Mit ESET HIPS Regeln vor Ransomware schützen


Partnerlogo_Silber_Webversion_2016

Einleitung

In diesem Beitragen möchten wir euch zeigen, wie man mit ESET HIPS Regeln vor Ransomware schützen können. ESET-Host-basierte Intrusion Prevention System (HIPS) ist in ESET Endpoint Security, ESET Endpoint Antivirus , ESET Mail Security für Microsoft Exchange und ESET File Security für Microsoft Windows Server enthalten. HIPS überwacht die Systemaktivität und verwendet einen vordefinierten Satz von Regeln um verdächtigen Systemverhalten zu erkennen. Wenn diese Art von Aktivität erkannt wird, stoppt der HIPS Selbstverteidigung Mechanismus das verdächtige Programm oder Prozess vor der Durchführung der potenziell schädliche Aktivität. Das Aktivieren des HIPS oder bei Änderungen an den Einstellungen z.B. zusätzlichen Regeln, etc. werden erst nachdem das Windows-Betriebssystem neu gestartet wird aktiv.

Durch das Verbot der Standard Ausführung von JavaScript und andere Skripte, ist Ransomware nicht in der Lage herunterladen oder ausführt zu werden.

 

Achtung: Wir empfehlen, dass Sie jede Implementierung der Einstellungen in einer Testumgebung testen, bevor sie diese in einer Produktionsumgebung aktivieren!

 

Um Ransomware Malware auf Ihrem Windows-Systemen zu vermeiden, erstellen Sie die folgenden Richtlinienregeln in ESET Remote Administrator Version 6.3 oder höher:

Umsetzung im ESET Remote Administrator

Öffnen Sie ESET Remote Administrator Web Console (ERA Web Console) in Ihrem Webbrowser und melden Sie sich an

Klicken Sie auf Admin → Richtlinien, und wählen neue Richtlinie

ERA neue Policy

 

Zuerst geben wir der Policy einen Namen sowie eine Beschreibung

ERA neue Policy Basis Angaben

Unter den Einstellungen wählen wir zuerst aus für welches Produkt wir eine neue Policy erstellen möchten.
Diese Einstellung sieht ab dem ERA 6.4 wie folgt aus, bei der ERA Version 6.3 kann dies etwas abweichen.

Anschließend wechseln wir in den Bereich Virenschutz in dem sich die Einstellungen für HIPS befindet.

Dort können wir unter Regeln diese Bearbeiten und neue Regeln hinzufügen.

ERA neue Policy Einstellungen

Unter den HIPS-Regeln können wir nun unsere zusätzlichen Regeln hinzufügen

ERA HIPS Regeln

– Blockiere Prozesse von auszuführenden Skripten

Klicken Sie auf Hinzufügen, und geben Sie „Blockiere Prozesse von auszuführenden Skripten“ in das Regelname Feld.

Bei Aktion wählen Sie „Blockieren“
Und Aktivieren Sie die folgenden Optionen:

– Anwendungen
– Aktiviert
– In Log schreiben
– Benutzer informieren

ERA HIPS Regeleinsntellung blockiere prozesse von auszufuehrenden skripten

Klicken Sie auf Weiter und im Quellanwendungen Fenster, klicken Sie auf Hinzufügen und geben Sie den folgenden Dateipfade an, klicken Sie auf OK und wiederholen Sie dies bis die folgenden 5 Werte eingetagen haben:

C:\Windows\System32\wscript.exe
C:\Windows\System32\cscript.exe
C:\Windows\SysWOW64\wscript.exe
C:\Windows\SysWOW64\cscript.exe
C:\Windows\System32\ntvdm.exe

Klicken Sie auf Weiter, klicken Sie auf den Schieberegler neben „Neue Anwendung starten“, um diese zu aktivieren und klicken Sie dann auf Weiter.


ERA HIPS Anwendungsbezogene Vorgänge

Wählen Sie „Alle Anwendungen“ aus dem Dropdown-Menü aus und klicken Sie auf Fertig stellen.

ERA HIPS Anwendungen Alle Anwendungen

– Blockiere Skript Prozesse gestartet vom Explorer

Im HIPS Regeln Fenster, klicken Sie auf Hinzufügen.

ERA HIPS Regeln

Geben Sie „Blockiere Skript Prozesse gestartet vom Explorer“ in das Regelname Feld.

Bei Aktion wählen Sie „Blockieren“
Und Aktivieren Sie die folgenden Optionen:

– Anwendungen
– Aktiviert
– In Log schreiben
– Benutzer informieren

ERA HIPS Regeleinstellung Blockiere Skript Prozesse gestartet vom Explorer

Klicken Sie auf Weiter und im Quellanwendungen Fenster, klicken Sie auf Hinzufügen und geben Sie im Feld „Dateipfad angeben“ den folgenden Wert ein

C:\Windows\explorer.exe

ERA HIPS Quellanwendungen Pfad

Klicken Sie auf Weiter, klicken Sie auf den Schieberegler neben „Neue Anwendung starten“, um diese zu aktivieren und klicken Sie dann auf Weiter.

ERA HIPS Anwendungsbezogene Vorgänge

Klicken Sie auf Weiter und im Anwendungen Fenster, klicken Sie auf Hinzufügen und geben Sie den folgenden Dateipfade an, klicken Sie auf OK und wiederholen Sie dies bis die folgenden 4 Werte eingetagen haben:

– C:\Windows\System32\wscript.exe
– C:\Windows\System32\cscript.exe
– C:\Windows\SysWOW64\wscript.exe
– C:\Windows\SysWOW64\cscript.exe

Klicken Sie anschließend auf Fertigstellen

ERA HIPS Anwendungen

 

– Blockiere Prozesse gestartet von Microsoft Office 2010/2013/2016

Im HIPS Regeln Fenster, klicken Sie auf Hinzufügen.

ERA HIPS Regeln

Geben Sie „Blockiere Prozesse gestartet von Microsoft Office 2010/2013/2016“ in das Regelname Feld.

Bei Aktion wählen Sie „Blockieren“
Und Aktivieren Sie die folgenden Optionen:
– Anwendungen
– Aktiviert
– In Log schreiben
– Benutzer informieren

ERA HIPS Regeleinsntellung Blockieren Prozesse gestartet von Microsoft Office

Klicken Sie auf Weiter und im Quellanwendungen Fenster, klicken Sie auf Hinzufügen und geben Sie den folgenden Dateipfade an, klicken Sie auf OK und wiederholen Sie dies bis die folgenden 8 Werte eingetagen haben:

C:\Program Files\Microsoft Office\Office14\WINWORD.EXE
C:\Program Files\Microsoft Office\Office14\OUTLOOK.EXE
C:\Program Files\Microsoft Office\Office14\EXCEL.EXE
C:\Program Files\Microsoft Office\Office14\POWERPNT.EXE
C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE
C:\Program Files (x86)\Microsoft Office\Office14\OUTLOOK.EXE
C:\Program Files (x86)\Microsoft Office\Office14\EXCEL.EXE
C:\Program Files (x86)\Microsoft Office\Office14\POWERPNT.EXE

Klicken Sie anschließend auf Weiter

ERA HIPS Quellanwendungen Microsoft Office

Klicken Sie auf Weiter, klicken Sie auf den Schieberegler neben „Neue Anwendung starten“, um diese zu aktivieren und klicken Sie dann auf Weiter.
ERA HIPS Anwendungsbezogene Vorgänge

Klicken Sie auf Weiter und im Anwendungen Fenster, klicken Sie auf Hinzufügen und geben Sie den folgenden Dateipfade an, klicken Sie auf OK und wiederholen Sie dies bis die folgenden 13 Werte eingetagen haben:

C:\Windows\System32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\System32\wscript.exe
C:\Windows\SysWOW64\wscript.exe
C:\Windows\System32\cscript.exe
C:\Windows\SysWOW64\cscript.exe
C:\Windows\System32\ntvdm.exe
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\System32\regsvr32.exe
C:\Windows\SysWOW64\regsvr32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\SysWOW64\rundll32.exe

Klicken Sie anschließend auf Fertigstellen

ERA HIPS Anwendungen Microsoft Office

Fügen Sie bei Bedarf zusätzliche Office-Versionen nach Bedarf, wie oben beschrieben zu
Passen Sie hierzu die Pfadanhaben für die jeweilige Version an.

– 2016 = Office16
z.B. C:\Program Files\Microsoft Office\Office16\WINWORD.EXE
oder C:\Program Files (x86)\Microsoft Office\Office16\WINWORD.EX

– 2013 = Office15
z.B. C:\Program Files\Microsoft Office\Office15\WINWORD.EXE
oder C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE

 

– Blockiere untergeordnete Prozesse für regsvr32.exe

Im HIPS Regeln Fenster, klicken Sie auf Hinzufügen.

ERA HIPS Regeln

Geben Sie „Blockiere untergeordnete Prozesse für regsvr32.exe“ in das Regelname Feld.

Bei Aktion wählen Sie „Blockieren“
Und Aktivieren Sie die folgenden Optionen:
– Anwendungen
– Aktiviert
– In Log schreiben
– Benutzer informieren

ERA HIPS Regeleinsntellung Blockiere untergeordnete Prozesse für regsvr32

Klicken Sie auf Weiter und im Quellanwendungen Fenster, klicken Sie auf Hinzufügen und geben Sie den folgenden Dateipfade an, klicken Sie auf OK und wiederholen Sie dies bis die folgenden 2 Werte eingetagen haben:

C:\Windows\System32\regsvr32.exe
C:\Windows\SysWOW64\regsvr32.exe

ERA HIPS Quellanwendungen Regsrv32

Klicken Sie auf Weiter, klicken Sie auf den Schieberegler neben „Neue Anwendung starten“, um diese zu aktivieren und klicken Sie dann auf Weiter.

ERA HIPS Anwendungsbezogene Vorgänge

Klicken Sie auf Weiter und im Anwendungen Fenster, klicken Sie auf Hinzufügen und geben Sie den folgenden Dateipfade an, klicken Sie auf OK und wiederholen Sie dies bis die folgenden 9 Werte eingetagen haben:

C:\Windows\System32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\System32\wscript.exe
C:\Windows\SysWOW64\wscript.exe
C:\Windows\System32\cscript.exe
C:\Windows\SysWOW64\cscript.exe
C:\Windows\System32\ntvdm.exe
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exeKlicken Sie anschließend auf Fertigstellen

ERA HIPS Anwendungen Regsrv32

 

– Blockiere untergeordnete Prozesse für mshta.exe

Im HIPS Regeln Fenster, klicken Sie auf Hinzufügen.

ERA HIPS Regeln

Geben Sie „Blockiere untergeordnete Prozesse für mshta.exe“ in das Regelname Feld.

Bei Aktion wählen Sie „Blockieren“
Und Aktivieren Sie die folgenden Optionen:
– Anwendungen
– Aktiviert
– In Log schreiben
– Benutzer informieren

ERA HIPS Regeleinsntellung Blockiere untergeordnete Prozesse für mshta.exe

Klicken Sie auf Weiter und im Quellanwendungen Fenster, klicken Sie auf Hinzufügen und geben Sie den folgenden Dateipfade an, klicken Sie auf OK und wiederholen Sie dies bis die folgenden 2 Werte eingetagen haben:

C:\Windows\System32\mshta.exe
C:\Windows\SysWOW64\mshta.exe

ERA HIPS Quellanwendungen mshta

Klicken Sie auf Weiter, klicken Sie auf den Schieberegler neben „Neue Anwendung starten“, um diese zu aktivieren und klicken Sie dann auf Weiter.

ERA HIPS Anwendungsbezogene Vorgänge

Wählen Sie Alle Anwendungen aus dem Dropdown-Menü aus und klicken Sie auf Fertig stellen.

ERA HIPS Anwendungen Alle Anwendungen

 

– Blockiere untergeordnete Prozesse für rundll32.exe

Im HIPS Regeln Fenster, klicken Sie auf Hinzufügen.

ERA HIPS Regeln

Geben Sie „Blockiere untergeordnete Prozesse für rundll32.exe“ in das Regelname Feld.
Bei Aktion wählen Sie „Blockieren“
Und Aktivieren Sie die folgenden Optionen:
– Anwendungen
– Aktiviert
– In Log schreiben
– Benutzer informieren

ERA HIPS Regeleinsntellung Blockiere untergeordnete Prozesse für rundll32-exe

Klicken Sie auf Weiter und im Quellanwendungen Fenster, klicken Sie auf Hinzufügen und geben Sie den folgenden Dateipfade an:

C:\Windows\System32\rundll32.exe

ERA HIPS Quellanwendungen rundll

Klicken Sie auf Weiter, klicken Sie auf den Schieberegler neben „Neue Anwendung starten“, um diese zu aktivieren und klicken Sie dann auf Weiter.

ERA HIPS Anwendungsbezogene Vorgänge

Klicken Sie auf Weiter und im Anwendungen Fenster, klicken Sie auf Hinzufügen und geben Sie den folgenden Dateipfade an, klicken Sie auf OK und wiederholen Sie dies bis die folgenden 9 Werte eingetagen haben:

C:\Windows\System32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\System32\wscript.exe
C:\Windows\SysWOW64\wscript.exe
C:\Windows\System32\cscript.exe
C:\Windows\SysWOW64\cscript.exe
C:\Windows\System32\ntvdm.exe
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

Klicken Sie anschließend auf Fertigstellen

ERA HIPS Anwendungen rundll

 

– Blockiere untergeordnete Prozesse für powershell.exe

Im HIPS Regeln Fenster, klicken Sie auf Hinzufügen.

ERA HIPS Regeln

Geben Sie „Blockiere untergeordnete Prozesse für powershell.exe“ in das Regelname Feld.
Bei Aktion wählen Sie „Blockieren“
Und Aktivieren Sie die folgenden Optionen:
– Anwendungen
– Aktiviert
– In Log schreiben
– Benutzer informieren

ERA HIPS Regeleinsntellung Blockiere untergeordnete Prozesse für Powershell

Klicken Sie auf Weiter und im Quellanwendungen Fenster, klicken Sie auf Hinzufügen und geben Sie den folgenden Dateipfade an, klicken Sie auf OK und wiederholen Sie dies bis die folgenden 2 Werte eingetagen haben:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

ERA HIPS Quellanwendungen Powershell

Klicken Sie auf Weiter, klicken Sie auf den Schieberegler neben „Neue Anwendung starten“, um diese zu aktivieren und klicken Sie dann auf Weiter.
ERA HIPS Anwendungsbezogene Vorgänge

Wählen Sie Alle Anwendungen aus dem Dropdown-Menü aus und klicken Sie auf Fertig stellen.

ERA HIPS Anwendungen Alle Anwendungen

 

Nach dem Hinzufügen der HIPS Regeln, schließen Sie das Fenster mit Ok

ERA HIPS Regeln Fertig

 

Nun weißen wir die Richtlinie noch den Rechnern zu, so dass diese diese Richtlinie auch aktiv wird.

Dazu geben Sie auf den Reiter Zuweisen und können dort über die Schaltfläche Zuweisen die Rechnergruppen auswählen oder Alle auswählen

ERA HIPS Policy Zuweisung

 

Und anschließend speichern wir die Richtlinie noch über Fertigstellen ab

ERA HIPS Policy Fertigstellen

 

Informationen wurde aus dem englischen KB Artikel von ESET entnommen und entsprechnend angepasst.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert