дочірніх процесів від процесів Office 2024
1. У вікні правил HIPS натисніть кнопку Додати.
2. У полі Назва правила введіть Заборонити дочірні процеси від процесів Office 2024. У розкривному меню Дія виберіть Блокувати. Клацніть перемикач поруч із пунктами Програми, Увімкнено та Сповіщати користувача, щоб увімкнути ці параметри. У спадному меню Ступінь серйозності журналювання виберіть Попередження і натисніть кнопку Далі.
3. У вікні Джерело програм натисніть кнопку Додати і введіть наступні назви, натискаючи кнопку ОК → Додати після кожної з них:
  - C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE
  - C:\Program Files\Microsoft Office\root\Office16\OUTLOOK.EXE
  - C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE
  - C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE
  - C:\Program Files (x86)\Microsoft Office\root\Office16\WINWORD.EXE
  - C:\Program Files (x86)\Microsoft Office\root\Office16\OUTLOOK.EXE
  - C:\Program Files (x86)\Microsoft Office\root\Office16\EXCEL.EXE
  - C:\Program Files (x86)\Microsoft Office\root\Office16\POWERPNT.EXE
  Натисніть кнопку Далі.
4. У вікні Операції з програмами встановіть перемикач біля пункту Запустити нову програму, щоб увімкнути його, і натисніть кнопку Далі.
5. У вікні Програми натисніть кнопку Додати і введіть наступні назви, натискаючи ОК → Додати після кожної з них:
  - C:\Windows\System32\cmd.exe
  - C:\Windows\SysWOW64\cmd.exe
  - C:\Windows\System32\wscript.exe
  - C:\Windows\SysWOW64\wscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  - C:\Windows\System32\ntvdm.exe
  - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  - C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  - C:\Windows\System32\regsvr32.exe
  - C:\Windows\SysWOW64\regsvr32.exe
  - C:\Windows\System32\rundll32.exe
  - C:\Windows\SysWOW64\rundll32.exe
  Натисніть Готово.
6. Додайте додаткові версії Office за необхідності, повторюючи ті ж інструкції, що і вище.
  - 2013 = Office15(C:\Program Files (x86)\Microsoft Office\Office15\...)
  - 2010 = Office14
7. Залиште вікно з правилами HIPS відкритим і перейдіть до наступного розділу.
IV. Заборона дочірніх процесів для regsrv32.exe
1. У вікні правил HIPS натисніть кнопку Додати.
2. Введіть Заборонити дочірні процеси для regsrv32.exe в поле Назва правила.
  
  У спадному меню Дія виберіть Блокувати.
  
  Клацніть перемикач поруч з наступними параметрами, щоб увімкнути їх:
  - Програми
  - Увімкнено
  - Сповіщати користувача
  У спадному меню Ступінь серйозності журналювання виберіть Попередження і натисніть кнопку Далі.
3. У вікні Джерело програм натисніть кнопку Додати і введіть наступні імена, натискаючи ОК → Додати після кожного з них:
  - C:\Windows\System32\regsvr32.exe
  - C:\Windows\SysWOW64\regsvr32.exe
  Натисніть кнопку Далі.
4. У вікні Операції з програмами встановіть перемикач навпроти пункту Запустити нову програму, щоб увімкнути його, і натисніть кнопку Далі.
5. У вікні Програми натисніть кнопку Додати і введіть наступні назви, натискаючи ОК → Додати після кожної з них:
  - C:\Windows\System32\cmd.exe
  - C:\Windows\SysWOW64\cmd.exe
  - C:\Windows\System32\wscript.exe
  - C:\Windows\SysWOW64\wscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  - C:\Windows\System32\ntvdm.exe
  - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  - C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  Натисніть кнопку Готово.
6. Залиште вікно правил HIPS відкритим і перейдіть до наступного розділу.
V. Заборона дочірніх процесів для mshta.exe
1. У вікні правил HIPS натисніть кнопку Додати.
2. У полі Назва правила введіть Заборонити дочірні процеси для mshta.exe.
  
  У спадному меню Дія виберіть Блокувати.
  
  Клацніть перемикач поруч з наступними параметрами, щоб увімкнути їх:
  - Програми
  - Увімкнено
  - Сповіщати користувача
  У спадному меню Ступінь серйозності журналювання виберіть Попередження і натисніть кнопку Далі.
3. У вікні Джерело програм натисніть кнопку Додати і введіть наступні імена, натискаючи ОК → Додати після кожного з них:
  - C:\Windows\System32\mshta.exe
  - C:\Windows\SysWOW64\mshta.exe
  Натисніть кнопку Далі.
4. У вікні Операції з програмами встановіть перемикач біля пункту Запустити нову програму, щоб увімкнути його, і натисніть кнопку Далі.
5. У спадному меню виберіть пункт Усі програми і натисніть кнопку Готово.
6. Залиште вікно правил HIPS відкритим і перейдіть до наступного розділу.
VI. Заборона дочірніх процесів для rundll32.exe
1. У вікні правил HIPS натисніть кнопку Додати.
2. У полі Назва правила введіть Заборонити дочірні процеси для rundll32.exe.
  
  У спадному меню Дія виберіть Блокувати.
  
  Клацніть перемикач поруч з наступними параметрами, щоб увімкнути їх:
  - Програми
  - Увімкнено
  - Сповіщати користувача
  У спадному меню Ступінь серйозності журналювання виберіть Попередження і натисніть кнопку Далі.
3. У вікні Джерело програм натисніть кнопку Додати, введіть C:\Windows\System32\rundll32.exe у полі Вкажіть шлях до файлу, а потім натисніть кнопку Гаразд → Далі.
4. У вікні Операції з програмами встановіть перемикач навпроти пункту Запустити нову програму, щоб увімкнути його, і натисніть кнопку Далі.
5. У вікні Програми натисніть кнопку Додати і введіть наступні імена, натискаючи після кожного з них кнопку ОК → Додати :
  - C:\Windows\System32\cmd.exe
  - C:\Windows\SysWOW64\cmd.exe
  - C:\Windows\System32\wscript.exe
  - C:\Windows\SysWOW64\wscript.exe
  - C:\Windows\System32\cscript.exe
  - C:\Windows\SysWOW64\cscript.exe
  - C:\Windows\System32\ntvdm.exe
  - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  - C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  Натисніть кнопку Готово.
6. Залиште вікно правил HIPS відкритим і перейдіть до наступного розділу.
VII. Заборона дочірніх процесів для powershell.exe
1. У вікні правил HIPS натисніть кнопку Додати.
2. Введіть Заборонити дочірні процеси для powershell.exe в поле Назва правила.
  
  У спадному меню Дія виберіть Блокувати.
  
  Клацніть перемикач поруч із наступними параметрами, щоб увімкнути їх:
  - Програми
  - Увімкнено
  - Сповіщати користувача
  У спадному меню Важкість жур налювання виберіть Попередження і натисніть Далі.
3. У вікні Джерело програм натисніть кнопку Додати і введіть наступні імена, натискаючи ОК → Додати після кожного з них:
  - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  - C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  Натисніть кнопку Далі.
4. У вікні Операції з програмами встановіть перемикач біля пункту Запустити нову програму, щоб увімкнути його, і натисніть кнопку Далі.
5. Виберіть пункт Усі програми зі спадного меню і натисніть кнопку Готово.
Якщо ви створюєте політику, у вікні Правила HIPS натисніть OK і завершіть роботу майстра створення політики.

Якщо ви налаштовуєте бізнес-додаток ESET, натисніть OK → ОК.

Завантаження та імпорт політики ESET PROTECT або ESET PROTECT On-Prem

Політику ESET PROTECT або ESET PROTECT On-Prem для бізнес-додатків ESET із додатковими параметрами HIPS для захисту від шкідливого програмного забезпечення-здирника (файлокодера) можна завантажити за наведеними нижче посиланнями. Політики доступні лише для найновіших версій програм ESET. Сумісність із попередніми версіями не гарантується.

Завантажте додаткову політику ESET PROTECT для захисту від HIPS або ESET PROTECT On-Prem:
Open the ESET PROTECT Web Console.
Відкрийте вікно імпорту політики:

ESET PROTECT

Клацніть Конфігурація → Додаткові налаштування → Дії → Імпорт.

ESET PROTECT On-Prem

Клацніть Політики → Дії → Імпорт.
Натисніть Вибрати файл для завантаження, виберіть завантажену політику та натисніть Імпортувати.
Призначте політику клієнту або групі.

Останнє оновлення: Apr 27, 2026

[KB6119] Налаштуйте правила HIPS у бізнес-програмах ESET або за допомогою ESET PROTECT чи ESET PRTOECT On-Prem

ПРИМІТКА:

Проблема

Деталі

Рішення

Не змінюйте налаштування у виробничих системах

Створення вручну політики ESET PROTECT або ESET PROTECT On-Prem / налаштування параметрів у бізнес-програмах ESET

Завантаження та імпорт політики ESET PROTECT або ESET PROTECT On-Prem

Додаткові ресурси

Посібники користувача

Форум ESET

Відео на YouTube

Існуючий клієнт?