Konfigurasi aturan firewall ESET Endpoint Security untuk melindungi dari ransomware (7.3 – 9.x)

ESET Endpoint ESET Protect Console

Masalah

Konfigurasi aturan firewall ESET Endpoint Security untuk melindungi dari ransomware (7.3 – 9.x), aturan firewall tambahan di ESET Endpoint Security atau membuat kebijakan di ESET PROTECT dengan pengaturan firewall tambahan ESET Endpoint Security untuk melindungi dari malware ransomware (filecoder).

Buat Kebijakan ESET PROTECT secara manual/konfigurasi pengaturan di produk bisnis ESET
Unduh dan impor Kebijakan ESET PROTECT

Dengan pengaturan default ESET, jika kode berbahaya dengan droppers dijalankan, ESET Endpoint Security akan mencegah pengunduhan malware dengan ESET Firewall terintegrasi.
Untuk lebih membantu mencegah malware ransomware pada sistem Windows Anda dengan ESET Endpoint Security, buatlah aturan berikut di ESET Endpoint Security terbaru, terapkan Kebijakan ESET PROTECT.

Solusi

Jangan sesuaikan pengaturan pada sistem produksi !!!

Pengaturan berikut adalah konfigurasi tambahan, dan pengaturan khusus yang diperlukan untuk lingkungan keamanan Anda mungkin berbeda. Kami menyarankan Anda menguji pengaturan untuk setiap implementasi di lingkungan pengujian sebelum menggunakannya di lingkungan produksi.

 

Klik Network Protection Network Attact Protection dan verifikasi bahwa Aktifkan perlindungan Botnet diaktifkan. Buat Kebijakan ESET PROTECT secara manual/konfigurasi pengaturan di produk bisnis ESET

1. Buka ESET PROTECT atau ESET PROTECT Cloud Web Console. Klik Buat Kebijakan/Policie Baru….

Jika Anda menggunakan produk bisnis ESET tanpa manajemen jarak jauh, buka jendela program utama produk Windows ESET Anda dan tekan tombol F5 untuk mengakses Pengaturan lanjutan. Lanjutkan ke langkah 3.

2. Klik Settings, dan di menu Pilih produk…, pilih salah satu produk bisnis ESET Endpoint  berikut: ESET Endpoint for Windows.

hips1

3. Klik Network ProtectionNetwork Attack Protection dan verifikasi bahwa Aktifkan perlindungan Botnet diaktifkan.

net1

4. Klik Network Protection, luaskan Advanced dan klik Edit di sebelah Rules.

net2

5. Di jendela Firewall rules, klik Add.

net3

6. Di bagian Nama, ketik Deny network connections for cmd.exe (asli).
Ikuti konfigurasi rule di bawah:

    • Dari Direction drop-down menu, pilih Both
    • Dari Action drop-down menu, pilih Deny.
    • Dari Protocol drop-down menu, pilih Any.
    • Dari Profile drop-down menu, pilih Any profile.

net4

7. Klik tab Lokal, dan di bidang Aplication, ketik C:\Windows\System32\cmd.exe.

net5

8. Klik OKAdd, ulangi step 6 – 7 ikuti list rule di bawah:

  • Name: Deny network connections for cmd.exe (SysWOW64)
    Application: C:\Windows\SysWOW64\cmd.exe
  • Name: Deny network connections for wscript.exe (native)
    Application: C:\Windows\System32\wscript.exe
  • Name: Deny network connections for wscript.exe (SysWOW64)
    Application: C:\Windows\SysWOW64\wscript.exe
  • Name: Deny network connections for cscript.exe (native)
    Application: C:\Windows\System32\cscript.exe
  • Name: Deny network connections for cscript.exe (SysWOW64)
    Application: C:\Windows\SysWOW64\cscript.exe
  • Name: Deny network connections for powershell.exe (native)
    Application: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  • Name: Deny network connections for powershell.exe (SysWOW64)
    Application: C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  • Name: Deny network connections for ntvdm.exe
    Application: C:\Windows\System32\ntvdm.exe
  • Name: Deny network connections for regsvr.exe (native)
    Application: C:\Windows\System32\regsvr.exe
  • Name: Deny network connections for regsvr.exe (SysWOW64)
    Application: C:\Windows\SysWOW64\regsvr.exe
  • Name: Deny network connections for rundll32.exe (native)
    Application: C:\Windows\System32\rundll32.exe
  • Name: Deny network connections for rundll32.exe (SysWOW64)
    Application: C:\Windows\SysWOW64\rundll32.exe

9. Firewall rules window, Klik OK sesudah add rule. klik Assign policy ke client atau grup untuk melakukan penerapan kebijakan/policies.

Jika Anda menggunakan ESET Endpoint Security tanpa manajemen jarak jauh(ESET Protect), anda dapat langsung klik OKOK setelah menambahkan semua aturan.

net6

Unduh dan impor Kebijakan ESET PROTECT

Kebijakan ESET PROTECT untuk ESET Endpoint Security dengan pengaturan firewall tambahan untuk melindungi dari malware ransomware (filecoder) dapat diunduh dan diimpor dari tautan di bawah ini. Kebijakan ESET PROTECT hanya tersedia untuk produk ESET versi terbaru. Kompatibilitas dengan versi sebelumnya tidak dapat dijamin.

1. Download Additional Ransomware Protection ESET PROTECT Policy.

2. Buka ESET PROTECT atau ESET PROTECT Cloud Web Console. Di menu utama ESET PROTECT Web Console, klik Kebijakan.

3. Klik Actions → Import….

hips14.5

4. Klik Pilih file untuk diunggah, pilih kebijakan yang diunduh, dan klik Impor.

hips14.5

Tetapkan kebijakan ke klien atau tetapkan kebijakan ke grup. Pengaturan kebijakan akan diterapkan ke grup target atau komputer klien setelah mereka masuk ke ESET PROTECT.