ESET FILE SECURITY · ESET FILE SECURITY DLA MICROSOFT WINDOWS SERVER Instrukcja instalacji i...
185
ESET FILESECURITY DLA MICROSOFT WINDOWS SERVER Instrukcja instalacji i podręcznik użytkownika Microsoft® Windows® Server 2008 / 2008 R2 / 2012 / 2012 R2 / 2016 Kliknij tutaj, aby wyświetlić ten dokument jako Pomoc online
Transcript of ESET FILE SECURITY · ESET FILE SECURITY DLA MICROSOFT WINDOWS SERVER Instrukcja instalacji i...
ESET FILE SECURITY DLA MICROSOFT WINDOWS SERVER
Instrukcja instalacji i podręcznik użytkownika Microsoft® Windows® Server 2008 / 2008 R2 / 2012 / 2012 R2 / 2016
Kliknij tutaj, aby wyświetlić ten dokument jako Pomoc online
ESET FILE SECURITY
Copyright ©2018ESET, spol. s r.o.
Oprogramowanie ESET File Security zostało opracowane przez firmę ESET, spol. s r.o.
Więcej informacji można znaleźć w witrynie www.eset.com.Wszelkie prawa zastrzeżone. Żadna część niniejszej dokumentacji nie może byćpowielana, przechowywana w systemie pobierania ani przesyłana w jakiejkolwiekformie bądź przy użyciu jakichkolwiek środków elektronicznych, mechanicznych, przezfotokopiowanie, nagrywanie, skanowanie lub w inny sposób bez uzyskaniapisemnego zezwolenia autora.
Firma ESET, spol. s r.o. zastrzega sobie prawo do wprowadzania zmian w dowolnychelementach opisanego oprogramowania bez uprzedniego powiadomienia.
Dział obsługi klienta: www.eset.com/support
WER. 16.08.2018
Spis treści
.......................................................5Wstęp1.
.......................................................6Przegląd2.
....................................................................................................6Najważniejsze funkcje2.1
....................................................................................................7Nowości2.2
....................................................................................................8Typy ochrony2.3
.......................................................9Przygotowywanie do instalacji3.
....................................................................................................10Wymagania systemowe3.1
....................................................................................................11Procedura instalacji produktu ESET FileSecurity
3.2
..............................................................................15Modyfikowanie istniejącej instalacji3.2.1
....................................................................................................16Instalacja cicha/nienadzorowana3.3..............................................................................17Instalacja z poziomu wiersza polecenia3.3.1
....................................................................................................20Aktywacja produktu3.4..............................................................................21Aktywacja administratora zabezpieczeń3.4.1
..............................................................................21Aktywacja zakończona pomyślnie3.4.2
....................................................................................................22Uaktualnianie do nowszej wersji3.5..............................................................................22Uaktualnianie przy użyciu programu ESMC3.5.1
..............................................................................25Uaktualnianie przy użyciu klastra ESET3.5.2
....................................................................................................28Instalacja w środowisku klastrowym3.6
....................................................................................................28Serwer terminali3.7
.......................................................29Informacje wstępne4.
....................................................................................................29Zarządzanie za pomocą rozwiązania ESETSecurity Management Center
4.1
....................................................................................................30Monitorowanie4.2..............................................................................31Stany4.2.1
.......................................................32Wpisanie ESET File Security5.
....................................................................................................32Skanowanie5.1..............................................................................35Okno skanowania i dziennik skanowania5.1.1
....................................................................................................37Pliki dziennika5.2..............................................................................39Filtrowanie dziennika5.2.1
....................................................................................................40Aktualizacja5.3
....................................................................................................43Konfiguracja5.4..............................................................................44Serwer5.4.1
..............................................................................44komputer5.4.2
..............................................................................45Sieć5.4.3
..................................................................................46Kreator rozwiązywania problemów z siecią5.4.3.1
..............................................................................46Strony internetowe i poczta e-mail5.4.4
..............................................................................47Narzędzia — zapisywanie w dziennikachdiagnostycznych
5.4.5
..............................................................................48Import i eksport ustawień5.4.6
....................................................................................................49Narzędzia5.5..............................................................................50Uruchomione procesy5.5.1
..............................................................................51Monitor aktywności5.5.2
..............................................................................53Statystyki ochrony5.5.3
..............................................................................54Klaster5.5.4
..................................................................................56Kreator klastrów — wybieranie węzłów5.5.4.1
..................................................................................57Kreator klastrów — ustawienia klastra5.5.4.2
..................................................................................58Kreator klastrów — ustawienia konfiguracji klastra5.5.4.3
..................................................................................58Kreator klastrów — kontrola węzłów5.5.4.4
..................................................................................61Kreator klastrów — instalacja węzłów5.5.4.5
..............................................................................63ESET Shell5.5.5
..................................................................................65Sposób użycia5.5.5.1
..................................................................................70Polecenia5.5.5.2
..................................................................................72Pliki wsadowe i skrypty5.5.5.3
..............................................................................74ESET Dynamic Threat Defense5.5.6
..............................................................................75ESET SysInspector5.5.7
..............................................................................76ESET SysRescue Live5.5.8
..............................................................................76Harmonogram5.5.9
..................................................................................77Harmonogram — dodawanie zadania5.5.9.1
........................................................................79Typ zadania5.5.9.1.1
........................................................................79Częstotliwość wykonywania zadania5.5.9.1.2
........................................................................80Po wystąpieniu zdarzenia5.5.9.1.3
........................................................................80Uruchamianie aplikacji5.5.9.1.4
........................................................................80Pominięte zadanie5.5.9.1.5
..............................................................................81Przesyłanie próbek do analizy5.5.10
..................................................................................81Podejrzany plik5.5.10.1
..................................................................................82Podejrzana witryna5.5.10.2
..................................................................................82Plik z fałszywym alarmem5.5.10.3
..................................................................................83Witryna internetowa z fałszywym alarmem5.5.10.4
..................................................................................83Inne5.5.10.5
..............................................................................83Kwarantanna5.5.11
....................................................................................................84Konfiguracja skanowania w usłudzeOneDrive
5.6
..............................................................................87Rejestracja skanera ESET OneDrive5.6.1
..............................................................................91Wyrejestrowanie skanera ESET OneDrive5.6.2
.......................................................97Ustawienia ogólne6.
....................................................................................................97Silnik detekcji6.1..............................................................................98Wyłączenia procesów6.1.1
..............................................................................99Wyłączenia6.1.2
..................................................................................100Dodawanie lub edytowanie wyłączeń ze skanowania6.1.2.1
..............................................................................101Wyłączenia automatyczne6.1.3
..............................................................................102Udostępniona lokalna pamięć podręczna6.1.4
..............................................................................102Wykrycie infekcji6.1.5
..............................................................................103Ochrona systemu plików w czasie rzeczywistym6.1.6
..................................................................................104Parametry technologii ThreatSense6.1.6.1
........................................................................108Dodatkowe parametry technologii ThreatSense6.1.6.1.1
........................................................................108Lista rozszerzeń plików wyłączonych ze skanowania6.1.6.1.2
..............................................................................108Ochrona oparta na chmurze6.1.7
..................................................................................110Filtr wyłączeń6.1.7.1
..............................................................................111Skanowania w poszukiwaniu szkodliwegooprogramowania
6.1.8
..................................................................................111Skanowane obiekty6.1.8.1
..................................................................................112Menedżer profili6.1.8.2
..................................................................................113Skanowane obiekty6.1.8.3
..................................................................................114Skanowanie w trakcie bezczynności6.1.8.4
..................................................................................115Skanowanie przy uruchamianiu6.1.8.5
........................................................................115Automatyczne sprawdzanie plików przy uruchamianiu6.1.8.5.1
..................................................................................116Nośniki wymienne6.1.8.6
..................................................................................116Ochrona dokumentów6.1.8.7
..............................................................................117skanowanie środowiska Hyper-V6.1.9
..............................................................................119System HIPS6.1.10
..................................................................................121Ustawienia reguł systemu HIPS6.1.10.1
..................................................................................124Ustawienia zaawansowane6.1.10.2
....................................................................................................124Ustawienia aktualizacji6.2..............................................................................128Cofanie aktualizacji6.2.1
..............................................................................128Zaplanowane zadanie — aktualizacja6.2.2
..............................................................................129kopia dystrybucyjna aktualizacji6.2.3
....................................................................................................131Ochrona sieci6.3..............................................................................132Tymczasowa czarna lista adresów IP6.3.1
....................................................................................................133Strony internetowe i poczta e-mail6.4..............................................................................133Filtrowanie protokołów6.4.1
..................................................................................134Przeglądarki internetowe i programy poczty e-mail6.4.1.1
..............................................................................134SSL/TLS6.4.2
..................................................................................136Lista znanych certyfikatów6.4.2.1
..................................................................................136Szyfrowana komunikacja SSL6.4.2.2
..............................................................................137Ochrona programów poczty e-mail6.4.3
..................................................................................138Protokoły poczty e-mail6.4.3.1
..................................................................................139Alerty i powiadomienia6.4.3.2
..................................................................................139Pasek narzędzi do programu MS Outlook6.4.3.3
..................................................................................140Pasek narzędzi do programów Outlook Express i Pocztasystemu Windows
6.4.3.4
..................................................................................140Okno dialogowe potwierdzenia6.4.3.5
..................................................................................140Ponowne skanowanie wiadomości6.4.3.6
..............................................................................140Ochrona dostępu do stron internetowych6.4.4
..................................................................................141Zarządzanie adresami URL6.4.4.1
........................................................................143Tworzenie nowej listy6.4.4.1.1
..............................................................................144Ochrona przed atakami typu „phishing” w sieci Web6.4.5
....................................................................................................146Kontrola dostępu do urządzeń6.5..............................................................................146Reguły dotyczące urządzeń6.5.1
..............................................................................148Grupy urządzeń6.5.2
....................................................................................................149Konfiguracja narzędzi6.6..............................................................................149Przedziały czasu6.6.1
..............................................................................149Microsoft Windows Update6.6.2
..............................................................................150ESET CMD6.6.3
..............................................................................151ESET RMM6.6.4
..............................................................................152Dostawca WMI6.6.5
..................................................................................153Udostępnione dane6.6.5.1
..................................................................................158Uzyskiwanie dostępu do przekazanych danych6.6.5.2
..............................................................................159ERA/ESMC— obiekty docelowe skanowania6.6.6
..............................................................................159Tryb wymuszania6.6.7
..............................................................................163Pliki dziennika6.6.8
..............................................................................164Serwer proxy6.6.9
..............................................................................165Powiadomienia e-mail6.6.10
..............................................................................166Tryb prezentacji6.6.11
..............................................................................167Diagnostyka6.6.12
..............................................................................168Klaster6.6.13
....................................................................................................169Interfejs użytkownika6.7..............................................................................170Alerty i powiadomienia6.7.1
..............................................................................171Ustawienia dostępu6.7.2
..............................................................................172ESET Shell6.7.3
..............................................................................172Wyłączanie interfejsu GUI na serwerze terminali6.7.4
..............................................................................173Wyłączone komunikaty i stany6.7.5
..................................................................................173Ustawienia stanów aplikacji6.7.5.1
..............................................................................174Ikona na pasku zadań6.7.6
....................................................................................................175Personalizacja6.8
....................................................................................................175Przywracanie ustawień domyślnych6.9
....................................................................................................176Pomoc i obsługa6.10..............................................................................177Przesyłanie zgłoszenia do Działu obsługi klienta6.10.1
..............................................................................177ESET File Security — informacje6.10.2
....................................................................................................178Słowniczek6.11..............................................................................178Typy infekcji6.11.1
..................................................................................178Wirusy6.11.1.1
..................................................................................179Robaki6.11.1.2
..................................................................................179Konie trojańskie6.11.1.3
..................................................................................180Programy typu rootkit6.11.1.4
..................................................................................180Adware6.11.1.5
..................................................................................180Spyware6.11.1.6
..................................................................................181Botnet6.11.1.7
..................................................................................181Oprogramowanie wymuszające okup6.11.1.8
..................................................................................181Programy spakowane6.11.1.9
..................................................................................181Blokada programów typu Exploit6.11.1.10
..................................................................................182Zaawansowany skaner pamięci6.11.1.11
..................................................................................182Potencjalnie niebezpieczne aplikacje6.11.1.12
..................................................................................182Potencjalnie niepożądane aplikacje6.11.1.13
..............................................................................184Poczta e-mail6.11.2
..................................................................................185Reklamy6.11.2.1
..................................................................................185Fałszywe alarmy6.11.2.2
..................................................................................185Ataki typu „phishing”6.11.2.3
5
1. WstępTen przewodnik ma na celu pomoc w optymalnym korzystaniu z programu ESET File Security. Aby zapoznać się zdodatkowymi informacjami dotyczącymi poszczególnych okien programu, naciśnij klawisz F1 na klawiaturze, gdydane okno jest otwarte. Zostanie wyświetlona strona pomocy dotycząca bieżącego okna programu.
W celu zapewnienia zgodności oraz uniknięcia pomyłek w niniejszym podręczniku stosowana jest terminologiaoparta na nazwach parametrów ESET File Security. Zastosowaliśmy również jednolity zbiór symboli do oznaczeniakonkretnych tematów o określonym poziomie ważności.
UWAGAUwagi stanowią krótkie spostrzeżenia. Można je pominąć, lecz mogą również zawierać cenne informacjedotyczące określonych funkcji lub łącza do podobnych tematów.
WAŻNEZagadnienia te wymagają uwagi czytelnika i pomijanie ich nie jest zalecane. Zawierają one istotne informacjeniemające krytycznego znaczenia.
OSTRZEŻENIEInformacje krytyczne, które należy traktować z większą ostrożnością. Ostrzeżenia zostały umieszczonespecjalnie w celu uniknięcia potencjalnie szkodliwych błędów. Należy dokładnie zapoznać się z treściąostrzeżenia, ponieważ dotyczy ono wrażliwych ustawień systemowych lub zagadnień związanych z ryzykiem.
PRZYKŁADTo jest przykład zastosowania danej funkcji, pomagający zrozumieć jej przeznaczenie.
Oznaczenie Znaczenie
Pogrubionaczcionka
Nagłówki sekcji, nazwy funkcji i elementy interfejsu użytkownika, na przykład przyciski.
Pochylonaczcionka
Elementy zastępcze dla informacji wprowadzanych przez użytkownika. Na przykład nazwa pliku lubścieżka oznaczają, że rzeczywista ścieżka lub nazwa pliku są wprowadzane przez użytkownika.
Czcionka Courier NewPrzykłady kodu lub poleceń.
Hiperłącze Zapewnia szybki i łatwy dostęp do przywoływanych tematów lub zewnętrznych adresówinternetowych. Hiperłącza są zaznaczone na niebiesko i mogą być podkreślone.
%ProgramFiles%
Katalog systemowy, w którym przechowywane są programy zainstalowane w systemie Windowslub innym.
Strony pomocy online programu ESET File Security są podzielone na kilka rozdziałów i podrozdziałów. Odpowiednieinformacje można znaleźć, przeglądając zawartość stron pomocy. Można również skorzystać z opcji wyszukiwaniatekstowego, wprowadzając słowa lub frazy.
6
2. PrzeglądProgram ESET File Security jest zintegrowanym rozwiązaniem zaprojektowanym specjalnie dla środowiska MicrosoftWindows Server. Program ESET File Security oferuje dwie skuteczne i wydajne metody ochrony przed różnymirodzajami szkodliwego oprogramowania: antywirusową i antyspyware.
2.1 Najważniejsze funkcje
Poniższa tabela zawiera listę funkcji dostępnych w programie ESET File Security. Program ESET File Security obsługuje większość wersji systemu Microsoft Windows Server 2008 i 2012 w środowisku autonomicznym orazklastrowym. Narzędzie ESET Security Management Center umożliwia zdalne zarządzanie programem ESET FileSecurity w większych sieciach.
Prawdziwy 64-bitowy rdzeńproduktu
Zapewnia większą wydajność i stabilność komponentów głównych produktu.
Skanowanie w usłudzeOneDrive
Ta nowa funkcja umożliwia skanowanie plików z chmury w usłudze OneDrive.Przeznaczona do konta firmowego Office 365.
Wyłączenia automatyczne Automatyczne wykrywanie i wyłączanie najważniejszych aplikacji i plików serwera wcelu zapewnienia bezproblemowego działania i wydajności.
Technologia Self-Defense Technologia, która chroni rozwiązania zabezpieczające firmy ESET przednieuprawnionym zmodyfikowaniem lub dezaktywacją.
Skuteczne rozwiązywanieproblemów
Wbudowane narzędzia ułatwiające rozwiązywanie różnych problemów: narzędzie ESET SysInspector do przeprowadzania diagnostyki systemu i narzędzie ESETSysRescue Live do tworzenia rozruchowej ratunkowej płyty CD lub dysku USB.
klaster ESET Podobnie jak w rozwiązaniu ESET File Security 6 for Microsoft Windows Server,łączenie stacji roboczych w węzły umożliwia dodatkową automatyzację zarządzaniaze względu na możliwość rozpowszechnienia jednej zasady konfiguracji wśródwszystkich elementów klastra. Same klastry można tworzyć przy użyciuzainstalowanego węzła, co pozwala następnie zdalnie zainstalować i zainicjowaćwszystkie węzły. Produkty serwerowe firmy ESET mogą komunikować się międzysobą oraz wymieniać dane, takie jak konfiguracje i powiadomienia, a także synchronizować bazy danych szarej listy oraz synchronizować dane niezbędne doprawidłowego działania grupy instancji produktu. Pozwala to uzyskać tę samąkonfigurację produktu w ramach całego klastra. Klastry pracy awaryjnej systemuWindows oraz klastry równoważenia obciążenia sieciowego są obsługiwane przezprogram ESET File Security. Ponadto węzły klastra ESET można dodawać ręcznie, bezkonieczności stosowania określonego klastra Windows. Klastry ESET działają zarównow środowiskach domenowych, jak i w grupach roboczych.
Instalacja na podstawiekomponentów
Wybierz komponenty, które chcesz dodać lub usunąć.
Skanowanie pamięcimasowej
Skanowanie wszystkich plików udostępnionych na serwerze lokalnym. Ułatwia toselektywne skanowanie tylko danych użytkowników przechowywanych na serwerzeplików.
Wyłączenia procesów Wyłączenie określonych procesów z procedury skanowania antywirusowego przydostępie. Ze względu na decydującą rolę dedykowanych serwerów (serwer aplikacji,serwer pamięci masowej itp.) konieczne jest regularne tworzenie kopii zapasowych,mające na celu zagwarantowanie szybkiego odzyskiwania sprawności po wszelkiego
7
Prawdziwy 64-bitowy rdzeńproduktu
Zapewnia większą wydajność i stabilność komponentów głównych produktu.
rodzaju zdarzeniach krytycznych. Aby przyspieszyć tworzenie kopii zapasowych,zwiększyć integralność tego procesu oraz dostępność usług, podczas tworzenia kopiizapasowych stosowane są techniki, które mogą wywoływać konflikty z ochronąantywirusową na poziomie plików. Podobne problemy mogą występować przypróbach przeprowadzenia migracji maszyn wirtualnych w trakcie działania systemu.Jedynym skutecznym sposobem na uniknięcie obu tych problemów jestdezaktywacja oprogramowania antywirusowego. Dzięki wyłączeniu określonegoprocesu (np. procesu używanego w rozwiązaniu do tworzenia kopii zapasowych)wszystkie operacje na plikach związane z takim wyłączonym procesem sąignorowane i uznawane za bezpieczne, co pozwala ograniczyć do minimumzakłócenia w procesie tworzenia kopii zapasowej. Zalecamy zachowanie ostrożnościpodczas tworzenia wyłączeń. Wyłączone narzędzie do tworzenia kopii zapasowychmoże uzyskiwać dostęp do zarażonych plików, nie uruchamiając przy tym alertu.Dlatego właśnie uprawnienia rozszerzone są dozwolone wyłącznie w moduleochrony w czasie rzeczywistym.
eShell ESET Shell Interfejs eShell 2.0 jest teraz dostępny w programie ESET File Security. eShell tointerfejs wiersza polecenia udostępniający zaawansowanym użytkownikom iadministratorom kompleksowe opcje zarządzania produktami serwerowymi firmyESET.
ESET Dynamic ThreatDefense (EDTD)
Usługa oparta na rozwiązaniu ESET Cloud. Gdy rozwiązanie ESET File Security wykryjepodejrzany kod lub podejrzaną aktywność, zapobiega dalszej aktywności zagrożenia,tymczasowo umieszczając je w kwarantannie rozwiązania ESET Dynamic ThreatDefense. Próbka podejrzanego pliku jest automatycznie przesyłana na serwer ESETDynamic Threat Defense w celu analizy przy użyciu najnowszych silników detekcjiszkodliwego oprogramowania. Program ESET File Security następnie otrzymujerezultat analizy. Podejrzany plik jest przetwarzany zależnie od rezultatu.
ESET Security ManagementCenter
Lepsza integracja z programem ESET Security Management Center, w tym możliwośćzaplanowania skanowania na żądanie. Więcej informacji na temat rozwiązania ESMCzawiera Pomoc online rozwiązania ESET Security Management Center .
Skanowanie środowiskaHyper-V
Nowa technologia, która umożliwia skanowanie dysków maszyn wirtualnych na serwerze funkcji Microsoft Hyper-V bez uprzedniej instalacji jakiegokolwiek„agenta” na danej maszynie wirtualnej.
2.2 Nowości
W programie ESET File Security wprowadzono następujące nowe funkcje:
· Prawdziwy 64-bitowy rdzeń produktu
· Skanowanie w usłudze OneDrive
· ESET Dynamic Threat Defense (EDTD)
· Obsługa programu ESET Enterprise Inspector
· ESET RMM
8
2.3 Typy ochrony
Istnieją dwa rodzaje ochrony:
· Ochrona antywirusowa
· Ochrona antyspyware
Ochrona antywirusowa i antyspyware jest jedną z podstawowych funkcji programu ESET File Security. Ochrona tegotypu zabezpiecza system przed szkodliwymi atakami, sprawdzając pliki, pocztę e-mail i komunikację internetową. Wprzypadku wykrycia zagrożenia moduł antywirusowy może je wyeliminować przez zablokowanie, a następniewyleczenie, usunięcie lub przeniesienie do kwarantanny.
9
3. Przygotowywanie do instalacjiZalecane kroki przygotowywania instalacji produktu:
· Po kupieniu programu ESET File Security pobierz pakiet instalacyjny .msi ze strony internetowej firmy ESET .
· Upewnij się, że serwer, na którym ma zostać zainstalowany program ESET File Security spełnia wymaganiasystemowe.
· Zaloguj się na serwerze przy użyciu konta administratora.
UWAGANależy pamiętać, że instalator trzeba uruchomić przy użyciu wbudowanego konta administratora lub kontaadministratora domeny (jeżeli wbudowane konto administratora lokalnego zostało wyłączone). Inniużytkownicy, nawet jeśli należą do grupy Administratorzy, nie mają wystarczających uprawnień dostępu. Z tegopowodu należy użyć wbudowanego konta administratora — pomyślne ukończenie instalacji nie będziemożliwe przy użyciu konta innego niż konto administratora lokalnego lub administratora domeny.
· Jeśli ma zostać wykonane uaktualnienie bieżącej instalacji programu ESET File Security, zalecamy utworzeniekopii zapasowej bieżącej konfiguracji tego programu przy użyciu funkcji eksportowania ustawień.
· Usuń/odinstaluj oprogramowanie antywirusowe innej firmy z systemu, jeśli jest ono zainstalowane. Zalecamyużywanie narzędzia ESET AV Remover . Listę programów antywirusowych innych firm, które można usunąćprzy użyciu narzędzia ESET AV Remover, można znaleźć w tym artykule bazy wiedzy .
· W przypadku przeprowadzania instalacji w systemie Windows Server 2016, firma Microsoft zaleca odinstalowanie funkcji Windows Defender i wycofanie rejestracji w usłudze Windows Defender ATP, abyuniknąć problemów wynikających z obecności różnych programów antywirusowych na komputerze.
Instalator programu ESET File Security może działać w dwóch trybach instalacji:
· Graficzny interfejs użytkownika Jest to zalecany typ instalacji mający postać kreatora instalacji.
· Instalacja cicha/nienadzorowana Oprócz kreatora instalacji dostępna jest opcja cichej instalacji programu ESET File Security z poziomu wierszapolecenia.
WAŻNEJeśli to możliwe, zdecydowanie zaleca się instalowanie programu ESET File Security w niedawnozainstalowanym i skonfigurowanym systemie operacyjnym. Jeśli jednak użytkownik musi zainstalowaćprogram w już używanym systemie, zalecamy odinstalowanie wcześniejszej wersji programu ESET File Security,ponowne uruchomienie serwera, a następnie zainstalowanie nowej wersji programu ESET File Security.
· Uaktualnianie do nowszej wersji W przypadku starszej wersji programu ESET File Security możesz wybrać odpowiednią do potrzeb metodęuaktualniania.
Kolejne czynności po pomyślnym zainstalowaniu lub uaktualnieniu programu ESET File Security:
· Aktywacja produktu Dostępność danego scenariusza w oknie aktywacji zależy od kraju oraz sposobu dystrybucji.
10
· Konfiguracja ustawień ogólnych Program ESET File Security możesz dostosować, modyfikując zaawansowane ustawienia każdej z jego funkcjiodpowiednio do potrzeb.
3.1 Wymagania systemowe
Obsługiwane systemy operacyjne:
· Microsoft Windows Server 2016
· Microsoft Windows Server 2012 R2
· Microsoft Windows Server 2012
· Microsoft Windows Server 2008 R2
· Microsoft Windows Server 2008 (oparty na procesorze x86 i x64)
Serwery Storage, Small Business i MultiPoint:
· Microsoft Windows Storage Server 2016
· Microsoft Windows Storage Server 2012 R2
· Microsoft Windows Storage Server 2012
· Microsoft Windows Storage Server 2008 R2 Essentials SP1
· Microsoft Windows Server 2016 Essentials
· Microsoft Windows Server 2012 R2 Essentials
· Microsoft Windows Server 2012 Essentials
· Microsoft Windows Server 2012 Foundation
· Microsoft Windows Small Business Server 2011 (oparty na procesorze x64)
· Microsoft Windows Small Business Server 2008 (oparty na procesorze x64)
· Microsoft Windows MultiPoint Server 2012
· Microsoft Windows MultiPoint Server 2011
· Microsoft Windows MultiPoint Server 2010
Obsługiwane systemy operacyjne hosta z rolą Hyper-V:
· Microsoft Windows Server 2016
· Microsoft Windows Server 2012 R2
· Microsoft Windows Server 2012
· Microsoft Windows Server 2008 R2 — maszyny wirtualne mogą być skanowane wyłącznie wówczas, gdy są wtrybie offline
Wymagania sprzętowe zależą od używanej wersji systemu operacyjnego. Szczegółowe informacje na tematwymagań sprzętowych można znaleźć w dokumentacji produktu Microsoft Windows Server.
UWAGAZdecydowanie zalecamy zainstalowanie najnowszego dodatku Service Pack dla systemu operacyjnegoMicrosoft Windows Server oraz aplikacji serwerowej przed zainstalowaniem produktu zabezpieczającego firmyESET. Zalecamy również instalowanie najnowszych aktualizacji oraz poprawek systemu Windows, gdy tylkozostaną udostępnione.
Minimalne wymagania sprzętowe:
Komponent Wymagania
Procesor Jednordzeniowy procesor x86 lub x64 firmy Intel albo AMD
11
Komponent Wymagania
Pamięć 256 MB wolnej pamięci
Dysk twardy 700 MB wolnego miejsca na dysku twardym
Rozdzielczość ekranu 800 x 600 pikseli lub większa
3.2 Procedura instalacji produktu ESET File Security
Jest to typowy kreator instalacji z graficznym interfejsem użytkownika. Kliknij dwukrotnie pakiet .msi i wykonajczynności instalacji programu ESET File Security:
1. Kliknij opcję Dalej, aby kontynuować, lub kliknij opcję Anuluj, aby zakończyć instalację.
2. Kreator instalacji działa w języku określonym w elemencie Lokalizacja główna ustawienia Region >Lokalizacja systemu operacyjnego (lub Aktualna lokalizacja ustawienia Region i język > Lokalizacja wstarszych systemach). Użyj menu rozwijanego, aby wybrać język produktu, z którym chcesz zainstalowaćprogram ESET File Security. Wybrany język programu ESET File Security jest niezależny od języka kreatorainstalacji.
3. Kliknij przycisk Dalej. Zostanie wyświetlona Umowa licencyjna użytkownika końcowego. Po potwierdzeniuakceptacji Umowy licencyjnej użytkownika końcowego i Polityki prywatności kliknij przycisk Dalej.
12
4. Wybierz jeden z dostępnych typów instalacji. Dostępne typy instalacji różnią się w zależności od systemuoperacyjnego.
PełnaInstalowane są wszystkie funkcje programu ESET File Security. Zwana także kompletną instalacją. Jest tozalecany typ instalacji dostępny dla systemu Windows Server 2012, 2012 R2, 2016, Windows Server 2012Essentials, 2012 R2 Essentials i 2016 Essentials.
TypowaInstalowane są zalecane funkcje programu ESET File Security. Dostępna dla systemu Windows Server 2008, 2008R2, Windows Small Business Server 2008 i 2011.
13
GłównaInstalacja tego typu jest przeznaczona dla wersji Server Core systemu Windows. Kroki instalacji są takie same jakw przypadku instalacji pełnej, jednak zostaną zainstalowane wyłącznie główne funkcje oraz interfejsużytkownika wiersza polecenia. Mimo że opcja instalacji głównej jest przeznaczona dla wersji Server Coresystemu Windows, można ją również przeprowadzić w zwykłym systemie Windows Server. Produktzabezpieczający ESET zainstalowany w ramach instalacji głównej nie ma graficznego interfejsu użytkownika.Oznacza to, że podczas pracy z programem ESET File Security można korzystać wyłącznie z interfejsuużytkownika wiersza polecenia. Więcej informacji i inne specjalne parametry można znaleźć w sekcji Instalacja zpoziomu wiersza polecenia.
PRZYKŁAD
Aby uruchomić instalację główną za pośrednictwem wiersza polecenia, należy użyć następującegoprzykładowego polecenia:
msiexec /qn /i efsw_nt64_ENU.msi ^
/l inst.log ADDLOCAL=HIPS,_Base,SERVER,_FeaturesCore,WMIProvider,Scan,Updater,eShell,UpdateMirror,RealtimeProtection,_License
NiestandardowaUmożliwia wybór funkcji programu ESET File Security, które mają zostać zainstalowane w systemie. Przedrozpoczęciem instalacji zostanie wyświetlona lista modułów i funkcji produktu. Jest to przydatne w celudostosowania programu ESET File Security tak, aby zawierał jedynie potrzebne komponenty.
UWAGAW systemach Windows Server 2008 i Windows Server 2008 R2 instalacja komponentu Ochrona sieci jestdomyślnie wyłączona (instalacja typowa). Aby zainstalować ten moduł, należy wybrać typ instalacjiNiestandardowa.
5. Zostanie wyświetlony monit o podanie lokalizacji, w której zostanie zainstalowany program ESET FileSecurity. Domyślnie program jest instalowany w katalogu C:\Program Files\ESET\ESET File Security. Abyzmienić tę lokalizację, kliknij przycisk Przeglądaj (niezalecane).
14
6. Kliknij opcję Instaluj, aby rozpocząć instalację. Po ukończeniu instalacji zostanie uruchomiony graficzny
interfejs użytkownika oprogramowania ESET i zostanie wyświetlona ikona w obszarze powiadomień(pasek zadań).
15
3.2.1 Modyfikowanie istniejącej instalacji
Można dodać komponenty do instalacji lub usunąć je z niej. W tym celu uruchom pakiet instalacyjny .msi użytywcześniej podczas instalacji lub przejdź do obszaru Programy i funkcje (jest on dostępny w Panelu sterowaniasystemu Windows). Kliknij prawym przyciskiem myszy program ESET File Security i wybierz opcję Zmień. Wykonajopisane poniżej działania w celu dodania lub usunięcia komponentów.
Do wyboru są 3 opcje. Opcja Modyfikuj umożliwia zmodyfikowanie zainstalowanych komponentów, opcja Naprawumożliwia naprawienie instalacji produktu ESET File Security, a opcja Usuń pozwala go całkowicie odinstalować.
Po wybraniu opcji Modyfikuj zostanie wyświetlona lista dostępnych komponentów programu.
Wybierz, które z komponentów mają zostać dodane lub usunięte. Możesz jednocześnie dodać lub usunąć wielekomponentów. Kliknij komponent i wybierz odpowiednią opcję z menu rozwijanego:
16
Po wybraniu opcji kliknij opcję Modyfikuj, aby przeprowadzić modyfikacje.
UWAGAZainstalowane komponenty można zmodyfikować w dowolnym momencie, uruchamiając instalator. Wprzypadku większości komponentów wprowadzenie zmiany nie wymaga ponownego uruchomienia serwera.Graficzny interfejs użytkownika zostanie uruchomiony ponownie i widoczne będą tylko komponenty, któremiały być zainstalowane. W przypadku komponentów, które wymagają ponownego uruchomienia serwera,Instalator Windows wyświetli monit o ponowne uruchomienie i nowe komponenty zostaną udostępnione, gdyserwer będzie znowu dostępny.
3.3 Instalacja cicha/nienadzorowana
Uruchom poniższe polecenie, aby przeprowadzić instalację za pośrednictwem wiersza polecenia: msiexec /i<packagename> /qn /l*xv msi.log
UWAGAW systemach Windows Server 2008 i 2008 R2 nie zostanie zainstalowana funkcja Ochrona sieci.
Aby upewnić się, że instalacja przebiegła pomyślnie, lub w przypadku wystąpienia problemów użyj narzędziaPodgląd zdarzeń systemu Windows w celu sprawdzenia dziennika aplikacji (szukaj rekordów o źródle: MsiInstaller).
PRZYKŁAD
Pełna instalacja w systemie 64-bitowym:
msiexec /i efsw_nt64.msi /qn /l*xv msi.log ADDLOCAL=NetworkProtection,RealtimeProtection,^
DeviceControl,DocumentProtection,Cluster,GraphicUserInterface,SysInspector,SysRescue,Rmm,eula
Po ukończeniu instalacji zostanie uruchomiony graficzny interfejs użytkownika oprogramowania ESET i zostanie
wyświetlona ikona w obszarze powiadomień (pasek zadań)
17
PRZYKŁAD
Instalacja produktu w określonym języku (niemiecki):
msiexec /i efsw_nt64.msi /qn ADDLOCAL=NetworkProtection,RealtimeProtection,^
DeviceControl,DocumentProtection,Cluster,GraphicUserInterface,^
SysInspector,SysRescue,Rmm,eula PRODUCT_LANG=1031 PRODUCT_LANG_CODE=de-de
Dodatkowe informacje oraz listę kodów językowych można znaleźć w rubryce Parametry językowe sekcjiInstalacja z poziomu wiersza polecenia.
WAŻNEPodczas określania wartości parametru REINSTALL należy uwzględnić pozostałe wartości, które nie są używanejako wartości parametrów ADDLOCAL ani REMOVE. W celu przeprowadzenia poprawnej instalacji z poziomuwiersza polecenia niezbędne jest uwzględnienie wszystkich funkcji jako wartości parametrów REINSTALL,ADDLOCAL i REMOVE. Dodanie lub usunięcie może się nie udać, jeśli nie zostanie użyty parametr REINSTALL.Pełna lista funkcji znajduje się w sekcji Instalacja z poziomu wiersza polecenia.
PRZYKŁAD
Pełne usunięcie (odinstalowanie) z systemu 64-bitowego:
msiexec /x efsw_nt64.msi /qn /l*xv msi.log
UWAGASerwer zostanie automatycznie uruchomiony ponownie po udanej dezinstalacji.
3.3.1 Instalacja z poziomu wiersza polecenia
Poniższe ustawienia są przeznaczone do użytku w interfejsie użytkownika wyłącznie na poziomie ograniczonym,podstawowym i przy ustawieniu brak. Informacje o wersji programu msiexec używanego w odniesieniu doodpowiednich przełączników wiersza polecenia można znaleźć w dokumentacji .
Obsługiwane parametry:
APPDIR=<ścieżka>
· ścieżka — prawidłowa ścieżka katalogu
· Katalog instalacji aplikacji
· Przykład: efsw_nt64.msi /qn APPDIR=C:\ESET\ ADDLOCAL=DocumentProtection
APPDATADIR=<ścieżka>
· ścieżka — prawidłowa ścieżka katalogu
· Katalog instalacji danych aplikacji
MODULEDIR=<ścieżka>
· Ścieżka — prawidłowa ścieżka do katalogu
· Katalog instalacji modułów
ADDEXCLUDE=<lista>
· ADDEXCLUDE to lista wartości rozdzielanych przecinkami, na której wyszczególnione są wszystkie nazwy funkcji,które nie mają być instalowane. Zastępuje ona nieużywane już polecenie REMOVE.
· Podczas wybierania funkcji, które nie mają zostać zainstalowane, całą ścieżkę (tj. także wszystkie funkcjepodrzędne) oraz powiązane niewidoczne funkcje należy bezpośrednio uwzględnić na liście.
· Przykład: efsw_nt64.msi /qn ADDEXCLUDE=<list>
18
UWAGAElementu ADDEXCLUDE nie można używać w połączeniu z elementem ADDLOCAL.
ADDLOCAL=<lista>
· Instalacja komponentów — lista funkcji nieobowiązkowych do instalacji lokalnej
· Do użytku z pakietami .msi ESET: efsw_nt64.msi /qn ADDLOCAL=<list>
· Więcej informacji na temat właściwości ADDLOCALzawiera strona http://msdn.microsoft.com/en-us/library/aa367536%28v=vs.85%29.aspx
· ADDLOCAL to lista wartości rozdzielanych przecinkami zawierająca wszystkie nazwy funkcji do zainstalowania.
· Podczas wybierania funkcji do zainstalowania, całą ścieżkę (wszystkie funkcje nadrzędne) należybezpośrednio uwzględnić na liście.
Obecność funkcji
· Wymagana — funkcja jest zawsze instalowana.
· Opcjonalna — można usunąć zaznaczenie funkcji do instalacji.
· Niewidoczna — funkcja logiczna wymagana w celu poprawnego działania innych funkcji.
Lista funkcji programu ESET File Security:
WAŻNEW nazwach wszystkich funkcji jest rozróżniana wielkość liter, na przykład nazwa RealtimeProtection nie jesttożsama z nazwą REALTIMEPROTECTION.
Nazwa funkcji Obecność funkcji
SERVER Wymagana
RealtimeProtection Wymagana
WMIProvider Wymagana
HIPS Wymagana
Updater Wymagana
eShell Wymagana
UpdateMirror Wymagana
DeviceControl Opcjonalna
DocumentProtection Opcjonalna
WebAndEmail Opcjonalna
ProtocolFiltering Niewidoczna
NetworkProtection Opcjonalna
IdsAndBotnetProtection Opcjonalna
Rmm Opcjonalna
WebAccessProtection Opcjonalna
EmailClientProtection Opcjonalna
MailPlugins Niewidoczna
19
Nazwa funkcji Obecność funkcji
Cluster Opcjonalna
_Base
eula
ShellExt Opcjonalna
_FeaturesCore
GraphicUserInterface Opcjonalna
SysInspector Opcjonalna
SysRescue Opcjonalna
EnterpriseInspector Opcjonalna
Aby usunąć dowolną z poniższych funkcji, należy usunąć całą grupę:
GraphicUserInterface,ShellExt
WebAndEmail,EmailClientProtection,MailPlugins,ProtocolFiltering,WebAccessProtection
PRZYKŁAD
Przykład instalacji głównej:
msiexec /qn /i efsw_nt64.msi /l*xv msi.log ADDLOCAL=RealtimeProtection,Rmm
Jeśli program ESET File Security ma zostać automatycznie skonfigurowany po instalacji, możesz określić podstawoweparametry konfiguracji w poleceniu instalacji.
PRZYKŁAD
Instalacja programu ESET File Security i wyłączenie funkcji ESET LiveGrid®:
msiexec /qn /i efsw_nt64.msi ADDLOCAL=RealtimeProtection,Rmm,GraphicUserInterface CFG_LIVEGRID_ENABLED=0
Lista wszystkich właściwości konfiguracji:
CFG_POTENTIALLYUNWANTED_ENABLED=1/00 — wyłączone, 1 — włączone
CFG_LIVEGRID_ENABLED=1/0 0 — wyłączone, 1 — włączone
FIRSTSCAN_ENABLE=1/0 0 — wyłączone, 1 — włączone
CFG_PROXY_ENABLED=0/1 0 — wyłączone, 1 — włączone
CFG_PROXY_ADDRESS=<ip> Adres IP serwera proxy
CFG_PROXY_PORT=<port> Numer portu serwera proxy
CFG_PROXY_USERNAME=<user> Nazwa użytkownika do celów uwierzytelniania
CFG_PROXY_PASSWORD=<pass> Hasło do celów uwierzytelniania
20
Parametry językowe: Język produktu (należy określić oba parametry)
PRODUCT_LANG= Liczba dziesiętna LCID (identyfikator ustawień regionalnych), przykładowo 1033dla English - United States. Tutaj można znaleźć listę kodów językowych .
PRODUCT_LANG_CODE= Ciąg LCID (nazwa kultury językowej), przykładowo en-us dla English - UnitedStates. Tutaj można znaleźć listę kodów językowych .
3.4 Aktywacja produktu
Po zakończeniu instalacji zostanie wyświetlony monit o aktywowanie produktu.
Aktywacji produktu ESET File Security można dokonać przy użyciu dowolnej z poniższych metod:
Wprowadź klucz licencyjnyNiepowtarzalny ciąg znaków w formacie XXXX-XXXX-XXXX-XXXX-XXXX służący do identyfikacji właścicielalicencji oraz do aktywowania licencji.
ESET Business AccountUżyj tej opcji, jeśli ukończono rejestrację i masz konto w usłudze ESET Business Account (EBA) , do którejzaimportowano licencję na produkt <%PRODUCTNAME%>. Możesz też wprowadzić poświadczenia administratora zabezpieczeń używane w portalu ESET License Administrator .
Plik licencji offlineAutomatycznie generowany plik, który zostanie przeniesiony do produktu ESET w celu przekazania informacjidotyczących licencji. Plik licencji offline jest generowany przez portal licencyjny i jest przeznaczony do użytku wśrodowiskach, w których aplikacja nie może łączyć się z podmiotem odpowiedzialnym za licencje.
Jeśli komputer należy do sieci zarządzanej, należy kliknąć opcję Aktywuj później w narzędziu ESET SecurityManagement Center, aby administrator przeprowadził aktywację zdalną przy użyciu narzędzia ESET Security
21
Management Center. Z tej opcji można również skorzystać w celu aktywowania danego klienta w późniejszymczasie.
W dowolnym momencie można wybrać pozycje Pomoc i obsługa > Zarządzanie licencją w oknie głównym programu,by zarządzać informacjami dotyczącymi licencji. Zostanie wyświetlony identyfikator publiczny licencji służący doidentyfikacji produktu przez obsługę firmy ESET oraz do identyfikacji licencji. Nazwa użytkownika, pod którązarejestrowano komputer, jest zapisana w sekcji Informacje, dostępnej po kliknięciu prawym przyciskiem myszy
ikony na pasku zadań.
Po pomyślnym aktywowaniu programu ESET File Security zostanie otwarte główne okno programu, a na stronie Monitorowanie widoczny będzie jego bieżący stan. Program może na początku wymagać nieco uwagi, na przykładzostanie wyświetlone pytanie o chęć przynależności do programu ESET LiveGrid®.
W głównym oknie programu będą również wyświetlane powiadomienia dotyczące innych elementów, takich jakaktualizacje systemu (aktualizacje systemu Windows) czy aktualizacje bazy sygnatur wirusów. Po rozwiązaniuwszystkich kwestii wymagających uwagi stan monitorowania zostanie oznaczony kolorem zielonym i wyświetlonazostanie informacja „Maksymalna ochrona”.
Aby aktywować produkt ESET File Security bezpośrednio z poziomu programu, należy kliknąć ikonę na pasku zadań
i z menu wybrać opcję Produkt nie został aktywowany. Produkt można również aktywować z menu głównego,wybierając pozycje Pomoc i obsługa > Aktywuj produkt lub Stan monitorowania > Produkt nie został aktywowany.
UWAGANa serwerze ESET Security Management Center można aktywować komputery klienckie w trybie dyskretnym,przy użyciu licencji udostępnionych przez administratora.
3.4.1 Aktywacja administratora zabezpieczeń
Konto administratora zabezpieczeń to konto na portalu licencyjnym utworzone przy użyciu adresu e-mail oraz hasłaużytkownika. To konto umożliwia wyświetlanie uprawnień związanych z wszystkimi stanowiskami.
Konto Administrator zabezpieczeń umożliwia zarządzanie wieloma licencjami. W przypadku braku kontaadministratora zabezpieczeń należy kliknąć opcję Utwórz konto, po czym nastąpi przekierowanie do stronyinternetowej ESET License Administrator, gdzie można zarejestrować swoje poświadczenia.
W razie zapomnienia hasła należy kliknąć opcję Nie pamiętasz hasła?, po czym nastąpi przekierowanie do portalubiznesowego ESET. Należy wprowadzić tam swój adres e-mail i kliknąć opcję Prześlij w celu potwierdzenia.Użytkownik otrzyma wówczas wiadomość z instrukcjami dotyczącymi resetowania hasła.
UWAGAWięcej informacji na temat korzystania z narzędzia ESET License Administrator można znaleźć w Podręcznikuużytkownika narzędzia ESET License Administrator.
3.4.2 Aktywacja zakończona pomyślnie
Aktywacja została zakończona pomyślnie i program ESET File Security został aktywowany. Od teraz program ESET FileSecurity będzie regularnie otrzymywać aktualizacje umożliwiające identyfikację najnowszych zagrożeń i ochronękomputera. Aby zakończyć aktywację produktu, należy kliknąć pozycję Gotowe.
22
3.5 Uaktualnianie do nowszej wersji
Nowsze wersje programu ESET File Security publikuje się w celu wprowadzania w nim poprawek lub udoskonaleń,których nie można wdrożyć w ramach automatycznych aktualizacji poszczególnych modułów. Dostępne sąnastępujące metody uaktualniania:
· Ręcznie Pobierz najnowszą wersję programu ESET File Security. Wyeksportuj ustawienia z istniejącej instalacjiprogramu ESET File Security (jeśli chcesz zachować konfigurację). Odinstaluj program ESET File Security iuruchom ponownie serwer. Przeprowadź nową instalację przy użyciu pobranego instalatora. Zaimportujustawienia w celu załadowania konfiguracji. Tę procedurę zalecamy w przypadku pojedynczego serwera ESETFile Security. Dotyczy uaktualniania z dowolnej starszej wersji do wersji 7.x.
· Zdalne Używana w dużych środowiskach sieciowych zarządzanych przez serwer ESET Security Management Center. Tametoda jest przydatna w przypadku wielu serwerów z programem ESET File Security. Dotyczy uaktualniania zwersji 4.x i 6.x do 7.x.
· Kreator klastra ESET To narzędzie może być używane również jako metoda uaktualniania. Zalecamy tę metodę w przypadku conajmniej dwóch serwerów z programem ESET File Security. Dotyczy uaktualniania z wersji 4.x i 6.x do 7.x. Poukończeniu uaktualniania można nadal korzystać z klastra ESET i jego funkcji.
UWAGAPodczas uaktualniania programu ESET File Security wymagane jest ponowne uruchomienie serwera.
UWAGAPo uaktualnieniu programu ESET File Security zalecamy przejrzenie wszystkich ustawień w celu upewnienia się,że zostały skonfigurowane poprawnie i zgodnie z potrzebami.
3.5.1 Uaktualnianie przy użyciu programu ESMC
Program ESET Security Management Center umożliwia uaktualnianie wielu serwerów ze starszą wersją programuESET File Security. Dzięki tej metodzie można jednocześnie zaktualizować dużą liczbę serwerów, upewniając się, żekażda konfiguracja programu ESET File Security jest identyczna (jeśli jest to wymagane).
UWAGADotyczy uaktualniania z wersji 4.x i wersji 6.x do wersji 7.x.
Procedura składa się z następujących etapów:
· Ręczne uaktualnienie pierwszego serwera przez zainstalowanie najnowszej wersji programu ESET FileSecurity na istniejącej wersji w celu zachowania całej konfiguracji, w tym między innymi reguł, wielu białych iczarnych list itd. Ten etap jest wykonywany lokalnie na serwerze z programem ESET File Security.
· Żądanie konfiguracji programu ESET File Security, który został właśnie uaktualniony do wersji 7.x, i użycieopcji Konwertuj do polityki w programie ESET Security Management Center. Polityka ta zostanie późniejzastosowana do wszystkich zaktualizowanych serwerów. Ten etap jest wykonywany zdalnie przy użyciurozwiązania ESMC, podobnie jak kolejne etapy.
· Uruchomienie zadania Dezinstalacja oprogramowania na wszystkich serwerach ze starszą wersją programuESET File Security.
23
· Uruchomienie zadania Instalacja oprogramowania na wszystkich serwerach, na których ma działać najnowszawersja programu ESET File Security.
· Przypisanie polityki konfiguracji do wszystkich serwerów z najnowszą wersją programu ESET File Security.
Szczegółowa procedura:
1. Zaloguj się na jednym z serwerów z programem ESET File Security. Uaktualnij ten program, pobierając jegonajnowszą wersję i instalując ją na istniejącej wersji. Wykonaj kroki zwykłej instalacji. Cała oryginalnakonfiguracja starszego programu ESET File Security zostanie zachowana podczas instalacji.
2. Otwórz konsolę webową rozwiązania ESET Security Management Center, wybierz komputer kliencki wgrupie statystycznej lub dynamicznej i kliknij pozycję Pokaż szczegóły.
3. Otwórz kartę Konfiguracja i kliknij przycisk Zażądaj konfiguracji, aby zebrać całą konfigurację zarządzanegoproduktu. Zebranie konfiguracji potrwa chwilę. Po wyświetleniu na liście najnowszej konfiguracji kliknijpozycję Produkt zabezpieczający i wybierz pozycję Otwórz konfigurację.
24
4. Utwórz politykę konfiguracji, klikając przycisk Konwertuj do polityki. Wprowadź nazwę nowej polityki w polu Nazwa i kliknij przycisk Zakończ.
5. Wybierz kolejno pozycje Administrator > Zadania klienta i wybierz zadanie Dezinstalacja oprogramowania .Zalecamy ponowne uruchomienie serwera po dezinstalacji podczas tworzenia zadania dezinstalacji. W tym
25
celu zaznacz pole wyboru W razie potrzeby automatycznie uruchom ponownie. Po utworzeniu zadania dodajwszystkie żądane komputery docelowe na potrzeby dezinstalacji.
6. Upewnij się, że program ESET File Security jest odinstalowany na wszystkich komputerach docelowych.
7. Utwórz zadanie Instalacja oprogramowania , aby zainstalować najnowszą wersję programu ESET FileSecurity na wszystkich żądanych komputerach docelowych.
8. Przypisz politykę konfiguracji do wszystkich serwerów z programem ESET File Security, najlepiej do grupy.
3.5.2 Uaktualnianie przy użyciu klastra ESET
Po utworzeniu klastra ESET można uaktualniać wiele serwerów ze starszymi wersjami programu ESET File Security.Jest to alternatywa dla uaktualniania przy użyciu serwera ESMC. Zalecamy korzystanie z klastra ESET w przypadkuposiadania co najmniej 2 serwerów z programem ESET File Security w środowisku. Dodatkową zaletą tej metody jestmożliwość dalszego używania klastra ESET do synchronizowania konfiguracji programu ESET File Security nawszystkich węzłach członkowskich.
UWAGADotyczy uaktualniania z wersji 4.x i wersji 6.x do wersji 7.x.
Aby przeprowadzić uaktualnienie przy użyciu tej metody, wykonaj następujące czynności:
1. Zaloguj się na jednym z serwerów z programem ESET File Security i uaktualnij ten program, pobierając iinstalując jego najnowszą wersję bez odinstalowywania istniejącej wersji. Wykonaj kroki zwykłej instalacji.Cała oryginalna konfiguracja starszego programu ESET File Security zostanie zachowana podczas instalacji.
2. Uruchom kreatora klastra ESET i dodaj węzły klastra (serwery, na których chcesz uaktualnić program ESET FileSecurity). W razie potrzeby możesz dodać inne serwery, na których jeszcze nie ma programu ESET FileSecurity (zostanie na nich przeprowadzona instalacja). Zalecamy pozostawienie ustawień domyślnych wsekcji Nazwa i typ instalacji klastra (opcja Wypchnięcie licencji do węzłów, na których nie aktywowanoproduktu powinna być zaznaczona).
3. Zapoznaj się z ekranem Dziennik kontroli węzłów. Znajdują się tam serwery ze starszymi wersjami produktuoraz serwery, na których produkt zostanie zainstalowany ponownie. Program ESET File Security zostanietakże zainstalowany na wszystkich dodatkowych serwerach, na których jeszcze go nie zainstalowano.
26
27
4. Na ekranie Instalacja węzłów i aktywacja klastra będzie widoczny postęp instalacji. Po pomyślnymukończeniu instalacji rezultat powinien być podobny do poniższego:
W przypadku nieprawidłowej konfiguracji sieci lub systemu DNS może pojawić się komunikat o błędzie: Nie udałosię uzyskać tokenu aktywacji od serwera. Spróbuj ponownie uruchomić kreator klastra ESET. Usunie on klaster iutworzy nowy (bez ponownej instalacji produktu). Powinno to umożliwić pomyślne ukończenie aktywacji. Jeśliproblem będzie nadal występował, sprawdź ustawienia sieci i systemu DNS.
28
3.6 Instalacja w środowisku klastrowym
Program ESET File Security można wdrożyć w środowisku klastrowym (na przykład w klastrze trybu failover).Zalecamy instalację programu ESET File Security w węźle aktywnym, a następnie rozpowszechnienie instalacji dowęzłów pasywnych za pośrednictwem narzędzia Klaster ESET programu ESET File Security. Oprócz funkcji instalacjinarzędzie Klaster ESET zapewnia replikację konfiguracji programu ESET File Security, co pozwala zagwarantowaćspójność węzłów w klastrze wymaganą do prawidłowego działania.
3.7 Serwer terminali
W przypadku zainstalowania programu ESET File Security w systemie Windows Server pełniącym rolę serweraterminali warto wyłączyć graficzny interfejs użytkownika programu ESET File Security, aby zapobiec uruchamianiu sięgo przy każdym logowaniu użytkownika. Szczegółowe instrukcje dotyczące wyłączania interfejsu można znaleźć wrozdziale Wyłączanie interfejsu GUI na serwerze terminali.
29
4. Informacje wstępnePoniższa część pomaga w rozpoczęciu korzystania z programu ESET File Security.
MonitorowanieZapewnia natychmiastowy wgląd w bieżący stan programu ESET File Security. Umożliwia szybkie sprawdzenie,czy istnieją problemy wymagające uwagi użytkownika.
Zarządzanie za pomocą rozwiązania ESET Security Management CenterRozwiązanie ESET Security Management Center umożliwia zdalne zarządzanie programem ESET File Security.
4.1 Zarządzanie za pomocą rozwiązania ESET Security Management Center
ESET Security Management Center (ESMC) to aplikacja umożliwiająca zarządzanie produktami firmy ESET wśrodowisku sieciowym z jednej lokalizacji centralnej. System zarządzania zadaniami ESET Security ManagementCenter umożliwia instalowanie oprogramowania zabezpieczającego ESET na komputerach zdalnych oraz szybkiereagowanie na nowe problemy i zagrożenia. Sam program ESET Security Management Center nie zapewnia ochronyprzed szkodliwym kodem. Do tego niezbędne jest zainstalowanie oprogramowania zabezpieczającego ESET nakażdym z klientów. Oprogramowanie zabezpieczające ESET obsługuje sieci obejmujące platformy różnego typu. Siećmoże stanowić połączenie aktualnych systemów operacyjnych firmy Microsoft, systemów operacyjnych Linux i MacOS oraz systemów mobilnych.
Więcej informacji na temat rozwiązania ESMC zawiera Pomoc online rozwiązania ESET Security Management Center.
30
4.2 Monitorowanie
Informacje o stanie ochrony w obszarze Monitorowanie dotyczą bieżącego poziomu ochrony komputera. W okniegłównym jest wyświetlane podsumowanie informacji o działaniu programu ESET File Security.
Zielona ikona stanu Maksymalna ochrona oznacza maksymalny poziom bezpieczeństwa.
Czerwona ikona sygnalizuje problemy krytyczne (maksymalny poziom ochrony komputera nie jestzapewniony). Listę możliwych stanów ochrony zawiera sekcja Stan.
Pomarańczowa ikona oznacza, że produkt ESET wymaga interwencji użytkownika w związku z problememniekrytycznym.
Moduły działające prawidłowo są oznaczane zielonym znacznikiem wyboru. Moduły, które nie są w pełnifunkcjonalne są oznaczane czerwonym wykrzyknikiem lub pomarańczową ikoną powiadomienia. Dodatkoweinformacje dotyczące modułu są wyświetlane w górnej części okna. Wyświetlany jest również proponowany sposóbprzywrócenia działania modułu. Aby zmienić stan danego modułu, należy w menu głównym kliknąć opcję Ustawienia, a następnie kliknąć wybrany moduł.
Strona Monitorowanie zawiera również informacje na temat systemu, między innymi:
· Wersja produktu— numer wersji programu ESET File Security.
· Nazwa serwera — nazwa hosta lub nazwa FQDN komputera.
· System— informacje dotyczące systemu operacyjnego.
· Komputer— informacje dotyczące sprzętu.
· Czas działania serwera — informacje o tym, jak długo system jest uruchomiony i sprawny (przeciwieństwoprzestoju).
31
Jeśli nie można rozwiązać problemu za pomocą sugerowanych rozwiązań, należy kliknąć opcję Pomoc i obsługa, abyuzyskać dostęp do plików pomocy, lub przeszukać bazę wiedzy ESET . Aby uzyskać dodatkową pomoc, możnaprzesłać zgłoszenie do działu obsługi klienta firmy ESET . Dział pomocy technicznej firmy ESET niezwłocznieodpowie na otrzymane zgłoszenie i pomoże znaleźć rozwiązanie.
4.2.1 Stany
Podsumowanie stanu programu ESET File Security jest wyświetlane w oknie głównym wraz ze szczegółowymi
informacjami o systemie. Zwykle w przypadku braku problemów kolor stanu ochrony to zielony. Kolor stanu
ochrony zmienia się jednak na pomarańczowy lub czerwony i zostaje wyświetlony komunikat ostrzegawczyw jednej z następujących sytuacji:
Komunikat ostrzegawczy Szczegóły komunikatu ostrzegawczego
Nie skonfigurowanowykrywania potencjalnieniepożądanej aplikacji
Potencjalnie niepożądana aplikacja jest programem zawierającymoprogramowanie typu adware, powodującym instalowanie pasków narzędzi lubinnych niepożądanych obiektów. W niektórych sytuacjach użytkownik możestwierdzić, że korzyści płynące z potencjalnie niepożądanej aplikacji przeważająnad ryzykiem.
Ochrona systemu plików wczasie rzeczywistym jestwstrzymana
Należy kliknąć opcję Włącz ochronę w czasie rzeczywistym na karcieMonitorowanie lub włączyć ponownie ochronę systemu plików w czasierzeczywistym na karcie Ustawienia głównego okna programu.
Ochrona dostępu do stroninternetowych jestwstrzymana
Należy kliknąć opcję Włącz ochronę dostępu do stron internetowych na karcieMonitorowanie lub włączyć ponownie ochronę dostępu do stron internetowych wokienku Ustawienia głównego okna programu.
Licencja wkrótce wygaśnie Jest to sygnalizowane przez ikonę stanu ochrony przedstawiającą wykrzyknik. Powygaśnięciu licencji programu nie będzie można aktualizować, a kolor ikony stanuochrony zmieni się na czerwony.
Wstrzymanie polityk jestaktywne
Konfiguracja ustawiona przez politykę jest tymczasowo zastąpiona,prawdopodobnie do ukończenia rozwiązywania problemów. Jeśli do zarządzaniaprogramem ESET File Security używane jest rozwiązanie ESMC i jest do niegoprzypisana polityka , łącze sygnalizujące stan jest zablokowane (wyświetlane naszaro) w zależności od tego, które funkcje są objęte polityką.
Jeśli nie można rozwiązać problemu, należy przeszukać bazę wiedzy ESET . Aby uzyskać dodatkową pomoc, możnaprzesłać zgłoszenie do działu pomocy technicznej firmy ESET . Dział pomocy technicznej ESET niezwłocznieodpowie na otrzymane zgłoszenie i pomoże znaleźć rozwiązanie.
32
5. Wpisanie ESET File SecurityTa część zawiera szczegółowy opis interfejsu użytkownika programu oraz wyjaśnienie sposobu używania programuESET File Security.
Interfejs użytkownika umożliwia szybki dostęp do często używanych funkcji:
· Monitorowanie
· Pliki dziennika
· Skanowanie
· Aktualizacje
· Ustawienia
· Narzędzia
5.1 Skanowanie
Skaner na żądanie jest ważnym składnikiem programu ESET File Security. Służy on do badania plików i folderów nakomputerze. Dla zapewnienia bezpieczeństwa sieci ważne jest, aby skanowanie komputera było przeprowadzanenie tylko w przypadku podejrzenia infekcji, ale regularnie w ramach rutynowych działań związanych zbezpieczeństwem. Zalecane jest regularne (np. raz w miesiącu) przeprowadzanie dokładnego skanowania systemuw celu wykrycia wirusów, które nie zostały wykryte przez funkcję Ochrona systemu plików w czasie rzeczywistym.Mogłoby się to zdarzyć, gdyby funkcja ochrony systemu plików w czasie rzeczywistym była wyłączona, silnik detekcjibył nieaktualny lub plik nie został rozpoznany jako wirus podczas zapisywania go na dysku.
W programie ESET File Security są dostępne następujące rodzaje skanowania na żądanie:
Skanowanie pamięci masowejSkanowanie wszystkich folderów udostępnionych na serwerze lokalnym. Jeżeli opcja Skanowanie pamięcimasowej jest niedostępna, oznacza to, że na serwerze nie ma folderów udostępnionych.
Przeskanuj komputerUmożliwia szybkie uruchomienie skanowania komputera i wyleczenie zainfekowanych plików bez koniecznościpodejmowania dodatkowych działań przez użytkownika. Zaletą funkcji Skanowanie komputera jest łatwośćobsługi i brak konieczności szczegółowej konfiguracji skanowania. W ramach skanowania sprawdzane sąwszystkie pliki na dyskach lokalnych, a wykryte infekcje są automatycznie leczone lub usuwane. Automatycznieustawiany jest domyślny poziom leczenia. Szczegółowe informacje na temat typów leczenia można znaleźć wsekcji Leczenie.
UWAGAZaleca się uruchamianie skanowania komputera co najmniej raz w miesiącu. Skanowanie można skonfigurowaćjako zaplanowane zadanie za pomocą opcji Narzędzia > Harmonogram.
Skanowanie niestandardoweSkanowanie niestandardowe stanowi optymalne rozwiązanie, jeśli użytkownik chce sam określić parametryskanowania, takie jak skanowane obiekty i metody skanowania. Zaletą skanowania niestandardowego jestmożliwość szczegółowej konfiguracji parametrów skanowania. Konfiguracje można zapisywać w zdefiniowanychprzez użytkownika profilach skanowania, które mogą być przydatne, jeśli skanowanie jest przeprowadzanewielokrotnie z zastosowaniem tych samych parametrów.
UWAGASkanowanie komputera w trybie skanowania niestandardowego jest zalecane tylko w przypadkuzaawansowanych użytkowników, którzy mają już doświadczenie w posługiwaniu się programamiantywirusowymi.
33
Skanowanie nośników wymiennychPodobnie jak skanowanie inteligentne, ta opcja umożliwia szybkie uruchomienie skanowania nośnikówwymiennych (takich jak płyta CD, DVD lub dysk USB) podłączonych do komputera. Jest ona przydatna wprzypadku, gdy użytkownik podłączy do komputera dysk USB i chce uruchomić skanowanie jego zawartości wcelu wykrycia szkodliwego oprogramowania i innych potencjalnych zagrożeń. Ten typ skanowania możnarównież uruchomić, klikając opcję Skanowanie niestandardowe, a następnie wybierając pozycję Nośnikiwymienne z menu rozwijanego Skanowane obiekty i klikając opcję Skanuj.
Skanowanie środowiska Hyper-VOpcja ta jest widoczna w menu wyłącznie wtedy, gdy menedżer funkcji Hyper-V jest zainstalowany na serwerzez uruchomionym programem ESET File Security. Skanowanie środowiska Hyper-V umożliwia skanowaniedysków maszyny wirtualnej na serwerze funkcji Microsoft Hyper-V bez konieczności uprzedniej instalacjijakiegokolwiek „agenta” na danej maszynie wirtualnej.
Skanowanie w usłudze OneDriveUmożliwia skanowanie plików użytkownika znajdujących się z chmurze usługi OneDrive.
Powtórz ostatnie skanowanieUmożliwia powtórzenie ostatniej operacji skanowania z użyciem tych samych ustawień.
UWAGAPowtórzenie ostatnich funkcji skanowania nie jest dostępne, gdy uruchomione jest skanowanie bazy danych nażądanie.
Można używać opcji i wyświetlać więcej informacji na temat stanów skanowania:
34
Przeciąganie iupuszczanieplików
Można również przeciągać i upuszczać pliki w oknie skanowania programu ESET File Security.Pliki takie zostaną natychmiast przeskanowane w celu wykrycia wirusów.
Odrzuć/Odrzućwszystko
Umożliwia odrzucanie komunikatów.
Stany skanowania Umożliwia wyświetlanie stanu skanowania początkowego. Takie skanowanie zostało ukończonelub przerwane przez użytkownika.
Pokaż dziennik Wyświetlanie bardziej szczegółowych informacji.
Więcej informacji Podczas skanowania można wyświetlać informacje szczegółowe dotyczące między innymi użytkownika, który uruchomił proces skanowania, liczby przeskanowanych obiektów i czasutrwania skanowania.
Otwórz oknaskanowania
W oknie postępu skanowania wyświetlany jest bieżący stan skanowania oraz informacjedotyczące liczby znalezionych plików zawierających szkodliwy kod.
35
5.1.1 Okno skanowania i dziennik skanowania
W oknie skanowania jest wyświetlane aktualnie skanowane obiekty, włącznie z ich lokalizacją, liczbą znalezionychzagrożeń, liczbą przeskanowanych obiektów i czasem trwania skanowania. W dolnej części okna znajduje siędziennik skanowania zawierający informacje na temat numeru wersji silnika detekcji, daty i godziny rozpoczęciaskanowania oraz wyboru elementów docelowych.
Podczas skanowania można kliknąć opcję Wstrzymaj, aby tymczasowo wstrzymać skanowanie, co równocześniespowoduje udostępnienie opcji Wznów.
UWAGAJest całkowicie normalne, że nie można przeskanować części plików, na przykład plików zabezpieczonychhasłem lub plików używanych przez system na prawach wyłączności (zwykle dotyczy to pliku pagef ile.sys iokreślonych plików dziennika).
Po ukończeniu skanowania zostanie wyświetlony dziennik skanowania zawierający wszystkie informacje powiązanez daną operacją skanowania.
36
Kliknięcie ikony przełącznika Filtrowanie umożliwia otwarcie okna Filtrowanie dziennika, gdzie możnazdefiniować kryteria filtrowania lub wyszukiwania. Aby wyświetlić menu kontekstowe, należy kliknąć określonywpis dziennika prawym przyciskiem myszy:
Czynność Sposób użycia Skrót Patrz również
Filtrujrekordy tegosamego typu
Umożliwia aktywację filtrowania dziennika i wyświetlaniewyłącznie rekordów tego samego typu co wybrany rekord.
Ctrl + Shift +F
Filtruj... Po kliknięciu tej opcji w oknie Filtrowanie dziennika możnazdefiniować kryteria filtrowania dla określonych wpisów wdzienniku.
Filtrowaniedziennika
Włącz filtr Umożliwia aktywację ustawień filtra. Po pierwszym uaktywnieniufiltrowania należy zdefiniować ustawienia.
Wyłącz filtr Umożliwia wyłączenie filtrowania (tak samo jak kliknięcieprzełącznika w dolnej części).
Kopiuj Umożliwia skopiowanie do schowka informacji z wybranych/wyróżnionych rekordów.
Ctrl + C
Kopiujwszystko
Umożliwia skopiowanie informacji ze wszystkich rekordówwyświetlanych w oknie.
Eksportuj... Umożliwia wyeksportowanie informacji z wybranych/wyróżnionychrekordów do pliku XML.
37
Czynność Sposób użycia Skrót Patrz również
Eksportujwszystko...
Umożliwia wyeksportowanie wszystkich informacji wyświetlanychw oknie do pliku XML.
5.2 Pliki dziennika
Pliki dziennika zawierają informacje o ważnych zdarzeniach, jakie miały miejsce w programie, oraz przeglądwyników skanowania, wykrytych zagrożeń itp. Dzienniki są bardzo istotnym narzędziem przy analizowaniu systemu,wykrywaniu zagrożeń i rozwiązywaniu problemów. Dziennik jest aktywnie tworzony w tle i nie wymaga żadnychdziałań ze strony użytkownika. Informacje są zapisywane zgodnie z bieżącymi ustawieniami szczegółowościdziennika. Możliwe jest przeglądanie komunikatów tekstowych i dzienników bezpośrednio w programie ESET FileSecurity oraz eksportowanie ich w celu wyświetlenia w innych aplikacjach.
Żądany typ dziennika można wybrać z menu rozwijanego. Dostępne są następujące dzienniki:
Wykryte zagrożeniaDziennik zagrożeń zawiera szczegółowe informacje na temat infekcji wykrytych przez moduły programu ESETFile Security. Podaje on między innymi: datę i godzinę wykrycia infekcji, jej nazwę, lokalizację, przeprowadzonedziałanie oraz nazwę użytkownika zalogowanego w czasie wykrycia infekcji. Dwukrotne kliknięcie dowolnejpozycji dziennika powoduje wyświetlenie jej szczegółów w oddzielnym oknie.
ZdarzeniaWszystkie ważne działania wykonywane przez program ESET File Security są zapisywane w dzienniku zdarzeń.Dziennik zdarzeń zawiera informacje na temat zdarzeń i błędów, które wystąpiły w programie. Jego zadaniemjest ułatwianie rozwiązywania problemów przez administratorów i użytkowników systemu. Zawarte w niminformacje często mogą pomóc znaleźć rozwiązanie problemu występującego w programie.
Skanowanie komputeraW tym oknie wyświetlane są wszystkie wyniki skanowania. Każdy wiersz odpowiada jednemu elementowikontrolnemu komputera. Dwukrotne kliknięcie dowolnego wpisu powoduje wyświetlenie szczegółowychinformacji na temat danej operacji skanowania.
Zablokowane plikiZawiera zapisy dotyczące plików, które zostały zablokowane i były niedostępne. Protokół obejmuje przyczynęzablokowania pliku i informacje o module źródłowym, który wykonał to działanie, a także o aplikacji iużytkowniku, który uruchomił plik.
Wysłane plikiZawiera zapisy dotyczące plików przesłanych do funkcji ochrony opartej na chmurze, dynamicznej ochrony przedzagrożeniami ESET i ESET LiveGrid®.
System HIPSZawiera zapisy związane z określonymi regułami, które zostały zaznaczone jako rejestrowane. Pozycje dziennikazawierają informacje o aplikacji, która wywołała operację, wyniku (zezwolenie lub zablokowanie reguły) oraznazwie utworzonej reguły.
Ochrona sieciZawiera wpisy dotyczące plików zablokowanych przez funkcje ochrony przed botnetami i ochrony przed atakamiz sieci (IDS).
Filtrowanie witryn internetowychLista witryn zablokowanych przez funkcję Ochrona dostępu do stron internetowych i Ochrona przed atakamitypu „phishing”. W dziennikach odnotowane są: czas, adres URL, nazwa użytkownika oraz aplikacja, któranawiązała połączenie z daną witryną.
Kontrola dostępu do urządzeń
38
Zawiera zapisy związane z nośnikami wymiennymi i urządzeniami, które były podłączane do komputera. W plikudziennika zapisywane są informacje dotyczące tylko tych urządzeń, z którymi są związane reguły kontrolidostępu do urządzeń. Jeśli dana reguła nie odpowiada podłączonemu urządzeniu, nie jest dla niego tworzonywpis w dzienniku. Można tu również znaleźć takie szczegóły jak typ urządzenia, numer seryjny, nazwa dostawcyi rozmiar nośnika (jeśli jest dostępny).
Skanowanie środowiska Hyper-VZawiera listę wyników skanowania środowiska Hyper-V. Dwukrotne kliknięcie dowolnego wpisu powodujewyświetlenie szczegółowych informacji na temat danej operacji skanowania.
Skanowanie w usłudze OneDriveZawiera listę wyników skanowania w usłudze OneDrive.
Czynność Sposób użycia Skrót Patrz również
Pokaż Umożliwia wyświetlenie w nowym oknie szczegółowychinformacji na temat wybranego dziennika (tak samo jak podwukrotnym kliknięciu).
Filtruj rekordytego samego typu
Umożliwia aktywację filtrowania dziennika i wyświetlaniewyłącznie rekordów tego samego typu co wybrany rekord.
Ctrl + Shift +F
Filtruj... Po kliknięciu tej opcji w oknie Filtrowanie dziennika możnazdefiniować kryteria filtrowania dla określonych wpisów wdzienniku.
Filtrowaniedziennika
Włącz filtr Umożliwia aktywację ustawień filtra. Po pierwszymuaktywnieniu filtrowania należy zdefiniować ustawienia.
Wyłącz filtr Umożliwia wyłączenie filtrowania (tak samo jak kliknięcieprzełącznika w dolnej części).
Kopiuj Umożliwia skopiowanie do schowka informacji z wybranych/wyróżnionych rekordów.
Ctrl + C
Kopiuj wszystko Umożliwia skopiowanie informacji ze wszystkich rekordówwyświetlanych w oknie.
Usuń Umożliwia usunięcie wybranych/wyróżnionych rekordów.Korzystanie z tej opcji wymaga uprawnień administratora.
Usuń wszystko Umożliwia usunięcie wszystkich rekordów wyświetlanych woknie. Korzystanie z tej opcji wymaga uprawnieńadministratora.
Eksportuj... Umożliwia wyeksportowanie informacji z wybranych/wyróżnionych rekordów do pliku XML.
Eksportujwszystko...
Umożliwia wyeksportowanie wszystkich informacjiwyświetlanych w oknie do pliku XML.
Znajdź... Powoduje otwarcie okna Znajdowanie w dzienniku iumożliwia zdefiniowanie kryteriów wyszukiwania. Funkcjiwyszukiwania można używać do znajdowania określonegorekordu, nawet jeśli jest włączone filtrowanie.
Ctrl + F Znajdowanie wdzienniku
39
Czynność Sposób użycia Skrót Patrz również
Znajdź następne Umożliwia wyszukanie następnego wystąpienia elementuodpowiadającego zdefiniowanym kryteriom wyszukiwania.
F3
Znajdźpoprzednie
Umożliwia znalezienie poprzedniego wystąpienia. Shift + F3
Przewijaj dziennikskanowania
Pozostawienie tej opcji włączonej powoduje, że w oknie Plikidziennika stare dzienniki są przewijane automatycznie i sąwyświetlane aktywne dzienniki.
Pliki dziennika
5.2.1 Filtrowanie dziennika
Funkcja filtrowania dziennika wyszukiwanie ułatwia dotarcie do potrzebnych informacji, zwłaszcza gdyzarejestrowanych jest wiele rekordów. Pozwala ona zawęzić wyświetlane rekordy dziennika, na przykład wprzypadku wyszukiwania określonego typu zdarzenia, stanu lub okresu. Rekordy dziennika można filtrować,określając opcje wyszukiwania — w oknie Pliki dziennika zostaną wyświetlone wyłącznie rekordy spełniającekryteria.
Wprowadź słowo kluczowe do wyszukania w polu Znajdź tekst. Użyj menu rozwijanego Wyszukaj w kolumnach, abyzawęzić wyszukiwanie. Wybierz co najmniej jeden rekord z menu rozwijanego Typ rekordów dziennika. ZdefiniujOkres wyświetlanych wyników. Można również użyć dalszych opcji wyszukiwania, takich jak Tylko całe wyrazy lubUwzględniaj wielkość liter.
Znajdź tekst
40
Należy tu wpisać ciąg znaków (wyraz lub część wyrazu). Zostaną wyświetlone tylko rekordy zawierające danyciąg. Inne rekordy będą pomijane.
Wyszukaj w kolumnachNależy wybrać kolumny, które mają być uwzględniane podczas wyszukiwania. Na potrzeby wyszukiwania możnazaznaczyć jedną lub więcej kolumn.
Typy rekordówNależy wybrać z menu rozwijanego co najmniej jeden typ rekordów dziennika:
· Diagnostyczne— rejestrowanie informacji potrzebnych do ulepszenia konfiguracji programu, a takżewszystkich rekordów wyższych kategorii.
· Informacyjne— rejestrowanie komunikatów informacyjnych, w tym powiadomień o pomyślnychaktualizacjach, oraz wszystkich rekordów wyższych kategorii.
· Ostrzeżenia— rejestrowanie błędów krytycznych oraz komunikatów ostrzegawczych.
· Błędy— rejestrowanie błędów typu „Błąd podczas pobierania pliku” oraz błędów krytycznych.
· Krytyczne— rejestrowanie tylko błędów krytycznych (np. błąd uruchomienia ochrony antywirusowej).
OkresNależy podać okres, z którego mają pochodzić rekordy wyświetlane w wynikach wyszukiwania:
· Nie określono (domyślnie) — kryterium okresu jest wyłączone i przeszukiwany jest cały dziennik.
· Ostatni dzień
· Ostatni tydzień
· Ostatni miesiąc
· Okres — można podać dokładny okres (Od: i Do:), aby wyszukiwać tylko rekordy z danego okresu.
Tylko całe wyrazyNależy zaznaczyć to pole wyboru, aby wyszukać określone całe wyrazy w celu zawężenia wyników.
Uwzględniaj wielkość literTę opcję należy włączyć, jeśli podczas filtrowania jest wymagane rozróżnianie wielkości liter. Poskonfigurowaniu opcji filtrowania/wyszukiwania należy kliknąć przycisk OK, aby wyświetlić odfiltrowanerekordy dziennika, lub przycisk Znajdź, aby rozpocząć wyszukiwanie. Pliki dziennika są przeszukiwane od górydo dołu, począwszy do bieżącej pozycji (od zaznaczonego rekordu). Wyszukiwanie zostaje zatrzymane poznalezieniu pierwszego rekordu spełniającego kryteria. Aby wyszukać następny rekord, należy nacisnąć klawisz F3. Aby dostosować opcje wyszukiwania, należy kliknąć prawym przyciskiem myszy i wybrać polecenie Znajdź.
5.3 Aktualizacja
W sekcji Aktualizacja są widoczne informacje dotyczące bieżącego stanu aktualizacji programu ESET File Security,obejmujące między innymi datę i godzinę ostatniej pomyślnej aktualizacji. Regularne aktualizowanie programu ESETFile Security to najlepszy sposób na utrzymanie najwyższego poziomu bezpieczeństwa serwera. Moduł aktualizacjizapewnia aktualność programu na dwa sposoby: przez aktualizowanie silnika detekcji oraz aktualizowaniekomponentów systemu. Aktualizacje silnika detekcji oraz komponentów programu są istotnym elementem procesuzapewniania kompleksowej ochrony przed szkodliwym kodem.
UWAGAJeśli nie wprowadzono jeszcze klucza licencyjnego, nie będzie można odbierać aktualizacji i będziewyświetlany monit o aktywowanie produktu. Aby to zrobić, należy przejść do obszaru Pomoc i obsługa >Aktywuj produkt.
41
Bieżąca wersjaWersja kompilacji programu ESET File Security.
Ostatnia pomyślna aktualizacjaData ostatniej aktualizacji. Powinna to być niedawna data, co oznacza, że moduły są aktualne.
Ostatnie pomyślne sprawdzenie dostępności aktualizacjiData ostatniej próby zaktualizowania modułów.
Pokaż wszystkie modułyOtwieranie listy zainstalowanych modułów.
Sprawdź dostępne aktualizacjeAktualizacja modułów to istotny element procesu zapewniania kompleksowej ochrony przed szkodliwymkodem.
Zmień częstotliwość aktualizacjiMożna edytować częstotliwość wykonywania zadania harmonogramu Regularna aktualizacja automatyczna.
Jeśli dostępność aktualizacji nie będzie często sprawdzana, zostanie wyświetlony jeden z następującychkomunikatów:
Komunikat o błędzie Opisy
Aktualizacja modułów jestnieaktualna
Ten komunikat o błędzie jest wyświetlany po kilku nieudanych próbachaktualizacji modułów. Zaleca się sprawdzenie ustawień aktualizacji. Najczęstszympowodem wystąpienia tego błędu jest niewłaściwe wprowadzenie danychuwierzytelniających lub nieprawidłowe skonfigurowanie ustawień połączenia.
42
Komunikat o błędzie Opisy
Niepowodzenie aktualizacjimodułów — produkt nie zostałaktywowany
W konfiguracji aktualizacji nieprawidłowo wprowadzono klucz licencyjny.Zalecane jest sprawdzenie danych uwierzytelniających. W oknie Ustawieniazaawansowane (F5) dostępne są dodatkowe opcje aktualizacji. W menu głównymkliknij kolejno opcje Pomoc i obsługa > Zarządzanie licencją, aby wprowadzić nowyklucz licencyjny.
Wystąpił błąd podczaspobierania plików aktualizacji
Możliwa przyczyna błędu to nieprawidłowe ustawienia połączenia internetowego.Zalecamy sprawdzenie połączenia z Internetem przez otwarcie w przeglądarceinternetowej dowolnej strony. Jeśli strona nie zostanie otwarta, prawdopodobniepołączenie z Internetem nie zostało nawiązane lub komputer ma problemy zkomunikacją. W razie braku aktywnego połączenia z Internetem należyskontaktować się z dostawcą usług internetowych.
Aktualizacja modułów niepowiodła sięBłąd 0073
Kliknij kolejno opcje Aktualizacja > Sprawdź dostępne aktualizacje. Więcejinformacji można znaleźć w tym artykule bazy wiedzy .
UWAGAOpcje serwera proxy mogą być różne dla różnych profilów aktualizacji. W takim przypadku należyskonfigurować inne profile aktualizacji w obszarze Ustawienia zaawansowane (F5) > Aktualizacja > Profil
43
5.4 Konfiguracja
Okno menu Ustawienia zawiera następujące sekcje:
· Serwer
· Komputer
· Sieć
· Strony internetowe i poczta e-mail
· Narzędzia — Zapisywanie w dziennikach diagnostycznych
Aby tymczasowo wyłączyć pojedyncze moduły, należy kliknąć zielony suwak znajdujący się obok wybranegomodułu. Należy pamiętać, że taka operacja może obniżyć poziom ochrony serwera.
Aby ponownie włączyć ochronę, należy kliknąć czerwony suwak znajdujący się obok wybranego modułu.Działanie wyłączonego komponentu zostanie przywrócone.
Aby uzyskać dostęp do szczegółowych ustawień poszczególnych komponentów zabezpieczeń, należy kliknąć ikonę
koła zębatego .
Import/eksport ustawieńUmożliwia załadowanie ustawień z pliku konfiguracyjnego z rozszerzeniem .xml lub zapisanie bieżącychustawień do takiego pliku.
Ustawienia zaawansowaneMożna dostosować ustawienia i opcje do indywidualnych potrzeb. Aby uzyskać dostęp do ekranu Ustawieniazaawansowane z dowolnego miejsca w programie, należy nacisnąć klawisz F5.
44
5.4.1 Serwer
Zostanie wyświetlona lista komponentów, które można włączać lub wyłączać przy użyciu suwaka . Aby
skonfigurować ustawienia danego elementu, należy kliknąć ikonę koła zębatego .
Wyłączenia automatyczneWykrywa krytyczne aplikacje serwerowe i pliki serwerowych systemów operacyjnych, po czym automatyczniedodaje je do listy wyłączeń. Ta funkcjonalność ogranicza do minimum ryzyko potencjalnych konfliktów izwiększa ogólną wydajność serwera, gdy jest na nim uruchomione oprogramowanie antywirusowe.
KlasterKonfigurowanie i aktywowanie klastra ESET.
Konfiguracja skanowania w usłudze OneDriveMożna zarejestrować aplikację skanera ESET w usłudze OneDrive lub anulować jej rejestrację w usłudzeMicrosoft OneDrive.
Aby tymczasowo wyłączyć pojedyncze moduły, należy kliknąć zielony suwak znajdujący się obok wybranegomodułu. Należy pamiętać, że taka operacja może obniżyć poziom ochrony serwera.
Aby ponownie włączyć ochronę, należy kliknąć czerwony suwak znajdujący się obok wybranego modułu.Działanie wyłączonego komponentu zostanie przywrócone.
Aby uzyskać dostęp do szczegółowych ustawień poszczególnych komponentów zabezpieczeń, należy kliknąć ikonę
koła zębatego .
Import/eksport ustawieńUmożliwia załadowanie ustawień z pliku konfiguracyjnego z rozszerzeniem .xml lub zapisanie bieżącychustawień do takiego pliku.
Ustawienia zaawansowaneMożna dostosować ustawienia i opcje do indywidualnych potrzeb. Aby uzyskać dostęp do ekranu Ustawieniazaawansowane z dowolnego miejsca w programie, należy nacisnąć klawisz F5.
5.4.2 komputer
W programie ESET File Security dostępne są wszystkie komponenty niezbędne do zapewnienia skutecznej ochronyserwera jako komputera. W module można włączyć lub wyłączyć, a także skonfigurować następujące składnikiprogramu:
Ochrona systemu plików w czasie rzeczywistymWszystkie pliki w momencie otwarcia, utworzenia lub uruchomienia na komputerze są skanowane wposzukiwaniu szkodliwego kodu. W przypadku ochrony systemu plików w czasie rzeczywistym dostępna jestrównież opcja Konfiguruj lub Edytuj wyłączenie, której użycie powoduje otwarcie okna konfiguracji wyłączeń,gdzie można ustawić wyłączenia plików i folderów ze skanowania.
Kontrola dostępu do urządzeńPrzy użyciu tego modułu można skanować, blokować i dostosowywać rozszerzone filtry i uprawnienia orazokreślać uprawnienia dostępu użytkowników do danego urządzenia i pracy z nim.
System zapobiegania włamaniom działający na hoście (HIPS)System monitoruje zdarzenia występujące wewnątrz systemu operacyjnego i reaguje na nie zgodnie zodpowiednio dostosowanym zestawem reguł.
· Zaawansowany skaner pamięci
· Blokada programów typu Exploit
· Ochrona przed oprogramowaniem wymuszającym okup
45
Tryb prezentacjiFunkcja przeznaczona dla użytkowników, którzy wymagają niezakłócanego dostępu do swojegooprogramowania i chcą zablokować wszelkie wyskakujące okna oraz którym zależy na zmniejszeniu obciążeniaprocesora. Po włączeniu trybu prezentacji zostanie wyświetlony komunikat ostrzegawczy (o potencjalnymzagrożeniu bezpieczeństwa), a główne okno programu zmieni kolor na pomarańczowy.
Wyłącz ochronę antywirusową i antyspywareZa każdym razem, gdy ochrona antywirusowa i antyspyware zostaje tymczasowo wyłączona, użytkownik możewybrać z menu rozwijanego okres, przez jaki wybrany komponent będzie wyłączony, a następnie kliknąćpozycję Zastosuj, by wyłączyć komponent zabezpieczeń. Aby ponownie włączyć ochronę, należy kliknąć pozycjęWłącz ochronę antywirusową i antyspyware lub włączyć funkcję za pomocą suwaka.
Aby tymczasowo wyłączyć pojedyncze moduły, należy kliknąć zielony suwak znajdujący się obok wybranegomodułu. Należy pamiętać, że taka operacja może obniżyć poziom ochrony serwera.
Aby ponownie włączyć ochronę, należy kliknąć czerwony suwak znajdujący się obok wybranego modułu.Działanie wyłączonego komponentu zostanie przywrócone.
Aby uzyskać dostęp do szczegółowych ustawień poszczególnych komponentów zabezpieczeń, należy kliknąć ikonę
koła zębatego .
Import/eksport ustawieńUmożliwia załadowanie ustawień z pliku konfiguracyjnego z rozszerzeniem .xml lub zapisanie bieżącychustawień do takiego pliku.
Ustawienia zaawansowaneMożna dostosować ustawienia i opcje do indywidualnych potrzeb. Aby uzyskać dostęp do ekranu Ustawieniazaawansowane z dowolnego miejsca w programie, należy nacisnąć klawisz F5.
5.4.3 Sieć
Ochrona polega na zezwalaniu na określone połączenia sieciowe lub ich odrzucaniu na podstawie reguł filtrowania.Funkcja zapewnia ochronę przed atakami z komputerów zdalnych oraz blokuje potencjalnie niebezpieczne usługi.
W module Sieć można włączyć lub wyłączyć, a także skonfigurować następujące składniki programu:
Ochrona przed atakami z sieci (IDS)Umożliwia analizowanie zawartości w ruchu sieciowym i ochronę przed atakami sieciowymi. Ruch sieciowyuznany za szkodliwy zostanie zablokowany.
Ochrona przed botnetamiUmożliwia wykrywanie i blokowanie komunikacji z botnetami oraz szybkie i dokładne identyfikowanieszkodliwego oprogramowania w systemie.
Tymczasowa czarna lista adresów IP (zablokowane adresy)Wyświetl listę adresów IP, które zostały wykryte jako źródło ataków i dodane do czarnej listy w celuzablokowania połączenia przez określony czas
Kreator rozwiązywania problemów (ostatnio zablokowane aplikacje i urządzenia)Pomaga w rozwiązywaniu problemów z łącznością wynikających z działania funkcji ochrony przed atakamisieciowymi.
Aby tymczasowo wyłączyć pojedyncze moduły, należy kliknąć zielony suwak znajdujący się obok wybranegomodułu. Należy pamiętać, że taka operacja może obniżyć poziom ochrony serwera.
Aby ponownie włączyć ochronę, należy kliknąć czerwony suwak znajdujący się obok wybranego modułu.Działanie wyłączonego komponentu zostanie przywrócone.
46
Aby uzyskać dostęp do szczegółowych ustawień poszczególnych komponentów zabezpieczeń, należy kliknąć ikonę
koła zębatego .
Import/eksport ustawieńUmożliwia załadowanie ustawień z pliku konfiguracyjnego z rozszerzeniem .xml lub zapisanie bieżącychustawień do takiego pliku.
Ustawienia zaawansowaneMożna dostosować ustawienia i opcje do indywidualnych potrzeb. Aby uzyskać dostęp do ekranu Ustawieniazaawansowane z dowolnego miejsca w programie, należy nacisnąć klawisz F5.
5.4.3.1 Kreator rozwiązywania problemów z siecią
Kreator rozwiązywania problemów monitoruje wszystkie zablokowane połączenia, przeprowadzając użytkownikaprzez proces rozwiązywania problemów wynikających z zastosowania ochrony przed atakami sieciowymidotyczących określonych aplikacji lub urządzeń. Następnie kreator sugeruje nowy zestaw reguł do zastosowania wprzypadku ich zaakceptowania przez użytkownika.
5.4.4 Strony internetowe i poczta e-mail
Obszar Strony internetowe i poczta e-mail umożliwia włączanie i wyłączanie oraz konfigurowanie następującychkomponentów:
Ochrona dostępu do stron internetowychWłączenie tej opcji powoduje skanowanie całego ruchu sieciowego odbywającego się przy użyciu protokołówHTTP i HTTPS w poszukiwaniu szkodliwego oprogramowania.
Ochrona programów poczty e-mailMonitoruje komunikację odbieraną przy użyciu protokołów POP3 i IMAP.
Ochrona przed atakami typu „phishing”Chroni użytkownika przed próbami pozyskania haseł, danych bankowych lub innych poufnych informacji przeznielegalnie działające strony internetowe podszywające się pod strony internetowe uprawnione dopozyskiwania tego rodzaju informacji.
Aby tymczasowo wyłączyć pojedyncze moduły, należy kliknąć zielony suwak znajdujący się obok wybranegomodułu. Należy pamiętać, że taka operacja może obniżyć poziom ochrony serwera.
Aby ponownie włączyć ochronę, należy kliknąć czerwony suwak znajdujący się obok wybranego modułu.Działanie wyłączonego komponentu zostanie przywrócone.
Aby uzyskać dostęp do szczegółowych ustawień poszczególnych komponentów zabezpieczeń, należy kliknąć ikonę
koła zębatego .
Import/eksport ustawieńUmożliwia załadowanie ustawień z pliku konfiguracyjnego z rozszerzeniem .xml lub zapisanie bieżącychustawień do takiego pliku.
Ustawienia zaawansowaneMożna dostosować ustawienia i opcje do indywidualnych potrzeb. Aby uzyskać dostęp do ekranu Ustawieniazaawansowane z dowolnego miejsca w programie, należy nacisnąć klawisz F5.
47
5.4.5 Narzędzia — zapisywanie w dziennikach diagnostycznych
Można włączyć funkcję Zapisywanie w dziennikach diagnostycznych, kiedy potrzeba szczegółowych informacji natemat działania określonej funkcji programu ESET File Security, na przykład podczas rozwiązywania problemów.
Klikając ikonę koła zębatego , można skonfigurować funkcje, w przypadku których będą tworzone dziennikidiagnostyczne.
Można wybrać czas, przez jaki będzie włączone zapisywanie (10 minut, 30 minut, 1 godzina, 4 godziny, 24 godziny, donastępnego ponownego uruchomienia serwera lub stale). Po włączeniu zapisywania w dziennikach diagnostycznychprogram ESET File Security będzie tworzyć szczegółowe dzienniki zgodnie z włączonymi funkcjami.
Aby tymczasowo wyłączyć pojedyncze moduły, należy kliknąć zielony suwak znajdujący się obok wybranegomodułu. Należy pamiętać, że taka operacja może obniżyć poziom ochrony serwera.
Aby ponownie włączyć ochronę, należy kliknąć czerwony suwak znajdujący się obok wybranego modułu.Działanie wyłączonego komponentu zostanie przywrócone.
Aby uzyskać dostęp do szczegółowych ustawień poszczególnych komponentów zabezpieczeń, należy kliknąć ikonę
koła zębatego .
Import/eksport ustawieńUmożliwia załadowanie ustawień z pliku konfiguracyjnego z rozszerzeniem .xml lub zapisanie bieżącychustawień do takiego pliku.
Ustawienia zaawansowaneMożna dostosować ustawienia i opcje do indywidualnych potrzeb. Aby uzyskać dostęp do ekranu Ustawieniazaawansowane z dowolnego miejsca w programie, należy nacisnąć klawisz F5.
48
5.4.6 Import i eksport ustawień
Funkcja importowania i eksportowania ustawień jest użyteczna, kiedy należy wykonać kopię zapasową bieżącejkonfiguracji programu ESET File Security. Z funkcji importowania można również korzystać, aby rozpowszechniać/stosować te same ustawienia na innych serwerach programu ESET File Security. Ustawienia są eksportowane dopliku w formacie .xml.
UWAGAJeśli użytkownik nie ma uprawnień do zapisania eksportowanego pliku w określonym katalogu, przyeksportowaniu ustawień może pojawić się błąd.
49
5.5 Narzędzia
W programie ESET File Security można administrować następującymi funkcjami:
· Uruchomione procesy
· Monitor aktywności
· Statystyki ochrony
· Klaster
· ESET Shell
· Dynamiczna ochrona przed zagrożeniami ESET
· ESET SysInspector
· ESET SysRescue Live
· Harmonogram
· Przesyłanie pliku do analizy
· Kwarantanna
50
5.5.1 Uruchomione procesy
Funkcja Uruchomione procesy wyświetla uruchomione na komputerze programy lub procesy oraz natychmiastowo iw sposób ciągły informuje firmę ESET o nowych infekcjach. Program ESET File Security dostarcza szczegółowychinformacji o uruchomionych procesach i chroni użytkowników dzięki zastosowaniu technologii ESET LiveGrid®.
UWAGAZnane aplikacje oznaczone jako Czysty (kolor zielony) są bezpieczne (biała lista) i zostaną wyłączone zeskanowania, co przyspieszy skanowanie na żądanie oraz poprawi wydajność ochrony systemu plików w czasierzeczywistym na komputerze użytkownika.
Poziom ryzyka W większości przypadków program ESET File Security i technologia ESET LiveGrid® przypisująobiektom (plikom, procesom, kluczom rejestru itd.) poziomy ryzyka, używając do tego wielu regułheurystyki. Na podstawie tych reguł badana jest charakterystyka danego obiektu, a następnieoceniana możliwość jego szkodliwego działania. Na podstawie analizy heurystycznej obiektomprzypisywane są poziomy ryzyka od 1 (Czysty — kolor zielony) do 9 (Ryzykowny — kolorczerwony).
Proces Nazwa obrazu programu lub procesu, który jest obecnie uruchomiony na komputerze. Abyzobaczyć wszystkie procesy uruchomione na komputerze, można również skorzystać z Menedżerazadań systemu Windows. Aby otworzyć Menedżera zadań, należy kliknąć prawym przyciskiemmyszy puste miejsce na pasku zadań i kliknąć opcję Menedżer zadań albo nacisnąć klawisze Ctrl+Shift+Esc na klawiaturze.
PID Jest to identyfikator uruchomionych procesów w systemach operacyjnych Windows.
51
Poziom ryzyka W większości przypadków program ESET File Security i technologia ESET LiveGrid® przypisująobiektom (plikom, procesom, kluczom rejestru itd.) poziomy ryzyka, używając do tego wielu regułheurystyki. Na podstawie tych reguł badana jest charakterystyka danego obiektu, a następnieoceniana możliwość jego szkodliwego działania. Na podstawie analizy heurystycznej obiektomprzypisywane są poziomy ryzyka od 1 (Czysty — kolor zielony) do 9 (Ryzykowny — kolorczerwony).
Liczbaużytkowników
Liczba użytkowników korzystających z danej aplikacji. Te informacje są zbierane przez technologięESET LiveGrid®.
Czas wykrycia Okres od wykrycia aplikacji przez technologię ESET LiveGrid®.
Nazwa aplikacji Nazwa programu, z którym związany jest dany proces.
UWAGAPoziom bezpieczeństwa aplikacji oznaczony jako Nieznany (kolor pomarańczowy) nie zawsze wskazuje, żestanowi ona szkodliwe oprogramowanie. Zwykle jest to po prostu nowsza aplikacja. W przypadku brakupewności co do bezpieczeństwa pliku można przesłać plik do analizy w laboratorium firmy ESET. Jeśli okaże się,że jest to szkodliwa aplikacja, możliwość jej wykrycia zostanie dodana do jednej z przyszłych aktualizacji silnikadetekcji.
Pokaż szczegółyU dołu okna zostaną wyświetlone następujące informacje:
· Ścieżka — lokalizacja aplikacji na komputerze.
· Rozmiar — rozmiar pliku w kilobajtach (KB) lub megabajtach (MB).
· Opis — charakterystyka pliku oparta na jego opisie w systemie operacyjnym.
· Firma — nazwa dostawcy lub procesu aplikacji.
· Wersja — informacje od wydawcy aplikacji.
· Produkt — nazwa aplikacji i/lub nazwa handlowa.
· Data utworzenia — data i godzina utworzenia aplikacji.
· Data modyfikacji — data i godzina ostatniej modyfikacji aplikacji.
Dodaj do wyłączeń procesówKliknięcie procesu prawym przyciskiem myszy w oknie Uruchomione procesy umożliwia wyłączenie procesu zeskanowania. Ścieżka procesu zostanie dodana do listy Wyłączenia procesów.
5.5.2 Monitor aktywności
Aby użyć opcji Monitor aktywności i uzyskać dane w formie wykresu, należy wybrać odpowiednią opcję zpowiązanego menu rozwijanego:
Działanie systemu plikówIlość odczytanych lub zapisanych danych. Na osi pionowej prezentowana jest ilość danych odczytanych (kolorniebieski) i zapisanych (kolor czerwony).
Działanie w sieciIlość odebranych lub wysłanych danych. Na osi pionowej prezentowana jest ilość danych odebranych (kolorniebieski) i wysłanych (kolor czerwony).
U dołu wykresu znajduje się oś czasu, na której w czasie rzeczywistym rejestrowane są działania w systemie plików(na podstawie wybranego przedziału czasowego). Aby zmienić częstość aktualizacji, użyj menu rozwijanego Częstotliwość odświeżania.
52
Dostępne są następujące opcje:
1 sekunda Wykres jest odświeżany co sekundę, a oś czasu odpowiada ostatnim 10 minutom.
1 minuta (ostatnie 24godziny)
Wykres jest odświeżany co minutę, a oś czasu odpowiada ostatnim 24 godzinom.
1 godzina (ostatnimiesiąc)
Wykres jest odświeżany co godzinę, a oś czasu odpowiada ostatniemu miesiącowi.
1 godzina (wybranymiesiąc)
Wykres jest odświeżany co godzinę, a oś czasu odpowiada ostatniemu miesiącowi. Abywyświetlić aktywność dotyczącą danego miesiąca i roku, należy wybrać odpowiednią pozycjęz menu rozwijanego i kliknąć przycisk Zmień.
53
5.5.3 Statystyki ochrony
Aby wyświetlić dane statystyczne dotyczące modułów ochrony programu ESET File Security, należy wybraćodpowiedni moduł ochrony z menu rozwijanego. Statystyki obejmują między innymi liczbę wszystkichprzeskanowanych obiektów, liczbę zainfekowanych obiektów, liczbę wyleczonych obiektów oraz liczbęniezainfekowanych obiektów. Umieszczenie wskaźnika myszy na obiekcie obok wykresu pozwala wyświetlić danedotyczące wyłącznie danego obiektu. Kliknięcie pozycji Resetuj umożliwia usunięcie danych statystycznych, akliknięcie pozycji Resetuj wszystkie— usunięcie wszystkich danych dotyczących modułów.
W programie ESET File Security są dostępne następujące wykresy statystyczne:
Moduł antywirusowy i antyspywareWyświetla liczbę zainfekowanych i wyleczonych obiektów.
Ochrona systemu plikówWyświetla wyłącznie obiekty odczytane z systemu plików lub w nim zapisane.
Ochrona środowiska Hyper-VWyświetla liczbę zainfekowanych, wyleczonych i niezainfekowanych obiektów (tylko w systemach ześrodowiskiem Hyper-V).
Ochrona programów poczty e-mailWyświetla wyłącznie obiekty wysłane lub odebrane za pośrednictwem programów poczty e-mail.
Ochrona dostępu do stron internetowych i ochrona przed atakami typu „phishing”Wyświetla wyłącznie obiekty pobrane przez przeglądarki internetowe.
54
5.5.4 Klaster
Klaster ESET to infrastruktura komunikacji P2P linii produktów firmy ESET dla serwera Microsoft Windows Server.
Infrastruktura ta umożliwia wzajemną komunikację produktów serwerowych firmy ESET oraz wymianę danych,takich jak konfiguracje i powiadomienia, a także synchronizację baz danych szarej listy i synchronizację danychniezbędnych do prawidłowego działania grupy instancji produktu. Przykładem takiej grupy jest grupa węzłów wklastrze pracy awaryjnej systemu Windows lub klastrze równoważenia obciążenia sieciowego z zainstalowanymiproduktami firmy ESET, gdzie istnieje potrzeba zastosowania tej samej konfiguracji produktu w całym klastrze.Klaster ESET zapewnia tę spójność pomiędzy instancjami.
UWAGAUstawienia interfejsu użytkownika nie są synchronizowane między węzłami klastra ESET.
Strona stanu klastra ESET dostępna jest w menu głównym, po kliknięciu pozycji Narzędzia > Klaster. Jeśli konfiguracjajest prawidłowa, strona stanu powinna wyglądać następująco:
UWAGATworzenie klastrów ESET między produktem ESET File Security a programem ESET File Security dla systemuLinux nie jest obsługiwane.
Podczas konfiguracji klastra ESET istnieją dwa sposoby dodawania węzłów:
AutowykrywanieJeśli istnieje klaser pracy awaryjnej systemu Windows/klaster równoważenia obciążenia sieciowego, funkcjaAutowykrywanie automatycznie doda jego węzły członkowskie do klastra ESET.
55
PrzeglądajUmożliwia dodawanie węzłów ręcznie poprzez wpisywanie nazw serwerów (zarówno należących do tej samejgrupy roboczej, jak i należących do tej samej domeny).
UWAGASerwery nie muszą należeć pracy awaryjnej systemu Windows/klastra równoważenia obciążenia sieciowego,aby korzystać z funkcji klastra ESET. Do korzystania z klastrów ESET w danym środowisku nie jest niezbędnyklaster pracy awaryjnej systemu Windows ani klaster równoważenia obciążenia sieciowego.
Po dodaniu węzłów do klastra ESET kolejnym krokiem jest instalacja produktu ESET File Security na każdym zwęzłów. Przebiega to automatycznie podczas konfiguracji klastra ESET. Poświadczenia wymagane do instalacjizdalnej produktu ESET File Security na pozostałych węzłach klastra:
Dla domenyPoświadczenia administratora domeny.
Dla grupy roboczejNależy dopilnować, aby wszystkie węzły korzystały z tych samych lokalnych poświadczeń konta.
W klastrze ESET można również korzystać z kombinacji węzłów dodawanych automatycznie, jako elementówistniejącego klastra pracy awaryjnej systemu Windows / klastra równoważenia obciążenia sieciowego, oraz węzłówdodawanych ręcznie (pod warunkiem, że należą do tej samej domeny).
WAŻNENie można tworzyć kombinacji węzłów domen z węzłami grup roboczych.
Kolejny wymóg dotyczący korzystania z klastra ESET to konieczność włączenia opcji Udostępnianie plików i drukarekw zaporze systemu Windows przed wypchnięciem instalacji produktu ESET File Security do węzłów klastra ESET.
Do istniejącego klastra ESET można w dowolnym momencie dodać nowe węzły, uruchamiając narzędzie Kreatorkonfiguracji.
Import certyfikatówCertyfikaty zapewniają silny mechanizm uwierzytelniania między komputerami w przypadku użycia protokołuHTTPS. Istnieje niezależna hierarchia certyfikatów dla każdego klastra ESET. Hierarchia obejmuje jedencertyfikat główny i zestaw certyfikatów węzłów podpisanych przez certyfikat główny. Klucz prywatny certyfikatugłównego zostaje zniszczony po utworzeniu wszystkich certyfikatów węzłów. Dodanie nowego węzła do klastrapowoduje utworzenie nowej hierarchii certyfikatów. Przejdź do folderu, w którym znajdują się certyfikaty(wygenerowane podczas pracy Kreatora klastrów), wybierz plik certyfikatu i kliknij opcję Otwórz.
Niszczenie klastraKlaster ESET można w razie potrzeby łatwo zlikwidować. Każdy z węzłów umieści w swoim dzienniku zdarzeńwpis dotyczący klastra ESET podlegającego zniszczeniu. Po zakończeniu tego procesu wszystkie reguły zaporyESET zostaną usunięte z zapory systemu Windows. Byłe węzły zostaną przywrócone do poprzedniego stanu i wrazie potrzeby mogą zostać ponownie wykorzystane w innym klastrze ESET.
56
5.5.4.1 Kreator klastrów — wybieranie węzłów
Pierwszym krokiem podczas konfiguracji klastra ESET jest dodanie węzłów. Aby dodać węzły, można skorzystać zopcji Autowykrywanie lub z opcji Przeglądaj. Inna metoda polega na wpisaniu nazwy serwera w polu tekstowym ikliknięciu przycisku Dodaj.
AutowykrywanieAutomatyczne dodawanie węzłów z istniejącego klastra pracy awaryjnej systemu Windows/klastrarównoważenia obciążenia sieciowego. Aby móc automatycznie dodać węzły, serwer wykorzystywany doutworzenia klastra ESET musi należeć do tego klastra pracy awaryjnej systemu Windows/klastra równoważeniaobciążenia sieciowego. Aby klaster ESET mógł prawidłowo wykryć węzły, klaster równoważenia obciążeniasieciowego musi mieć we właściwościach włączoną funkcję Zezwól na zdalne sterowanie. Mając do dyspozycjilistę nowo dodanych węzłów, można usunąć niechciane pozycje.
PrzeglądajUmożliwia wyszukiwanie i wybieranie komputerów należących do domeny lub grupy roboczej. Ta metodaumożliwia ręczne dodawanie węzłów do klastra ESET. Innym sposobem dodawania węzłów jest wpisanie nazwyhosta serwera, który ma zostać dodany i kliknięcie opcji Dodaj.
Aby zmodyfikować węzły klastra znajdujące się na liście, należy wybrać węzeł do usunięcia i kliknąć opcję Usuń.Można także kliknąć opcję Usuń wszystkie, by całkowicie wyczyścić listę.
Jeśli istniejący klaster ESET jest już na liście, w każdej chwili można do niego dodać nowe węzły. Niezbędneczynności są takie same, jak opisano powyżej.
UWAGA
57
Wszystkie węzły pozostające na liście muszą być podłączone do Internetu i osiągalne. Do węzłów klastradomyślnie dodawany jest host lokalny.
5.5.4.2 Kreator klastrów — ustawienia klastra
Należy zdefiniować nazwę klastra i wprowadzić dane dotyczące sieci (jeśli jest to wymagane).
Nazwa klastraWprowadź nazwę klastra i kliknij przycisk Dalej.
Port nasłuchu — domyślny port to 9777Jeśli port 9777 jest już używany w środowisku sieciowym, wprowadź nieużywany port o innym numerze.
Otwórz port w zaporze systemu WindowsJeśli ta opcja jest zaznaczona, zostanie utworzona reguła w zaporze systemu Windows.
58
5.5.4.3 Kreator klastrów — ustawienia konfiguracji klastra
Należy zdefiniować tryb dystrybucji certyfikatu oraz wybrać opcję instalowania produktu w węzłach.
Dystrybucja certyfikatu
· Automatyczna zdalna — certyfikat zostanie zainstalowany automatycznie.
· Ręczna — kliknij przycisk Wygeneruj i wybierz folder, w którym przechowywane będą certyfikaty. Utworzonyzostanie certyfikat główny oraz certyfikat dla każdego z węzłów, w tym dla tego (komputera lokalnego), zktórego konfigurujesz klaster ESET. Aby zarejestrować certyfikat na komputerze lokalnym, kliknij przycisk Tak.
Instalacja produktu na innych węzłach
· Automatyczna zdalna — program ESET File Security zostanie automatycznie zainstalowany na każdym zwęzłów (pod warunkiem, że ich systemy operacyjne mają taką samą architekturę).
· Ręczna — ręczna instalacja produktu ESET File Security (na przykład gdy na niektórych z węzłów zainstalowanyjest system operacyjny o innej architekturze).
Wypchnięcie licencji do węzłów, na których nie aktywowano produktuPo wybraniu tej opcji oprogramowanie ESET Security automatycznie aktywuje rozwiązania firmy ESETzainstalowane w węzłach bez licencji.
UWAGAAby utworzyć klaster ESET z mieszanymi architekturami systemów operacyjnych (32- i 64-bitowymi), programESET File Security należy zainstalować ręcznie. Używane systemy operacyjne zostaną wykryte podczaskolejnych kroków i informacja ta zostanie wyświetlona w oknie dziennika.
5.5.4.4 Kreator klastrów — kontrola węzłów
Po określeniu szczegółów dotyczących instalacji uruchamiany jest proces kontroli węzła. Dziennik kontroli węzłówzawiera następujące informacje:
· sprawdzenie, czy wszystkie istniejące węzły działają w trybie online;
· kontrola dostępności nowych węzłów;
· węzeł działa w trybie online;
· udział administracyjny jest dostępny;
· zdalne wykonanie jest możliwe;
· zainstalowane są prawidłowe wersje produktu (lub nie jest zainstalowany żaden produkt);
· kontrola obecności nowych certyfikatów.
59
Bezpośrednio po zakończeniu kontroli węzła wyświetlony zostanie następujący raport:
60
61
5.5.4.5 Kreator klastrów — instalacja węzłów
W przypadku instalowania oprogramowania na komputerze zdalnym podczas inicjowania klastra ESET kreator będziepróbować znaleźć pakiet instalatora w katalogu %ProgramData\ESET\<Product_name>\Installer. Jeśli pakietinstalacyjny nie zostanie tam znaleziony, zostanie wyświetlony monit o wskazanie lokalizacji pliku instalatora.
UWAGAJeśli użytkownik podejmie próbę skorzystania z automatycznej instalacji zdalnej na węźle o innej architekturze(32-bitowej, a nie 64-bitowej), zostanie to wykryte i pojawi się monit o wykonanie instalacji ręcznej.
62
Po prawidłowym skonfigurowaniu klastra ESET będzie on widoczny na stronie Ustawienia > Serwer jako włączony.
UWAGAJeśli na niektórych węzłach zainstalowano starszą wersję programu ESET File Security, zostanie wyświetlonepowiadomienie o wymaganiu zainstalowania najnowszej wersji na tych komputerach. Aktualizacja programuESET File Security może spowodować automatyczne ponowne uruchomienie komputerów.
63
Można również sprawdzić jego obecny stan na stronie stanu klastra (Narzędzia > Klaster).
5.5.5 ESET Shell
eShell (krótka forma nazwy ESET Shell) to interfejs wiersza polecenia programu ESET File Security. Stanowi onalternatywę dla graficznego interfejsu użytkownika (GUI). Interfejs eShell oferuje te same funkcje i opcje, które sądostępne za pośrednictwem interfejsu GUI. Interfejs eShell pozwala konfigurować program i administrować nim bezużycia interfejsu GUI.
Zawiera on wszystkie funkcje dostępne w interfejsie GUI, a ponadto umożliwia zautomatyzowanie działań zapomocą skryptów uruchamianych w celu konfigurowania ustawień, modyfikowania konfiguracji lub wykonywaniaokreślonych czynności. Interfejs eShell może być również przydatny dla tych użytkowników, którzy wolą korzystać zwiersza polecenia zamiast interfejsu GUI.
UWAGAW celu uzyskania pełnej funkcjonalności zalecane jest otwarcie interfejsu eShell przy użyciu opcji Uruchomjako administrator. To samo dotyczy wykonywania jednego polecenia przy użyciu wiersza polecenia systemuWindows (cmd). Wiersz polecenia należy otworzyć przy użyciu opcji Uruchom jako administrator. W przypadkuotwarcia wiersza polecenia bez użycia opcji Uruchom jako administrator nie będzie można uruchamiać poleceńze względu na brak uprawnień.
Interfejs eShell można uruchamiać w dwóch trybach:
1. Tryb interaktywny — jest przydatny, kiedy interfejs eShell ma zostać użyty do wykonania jakiegośogólniejszego działania (a nie tylko jednego polecenia), np. zmodyfikowania konfiguracji albo wyświetleniadzienników. Tryb interaktywny jest też pomocny, gdy użytkownik nie zna jeszcze wszystkich poleceń. Trybinteraktywny ułatwia nawigowanie po interfejsie eShell. Są w nim również wyświetlane dostępnepolecenia, których można użyć w danej sytuacji.
64
2. Pojedyncze polecenie/tryb wsadowy — tego trybu można użyć, aby wykonać tylko jedno polecenie bezuruchamiania trybu interaktywnego interfejsu eShell. Można to zrobić za pomocą wiersza polecenia systemuWindows, wpisując polecenie eshell z odpowiednimi parametrami.
PRZYKŁAD
eshell get status lub eshell set antivirus status disabled
Aby umożliwić uruchamianie pewnych poleceń (takich jak drugie polecenie z powyższego przykładu) w trybiewsadowym lub skryptowym, należy najpierw skonfigurować pewne ustawienia. W przeciwnym razie zostaniewyświetlony komunikat Odmowa dostępu. Jest to podyktowane względami bezpieczeństwa.
UWAGAAby można było korzystać z poleceń interfejsu eShell z poziomu wiersza polecenia systemu Windows,wymagane są zmiany ustawień. Aby uzyskać więcej informacji o uruchamianiu plików wsadowych, kliknij tutaj.
Istnieją dwie metody przechodzenia do trybu interaktywnego w interfejsie eShell:
1. Za pomocą menu Start systemu Windows: Start > Wszystkie programy > ESET > ESET File Security > ESET Shell
2. Za pomocą wiersza polecenia systemu Windows, wpisując polecenie eshell i naciskając klawisz Enter
WAŻNEBłąd 'eshell' is not recognized as an internal or external command jest spowodowany nieładowaniemnowych zmiennych środowiskowych przez system po zakończeniu instalacji programu ESET File Security.Należy otworzyć nowy wiersz polecenia i ponownie spróbować uruchomić interfejs eShell. Jeśli ten błądbędzie występował nadal lub istniejeinstalacja główna programu ESET File Security, interfejs eShell należyuruchomić przy użyciu ścieżki bezwzględnej, na przykład "%PROGRAMFILES%\ESET\ESET File Security\eShell.exe" (aby polecenie zadziałało, należy użyć znaków "").
Przy pierwszym uruchomieniu interfejsu eShell w trybie interaktywnym wyświetlany jest ekran pierwszegouruchomienia (przewodnik).
UWAGAAby później wyświetlić ekran pierwszego uruchomienia, należy wpisać polecenie guide . W przewodnikuprzedstawione są podstawowe przykłady użycia poleceń interfejsu eShell, między innymi ich składnia,prefiksy, ścieżka poleceń, formy skrócone i aliasy.
Przy następnym uruchomieniu interfejsu eShell wyświetlony zostanie następujący ekran:
65
UWAGAW poleceniach nie jest rozróżniana wielkość liter. Można używać zarówno wielkich, jak i małych liter — niebędzie to miało wpływu na wykonanie polecenia.
Dostosowywanie interfejsu eShell
Ustawienia interfejsu eShell można dostosować w kontekście ui eshell. Można konfigurować aliasy, kolory, języki,politykę uruchamiania skryptów, ustawienia ukrytych poleceń itd.
5.5.5.1 Sposób użycia
Składnia
Polecenia muszą być sformatowane według określonych reguł składniowych i mogą składać się z przedrostka,kontekstu, argumentów, opcji itd. Ogólna składnia używana w całym interfejsie eShell to:
[<przedrostek>] [<ścieżka polecenia>] <polecenie> [<argumenty>]
Przykład (uaktywnienie ochrony dokumentów):
SET ANTIVIRUS DOCUMENT STATUS ENABLED
SET — przedrostekANTIVIRUS DOCUMENT — ścieżka do określonego polecenia; kontekst, do którego należy dane polecenie.STATUS — samo polecenieENABLED — argument polecenia
Wpisanie ? jako argumentu w poleceniu umożliwia wyświetlenie składni danego polecenia. Na przykład wpisanieciągu STATUS ? spowoduje wyświetlenie składni polecenia STATUS:
SKŁADNIA:
[get] | status
set status enabled | disabled
Można zauważyć, że wyraz [get] znajduje się w nawiasach kwadratowych. To oznacza, że przedrostek get jestdomyślny dla polecenia status. Oznacza to, że gdy polecenie status zostanie wykonane bez określonegoprzedrostka, w rzeczywistości zostanie użyty przedrostek domyślny (w tym przypadku get status). Używanie
66
poleceń bez przedrostków pozwala zaoszczędzić czas podczas pisania. Zazwyczaj przedrostek get jest przedrostkiemdomyślnym większości poleceń. Należy się jednak upewnić, jaki przedrostek domyślny jest stosowany dookreślonego polecenia oraz czy spowoduje on wykonanie żądanej operacji.
UWAGAWielkość liter używanych w poleceniach nie jest rozróżniana. Można używać zarówno wielkich, jak i małychliter — nie będzie to miało wpływu na wykonanie polecenia.
Przedrostek lub operacja
Przedrostek oznacza operację. Za pomocą przedrostka GET można wyświetlić informacje o konfiguracji określonejfunkcji programu ESET File Security lub jej stanie (na przykład polecenie GET ANTIVIRUS STATUS umożliwiawyświetlenie informacji o aktualnym stanie ochrony). Za pomocą przedrostka SET można skonfigurować funkcję lubzmodyfikować jej stan (polecenie SET ANTIVIRUS STATUS ENABLED uaktywnia ochronę).
Oto przedrostki używane w interfejsie eShell. Polecenie może nie obsługiwać wszystkich poniższych przedrostków:
GET zwraca bieżącą wartość/stan
SET ustawia wartość/stan
SELECT wybranie elementu
ADD dodanie elementu
REMOVE usunięcie elementu
CLEAR usuwa wszystkie elementy/wpisy
START rozpoczęcie wykonywania czynności
STOP zakończenie wykonywania czynności
PAUSE wstrzymanie czynności
RESUME wznowienie czynności
RESTORE przywraca domyślne ustawienia/obiekt/plik
SEND wysłanie obiektu/pliku
IMPORT importowanie z pliku
EXPORT eksportowanie do pliku
UWAGAPrzedrostki takie jak GET i SET mogą być używane z wieloma poleceniami, jednak niektóre polecenia, takie jakEXIT,nie obsługują przedrostków.
Ścieżka polecenia/Kontekst
67
Polecenia są umieszczane w kontekstach, które tworzą strukturę drzewa. Górny poziom drzewa stanowi kataloggłówny (root). Po uruchomieniu interfejsu eShell użytkownik znajduje się na poziomie katalogu głównego:
eShell>
Można wykonywać polecenia z tego poziomu lub wprowadzić nazwę kontekstu, aby nawigować w obszarze drzewa.Na przykład wprowadzenie kontekstu TOOLS spowoduje wyświetlenie listy wszystkich poleceń i kontekstówpodrzędnych dostępnych z tego poziomu.
Kolorem żółtym oznaczono polecenia możliwe do wykonania. Kolorem szarym wyróżniono konteksty podrzędne, doktórych można przejść. Kontekst podrzędny zawiera dodatkowe polecenia.
Aby przejść z powrotem na wyższy poziom, należy wpisać .. (dwie kropki).
PRZYKŁAD
Załóżmy, że użytkownik znajduje się na następującym poziomie:
eShell antivirus startup>
wprowadzenie znaków .. spowoduje przeniesienie o poziom wyżej:
eShell antivirus>
Aby powrócić do poziomu katalogu głównego z poziomu eShell antivirus startup> (który znajduje się o dwapoziomy niżej niż katalog główny), należy wpisać .. .. (dwie kropki, spacja, dwie kropki). W ten sposób możnaprzejść o dwa poziomy wyżej, czyli w tym przypadku do poziomu katalogu głównego. Przy użyciu lewego ukośnika \można powrócić bezpośrednio do katalogu głównego z dowolnego poziomu drzewa kontekstu. Aby przejść dookreślonego kontekstu na wyższych poziomach, wystarczy użyć odpowiedniej liczby ciągów .. do przejścia nażądany poziom, oddzielając je spacjami. Na przykład w celu przejścia o trzy poziomy wyżej należy użyć ciągu .. .. ..
Ścieżka jest względna wobec bieżącego kontekstu. Jeśli polecenie jest zawarte w bieżącym kontekście, nie należypodawać ścieżki. Aby na przykład wykonać polecenie GET ANTIVIRUS STATUS należy wprowadzić następujący ciąg:
GET ANTIVIRUS STATUS — z poziomu kontekstu elementu głównego (wiersz polecenia ma postać eShell>)GET STATUS — z poziomu kontekstu ANTIVIRUS (wiersz polecenia ma postać eShell antivirus>)
68
.. GET STATUS — z poziomu kontekstu ANTIVIRUS STARTUP (wiersz polecenia ma postać eShell antivirusstartup>)
Można użyć jednego znaku . (kropka) zamiast dwóch .. ze względu na to, że pojedyncza kropka jest skrótem dladwóch kropek.
PRZYKŁAD
. GET STATUS — z poziomu kontekstu ANTIVIRUS STARTUP (wiersz polecenia ma postać eShell antivirusstartup>)
Argument
Argument oznacza czynność wykonywaną dla określonego polecenia. Na przykład polecenie CLEAN-LEVEL(znajdujące się w kontekście ANTIVIRUS REALTIME ENGINE) może być używane z następującymi argumentami:
no — brak leczenianormal — leczenie normalnestrict — leczenie dokładne
Inne przykłady argumentów to ENABLED lub DISABLED,które służą do włączania i wyłączania określonych funkcji.
Forma skrócona/Polecenia skrócone
W interfejsie eShell można skracać konteksty, polecenia i argumenty (o ile dany argument jest przełącznikiem lubopcją alternatywną). Nie można skracać przedrostków i argumentów będących konkretną wartością, taką jak liczba,nazwa lub ścieżka. Można użyć cyfr 1 i 0 zamiast argumentów „enabled” i „disabled”.
PRZYKŁAD
set status enabled => set stat 1
set status disabled => set stat 0
Przykłady formy skróconej:
PRZYKŁAD
set status enabled => set stat en
add antivirus common scanner-excludes C:\ścieżka\plik.ext => add ant com scann C:
\ścieżka\plik.ext
Jeśli dwa polecenia lub konteksty rozpoczynają się takimi samymi literami, na przykład ABOUT i ANTIVIRUS, aużytkownik wprowadzi literę A jako polecenie skrócone, rozróżnienie, które z poleceń ma zostać wykonane winterfejsie eShell, będzie niemożliwe. Zostanie wówczas wyświetlony komunikat o błędzie oraz lista poleceńrozpoczynających się literą „A”, z których można wybrać odpowiednie:
eShell>a
Następujące polecenie nie jest unikatowe: a
W tym kontekście dostępne są następujące polecenia:
ABOUT — wyświetlanie informacji o programie
ANTIVIRUS — zmiana kontekstu na antivirus
69
Po dodaniu przez użytkownika jednej lub kilku liter (np. AB zamiast samej litery A) w interfejsie eShell zostaniewykonane polecenie ABOUT ponieważ w tym momencie będzie ono unikatowe.
UWAGAAby mieć pewność, że polecenie zostanie wykonane prawidłowo, zaleca się używanie pełnych form poleceń,argumentów i innych elementów zamiast form skróconych. Pozwala to na wykonanie polecenia w wymaganysposób i uniknięcie niepożądanych błędów. Ma to szczególne znaczenie w przypadku plików wsadowych iskryptów.
Automatyczne uzupełnianie
Ta nowa funkcja wprowadzona w interfejsie eShell 2.0 ma bardzo podobne działanie do funkcji automatycznegouzupełniania w wierszu polecenia systemu Windows. W wierszu polecenia systemu Windows uzupełniane są ścieżkido plików, natomiast w narzędziu eShell uzupełniane są polecenia, konteksty oraz nazwy operacji. Uzupełnianieargumentów nie jest obsługiwane. Podczas wpisywania polecenia wystarczy nacisnąć klawisz Tab, aby uzupełnićwpis lub przejrzeć dostępne opcje. Aby przeglądać wstecz, należy nacisnąć klawisze Shift + Tab. Łączenie formskróconych i automatycznego uzupełniania nie jest obsługiwane. Należy użyć jednej z tych metod. Na przykład powprowadzeniu ciągu antivir real scan naciśnięcie klawisza TAB nie przyniesie żadnego efektu. Zamiast tegonależy wpisać antivir , a następnie nacisnąć klawisz Tab w celu uzupełnienia wpisu do postaci antivirus, przejść dowpisywania real, po czym nacisnąć klawisz Tab, a następnie wpisać scan i nacisnąć klawisz Tab. Można wówczasprzeglądać wszystkie dostępne opcje: scan-create, scan-execute, scan-open itd.
Aliasy
Alias to alternatywna nazwa, przy użyciu której można wykonać polecenie (o ile do danego polecenia przypisanoalias). Istnieje kilka aliasów domyślnych:
(globalny) close — zakończenie(globalny) quit — zakończenie(globalny) bye — zakończeniewarnlog — zdarzenia zarejestrowane w dzienniku narzędzivirlog — przypadki wykrycia zarejestrowane w dzienniku narzędziantivirus on-demand log — skanowania zarejestrowane w dzienniku narzędzi
Oznaczenie „(globalny)” wskazuje, że dane polecenie może być użyte w dowolnym miejscu, niezależnie odbieżącego kontekstu. Do jednego polecenia można przypisać wiele aliasów. Na przykład polecenie EXIT, ma aliasyCLOSE, QUIT i BYE. Aby zakończyć działanie interfejsu eShell, można użyć polecenia EXIT, lub dowolnego z jegoaliasów. Alias VIRLOG jest aliasem polecenia DETECTIONS które znajduje się w kontekście TOOLS LOG . PolecenieDETECTIONS jest więc dostępne w kontekście ROOT. Ułatwia to jego wykonywanie (nie trzeba przechodzić dokontekstu TOOLS a następnie do kontekstu LOG, lecz można uruchomić polecenie bezpośrednio z kontekstu ROOT.).
Interfejs eShell umożliwia definiowanie własnych aliasów. Polecenie ALIAS można znaleźć w kontekście UI ESHELL .
Ustawienia chronione hasłem
Ustawienia programu ESET File Security mogą być chronione hasłem. Hasło można ustawić przy użyciu graficznegointerfejsu użytkownika lub interfejsu eShell po wpisaniu polecenia set ui access lock-password. Następniekonieczne będzie interaktywne wprowadzanie tego hasła w przypadku niektórych poleceń (na przykład poleceńumożliwiających zmienianie ustawień lub modyfikowanie danych). Planując dłuższe korzystanie z interfejsu eShell ichcąc wyeliminować konieczność wielokrotnego wprowadzania hasła, można zapisać hasłi w interfejsie eShell przyużyciu polecenia set password . Hasło będzie wówczas wprowadzane automatycznie przy wykonywaniu poleceńwymagających wprowadzenia hasła. Zostanie zapamiętane do momentu zamknięcia interfejsu eShell, co oznacza, żepo rozpoczęciu nowej sesji konieczne będzie ponowne użycie polecenia set password w celu zapamiętania hasła winterfejsie eShell.
Polecenia Guide i Help
70
Wydanie polecenia GUIDE lub HELP powoduje wyświetlenie ekranu pierwszego uruchomienia, który zawierainformacje dotyczące sposobu korzystania z interfejsu eShell. To polecenie jest dostępne z kontekstu ROOT. ).eShell>).
Historia poleceń
Interfejs eShell zachowuje historię uprzednio wykonanych poleceń. Obejmuje ona tylko bieżącą interaktywną sesjęinterfejsu eShell. Po zakończeniu działania interfejsu eShell historia poleceń zostanie usunięta. W celu przeglądaniahistorii należy użyć klawiszy strzałek w górę i w dół na klawiaturze. Po odnalezieniu odpowiedniego poleceniamożna wykonać je ponownie lub zmodyfikować bez konieczności ponownego wpisywania całego polecenia.
Polecenie CLS/Czyszczenie ekranu
Polecenia CLS można użyć do wyczyszczenia ekranu. Działa ono w taki sam sposób, jak w przypadku wierszapolecenia systemu Windows lub podobnego interfejsu wiersza polecenia.
Polecenia EXIT/CLOSE/QUIT/BYE
Aby zamknąć interfejs eShell lub zakończyć jego działanie, można użyć dowolnego z następujących poleceń (EXIT,,CLOSE, QUIT lub BYE).
5.5.5.2 Polecenia
W tej sekcji opisano kilka podstawowych poleceń interfejsu eShell.
UWAGAW poleceniach nie jest rozróżniana wielkość liter. Można używać zarówno wielkich, jak i małych liter — niebędzie to miało wpływu na wykonanie polecenia.
Polecenia przykładowe (zawarte w kontekście ROOT):
ABOUT
Wyświetlenie informacji o programie. Wyświetlane są następujące informacje:
· nazwa zainstalowanego produktu zabezpieczającego firmy ESET oraz numer jego wersji;
· szczegółowe informacje dotyczące systemu operacyjnego oraz podstawowych komponentów sprzętowych;
· nazwa użytkownika (łącznie z domeną), pełna nazwa komputera (nazwa FQDN, jeśli serwer należy dodomeny) oraz nazwa stanowiska;
· zainstalowane składniki produktu zabezpieczającego firmy ESET, łącznie z numerami wersji poszczególnychskładników.
ŚCIEŻKA KONTEKSTU:
root
PASSWORD
Aby wykonać polecenie chronione hasłem, zwykle ze względów bezpieczeństwa należy wpisać hasło. Zasada tadotyczy na przykład poleceń wyłączających ochronę antywirusową bądź mogących wpływać na konfiguracjęprogramu ESET File Security. Zostanie wyświetlony monit o wprowadzenie hasła przed każdym wykonaniem takiegopolecenia. Aby nie wprowadzać hasła za każdym razem, można je zdefiniować. Zostanie ono zapamiętane przezinterfejs eShell i będzie wprowadzane automatycznie przy wykonywaniu poleceń chronionych hasłem.
UWAGA
71
Hasło działa tylko podczas bieżącej interaktywnej sesji interfejsu eShell. Po zakończeniu pracy z interfejsemeShell zdefiniowane hasło jest usuwane. Po kolejnym uruchomieniu interfejsu eShell należy ponowniezdefiniować hasło.
Zdefiniowane hasła mogą też być używane przy uruchamianiu niepodpisanych plików wsadowych lub skryptów. Wprzypadku uruchamiania niepodpisanych plików wsadowych należy skonfigurować opcję Pełny dostęp ustawienia Zasady wykonywania powłoki ESET Shell. Oto przykład takiego pliku wsadowego:
eshell set password plain <yourpassword> "&" set status disabled
Powyższe połączone polecenie powoduje zdefiniowanie hasła oraz wyłączenie ochrony.
WAŻNEJeśli tylko jest to możliwe, należy używać podpisanych plików wsadowych. W ten sposób można uniknąć hasełw postaci zwykłego tekstu w plikach wsadowych (w przypadku korzystania z opisanej powyżej metody). Więcejinformacji można znaleźć w punkcie Pliki wsadowe i skrypty (sekcja Podpisane pliki wsadowe).
ŚCIEŻKA KONTEKSTU:
root
SKŁADNIA:
[get] | restore password
set password [plain <hasło>]
OPERACJE:
get — wyświetlenie hasła
set — ustawienie lub wyczyszczenie hasła
restore — wyczyszczenie hasła
ARGUMENTY:
plain — przełączenie na wprowadzanie hasła jako parametru
password — hasło
PRZYKŁADY:
set password plain <hasło> — ustawienie hasła, które będzie używane na potrzeby wykonywania poleceńchronionych hasłem
restore password — wyczyszczenie hasła
PRZYKŁADY:
get password — to polecenie pozwala sprawdzić, czy zostało skonfigurowane hasło (wyświetlane są jedyniegwiazdki „*”, samo hasło nie jest widoczne). Brak gwiazdek oznacza, że hasło nie zostało jeszcze ustawione.
set password plain <hasło> — ustawienie zdefiniowanego hasła
restore password — wyczyszczenie zdefiniowanego hasła
STATUS
Wyświetlenie informacji o aktualnym stanie ochrony programu ESET File Security (podobnie jak w interfejsie GUI).
72
ŚCIEŻKA KONTEKSTU:
root
SKŁADNIA:
[get] | restore status
set status disabled | enabled
OPERACJE:
get — wyświetlenie stanu ochrony antywirusowej
set — wyłączenie/włączenie ochrony antywirusowej
restore — przywrócenie ustawień domyślnych
ARGUMENTY:
wyłączona — wyłączenie ochrony antywirusowej
enabled — włączenie ochrony antywirusowej
PRZYKŁADY:
get status — wyświetlenie aktualnego stanu ochrony
set status disabled — wyłączenie ochrony
restore status — przywrócenie domyślnego ustawienia ochrony (włączone)
VIRLOG
To jest alias polecenia DETECTIONS . To polecenie służy do wyświetlania informacji o wykrytych infekcjach.
WARNLOG
To jest alias polecenia EVENTS . To polecenie służy do wyświetlania informacji o różnych zdarzeniach.
5.5.5.3 Pliki wsadowe i skrypty
Interfejs eShell może posłużyć jako wydajne narzędzie do tworzenia skryptów umożliwiających automatyzację. Abyużyć pliku wsadowego w interfejsie eShell, należy utworzyć taki plik z wpisem eShell i odpowiednim poleceniem.
PRZYKŁAD
eshell get antivirus status
Można również tworzyć ciągi poleceń, jeśli to konieczne — na przykład w celu wpisania określonego zaplanowanegozadania należy wprowadzić następujący ciąg:
eshell select scheduler task 4 "&" get scheduler action
Wybranie elementu (w tym przypadku zadania numer 4) zwykle ma zastosowanie wyłącznie w odniesieniu doaktualnie uruchomionego wystąpienia interfejsu eShell. Gdyby uruchomiono te dwa polecenia jedno po drugim,drugie polecenie zakończyłoby się niepowodzeniem i błędem „Nie wybrano zadania lub wybrane zadanie już nieistnieje”.
Ze względów bezpieczeństwa domyślne ustawienie polityki uruchamiania to Ograniczona obsługa skryptów.Umożliwia to stosowanie interfejsu eShell do monitorowania, ale nie pozwala na wprowadzanie zmian w
73
konfiguracji programu ESET File Security przez uruchomienie skryptu. W przypadku próby uruchomienia skryptuzawierającego polecenia, które mogą mieć wpływ na bezpieczeństwo, na przykład powodujących wyłączenieochrony, wyświetlany jest komunikat Odmowa dostępu. Zalecamy używanie podpisanych plików wsadowych w celuwykonywania poleceń wprowadzających zmiany konfiguracji.
Aby wprowadzić zmiany w konfiguracji przy użyciu pojedynczego polecenia wprowadzanego ręcznie w wierszupolecenia systemu Windows, należy nadać interfejsowi eShell uprawnienia pełnego dostępu (nie jest to zalecane).W celu nadania pełnych uprawnień dostępu należy użyć polecenia ui eshell shell-execution-policy w trybieinteraktywnym w samym interfejsie eShell. Można to również zrobić przy użyciu graficznego interfejsu użytkownika,wybierając kolejno pozycje Ustawienia zaawansowane (F5) > Interfejs użytkownika > ESET Shell.
Podpisane pliki wsadowe
Interfejs eShell umożliwia zabezpieczanie zwykłych plików wsadowych (*.bat) podpisem. Skrypty są podpisywaneprzy użyciu tego samego hasła, które jest używane do ochrony ustawień. Aby podpisać skrypt, należy najpierwwłączyć ochronę ustawień. Można to zrobić przy użyciu graficznego interfejsu użytkownika lub z poziomu interfejsueShell przy użyciu polecenia set ui access lock-password . Po skonfigurowaniu hasła ochrony ustawień możnazacząć podpisywać pliki wsadowe.
UWAGAW przypadku zmiany hasła ochrony ustawień konieczne będzie ponowne podpisanie wszystkich skryptów — wprzeciwnym razie po zmianie hasła wykonywanie skryptów będzie niemożliwe. Hasło wprowadzone przypodpisywaniu skryptu musi być zgodne z hasłem ochrony ustawień w systemie docelowym.
W celu podpisania pliku należy uruchomić polecenie sign <skrypt.bat> z kontekstu elementu głównego interfejsueShell, przy czym skrypt.bat to ścieżka do skryptu, który ma zostać podpisany. Należy wprowadzić i potwierdzićhasło, które będzie używane do podpisywania. Hasło to musi być zgodne z hasłem ochrony ustawień. Podpis jestumieszczany na końcu pliku wsadowego w postaci komentarza. Jeśli dany skrypt został już wcześniej podpisany,dotychczasowy podpis zostanie zastąpiony nowym podpisem.
UWAGAJeśli podpisany plik wsadowy zostanie zmodyfikowany, należy go podpisać ponownie.
Aby wykonać podpisany plik wsadowy z poziomu wiersza polecenia systemu Windows lub w ramach zaplanowanegozadania, należy użyć następującego polecenia:
eshell run <skrypt.bat>
Zmienna skrypt.bat to ścieżka do pliku wsadowego.
PRZYKŁAD
eshell run d:\myeshellscript.bat
74
5.5.6 ESET Dynamic Threat Defense
Usługa ESET Dynamic Threat Defense (EDTD) zapewnia dodatkową warstwę zabezpieczeń dzięki wykorzystaniutechnologii firmy ESET bazujących na chmurze w celu wykrywania nowych, nieznanych wcześniej typów zagrożeń.Jest to usługa płatna. Oprócz działania podobnego do usługi ESET LiveGrid®, funkcja ESET Dynamic Threat Defensezapewnia korzyści płynące z ochrony przed potencjalnymi konsekwencjami nowych zagrożeń. Kiedy usługa ESETDynamic Threat Defense wykryje podejrzany kod lub zachowanie, zapobiega dalszemu działaniu danego elementu,tymczasowo umieszczając go w obszarze kwarantanny ESET Dynamic Threat Defense. Podejrzana próbka (plik lubwiadomość e-mail) zostaje przesłana do rozwiązania ESET Cloud, gdzie serwer ESET Dynamic Threat Defenseanalizuje ją przy użyciu najnowocześniejszych silników detekcji szkodliwego oprogramowania. Po umieszczeniuplików lub wiadomości e-mail w kwarantannie usługi ESET Dynamic Threat Defense program ESET File Securityoczekuje na wyniki z serwera ESET Dynamic Threat Defense. Po ukończeniu analizy program ESET File Securityodbiera raport z podsumowaniem działania przeanalizowanej próbki. Jeśli okazała się ona nieszkodliwa, zostajezwolniona z kwarantanny w usłudze ESET Dynamic Threat Defense — w przeciwnym wypadku pozostaje wkwarantannie. Jeśli wystąpił fałszywy alarm, a użytkownik ma pewność, że plik lub wiadomość e-mail nie stanowizagrożenia, może ręcznie zwolnić element z kwarantanny w usłudze ESET Dynamic Threat Defense przedodebraniem przez program ESET File Security wyników analizy z serwera ESET Dynamic Threat Defense.
Wyniki analizy próbek wiadomości e-mail w usłudze ESET Dynamic Threat Defense są przesyłane zazwyczaj w ciągukilku minut. Domyślny interwał oczekiwania jest ustawiony na 5 minut. W wyjątkowych sytuacjach, kiedy wynikianalizy z usługi ESET Dynamic Threat Defense nie nadejdą w czasie zdefiniowanym interwałem, wiadomość zostajezwolniona. Interwał można zmienić na preferowany przez użytkownika (w zakresie od 5 do 60 minut, w odstępach 1-minutowych).
Funkcja ESET Dynamic Threat Defense jest widoczna w programie ESET File Security bez względu na stan jejaktywacji. Bez licencji usługa ESET Dynamic Threat Defense pozostanie nieaktywna. Licencją ESET Dynamic ThreatDefense można zarządzać z poziomu serwera ESET Security Management Center, natomiast aktywację licencji należyprzeprowadzić w konsoli ESET Security Management Center za pomocą polityki.
75
Po aktywowaniu usługi ESET Dynamic Threat Defense na serwerze ESET Dynamic Threat Defense zostanie utworzonyprofil użytkownika usługi ESET Dynamic Threat Defense. W tym profilu będą zapisywane wszystkie wyniki analizyESET Dynamic Threat Defense próbek przesłanych przez program ESET File Security.
Aby korzystać z funkcji ESET Dynamic Threat Defense, należy spełnić następujące wymagania:
ESET File Security zarządzanie za pomocą rozwiązania ESET Security Management Center
Program ESET File Security aktywowany za pomocą licencji ESET Dynamic Threat Defense
Włączona funkcja ESET Dynamic Threat Defense w programie ESET File Security za pomocą polityki ESET SecurityManagement Center
Po spełnieniu tych wymagań można w pełni korzystać z usługi ESET Dynamic Threat Defense oraz ręcznie przesyłaćpliki próbek do analizy w usłudze ESET Dynamic Threat Defense .
UWAGAWięcej informacji na temat korzystania z funkcji ESET Dynamic Threat Defense w połączeniu z programem ESETFile Security można znaleźć w Pomocy online usługi ESET Dynamic Threat Defense .
5.5.7 ESET SysInspector
ESET SysInspector to aplikacja dokładnie sprawdzająca komputer, przeprowadzająca szczegółową analizękomponentów systemu, na przykład zainstalowanych sterowników i aplikacji, połączeń sieciowych lub ważnychwpisów w rejestrze, oraz oceniająca poziom ryzyka w odniesieniu do każdego komponentu. Na podstawie tychinformacji można określić przyczynę podejrzanego zachowania systemu, które może wynikać z niezgodnościoprogramowania lub sprzętu bądź zarażenia szkodliwym oprogramowaniem.
W oknie programu ESET SysInspector wyświetlane są następujące informacje na temat utworzonych dzienników:
· Godzina — godzina utworzenia dziennika.
· Komentarz — krótki komentarz.
· Użytkownik — nazwa użytkownika, który utworzył dziennik.
· Stan—stan procesu tworzenia dziennika.
Dostępne są następujące czynności:
· Otwórz — powoduje otwarcie utworzonego dziennika. Można również kliknąć dany plik dziennika prawymprzyciskiem myszy i z menu kontekstowego wybrać opcję Pokaż.
· Porównaj — umożliwia porównanie dwóch dzienników.
· Utwórz — umożliwia utworzenie nowego dziennika. Należy wprowadzić krótki komentarz opisujący tworzonydziennik, kliknąć przycisk Utwórz, a następnie poczekać, aż dziennik programu ESET SysInspector zostanieutworzony (jego atrybut Stan będzie mieć wartość Utworzono).
· Usuń — powoduje usunięcie wybranych dzienników z listy.
Po kliknięciu prawym przyciskiem myszy jednego lub większej liczby zaznaczonych dzienników pojawia się menukontekstowe z następującymi opcjami:
· Pokaż— umożliwia otwarcie wybranego dziennika w programie ESET SysInspector (tak samo jak podwukrotnym kliknięciu dziennika).
· Porównaj — umożliwia porównanie dwóch dzienników.
· Utwórz — umożliwia utworzenie nowego dziennika. Należy wprowadzić krótki komentarz opisujący tworzonydziennik, kliknąć przycisk Utwórz, a następnie poczekać, aż dziennik programu ESET SysInspector zostanieutworzony (jego atrybut Stan będzie mieć wartość Utworzono).
· Usuń — powoduje usunięcie wybranych dzienników z listy.
· Usuń wszystko— powoduje usunięcie wszystkich dzienników.
· Eksportuj— umożliwia wyeksportowanie dziennika do pliku .xml lub skompresowanego pliku .xml.
76
5.5.8 ESET SysRescue Live
ESET SysRescue Live to narzędzie umożliwiające utworzenie dysku rozruchowego zawierającego jedno z rozwiązańzabezpieczających firmy ESET — może być to ESET NOD32 Antivirus, ESET Smart Security lub jeden z produktówserwerowych. Główną zaletą narzędzia ESET SysRescue Live jest to, że rozwiązanie zabezpieczające firmy ESET działaniezależnie od systemu operacyjnego hosta, a jednocześnie ma bezpośredni dostęp do dysku i całego systemuplików. Umożliwia to usunięcie infekcji, których nie można usunąć w normalnych warunkach, na przykład podczasdziałania systemu operacyjnego.
5.5.9 Harmonogram
Harmonogram umożliwia zarządzanie zaplanowanymi zadaniami i uruchamianie ich zgodnie ze zdefiniowanymiparametrami. Lista wszystkich zaplanowanych zadań jest wyświetlana w formie tabeli obejmującej ich parametry,takie jak typ i nazwa zadania, godzina uruchomienia i czas ostatniego uruchomienia.
Dostępny jest zestaw wstępnie zdefiniowanych zadań domyślnych:
· Administrowanie dziennikami
· Regularna aktualizacja automatyczna (tego zadania należy używać do definiowania częstotliwości aktualizacji)
· Aktualizacja automatyczna po nawiązaniu połączenia modemowego
· Aktualizacja automatyczna po zalogowaniu użytkownika
· Automatyczne sprawdzanie plików przy uruchamianiu (po zalogowaniu się użytkownika)
· Automatyczne sprawdzanie plików przy uruchamianiu (po pomyślnej aktualizacji modułów)
· Automatyczne pierwsze skanowanie
UWAGAAby aktywować lub dezaktywować zadania, należy użyć odpowiednich pól wyboru.
77
Aby wykonać poniższe czynności, należy kliknąć zadanie prawym przyciskiem myszy:
Pokaż szczegółyzadania
Wyświetlanie szczegółowych informacje dotyczących zaplanowanego zadania po jegodwukrotnym kliknięciu lub kliknięciu prawym przyciskiem myszy.
Uruchom teraz Uruchamianie wybranego zadania harmonogramu i natychmiastowe jego wykonanie.
Dodaj Uruchamianie kreatora ułatwiającego utworzenie nowego zadania harmonogramu.
Edytuj Edytowanie konfiguracji istniejącego zaplanowanego zadania (zarówno domyślnego, jak izdefiniowanego przez użytkownika).
Usuń Usuwanie istniejącego zadania.
Domyślne Przywracanie ustawień domyślnych listy zaplanowanych zadań. Kliknięcie opcji Przywróćpowoduje przywrócenie ustawień domyślnych. Tej czynności nie można cofnąć.
5.5.9.1 Harmonogram — dodawanie zadania
Aby utworzyć nowe zadanie zaplanowane:
1. Kliknij pozycję Dodaj zadanie.
2. Wprowadź nazwę w polu Nazwa zadania i skonfiguruj niestandardowe zadanie zaplanowane.
3. Typ zadania — wybierz odpowiedni Typ zadania z menu rozwijanego.
UWAGAAby dezaktywować zadanie, kliknij suwak obok pozycji Włączone. Aby aktywować zadanie później, zaznaczpole wyboru w widoku Harmonogram.
78
4. Częstotliwość wykonywania zadania — wybierz jedną z opcji, aby zdefiniować czas uruchamiania zadania. Wzależności od wyboru zostanie wyświetlony monit o wybranie określonej godziny, dnia, interwału lubzdarzenia.
5. Pominięte zadanie — jeśli zadanie nie mogło zostać wykonane o ustalonej porze, można określić, kiedy ma tonastąpić.
6. Uruchamianie aplikacji — jeśli w zadaniu zaplanowano uruchomienie zewnętrznej aplikacji, należy wybraćplik wykonywalny z drzewa katalogów.
7. Jeśli jest wymagane wprowadzenie zmian, kliknij przycisk Wstecz, aby powrócić do wcześniejszych kroków izmodyfikować parametry.
79
8. Kliknij przycisk Zakończ, aby utworzyć zadanie lub zastosować zmiany.
Nowe zaplanowane zadanie pojawi się w widoku Harmonogram.
5.5.9.1.1 Typ zadania
Kreator konfiguracji różni się w zależności od typu planowanego zadania. Wprowadź nazwę zadania i z menurozwijanego wybierz żądany typ zadania:
· Uruchom aplikację zewnętrzną— umożliwia zaplanowanie uruchomienia aplikacji zewnętrznej.
· Administracja dziennikami— pliki dziennika zawierają także pozostałości usuniętych rekordów. To zadanieregularnie przeprowadza optymalizację rekordów w plikach dzienników w celu usprawnienia działania.
· Sprawdzanie plików przy uruchamianiu systemu—umożliwia sprawdzenie plików, które mogą byćwykonywane podczas uruchamiania systemu lub logowania.
· Tworzenie migawki stanu komputera—tworzy migawkę stanu komputera ESET SysInspector— szczegółowaanaliza komponentów systemu (na przykład sterowników i aplikacji) oraz ocena poziomu ryzyka dotyczącegokażdego komponentu.
· Skanowanie komputera na żądanie—umożliwia skanowanie plików i folderów na komputerze.
· Aktualizacja — umożliwia zaplanowanie zadania polegającego na aktualizowaniu silnika detekcji i modułówprogramu.
· Skanowanie środowiska Hyper-V — umożliwia zaplanowanie skanowania dysków wirtualnych w środowiskuHyper-V.
Jeśli po utworzeniu zadania zechcesz je dezaktywować, kliknij przełącznik obok pozycji Włączone. Zadanie możnapóźniej aktywować, zaznaczając pole wyboru w widoku Harmonogram. Kliknij przycisk Dalej, aby przejść donastępnego kroku.
5.5.9.1.2 Częstotliwość wykonywania zadania
Należy wybrać jedną z następujących opcji określających częstotliwość:
· Raz — zadanie zostanie wykonane w wyznaczonym dniu o ustalonej godzinie. Opcja umożliwia jednorazowewykonanie zadania w określonym momencie. Datę i godzinę jednorazowego uruchomienia należy określić wobszarze Wykonanie zadania.
· Wielokrotnie — zadanie będzie wykonywane z określonym interwałem (podanym w minutach). Godzinęcodziennego uruchomienia należy określić w obszarze Wykonanie zadania.
· Codziennie — zadanie będzie uruchamiane codziennie o określonej godzinie.
· Co tydzień — zadanie będzie wykonywane raz lub kilka razy w tygodniu, w wybrane dni o ustalonej godzinie.Opcja umożliwia wykonywanie zadania tylko w określone dni tygodnia o danej godzinie. Godzinę rozpoczęcianależy określić w obszarze Termin wykonania zadania, wybierając również dni tygodnia.
· Po wystąpieniu zdarzenia - zadanie będzie wykonywane po wystąpieniu określonego zdarzenia.
W przypadku włączenia opcji Pomiń zadanie, gdy komputer jest zasilany z baterii zadanie nie zostanie uruchomione,gdy w momencie jego planowego uruchomienia komputer będzie działać na zasilaniu akumulatorowym. Dotyczy tona przykład komputerów pracujących na zasilaniu awaryjnym.
80
5.5.9.1.3 Po wystąpieniu zdarzenia
Tworząc harmonogram zadań wykonywanych po wystąpieniu określonego zdarzenia, można określić minimalnyodstęp czasu między dwoma kolejnymi wykonaniami danego zadania.
Zadanie może zostać uruchomione po wystąpieniu dowolnego z następujących zdarzeń:
· Każde uruchomienie komputera
· Pierwsze uruchomienie komputera każdego dnia
· Nawiązanie połączenia modemowego z Internetem/wirtualną siecią prywatną
· Pomyślna aktualizacja modułu
· Pomyślna aktualizacja produktu
· Zalogowanie użytkownika — zadanie zostanie uruchomione w momencie zalogowania się użytkownika dosystemu. Jeśli użytkownik loguje się na komputerze kilka razy dziennie, może wybrać odstęp 24-godzinny, abydane zadanie było wykonywane tylko po pierwszym zalogowaniu danego dnia, a potem dopiero w następnymdniu.
· Wykrycie zagrożenia
5.5.9.1.4 Uruchamianie aplikacji
Przy użyciu tego zadania można zaplanować uruchomienie aplikacji zewnętrznej.
· Plik wykonywalny — wybierz plik wykonywalny z drzewa katalogów, kliknij przycisk przeglądania (...) albowpisz ścieżkę ręcznie.
· Folder roboczy— podaj folder roboczy aplikacji. Wszystkie pliki tymczasowe tworzone przez aplikacjęwskazaną w polu Plik wykonywalny będą zapisywane w tym katalogu.
· Parametry— podaj parametry wiersza polecenia dla aplikacji (opcjonalnie).
5.5.9.1.5 Pominięte zadanie
Jeśli zadanie nie mogło zostać wykonane o ustalonej porze, można określić, kiedy ma to nastąpić:
· W następnym zaplanowanym terminie — zadanie zostanie wykonane o zaplanowanej godzinie (na przykładpo upływie 24 godzin).
· Jak najwcześniej — zadanie zostanie uruchomione jak najwcześniej po ustąpieniu przyczynuniemożliwiających jego wykonanie.
· Natychmiast, gdy czas od ostatniego uruchomienia przekroczy określoną wartość — Czas od ostatniegouruchomienia (godz.) — po wybraniu tej opcji uruchomienie zadania będzie zawsze powtarzane po upływiepodanego czasu (w godzinach).
81
5.5.10 Przesyłanie próbek do analizy
Okno dialogowe przesyłania próbek umożliwia wysłanie do firmy ESET pliku lub witryny internetowej do analizy. Wprzypadku znalezienia na komputerze podejrzanego pliku lub podejrzanej strony w Internecie, można je wysłać dolaboratorium firmy ESET, gdzie zostaną poddane analizie. Jeśli okaże się, że jest to szkodliwa aplikacja lub stronainternetowa, możliwość jej wykrycia zostanie dodana do jednej z przyszłych aktualizacji.
Aby przesłać pliki pocztą e-mail, należy skompresować je przy użyciu programu takiego jak WinRAR lub WinZip,zabezpieczyć archiwum hasłem „inf ected” (zainfekowane) i przesłać pod adres [email protected]. Należy użyćopisowego tematu wiadomości oraz przekazać jak najwięcej informacji na temat podejrzanego pliku (może to byćnp. adres witryny internetowej, z której został on pobrany).
Przedprzesłaniem próbki do firmy ESET należy się upewnić, że spełnia ona co najmniej jedno z następującychkryteriów:
· plik lub strona internetowa nie są w ogóle wykrywane,
· plik lub strona internetowa są błędnie wykrywane jako zagrożenie.
Jeśli nie zostanie spełnione co najmniej jedno z powyższych wymagań, nie otrzymasz odpowiedzi do momentudostarczenia dalszych informacji.
Z menu rozwijanego Powód przesyłania próbki wybierz opis, który najlepiej charakteryzuje przekazywanąwiadomość:
· Podejrzany plik
· Podejrzana witryna (witryna internetowa zainfekowana przez złośliwe oprogramowanie)
· Plik z fałszywym alarmem (plik błędnie wykrywany jako zainfekowany)
· Witryna internetowa z fałszywym alarmem
· Inne
Plik/witrynaŚcieżka do pliku lub witryny internetowej, którą zamierzasz przesłać.
Kontaktowy adres e-mailAdres ten jest wysyłany do firmy ESET razem z podejrzanymi plikami. Może on zostać wykorzystany w celunawiązania kontaktu, jeśli analiza wymaga dodatkowych informacji na temat przesłanych plików.Wprowadzenie adresu kontaktowego jest opcjonalne. Jeśli nie jest konieczne uzyskanie większej ilościinformacji, firma ESET nie odpowiada na zgłoszenia — nasze serwery codziennie odbierają dziesiątki tysięcyplików, dlatego nie sposób odpowiedzieć każdemu nadawcy.
Prześlij anonimowoZaznaczenie pola wyboru Prześlij anonimowo umożliwia przesłanie podejrzanego pliku lub witryny bezwprowadzania adresu e-mail.
5.5.10.1 Podejrzany plik
Obserwowane oznaki i objawy zarażenia szkodliwym oprogramowaniemNależy wprowadzić opis zachowania podejrzanego pliku na komputerze.
Pochodzenie pliku (adres URL lub dostawca)Należy podać pochodzenie (źródło) pliku i okoliczności jego napotkania.
Uwagi oraz informacje dodatkoweMożna tu wprowadzić dodatkowe informacje lub opisy, które pomogą w procesie identyfikacji podejrzanegopliku.
82
UWAGAWymagany jest tylko pierwszy parametr (Obserwowane oznaki i objawy zarażenia szkodliwymoprogramowaniem), ale podanie informacji dodatkowych znacznie ułatwi proces identyfikacji i przetwarzaniapróbek w naszych laboratoriach.
5.5.10.2 Podejrzana witryna
Należy wybrać jedną z pozycji rozwijanego menu Co jest nie tak z tą witryną:
ZainfekowanychWitryna internetowa, która zawiera wirusy lub inne złośliwe oprogramowanie rozprowadzane zapośrednictwem różnych metod.
Ataki typu „phishing”Często działania takie są podejmowane z myślą o uzyskaniu dostępu do prywatnych danych, np. numerów kontbankowych, kodów PIN itp. Więcej informacji na temat ataków tego typu można znaleźć w słowniczku.
FałszywaFałszywa lub nieuczciwa witryna internetowa.
InneNależy użyć tej opcji, jeśli żadna z powyższych nie odpowiada przesyłanej witrynie.
Uwagi oraz informacje dodatkoweMożna tu wprowadzić dodatkowe informacje lub opisy, które mogą pomóc w procesie analizowania podejrzanejwitryny internetowej.
5.5.10.3 Plik z fałszywym alarmem
Zachęcamy użytkowników do przysyłania plików, które zostały wykryte jako infekcja, ale nie są zainfekowane.Posłużą one do udoskonalenia naszych aparatów antywirusowych i antyspyware oraz pomogą w ochronie innychużytkowników. Fałszywe alarmy (FA) mogą wystąpić, gdy wzorzec pliku odpowiada identycznemu wzorcowi wsilniku detekcji.
UWAGAPierwsze trzy parametry są wymagane do identyfikacji legalnego oprogramowania i odróżnienia go odszkodliwego kodu. Podanie dodatkowych informacji wydatnie pomoże naszym laboratoriom w identyfikacji iprzetwarzaniu przesłanych próbek.
Nazwa i wersja aplikacjiNazwa programu i jego wersja (np. numer, alias lub nazwa kodowa).
Pochodzenie pliku (adres URL lub dostawca)Należy podać pochodzenie (źródło) pliku i okoliczności jego napotkania.
Przeznaczenie aplikacjiOgólny opis aplikacji, jej typ (np. przeglądarka internetowa, odtwarzacz multimedialny) i zakres funkcji.
Uwagi oraz informacje dodatkoweMożna tu wprowadzić dodatkowe informacje lub opisy, które pomogą w przetwarzaniu podejrzanego pliku.
83
5.5.10.4 Witryna internetowa z fałszywym alarmem
Zachęcamy użytkowników do przysyłania adresów witryn internetowych, które zostały wykryte jako infekcja,oszustwo lub ataki typu „phishing”, ale nimi nie są. Fałszywe alarmy (FA) mogą wystąpić, gdy wzorzec plikuodpowiada identycznemu wzorcowi w silniku detekcji. Prosimy o dostarczanie takich witryn internetowych,ponieważ pozwala to na doskonalenie działania naszego aparatu antywirusowego i ochrony przed atakami typu„phishing” oraz pomaga zapewnić ochronę innym użytkownikom.
Uwagi oraz informacje dodatkoweMożna tu wprowadzić dodatkowe informacje lub opisy, które pomogą w przetwarzaniu podejrzanego pliku.
5.5.10.5 Inne
Z tego formularza należy skorzystać, jeśli danego pliku nie można zaliczyć ani do kategorii Podejrzany plik, ani dokategorii Fałszywy alarm.
Powód przesyłania plikuNależy podać szczegółowy opis pliku i powód jego przesłania.
5.5.11 Kwarantanna
Główną funkcją kwarantanny jest bezpieczne przechowywanie zainfekowanych plików. Pliki należy poddawaćkwarantannie w przypadku, gdy nie można ich wyleczyć, gdy ich usunięcie nie jest bezpieczne lub zalecane oraz gdysą one nieprawidłowo wykrywane przez program ESET File Security. Kwarantanną można objąć dowolny plik. Takiedziałanie jest zalecane, jeśli plik zachowuje się w podejrzany sposób, ale nie jest wykrywany przez skanerantywirusowy. Pliki poddane kwarantannie można przesłać do analizy w laboratorium firmy ESET.
Pliki przechowywane w folderze kwarantanny mogą być wyświetlane w tabeli zawierającej datę i godzinę poddaniakwarantannie, ścieżkę do pierwotnej lokalizacji zainfekowanego pliku, rozmiar pliku w bajtach, powód (np. obiektdodany przez użytkownika) oraz liczbę zagrożeń (np. jeśli plik jest archiwum zawierającym wiele infekcji).
W przypadku poddania kwarantannie plików obiektów z wiadomości e-mail jest wyświetlana ścieżka do skrzynkipocztowej, folderu lub nazwy pliku.
Poddawanie plików kwarantannieProgram ESET File Security automatycznie poddaje kwarantannie usunięte pliki (jeśli nie wyłączono tej opcji woknie alertu). Można ręcznie poddać kwarantannie dowolny podejrzany plik, klikając przycisk Kwarantanna. Plikipoddane kwarantannie zostaną usunięte z ich pierwotnej lokalizacji. Tę samą czynność można również wykonaćz poziomu menu kontekstowego — należy kliknąć prawym przyciskiem myszy w oknie Kwarantanna i wybraćpolecenie Kwarantanna.
Przywracanie plików z kwarantannyPliki poddane kwarantannie można przywrócić do ich pierwotnej lokalizacji. Służy do tego funkcja Przywróć,która jest dostępna w oknie Kwarantanna w menu kontekstowym po kliknięciu danego pliku prawymprzyciskiem myszy. Jeśli plik został oznaczony jako potencjalnie niepożądana aplikacja, dostępna będzie równieżopcja Przywróć i wyłącz ze skanowania. Menu kontekstowe zawiera także opcję Przywróć do..., umożliwiającąprzywrócenie pliku do lokalizacji innej niż ta, z której został usunięty.
UWAGAJeżeli program przez pomyłkę podda kwarantannie nieszkodliwy plik, po jego przywróceniu należy wyłączyćten plik ze skanowania i wysłać go do działu obsługi klienta firmy ESET.
Przesyłanie pliku z kwarantannyJeśli poddano kwarantannie podejrzany plik, który nie został wykryty przez program, lub jeśli plik został błędnieoceniony jako zarażony (np. w wyniku analizy heurystycznej kodu) i następnie poddany kwarantannie, należy go
84
przesłać do laboratorium firmy ESET. Aby przesłać plik z kwarantanny, należy kliknąć go prawym przyciskiemmyszy i z menu kontekstowego wybrać polecenie Prześlij do analizy.
Usuwanie z kwarantannyNależy kliknąć dany element prawym przyciskiem myszy i wybrać opcję Usuń z kwarantanny lub zaznaczyćelement, który ma zostać usunięty, i nacisnąć klawisz Delete na klawiaturze.
5.6 Konfiguracja skanowania w usłudze OneDrive
Ta funkcja umożliwia skanowanie plików przechowywanych w chmurze usługi Microsoft OneDrive for Business .Skanowanie w usłudze ESET File Security OneDrive obejmuje tylko pliki i foldery, nie skanuje innych typów danychtakich jak wiadomości e-mail, pliki SharePoint, kontakty czy kalendarze.
Aby zacząć używać skanowania w usłudze ESET File Security OneDrive, należy zarejestrować aplikację skanera ESETOneDrive w usłudze Microsoft OneDrive/Microsoft Office 365/Microsoft Azure. Strona konfiguracji skanowania wusłudze OneDrive wyświetli stan rejestracji. Jeśli aplikacja jest już zarejestrowana, będą widoczne dane rejestracji(identyfikator dzierżawcy, identyfikator aplikacji, identyfikator obiektu i odcisk palca certyfikatu). Możnazarejestrować lub wyrejestrować skaner ESET OneDrive:
Po udanej rejestracji skanowanie w usłudze OneDrive będzie dostępne z poziomu menu Skanowaniewyświetlającego listę użytkowników z ich strukturą folderów oraz plikami, które można wybrać do skanowania.Skanowanie w usłudze ESET File Security OneDrive pozwala skanować dowolne pliki przechowywane przezużytkowników w usłudze OneDrive for Business.
UWAGA
85
Skanowanie w usłudze ESET File Security OneDrive pozwala skanować pliki z chmury w usłudze OneDrive forBusiness i odbywa się lokalnie. Po zakończeniu skanowania pobrane pliki są usuwane. Pobieranie dużych ilościdanych z usługi OneDrive wpłynie na ruch sieciowy.
UWAGAAby zarejestrować skaner ESET File Security OneDrive na nowym koncie usługi Microsoft OneDrive forBusiness/Office 365, należy wyrejestrować skaner ESET OneDrive zarejestrowany na poprzednim koncie izarejestrować go na nowym koncie administratora usługi Microsoft OneDrive for Business/Office 365.
Skaner ESET OneDrive zarejestrowany jako aplikacja w usłudze Office 365 i Azure można znaleźć w następującysposób:
Portal Office 365 — należy kliknąć opcję Uprawnienia aplikacji lub stronę Moje konto, aby zobaczyćzarejestrowaną aplikację skanera ESET OneDrive.
Azure — należy wybrać kolejno opcje Azure Active Directory > Rejestrowane aplikacje i kliknąć opcję Pokażwszystkie aplikacje. Na liście będzie widoczna aplikacja skanera ESET OneDrive, której kliknięcie spowodujewyświetlenie szczegółów.
86
87
5.6.1 Rejestracja skanera ESET OneDrive
Poniżej przedstawiono proces rejestracji aplikacji skanera ESET OneDrive w usłudze Microsoft OneDrive/Office 365/Azure:
· Kliknij opcję Rejestracja, aby rozpocząć rejestrację skanera ESET OneDrive. Zostanie wyświetlony kreatorrejestracji.
· Wprowadź poświadczenia konta administratora Microsoft OneDrive/Office 365. Poczekaj, aż rejestracjaaplikacji w usłudze Microsoft OneDrive dobiegnie końca.
88
· Zostanie otwarta przeglądarka internetowa ze stroną wyboru konta firmy Microsoft. Kliknij używane konto,jeżeli jest dostępne, lub wprowadź poświadczenia konta administratora Microsoft OneDrive/Office 365 ikliknij przycisk Zaloguj się.
· Aplikacja skanera ESET OneDrive wymaga czterech typów uprawnień podanych w komunikacie dotyczącymakceptacji. Kliknij przycisk Akceptuję, aby zezwolić skanerowi OneDrive ESET File Security na dostęp do Twojejchmury usługi OneDrive.
89
· Kliknij opcję Dalej, jeśli przeglądarka internetowa wymaga wysłania tych informacji (zostaną wysłane tylko dohosta lokalnego, aby powiadomić program ESET File Security, że rejestracja aplikacja została zakończonapomyślnie).
· Po zamknięciu przeglądarki internetowej kreator rejestracji skanera ESET OneDrive wyświetli komunikat„Rejestracja zakończyła się pomyślnie”. Kliknij przycisk Gotowe.
90
UWAGAProces rejestracji skanera ESET OneDrive może różnić się w określonych okolicznościach, zależnie od tego, czyużytkownik jest zalogowany do dowolnego z portali firmy Microsoft (OneDrive, Office 365, Azure itp.) zapomocą poświadczeń konta administratora. Należy postępować zgodnie z instrukcjami na ekranie ikomunikatami w oknie kreatora rejestracji.
Jeśli podczas rejestracji skanera ESET OneDrive pojawi się jeden z następujących komunikatów o błędzie, należyzobaczyć szczegóły komunikatu o błędzie i sprawdzić sugerowane rozwiązanie:
Komunikat o błędzie Szczegóły komunikatu o błędzie
Wystąpił nieoczekiwany błąd. Mógł wystąpić problem w programie ESET File Security. Spróbuj przeprowadzićrejestrację skanera ESET OneDrive ponownie. Jeśli problem nie ustąpi, skontaktujsię z działem pomocy technicznej firmy ESET.
Nie można nawiązaćpołączenia z usługą MicrosoftOneDrive.
Sprawdź połączenie z siecią/Internetem i ponownie przeprowadź rejestracjęskanera ESET OneDrive.
Z usługi Microsoft OneDriveodebrano nieoczekiwany błąd.
Zwrócono błąd HTTP 4xx bez rozwiązania w komunikacie odpowiedzi. Jeśli problemnie ustąpi, skontaktuj się z działem pomocy technicznej firmy ESET.
Z usługi Microsoft OneDriveodebrano następujący błąd.
Serwer Microsoft OneDrive zwrócił błąd o określonym kodzie lub określonejnazwie. Kliknij przycisk Pokaż błąd.
Upłynął limit czasu zadaniakonfiguracji.
Zadanie konfiguracji rejestracji skanera ESET OneDrive trwa zbyt długo. Spróbujprzeprowadzić rejestrację skanera ESET OneDrive ponownie później.
91
Komunikat o błędzie Szczegóły komunikatu o błędzie
Zadanie konfiguracji zostałoanulowane.
Anulowano trwające zadanie rejestracji. Aby zakończyć rejestrację skanera ESETOneDrive, należy przeprowadzić ją ponownie.
Trwa już inne zadaniekonfiguracji.
Trwa już zadanie rejestracji. Poczekaj na zakończenie pierwszego procesurejestracji.
5.6.2 Wyrejestrowanie skanera ESET OneDrive
Wyrejestrowanie pozwala usunąć certyfikat i aplikację skanera ESET OneDrive z usługi Microsoft OneDrive/Office365/Azure. Powoduje ono również usunięcie lokalnych zależności i ponowne uaktywnienie opcji Rejestracja.
· Kliknij opcję Wyrejestruj, aby rozpocząć wyrejestrowanie/usunięcie skanera ESET OneDrive. Zostaniewyświetlony kreator wyrejestrowania.
· Kliknij opcję Wyrejestruj, aby zatwierdzić usunięcie skanera ESET OneDrive.
92
· Należy poczekać na zakończenie procesu wyrejestrowania z usługi Microsoft OneDrive.
93
· Jeśli proces wyrejestrowania zakończy się pomyślnie, kreator wyrejestrowania wyświetli odpowiednikomunikat.
UWAGAWyświetlenie komunikatu o błędzie, np. „Wyrejestrowanie zakończone niepowodzeniem”, może mieć różneprzyczyny, takie jak ogólne problemy z siecią lub połączeniem internetowym z serwerami Microsoft OneDrivelub brak zarejestrowania aplikacji skanera ESET OneDrive w usłudze Microsoft OneDrive. W poniższej tabeliprzedstawiono listę komunikatów o błędzie i sugerowanych rozwiązań.
Niektóre okna dialogowe błędu dają użytkownikowi opcję usunięcia lokalnych zależności (błędy z połączeniem,nieistniejąca aplikacja w usłudze Microsoft OneDrive itp.). Aby usunąć skaner ESET OneDrive lokalnie, należywykonać następujące czynności:
· Jeśli przycisk Ponów nie działa, a problemy nie ustępują, należy kliknąć opcję Usuń lokalnie, abyprzeprowadzić proces wyrejestrowania, który usunie lokalne zależności skanera ESET OneDrive.
94
· Należy kliknąć przycisk Tak, aby usunąć lokalnie skaner ESET OneDrive. Skanowanie w usłudze ESET OneDrivenie będzie już dostępne i będzie wymagało ponownej rejestracji.
95
WAŻNEUsunięcie lokalnej zależności nie zmieni rejestracji aplikacji w portalu Azure użytkownika ani uprawnieńaplikacji w portalu Office 365. Jeśli usunięto skaner ESET OneDrive lokalnie z powodu problemów z siecią lubpołączeniem z serwerami Microsoft OneDrive, należy ręcznie usunąć aplikację skanera ESET OneDrive z listyzarejestrowanych aplikacji w usłudze Azure. Instrukcje dotyczące tego, jak znaleźć i ręcznie usunąć skaner ESETOneDrive w portalu Azure, można znaleźć w sekcji Konfiguracja skanowania w usłudze OneDrive.
Jeśli podczas wyrejestrowania skanera ESET OneDrive pojawi się jeden z następujących komunikatów o błędzie,należy zobaczyć szczegóły komunikatu o błędzie i sprawdzić sugerowane rozwiązanie:
Komunikat o błędzie Szczegóły komunikatu o błędzie
Nie można nawiązaćpołączenia z aplikacją Azure.Brak połączeniainternetowego.
Sprawdź połączenie z siecią/Internetem i przeprowadź proces wyrejestrowaniaponownie. Jeśli chcesz dokonać wyrejestrowania bez usuwania aplikacji skaneraESET OneDrive z usługi Microsoft OneDrive, kliknij opcję Usuń lokalnie.
Uzyskanie tokenu dostępu niepowiodło się. Z usługiMicrosoft OneDrive odebranonieoczekiwany błąd.
Wygląda na to, że aplikacja skanera ESET OneDrive nie jest już zarejestrowana wusłudze Microsoft OneDrive. Aplikacja skanera ESET OneDrive mogła zostaćusunięta ręcznie w portalu Azure. Należy sprawdzić obecność aplikacji skanera ESETOneDrive w usłudze Microsoft OneDrive lub portalu Azure. Jeśli aplikacja nieznajduje się na liście, można kontynuować proces wyrejestrowania poprzezkliknięcie opcji Usuń lokalnie.
Uzyskanie tokenu dostępu niepowiodło się. Z usługiMicrosoft OneDrive odebranobłąd serwera.
Usługa Microsoft OneDrive zwróciła błąd HTTP 5xx. Nie można obecnie ukończyćzadania wyrejestrowania. Spróbuj uruchomić je ponownie później.
96
Komunikat o błędzie Szczegóły komunikatu o błędzie
Z usługi Microsoft OneDriveodebrano następujący błąd.
Serwer Microsoft OneDrive zwrócił błąd o określonym kodzie lub określonejnazwie. Kliknij przycisk Pokaż błąd.
Trwa już inne zadaniekonfiguracji.
Trwa już zadanie rejestracji. Poczekaj na zakończenie pierwszego procesurejestracji.
97
6. Ustawienia ogólneMożesz skonfigurować ustawienia i opcje ogólne zależnie od potrzeb. Menu dostępne z lewej strony zawieranastępujące kategorie:
Silnik detekcjiUmożliwia włączanie i wyłączanie wykrywania potencjalnie niepożądanych, niebezpiecznych i podejrzanychaplikacji oraz ochrony Anti-Stealth; określanie wyłączeń procesów oraz plików i folderów; konfigurowanieochrony systemu plików w czasie rzeczywistym, parametrów ThreatSense, ochrony opartej na chmurze (ESETLiveGrid®), skanowania w poszukiwaniu szkodliwego oprogramowania (skanowanie komputera na żądanie orazinne opcje skanowania), skanowania środowiska Hyper-V i systemu HIPS.
AktualizacjaUmożliwia konfigurowanie opcji aktualizacji, takich jak profile, wiek silnika detekcji, migawki wycofywaniamodułów, typ aktualizacji, niestandardowy serwer aktualizacji, połączenie / serwer proxy, kopia dystrybucyjnaaktualizacji, dostęp do plików aktualizacji, serwer HTTP, szczegóły konta użytkownika na potrzeby połączeniasieciowego itd.
Strony internetowe i poczta e-mailUmożliwia konfigurowanie filtrowania protokołów i wyłączeń (wyłączonych aplikacji i adresów IP), opcjifiltrowania protokołów SSL/TLS, ochrony programów poczty e-mail (integracji, protokołów poczty e-mail,alertów i powiadomień), ochrony dostępu do stron internetowych (protokołów internetowych HTTP/HTTPS izarządzania adresami URL) oraz ochrony programu poczty e-mail przed atakami typu „phishing”.
Kontrola dostępu do urządzeńUmożliwia włączenie integracji oraz konfigurowanie reguł i grup kontroli dostępu do urządzeń.
Konfiguracja narzędziUmożliwia dostosowywanie narzędzi, na przykład ESET CMD, ESET RMM, dostawcy WMI, obiektów docelowychskanowania ESET Security Management Center, powiadomień funkcji Windows Update, plików dziennika,serwera proxy, powiadomień e-mail, diagnostyki, klastra itd.
Interfejs użytkownikaUmożliwia konfigurowanie działania graficznego interfejsu użytkownika, stanów, informacji o licencji, alertów ipowiadomień, ochrony hasłem, polityki wykonywania powłoki eShell itp.
6.1 Silnik detekcji
Funkcja ochrony antywirusowej i antyspyware zabezpiecza system przed szkodliwymi atakami, skanując pliki, pocztęe-mail i komunikację internetową. W przypadku wykrycia zagrożenia moduł antywirusowy może je wyeliminowaćprzez zablokowanie, a następnie wyleczenie, usunięcie lub przeniesienie do kwarantanny.
Opcje skanera
Przeznaczone dla wszystkich modułów ochrony (np. ochrona systemu plików w czasie rzeczywistym, ochronadostępu do stron internetowych) pozwalają włączyć lub wyłączyć wykrywanie następujących zagrożeń:
Potencjalnie niepożądane aplikacjePotencjalnie niepożądana aplikacja to oprogramowanie, które samo nie jest szkodliwe, ale może zainstalowaćdodatkowe niepożądane oprogramowanie, zmienić działanie urządzenia cyfrowego, wykonać działania, którenie zostały zatwierdzone ani nie są oczekiwane przez użytkownika, lub ma inne niejasne przeznaczenie.Ta kategoria obejmuje oprogramowanie wyświetlające reklamy, otoki pobierania, różne paski narzędziprzeglądarek, oprogramowanie o działaniu wprowadzającym w błąd, pakiety oprogramowania,oprogramowanie do śledzenia itp.Więcej informacji na temat aplikacji tego typu można znaleźć w słowniczku.
Potencjalnie niebezpieczne aplikacje
98
Ta klasyfikacja obejmuje legalne oprogramowanie komercyjne, które może zostać wykorzystane do szkodliwychcelów. Niebezpieczna aplikacja to legalne oprogramowanie komercyjne, które potencjalnie może zostaćwykorzystane do szkodliwych celów.Ta kategoria obejmuje narzędzia do crackowania, generatory kluczy licencji, narzędzia do hackowania, narzędziado zdalnego dostępu lub sterowania, aplikacje do łamania haseł, programy rejestrujące znaki wprowadzane naklawiaturze itp. Domyślnie opcja ta jest wyłączona.Więcej informacji na temat aplikacji tego typu można znaleźć w słowniczku.
Potencjalnie podejrzane aplikacjeJest to oprogramowanie skompresowane za pomocą programów pakujących lub zabezpieczających, któreużywają własnościowych metod kompresji i/lub szyfrowania. Programy te są często używane do zniechęcaniaprzed odtwarzaniem kodu źródłowego lub zaciemniania zawartości pliku wykonywalnego (na przykład w celuukrycia szkodliwego oprogramowania).Ta kategoria obejmuje wszystkie nieznane aplikacje skompresowane za pomocą programów pakujących lubzabezpieczających często używanych do kompresowania szkodliwego oprogramowania.
Włącz skanowanie wstępneUmożliwia pełne skanowanie systemu po zainstalowaniu produktu i aktualizacji w celu wykrywania istniejącegoszkodliwego oprogramowania oraz usprawnienia skanowania systemu w przyszłości. Skanowanie możnawstrzymać lub anulować w oknie głównym Skanuj lub w oknie innego skanowania.
Ochrona Anti-StealthJest to zaawansowany system wykrywania niebezpiecznych programów, np. programów typu rootkit, którepotrafią ukrywać się przed systemem operacyjnym. Wykrycie ich standardowymi sposobami jest niemożliwe.
Wyłączenia procesówUmożliwia wykluczanie określonych procesów. Mogą to na przykład być procesy związane z rozwiązaniem dotworzenia kopii zapasowych. Wszystkie operacje na plikach związane z takim wyłączonym procesem sąignorowane i uznawane za bezpieczne, co pozwala ograniczyć do minimum zakłócenia w procesie tworzeniakopii zapasowej.
WyłączeniaPozwala wykluczyć ze skanowania wybrane pliki i foldery. Aby zapewnić skanowanie wszystkich obiektów podkątem zagrożeń, zaleca się tworzenie wyłączeń tylko wtedy, gdy jest to absolutnie konieczne. Do sytuacji, wktórych może być konieczne wykluczenie obiektu, może zaliczać się skanowanie wpisów dużych baz danych,które spowolniłyby pracę komputera podczas skanowania lub korzystanie z oprogramowania, które powodujekonflikt ze skanowaniem.
6.1.1 Wyłączenia procesów
Funkcja wyłączania procesów umożliwia wyłączanie procesów aplikacji tylko ze skanowania antywirusowego przydostępie. Tego rodzaju wyłączenia pozwalają zminimalizować ryzyko wystąpienia konfliktów i zwiększają wydajnośćwyłączonych aplikacji, co z kolei wpływa pozytywnie na ogólną wydajność systemu operacyjnego. Wyłączenieprocesu/aplikacji polega na wyłączeniu ze skanowania pliku wykonywalnego (.exe).
Pliki wykonywalne można dodawać do listy wyłączonych procesów w obszarze Ustawienia zaawansowane (F5) >Silnik detekcji > Wyłączenia procesów. Można również korzystać z listy uruchomionych procesów w menu głównymNarzędzia > Uruchomione procesy.
Funkcję opracowano pod kątem wyłączania narzędzi do obsługi kopii zapasowych. Wyłączenie procesu takiegonarzędzia nie tylko zapewnia stabilność systemu, lecz również nie wpływa na wydajność tworzenia kopii zapasowej,ponieważ proces ten nie jest spowalniany.
PRZYKŁAD
Kliknij opcję Edytuj, aby otworzyć okno zarządzania Wyłączenia procesów, gdzie można dodawać elementy zapomocą przycisku Dodaj wyłączenia i lokalizować pliki wykonywalne (np. Backup-tool.exe), które zostaną
99
wyłączone ze skanowania.Po wyłączeniu procesu związany z nim plik .exe nie jest monitorowany przez program ESET File Security, aoperacje na plikach wykonywane przez ten proces nie są skanowane.
WAŻNEJeśli nie użyjesz funkcji przeglądania w celu wybrania pliku wykonywalnego procesu, będzie wymagane ręcznewprowadzenie pełnej ścieżki do niego. W przeciwnym wypadku wyłączenie nie zadziała prawidłowo, a system HIPS może zgłosić błędy.
Można również edytować istniejące procesy lub usuwać je z listy wyłączeń.
UWAGATego rodzaju wyłączenia nie dotyczą ochrony dostępu do stron internetowych, zatem w przypadku wyłączeniapliku wykonywalnego przeglądarki internetowej pobrane pliki nadal są skanowane, co umożliwia wykrywanieinfekcji. Jest to jedynie scenariusz przykładowy i nie zalecamy tworzenia wyłączeń w odniesieniu doprzeglądarek internetowych.
6.1.2 Wyłączenia
Wyłączenia pozwalają wykluczyć ze skanowania wybrane pliki i foldery. Aby zapewnić skanowanie wszystkichobiektów pod kątem zagrożeń, zaleca się tworzenie wyłączeń tylko wtedy, gdy jest to absolutnie konieczne. Dosytuacji, w których może być konieczne wykluczenie obiektu, może zaliczać się skanowanie wpisów dużych bazdanych, które spowolniłyby pracę komputera podczas skanowania lub korzystanie z oprogramowania powodującegokonflikt ze skanowaniem (np. oprogramowania do tworzenia kopii zapasowych).
OSTRZEŻENIENie należy mylić z wyłączonymi rozszerzeniami.
Aby wyłączyć obiekt ze skanowania, kliknij opcję Dodaj i wprowadź ścieżkę do obiektu lub wskaż obiekt w strukturzedrzewa. Można również edytować lub usuwać wybrane wpisy.
100
UWAGAZagrożenie w pliku nie zostanie wykryte przez moduł ochrony systemu plików w czasie rzeczywistym ani modułskanowania komputera, jeśli plik spełnia kryteria wykluczenia ze skanowania.
W oknie Wyłączenia jest wyświetlana Ścieżka do wyłączonych plików i folderów.
ZagrożenieGdy obok wyłączonego pliku wyświetlana jest nazwa zagrożenia, oznacza to, że plik będzie pomijany tylko przywyszukiwaniu tego zagrożenia, a nie całkowicie. Jeśli później plik zostanie zainfekowany innym szkodliwymoprogramowaniem, moduł antywirusowy go wykryje. Tego rodzaju wyłączenia można stosować tylko wprzypadku określonych typów infekcji. Można je skonfigurować w oknie alertu o zagrożeniu sygnalizującyminfekcję (należy kliknąć przycisk Pokaż opcje zaawansowane, a następnie wybrać opcję Wyłącz z wykrywania) lubklikając kolejno opcje Narzędzia > Kwarantanna, klikając prawym przyciskiem myszy plik poddany kwarantanniei wybierając z menu kontekstowego opcję Przywróć i wyłącz ze skanowania.
6.1.2.1 Dodawanie lub edytowanie wyłączeń ze skanowania
W tym oknie dialogowym można dodawać i edytować wyłączenia ze skanowania. Należy wybrać Typ wyłączenia zmenu rozwijanego:
Wyłącz ścieżkęWyłącza określoną ścieżkę w przypadku danego komputera.
Wyłącz zagrożenieWyłączenia mają zastosowanie do potencjalnie niechcianych aplikacji, potencjalnie niebezpiecznych aplikacji ipodejrzanych aplikacji.
Wyłącz skrót
101
Grupę plików można przedstawić przy użyciu symboli wieloznacznych. Znak zapytania (?) oznacza jeden dowolnyznak, a gwiazdka (*) oznacza dowolny ciąg złożony z dowolnej liczby znaków (w tym ciąg pusty).
PRZYKŁAD
Aby wyłączyć ze skanowania wszystkie pliki z danego folderu, należy wpisać ścieżkę do tego folderu izastosować maskę *.*
· Aby wyłączyć ze skanowania cały dysk ze wszystkimi plikami i podfolderami, należy zastosować maskę D:\*.
· Aby wyłączyć ze skanowania jedynie pliki DOC, należy użyć maski *.doc.
· Jeśli nazwa pliku wykonywalnego składa się z określonej liczby znaków (które różnią się od siebie) i znanajest tylko pierwsza litera (np. „D”), należy zastosować następujący format:D????.exe (znaki zapytania zastępują wszystkie brakujące/nieznane znaki)
PRZYKŁAD
Aby wyłączyć ze skanowania dane zagrożenie, należy wprowadzić prawidłową nazwę zagrożenia wnastępującym formacie:
@NAME=Win32/Adware.Optmedia@NAME=Win32/Troj anDownloader.Delf .QQI@NAME=Win32/Bagle.D
PRZYKŁAD
Za pomocą gwiazdki (*) można przedstawić nazwę folderu, na przykład C:\Users\*\Application Data\.
Oto kilka dodatkowych przykładów definiowania wyłączeń przy użyciu gwiazdki:
C:\Tools — ten zapis zostanie automatycznie przekonwertowany na zapis C:\Tools\*.*.C:\Tools\*.dat — ten zapis spowoduje wyłączenie plików dat w folderze Tools.C:\Tools\sg.dat — ten zapis spowoduje wyłączenie konkretnego pliku we wskazanej lokalizacji.
6.1.3 Wyłączenia automatyczne
Twórcy aplikacji i systemów operacyjnych przeznaczonych do serwerów zalecają w przypadku większości swoichproduktów wyłączanie zestawów krytycznych plików i folderów roboczych ze skanowania w poszukiwaniu wirusów.Skanowanie w poszukiwaniu wirusów może mieć niekorzystny wpływ na wydajność serwera, co może prowadzić dokonfliktów, a nawet przeszkadzać niektórym aplikacjom w uruchomieniu się na serwerze. Wyłączenia pomagająograniczyć do minimum ryzyko potencjalnych konfliktów i zwiększyć ogólną wydajność serwera, gdy jest na nimuruchomione oprogramowanie antywirusowe. Zobacz pełną listę plików wykluczonych ze skanowania wproduktach serwerowych firmy ESET.
Program ESET File Security wykrywa krytyczne aplikacje serwerowe i pliki serwerowych systemów operacyjnych, poczym automatycznie dodaje je do listy wyłączeń. Listę wykrytych aplikacji serwerowych, dla których utworzonezostały wyjątki, można znaleźć w obszarze Wyłączenia automatyczne do wygenerowania. Wszystkie wyłączeniaautomatyczne są domyślnie włączone. Poszczególne aplikacje serwerowe można włączyć lub wyłączyć, klikającprzełącznik, czego skutki będą następujące:
· Jeśli wyłączenie aplikacji/systemu operacyjnego pozostanie aktywne, każdy z krytycznych plików i folderówznajdzie się na liście plików wyłączonych ze skanowania (Ustawienia zaawansowane (F5) > Silnik detekcji >Podstawowe > Wyłączenia > Edytuj). Przy każdorazowym uruchamianiu serwera system przeprowadzaautomatyczne sprawdzenie wyłączeń i przywraca wszystkie wyłączenia, które mogły zostać usunięte z listy.
102
Jest to zalecane ustawienie w sytuacji, gdy użytkownik chce mieć pewność, że zalecane wyłączeniaautomatyczne są zawsze aktywne.
· Jeśli użytkownik zdezaktywuje wyłączenie aplikacji/systemu operacyjnego, jego krytyczne pliki i folderypozostaną na liście plików wyłączonych ze skanowania (Ustawienia zaawansowane (F5) > Silnik detekcji >Podstawowe > Wyłączenia > Edytuj). Nie będą one jednak automatycznie sprawdzanie i odnawiane wobszarze Lista wyłączeń po każdorazowym uruchomieniu serwera (patrz punkt pierwszy powyżej). Toustawienie jest zalecane dla zaawansowanych użytkowników, którzy zamierzają usunąć lub zmodyfikowaćniektóre wyłączenia standardowe.
Aby usunąć wyłączenia z listy bez ponownego uruchamiania serwera, należy to zrobić ręcznie. Opisane wyżejustawienia nie mają wpływu na żadne wyłączenia wprowadzone ręcznie przez użytkownika.
6.1.4 Udostępniona lokalna pamięć podręczna
Udostępniona lokalna pamięć podręczna ESET zwiększa wydajność w środowiskach zwirtualizowanych dziękiwyeliminowaniu skanowania duplikatów w sieci. Daje to pewność, że każdy plik zostanie przeskanowany tylko raz ibędzie przechowywany w udostępnionej pamięci podręcznej. By zapisywać w lokalnej pamięci podręcznejinformacje dotyczące skanowania plików i folderów w sieci, należy włączyć przełącznik Opcja pamięci podręcznej.Wykonanie nowego skanu spowoduje, że program ESET File Security wyszuka skanowane pliki w pamięcipodręcznej. Jeśli pliki będą zgodne, zostaną wyłączone ze skanowania.
W ustawieniach Serwer pamięci podręcznej znajdują się następujące pozycje:
· Nazwa hosta— nazwa lub adres IP komputera, na którym umiejscowiona jest pamięć podręczna.
· Port— liczba portów używanych do komunikacji (taka sama, jak w ustawieniu Udostępniona lokalna pamięćpodręczna).
· Hasło— ustawienie hasła do udostępnionej lokalnej pamięci podręcznej, jeśli jest wymagane.
6.1.5 Wykrycie infekcji
System może zostać zainfekowany z różnych źródeł, takich jak strony internetowe, foldery udostępnione, poczta e-mail lub urządzenia wymienne (USB, dyski zewnętrzne, płyty CD i DVD, dyskietki itp.).
Działanie standardowe
Ogólnym przykładem sposobu działania programu ESET File Security w momencie infekcji jest ich wykrywanie zapomocą funkcji:
· Ochrona systemu plików w czasie rzeczywistym
· Ochrona dostępu do stron internetowych
· Ochrona programów poczty e-mail
· Skanowanie komputera na żądanie
Każda z tych funkcji stosuje poziom leczenia standardowego, próbując wyleczyć plik i przenieść go do folderu Kwarantanna lub przerywając połączenie. Okno powiadomień jest wyświetlane w obszarze powiadomień w prawymdolnym rogu ekranu. Więcej informacji dotyczących poziomów leczenia i sposobów działania można znaleźć w sekcji Leczenie.
Leczenie i usuwanie
Jeżeli nie określono wstępnie czynności do wykonania przez moduł ochrony plików w czasie rzeczywistym, pojawisię okno alertu z monitem o wybranie opcji. Zazwyczaj dostępne są opcje Wylecz, Usuń i Brak czynności. Nie zalecasię wyboru opcji Brak czynności, ponieważ pozostawia to zainfekowane pliki niewyleczone. Wyjątek stanowisytuacja, w której użytkownik ma pewność, że plik jest nieszkodliwy i został wykryty błędnie.
Leczenie należy stosować w przypadku zainfekowanego pliku, do którego wirus dołączył szkodliwy kod. W takiejsytuacji należy podjąć próbę wyleczenia zainfekowanego pliku w celu przywrócenia go do stanu pierwotnego przedwyczyszczeniem. Jeśli plik zawiera wyłącznie szkodliwy kod, jest usuwany w całości.
103
Jeśli zainfekowany plik jest zablokowany lub używany przez proces systemowy, jest zazwyczaj usuwany poodblokowaniu (zwykle po ponownym uruchomieniu systemu).
Wiele zagrożeń
Jeśli jakieś zainfekowane pliki nie zostały wyleczone podczas skanowania komputera (lub poziom leczenia zostałustawiony na Brak leczenia), w oknie alertu wyświetlona zostanie prośba o wybranie czynności dotyczących tychplików. Można wybrać czynność z listy dla każdego zagrożenia z osobna lub użyć opcji Wybierz działanie dlawszystkich wybranych zagrożeń, wybrać jedno działanie, które zostanie wykonane w odniesieniu do wszystkichzagrożeń z listy, a następnie kliknąć przycisk Zakończ.
Usuwanie plików w archiwach
W domyślnym trybie leczenia całe archiwum jest usuwane tylko wtedy, gdy zawiera wyłącznie zarażone pliki, tj. niema w nim żadnych niezarażonych plików. Oznacza to, że archiwa nie są usuwane, jeśli zawierają równieżnieszkodliwe, niezainfekowane pliki. Podczas skanowania w trybie leczenia dokładnego należy zachowaćostrożność, ponieważ w tym trybie usuwane jest każde archiwum zawierające co najmniej jeden zainfekowany plik— bez względu na stan pozostałych zawartych w nim plików.
6.1.6 Ochrona systemu plików w czasie rzeczywistym
Ochrona systemu plików w czasie rzeczywistym sprawdza wszystkie zdarzenia związane z ochroną antywirusowąsystemu. Wszystkie pliki w momencie otwarcia, utworzenia lub uruchomienia na komputerze są skanowane wposzukiwaniu szkodliwego kodu. Ochrona systemu plików w czasie rzeczywistym jest domyślnie włączana przyuruchamianiu systemu i zapewnia nieprzerwane skanowanie. W szczególnych przypadkach (np. jeśli wystąpikonflikt z innym skanerem działającym w czasie rzeczywistym), ochronę w czasie rzeczywistym można wyłączyć,wyłączając opcję Automatycznie uruchom ochronę systemu plików w czasie rzeczywistym w obszarze Ustawieniazaawansowane (F5) w sekcji Ochrona systemu plików w czasie rzeczywistym > Podstawowe.
Skanowane nośniki
Domyślnie wszystkie typy nośników są skanowane w celu wykrycia potencjalnych zagrożeń:
· Dyski lokalne— sprawdzane są wszystkie dyski twarde w komputerze.
· Nośniki wymienne — sprawdzane są płyty CD i DVD, urządzenia pamięci masowej USB, urządzenia Bluetoothitp.
· Dyski sieciowe— skanowane są wszystkie dyski mapowane.
Zalecane jest zachowanie ustawień domyślnych i modyfikowanie ich wyłącznie w szczególnych przypadkach, jeśli naprzykład sprawdzanie pewnych nośników znacznie spowalnia przesyłanie danych.
Skanuj podczas
Domyślnie wszystkie pliki są skanowane podczas otwierania, tworzenia i wykonywania. Zalecane jest zachowanieustawień domyślnych, ponieważ zapewniają one maksymalny poziom ochrony komputera w czasie rzeczywistym:
· Otwierania pliku — włącza lub wyłącza skanowanie plików przy ich otwieraniu.
· Tworzenia pliku — włącza lub wyłącza skanowanie plików przy ich tworzeniu.
· Wykonywania pliku— włącza lub wyłącza skanowanie plików przy ich wykonywaniu.
· Dostępu do nośników wymiennych— włącza lub wyłącza skanowanie wywoływane przez próbę uzyskaniadostępu do określonego wymiennego nośnika pamięci.
Moduł ochrony systemu plików w czasie rzeczywistym sprawdza wszystkie typy nośników. Sprawdzanie jestwywoływane wystąpieniem różnych zdarzeń systemowych, na przykład uzyskaniem dostępu do pliku. Korzystając zmetod wykrywania zastosowanych w ramach technologii ThreatSense (opisanych w sekcji Parametry technologiiThreatSense), funkcja ochrony systemu plików w czasie rzeczywistym może działać inaczej w przypadku plikównowo tworzonych, a inaczej w przypadku już istniejących. Na przykład funkcję ochrony systemu plików w czasierzeczywistym można skonfigurować tak, by umożliwić dokładniejsze monitorowanie nowo utworzonych plików.
104
Aby zminimalizować obciążenie systemu podczas korzystania z ochrony w czasie rzeczywistym, przeskanowane plikinie są skanowane ponownie (dopóki nie zostaną zmodyfikowane). Pliki są niezwłocznie skanowane ponownie pokażdej aktualizacji bazy sygnatur wirusów. Taki sposób postępowania jest kontrolowany za pomocą funkcjiInteligentna optymalizacja. Po wyłączeniu funkcji Inteligentna optymalizacja wszystkie pliki są skanowane zakażdym razem, gdy uzyskiwany jest do nich dostęp. Aby zmodyfikować to ustawienie, należy nacisnąć klawisz F5 wcelu otwarcia okna Ustawienia zaawansowane i rozwinąć opcję Silnik detekcji > Ochrona systemu plików w czasierzeczywistym. Kliknij kolejno opcje Parametry technologii ThreatSense > Inne, a następnie zaznacz pole Włączinteligentną optymalizację lub anuluj jego zaznaczenie.
6.1.6.1 Parametry technologii ThreatSense
Technologia ThreatSense obejmuje wiele zaawansowanych metod wykrywania zagrożeń. Jest ona proaktywna, cooznacza, że zapewnia ochronę już od pierwszych godzin rozprzestrzeniania się nowego zagrożenia. Stosowana jest wniej kombinacja kilku metod (analiza kodu, emulacja kodu, sygnatury rodzajowe, sygnatury wirusów), które razemznacznie zwiększają bezpieczeństwo systemu. Korzystając z tej technologii skanowania, można kontrolować kilkastrumieni danych jednocześnie, maksymalizując skuteczność i wskaźnik wykrywalności. Ponadto technologiaThreatSense pomyślnie eliminuje programy typu rootkit.
UWAGAInformacje na temat automatycznego sprawdzania plików przy uruchamianiu można znaleźć w sekcji Skanowanie przy uruchamianiu.
Za pomocą opcji ustawień parametrów technologii ThreatSense można określić kilka parametrów skanowania:
· typy i rozszerzenia plików, które mają być skanowane;
· kombinacje różnych metod wykrywania;
· poziomy leczenia itp.
Aby otworzyć okno konfiguracji, należy kliknąć przycisk Ustawienia parametrów technologii ThreatSense w oknieUstawienia zaawansowane (F5) każdego modułu, w którym wykorzystywana jest technologia ThreatSense (patrzponiżej). Różne scenariusze zabezpieczeń mogą wymagać różnych konfiguracji. Mając to na uwadze, technologięThreatSense można konfigurować indywidualnie dla następujących modułów ochrony:
· Skanowanie środowiska Hyper-V
· Skanowanie w usłudze OneDrive
· Ochrona systemu plików w czasie rzeczywistym
· Skanowania w poszukiwaniu szkodliwego oprogramowania
· Skanowanie w trakcie bezczynności
· Skanowanie przy uruchamianiu
· Ochrona dokumentów
· Ochrona programów poczty e-mail
· Ochrona dostępu do stron internetowych
Parametry technologii ThreatSense są w wysokim stopniu zoptymalizowane pod kątem poszczególnych modułów, aich modyfikacja może znacząco wpływać na działanie systemu. Na przykład ustawienie opcji skanowaniaspakowanych programów za każdym razem lub włączenie zaawansowanej heurystyki w module ochrony systemuplików w czasie rzeczywistym może spowodować spowolnienie działania systemu (normalnie tymi metodamiskanowane są tylko nowo utworzone pliki). Zaleca się pozostawienie niezmienionych parametrów domyślnychtechnologii ThreatSense dla wszystkich modułów z wyjątkiem modułu Skanowanie komputera.
Skanowane obiekty
W sekcji Obiekty można określić, które pliki i składniki komputera będą skanowane w poszukiwaniu infekcji.
Pamięć operacyjna
105
Skanowanie w poszukiwaniu szkodliwego oprogramowania, które atakuje pamięć operacyjną komputera.
Sektory startowe/UEFIUmożliwia skanowanie sektorów startowych w poszukiwaniu wirusów w głównym rekordzie rozruchowym. Wprzypadku maszyny wirtualnej w środowisku Hyper-V główny rekord rozruchowy dysku tej maszyny jestskanowany w trybie tylko do odczytu.
Pliki pocztyProgram obsługuje następujące rozszerzenia: DBX (Outlook Express) oraz EML.
ArchiwaProgram obsługuje następujące rozszerzenia: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS,RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE i wiele innych.
Archiwa samorozpakowująceArchiwa samorozpakowujące (SFX) to archiwa, które nie wymagają do dekompresji żadnych specjalnychprogramów.
Programy spakowanePo uruchomieniu — w odróżnieniu od archiwów standardowych — dekompresują swoją zawartość do pamięci.Poza standardowymi statycznymi programami spakowanymi (UPX, yoda, ASPack, FSG itd.) skaner umożliwiarównież rozpoznawanie innych typów programów spakowanych, dzięki emulowaniu ich kodu.
Opcje skanowania
Tu można wybrać metody stosowane podczas skanowania systemu w poszukiwaniu infekcji. Dostępne sąnastępujące opcje:
HeurystykaHeurystyka jest metodą analizy pozwalającą wykrywać działanie szkodliwych programów. Główną zaletą tejtechnologii jest to, że umożliwia wykrywanie szkodliwego oprogramowania, które w chwili pobierania ostatniejaktualizacji bazy danych sygnatur wirusów jeszcze nie istniało lub nie było znane.
Zaawansowana heurystyka/DNA sygnaturyZaawansowana heurystyka jest oparta na unikatowym algorytmie heurystycznym opracowanym przez firmęESET. Został on napisany w językach programowania wysokiego poziomu i zoptymalizowany pod kątemwykrywania robaków i koni trojańskich. Zastosowanie zaawansowanej heurystyki w produktach firmy ESETznacząco usprawnia wykrywanie zagrożeń. Sygnatury pozwalają niezawodnie wykrywać i identyfikować wirusy.Dzięki systemowi automatycznej aktualizacji nowe sygnatury są udostępniane w ciągu kilku godzin odstwierdzenia zagrożenia. Wadą sygnatur jest to, że pozwalają wykrywać tylko znane wirusy (lub ich nieznaczniezmodyfikowane wersje).
Leczenie
Ustawienia leczenia określają sposób działania skanera w stosunku do zainfekowanych plików. Istnieją 3 poziomyleczenia:
Brak leczeniaZainfekowane pliki nie będą automatycznie leczone. Wyświetlane jest okno z ostrzeżeniem, a użytkownik możewybrać czynność do wykonania. Ten poziom jest przeznaczony dla bardziej zaawansowanych użytkowników,którzy wiedzą, jakie czynności należy wykonać w razie wystąpienia infekcji.
Leczenie normalneProgram próbuje automatycznie wyleczyć lub usunąć zarażony plik zgodnie ze wstępnie zdefiniowanączynnością (zależnie od typu infekcji). O wykryciu i usunięciu zainfekowanego pliku informuje powiadomieniewyświetlane w prawym dolnym rogu ekranu. Jeśli automatyczne wybranie właściwej czynności nie będzie
106
możliwe, w programie będą dostępne inne czynności kontynuacyjne. Aplikacja zadziała tak samo także wtedy,gdy nie będzie możliwe wykonanie wstępnie zdefiniowanej czynności.
Leczenie dokładneProgram leczy lub usuwa wszystkie zarażone pliki. Jedyny wyjątek stanowią pliki systemowe. Jeśli wyleczeniepliku okaże się niemożliwe, zostanie wyświetlony monit o wybranie czynności, która ma zostać wykonana.
OSTRZEŻENIEJeśli archiwum zawiera zainfekowane pliki, problem można rozwiązać na dwa sposoby. W trybie domyślnym(Leczenie normalne) usunięcie całego archiwum nastąpi w sytuacji, gdy zarażone będą wszystkie znajdujące sięw nim pliki. W trybie Leczenie dokładne całe archiwum zostanie usunięte po wykryciu pierwszego zarażonegopliku, niezależnie od stanu pozostałych plików w tym archiwum.
WAŻNEJeśli host Hyper-V działa w systemie Windows Server 2008 R2, opcje Leczenie normalne i Leczenie dokładnenie są obsługiwane. Skanowanie dysków maszyn wirtualnych jest przeprowadzane w trybie tylko do odczytu —bez leczenia. Niezależnie od wybranego poziomu leczenia skanowanie zawsze jest przeprowadzane w trybietylko do odczytu.
Wyłączenia
Rozszerzenie jest częścią nazwy pliku oddzieloną kropką. Określa ono typ i zawartość pliku. Ta część ustawieńparametrów technologii ThreatSense umożliwia określanie typów plików, które mają zostać wyłączone zeskanowania.
Inne
Podczas konfigurowania ustawień parametrów technologii ThreatSense dotyczących skanowania komputera nażądanie w sekcji Inne dostępne są również następujące opcje:
Skanuj alternatywne strumienie danych (ADS)
Alternatywne strumienie danych używane w systemie plików NTFS to skojarzenia plików i folderów, których niemożna sprawdzić za pomocą standardowych technik skanowania. Wiele wirusów stara się uniknąć wykrycia,maskując się jako alternatywne strumienie danych.
Uruchom skanowanie w tle z niskim priorytetemKażde skanowanie wymaga użycia pewnej ilości zasobów systemowych. W przypadku używania programów,które wymagają dużej ilości zasobów systemowych, można uruchomić skanowanie w tle z niskim priorytetem,oszczędzając zasoby dla innych aplikacji.
Zapisuj w dzienniku informacje o wszystkich obiektachWybranie tej opcji powoduje, że w pliku dziennika są zapisywane informacje o wszystkich skanowanych plikach,nawet tych niezainfekowanych. Jeśli na przykład infekcja zostanie znaleziona w archiwum, w dzienniku zostanąuwzględnione również pliki niezainfekowane zawarte w tym archiwum.
Włącz inteligentną optymalizacjęPo włączeniu funkcji Inteligentna optymalizacja używane są optymalne ustawienia, które zapewniająpołączenie maksymalnej skuteczności z największą szybkością skanowania. Poszczególne moduły ochronydziałają w sposób inteligentny, stosując różne metody skanowania w przypadku różnych typów plików. Jeśliopcja Inteligentna optymalizacja jest wyłączona, podczas skanowania są używane tylko ustawienia określoneprzez użytkownika w rdzeniu ThreatSense danego modułu.
Zachowaj znacznik czasowy ostatniego dostępu
107
Wybranie tej opcji pozwala zachować oryginalny znacznik czasowy dostępu do plików zamiast przeprowadzaniaich aktualizacji (na przykład na potrzeby systemów wykonywania kopii zapasowych danych).
Limity
W sekcji Limity można określić maksymalny rozmiar obiektów i poziomy zagnieżdżonych archiwów, które mają byćskanowane:
Domyślne ustawienia obiektówPo włączeniu używane są ustawienia domyślne (brak limitów). Program ESET File Security będzie ignorowaćustawienia niestandardowe.
Maksymalny rozmiar obiektuOkreśla maksymalny rozmiar obiektów do skanowania. Dany moduł antywirusowy będzie skanować tylkoobiekty o rozmiarze mniejszym niż określony. Ta opcja powinna być modyfikowana tylko przez zaawansowanychużytkowników, którzy mają określone powody do wyłączenia większych obiektów ze skanowania. Wartośćdomyślna: bez limitu.
Maksymalny czas skanowania dla obiektu (s)Określa maksymalny czas skanowania obiektu. W przypadku wprowadzenia wartości zdefiniowanej przezużytkownika moduł antywirusowy zatrzyma skanowanie obiektu po upływie danego czasu, niezależnie od tego,czy skanowanie zostało ukończone. Wartość domyślna: bez limitu.
Ustawienia skanowania archiwów
Aby zmodyfikować ustawienia skanowania archiwów, należy anulować zaznaczenie opcji Domyślne ustawieniaskanowania archiwów.
Poziom zagnieżdżania archiwówOkreśla maksymalną głębokość skanowania archiwów. Wartość domyślna: 10. W przypadku obiektówwykrywanych przez funkcję ochrony przesyłania poczty rzeczywiste poziomy zagnieżdżenia są zawsze o +1wyższe, ponieważ załączniki w postaci plików archiwum w wiadomościach e-mail są traktowane jako poziom 1.
PRZYKŁAD
Na przykład w przypadku ustawienia poziomu zagnieżdżenia 3 plik archiwum z poziomem zagnieżdżenia 3zostanie przeskanowany w warstwie przesyłania tylko do rzeczywistego poziomu, czyli 2. Aby więc funkcjaochrony przesyłania poczty skanowała archiwa do poziomu 3, należy ustawić Poziom zagnieżdżania archiwów owartości 4.
Maksymalny rozmiar pliku w archiwumTa opcja umożliwia określenie maksymalnego rozmiaru plików, które mają być skanowane w rozpakowywanycharchiwach. Wartość domyślna: bez limitu.
UWAGANie zalecamy modyfikowania wartości domyślnych. W zwykłych warunkach nie ma potrzeby ich zmieniać.
108
6.1.6.1.1 Dodatkowe parametry technologii ThreatSense
Dodatkowe parametry technologii ThreatSense dotyczące nowo utworzonych i zmodyfikowanych plikówPrawdopodobieństwo występowania infekcji w nowo utworzonych lub zmodyfikowanych plikach jeststosunkowo większe niż w przypadku istniejących już plików. Dlatego program sprawdza takie pliki zzastosowaniem dodatkowych parametrów skanowania. Oprócz typowych metod skanowania przy użyciusygnatur stosowana jest również zaawansowana heurystyka, która wykrywa nowe zagrożenia jeszcze przedopublikowaniem aktualizacji bazy sygnatur wirusów. Poza nowo utworzonymi plikami skanowanie obejmuje teżarchiwa samorozpakowujące (SFX) i programy spakowane (skompresowane wewnętrznie pliki wykonywalne).Domyślnie archiwa są skanowane do dziesiątego poziomu zagnieżdżenia i są sprawdzane niezależnie od ichrozmiaru. Aby zmienić ustawienia skanowania archiwów, należy wyłączyć opcję Domyślne ustawieniaskanowania archiwów.
Dodatkowe parametry technologii ThreatSense dotyczące wykonywanych plikówDomyślnie podczas wykonywania plików używana jest zaawansowana heurystyka. Gdy ta opcja jest włączona,zalecamy pozostawienie włączonych opcji Inteligentna optymalizacja oraz ESET LiveGrid® w celu ograniczeniawpływu na wydajność systemu.
6.1.6.1.2 Lista rozszerzeń plików wyłączonych ze skanowania
Rozszerzenie jest częścią nazwy pliku oddzieloną kropką. Określa ono typ pliku. Zazwyczaj skanowane są wszystkiepliki. Jeśli jednak chcesz wyłączyć ze skanowania pliki z określonym rozszerzeniem, możesz to zrobić przy użyciuparametru ThreatSense. Może to być przydatne, jeśli skanowanie pewnych typów plików uniemożliwia prawidłowedziałanie aplikacji.
PRZYKŁAD
Aby dodać nowe rozszerzenie do listy, kliknij przycisk Dodaj. Wpisz rozszerzenie w polu tekstowym (np. tmp) ikliknij przycisk OK. Gdy wybrana jest opcja Wprowadź wiele wartości, można dodać wiele rozszerzeń plikówoddzielonych wierszami, przecinkami lub średnikami (np. wybierz z menu rozwijanego separatorów opcję Średnik i wpisz edb;eml;tmp).
Możesz też użyć symbolu specjalnego ? (znak zapytania). Znak zapytania oznacza dowolny symbol (np. ?db).
UWAGAAby wyświetlić rozszerzenia (typy plików) wszystkich plików w systemie operacyjnym Windows, należy usunąćzaznaczenie opcji Ukryj rozszerzenia znanych typów plików w obszarze Panel sterowania > Opcje folderów >Widok.
6.1.7 Ochrona oparta na chmurze
ESET LiveGrid® to zaawansowany system wczesnego ostrzegania wykorzystujący kilka opartych na chmurzetechnologii. Pomaga wykrywać nowe zagrożenia na podstawie reputacji i poprawia skuteczność skanowania dziękibiałym listom. Informacje o nowych zagrożeniach są przesyłane strumieniowo w czasie rzeczywistym do chmury,dzięki czemu laboratorium antywirusowe firmy ESET jest w stanie szybko reagować i zapewnić stały poziom ochrony.Użytkownik może sprawdzić reputację uruchomionych procesów i plików bezpośrednio z poziomu interfejsuprogramu lub menu kontekstowego, korzystając z dodatkowych informacji dostępnych dzięki technologii ESETLiveGrid®.
Podczas instalacji programu ESET File Security należy wybrać jedną z następujących opcji:
· Można nie włączać systemu ESET LiveGrid®. Nie spowoduje to utraty żadnych funkcji oprogramowania, jednakw niektórych przypadkach program ESET File Security może reagować na nowe zagrożenia wolniej niż przyaktualizacji bazy sygnatur wirusów.
109
· W systemie ESET LiveGrid® można skonfigurować przesyłanie anonimowych informacji o nowych zagrożeniachi lokalizacjach nowego niebezpiecznego kodu, który został wykryty. Ten plik może być przesyłany do firmyESET w celu szczegółowej analizy. Zbadanie zagrożeń pomoże firmie ESET ulepszać metody ich wykrywania.
System ESET LiveGrid® zgromadzi informacje o komputerze użytkownika powiązane z nowo wykrytymizagrożeniami. Te informacje mogą zawierać próbkę lub kopię pliku, w którym wystąpiło zagrożenie, ścieżkę dostępudo tego pliku, nazwę pliku, datę i godzinę, proces, za którego pośrednictwem zagrożenie pojawiło się nakomputerze, oraz informacje o systemie operacyjnym komputera.
Domyślnie program ESET File Security jest skonfigurowany do przesyłania podejrzanych plików do analizy wlaboratorium firmy ESET. Pliki z określonymi rozszerzeniami, takimi jak doc lub xls, są zawsze wyłączane z procesuprzesyłania. Można również dodać inne rozszerzenia, jeśli istnieją pliki, które użytkownik lub jego firma życzy sobiewyłączyć z procesu przesyłania.
Włącz system reputacji ESET LiveGrid® (zalecane)System reputacji ESET LiveGrid® poprawia wydajność rozwiązań firmy ESET do ochrony przed szkodliwymoprogramowaniem, porównując skanowane pliki z białą i czarną listą obiektów w chmurze.
Włącz system informacji zwrotnych ESET LiveGrid®
Wysyłaj raporty o awariach i dane diagnostyczne
Przesyłanie anonimowych statystykUmożliwienie firmie ESET zbierania informacji o nowo wykrytych zagrożeniach, takich jak nazwa zagrożenia,data i godzina jego wykrycia, metoda wykrycia i skojarzone metadane, przeskanowanych plikach (skrót, nazwapliku, pochodzenie pliku i telemetria), zablokowanych i podejrzanych adresach URL, wersji i konfiguracjiproduktu. Uwzględnione są także informacje o systemie użytkownika.
Kontaktowy adres e-mail (opcjonalnie)Wraz z podejrzanymi plikami można wysyłać adres e-mail, który będzie używany do kontaktowania się zużytkownikiem, gdy przeprowadzenie analizy będzie wymagało dodatkowych informacji. Uwaga: użytkowniknie otrzyma odpowiedzi od firmy ESET, jeśli nie będą potrzebne dodatkowe informacje.
Przesyłanie próbek
Prześlij zainfekowane próbki
Wszystkie zainfekowane próbki zostaną przesłane do firmy ESET w celu ich przeanalizowania oraz na potrzebyusprawnienia przyszłego wykrywania.
· Wszystkie zainfekowane próbki
· Wszystkie próbki oprócz dokumentów
· Nie przesyłaj
Prześlij podejrzane próbki
Podejrzane próbki przypominające zagrożenia albo takie, których zawartość lub działanie jest nietypowe, sąprzesyłane do firmy ESET w celu wykonania analizy.
· Pliki wykonywalne — obejmuje pliki wykonywalne: .exe, .dll, .sys
· Archiwa — obejmuje pliki archiwów: .zip, .rar, .7z, .arch, .arj , .bzip2, .gzip, .ace, .arc, .cab
· Skrypty — obejmuje pliki skryptów: .bat, .cmd, .hta, .j s, .vbs, .j s, .ps1
· Inne — obejmuje inne typy plików: .j ar, .reg, .msi, .swf , .lnk
· Dokumenty — obejmuje dokumenty pakietu Microsoft Office lub pliki PDF z treścią aktywną.
110
WyłączeniaKliknij opcję Edytuj obok obszaru Wyłączenia w usłudze ESET LiveGrid®, aby skonfigurować sposób przesyłaniazagrożeń do laboratorium firmy ESET w celu przeprowadzenia analizy.
Maksymalny rozmiar próbek (MB)Określanie maksymalnego rozmiaru próbek do skanowania.
6.1.7.1 Filtr wyłączeń
Filtr wyłączeń umożliwia wyłączenie określonych plików lub folderów z przesyłania (może na przykład posłużyć dowyłączenia plików zawierających dane poufne, takich jak dokumenty lub arkusze kalkulacyjne). Wymienione plikinigdy nie będą wysyłane do analizy w firmie ESET, nawet jeśli będą zawierały podejrzany kod. Najpopularniejszetypy plików należących do tej kategorii (np. .doc) są domyślnie wyłączone. Do listy wyłączonych plików możnadodawać inne typy plików.
Jeśli system ESET LiveGrid® był używany wcześniej i został wyłączony, mogą jeszcze pozostawać pakiety do wysłania.Takie pakiety zostaną wysłane do firmy ESET nawet po dezaktywacji. Po przesłaniu wszystkich bieżących informacjinie będą już tworzone nowe pakiety.
111
Po wykryciu podejrzanego pliku na komputerze można go przesłać do analizy w laboratorium firmy. Jeśli plik okażesię szkodliwą aplikacją, informacje potrzebne do jej wykrywania zostaną dodane do kolejnej aktualizacji modułuwykrywania.
6.1.8 Skanowania w poszukiwaniu szkodliwego oprogramowania
W tej sekcji znajdują się opcje służące do wybierania parametrów skanowania.
UWAGATen selektor profilu skanowania dotyczy skanowania na żądanie, skanowania w środowisku Hyper-V iskanowania w usłudze OneDrive.
Wybrany profilokreślony zestaw parametrów stosowanych przez skaner na żądanie. Można użyć jednego z wstępniezdefiniowanych profili skanowania lub utworzyć nowy profil. Profile skanowania korzystają z różnychparametrów technologii ThreatSense.
Lista profiliAby utworzyć nowy profil, kliknij opcję Edytuj. Wprowadź nazwę profilu i kliknij przycisk Dodaj. Nowy profilzostanie wyświetlony w menu rozwijanym Wybrany profil zawierającym istniejące profile skanowania.
Skanowane obiektyAby przeskanować określony obiekt docelowy, kliknij opcję Edytuj i wybierz opcję z menu rozwijanego lubwybierz określone obiekty w strukturze (drzewie) folderów.
Parametry technologii ThreatSenseUmożliwia modyfikowanie parametrów skanowania komputera na żądanie.
6.1.8.1 Skanowane obiekty
Można określić elementy, które będą skanowane podczas wykrywania przeniknięcia do systemu. Obiekty (pamięć,sektory rozruchowe i UEFI, dyski, pliki i foldery lub sieć) należy wybierać ze struktury drzewa obejmującej wszystkiedostępne cele w systemie.
UWAGATen selektor profilu skanowania dotyczy skanowania na żądanie, skanowania w środowisku Hyper-V iskanowania w usłudze OneDrive.
Kliknięcie ikony koła zębatego w lewym górnym rogu umożliwia dostęp do menu rozwijanych Skanowane obiekty iProfil skanowania.
112
W menu rozwijanym Skanowane obiekty można wybrać wstępnie zdefiniowane obiekty do skanowania:
Zgodnie zustawieniamiprofilu
Powoduje wybranie obiektów skonfigurowanych w wybranym profilu skanowania.
Nośnikiwymienne
Powoduje wybranie dyskietek, urządzeń pamięci masowej USB, płyt CD i DVD.
Dyski lokalne Powoduje wybranie wszystkich dysków twardych w komputerze.
Dyski sieciowe Powoduje wybranie wszystkich mapowanych dysków sieciowych.
Folderyudostępnione
Powoduje wybranie wszystkich folderów udostępnionych na lokalnym serwerze.
Nie wybrano Anulowanie bieżącego wyboru.
Aby szybko przejść do obiektu docelowego (pliku lub folderu) w celu uwzględnienia go w skanowaniu, możnawprowadzić jego ścieżkę w polu tekstowym poniżej struktury drzewa. We wpisie ścieżki jest rozróżniana wielkośćliter.
W menu rozwijanym Profil skanowania można wybrać wstępnie zdefiniowane profile skanowania:
· Skanowanie inteligentne
· Skanowanie z poziomu menu kontekstowego
· Skanowanie dokładne
Powyższe profile skanowania korzystając z różnych parametrów technologii ThreatSense.
Skanuj bez leczeniaJeśli użytkownik chce tylko przeskanować system bez wykonywania dodatkowych działań związanych zleczeniem, należy wybrać opcję Skanuj bez leczenia. Ta opcja jest przydatna, gdy użytkownik chce jedyniesprawdzić, czy na skanowanym obiekcie znajdują się zainfekowane elementy oraz uzyskać szczegółoweinformacje na ich temat. Można wybrać jeden z trzech poziomów leczenia, klikając kolejno opcje Ustawienia >Parametry technologii ThreatSense > Leczenie. Informacje na temat skanowania są umieszczane w dziennikuskanowania.
Ignoruj wyjątkiWybranie opcji Ignoruj wyjątki umożliwia przeprowadzenie skanowania z ignorowaniem wyjątków, które winnym wypadku zostałyby uwzględnione.
6.1.8.2 Menedżer profili
W menu rozwijanym Profil skanowania można wybrać wstępnie zdefiniowane profile skanowania.
· Skanowanie inteligentne
· Skanowanie z poziomu menu kontekstowego
· Skanowanie dokładne
· Mój profil (ma zastosowanie do skanowania środowiska Hyper-V, profili aktualizacji i skanowania w usłudzeOneDrive)
Więcej informacji o pomocnych w tworzeniu profilu skanowania dostosowanego do indywidualnych potrzeb możnaznaleźć w sekcji Ustawienia parametrów technologii ThreatSense, w której opisano poszczególne parametryustawień skanowania.
Menedżer profili jest używany w trzech obszarach programu ESET File Security.
113
Skanowanie komputera na żądaniePreferowane parametry skanowania mogą zostać zapisane i użyte w przyszłości. Zalecane jest utworzenieosobnego profilu (z ustawionymi różnymi obiektami i metodami skanowania oraz innymi parametrami) dlakażdego regularnie przeprowadzanego skanowania.
AktualizacjaEdytor profili pozwala na tworzenie nowych profili aktualizacji. Tworzenie niestandardowych profili aktualizacjijest konieczne tylko wtedy, gdy komputer łączy się z serwerami aktualizacji na różne sposoby.
Skanowanie środowiska Hyper-VAby utworzyć nowy profil, wybierz opcję Edytuj obok obszaru Lista profili. Nowy profil zostanie wyświetlony wmenu rozwijanym Wybrany profil zawierającym istniejące profile skanowania.
Skanowanie w usłudze OneDriveAby utworzyć nowy profil, wybierz opcję Edytuj obok obszaru Lista profili. Nowy profil zostanie wyświetlony wmenu rozwijanym Wybrany profil zawierającym istniejące profile skanowania.
6.1.8.3 Skanowane obiekty
Jeśli przeskanowany ma być wyłącznie określony obiekt docelowy, można kliknąć opcję Skanowanieniestandardowe i wybrać z menu rozwijanego opcję Skanowane obiekty albo wybrać określone obiekty docelowe zestruktury folderów (drzewa).
Selektor profilu skanowanych obiektów dotyczy następujących funkcji:
· Skanowanie na żądanie
· Skanowanie środowiska Hyper-V
· Skanowanie w usłudze OneDrive
Aby szybko przejść do skanowanego obiektu lub dodać żądany folder lub plik docelowy, należy wprowadzić go wpustym polu poniżej listy folderów. Jest to możliwe tylko wtedy, gdy nie wybrano żadnych obiektów w strukturzedrzewa, a w menu Skanowane obiekty jest wybrana opcja Brak wyboru.
W menu rozwijanym Skanowane obiekty można wybrać wstępnie zdefiniowane obiekty do skanowania.
Zgodnie zustawieniamiprofilu
Powoduje wybranie obiektów skonfigurowanych w wybranym profilu skanowania.
Nośniki wymienne Powoduje wybranie dyskietek, urządzeń pamięci masowej USB, płyt CD i DVD.
Dyski lokalne Powoduje wybranie wszystkich dysków twardych w komputerze.
Dyski sieciowe Powoduje wybranie wszystkich mapowanych dysków sieciowych.
Folderyudostępnione
Powoduje wybranie wszystkich folderów udostępnionych na lokalnym serwerze.
Nie wybrano Wybór obiektów zostaje anulowany.
W menu rozwijanym Profil skanowania można wybrać profil, który ma być używany podczas skanowania wybranychobiektów. Profilem domyślnym jest Skanowanie inteligentne. Istnieją jeszcze dwa wstępnie zdefiniowane profileskanowania: Skanowanie dokładne i Skanowanie z poziomu menu kontekstowego. W tych profilach skanowaniastosowane są różne parametry aparatu ThreatSense.
Wyskakujące okienko Skanowanie niestandardowe:
114
Skanuj bez leczeniaJeśli użytkownik chce tylko przeskanować system bez wykonywania dodatkowych działań związanych zleczeniem, należy wybrać opcję Skanuj bez leczenia. Ta opcja jest przydatna, gdy użytkownik chce jedyniesprawdzić, czy na skanowanym obiekcie znajdują się zainfekowane elementy oraz uzyskać szczegółoweinformacje na ich temat. Można wybrać jeden z trzech poziomów leczenia, klikając kolejno opcje Ustawienia >Parametry technologii ThreatSense > Leczenie. Informacje na temat skanowania są umieszczane w dziennikuskanowania.
Ignoruj wyjątkiUmożliwia przeprowadzenie skanowania z ignorowaniem wyjątków, które w innym wypadku zostałybyuwzględnione.
SkanowaniePrzeprowadzanie skanowania z wykorzystaniem ustawionych parametrów niestandardowych.
Skanuj jako administratorPozwala na przeprowadzenie skanowania z uprawnieniami administratora. Tę opcję należy kliknąć, jeśli obecnyużytkownik nie ma uprawnień pozwalających na dostęp do plików, które mają być skanowane. Uwaga: Tenprzycisk jest niedostępny, jeśli aktualny użytkownik nie może wywoływać operacji UAC jako administrator.
6.1.8.4 Skanowanie w trakcie bezczynności
Gdy komputer jest w stanie bezczynności, skanowanie komputera w trybie cichym jest wykonywane na wszystkichdyskach lokalnych. Wykrywanie stanu bezczynności będzie uruchamiane, gdy komputer znajdzie się w jednym znastępujących stanów:
· Wyłączony ekran lub wygaszacz ekranu
· Blokada komputera
· Wylogowanie użytkownika
Uruchom, nawet jeśli komputer jest zasilany z bateriiDomyślnie skaner w trybie bezczynności nie pracuje, gdy komputer (notebook) jest zasilany z baterii.
Włącz zapisywanie w dzienniku
115
Rejestrowanie danych wyjściowych skanowania komputera w sekcji Pliki dziennika (w oknie głównym programunależy kliknąć pozycję Pliki dziennika i wybrać typ dziennika Skanowanie komputera z menu rozwijanego).
Parametry technologii ThreatSenseModyfikowanie parametrów skanowania w trakcie bezczynności.
6.1.8.5 Skanowanie przy uruchamianiu
Domyślnie przeprowadzane jest automatyczne sprawdzenie plików podczas uruchamiania systemu (zalogowaniaużytkownika) oraz po pomyślnej aktualizacji modułu. To skanowanie jest zależne od ustawień w sekcji Konfiguracjaharmonogramu i zadania.
Opcje skanowania podczas uruchamiania systemu są częścią zadania zaplanowanego Sprawdzanie plików przyuruchamianiu systemu.
Aby zmodyfikować ustawienia skanowania przy uruchamianiu, należy przejść do opcji Narzędzia > Harmonogram,wybrać jedno z zadań w obszarze Automatyczne sprawdzanie plików przy uruchamianiu (zalogowanie użytkownikalub aktualizacja modułów), a następnie kliknąć opcję Edytuj. Należy skorzystać z kreatora, gdzie w ostatnim krokubędzie można zmodyfikować szczegółowe opcje ustawienia Automatyczne sprawdzanie plików przy uruchamianiu.
6.1.8.5.1 Automatyczne sprawdzanie plików przy uruchamianiu
Podczas tworzenia zaplanowanego zadania sprawdzania plików przy uruchamianiu systemu dostępnych jest kilkaopcji umożliwiających dostosowanie następujących parametrów:
Menu rozwijane Skanowane obiekty służy do określenia szczegółowości skanowania plików wykonywanych przyuruchamianiu systemu. Pliki są rozmieszczone w kolejności malejącej, zgodnie z następującymi kryteriami:
· Wszystkie zarejestrowane pliki (najwięcej skanowanych plików)
· Rzadko używane pliki
· Zazwyczaj używane pliki
· Często używane pliki
· Tylko najczęściej używane pliki (najmniej skanowanych plików)
Skanowane obiekty obejmują także dwie szczególne grupy:
Pliki uruchamiane przed zalogowaniem użytkownikaSą to pliki w takich lokalizacjach, do których można uzyskać dostęp bez zalogowania użytkownika (prawiewszystkie lokalizacje wykorzystywane podczas uruchomienia systemu, takie jak usługi, obiekty pomocnikaprzeglądarki, powiadamianie usługi winlogon, wpisy harmonogramu systemu Windows, znane biblioteki DLLitp.).
Pliki uruchamiane po zalogowaniu użytkownikaSą to pliki w takich lokalizacjach, do których można uzyskać dostęp dopiero po zalogowaniu się użytkownika(pliki, które są uruchamiane tylko dla określonego użytkownika, zazwyczaj pliki znajdujące się w folderze HKEY_CURRENT_USER\SOFTWARE\Microsof t\Windows\CurrentVersion\Run).
Listy plików do skanowania są stałe w każdej z wcześniej wymienionych grup.
Priorytet skanowania
Poziom priorytetu używany do określenia momentu uruchomienia skanowania:
· Normalny — przy przeciętnym obciążeniu systemu,
· Niższy — przy niskim obciążeniu systemu,
· Najniższy — kiedy obciążenie systemu jest możliwie najmniejsze,
· W trakcie bezczynności— zadanie zostanie wykonane tylko wtedy, gdy system jest bezczynny.
116
6.1.8.6 Nośniki wymienne
Program ESET File Security udostępnia funkcję automatycznego skanowania nośników wymiennych (CD, DVD, USB).Ten moduł pozwala na skanowanie włożonego lub podłączonego nośnika. Dzięki temu administrator komputeramoże uniemożliwić użytkownikom korzystanie z nośników wymiennych z niepożądaną zawartością.
Czynność do wykonania po włożeniu nośnika wymiennegoMożliwość wybrania czynności, która zostanie wykonana po włożeniu lub podłączeniu nośnika wymiennego(CD/DVD/USB) do komputera.
· Nie skanuj— nie zostaną wykonane żadne czynności, a okno Podłączono nowe urządzenie zostaniezamknięte.
· Automatyczne skanowanie urządzeń — włożony nośnik wymienny zostanie poddany skanowaniu na żądanie.
· Pokaż opcje skanowania— powoduje otwarcie sekcji Nośniki wymienne w ustawieniach.
Po włożeniu nośnika wymiennego pojawi się następujące okno dialogowe:
· Skanuj teraz — powoduje rozpoczęcie skanowania nośnika wymiennego.
· Skanuj później— skanowanie nośnika wymiennego zostanie odłożone.
· Ustawienia — powoduje otwarcie opcji Ustawienia zaawansowane.
· Zawsze używaj wybranej opcji— po wybraniu tej opcji, gdy nośnik wymienny zostanie włożony po raz kolejny,wykonana zostanie ta sama czynność.
Ponadto program ESET File Security zapewnia funkcję Kontrola dostępu do urządzeń, która umożliwia definiowaniereguł dotyczących używania urządzeń zewnętrznych na danym komputerze. Więcej szczegółowych informacjidotyczących funkcji Kontrola dostępu do urządzeń można znaleźć w sekcji Kontrola dostępu do urządzeń.
6.1.8.7 Ochrona dokumentów
Funkcja Ochrona dokumentów pozwala na skanowanie dokumentów pakietu Microsoft Office przed ich otwarciem,a także skanowanie plików automatycznie pobieranych przez program Internet Explorer (np. elementów MicrosoftActiveX). Oprócz ochrony systemu plików w czasie rzeczywistym dostępna jest również ochrona dokumentów. Opcjętę można wyłączyć, aby zwiększyć wydajność systemu na komputerach, na których nie znajduje się dużodokumentów programu Microsoft Office.
Zintegruj z systememTa opcja zwiększa skuteczność ochrony dokumentów pakietu Microsoft Office (nie jest wymagana w zwykłychwarunkach).
Parametry technologii ThreatSenseModyfikowanie parametrów funkcji Ochrona dokumentów.
UWAGAFunkcja ta jest aktywowana przez aplikacje używające interfejsu Microsoft Antivirus API (np. Microsoft Office wwersji 2000 lub wyższej albo Microsoft Internet Explorer w wersji 5.0 lub wyższej).
117
6.1.9 skanowanie środowiska Hyper-V
Aby utworzyć nowy profil, kliknij opcję Edytuj obok obszaru Lista profili, wprowadź nazwę w polu Nazwa profilu ikliknij przycisk Dodaj. Nowy profil zostanie wyświetlony w menu rozwijanym Wybrany profil zawierającymistniejące profile skanowania.
W menu rozwijanym Skanowane obiekty dla środowiska Hyper-V można wybrać wstępnie zdefiniowane obiekty doskanowania:
Zgodnie z ustawieniami profilu Powoduje wybranie obiektów skonfigurowanych w wybranym profiluskanowania.
Wszystkie maszyny wirtualne Powoduje wybranie wszystkich maszyn wirtualnych.
Włączone maszyny wirtualne Powoduje wybranie wszystkich maszyn wirtualnych będących w trybie online.
Wyłączone maszyny wirtualne Powoduje wybranie wszystkich maszyn wirtualnych będących w trybie offline.
Foldery udostępnione Powoduje wybranie wszystkich folderów udostępnionych na lokalnym serwerze.
Nie wybrano Wybór obiektów zostaje anulowany.
Wyskakujące okienko Skanowanie środowiska Hyper-V:
Kliknij przycisk Skanowanie, aby przeprowadzić skanowanie z wykorzystaniem ustawionych parametrówniestandardowych. Po ukończeniu wszystkich operacji skanowania można sprawdzić wyniki w obszarze Plikidziennika > Skanowanie środowiska Hyper-V.
Bieżąca wersja skanera środowiska Hyper-V obsługuje skanowanie systemu wirtualnego w trybie online i offline wśrodowisku Hyper-V. Obsługiwane typy skanowania odpowiadają hostowanemu systemowi Hyper-V w systemieWindows i stanowi systemu wirtualnego:
118
Systemy wirtualne zfunkcją Hyper-V
Windows Server 2008R2 Hyper-V
Windows Server 2012Hyper-V
Windows Server 2012R2 Hyper-V
Windows Server2016 Hyper-V
Maszyna wirtualna wtrybie online
Brak skanowania Tylko do odczytu Tylko do odczytu Tylko do odczytu
Maszyna wirtualna wtrybie offline
Tylko do odczytu /leczenie
Tylko do odczytu /leczenie
Tylko do odczytu /leczenie
Tylko do odczytu /leczenie
Wymagania sprzętowe
Na serwerze nie powinny występować problemy z wydajnością podczas obsługi maszyn wirtualnych. Do skanowaniawykorzystywane są głównie zasoby procesora. Aby skanować maszyny wirtualne w trybie online, wymagane jestwolne miejsce na dysku. Miejsca musi być co najmniej dwukrotnie więcej niż zajmują punkty kontrolne/migawki idyski wirtualne.
Szczególne ograniczenia
· Skanowanie nie jest obsługiwane na dyskach RAID, woluminach łączonych ani dyskach dynamicznych zewzględu na charakter dysków dynamicznych. W związku z tym w miarę możliwości należy unikać korzystaniana maszynach wirtualnych z typu Dyski dynamiczne.
· Skanowanie jest zawsze przeprowadzane na bieżącej maszynie wirtualnej i nie ma wpływu na punktykontrolne ani zapisy bieżącego stanu.
· Produkt ESET File Security nie obsługuje obecnie środowisk Hyper-V działających na hostach w klastrze.
· Maszyny wirtualne na hoście Hyper-V z systemem Windows Server 2008 R2 można skanować wyłącznie wtrybie tylko do odczytu (Brak leczenia), niezależnie od poziomu leczenia wybranego w parametrachtechnologii ThreatSense.
UWAGAOprogramowanie ESET Security obsługuje skanowanie sektora głównego rekordu rozruchowego dyskuwirtualnego, jednak w przypadku tych obiektów docelowych jedyną dostępną metodą jest skanowanie wtrybie tylko do odczytu. Ustawienie to można zmienić w obszarze Ustawienia zaawansowane (F5) > Silnikdetekcji > Skanowanie środowiska Hyper-V > Parametry technologii ThreatSense > Sektory startowe.
Maszyna wirtualna przeznaczona do skanowania jest w trybie offline— w stanie Wyłączona
<%PN%> korzysta z funkcji zarządzania środowiskiem Hyper-V do wykrywania dysków wirtualnych i nawiązywania znimi połączeń. Dzięki temu program ESET File Security może uzyskiwać dostęp do zawartości dysków wirtualnych taksamo jak w przypadku danych i plików na dowolnym innym dysku.
Maszyna wirtualna przeznaczona do skanowania jest w trybie online— w stanie Uruchomiona, Wstrzymana,Zapisana
Do wykrywania dysków wirtualnych w programie ESET File Security używana jest funkcja zarządzania środowiskiemHyper-V. Nawiązanie rzeczywistego połączenia z tymi dyskami nie jest możliwe. W związku z tym program ESET FileSecurity tworzy punkt kontrolny/zapis bieżącego stanu maszyny wirtualnej, a następnie nawiązuje połączenie z tympunktem kontrolnym/zapisem bieżącego stanu. Po ukończeniu skanowania punkt kontrolny/zapis bieżącego stanujest usuwany. Umożliwia to przeprowadzenie skanowania w trybie tylko do odczytu, ponieważ na działającychmaszynach wirtualne nie są wprowadzane żadne zmiany związane z procedurą skanowania.
Należy poczekać, aż program ESET File Security utworzy zapis bieżącego stanu lub punkt kontrolny podczasskanowania. Należy wziąć to pod uwagę w przypadku uruchamiania skanowania na większej liczbie maszynwirtualnych w środowisku Hyper-V.
Konwencja tworzenia nazw
119
W przypadku modułu skanowania środowiska Hyper-V używana jest następująca konwencja tworzenia nazw:Nazwa maszyny wirtualnej\DyskX\WoluminY
X oznacza numer dysku, a Y — numer woluminu. Na przykład:Komputer\Dysk0\Wolumin1
Sufiks liczbowy dodawany jest na podstawie kolejności wykrywania, która jest identyczna z kolejnością widoczną wmenedżerze dysków maszyny wirtualnej. Konwencja tworzenia nazw stosowana jest na ustrukturyzowanejhierarchicznie liście obiektów docelowych skanowania, na pasku postępu oraz w plikach dziennika.
Przeprowadzanie skanowania
· Na żądanie — po kliknięciu opcji Skanowanie środowiska Hyper-V zostanie wyświetlona lista dostępnychmaszyn wirtualnych i woluminów, które można przeskanować. Należy wybrać maszyny wirtualne, dyski lubwoluminy do przeskanowania, a następnie kliknąć polecenie Skanuj.
· Tworzenie zadania harmonogramu
· Przy użyciu serwera ESET Security Management Center jako zadania klienta o nazwie Skanowanie serwera .
· Za pośrednictwem interfejsu eShell można zarządzać funkcją Skanowanie środowiska Hyper-V i uruchamiać ją.
Możliwe jest jednoczesne przeprowadzenie kilku skanowań środowiska Hyper-V. Po ukończeniu skanowaniaużytkownik otrzyma powiadomienie z łączem do plików dziennika.
Możliwe problemy
· Podczas skanowania maszyny wirtualnej w trybie online konieczne jest utworzenie punktu kontrolnego/zapisu bieżącego stanu tej maszyny wirtualnej, a podczas tworzenia punktu kontrolnego/zapisu bieżącegostanu niektóre ogólne działania wykonywane na maszynie wirtualnej mogą być ograniczone lub wyłączone.
· Jeśli skanowana maszyna wirtualna jest w trybie offline, nie można jej włączyć do momentu zakończeniaskanowania.
· W menedżerze funkcji Hyper-V możliwe jest nadanie dwóm maszynom wirtualnym identycznych nazw, costanowi problem przy próbie rozróżnienia tych maszyn podczas przeglądania dzienników skanowania.
6.1.10 System HIPS
System zapobiegania włamaniom działający na hoście (ang. Host-based Intrusion Prevention System, HIPS) chronisystem operacyjny przed szkodliwym oprogramowaniem i niepożądanymi działaniami mającymi na celu wywarcienegatywnego wpływu na komputer użytkownika. W rozwiązaniu tym używana jest zaawansowana analizabehawioralna powiązana z metodami wykrywania stosowanymi w filtrze sieciowym. Dzięki temu system HIPSmonitoruje uruchomione procesy, pliki i klucze rejestru. System HIPS jest modułem oddzielnym względem ochronysystemu plików w czasie rzeczywistym i nie jest zaporą. Monitoruje on tylko procesy uruchomione w systemieoperacyjnym.
OSTRZEŻENIEZmiany w ustawieniach systemu HIPS powinni wprowadzać jedynie doświadczeni użytkownicy. Nieprawidłoweskonfigurowanie ustawień systemu HIPS może spowodować niestabilność systemu.
Włącz technologię Self-DefenseProgram ESET File Security ma wbudowaną technologię Self-defense, która zapobiega uszkodzeniu lubwyłączeniu ochrony antywirusowej i antyspyware przez szkodliwe oprogramowanie, co daje pewność, żekomputer jest chroniony w sposób nieprzerwany. Zmiany ustawień Włącz system HIPS i Włącz technologię Self-defense odnoszą skutek dopiero po ponownym uruchomieniu systemu Windows. Wyłączenie całego systemuHIPS będzie również wymagać ponownego uruchomienia komputera.
Włącz usługę chronioną
120
Firma Microsoft po raz pierwszy funkcję usług chronionych w systemie Microsoft Windows Server 2012 R2.Zabezpiecza ona usługi przed atakami szkodliwego oprogramowania. Jądro programu ESET File Security jestdomyślnie uruchamiane jako usługa chroniona. Funkcja ta jest dostępna w systemie Microsoft Windows Server2012 R2 i nowszych systemach operacyjnych.
Zaawansowany skaner pamięciDziała w połączeniu z blokadą programów typu Exploit w celu wzmocnienia ochrony przed szkodliwymoprogramowaniem, które unika wykrycia przez produkty do ochrony przed szkodliwym oprogramowaniempoprzez zastosowanie zaciemniania kodu lub szyfrowania. Zaawansowany skaner pamięci jest domyślniewłączony. Więcej informacji na temat ochrony tego typu można znaleźć w słowniczku.
Blokada programów typu ExploitMa na celu wzmocnienie używanych zazwyczaj typów aplikacji, takich jak przeglądarki internetowe, przeglądarkiplików PDF, programy poczty e-mail oraz składniki pakietu MS Office. Blokada programów typu Exploit jestdomyślnie włączona. Więcej informacji na temat ochrony tego typu można znaleźć w słowniczku.
Ochrona przed oprogramowaniem wymuszającym okupAby skorzystać z tej funkcji, należy włączyć system HIPS i usługę ESET Live Grid. Więcej informacji na tematoprogramowania wymuszającego okup można znaleźć w słowniczku.
Tryb filtrowaniaMożna wybrać jeden z poniższych trybów filtrowania:
· Tryb automatyczny — dozwolone są wszystkie operacje z wyjątkiem operacji zablokowanych przez wstępniezdefiniowane reguły chroniące komputer. Dozwolone są wszystkie czynności z wyjątkiem zabronionych przedregułę.
· Tryb inteligentny— użytkownik będzie powiadamiany wyłącznie o szczególnie podejrzanych zdarzeniach.
· Tryb interaktywny — użytkownik jest monitowany o potwierdzenie operacji. Dostępne opcje to zezwoleniena dostęp lub odmowa dostępu, Utwórz regułę, Tymczasowo zapamiętaj czynność.
· Tryb oparty na politykach — operacje są blokowane. Akceptowane są wyłącznie reguły użytkownika/wstępniezdefiniowane.
· Tryb uczenia się — operacje są dozwolone, a po każdej operacji jest tworzona reguła. Reguły utworzone wtym trybie można przeglądać w oknie Edytor reguł. Mają one niższy priorytet niż reguły utworzone ręcznie iutworzone w trybie automatycznym. Po wybraniu opcji Tryb uczenia się z menu rozwijanego trybu filtrowaniaHIPS udostępnione zostanie ustawienie Termin zakończenia trybu uczenia się. Użytkownik może wskazać, najaki czas chce włączyć tryb uczenia się (maksymalny dostępny czas to 14 dni). Po upływie wskazanego czasuzostanie wyświetlony monit o przeprowadzenie edycji reguł utworzonych przez system HIPS w trybie uczeniasię. Można również wybrać różne tryby filtrowania lub odroczyć podjęcie decyzji i kontynuować korzystanie ztrybu uczenia się.
RegułyReguły określają, które aplikacje uzyskają dostęp do określonych plików, części rejestru lub innych aplikacji.System HIPS monitoruje zdarzenia w systemie operacyjnym i reaguje na nie na podstawie reguł podobnych doreguł używanych przez zaporę osobistą. Kliknięcie opcji Edytuj powoduje otwarcie okna zarządzania regułamisystemu HIPS. Jeśli czynnością domyślną ustawioną dla danej reguły jest Pytaj, po każdym uruchomieniu danejreguły wyświetlone zostanie okno dialogowe. Można wybrać opcję Blokuj lub Zezwól w odniesieniu do danejoperacji. Jeśli użytkownik nie wybierze żadnej opcji przed upływem ustalonego czasu, nowa reakcja zostaniewybrana na podstawie reguł.
121
Okno dialogowe umożliwia tworzenie reguł w oparciu o dowolne nowe czynności wykrywane przez systemHIPS, a następnie określenie warunków, na jakich dana czynność ma być dozwolona lub blokowana. Dokładneparametry można ustawić po kliknięciu przycisku Więcej informacji. Utworzone w ten sposób reguły sątraktowane tak samo jak reguły utworzone ręcznie, dlatego reguła utworzona z poziomu okna dialogowegomoże być ogólniejsza niż reguła, która spowodowała otwarcie tego okna. Oznacza to, że po utworzeniu takiejreguły ta sama operacja może spowodować otwarcie tego samego okna.Opcja Tymczasowo zapamiętaj czynność dla tego procesu powoduje stosowanie czynności (Zezwól/Blokuj) doczasu zmiany reguł lub trybu filtrowania, aktualizacji modułu HIPS lub ponownego uruchomienia systemu. Powystąpieniu dowolnej z tych trzech czynności reguły tymczasowe zostaną usunięte.
6.1.10.1 Ustawienia reguł systemu HIPS
W tym oknie dostępny jest przegląd istniejących reguł systemu HIPS.
Reguła Nazwa reguły podana przez użytkownika lub wybrana automatycznie.
Włączone Wyłączenie tego przełącznika spowoduje, że reguła pozostanie na liście, ale nie będzie stosowana.
Czynność Określona przez regułę czynność (Zezwól, Blokuj lub Pytaj), która ma zostać wykonana, gdy spełnionesą warunki.
Źródła Reguła będzie stosowana tylko wówczas, gdy zdarzenie zostanie spowodowane przez wymienioneaplikacje.
Obiektydocelowe
Reguła będzie stosowana tylko wówczas, gdy dana operacja będzie związana z określonym plikiem,aplikacją lub wpisem rejestru.
Stopieńszczegółowości
Uruchomienie tej opcji spowoduje, że informacje o regule będą zapisywane w dzienniku systemuHIPS.
122
Reguła Nazwa reguły podana przez użytkownika lub wybrana automatycznie.
zapisywaniaw dzienniku
Powiadomużytkownika
Po wywołaniu zdarzenia w prawym dolnym rogu ekranu zostanie wyświetlone małe wyskakująceokno.
Można utworzyć nową regułę, dodać nowe reguły systemu HIPS lub edytować zaznaczone wpisy.
Nazwa regułyNazwa reguły podana przez użytkownika lub wybrana automatycznie.
CzynnośćOkreślona przez regułę czynność (Zezwól, Blokuj lub Pytaj), która ma zostać wykonana, gdy spełnione sąwarunki.
Operacje dotycząceNależy wybrać typ operacji, w odniesieniu do której stosowana będzie reguła. Reguła będzie stosowana tylko wprzypadku podanego typu operacji i wybranego elementu docelowego. Reguła składa się z części, które opisująwarunki powodujące jej wywołanie.
Aplikacje źródłoweReguła będzie stosowana tylko wtedy, gdy zdarzenie zostanie spowodowane przez wymienione aplikacje. Wcelu dodania nowych plików lub folderów należy wybrać z menu rozwijanego pozycję Określone aplikacje ikliknąć przycisk Dodaj. W celu dodania wszystkich aplikacji można wybrać z menu rozwijanego opcję Wszystkieaplikacje.
UWAGANiektórych operacji dotyczących określonych reguł wstępnie zdefiniowanych w systemie HIPS nie możnablokować i są one domyślnie dozwolone. Ponadto nie wszystkie operacje systemowe są monitorowane przezsystem HIPS. System HIPS monitoruje operacje, które można uznać za niebezpieczne.
Opisy ważnych operacji:
Operacje na plikach:
Usunięcie pliku Aplikacja monituje o zezwolenie na usunięcie pliku docelowego.
Zapis do pliku Aplikacja monituje o zezwolenie na zapis do pliku docelowego.
Bezpośrednidostęp do dysku
Aplikacja próbuje dokonywać odczytu z dysku lub zapisu na dysku w niestandardowy sposób,omijający standardowe procedury systemu Windows. Może to spowodować modyfikacje plikówbez zastosowania odpowiednich reguł. Ta operacja może być spowodowana przez szkodliweoprogramowanie próbujące uniknąć wykrycia, program do tworzenia kopii zapasowychpróbujący wykonać dokładną kopię dysku lub program do zarządzania partycjami próbującyzmienić układ woluminów dyskowych.
Instalacjaglobalnegopunktuzaczepienia
Wskazuje na wywołanie funkcji SetWindowsHookEx z biblioteki MSDN.
123
Usunięcie pliku Aplikacja monituje o zezwolenie na usunięcie pliku docelowego.
Ładowaniesterownika
Instalowanie i wczytywanie sterowników w systemie.
Reguła będzie stosowana tylko wtedy, gdy operacja będzie dotyczyła określonego elementu docelowego. Aby dodaćnowe pliki lub foldery, należy wybrać z menu rozwijanego opcję Określone pliki i kliknąć przycisk Dodaj. Możnatakże wybrać z menu rozwijanego opcję Wszystkie pliki, aby dodać wszystkie aplikacje.
Operacje na aplikacjach:
Debugowanie innej aplikacji Dołączenie debugera do procesu. Podczas debugowania aplikacji można odczytać izmodyfikować wiele szczegółów związanych z jej działaniem oraz uzyskać dostępdo jej danych.
Przechwytywanie zdarzeń zinnej aplikacji
Aplikacja źródłowa próbuje przechwycić zdarzenia skierowane do określonejaplikacji (na przykład program rejestrujący znaki wprowadzane na klawiaturzepróbuje przechwycić zdarzenia przeglądarki internetowej).
Zakończenie/wstrzymanieinnej aplikacji
Zawieszenie, wznowienie lub zakończenie procesu (dostęp można uzyskaćbezpośrednio z Eksploratora procesów lub okna Procesy).
Uruchomienie nowej aplikacji Uruchamianie nowych aplikacji lub procesów.
Modyfikacja stanu innejaplikacji
Aplikacja źródłowa próbuje dokonać zapisu w pamięci aplikacji docelowych luburuchomić kod w ich imieniu. Ta funkcja może być przydatna do zapewnieniaochrony ważnej aplikacji przez skonfigurowanie tej aplikacji jako docelowej wregule blokującej korzystanie z tej operacji.
Reguła będzie stosowana tylko wtedy, gdy operacja będzie dotyczyła określonego elementu docelowego. Aby dodaćnowe pliki lub foldery, należy wybrać z menu rozwijanego opcję Określone aplikacje i kliknąć przycisk Dodaj. Możnatakże wybrać z menu rozwijanego opcję Wszystkie aplikacje, aby dodać wszystkie aplikacje.
Operacje na rejestrze:
Zmiana ustawieńuruchamiania
Dowolne zmiany w ustawieniach określających, które aplikacje będą uruchamiane podczasuruchamiania systemu Windows. Można je znaleźć, przeszukując na przykład klucz Run wrejestrze systemu Windows.
Usunięcie zrejestru
Usunięcie klucza rejestru lub jego wartości.
Zmiana nazwyklucza rejestru
Zmiana nazw kluczy rejestru.
Modyfikacjarejestru
Tworzenie nowych wartości kluczy rejestru, zmienianie istniejących wartości, przenoszeniedanych w drzewie bazy danych lub ustawianie praw użytkowników lub grup do kluczy rejestru.
Reguła będzie stosowana tylko wtedy, gdy operacja będzie dotyczyła określonego elementu docelowego. Aby dodaćnowe pliki lub foldery, należy wybrać opcję Określone wpisy z menu rozwijanego i kliknąć przycisk Dodaj. Możnatakże wybrać z menu rozwijanego opcję Wszystkie wpisy, aby dodać wszystkie aplikacje.
124
UWAGAWprowadzając obiekt docelowy, można stosować symbole wieloznaczne z pewnymi ograniczeniami. Wścieżkach rejestru można zamiast określonego klucza stosować znak * (gwiazdkę), na przykład ścieżka HKEY_USERS\*\sof tware może oznaczać HKEY_USERS\.def ault\sof tware, lecz nie HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.def ault\sof tware. HKEY_LOCAL_MACHINE\system\ControlSet* nie jestdozwoloną ścieżką klucza rejestru. Ścieżka klucza rejestru zakończona znakami \* oznacza „ta ścieżka lubdowolna ścieżka na dowolnym poziomie po tym symbolu”. Jest to jedyny sposób stosowania symboliwieloznacznych w przypadku ścieżek plików. Najpierw sprawdzana jest konkretna część ścieżki, a następnieścieżka odpowiadająca symbolowi wieloznacznemu (*).
OSTRZEŻENIEW przypadku utworzenia zbyt ogólnej reguły może zostać wyświetlone ostrzeżenie.
6.1.10.2 Ustawienia zaawansowane
Poniższe opcje są przydatne podczas debugowania i analizowania działania aplikacji:
Sterowniki zawsze mogą być ładowaneWybrane sterowniki zawsze mogą być ładowane, bez względu na skonfigurowany tryb filtrowania, chyba żezostaną wyraźnie zablokowane przez regułę użytkownika. Sterowniki wyszczególnione na tej liście mogą byćładowane zawsze, niezależnie od trybu filtrowania HIPS, chyba że zostaną wyraźnie zablokowane przez regułęustaloną przez użytkownika. Można dodać nowy sterownik oraz edytować lub usunąć wybrany sterownik naliście.
UWAGAJeśli sterowniki dodane przez użytkownika ręcznie nie mają być uwzględniane, należy kliknąć opcję Resetuj. Taopcja może być przydatna, gdy użytkownik dodał kilka sterowników i nie chce usuwać ich z listy ręcznie.
Zapisuj w dzienniku informacje o wszystkich zablokowanych operacjachWszystkie zablokowane operacje zostaną zarejestrowane w dzienniku systemu HIPS.
Powiadamiaj o zmianach w uruchamianych aplikacjachWyświetla powiadomienie na pulpicie za każdym razem, gdy aplikacja jest dodawana lub usuwana z listyaplikacji wykonywanych przy uruchamianiu systemu.
6.2 Ustawienia aktualizacji
Ta sekcja określa informacje o źródle aktualizacji, na przykład dotyczące używanych serwerów aktualizacji orazdanych uwierzytelniających dla tych serwerów.
UWAGAPoprawność pobierania aktualizacji zależy od prawidłowego wprowadzenia wszystkich parametrówaktualizacji. Jeśli używana jest zapora, należy się upewnić, że nie blokuje ona programowi ESET dostępu doInternetu (na przykład komunikacji HTTP).
Podstawowa
Wybierz domyślny profil aktualizacjiWybieranie istniejącego lub tworzenie nowego profilu, który zostanie domyślnie zastosowany do aktualizacji.
Wyczyść pamięć podręczną aktualizacji
125
W przypadku problemów z aktualizacją należy kliknąć przycisk Wyczyść, aby usunąć tymczasową pamięćpodręczną aktualizacji.
Automatycznie ustaw maksymalny wiek silnika detekcji/Maksymalny wiek silnika detekcji (dni)Umożliwia ustawienie maksymalnego czasu (w dniach), po upływie którego silnik detekcji zostanie zgłoszonyjako nieaktualny. Wartość domyślna to 7.
Cofanie modułuW razie podejrzeń, że nowa aktualizacja silnika detekcji i/lub modułów programu może być niestabilna lubuszkodzona, można wycofać zmiany i wrócić do poprzedniej wersji oraz wyłączyć aktualizacje na określony czas.Można także włączyć aktualizacje, które zostały wcześniej wyłączone na czas nieokreślony. Program ESET FileSecurity zapisuje migawki silnika detekcji i modułów programu przeznaczone do użycia z funkcją Cofanie zmian.Aby tworzyć migawki silnika detekcji, należy pozostawić włączoną opcję Utwórz kopie wcześniejszych plikówaktualizacji.
Liczba kopii przechowywanych lokalnieUmożliwia określenie liczby przechowywanych wcześniejszych migawek modułu.
Profile
Aby utworzyć niestandardowy profil aktualizacji, wybierz opcję Edytuj obok pozycji Lista profili, wprowadź własnąnazwę w polu Nazwa profilu, a następnie kliknij przycisk Dodaj. Można wybrać profil do edycji i zmodyfikowaćparametry typów aktualizacji modułów lub utworzyć kopię dystrybucyjną aktualizacji.
Aktualizacje
Z menu rozwijanego należy wybrać typ aktualizacji, który ma zostać użyty:
· Regularna aktualizacja — domyślnie w menu Typ aktualizacji ustawiona jest opcja Regularna aktualizacja,która zapewnia automatyczne pobieranie plików aktualizacji z serwera firmy ESET przy jak najmniejszymobciążaniu sieci.
· Aktualizacja w wersji wstępnej — aktualizacje takie przeszły wszechstronne testy wewnętrzne i wkrótcezostaną udostępnione do ogólnego użytku. Włączenie aktualizacji w wersji wstępnej przynosi korzyść wpostaci dostępu do najnowszych metod wykrywania i poprawek. Aktualizacje te mogą być jednak czasemniestabilne i NIE NALEŻY ich używać na produkcyjnych serwerach i stacjach roboczych, od których wymaga sięmaksymalnej dostępności i stabilności.
· Opóźniona aktualizacja — umożliwia dokonywanie aktualizacji ze specjalnych serwerów aktualizacji,zapewniających dostęp do nowych wersji baz wirusów z opóźnieniem co najmniej X godzin, czyli bazprzetestowanych w prawdziwym środowisku i z tego powodu uważanych za stabilne.
Pytaj przed pobraniem aktualizacjiPo udostępnieniu nowej aktualizacji, a przed jej pobraniem zostanie wyświetlony monit.
Pytaj, jeśli plik aktualizacji jest większy niż (kB)Jeśli plik aktualizacji ma rozmiar większy niż wybrana wartość w polu, wyświetlone zostanie powiadomienie.
Wyłącz wyświetlanie powiadomień o pomyślnej aktualizacjiPowoduje wyłączenie powiadomień na pasku zadań w prawym dolnym rogu ekranu. Opcja ta może byćużyteczna w przypadku aplikacji lub gier działających w trybie pełnoekranowym. Należy pamiętać, że włączenietrybu prezentacji powoduje wyłączenie wszystkich powiadomień.
Aktualizacje modułówDomyślnie w odniesieniu do aktualizacji modułów jest zaznaczona opcja Wybierz automatycznie. Serweraktualizacji to określenie lokalizacji, w której są przechowywane aktualizacje. W przypadku korzystania zserwera ESET zalecane jest pozostawienie włączonej opcji domyślnej.
126
W przypadku korzystania z lokalnego serwera HTTP, znanego też jako Kopia dystrybucyjna, należy wprowadzićnastępujące ustawienia serwera aktualizacji:http://nazwa_komputera_lub_j ego_adres_IP:2221
W przypadku korzystania z lokalnego serwera HTTP z protokołem SSL należy wprowadzić następujące ustawieniaserwera aktualizacji: https://nazwa_komputera_lub_j ego_adres_IP:2221
W przypadku korzystania z lokalnego folderu udostępnionego należy wprowadzić następujące ustawienia serweraaktualizacji: \\nazwa_lub_adres_IP_komputera\f older_udostępniony
Włącz częstsze aktualizacje sygnatur wykrywaniaInterwał aktualizacji silnika detekcji będzie krótszy. Wyłączenie tej opcji może mieć negatywny wpływ nastopień wykrywania.
Zezwól na aktualizacje modułów z nośników wymiennychUmożliwia aktualizację z nośnika wymiennego, który zawiera kopię dystrybucyjną. W przypadku wybrania opcji Automatycznie aktualizacje będą uruchamiane w tle. W celu wyświetlania okien dialogowych aktualizacji należywybrać opcję Zawsze pytaj.
Aktualizacja komponentu programuMenu rozwijane Tryb aktualizacji umożliwia wybranie sposobu stosowania aktualizacji komponentów programuESET File Security po ich udostępnieniu. Aktualizacje komponentów zazwyczaj modyfikują istniejące funkcje,lecz mogą również wprowadzać nowe funkcje. W zależności od wybranego trybu aktualizacja komponentówmoże być przeprowadzana automatycznie bez konieczności interwencji ze strony użytkownika. Można równieżwybrać opcję wyświetlania powiadomień przed zainstalowaniem aktualizacji. Po dokonaniu aktualizacjikomponentów może być wymagane ponowne uruchomienie serwera. Dostępne są następujące trybyaktualizacji:
· Pytaj przed aktualizacją — po udostępnieniu aktualizacji produktu wyświetlony zostanie monit o udzielenielub odmowę zgody na ich pobranie i zainstalowanie. Jest to opcja domyślna. Po dokonaniu aktualizacjikomponentów może być wymagane ponowne uruchomienie serwera.
· Aktualizuj automatycznie — aktualizacje komponentów będą automatycznie pobierane i instalowane. Niezalecamy wybierania tej opcji, ponieważ program ESET File Security automatycznie uruchomi ponownieserwer po dokonaniu aktualizacji komponentów.
· Nigdy nie aktualizuj — aktualizacje komponentów nie będą przeprowadzane. Zalecamy wybranie tej opcji,ponieważ umożliwia ona ręczne uruchamianie aktualizacji komponentów i ponowne uruchamianie serwerapodczas zaplanowanej konserwacji.
WAŻNEW trybie automatycznej aktualizacji ukończenie aktualizacji komponentów powoduje automatyczne ponowneuruchomienie serwera.
Opcje połączenia
Serwer proxyPrzejście do opcji konfiguracji serwera proxy dla danego profilu aktualizacji. Należy kliknąć opcję Tryb proxy iwybrać jedną z trzech następujących opcji:
· Nie używaj serwera proxy — podczas aktualizacji programu ESET File Security nie będzie używany żadenserwer proxy.
127
· Użyj globalnych ustawień serwera proxy — zostaną użyte opcje konfiguracyjne serwera proxy określone wobszarze Ustawienia zaawansowane (F5) > Narzędzia > Serwer proxy.
· Połączenie przez serwer proxy — tej opcji należy użyć w następujących sytuacjach:
Podczas aktualizacji programu ESET File Security ma być używany serwer proxy inny niż wybrany w ustawieniachglobalnych (Narzędzia > Serwer proxy). W takiej sytuacji należy wprowadzić dodatkowe ustawienia: adres serweraproxy, port komunikacyjny (domyślnie 3128) oraz nazwę użytkownika i hasło, jeśli są wymagane w przypadkudanego serwera proxy.
Nie skonfigurowano ustawień serwera proxy na poziomie globalnym, ale program ESET File Security będzie łączyćsię z serwerem proxy w celu aktualizacji.
Komputer jest podłączony do Internetu za pośrednictwem serwera proxy. Podczas instalacji programu ustawieniasą pobierane z programu Internet Explorer, jednak jeśli później ulegną one zmianie (np. użytkownik zmienidostawcę Internetu), należy upewnić się, że ustawienia serwera proxy HTTP wyświetlone w tym oknie sąpoprawne. W przeciwnym razie program nie będzie mógł nawiązać połączenia z serwerami aktualizacji.
UWAGADane uwierzytelniające, tzn. Nazwa użytkownika i Hasło, dotyczą dostępu do serwera proxy. Pola te należywypełnić tylko wtedy, gdy jest wymagane podanie nazwy użytkownika i hasła. Należy pamiętać, że nie są tonazwa użytkownika ani hasło programu ESET File Security. Pola te należy wypełnić tylko wtedy, gdy wiadomo,że w celu korzystania z Internetu niezbędne jest hasło serwera proxy.
Użyj połączenia bezpośredniego, jeśli serwer proxy jest niedostępnyJeśli w produkcie skonfigurowano korzystanie z serwera proxy HTTP, ale serwer ten jest niedostępny, produktpominie go i będzie się łączyć bezpośrednio z serwerami firmy ESET.
Udziały systemu WindowsW celu pobrania aktualizacji z serwera lokalnego z systemem Windows domyślnie wymagane jestuwierzytelnianie każdego połączenia sieciowego.
Połącz z siecią LAN jakoAby skonfigurować konto, należy wybrać jedną z następujących opcji:
· Konto systemowe (domyślnie) — umożliwia użycie konta systemowego na potrzeby uwierzytelniania.Zazwyczaj uwierzytelnianie nie jest przeprowadzane, jeśli w głównej sekcji ustawień aktualizacji nie podanodanych uwierzytelniających.
· Bieżący użytkownik — wybranie tej opcji powoduje uwierzytelnianie przy użyciu konta obecniezalogowanego użytkownika. Wadą tego rozwiązania jest to, że program nie jest w stanie połączyć się zserwerem aktualizacji, jeśli w danym momencie nie jest zalogowany żaden użytkownik.
· Określony użytkownik — wybranie tej opcji powoduje uwierzytelnianie przy użyciu konta określonegoużytkownika. Z tej metody należy skorzystać, jeśli nie uda się nawiązać połączenia za pomocą domyślnegokonta systemowego. Należy pamiętać, że wskazane konto użytkownika musi zapewniać dostęp do katalogu zplikami aktualizacyjnymi na serwerze lokalnym. Jeśli dany użytkownik nie będzie dysponować uprawnieniamidostępu, program nie będzie mógł nawiązać połączenia ani pobrać aktualizacji.
OSTRZEŻENIEJeśli została wybrana opcja Bieżący użytkownik lub Określony użytkownik, przy zmianie tożsamości wprogramie na żądanego użytkownika może wystąpić błąd. Zalecane jest wprowadzenie danychuwierzytelniających sieci LAN w głównej sekcji ustawień aktualizacji. Należy wprowadzić dane
128
uwierzytelniające w tej sekcji ustawień aktualizacji w następujący sposób: domain_name\user (w przypadkugrupy roboczej workgroup_name\name) oraz hasło. W przypadku aktualizacji z wersji HTTP serwera lokalnegouwierzytelnianie nie jest wymagane.
Przerwij połączenie z serwerem po zakończeniu aktualizacjiUmożliwia wymuszenie przerwania połączenia z serwerem, jeśli pozostaje ono aktywne po zakończeniupobierania aktualizacji.
Kopia dystrybucyjna aktualizacji
Opcje konfiguracji lokalnego serwera kopii dystrybucyjnych znajdują się w drzewie Ustawienia zaawansowane (F5),na karcie Aktualizacja > Profile > Kopia dystrybucyjna.
6.2.1 Cofanie aktualizacji
Po kliknięciu opcji Cofanie zmian należy z menu rozwijanego wybrać okres, w którym aktualizacje bazy sygnaturwirusów i modułów programu będą wstrzymane.
Wybranie opcji Do odwołania umożliwia odroczenie regularnych aktualizacji na czas nieokreślony do czasu ręcznegoprzywrócenia funkcji aktualizacji. Wybór tej opcji nie jest zalecany, ponieważ wiąże się ona z potencjalnymzagrożeniem bezpieczeństwa.
Baza sygnatur wirusów jest przywracana do najstarszej przechowywanej wersji i zapisywana w postaci migawki wsystemie plików lokalnego komputera.
6.2.2 Zaplanowane zadanie — aktualizacja
Aby można było aktualizować program przy użyciu dwóch serwerów aktualizacji, konieczne jest utworzenie dwóchróżnych profili aktualizacji. Jeśli nie powiedzie się pobieranie plików aktualizacji w ramach pierwszego profilu,program automatycznie przełączy się na drugi. Takie rozwiązanie jest odpowiednie na przykład dla notebooków,które zwykle korzystają z serwera aktualizacji w sieci lokalnej, ale ich właściciele często łączą się z Internetempoprzez inne sieci. Jeśli w takiej sytuacji próba aktualizacji przy użyciu pierwszego profilu nie powiedzie się,automatycznie zostanie użyty drugi profil w celu pobrania plików aktualizacji z serwerów aktualizacji firmy ESET.
PRZYKŁAD
Poniższe kroki umożliwiają wykonanie zadania edycji istniejącego elementu Regularna aktualizacjaautomatyczna.
1. Na ekranie głównym Harmonogram wybierz zadanie Aktualizacja o nazwie Regularna aktualizacjaautomatyczna i kliknij opcję Edytuj. Zostanie otwarty kreator konfiguracji.
2. Ustaw opcję uruchamiania zadania harmonogramu i wybierz jedną z poniższych opcji określającychczęstotliwość, aby zdefiniować czas uruchamiania zaplanowanego zadania.
3. Jeśli nie chcesz, aby zadanie było wykonywane, gdy komputer jest zasilany z baterii (np. gdy działa nazasilaniu awaryjnym), kliknij przełącznik obok opcji Pomiń zadanie, gdy komputer jest zasilany z baterii.
4. Wybierz profil aktualizacji do użycia oraz działanie, które zostanie podjęte w przypadku niepowodzeniazaplanowanego zadania.
5. Aby zatwierdzić zadanie, kliknij przycisk Zakończ.
129
6.2.3 kopia dystrybucyjna aktualizacji
Program ESET File Security umożliwia tworzenie kopii plików aktualizacji, których można używać do aktualizowaniainnych stacji roboczych w sieci. Korzystanie z kopii dystrybucyj nej , czyli kopii plików aktualizacji, w środowisku sieciLAN jest wygodne, ponieważ eliminuje potrzebę pobierania tych plików przez każdą stację roboczą bezpośrednio zserwera aktualizacji dostawcy. Aktualizacje są pobierane na lokalny serwer kopii dystrybucyjnych, a następniedystrybuowane do wszystkich stacji roboczych, by uniknąć ryzyka generowania nadmiernego ruchu sieciowego.Aktualizowanie klienckich stacji roboczych przy użyciu kopii dystrybucyjnej pozwala na oszczędne korzystanie zprzepustowości połączenia internetowego.
kopia dystrybucyjna aktualizacji
Utwórz kopię dystrybucyjną aktualizacjiPowoduje uaktywnienie opcji konfiguracji kopii dystrybucyjnej.
Folder przechowywaniaKliknij polecenie Wyczyść, aby zmienić zdefiniowany folder domyślny zapisu kopii dystrybucyjnej plików C:\ProgramData\ESET\ESET File Security\mirror. Kliknij polecenie Edytuj, aby przejść do folderu na komputerzelokalnym lub do udostępnionego folderu sieciowego. Jeśli dany folder wymaga autoryzacji, należy wprowadzićdane uwierzytelniające w polach Nazwa użytkownika i Hasło. Jeśli wybrany folder docelowy znajduje się nadysku sieciowym w systemie operacyjnym Windows NT, 2000 lub XP, należy wprowadzić nazwę użytkownika,któremu przyznano uprawnienia zapisu do tego folderu, oraz skojarzone z nią hasło.Nazwę użytkownika i hasło należy wprowadzić w formacie Domain/User lub Workgroup/User. Należy pamiętaćo podaniu odpowiednich haseł.
Aktualizacja komponentu programu
PlikiPodczas konfigurowania kopii dystrybucyjnej można wybrać wersje językowe plików aktualizacji, które majązostać pobrane. Wybrane języki muszą być obsługiwane przez serwer kopii dystrybucyjnych skonfigurowanyprzez użytkownika.
Automatycznie aktualizuj komponentyUmożliwia instalację nowych funkcji i aktualizacji funkcji istniejących. Aktualizacja może być wykonywanaautomatycznie, bez interwencji użytkownika. Istnieje też możliwość powiadamiania użytkownika oaktualizacjach. Po zainstalowaniu aktualizacji produktu konieczne może być ponowne uruchomieniekomputera.
Zaktualizuj teraz komponentyAktualizuje komponenty programu do najnowszej wersji.
Serwer HTTP
Port serweraPort domyślny to 2221. W przypadku korzystania z innego portu należy zmienić tę wartość.
UwierzytelnianieOkreślenie metody uwierzytelniania dostępu do plików aktualizacji. Dostępne są następujące opcje: Brak,Podstawowe i NTLM.
· Wybór opcji Podstawowe spowoduje stosowanie kodowania base64 i podstawowej metody uwierzytelnianiaopartej na nazwie użytkownika i haśle.
· Opcja NTLM umożliwia uwierzytelnianie przy użyciu bezpiecznego kodowania. Na potrzeby uwierzytelnianiaużywane jest konto użytkownika utworzone na stacji roboczej udostępniającej pliki aktualizacji.
· Ustawienie domyślne Brak zapewnia dostęp do plików aktualizacji bez konieczności uwierzytelniania.
130
OSTRZEŻENIEAby dostęp do plików aktualizacji był możliwy za pośrednictwem serwera HTTP, folder kopii dystrybucyjnejmusi znajdować się na tym samym komputerze co instancja programu ESET File Security, w której ten folderzostał utworzony.
SSL dla serwera HTTPJeśli ma zostać uruchomiony serwer HTTP z obsługą protokołu HTTPS (SSL), należy dołączyć plik łańcuchacertyfikatu lub wygenerować certyfikat podpisany samodzielnie. Dostępne są następujące typy certyfikatów:PEM, PFX i ASN. Aby dodatkowo zwiększyć bezpieczeństwo, przy pobieraniu plików aktualizacji można użyćprotokołu HTTPS. Przy zastosowaniu tego protokołu śledzenie transferu danych i poświadczeń podczaslogowania jest niemal niemożliwe.Domyślne ustawienie opcji Typ klucza prywatnego to Zintegrowany (w związku z tym opcja Plik kluczaprywatnego jest domyślnie wyłączona). Oznacza to, że klucz prywatny stanowi część wybranego pliku łańcuchacertyfikatu.
Opcje połączenia
Udziały systemu WindowsW celu pobrania aktualizacji z serwera lokalnego z systemem Windows domyślnie wymagane jestuwierzytelnianie każdego połączenia sieciowego.
Połącz z siecią LAN jakoAby skonfigurować konto, należy wybrać jedną z następujących opcji:
· Konto systemowe (domyślnie) — umożliwia użycie konta systemowego na potrzeby uwierzytelniania.Zazwyczaj uwierzytelnianie nie jest przeprowadzane, jeśli w głównej sekcji ustawień aktualizacji nie podanodanych uwierzytelniających.
· Bieżący użytkownik — wybranie tej opcji powoduje uwierzytelnianie przy użyciu konta obecniezalogowanego użytkownika. Wadą tego rozwiązania jest to, że program nie jest w stanie połączyć się zserwerem aktualizacji, jeśli w danym momencie nie jest zalogowany żaden użytkownik.
· Określony użytkownik — wybranie tej opcji powoduje uwierzytelnianie przy użyciu konta określonegoużytkownika. Z tej metody należy skorzystać, jeśli nie uda się nawiązać połączenia za pomocą domyślnegokonta systemowego. Należy pamiętać, że wskazane konto użytkownika musi zapewniać dostęp do katalogu zplikami aktualizacyjnymi na serwerze lokalnym. Jeśli dany użytkownik nie będzie dysponować uprawnieniamidostępu, program nie będzie mógł nawiązać połączenia ani pobrać aktualizacji.
OSTRZEŻENIEJeśli została wybrana opcja Bieżący użytkownik lub Określony użytkownik, przy zmianie tożsamości wprogramie na żądanego użytkownika może wystąpić błąd. Zalecane jest wprowadzenie danychuwierzytelniających sieci LAN w głównej sekcji ustawień aktualizacji. Należy wprowadzić daneuwierzytelniające w tej sekcji ustawień aktualizacji w następujący sposób: domain_name\user (w przypadkugrupy roboczej workgroup_name\name) oraz hasło. W przypadku aktualizacji z wersji HTTP serwera lokalnegouwierzytelnianie nie jest wymagane.
Przerwij połączenie z serwerem po zakończeniu aktualizacjiUmożliwia wymuszenie przerwania połączenia z serwerem, jeśli pozostaje ono aktywne po zakończeniupobierania aktualizacji.
131
6.3 Ochrona sieci
Ochrona przed atakami z sieci (IDS)Umożliwia konfigurowanie dostępu do niektórych usług uruchomionych na komputerze ze strefy zaufanej orazwłączanie/wyłączanie wykrywania różnych typów ataków i luk w zabezpieczeniach, które mogą byćwykorzystane do uszkodzenia komputera.
Włącz ochronę przed botnetamiWykrywanie i blokowanie komunikacji ze szkodliwymi serwerami sterowania i kontroli na podstawie typowychwzorców, kiedy komputer zostanie zainfekowany i bot podejmie próbę nawiązania komunikacji.
Wyjątki IDSUmożliwia edytowanie działania Zapory ESET w przypadku różnych procedur wykrywania przez IDS.
Wykrywanie włamań:
Protokół SMB — wykrywanie i blokowanie różnych zagrożeń dotyczących protokołu SMB.
Protokół RPC — wykrywanie i blokowanie różnych zagrożeń CVE w systemie zdalnego wywoływania proceduropracowanym na potrzeby środowisk przetwarzania rozproszonego (Distributed Computing Environment, DCE).
Protokół RDP — wykrywanie i blokowanie różnych zagrożeń CVE dotyczących protokołu RDP (patrz wyżej).
Blokowanie niebezpiecznych adresów po wykryciu ataku — adresy IP wykryte jako źródła ataków zostają dodanedo czarnej listy w celu uniemożliwienia komunikacji z nimi przez określony czas.
Wyświetl powiadomienie po wykryciu ataku — włączanie wyświetlania powiadomień na pasku zadań w prawymdolnym rogu ekranu.
Wyświetlaj także powiadomienia po wykryciu ataku przychodzącego na luki zabezpieczeń — powiadamianie wprzypadku wykrycia ataków z wykorzystaniem luk zabezpieczeń lub próby naruszenia zabezpieczeń systemu w tensposób.
Sprawdzanie pakietów:
Zezwól w protokole SMB na połączenia przychodzące do udziałów administracyjnych — udziały administracyjne todomyślne udziały sieciowe udostępniające partycje dysku twardego (C$, D$, ...) w systemie razem z folderemsystemowym (ADMIN$). Wyłączenie połączenia z udziałami administracyjnymi pozwala zwiększyć poziomzabezpieczeń systemu. Na przykład robak Conficker wykonuje ataki słownikowe w celu nawiązania połączenia zudziałami administracyjnymi.
Odmów starym (nieobsługiwanym) dialektom protokołu SMB — odrzucanie sesji SMB używających starego dialektuprotokołu SMB nieobsługiwanego przez funkcję IDS. Nowoczesne systemy operacyjne Windows obsługują staredialekty SMB ze względu na zgodność wsteczną ze starszymi systemami takimi jak Windows 95. Atakujący możeposłużyć się starym dialektem w ramach sesji SMB, aby uniknąć sprawdzenia ruchu. Należy odmówić starymdialektom SMB, jeśli komputer nie musi udostępniać plików komputerom ze starszą wersją systemu Windows (lubjeśli w ogóle nie korzysta z komunikacji za pomocą protokołu SMB).
Odmów starym (nieobsługiwanym) dialektom protokołu SMB — odrzucanie sesji SMB używających starego dialektuprotokołu SMB nieobsługiwanego przez funkcję IDS. Nowoczesne systemy operacyjne Windows obsługują staredialekty SMB ze względu na zgodność wsteczną ze starszymi systemami takimi jak Windows 95. Atakujący możeposłużyć się starym dialektem w ramach sesji SMB, aby uniknąć sprawdzenia ruchu. Należy odmówić starym
132
Zezwól w protokole SMB na połączenia przychodzące do udziałów administracyjnych — udziały administracyjne todomyślne udziały sieciowe udostępniające partycje dysku twardego (C$, D$, ...) w systemie razem z folderemsystemowym (ADMIN$). Wyłączenie połączenia z udziałami administracyjnymi pozwala zwiększyć poziomzabezpieczeń systemu. Na przykład robak Conficker wykonuje ataki słownikowe w celu nawiązania połączenia zudziałami administracyjnymi.
dialektom SMB, jeśli komputer nie musi udostępniać plików komputerom ze starszą wersją systemu Windows (lubjeśli w ogóle nie korzysta z komunikacji za pomocą protokołu SMB).
Odmów zabezpieczeniom protokołu SMB bez rozszerzeń zabezpieczeń — podczas negocjacji sesji SMB można użyćrozszerzeń zabezpieczeń, aby skorzystać z bezpieczniejszego mechanizmu uwierzytelniania niż wezwanie/odpowiedź Menedżera LAN (LM). Standard LM cechuje niski poziom zabezpieczeń i jego stosowanie jestniezalecane.
Zezwól na komunikację z usługą Menedżer konta zabezpieczeń — aby uzyskać więcej informacji na temat tej usługi,patrz [MS-SAMR] .
Zezwól na komunikację z usługą Urząd zabezpieczeń lokalnych — aby uzyskać więcej informacji na temat tej usługi,patrz [MS-LSAD] i [MS-LSAT] .
Zezwól na komunikację z usługą Rejestr zdalny — aby uzyskać więcej informacji na temat tej usługi, patrz [MS-RRP].
Zezwól na komunikację z usługą Services Control Manager — aby uzyskać więcej informacji na temat tej usługi,patrz [MS-SCMR] .
Zezwól na komunikację z Usługą serwera — aby uzyskać informacje na temat tej usługi, patrz [MS-SRVS] .
Zezwól na komunikację z innymi usługami — inne usługi MSRPC.
6.3.1 Tymczasowa czarna lista adresów IP
Wyświetlanie listy adresów IP, które zostały wykryte jako źródło ataków i dodane do czarnej listy w celuzablokowania połączenia przez określony czas. Pokazywany jest adres IP, który został zablokowany.
Powód zablokowaniaWyświetlanie informacji na temat typu udaremnionego ataku z danego adresu (np. „atak ze skanowaniemportów TCP”).
Limit czasuWyświetlanie godziny i daty wygaśnięcia adresu na czarnej liście.
Usuń/Usuń wszystkieUsuwanie adresu IP z tymczasowej czarnej listy przed wygaśnięciem wpisu lub natychmiastowe usuwaniewszystkich adresów z czarnej listy.
Dodaj wyjątekDodawanie wybranego adresu IP jako wyjątku zapory do funkcji filtrowania IDS.
133
6.4 Strony internetowe i poczta e-mail
Można skonfigurować funkcje filtrowania protokołów, Ochrona programów poczty e-mail, Ochrona dostępu do stroninternetowych i Ochrona przed atakami typu „phishing”, aby chronić serwer podczas komunikacji internetowej.
UWAGAW systemach Windows Server 2008, Windows Server 2008 R2, Small Business Server 2008 i Small BusinessServer 2011 instalacja komponentu Strony internetowe i poczta e-mail jest domyślnie wyłączona. Abyzainstalować tę funkcję, należy wybrać pozycję Niestandardowa jako typ instalacji. Jeśli program ESET FileSecurity został już zainstalowany, można ponownie uruchomić program instalacyjny w celu zmodyfikowaniaistniejącej instalacji przez dodanie komponentu Strony internetowe i poczta e-mail.
Ochrona programów poczty e-mailKontroluje całą wymianę wiadomości e-mail, chroni przed szkodliwym kodem i pozwala wybrać czynnościpodejmowane po wykryciu infekcji.
Ochrona dostępu do stron internetowychMonitoruje komunikację między przeglądarkami internetowymi a zdalnymi serwerami oraz zapewnia zgodność zregułami protokołów HTTP i HTTPS. Ponadto funkcja ta umożliwia blokowanie lub wyłączanie określonych adresów URL bądź oznaczanie ich jako dozwolonych.
Filtrowanie protokołówZapewnia zaawansowaną ochronę protokołów aplikacji opartą na technologii skanowania ThreatSense. Tafunkcja działa automatycznie, gdy użytkownik korzysta z przeglądarki internetowej lub programu poczty e-mail.Obsługuje ona również połączenia szyfrowane (komunikacja SSL/TLS).
Ochrona przed atakami typu „phishing”Umożliwia blokowanie stron internetowych rozpowszechniających zawartość służącą do ataków typu„phishing”.
6.4.1 Filtrowanie protokołów
Ochrona antywirusowa protokołów aplikacji jest realizowana przy użyciu technologii skanowania ThreatSense, wktórej połączono wiele zaawansowanych metod wykrywania szkodliwego oprogramowania. Filtrowanie protokołówodbywa się automatycznie, niezależnie od przeglądarki internetowej i programu pocztowego. Gdy filtrowanieprotokołów zostanie włączone, program ESET File Security będzie sprawdzać komunikację w protokole SSL/TLS(Strony internetowe i poczta e-mail > SSL/TLS).
Włącz filtrowanie zawartości protokołów aplikacjiW przypadku wyłączenia filtrowania protokołów należy pamiętać, że opcja ta ma wpływ na wiele komponentówprogramu ESET File Security (ochronę dostępu do stron internetowych, ochronę protokołów poczty e-mail iochronę przed atakami typu „phishing”), które po jej wyłączeniu nie będą zapewniać pełnego zestawu funkcji.
Wyłączone aplikacjeAby wyłączyć z filtrowania zawartości komunikację prowadzoną przez określone aplikacje korzystające z sieci,należy zaznaczyć je na liście. Komunikacja prowadzona przez te aplikacje za pośrednictwem protokołów HTTP/POP3 nie będzie sprawdzana pod kątem obecności zagrożeń. Przy użyciu tej opcji można wyłączyć z filtrowaniaprotokołów określone aplikacje. Kliknij opcje Edytuj i Dodaj, aby wybrać plik wykonywalny z listy aplikacji iwyłączyć go z filtrowania protokołów.
WAŻNEStosowanie tej opcji jest zalecane tylko w przypadku aplikacji, które działają nieprawidłowo, gdy ichkomunikacja jest sprawdzana.
Wyłączone adresy IP
134
Umożliwia wyłączenie określonych adresów zdalnych z filtrowania protokołów. Adresy IP z tej listy zostanąwyłączone z filtrowania zawartości protokołów. Komunikacja z tymi adresami prowadzona za pośrednictwemprotokołów HTTP/POP3/IMAP nie będzie sprawdzana pod kątem obecności zagrożeń.
WAŻNEZalecamy użycie tej opcji tylko w przypadku adresów, o których wiadomo, że są godne zaufania.
Kliknij opcje Edytuj i Dodaj, aby określić adres IP, zakres adresów lub podsieć, do których zostanie zastosowanewyłączenie. Gdy wybrana jest opcja Wprowadź wiele wartości, można dodać wiele adresów IP oddzielonychwierszami, przecinkami lub średnikami. W przypadku włączenia opcji wielokrotnego wyboru adresy będąwyświetlane na liście wyłączonych adresów IP.
UWAGATa opcja przydatna, gdy filtrowanie protokołów powoduje problemy ze zgodnością.
6.4.1.1 Przeglądarki internetowe i programy poczty e-mail
Ponieważ po Internecie krąży ogromna ilość szkodliwego kodu, bardzo ważny aspekt ochrony komputera stanowizadbanie o bezpieczne przeglądanie stron internetowych. Potajemne przenikanie szkodliwego oprogramowania dosystemu ułatwiają luki w zabezpieczeniach przeglądarek internetowych i spreparowane łącza. Dlatego głównymzadaniem programu ESET File Security jest zabezpieczenie przeglądarek internetowych. Jako przeglądarkęinternetową można oznaczyć każdą aplikację korzystającą z sieci. Aplikacje, które używają już protokołów dokomunikacji, lub aplikacje z wybranych ścieżek można dodać do listy Przeglądarki internetowe i programy poczty e-mail.
UWAGAPocząwszy od poprawki Windows Vista Service Pack 1 i systemu Windows Server 2008, do sprawdzaniakomunikacji sieciowej używana jest nowa architektura Windows Filtering Platform (WFP). W związku z tym, żew technologii WFP używane są specjalne techniki monitorowania, sekcja Przeglądarki internetowe i programypoczty e-mail jest niedostępna.
6.4.2 SSL/TLS
Program ESET File Security umożliwia sprawdzanie komunikacji z zastosowaniem protokołu Secure Sockets Layer(SSL)/Transport Layer Security (TLS) pod kątem zagrożeń.
W przypadku sprawdzania komunikacji chronionej protokołem SSL można stosować różne tryby skanowania zużyciem certyfikatów zaufanych, nieznanych lub takich, które zostały wyłączone ze sprawdzania komunikacjichronionej przez protokół SSL.
Włącz filtrowanie protokołu SSL/TLSGdy filtrowanie protokołu jest wyłączone, program nie skanuje komunikacji odbywającej się za pośrednictwemprotokołu SSL/TLS. Tryb filtrowania protokołów Secure Sockets Layer (SSL)/Transport Layer Security (TLS) jestdostępny w przypadku następujących opcji:
· Tryb automatyczny — wybranie tej opcji powoduje skanowanie całej komunikacji chronionej protokołem SSL/TLS oprócz komunikacji chronionej za pomocą certyfikatów wyłączonych ze sprawdzania. W przypadkunawiązania nowego połączenia z użyciem nieznanego, podpisanego certyfikatu użytkownik nie zostaniepowiadomiony, a połączenie będzie automatycznie filtrowane. Gdy dostęp do serwera uzyskiwany jest przyużyciu certyfikatu niezaufanego oznaczonego jako zaufany (znajdującego się na liście zaufanych certyfikatów),komunikacja z serwerem nie zostanie zablokowana, a jej treść będzie filtrowana.
135
· Tryb interaktywny — po wprowadzeniu przez użytkownika nowej witryny chronionej protokołem SSL/TLS(przy użyciu nieznanego certyfikatu) wyświetlane jest okno dialogowe umożliwiające wybranie czynności. Wtym trybie można utworzyć listę certyfikatów SSL/TLS, które zostaną wyłączone ze skanowania.
· Tryb reguł — filtrowane są wszystkie połączenia SSL/TLS z wyjątkiem skonfigurowanych wyłączeń.
Lista aplikacji, dla których przeprowadzane jest filtrowanie protokołu SSL/TLSUmożliwia dodawanie aplikacji podlegających filtrowaniu i konfigurowanie czynności skanowania. Listaaplikacji, dla których przeprowadzane jest filtrowanie protokołu SSL/TLS może posłużyć do dostosowaniadziałań programu ESET File Security do określonych aplikacji, a także do zapamiętania czynności wybieranych wprzypadku, gdy w obszarze Tryb filtrowania protokołu SSL/TLS wybrany jest tryb Interaktywny.
Lista znanych certyfikatówUmożliwia dostosowanie sposobu działania programu ESET File Security do określonych certyfikatów SSL. Listęmożna wyświetlać i zarządzać nią, klikając opcję Edytuj obok pozycji Lista znanych certyfikatów.
Nie uwzględniaj połączeń z zaufanymi domenamiWyłączanie ze sprawdzania protokołów komunikacji korzystającej z certyfikatów z rozszerzoną weryfikacją (np.w bankowości internetowej).
Blokuj komunikację szyfrowaną przy użyciu nieaktualnego protokołu SSL v2Komunikacja używająca wcześniejszej wersji protokołu SSL będzie automatycznie blokowana.
Certyfikat głównyAby w przeglądarkach internetowych lub programach poczty e-mail komunikacja przy użyciu protokołu SSL/TLSprzebiegała prawidłowo, konieczne jest dodanie certyfikatu głównego firmy ESET do listy znanych certyfikatówgłównych (wydawców). Opcja Dodaj certyfikat główny do znanych przeglądarek powinna być włączona. Należywybrać tę opcję w celu automatycznego dodania certyfikatu głównego firmy ESET do znanych przeglądarek (np.Opera i Firefox). Certyfikat jest dodawany automatycznie do przeglądarek korzystających z systemowegomagazynu certyfikacji (np. Internet Explorer).
Aby zastosować certyfikat w przypadku nieobsługiwanych przeglądarek, należy kliknąć opcję Wyświetl certyfikat >Szczegóły > Kopiuj do pliku, a następnie ręcznie zaimportować go do przeglądarki.
Ważność certyfikatu
Jeżeli nie można zweryfikować certyfikatu w magazynie zaufanych głównych urzędów certyfikacjiW niektórych przypadkach certyfikat strony internetowej nie może być zweryfikowany przy użyciu magazynuzaufanych głównych urzędów certyfikacji. Oznacza to, że został on podpisany przez jakąś osobę (np. przezadministratora serwera WWW lub małej firmy) i uznanie go za zaufany certyfikat niekoniecznie wiąże się zryzykiem. Większość dużych przedsiębiorstw (np. banki) korzysta z certyfikatów podpisanych przez jeden zzaufanych głównych urzędów certyfikacji. Jeśli pole wyboru Pytaj o ważność certyfikatu jest zaznaczone(ustawienie domyślne), zostanie wyświetlony monit o wybranie czynności, która ma zostać podjęta przynawiązywaniu szyfrowanego połączenia. Można wybrać opcję Blokuj komunikację używającą certyfikatu, abyzawsze przerywać szyfrowane połączenia z witrynami, na których używane są niezweryfikowane certyfikaty.
Jeśli certyfikat jest nieprawidłowy lub uszkodzonyOznacza to, że wygasła ważność certyfikatu lub został nieprawidłowo podpisany. W takim przypadku zalecamypozostawienie zaznaczenia opcji Blokuj komunikację używającą certyfikatu.
136
6.4.2.1 Lista znanych certyfikatów
Można dostosować działanie programu ESET File Security w odniesieniu do określonych certyfikatów Secure SocketsLayer (SSL)/Transport Layer Security (TLS) oraz zapamiętać czynności wybierane w przypadku, gdy w obszarze trybufiltrowania protokołów SSL/TLS wybrany jest Tryb interaktywny. Można skonfigurować wybrany certyfikat lub dodaćcertyfikat z adresu URL lub pliku. Po przejściu do okna Dodaj certyfikat należy kliknąć pozycję Adres URL lub Plik, anastępnie określić adres URL certyfikatu lub wskazać lokalizację pliku certyfikatu. Poniższe pola zostanąautomatycznie wypełnione danymi z certyfikatu:
· Nazwa certyfikatu — nazwa certyfikatu.
· Wystawca certyfikatu — nazwa podmiotu, który utworzył certyfikat.
· Podmiot certyfikatu— pole to służy do identyfikacji podmiotu związanego z kluczem publicznymprzechowywanym w polu podmiotu klucza publicznego.
Czynność dostępu
· Automatycznie — aby zezwolić na stosowanie zaufanych certyfikatów i aby pytać o niezaufane.
· Zezwól lub Blokuj — aby zezwolić/zablokować komunikację zabezpieczoną certyfikatem bez względu na jegopoziom zaufania.
· Pytaj — aby po wykryciu określonego certyfikatu był wyświetlany monit.
Czynność skanowania
· Automatycznie — skanowanie w trybie automatycznym oraz pytanie w trybie interaktywnym.
· Skanuj lub Ignoruj — skanowanie lub ignorowanie komunikacji zabezpieczanej przez ten certyfikat
· Pytaj — wyświetlanie monitu po wykryciu określonego certyfikatu.
6.4.2.2 Szyfrowana komunikacja SSL
Jeśli system jest skonfigurowany tak, by korzystać ze skanowania protokołu SSL, okno dialogowe z monitem owybranie działania wyświetlane jest w dwóch sytuacjach:
Pierwsza z nich to sytuacja, gdy na stronie internetowej używany jest nieweryfikowalny lub nieprawidłowycertyfikat, a program ESET File Security skonfigurowany jest tak, by pytać użytkownika w takich przypadkach(domyślne ustawienia to „tak” dla certyfikatów nieweryfikowalnych i „nie” dla nieprawidłowych). W okniedialogowym wyświetlane jest wówczas pytanie, czy zezwolić na połączenie, czy je zablokować.
Druga z nich to sytuacja, gdy w obszarze Tryb ochrony protokołu SSL ustawiony jest tryb interaktywny. Wówczas dlakażdej strony internetowej wyświetlane jest okno dialogowe z pytaniem, czy skanować ruch sieciowy, czy goignorować. Niektóre aplikacje sprawdzają, czy ich ruch SSL nie jest przez kogoś modyfikowany lub sprawdzany. Wtakich sytuacjach program ESET File Security musi ignorować ruch sieciowy, by umożliwić dalsze działanie aplikacji.
137
W obu przypadkach użytkownik może zaznaczyć opcję zapamiętania wybranych działań. Zapisane działania sąprzechowywane na liście znanych certyfikatów.
6.4.3 Ochrona programów poczty e-mail
Integracja programu ESET File Security z programami pocztowymi zwiększa poziom aktywnej ochrony przedszkodliwym kodem rozsyłanym w wiadomościach e-mail. Jeśli dany program pocztowy jest obsługiwany, możnawłączyć funkcję integracji w programie ESET File Security. Po jej aktywowaniu pasek narzędzi programu ESET FileSecurity jest wstawiany bezpośrednio do programu poczty e-mail (w nowszych wersjach programu Windows LiveMail pasek nie jest wstawiany), umożliwiając skuteczniejszą ochronę poczty.
Integracja z programami poczty e-mailDo obsługiwanych obecnie programów poczty e-mail należą: Microsoft Outlook, Outlook Express, Pocztasystemu Windows oraz Windows Live Mail. Ochrona poczty e-mail działa na zasadzie wtyczki do tychprogramów. Główną zaletą wtyczki jest fakt, że jej działanie jest niezależne od używanego protokołu. Gdyprogram poczty e-mail odbierze zaszyfrowaną wiadomość, następuje jej odszyfrowanie i przesłanie do skaneraantywirusowego. Nawet gdy integracja nie jest włączona, komunikacja za pośrednictwem poczty e-mail jestchroniona przez moduł ochrony programów poczty e-mail (POP3, IMAP). Pełna lista obsługiwanych programówpoczty e-mail i ich wersji znajduje się w następującym artykule w bazie wiedzy firmy ESET .
Wyłącz sprawdzanie po zmianie zawartości skrzynki odbiorczejJeśli podczas pracy z programem poczty e-mail system działa wolniej niż zwykle (tylko MS Outlook). Takasytuacja może przykładowo mieć miejsce podczas pobierania poczty e-mail z pliku Kerio Outlook ConnectorStore.
Włącz ochronę poczty e-mail poprzez wtyczki klientówUmożliwia wyłączanie ochrony klienta poczty e-mail bez usuwania integracji. Można wyłączyć wszystkie dodatkilub wybrać dodatki do wyłączenia spośród poniższych:
138
· Wiadomości odbierane— umożliwia włączanie i wyłączanie sprawdzania odbieranych wiadomości.
· Wiadomości wysyłane— umożliwia włączanie i wyłączanie sprawdzania wysyłanych wiadomości.
· Wiadomości przeczytane— umożliwia włączanie i wyłączanie sprawdzania przeczytanych wiadomości.
Czynność wykonywana dla zainfekowanej wiadomości
· Brak czynności— zaznaczenie tej opcji powoduje, że program będzie wykrywał zainfekowane załączniki, alenie będzie podejmował żadnych działań.
· Usuń wiadomość— program powiadomi użytkownika o infekcji i usunie wiadomość.
· Przenieś wiadomość do folderu Elementy usunięte— zainfekowane wiadomości będą automatycznieprzenoszone do folderu Elementy usunięte.
· Przenieś wiadomość do folderu— zainfekowane wiadomości będą automatycznie przenoszone dowskazanego folderu.
· Folder— możliwość wskazania niestandardowego folderu, do którego mają trafiać po wykryciu zainfekowanewiadomości e-mail.
Powtórz skanowanie po aktualizacjiMożliwość włączania i wyłączania ponownego skanowania plików po aktualizacjach bazy danych sygnaturwirusów.
Akceptuj wyniki skanowania z innych modułówZaznaczenie tej opcji powoduje, że moduł ochrony poczty e-mail uwzględnia wyniki skanowaniaprzeprowadzonego przez inne moduły ochrony (skanowanie za pośrednictwem protokołów POP3 oraz IMAP).
6.4.3.1 Protokoły poczty e-mail
Włącz ochronę poczty e-mail poprzez filtrowanie protokołówProtokoły IMAP i POP3 to najbardziej rozpowszechnione protokoły używane do obsługi komunikacjiprzychodzącej w programach poczty e-mail. Program ESET File Security zapewnia ochronę tych protokołówniezależnie od używanego programu poczty e-mail.
Program ESET File Security obsługuje również skanowanie protokołów IMAPS i POP3S, korzystających zszyfrowanego kanału przy przesyłaniu danych pomiędzy serwerem a klientem. Program ESET File Security sprawdzakomunikację przy użyciu protokołów SSL (Secure Socket Layer) oraz TLS (Transport Layer Security). W programieskanowany jest wyłącznie ruch w portach zdefiniowanych w obszarze Porty używane przez protokół IMAPS/POP3S,niezależnie od wersji systemu operacyjnego.
Ustawienia skanera protokołu IMAPS/POP3SKomunikacja szyfrowana nie jest skanowana, gdy są używane ustawienia domyślne. Aby włączyć skanowaniekomunikacji szyfrowanej, należy przejść do opcji Sprawdzanie protokołu SSL/TLS.
Numer portu określa jego typ. Oto domyślne typy portów do obsługi poczty e-mail:
Nazwa portu Numeryportów
Opis
POP3 110 Domyślny port nieszyfrowanego protokołu POP3.
IMAP 143 Domyślny port nieszyfrowanego protokołu IMAP.
Bezpieczny protokółIMAP (IMAP4-SSL)
585 Należy włączyć filtrowanie protokołu SSL/TLS. Numery portów muszą byćoddzielone przecinkami.
IMAP4 przez SSL(IMAPS)
993 Należy włączyć filtrowanie protokołu SSL/TLS. Numery portów muszą byćoddzielone przecinkami.
139
Nazwa portu Numeryportów
Opis
Bezpieczny protokółPOP3 (SSL-POP)
995 Należy włączyć filtrowanie protokołu SSL/TLS. Numery portów muszą byćoddzielone przecinkami.
6.4.3.2 Alerty i powiadomienia
W ramach ochrony poczty e-mail sprawdzana jest komunikacja przychodząca za pośrednictwem protokołów POP3oraz IMAP. Przy użyciu wtyczki do programu Microsoft Outlook i innych programów poczty e-mail oprogramowanieESET File Security sprawdza całą komunikację realizowaną przez dany program pocztowy (za pośrednictwemprotokołów POP3, MAPI, IMAP oraz HTTP). Podczas analizowania wiadomości przychodzących program stosujewszystkie zaawansowane metody skanowania dostępne w ramach technologii ThreatSense. Dzięki temu szkodliweprogramy są wykrywane nawet zanim zostaną porównane z bazą danych sygnatur wirusów. Skanowanie komunikacjiza pośrednictwem protokołów POP3 oraz IMAP odbywa się niezależnie od użytkowanego klienta poczty e-mail.
Po sprawdzeniu wiadomości e-mail może do niej zostać dołączone powiadomienie o wynikach skanowania. Możnawybrać spośród następujących opcji: Oznacz otrzymaną i przeczytaną wiadomość e-mail, Dołącz notatkę do tematuotrzymanej i przeczytanej zainfekowanej wiadomości oraz Oznacz wysyłaną wiadomość e-mail. Należy pamiętać, żew rzadkich przypadkach, takie powiadomienia mogą być pomijane w przypadku kłopotliwych wiadomości wformacie HTML lub wiadomości fałszowanych przez szkodliwe oprogramowanie. Powiadomienia mogą byćdodawane do wszystkich odebranych i przeczytanych wiadomości oraz do wysyłanych wiadomości. Dostępne opcje:
· Nigdy — powiadomienia w ogóle nie będą dodawane.
· Tylko zainfekowane wiadomości — oznaczane będą tylko wiadomości zawierające szkodliweoprogramowanie (ustawienie domyślne).
· Cała poczta— program będzie dołączać powiadomienia do wszystkich przeskanowanych wiadomości e-mail.
Dołącz notatkę do tematu wysyłanej zainfekowanej wiadomościNależy wyłączyć tę opcję, aby funkcja ochrony poczty e-mail nie umieszczała w temacie zainfekowanejwiadomości ostrzeżenia o wirusie. Ta opcja umożliwia później proste odfiltrowanie zainfekowanychwiadomości na podstawie analizy ich tematów (o ile program pocztowy udostępnia taką funkcję). Zwiększa onateż wiarygodność wiadomości dla odbiorcy, a w przypadku wykrycia zagrożenia udostępnia cenne informacje natemat poziomu zagrożenia, jakie stanowi dana wiadomość lub jej nadawca.
Szablon komunikatu dołączanego do tematu zainfekowanej wiadomościEdytowanie tego szablonu pozwala zmodyfikować format przedrostka tematu zainfekowanej wiadomości e-mail. Korzystając z tej funkcji można zastąpić temat wiadomości „Witaj” podanym przedrostkiem „[wirus]” wnastępującym formacie: „[wirus] Witaj”. Zmienna %NAZWA_WIRUSA% zawiera nazwę wykrytego zagrożenia.
6.4.3.3 Pasek narzędzi do programu MS Outlook
Ochrona programu Microsoft Outlook działa na zasadzie wtyczki. Po zainstalowaniu programu ESET File Security doprogramu Microsoft Outlook dodawany jest pasek narzędzi z opcjami ochrony antywirusowej.
ESET File SecurityCliknięcie ikony powoduje otwarcie głównego okna programu ESET File Security.
Ponowne skanowanie wiadomościUmożliwia ręczne rozpoczęcie sprawdzania poczty e-mail. Można określać wiadomości do sprawdzenia orazwłączać ponowne skanowanie odebranej poczty e-mail. Więcej informacji można znaleźć w części Ochronaprogramów poczty e-mail.
Ustawienia skaneraUmożliwia wyświetlenie ustawień funkcji Ochrona programów poczty e-mail.
140
6.4.3.4 Pasek narzędzi do programów Outlook Express i Poczta systemu Windows
Moduł ochrony przed spamem w programach Outlook Express i Poczta systemu Windows działa jako wtyczka. Pozainstalowaniu programu ESET File Security do aplikacji Outlook Express lub Poczta systemu Windows dodawanyjest pasek narzędzi z opcjami ochrony antywirusowej.
ESET File SecurityCliknięcie ikony powoduje otwarcie głównego okna programu ESET File Security.
Ponowne skanowanie wiadomościUmożliwia ręczne rozpoczęcie sprawdzania poczty e-mail. Można określać wiadomości do sprawdzenia orazwłączać ponowne skanowanie odebranej poczty e-mail. Więcej informacji można znaleźć w części Ochronaprogramów poczty e-mail.
Ustawienia skaneraUmożliwia wyświetlenie ustawień funkcji Ochrona programów poczty e-mail.
Dostosuj wygląd
Umożliwia modyfikowanie wyglądu paska narzędzi danego klienta poczty e-mail. Aby dostosować wyglądniezależnie od parametrów programu pocztowego, należy usunąć zaznaczenie tej opcji.
· Pokaż tekst — powoduje wyświetlenie opisów ikon.
· Tekst po prawej stronie — powoduje przesunięcie opisów opcji spod ikon na ich prawą stronę.
· Duże ikony — powoduje wyświetlanie dużych ikon opcji menu.
6.4.3.5 Okno dialogowe potwierdzenia
Wyświetlanie tego powiadomienia ma na celu sprawdzenie, czy użytkownik faktycznie chce wykonać daną czynność,co powinno wyeliminować możliwość pomyłki. W tym oknie dialogowym można również wyłączać potwierdzenia.
6.4.3.6 Ponowne skanowanie wiadomości
Za pośrednictwem zintegrowanego z programami poczty e-mail paska narzędzi programu ESET File Security możnaskonfigurować wiele opcji sprawdzania wiadomości e-mail. Opcja Ponowne skanowanie wiadomości oferuje dwatryby skanowania:
· Wszystkie wiadomości w bieżącym folderze — skanowane są wszystkie wiadomości w obecnie wyświetlanymfolderze.
· Tylko wybrane wiadomości— skanowane są tylko wiadomości zaznaczone przez użytkownika.
· Przeskanuj ponownie już skanowane wiadomości — umożliwia przeprowadzenie ponownego skanowaniawiadomości, które zostały już przeskanowane.
6.4.4 Ochrona dostępu do stron internetowych
Ochrona dostępu do stron internetowych polega na monitorowaniu komunikacji między przeglądarkamiinternetowymi i serwerami zdalnymi w celu ochrony przed zagrożeniami internetowymi, zgodnie z regułamiprotokołów HTTP (ang. Hypertext Transfer Protocol) i HTTPS (komunikacja szyfrowana).
Dostęp do stron internetowych, o których wiadomo, że zawierają szkodliwe treści jest blokowany zanim zawartośćzostanie pobrana. Wszystkie pozostałe strony internetowe są skanowane przy użyciu technologii skanowaniaThreatSense podczas ładowania i zostają zablokowane w przypadku wykrycia szkodliwej zawartości. FunkcjaOchrona dostępu do stron internetowych obejmuje dwa poziomy ochrony — blokowanie na podstawie czarnej listyoraz blokowanie na podstawie zawartości.
Podstawowa
Zdecydowanie zaleca się, aby funkcja Ochrona dostępu do stron internetowych była włączona. Dostęp do tej opcjimożna uzyskać także w głównym oknie programu ESET File Security, wybierając kolejno pozycje Ustawienia > Strony
141
internetowe i poczta e-mail > Ochrona dostępu do stron internetowych.
Włącz zaawansowane skanowanie skryptów przeglądarkiDomyślnie wszystkie programy JavaScript wykonywane przez przeglądarki internetowe są sprawdzane przyużyciu skanera antywirusowego.
protokoły sieciowe
Umożliwia konfigurowanie monitorowania w odniesieniu do protokołów standardowych, które są używane wwiększości przeglądarek internetowych. W programie ESET File Security domyślnie skonfigurowano monitorowanieprotokołu HTTP używanego w większości przeglądarek internetowych.
UWAGAW systemie Windows Vista i nowszych ruch sieciowy HTTP jest monitorowany zawsze, na wszystkich portach iw odniesieniu do wszystkich aplikacji. W systemie Windows XP/2003 opcję Porty używane przez protokół HTTPmożna modyfikować w obszarze Ustawienia zaawansowane (F5) > Strony internetowe i poczta e-mail >Ochrona dostępu do stron internetowych > Protokoły sieciowe > Ustawienia skanera protokołu HTTP. Ruchsieciowy HTTP jest monitorowany na wskazanych portach w odniesieniu do wszystkich aplikacji oraz nawszystkich portach w przypadku aplikacji oznaczonych jako Przeglądarki internetowe i programy poczty e-mail.
Program ESET File Security obsługuje również sprawdzanie protokołu HTTPS. W przypadku komunikacji zapośrednictwem protokołu HTTPS informacje między serwerem a klientem przesyłane są przez kanał szyfrowany.Program ESET File Security sprawdza połączenia, używając protokołów Secure Socket Layer (SSL) i Transport LayerSecurity (TLS). W programie skanowany jest wyłącznie ruch w portach zdefiniowanych w obszarze Porty używaneprzez protokół HTTPS, niezależnie od wersji systemu operacyjnego.
Komunikacja szyfrowana nie podlega skanowaniu, gdy stosowane są ustawienia domyślne. Aby włączyć skanowaniekomunikacji szyfrowanej, należy przejść do opcji Ustawienia zaawansowane (F5) > Strony internetowe i poczta e-mail > SSL/TLS.
Parametry technologii ThreatSenseKonfigurowanie takich ustawień jak typy skanowania (np. wiadomości e-mail, archiwa, wyłączenia, limity itd.)oraz metody wykrywania zagrożeń związanych z dostępem do stron internetowych.
6.4.4.1 Zarządzanie adresami URL
Sekcja Zarządzanie adresami URL umożliwia określanie adresów HTTP, które mają być blokowane, dozwolone lubwyłączone ze sprawdzania. Strony internetowe wyszczególnione na liście zablokowanych adresów nie będądostępne, chyba że zostaną również uwzględnione na liście dozwolonych adresów. Strony internetowe z listyadresów wyłączonych ze sprawdzania nie są poddawane skanowaniu w poszukiwaniu szkodliwego kodu wmomencie uzyskiwania do nich dostępu. Jeśli oprócz filtrowania stron internetowych HTTP mają być równieżfiltrowane adresy HTTPS, należy włączyć opcję Włącz filtrowanie protokołu SSL/TSL. W przeciwnym razie dodanezostaną tylko domeny HTTPS, które już były odwiedzane, a nie pełne adresy URL.
Jedna lista zablokowanych adresów może zawierać adresy z zewnętrznej czarnej listy publicznej, natomiast drugalista może obejmować niestandardową czarną listę użytkownika, co ułatwi uaktualnianie listy zewnętrznej bezingerowania w listę użytkownika.
Kliknięcie opcji Edytuj i Dodaj umożliwia utworzenie nowej listy adresów stanowiącej dodatek do list wstępniezdefiniowanych. Ta opcja może okazać się przydatna, gdy użytkownik chce w sposób logiczny podzielić różne grupyadresów. Domyślnie dostępne są następujące trzy listy:
· Lista adresów wyłączonych ze sprawdzania — dla żadnego z adresów dodanych do tej listy nie będziewykonywane sprawdzanie w poszukiwaniu szkodliwego kodu.
142
· Lista dozwolonych adresów — jeśli włączona jest opcja Zezwól na dostęp tylko do adresów HTTP z listydozwolonych adresów, a lista zablokowanych adresów zawiera wpis * (wszystko), użytkownik będzie mógłuzyskać dostęp tylko do adresów zawartych na tej pierwszej liście. Adresy na tej liście są dozwolone nawetwówczas, gdy zawarte są również na liście zablokowanych adresów.
· Lista zablokowanych adresów — użytkownik nie będzie miał dostępu do adresów określonych na tej liście,chyba że występują one również na liście dozwolonych adresów.
Polecenie Dodaj umożliwia dodanie nowego adresu URL do listy. Można również wprowadzić wiele wartości,rozdzielając je separatorami. Kliknij przycisk Edytuj, aby zmodyfikować istniejący adres na liście, lub przycisk Usuń,aby go usunąć. Można usuwać adresy utworzone za pomocą polecenia Dodaj, lecz nie adresy zaimportowane.
Na wszystkich listach można używać symboli specjalnych: * (gwiazdka) i ? (znak zapytania). Gwiazdka zastępujedowolną liczbę znaków, natomiast znak zapytania oznacza jeden znak. Szczególną ostrożność należy zachowaćpodczas określania adresów wyłączonych, ponieważ ta lista powinna zawierać jedynie adresy zaufane i bezpieczne.Ponadto należy sprawdzić, czy symbole * oraz ? są na tej liście stosowane prawidłowo.
UWAGAJeśli blokowane mają być wszystkie adresy HTTP z wyjątkiem adresów wyszczególnionych na aktywnej Liściedozwolonych adresów, należy dodać symbol * do aktywnej Listy zablokowanych adresów.
143
6.4.4.1.1 Tworzenie nowej listy
Listy obejmują adresy URL/maski domeny, które będą blokowane, dozwolone lub wyłączone ze sprawdzania.Podczas tworzenia nowej listy należy określić następujące parametry:
· Typ listy adresów — wybierz typ z listy rozwijanej (Wyłączone ze sprawdzania, Zablokowane lub Dozwolone).
· Nazwa listy — nadaj nazwę liście. To pole będzie nieaktywne podczas edytowania jednej z trzech wstępniezdefiniowanych list.
· Opis listy — wprowadź krótki opis listy (opcjonalnie). To pole będzie nieaktywne podczas edytowania jednej ztrzech wstępnie zdefiniowanych list.
· Lista aktywna — ten przełącznik umożliwia dezaktywację listy. Listę można uaktywnić później, kiedy będzie towymagane.
· Powiadom o zastosowaniu — umożliwia otrzymywanie powiadomień o każdym użyciu danej listy przy ocenieodwiedzanej strony HTTP/HTTPS. Powiadomienie zostanie wysłane w przypadku zablokowania lubudostępnienia witryny internetowej figurującej na liście zablokowanych lub dozwolonych adresów. Wpowiadomieniu znajdzie się nazwa listy, na której wyszczególniona jest dana strona internetowa.
· Stopień szczegółowości zapisywania w dzienniku — wybierz stopień szczegółowości zapisywania w dzienniku(Brak, Diagnostyka, Informacja lub Ostrzeżenie) z listy rozwijanej. Rekordy o szczegółowości Ostrzeżeniemożna zbierać za pomocą konsoli ESET Security Management Center.
Program ESET File Security pozwala użytkownikowi na blokowanie dostępu do określonych witryn internetowych izapobieganie wyświetlaniu ich zawartości w przeglądarce. Pozwala również określić, które adresy mają byćwyłączone ze skanowania. Jeśli pełna nazwa serwera zdalnego jest nieznana lub użytkownik chce wskazać grupęserwerów, może użyć masek.
Maski obejmują symbole wieloznaczne, takie jak ? oraz *:
· znak ? zastępuje jeden symbol
· znak * zastępuje dowolny ciąg znaków
PRZYKŁAD
*.c?m dotyczy wszystkich adresów, których ostatnia część zaczyna się literą c oraz kończy literą m, a w środkuzawiera dowolny znak (.com, .cam itd.).
Znaki „*.” na początku nazwy domeny są traktowane szczególnie. Po pierwsze symbol wieloznaczny „*” niezastępuje w tym przypadku znaku ukośnika („/”). Pozwala to uniknąć pominięcia maski. Na przykład maska*.domena.com nie odpowiada adresowi https://anydomain.com/anypath#.domain.com (taki przyrostek możezostać dodany do dowolnego adresu URL bez wpływu na pobieranie). Po drugie, znaki „*.” zastępują również w tymszczególnym przypadku pusty ciąg. Dzięki temu przy użyciu jednej maski można uwzględnić całą domenę, wraz zwszelkimi domenami podrzędnymi. Na przykład maska *.domain.com odpowiada również adresowi https://domain.com. Użycie maski *domain.com byłoby nieprawidłowe, ponieważ uwzględniałaby ona również adreshttps://anotherdomain.com.
144
Wprowadź wiele wartościMożna dodać wiele rozszerzeń plików oddzielonych nowymi wierszami, przecinkami lub średnikami. Wprzypadku włączenia opcji wielokrotnego wyboru rozszerzenia będą wyświetlane na liście.
ImportujPlik tekstowy zawierający adresy URL do zaimportowania (wartości muszą być oddzielone podziałami wiersza,na przykład w formacie *.txt z kodowaniem UTF-8).
6.4.5 Ochrona przed atakami typu „phishing” w sieci Web
Terminem „phishing” określa się działania przestępcze, w których są stosowane socjotechniki (manipulowanieużytkownikami w celu uzyskania poufnych informacji). Działania takie są podejmowane z myślą o uzyskaniu dostępudo prywatnych danych, np. numerów kont bankowych, kodów PIN itp.
Program ESET File Security chroni komputer przed atakami typu „phishing”, blokując strony internetowe znane zrozpowszechniania takich treści. Zdecydowanie zalecamy włączenie funkcji ochrony przed atakami typu „phishing”w programie ESET File Security. Więcej informacji na temat dostępnej w programie ESET File Security ochrony przedatakami typu „phishing” można znaleźć w tym artykule bazy wiedzy .
Po przejściu do strony znanej z ataków typu „phishing” w przeglądarce internetowej zostanie wyświetlonenastępujące okno dialogowe. Aby mimo to otworzyć tę stronę internetową, można kliknąć opcję Przejdź do strony(niezalecane).
145
UWAGADodane do białej listy strony, które potencjalnie mogą być wykorzystywane do ataków typu „phishing”,domyślnie zostaną usunięte z listy po kilku godzinach. Aby zezwolić na dostęp do strony na stałe, należy użyćnarzędzia Zarządzanie adresami URL.
Zgłoś stronę jako phishing Znalezioną podejrzaną witrynę, która wydaje się służyć atakom typu „phishing” lub innemu złośliwemudziałaniu, można zgłosić firmie ESET w celu przeanalizowania. Przed przesłaniem strony do firmy ESET należy sięupewnić, że spełnia ona co najmniej jedno z następujących kryteriów:
· strona nie jest w ogóle wykrywana,
· strona jest błędnie wykrywana jako zagrożenie. W takim przypadku można zgłosić błędną klasyfikację stronyjako „phishing” .
Stronę można również przesłać pocztą e-mail. Należy wysłać wiadomość e-mail na adres [email protected]. Należypamiętać o podaniu opisowego tematu wiadomości oraz wszystkich możliwych informacji na temat podejrzanejstrony (może to być adres strony internetowej, na której znajduje się adres/łącze do podejrzanej strony, sposóbuzyskania informacji o stronie itp.).
146
6.5 Kontrola dostępu do urządzeń
Program ESET File Security udostępnia funkcje automatycznej kontroli korzystania z urządzeń (CD, DVD, USB itd.).Przy użyciu tego modułu można skanować, blokować i dostosowywać rozszerzone filtry i uprawnienia oraz określaćuprawnienia dostępu użytkowników do danego urządzenia i pracy z nim. Może to być przydatne w sytuacji, gdyadministrator komputera zamierza uniemożliwić korzystanie z urządzeń z niepożądaną zawartością.
UWAGAFunkcji kontroli dostępu do urządzeń w programie ESET File Security zostanie uaktywniona po użyciuprzełącznika Zintegruj z systemem. Aby ta zmiana została zastosowana, wymagane będzie ponowneuruchomienie systemu.
Zostanie uaktywniona funkcja kontroli dostępu do urządzeń, umożliwiając edytowanie ich ustawień. W przypadkuwykrycia urządzenia blokowanego przez istniejącą regułę zostanie wyświetlone okno powiadomienia i dostęp dourządzenia nie będzie możliwy.
RegułyReguła kontroli dostępu do urządzeń definiuje czynność podejmowaną w chwili, gdy urządzenie spełniającekryteria reguły zostanie podłączone do komputera.
GrupyKlikając opcję Edytuj, można zarządzać grupami urządzeń. Możesz utworzyć nową grupę urządzeń lub wybraćistniejącą grupę, aby dodawać lub usuwać urządzenia na liście.
UWAGAWpisy w dzienniku dotyczące funkcji kontroli dostępu do urządzeń można wyświetlać w obszarze Plikidziennika.
6.5.1 Reguły dotyczące urządzeń
Można dopuszczać lub blokować określone urządzenia na podstawie użytkowników, grup użytkowników lub kilkudodatkowych parametrów, które można określić w konfiguracji reguł. Lista reguł zawiera pewne informacje oregułach, takie jak nazwa, typ urządzenia zewnętrznego, czynność wykonywana po wykryciu urządzenia oraz stopieńważności w dzienniku.
Można dodawać nowe reguły za pomocą opcji Dodaj lub modyfikować ustawienia istniejących reguł. W celułatwiejszego rozpoznawania reguł należy wprowadzać ich krótkie opisy w polu Nazwa. Kliknięcie przełącznika obokpozycji Reguła włączona pozwala wyłączać i włączać regułę. Jest to przydatne, gdy użytkownik nie chce trwaleusuwać danej reguły.
Przedział czasuMożna ograniczać użycie reguł, korzystając z przedziałów czasu. Najpierw należy utworzyć przedział czasu, abyzostał on wyświetlony w menu rozwijanym.
Typ urządzeniaTyp urządzenia zewnętrznego (Pamięć masowa, Urządzenie przenośne, Bluetooth, FireWire itd.) można wybraćz menu rozwijanego. Typy urządzeń są dziedziczone z systemu operacyjnego i jeśli urządzenie jest podłączonedo komputera, można je zobaczyć w systemowym Menedżerze urządzeń. Do urządzeń pamięci masowej zaliczasię dyski zewnętrzne oraz konwencjonalne czytniki kart pamięci podłączone za pomocą złącza USB lub FireWire.Czytniki kart inteligentnych obejmują wszystkie czytniki kart z wbudowanym układem scalonym, takich jak kartySIM lub karty uwierzytelniające. Przykładami urządzeń do tworzenia obrazów są skanery i aparaty fotograficzne.Te urządzenia nie dostarczają informacji na temat użytkowników, tylko informacji na temat wykonywanychprzez nich czynności. Oznacza to, że urządzenia do tworzenia obrazów można tylko zablokować globalnie.
Czynność
147
Można zezwalać na dostęp do urządzeń innych niż urządzenia pamięci masowej lub go blokować. Regułydotyczące urządzeń pamięci masowej umożliwiają natomiast wybranie jednego z poniższych ustawień:
· Odczyt/zapis— dozwolony będzie pełny dostęp do urządzenia.
· Blokuj— dostęp do urządzenia zostanie zablokowany.
· Tylko do odczytu— dozwolony będzie wyłącznie dostęp do urządzenia w trybie do odczytu.
· Ostrzeżenie— za każdym razem po podłączeniu urządzenia użytkownik zostanie powiadomiony, czy jest onodozwolone czy zablokowane i zostanie wygenerowany wpis dziennika. Urządzenia nie są zapamiętywane, apowiadomienie będzie wyświetlane przy każdym następnym połączeniu z tym samym urządzeniem.
UWAGANie dla każdego typu urządzenia dostępne są wszystkie uprawnienia (czynności). Jeśli urządzenie jestwyposażone w przestrzeń do magazynowania, dostępne są wszystkie cztery czynności. W przypadku urządzeńinnych niż magazynujące istnieją tylko dwie możliwości (np. opcja Tylko do odczytu jest niedostępna dlaurządzeń Bluetooth, dlatego można tylko zezwolić na dostęp do tych urządzeń lub go zablokować).
Poniżej przedstawiono dodatkowe parametry, które można wykorzystać do uszczegółowienia reguł i dopasowaniaich do urządzeń. W parametrach nie jest rozróżniana wielkość liter:
· Dostawca— filtrowanie według nazwy lub identyfikatora dostawcy.
· Model— podana nazwa urządzenia.
· Numer seryjny— urządzenia zewnętrzne mają zwykle numery seryjne. W przypadku dysków CD i DVD jest tonumer seryjny danego nośnika, a nie napędu.
UWAGAJeśli powyższe trzy parametry są puste, podczas sprawdzania zgodności te pola zostaną przez regułęzignorowane. W odniesieniu do parametrów filtrowania we wszystkich polach testowych rozróżniana jestwielkość liter i nie są obsługiwane symbole wieloznaczne (*, ?).
Aby ustalić, jakie są parametry urządzenia, należy utworzyć regułę zezwalającą dla danego typu urządzenia,podłączyć urządzenie do komputera, a następnie sprawdzić szczegóły urządzenia w dzienniku kontroli dostępu dourządzeń.
Wybierz Stopień szczegółowości zapisywania w dzienniku z listy rozwijanej:
· Zawsze — rejestrowanie wszystkich zdarzeń.
· Diagnostyczne— rejestrowanie informacji potrzebnych do ulepszenia konfiguracji programu.
· Informacyjne— rejestrowanie komunikatów informacyjnych, w tym powiadomień o pomyślnychaktualizacjach, oraz wszystkich rekordów wyższych kategorii.
· Ostrzeżenia— rejestrowanie błędów krytycznych oraz komunikatów ostrzegawczych.
· Brak — nie są rejestrowane żadne dzienniki.
Reguły mogą być ograniczane do pewnych użytkowników lub grup użytkowników znajdujących się na liście Listaużytkowników.
· Dodaj— umożliwia otwarcie okna dialogowego Typy obiektów: Użytkownicy lub grupy, w którym możnawybrać pożądanych użytkowników.
· Usuń — umożliwia usunięcie wybranego użytkownika z filtru.
UWAGAPrzy użyciu reguł użytkownika można filtrować wszystkie urządzenia (np. urządzenia do tworzenia obrazów niedostarczają informacji na temat użytkowników, tylko na temat wykonywanych czynności).
148
Dostępne są następujące funkcje:
KopiujTworzenie nowej reguły na podstawie parametrów wybranej reguły.
UsuńUsuwanie wybranej reguły. Można również wyłączyć określoną regułę, zaznaczając pole wyboru obok niej. Możeto być przydatne w sytuacjach, gdy użytkownik nie chce usuwać reguły na stałe, co umożliwia skorzystanie z niejw przyszłości.
WypełnijUmożliwia przegląd wszystkich podłączonych obecnie urządzeń oraz następujących informacji: typ urządzenia,producent urządzenia, model i numer seryjny (jeśli są dostępne). Po wybraniu urządzenia (z listy Wykryteurządzenia) i kliknięciu opcji OK wyświetlone zostaje okno edytora reguł ze wstępnie zdefiniowanymiinformacjami (można modyfikować w nim wszystkie ustawienia).
Reguły są wymienione według priorytetów, przy czym reguły o wyższych priorytetach znajdują się wyżej na liście.Można zaznaczać wiele reguł i wykonywać takie działania jak usuwanie lub przenoszenie reguł w górę bądź w dółlisty za pomocą opcji Na początek/W górę/W dół/Na koniec (przyciski strzałek).
6.5.2 Grupy urządzeń
Okno Grupy urządzeń jest podzielone na dwie części. W prawej części okna znajduje się lista urządzeń należących dodanej grupy, a w części lewej znajduje się lista istniejących grup. Należy wybrać grupę zawierającą urządzenia, któremają zostać wyświetlone w prawym okienku.
Możliwe jest tworzenie wielu grup urządzeń, w odniesieniu do których obowiązują różne reguły. Można równieżutworzyć jedną grupę urządzeń z ustawieniem Odczyt/Zapis lub Tylko do odczytu. Zapewnia to blokowaniepodłączanych do komputera nierozpoznanych urządzeń przy użyciu funkcji Kontrola dostępu do urządzeń.
OSTRZEŻENIEUrządzenie zewnętrzne podłączone do komputera może stanowić zagrożenie bezpieczeństwa.
Dostępne są następujące funkcje:
DodajMożna dodać nową grupę urządzeń, wprowadzając jej nazwę, lub można dodać urządzenie do istniejącej grupy(opcjonalnie można wprowadzić szczegóły, takie jak nazwa dostawcy, model oraz numer seryjny), w zależnościod tego, w której części okna znajduje się kliknięty przycisk.
EdytujZmiana nazwy wybranej grupy lub zmiana parametrów urządzeń w tej grupie (dostawcy, modelu, numeruseryjnego).
UsuńUsuwanie wybranej grupy lub urządzenia, w zależności od obszaru kliknięcia w oknie. Można również wyłączyćokreśloną regułę, zaznaczając pole wyboru obok niej. Może to być przydatne w sytuacjach, gdy użytkownik niechce usuwać reguły na stałe, co umożliwia skorzystanie z niej w przyszłości.
ImportujImportowanie listy numerów seryjnych urządzeń z pliku.
WypełnijUmożliwia przegląd wszystkich podłączonych obecnie urządzeń oraz następujących informacji: typ urządzenia,producent urządzenia, model i numer seryjny (jeśli są dostępne). Po wybraniu urządzenia (z listy Wykryteurządzenia) i kliknięciu opcji OK wyświetlone zostaje okno edytora reguł ze wstępnie zdefiniowanymiinformacjami (można modyfikować w nim wszystkie ustawienia).
149
Po zakończeniu dostosowywania należy kliknąć przycisk OK. Opuszczenie okna Grupy urządzeń bez zapisywaniazmian umożliwia przycisk Anuluj.
UWAGANależy pamiętać, że nie dla każdego typu urządzenia dostępne są wszystkie uprawnienia (czynności). Jeśliurządzenie jest wyposażone w przestrzeń do magazynowania, dostępne są wszystkie cztery czynności. Wprzypadku urządzeń innych niż magazynujące, istnieją tylko dwie możliwości (np. opcja Tylko do odczytu jestniedostępna dla urządzeń Bluetooth, dlatego można tylko zezwolić na dostęp do tych urządzeń lub gozablokować).
6.6 Konfiguracja narzędzi
Można dostosować ustawienia zaawansowane następujących obszarów:
· Tryb wymuszania
· ESET CMD
· ESET RMM
· Dostawca WMI
· Pliki dziennika
· Serwer proxy
· Powiadomienia e-mail
· Tryb prezentacji
· Diagnostyka
· Klaster
6.6.1 Przedziały czasu
Przedziały czasu są używane w regułach kontroli dostępu do urządzeń, pozwalając ograniczyć czas ich stosowania.Można utworzyć przedział czasu, a następnie wybrać go podczas dodawania nowych reguł lub modyfikowaniaistniejących (parametr Przedział czasu). Umożliwia to zdefiniowanie typowych przedziałów czasu (np. godzinyrobocze, weekend itp.) i wielokrotne korzystanie z nich bez konieczności ponownego definiowania przedziału wodniesieniu do każdej reguły. Przedział czasu powinien być możliwy do stosowania w przypadku odpowiednichrodzajów reguł obsługujących funkcję kontroli na podstawie czasu.
6.6.2 Microsoft Windows Update
Aktualizacje systemu Windows obejmują ważne rozwiązania potencjalnie niebezpiecznych luk w zabezpieczeniachoraz podnoszą ogólny poziom bezpieczeństwa komputera. Z tego powodu konieczne jest instalowanie aktualizacjisystemu Microsoft Windows, gdy tylko stają się dostępne. Program ESET File Security powiadamia o brakującychaktualizacjach zgodnie z poziomem określonym przez użytkownika. Dostępne są następujące poziomy:
· Brak aktualizacji— żadne aktualizacje systemu nie będą proponowane do pobrania.
· Aktualizacje opcjonalne— proponowane będzie pobranie aktualizacji o priorytecie niskim lub wyższym.
· Aktualizacje zalecane— proponowane będzie pobranie aktualizacji o priorytecie zwykłym lub wyższym.
· Ważne aktualizacje— proponowane będzie pobranie aktualizacji o priorytecie „ważne” lub wyższym.
· Aktualizacje krytyczne— proponowane będzie tylko pobranie aktualizacji krytycznych.
Aby zapisać zmiany, należy kliknąć przycisk OK. Po sprawdzeniu stanu serwera aktualizacji pojawi się oknoAktualizacje systemu. Informacje o aktualizacjach systemu mogą nie być dostępne natychmiast po zapisaniu zmian.
150
6.6.3 ESET CMD
Ta funkcja umożliwia korzystanie z zaawansowanych poleceń ecmd. Pozwala ona eksportować i importowaćustawienia za pomocą wiersza polecenia (ecmd.exeecmd.exe). Dotychczas eksportowanie ustawień było możliwetylko przy użyciu graficznego interfejsu użytkownika. Konfigurację programu ESET File Security .xml.
Po włączeniu funkcji ESET CMD zostaną udostępnione dwie metody autoryzacji:
· Brak — bez autoryzacji. Nie zalecamy tej metody, ponieważ umożliwia ona importowanie niepodpisanychkonfiguracji. Stanowi to potencjalne ryzyko.
· Hasło do ustawień zaawansowanych — hasło wymagane w celu zaimportowania konfiguracji z pliku .xml. Plikmusi być podpisany (patrz Podpisywanie pliku konfiguracyjnego .xml poniżej). Przed zaimportowaniem nowejkonfiguracji należy podać hasło określone w sekcji Ustawienia dostępu. Jeśli nie włączono ustawień dostępu,hasło nie jest zgodne lub plik konfiguracyjny .xml nie jest podpisany, konfiguracja nie zostaniezaimportowana.
Po włączeniu funkcji ESET CMD można importować i eksportować konfiguracje programu ESET File Security przyużyciu wiersza polecenia. Działania te można wykonywać ręcznie lub utworzyć skrypt umożliwiający ichautomatyzację.
WAŻNEAby móc używać zaawansowanych poleceń ecmd, należy je uruchamiać przy użyciu uprawnień administratora.Można też otworzyć wiersz polecenia systemu Windows (cmd) przy użyciu opcji Uruchom jako administrator. Wprzeciwnym razie zostanie wyświetlony komunikat Error executing command. Podczas eksportowaniakonfiguracji musi także istnieć folder docelowy. Polecenie eksportowania działa nawet przy wyłączonymustawieniu ESET CMD.
PRZYKŁAD
Polecenie eksportowania ustawień:ecmd /getcfg c:\config\settings.xml
Polecenie importowania ustawień:ecmd /setcfg c:\config\settings.xml
UWAGAZaawansowanych poleceń ecmd można używać wyłącznie lokalnie. Wykonywanie zadania klienta Uruchomienie polecenia przy użyciu programu ESET Security Management Center nie działa.
Podpisywanie pliku konfiguracyjnego .xml:
1. Pobierz plik wykonywalny narzędzia XmlSignTool.
2. Otwórz wiersz polecenia systemu Windows (cmd) przy użyciu opcji Uruchom jako administrator.
3. Przejdź do lokalizacji pliku xmlsigntool.exe.
4. Uruchom polecenie podpisujące plik konfiguracyjny .xml. Składnia: xmlsigntool /version 1|2<xml_file_path>
151
WAŻNEWartość parametru /version zależy od wersji programu ESET File Security. Należy użyć parametru /version 2w przypadku programu ESET File Security w wersji 7 lub nowszej.
5. Po wyświetleniu monitu przez narzędzie XmlSignTool wprowadź hasło z sekcji Ustawienia zaawansowane ipotwierdź je. Po wykonaniu tych czynności plik konfiguracyjny .xml zostanie podpisany i będzie można gozaimportować w innym wystąpieniu programu ESET File Security za pomocą funkcji ESET CMD z użyciemmetody autoryzacji hasłem.
PRZYKŁAD
Polecenie podpisania wyeksportowanego pliku konfiguracyjnego: xmlsigntool /version 2 c:\config\settings.xml
UWAGAJeśli hasło z sekcji Ustawienia zaawansowane zostanie zmienione, a wymagane jest zaimportowaniekonfiguracji podpisanej wcześniej przy użyciu starego hasła, można ponownie podpisać plik konfiguracyjny .xml za pomocą nowego hasła. Umożliwia to korzystanie ze starszych plików konfiguracyjnych bez koniecznościeksportowania ich na inny komputer z programem ESET File Security przed zaimportowaniem.
6.6.4 ESET RMM
Zdalne monitorowanie i zarządzanie (RMM) to proces nadzorowania i kontrolowania systemów oprogramowania(między innymi na komputerach stacjonarnych, serwerach i urządzeniach mobilnych) za pośrednictwemzainstalowanego lokalnie agenta, do którego dostawca usługi zarządzania może uzyskać dostęp.
Włącz funkcję RMMWłączanie funkcji Zdalne monitorowanie i zarządzanie. Do korzystania z narzędzia RMM są wymaganeuprawnienia administratora.
Tryb działaniaWybierz tryb działania funkcji RMM z menu rozwijanego:
152
· Tylko bezpieczne operacje
· Wszystkie operacje
Metoda autoryzacjiWybierz metodę autoryzacji funkcji RMM z menu rozwijanego:
· Brak — nie będzie wykonywane sprawdzanie ścieżki aplikacji, program ermm.exe będzie można uruchamiać zdowolnej aplikacji
· Ścieżka aplikacji — określanie aplikacji, która będzie mogła uruchamiać program ermm.exe
Instalacja domyślna programu ESET Endpoint Security zawiera plik ermm.exe w lokalizacji ESET File Security (ścieżkadomyślna c:\Program Files\ESET\ESET File Security). Program ermm.exe wymienia dane z dodatkiem RMM, którykomunikuje się z agentem RMM połączonym z serwerem RMM.
· ermm.exe — narzędzie wiersza polecenia opracowane przez firmę ESET, które umożliwia zarządzanieproduktami Endpoint i komunikację z dowolnym dodatkiem RMM.
· Dodatek RMM — aplikacja innej firmy działająca lokalnie na komputerze z systemem Windows i produktemEndpoint. Dodatek opracowano pod kątem komunikacji z określonym agentem RMM (np. wyłącznie Kaseya) iprogramem ermm.exe.
· Agent RMM — aplikacja innej firmy (np. Kaseya) działająca lokalnie na komputerze z systemem Windows iproduktem Endpoint. Agent komunikuje się z dodatkiem RMM i serwerem RMM.
· Serwer RMM — uruchomiony jako usługa na serwerze innej firmy. Obsługiwane są systemy RMM firm Kaseya,Labtech, Autotask, Max Focus i Solarwinds N-able.
6.6.5 Dostawca WMI
Windows Management Instrumentation (WMI) to stosowane przez firmę Microsoft wdrożenie technologii Web-Based Enterprise Management (WBEM), która jest inicjatywą branżową mającą na celu opracowanie standardowejtechnologii uzyskiwania dostępu do informacji związanych z zarządzaniem w środowisku korporacyjnym.
Więcej informacji na temat usługi WMI można znaleźć pod adresem http://msdn.microsoft.com/en-us/library/windows/desktop/aa384642(v=vs.85).aspx .
Dostawca WMI ESET
Celem dostawcy WMI ESET jest umożliwienie zdalnego monitorowania produktów firmy ESET w środowiskukorporacyjnym bez konieczności stosowania specjalnego oprogramowania lub narzędzi firmy ESET. Udostępniającpodstawowe informacje na temat produktu i jego stanu oraz dane statystyczne za pośrednictwem usługi WMI,znacząco zwiększamy możliwości administratorów korporacyjnych w zakresie monitorowania produktów firmy ESET.Administratorzy mogą monitorować stan produktów firmy ESET, korzystając z różnych metod uzyskiwania dostępu zapośrednictwem usługi WMI (wiersz polecenia, skrypty i narzędzia firm trzecich do monitorowania środowiskkorporacyjnych).
Bieżąca implementacja umożliwia uzyskiwanie dostępu w trybie tylko do odczytu do podstawowych informacjidotyczących produktu, zainstalowanych funkcji oraz ich stanu ochrony, a także statystyk poszczególnych skanerów iplików dzienników produktu.
Dostawca WMI umożliwia korzystanie ze standardowej infrastruktury WMI w systemie Windows oraz z narzędzi doodczytywania stanu produktu oraz dzienników produktu.
153
6.6.5.1 Udostępnione dane
Wszystkie klasy WMI związane z produktem ESET znajdują się w przestrzeni nazw „root\ESET”. Obecnie wdrożone sąnastępujące klasy, które opisano bardziej szczegółowo poniżej:
Ogólne
· ESET_Product
· ESET_Features
· ESET_Statistics
Dzienniki
· ESET_ThreatLog
· ESET_EventLog
· ESET_ODFileScanLogs
· ESET_ODFileScanLogRecords
· ESET_ODServerScanLogs
· ESET_ODServerScanLogRecords
· ESET_HIPSLog
· ESET_URLLog
· ESET_DevCtrlLog
· Klasa ESET_GreylistLog
· ESET_MailServeg
· ESET_HyperVScanLogs
· ESET_HyperVScanLogRecords
Klasa ESET_Product
Może istnieć tylko jedno wystąpienie klasy ESET_Product. Właściwości tej klasy odnoszą się do informacjipodstawowych dotyczących zainstalowanego produktu ESET:
· ID — identyfikator typu produktu, np. „emsl”
· Name — nazwa produktu, np. „ESET Mail Security”.
· FullName — pełna nazwa produktu, np. „ESET Mail Security for IBM Domino”.
· Version — wersja produktu, np. „6.5.14003.0”
· VirusDBVersion — wersja bazy danych wirusów, np. „14533 (20161201)”.
· VirusDBLastUpdate — znacznik czasowy ostatniej aktualizacji bazy danych wirusów. Ciąg obejmuje znacznikczasowy w formacie daty i godziny WMI, np. „20161201095245.000000+060”
· LicenseExpiration— termin ważności licencji. Ciąg obejmuje znacznik czasowy w formacie daty i godziny WMI
· KernelRunning — wartość operatora logicznego wskazująca, czy uruchomiono usługę ekrn na komputerze, naprzykład „TRUE”.
· StatusCode— cyfra oznaczająca stan ochrony produktu: 0 — zielony (OK), 1 — żółty (ostrzeżenie), 2 —czerwony (błąd).
· StatusText— komunikat z opisem powodu niezerowego kodu stanu. Jeśli stan jest zerowy, właściwość mawartość zerową.
Klasa ESET_Features
Klasa ESET_Features występuje w wielu instancjach, w zależności od liczby funkcji produktu. Każda z instancjiobejmuje następujące elementy:
· Name— nazwa funkcji (listę nazw podano poniżej).
· Status— stan funkcji: 0 — nieaktywna, 1 — wyłączona, 2 — włączona.
Lista ciągów oznaczających rozpoznawane obecnie funkcje produktu:
· CLIENT_FILE_AV— ochrona antywirusowa systemu plików w czasie rzeczywistym.
· CLIENT_WEB_AV — ochrona antywirusowa sieci klienta.
154
· CLIENT_DOC_AV— ochrona antywirusowa dokumentów na kliencie.
· CLIENT_NET_FW — zapora osobista klienta.
· CLIENT_EMAIL_AV— ochrona antywirusowa poczty e-mail na kliencie.
· CLIENT_EMAIL_AS — ochrona antyspamowa poczty e-mail na kliencie.
· SERVER_FILE_AV — ochrona antywirusowa plików w czasie rzeczywistym na objętym ochroną serwerzeplików, np. ochrona plików zawartości bazy danych serwera SharePoint w przypadku programu ESET FileSecurity
· SERVER_EMAIL_AV— ochrona antywirusowa wiadomości e-mail na objętym ochroną produkcie serwerowym,np. ochrona wiadomości e-mail w programie MS Exchange lub na serwerze IBM Domino.
· SERVER_EMAIL_AS— ochrona antyspamowa wiadomości e-mail na objętym ochroną produkcie serwerowym,np. ochrona wiadomości e-mail w programie MS Exchange lub na serwerze IBM Domino.
· SERVER_GATEWAY_AV— ochrona antywirusowa objętych ochroną protokołów sieciowych bramy.
· SERVER_GATEWAY_AS — ochrona antyspamowa objętych ochroną protokołów sieciowych bramy.
Klasa ESET_Statistics
Klasa ESET_Statistics występuje w wielu instancjach, w zależności od liczby skanerów w ramach produktu. Każda zinstancji obejmuje następujące elementy:
· Scanner — ciąg z kodem danego skanera, np. „CLIENT_FILE”
· Total — łączna liczba przeskanowanych plików.
· Infected — liczba wykrytych zainfekowanych plików.
· Cleaned — liczba wyleczonych plików.
· Timestamp — znacznik czasowy ostatniej zmiany w tych statystykach. W formacie daty i godziny WMI, np.„20130118115511.000000+060”
· ResetTime — znacznik czasowy ostatniego zerowania licznika statystyk. W formacie daty i godziny WMI, np.„20130118115511.000000+060”
Lista ciągów oznaczających skanery, które są obecnie rozpoznawane:
· CLIENT_FILE
· CLIENT_EMAIL
· CLIENT_WEB
· SERVER_FILE
· SERVER_EMAIL
· SERVER_WEB
Klasa ESET_ThreatLog
Klasa ESET_ThreatLog występuje w wielu instancjach, z których każda związana jest z rekordem z dziennika „Wykrytezagrożenia”. Każda z instancji obejmuje następujące elementy:
· ID — unikatowy identyfikator danego rekordu dziennika skanowania
· Timestamp — znacznik czasowy utworzenia dziennika (w formacie daty i godziny WMI)
· LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadająnastępującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
· Scanner — nazwa skanera, który utworzył dane zdarzenie dziennika.
· ObjectType— typ obiektu, który spowodował utworzenie danego zdarzenia dziennika.
· ObjectName— nazwa obiektu, który spowodował utworzenie danego zdarzenia dziennika.
· Threat— nazwa zagrożenia znalezionego w obiekcie opisanym właściwościami ObjectName oraz ObjectType.
· Action— czynność wykonana po zidentyfikowaniu zagrożenia.
· User— konto użytkownika, który spowodował wygenerowanie danego zdarzenia dziennika.
· Information— dodatkowy opis zdarzenia.
· Hash— skrót obiektu, który spowodował utworzenie danego zdarzenia dziennika.
ESET_EventLog
155
Klasa ESET_EventLog występuje w wielu instancjach, z których każda związana jest z rekordem z dziennika„Zdarzenia”. Każda z instancji obejmuje następujące elementy:
· ID — unikatowy identyfikator danego rekordu dziennika skanowania
· Timestamp — znacznik czasowy utworzenia dziennika (w formacie daty i godziny WMI)
· LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadająnastępującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical (debugowanie, informacje-stopka, informacje, informacje-ważne,ostrzeżenie, błąd, ostrzeżenie dot. zabezpieczeń, błąd krytyczny, krytyczne ostrzeżenie dot. zabezpieczeń).
· Module— nazwa modułu, który utworzył dane zdarzenie dziennika.
· Event— opis zdarzenia.
· User— konto użytkownika, który spowodował wygenerowanie danego zdarzenia dziennika.
ESET_ODFileScanLogs
Klasa ESET_ODFileScanLogs występuje w wielu instancjach, z których każda związana jest z rekordem skanowaniaplików na żądanie. Jest to odpowiednik listy dzienników „Skanowanie komputera na żądanie” dostępnej wgraficznym interfejsie użytkownika. Każda z instancji obejmuje następujące elementy:
· ID — unikatowy identyfikator danego rekordu dziennika skanowania
· Timestamp — znacznik czasowy utworzenia dziennika (w formacie daty i godziny WMI)
· Targets — foldery lub obiekty docelowe skanowania
· TotalScanned — łączna liczba przeskanowanych obiektów
· Infected — liczba wykrytych zainfekowanych obiektów
· Cleaned — liczba wyleczonych obiektów.
· Status — stan procesu skanowania.
ESET_ODFileScanLogRecords
Klasa ESET_ODFileScanLogRecords występuje w wielu instancjach, z których każda związana jest z rekordem zjednego z dzienników skanowania, do których odnoszą się poszczególne instancje klasy ESET_ODFileScanLogs. Winstancjach tej klasy zawarte są rekordy dzienników wszystkich skanów lub dzienników na żądanie. Gdy wymaganajest tylko instancja określonego dziennika skanowania, należy przeprowadzić filtrowanie instancji wedługwłaściwości LogID. Każda z instancji klasy obejmuje następujące elementy:
· LogID— identyfikator dziennika skanowania, do którego należy dany rekord (identyfikator jednej z instancjiklasy ESET_ODFileScanLogs).
· ID — unikatowy identyfikator danego rekordu dziennika skanowania
· Timestamp — znacznik czasowy utworzenia dziennika (w formacie daty i godziny WMI)
· LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadająnastępującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
· Log — rzeczywisty komunikat dziennika.
Klasa ESET_ODServerScanLogs
Klasa ESET_ODServerScanLogs występuje w wielu instancjach, z których każda związana jest z uruchomieniemskanowania serwera na żądanie. Każda z instancji obejmuje następujące elementy:
· ID — unikatowy identyfikator danego rekordu dziennika skanowania
· Timestamp — znacznik czasowy utworzenia dziennika (w formacie daty i godziny WMI)
· Targets — foldery lub obiekty docelowe skanowania
· TotalScanned — łączna liczba przeskanowanych obiektów
· Infected — liczba wykrytych zainfekowanych obiektów
· Cleaned — liczba wyleczonych obiektów.
· RuleHits— ogólna liczba zastosowań reguł.
· Status — stan procesu skanowania.
Klasa ESET_ODServerScanLogRecords
156
Klasa ESET_ODServerScanLogRecords występuje w wielu instancjach, z których każda związana jest z rekordem zjednego z dzienników skanowania, do których odnoszą się poszczególne instancje klasy ESET_ODServerScanLogs. Winstancjach tej klasy zawarte są rekordy dzienników wszystkich skanów lub dzienników na żądanie. Gdy wymaganajest tylko instancja określonego dziennika skanowania, należy przeprowadzić filtrowanie instancji wedługwłaściwości LogID. Każda z instancji klasy obejmuje następujące elementy:
· LogID— identyfikator dziennika skanowania, do którego należy dany rekord (identyfikator jednej z instancjiklasy ESET_ODServerScanLogs).
· ID — unikatowy identyfikator danego rekordu dziennika skanowania
· Timestamp — znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI)
· LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadająnastępującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical (debugowanie, informacje-stopka, informacje, informacje-ważne,ostrzeżenie, błąd, ostrzeżenie dot. zabezpieczeń, błąd krytyczny, krytyczne ostrzeżenie dot. zabezpieczeń).
· Log — rzeczywisty komunikat dziennika.
Klasa ESET_GreylistLog
Klasa ESET_GreylistLog występuje w wielu instancjach, z których każda związana jest z rekordem z dziennika „Szaralista”. Każda z instancji obejmuje następujące elementy:
· ID — unikatowy identyfikator danego rekordu dziennika skanowania
· Timestamp — znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI)
· LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadająnastępującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
· HELODomain— nazwa domeny HELO.
· IP— źródłowy adres IP.
· Sender — nadawca wiadomości e-mail.
· Recipient— odbiorca wiadomości e-mail.
· Action — wykonana czynność.
· TimeToAccept— liczba minut, po której wiadomość e-mail zostanie zaakceptowana.
ESET_HIPSLog
Klasa ESET_HIPSLog występuje w wielu instancjach, z których każda związana jest z rekordem z dziennika „HIPS”.Każda z instancji obejmuje następujące elementy:
· ID — unikatowy identyfikator danego rekordu dziennika
· Timestamp — znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI)
· LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadająnastępującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical (debugowanie, informacje-stopka, informacje, informacje-ważne,ostrzeżenie, błąd, ostrzeżenie dot. zabezpieczeń, błąd krytyczny, krytyczne ostrzeżenie dot. zabezpieczeń).
· Application — aplikacja źródłowa
· Target — typ operacji
· Action — czynność podjęta przez system HIPS, na przykład zezwolenie, odmowa itp.
· Rule — nazwa reguły odpowiedzialnej za czynność
· AdditionalInfo
ESET_URLLog
Klasa ESET_URLLog występuje w wielu instancjach, z których każda związana jest z rekordem z dziennika „Filtrowaniewitryn internetowych”. Każda z instancji obejmuje następujące elementy:
· ID — unikatowy identyfikator danego rekordu dziennika
· Timestamp — znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI)
157
· LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadająnastępującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
· URL — adres URL
· Status — stan po przetworzeniu adresu URL, np. „Zablokowany przez kontrolę dostępu do stroninternetowych”
· Application — aplikacja, która próbowała uzyskać dostęp do adresu URL
· User — konto użytkownika, które posłużyło do uruchomienia aplikacji
ESET_DevCtrlLog
Klasa ESET_DevCtrlLog występuje w wielu instancjach, z których każda związana jest z rekordem z dziennika„Kontrola dostępu do urządzeń”. Każda z instancji obejmuje następujące elementy:
· ID — unikatowy identyfikator danego rekordu dziennika
· Timestamp — znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI)
· LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadająnastępującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
· Device — nazwa urządzenia
· User — nazwa konta użytkownika
· UserSID — identyfikator SID konta użytkownika
· Group — nazwa grupy użytkownika
· GroupSID — identyfikator SID grupy użytkownika
· Status — czynność podjęta w stosunku do urządzenia, np. „Zapis zablokowany”
· DeviceDetails — dodatkowe informacje na temat urządzenia
· EventDetails — dodatkowe informacje na temat zdarzenia
ESET_MailServerLog
Klasa ESET_MailServerLog występuje w wielu instancjach, z których każda związana jest z rekordem z dziennika„Serwer poczty e-mail”. Każda z instancji obejmuje następujące elementy:
· ID — unikatowy identyfikator danego rekordu dziennika
· Timestamp — znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI)
· LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadająnastępującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
· IPAddr — źródłowy adres IP.
· HELODomain— nazwa domeny HELO.
· Sender — nadawca wiadomości e-mail.
· Recipient— odbiorca wiadomości e-mail.
· Subject — temat wiadomości e-mail.
· ProtectionType — funkcja ochrony, która wykonała czynność opisaną przez bieżący rekord dziennika, np.antywirus, antyspam lub reguły.
· Action — wykonana czynność.
· Reason — powód wykonania działania względem obiektu przez wskazaną funkcję ProtectionType.
ESET_HyperVScanLogs
Klasa ESET_HyperVScanLogs występuje w wielu instancjach, z których każda związana jest z rekordem skanowaniaplików środowiska Hyper-V. Jest to odpowiednik listy dzienników „Skanowanie środowiska Hyper-V” dostępnej wgraficznym interfejsie użytkownika. Każda z instancji obejmuje następujące elementy:
· ID — unikatowy identyfikator danego rekordu dziennika
· Timestamp — znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI)
· Targets — komputery/dyski/woluminy docelowe skanowania
· TotalScanned — łączna liczba przeskanowanych obiektów
158
· Infected — liczba wykrytych zainfekowanych obiektów
· Cleaned — liczba wyleczonych obiektów.
· Status — stan procesu skanowania.
ESET_HyperVScanLogRecords
Klasa ESET_HyperVScanLogRecords występuje w wielu instancjach, z których każda związana jest z rekordem zjednego z dzienników skanowania, do których odnoszą się poszczególne instancje klasy ESET_HyperVScanLogs. Winstancjach tej klasy zawarte są rekordy dzienników wszystkich skanów lub dzienników środowiska Hyper-V. Gdywymagana jest tylko instancja określonego dziennika skanowania, należy przeprowadzić filtrowanie instancjiwedług właściwości LogID. Każda z instancji klasy obejmuje następujące elementy:
· LogID — identyfikator dziennika skanowania, do którego należy dany rekord (identyfikator jednej z instancjiklasy ESET_HyperVScanLogs)
· ID — unikatowy identyfikator danego rekordu dziennika
· Timestamp — znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI)
· LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadająnastępującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
· Log — rzeczywisty komunikat dziennika.
6.6.5.2 Uzyskiwanie dostępu do przekazanych danych
Oto kilka przykładów sposobów uzyskiwania dostępu do danych WMI ESET przy użyciu wiersza polecenia systemuWindows oraz środowiska PowerShell, co można zrealizować w dowolnym z obecnie dostępnych systemówWindows. Dostęp do danych można jednak uzyskiwać na wiele różnych sposobów przy użyciu innych językówskryptowych i narzędzi.
Wiersz polecenia bez skryptów
Pierwsze wmic można uzyskać dostęp do różnych wstępnie zdefiniowanych lub niestandardowych klas WMI.
Wyświetlenie pełnych informacji na temat produktu na komputerze lokalnym:wmic /namespace:\\root\ESET Path ESET_Product
Wyświetlenie numeru wersji produktu tylko w przypadku produktu na komputerze lokalnym:wmic /namespace:\\root\ESET Path ESET_Product Get Version
Wyświetlenie pełnych informacji na temat produktu na komputerze zdalnym o numerze IP 10.1.118.180:wmic /namespace:\\root\ESET /node:10.1.118.180 /user:Administrator Path ESET_Product
Środowisko PowerShell
Pobranie i wyświetlenie pełnych informacji na temat produktu na komputerze lokalnym:Get-WmiObject ESET_Product -namespace 'root\ESET'
Pobranie i wyświetlenie pełnych informacji na temat produktu na komputerze zdalnym o numerze IP 10.1.118.180:$cred = Get-Credential # wyświetlenie monitu o poświadczenia użytkownika i zachowanie ich w
postaci zmiennej
Get-WmiObject ESET_Product -namespace 'root\ESET' -computername '10.1.118.180' -cred $cred
159
6.6.6 ERA/ESMC— obiekty docelowe skanowania
Funkcja ta umożliwia programowi ESET Security Management Center użycie właściwych obiektów docelowych(skanowania bazy danych skrzynki pocztowej na żądanie i skanowania środowiska Hyper-V) podczas uruchamianiazadania klienta Skanowanie serwera na serwerze z programem ESET File Security. Ustawienie ERA — obiektydocelowe skanowania jest dostępne tylko wtedy, gdy zainstalowano agenta ESET Management Agent i środowiskoHyper-V. W przeciwnym razie jest wyszarzone.
Po włączeniu funkcji Generuj listę obiektów docelowych program ESET File Security tworzy listę dostępnychobiektów docelowych skanowania. Ta lista jest generowana okresowo, zgodnie z ustalonym okresem aktualizacji.
UWAGAPo pierwszym włączeniu opcji Generuj listę obiektów docelowych program ESET Security Management Centerbędzie potrzebował na utworzenie listy około połowy wyznaczonego okresu aktualizacji. Jeśli na przykładopcja Okres aktualizacji ma wartość 60 minut, program ESMC uzyska listę obiektów docelowych skanowania pookoło 30 minutach. Jeżeli program ESET Security Management Center ma utworzyć listę szybciej, należy ustawićniższą wartość okresu aktualizacji. Później można ją zwiększyć.
Gdy program ESET Security Management Center uruchamia zadanie klienta Skanowanie serwera, korzysta z tej listy iwyświetla monit o wybranie obiektów docelowych skanowania środowiska Hyper-V na tym konkretnym serwerze.
6.6.7 Tryb wymuszania
Jeśli w programie ESET File Security została zastosowana polityka z serwera ESET Security Management Center, na
stronie konfiguracji zamiast przełącznika będzie widoczna ikona kłódki . Taka sama ikona pojawi się też obokprzełącznika w oknie Ustawienia zaawansowane.
160
Zwykle nie można modyfikować ustawień konfigurowanych przy użyciu polityki z serwera ESET SecurityManagement Center. Tryb wymuszania umożliwia tymczasowe odblokowanie tych ustawień. Trzeba jednak włączyć Tryb wymuszania w ustawieniach polityki serwera ESET Security Management Center.
W tym celu zaloguj się w konsoli internetowej ESMC, wybierz kolejno pozycje Administrator > Polityki, a następniewybierz i zmodyfikuj istniejącą politykę zastosowaną do programu ESET File Security lub utwórz nową. W obszarze Ustawienia kliknij pozycję Tryb wymuszania, włącz ten tryb i skonfiguruj resztę jego ustawień, w tym typuwierzytelniania (Użytkownik Active Directory lub Hasło).
161
Po zmodyfikowaniu polityki lub utworzeniu nowej polityki i zastosowaniu jej do programu ESET File Security woknie Ustawienia zaawansowane pojawi się przycisk Wymuś politykę.
Kliknij przycisk Wymuś politykę, ustaw czas trwania i kliknij przycisk Zastosuj.
162
Jeśli wybranym typem uwierzytelniania jest Hasło, podaj hasło wymuszania polityki.
163
Gdy upłynie okres obowiązywania trybu wymuszania, wszelkie wprowadzone zmiany konfiguracji zostanąwycofane. Nastąpi przywrócenie oryginalnych ustawień polityki serwera ESET Security Management Center. Przedupłynięciem okresu obowiązywania trybu wymuszania zostanie wyświetlone powiadomienie.
Możesz zakończyć tryb wymuszania przed upłynięciem okresu obowiązywania, wybierając pozycję Zakończwymuszanie na stronie monitorowania lub w oknie Ustawienia zaawansowane.
6.6.8 Pliki dziennika
Ta sekcja umożliwia modyfikowanie konfiguracji zapisywania w dzienniku programu ESET File Security.
Filtr dziennika
Powoduje wytworzenie dużej ilości danych, ponieważ wszystkie opcje zapisywania w dzienniku są domyślniewłączone. Zalecamy wyłączenie zapisywania szczegółów wybranych komponentów, które nie są użyteczne lubzwiązane z problemem.
UWAGAAby rozpocząć zapisywanie w dziennikach, należy włączyć ogólne zapisywanie w dziennikach diagnostycznychna poziomie produktu w sekcji menu głównego Ustawienia > Narzędzia. Po włączeniu zapisywania wdziennikach program ESET File Security będzie gromadził szczegółowe dane w dziennikach zgodnie z funkcjamiwłączonymi w tej sekcji.
Poszczególne funkcje można włączać lub wyłączać przy użyciu przełączników. Opcje te można także łączyć wzależności od dostępności komponentów w programie ESET File Security.
· Zapisywanie w dziennikach diagnostycznych ochrony bazy danych
· Zapisywanie w dziennikach diagnostycznych przesyłania poczty
WAŻNEW przypadku rozwiązywania problemów ze skanowaniem bazy danych w ramach normalnego działaniaprogramu zalecamy wyłączenie opcji Zapisywanie w dziennikach diagnostycznych przesyłania poczty. Wprzeciwnym razie może dojść do zapisania w dzienniku dużej ilości danych, co utrudni analizę.
· Zapisywanie w dziennikach diagnostycznych skanowania bazy danych na żądanie — zapisywanieszczegółowych informacji w dziennikach, zwłaszcza wtedy, gdy jest konieczne rozwiązanie problemów.
· Zapisywanie w dziennikach diagnostycznych klastra — zapisywanie w dziennikach klastra zostanieuwzględnione w ogólnych dziennikach diagnostycznych.
· Zapisywanie informacji diagnostycznych w dziennikach dla aparatu antyspamowego — w dziennikach będązapisywane informacje dotyczące aparatu antyspamowego, co ułatwi rozwiązywanie problemów.
Pliki dziennika
Definiowanie zarządzania plikami dziennika. Jest to ważne głównie w kontekście zapobiegania nadmiernemuobciążaniu dysku. Ustawienia domyślne pozwalają automatycznie usuwać starsze pliki dziennika w celuzaoszczędzenia miejsca na dysku.
Automatycznie usuwaj rekordy starsze niż (dni)Wpisy dziennika starsze niż liczba dni podana w polu będą usuwane automatycznie.
Automatycznie usuwaj stare rekordy po przekroczeniu rozmiaru dziennika
164
Gdy rozmiar dziennika przekroczy rozmiar podany w pozycji Maksymalny rozmiar dziennika [MB], starszerekordy dziennika będą usuwane aż do osiągnięcia rozmiaru podanego w pozycji Pomniejszony rozmiardziennika [MB].
Twórz kopie zapasowe automatycznie usuwanych rekordówW wybranym katalogu będą tworzone kopie zapasowe automatycznie usuwanych rekordów i plików dzienników(opcjonalnie mogą być kompresowane w postaci plików ZIP).
Twórz kopie zapasowe dzienników diagnostycznychTworzone będą kopie automatycznie usuwanych dzienników diagnostycznych. Gdy ta opcja nie jest włączona,kopie zapasowe rekordów dzienników diagnostycznych nie są tworzone.
Folder kopii zapasowychFolder, w którym zapisywane będą kopie zapasowe dzienników. Można włączyć kompresowanie kopiizapasowych dzienników jako plików ZIP.
Automatycznie optymalizuj pliki dziennikówWłączenie tej opcji powoduje automatyczną defragmentację plików dziennika po przekroczeniu stopniafragmentacji określonego w polu Jeśli liczba nieużywanych rekordów przekracza (%). Kliknij przyciskOptymalizuj, aby rozpocząć defragmentację plików dziennika. Wszystkie puste wpisy dzienników są usuwane wcelu zwiększenia wydajności i szybkości przetwarzania dzienników. Poprawę można zaobserwować zwłaszcza wprzypadku dzienników zawierających dużą liczbę wpisów.
Włącz protokół tekstowyAby włączyć zapisywanie dzienników w plikach innego formatu osobno od plików dziennika:
· Katalog docelowy — katalog, w którym zapisywane są pliki dzienników (dotyczy wyłącznie plikówtekstowych/CSV). Każdej sekcji odpowiada osobny plik o wstępnie zdefiniowanej nazwie (np. virlog.txt to plikodpowiadający sekcji plików dziennika Wykryte zagrożenia, jeśli wybrany format zapisu dzienników to zwykłytekst).
· Typ — po wybraniu formatu Tekst dzienniki będą zapisywane w postaci pliku tekstowego, a dane będąrozdzielane tabulatorami. Dotyczy to też formatu pliku CSV z wartościami rozdzielanymi przecinkami. Wprzypadku wybrania opcji Zdarzenie, zamiast w pliku, dzienniki będą zapisywane w dzienniku zdarzeńsystemu Windows (można go wyświetlić w obszarze Podgląd zdarzeń w Panelu sterowania).
· Usuń wszystkie pliki dzienników — umożliwia usunięcie wszystkich zapisanych dzienników aktualniewybranych z menu rozwijanego Typ.
UWAGAW celu uzyskania pomocy przy usprawnianiu rozwiązywania problemów dział obsługi technicznej firmy ESETmoże czasem prosić użytkowników o przekazanie dzienników zapisanych na ich komputerach. Narzędzie ESETLog Collector ułatwia użytkownikom gromadzenie niezbędnych informacji. Więcej informacji na tematnarzędzia ESET Log Collector można znaleźć w artykule w bazie wiedzy .
6.6.9 Serwer proxy
W dużych sieciach lokalnych komputery mogą być połączone z Internetem za pośrednictwem serwera proxy. Wtakim przypadku trzeba zdefiniować opisane tu ustawienia — w przeciwnym razie program nie będzie mógł byćautomatycznie aktualizowany. W programie ESET File Security ustawienia serwera proxy są dostępne w dwóchsekcjach okna Ustawienia zaawansowane (F5):
1. Ustawienia zaawansowane (F5) > Aktualizacja > Profile > Aktualizacje > Opcje połączenia > Serwer proxyHTTP To ustawienie ma zastosowanie do danego profilu aktualizacji i jest zalecane na komputerach przenośnych,które często pobierają moduły różnych lokalizacjach.
165
2. Ustawienia zaawansowane (F5) > Narzędzia > Serwer proxyOkreślenie serwera proxy na tym poziomie powoduje zdefiniowanie globalnych ustawień serwera proxy dlacałego programu ESET File Security. Parametry wprowadzone w tym miejscu są używane przez wszystkiemoduły, które nawiązują połączenie z Internetem.
Aby określić ustawienia serwera proxy na tym poziomie, należy włączyć przełącznik Użyj serwera proxy, a następniewprowadzić adres serwera proxy w polu Serwer proxy oraz jego numer portu — w polu Port.
Serwer proxy wymaga uwierzytelnianiaJeśli komunikacja sieciowa za pośrednictwem serwera proxy wymaga uwierzytelniania, należy włączyć tę opcjęoraz uzupełnić pola Nazwa użytkownika i Hasło.
Wykryj serwer proxyKliknięcie przycisku Wykryj spowoduje automatyczne wykrycie i wprowadzenie ustawień serwera proxy.Zostaną skopiowane parametry określone w programie Internet Explorer.
UWAGATa funkcja nie umożliwia automatycznego pobierania danych uwierzytelniania (nazwy użytkownika i hasła) —trzeba je wprowadzić ręcznie.
Użyj połączenia bezpośredniego, jeśli serwer proxy jest niedostępnyJeśli w produkcie skonfigurowano korzystanie z serwera proxy HTTP, ale serwer ten jest niedostępny, produktpominie go i będzie się łączyć bezpośrednio z serwerami firmy ESET.
6.6.10 Powiadomienia e-mail
Program ESET File Security może automatycznie wysyłać powiadomienia e-mail po wystąpieniu zdarzenia owybranym poziomie szczegółowości.
Wysyłaj powiadomienia o zdarzeniach pocztą e-mailNależy włączyć tę funkcję, aby uaktywnić powiadomienia e-mail.
UWAGASerwery SMTP z szyfrowaniem TLS są obsługiwane przez program ESET File Security.
Serwer SMTP
Nazwa serwera SMTP używanego do wysyłania alertów i powiadomień. Zwykle jest to nazwa używanego serweraMicrosoft Exchange Server.
Nazwa użytkownika i hasłoJeśli serwer SMTP wymaga uwierzytelniania, należy wypełnić te pola, podając prawidłową nazwę użytkownika ihasło dostępu do tego serwera SMTP.
Adres nadawcyNależy wprowadzić adres nadawcy, który będzie wyświetlany w nagłówkach powiadomień e-mail. Odbiorcazobaczy go w polu Od.
Adres odbiorcyNależy określić adres e-mail odbiorcy powiadomień, który znajdzie się w polu Do.
Minimalna szczegółowość powiadomieńUmożliwia określenie minimalnego poziomu szczegółowości wysyłanych powiadomień.
Uruchom TLSUmożliwia wysyłanie alertów i powiadomień z obsługą szyfrowania TLS.
Interwał, po jakim będą wysyłane nowe powiadomienia e-mail (min)
166
Czas w minutach, po upływie którego nowe powiadomienia zostaną wysłane w wiadomości e-mail. Jeślipowiadomienia mają być wysyłane bezzwłocznie, ustaw tę wartość na 0.
Wysyłaj każde powiadomienie w osobnej wiadomości e-mailPo włączeniu tej opcji odbiorca będzie otrzymywał osobną wiadomość e-mail z każdym powiadomieniem. Możeto poskutkować znaczną liczbą wiadomości e-mail odebranych w krótkim czasie.
Format wiadomości
Komunikacja między programem a zdalnym użytkownikiem lub administratorem systemu odbywa się za pomocąwiadomości e-mail lub powiadomień rozsyłanych w sieci LAN (za pośrednictwem usługi wiadomości błyskawicznychsystemu Windows). Domyślny format alertów i powiadomień będzie w większości przypadków optymalny. Może sięjednak zdarzyć, że konieczna będzie zmiana formatu wiadomości o zdarzeniu.
Format wiadomości o zdarzeniuFormat wiadomości o zdarzeniach wyświetlanych na komputerach zdalnych.
Format wiadomości z ostrzeżeniem o zagrożeniuAlerty o zagrożeniach oraz powiadomienia mają wstępnie zdefiniowany format domyślny. Zaleca się niezmieniać tego formatu. W pewnych okolicznościach (takich jak korzystanie z automatycznego systemuprzetwarzania poczty) zmiana formatu może być jednak konieczna.
W treści powiadomień słowa kluczowe (ciągi oddzielone znakiem %) są zastępowane konkretnymi informacjami wokreślony sposób. Dostępne są następujące słowa kluczowe:
· %TimeStamp% — data i godzina zdarzenia.
· %Scanner% — odnośny moduł.
· %ComputerName% — nazwa komputera, na którym wystąpił alert.
· %ProgramName% — program, który wygenerował alert.
· %InfectedObject% — nazwa zainfekowanego pliku, wiadomości itp.
· %VirusName% — identyfikacja infekcji.
· %ErrorDescription% — opis zdarzenia niezwiązanego z wirusem.
Słowa kluczowe %InfectedObject% i %VirusName% są używane tylko w wiadomościach ostrzegających ozagrożeniach, a słowo kluczowe %ErrorDescription%— tylko w wiadomościach o zdarzeniach.
Włącz kodowanie Quoted-printableŹródło wiadomości e-mail zostanie zakodowane w formacie Quoted-printable (QP), w którym wykorzystywanesą znaki ASCII oraz prawidłowo przekazywane w wiadomościach e-mail specjalne znaki narodowe w formacie 8-bitowym (áéíóú).
6.6.11 Tryb prezentacji
Tryb prezentacji to funkcja przeznaczona dla użytkowników, którzy wymagają niczym niezakłócanego dostępu doswojego oprogramowania, chcą zablokować wszelkie wyskakujące okna i zależy im na zmniejszeniu obciążeniaprocesora. Tryb prezentacji może być również wykorzystywany podczas prezentacji, które nie mogą być przerywanedziałaniem programu antywirusowego. Po włączeniu tego trybu wyłączane są wszystkie wyskakujące okna i nie sąuruchamiane zaplanowane zadania. Ochrona systemu pozostaje aktywna w tle, ale nie wymaga interwencjiużytkownika. Po włączeniu tego trybu wyłączane są wszystkie wyskakujące okna i nie są uruchamiane zaplanowanezadania. Ochrona systemu pozostaje aktywna w tle, ale nie wymaga interwencji użytkownika.
Automatycznie włączaj tryb prezentacji przy uruchamianiu aplikacji w trybie pełnoekranowymTryb prezentacji będzie włączany automatycznie przy uruchomieniu aplikacji pełnoekranowej. Po uaktywnieniutrybu prezentacji nie będą wyświetlane powiadomienia ani informacje o zmianie stanu programu ESET FileSecurity.
Automatycznie wyłączaj tryb prezentacjiOkreślanie liczby minut, po upływie której tryb prezentacji będzie automatycznie wyłączany.
167
6.6.12 Diagnostyka
Diagnostyka umożliwia wykonywanie zrzutów pamięci w przypadku awarii aplikacji związanych z procesamioprogramowania firmy ESET (na przykład ekrn). Jeśli aplikacja ulega awarii, generowany jest zrzut pamięci. Może topomóc programistom w usuwaniu błędów i eliminowaniu rozmaitych ESET File Security problemów.
Należy kliknąć menu rozwijane obok pozycji Typ zrzutu i wybrać jedną z trzech dostępnych opcji:
· Wyłącz (domyślna) — wybranie tej opcji powoduje wyłączenie tej funkcji.
· Mini— umożliwia zarejestrowanie najmniejszego zbioru użytecznych informacji, które mogą być pomocne wwykryciu przyczyny nieoczekiwanej awarii aplikacji. Ten rodzaj pliku zrzutu jest przydatny, gdy ilość wolnegomiejsca na dysku jest ograniczona. Jednak ze względu na niewielką ilość zawartych w nim informacji analizajego zawartości może nie wystarczyć do wykrycia błędów, które nie były bezpośrednio spowodowane przezwątek działający w chwili wystąpienia problemu.
· Pełny — umożliwia zarejestrowanie całej zawartości pamięci systemu, gdy aplikacja nieoczekiwanieprzestanie działać. Pełny zrzut pamięci może zawierać dane z procesów, które były uruchomione w trakciejego tworzenia.
Włącz zaawansowane funkcje dziennika dotyczące ochrony sieciRejestruje wszystkie dane transmitowane za pośrednictwem funkcji ochrony sieci w formacie PCAP. Pomaga toprogramistom w diagnozowaniu i rozwiązywaniu problemów związanych z ochroną sieci.
Włącz zaawansowane rejestrowanie filtrowania protokołówRejestrowanie wszystkich danych przesyłanych przez mechanizm filtrowania protokołów w formacie PCAP.Pomaga to programistom w diagnozowaniu i rozwiązywaniu problemów związanych z filtrowaniem protokołów.
Włącz zaawansowane zapisywanie informacji w dziennikach dla aparatu aktualizacjiRejestrowanie wszystkich zdarzeń występujących podczas procesu aktualizacji. Pomaga to programistom wdiagnozowaniu i rozwiązywaniu problemów związanych z aparatem aktualizacji.
Włącz zaawansowane rejestrowanie licencjiRejestruj całą komunikację produktu z serwerem licencji.
Katalog docelowyKatalog, w którym po wystąpieniu awarii zostanie zapisany zrzut pamięci.
Otwórz folder diagnostykiKliknij pozycję Otwórz, aby otworzyć ten katalog w nowym oknie Eksploratora Windows.
dział obsługi klienta
Prześlij dane konfiguracji systemu
Należy wybrać opcję Zawsze przesyłaj, aby przed wysyłaniem danych konfiguracji programu ESET File Securitynie był wyświetlany monit, lub użyć opcji Pytaj przed przesłaniem.
168
6.6.13 Klaster
Opcja Włącz klaster jest włączana automatycznie, gdy klaster ESET zostanie skonfigurowany. Można ją wyłączyćręcznie w oknie Ustawienia zaawansowane (F5), klikając ikonę przełącznika (jest to wygodne, gdy istnieje potrzebazmiany konfiguracji bez wprowadzania zmian na pozostałych węzłach klastra ESET). Przełącznik tylko włącza lubwyłącza działanie klastra ESET. Aby skonfigurować lub zniszczyć klaster, należy użyć opcji Kreator klastrów lubzniszczyć klaster, korzystając z sekcji Narzędzia > Klaster w głównym oknie programu.
Klaster ESET nieskonfigurowany i wyłączony:
Klaster ESET prawidłowo skonfigurowany wraz ze swoimi szczegółami i opcjami:
169
6.7 Interfejs użytkownika
Konfigurowanie działania graficznego interfejsu użytkownika programu ESET File Security. Można dostosowaćwygląd programu i stosowane w nim efekty wizualne.
Elementy interfejsu użytkownika
W menu rozwijanym Tryb uruchamiania interfejsu GUI są dostępne do wyboru następujące tryby uruchamianiagraficznego interfejsu użytkownika (GUI):
· Pełny — umożliwia wyświetlanie pełnego interfejsu GUI.
· Terminal— nie są wyświetlane powiadomienia ani alerty. Ten tryb obsługi interfejsu GUI może uruchomićwyłącznie administrator. Jeśli elementy graficzne wpływają na obniżenie wydajności komputera lubpowodują inne problemy, w interfejsie użytkownika należy ustawić tryb Terminal. Można również wyłączyćgraficzny interfejs użytkownika na serwerze terminali. Więcej informacji na temat programu ESET File Securityzainstalowanego na serwerze terminali można znaleźć w temacie Wyłączanie interfejsu GUI na serwerzeterminali.
Pokaż ekran powitalny przy uruchamianiuNależy wyłączyć tę opcję, aby nie wyświetlać ekranu powitalnego podczas uruchamiania interfejsu GUIprogramu ESET File Security, na przykład podczas logowania do systemu.
Użyj sygnałów dźwiękowychProgram ESET File Security emituje sygnał dźwiękowy po wystąpieniu ważnego zdarzenia podczas skanowania,np. po wykryciu zagrożenia lub po zakończeniu skanowania.
Integruj z menu kontekstowym
170
Po włączeniu tej opcji elementy sterujące programu ESET File Security zostaną zintegrowane z menukontekstowym. Menu kontekstowe jest wyświetlane po kliknięciu obiektu (pliku) prawym przyciskiem myszy.W menu wyszczególnione są wszystkie czynności, które można wykonać w odniesieniu do obiektu.
Stany aplikacjiKliknięcie opcji Edytuj umożliwia wybieranie stanów wyświetlanych w oknie Monitorowanie. Aby konfigurowaćstany aplikacji, można również korzystać z polityk serwera ESET Security Management Center. Stan aplikacjibędzie również wyświetlany, jeśli produkt nie został aktywowany lub wygasła jego licencja.
Informacje o licencji/Pokaż informacje o licencjiPo włączeniu tej opcji będą wyświetlane komunikaty i powiadomienia dotyczące licencji.
PersonalizacjaMożna dostosować komunikaty używane w powiadomieniach.
Alerty i powiadomieniaKonfigurując ustawienia sekcji Alerty i powiadomienia, można zmienić zachowanie powiadomień systemowychi alertów dotyczących wykrytych zagrożeń. Pozwala to dostosować je do swoich potrzeb. Jeśli wyświetlanieniektórych powiadomień zostanie wyłączone, będą się one pojawiać w obszarze Wyłączone komunikaty i stany.Można tam sprawdzać stan powiadomień, wyświetlać dodatkowe informacje na ich temat oraz usuwać je z tegookna.
Ustawienia dostępuPrzy użyciu narzędzia Ustawienia dostępu można zablokować możliwość wprowadzania nieautoryzowanychzmian, aby zapewnić wysoki poziom bezpieczeństwa.
ESET ShellIstnieje możliwość skonfigurowania uprawnień dostępu do ustawień i funkcji produktu oraz danych przy użyciuinterfejsu eShell. W tym celu należy zmienić ustawienie Zasady wykonywania powłoki ESET Shell.
Ikona na pasku zadań
Przywracanie wszystkich ustawień w sekcji
6.7.1 Alerty i powiadomienia
Można skonfigurować sposób obsługi alertów o zagrożeniach i powiadomień systemowych (takich jakpowiadomienia o pomyślnych aktualizacjach) w programie ESET File Security. Można tu też ustawić Czas trwaniawyświetlania i Przezroczystość powiadomień wyświetlanych na pasku zadań (ta opcja dotyczy tylko systemówoperacyjnych obsługujących takie powiadomienia).
Wyświetlaj alertyWyłączenie tej opcji uniemożliwi programowi ESET File Security wyświetlanie alertów w obszarze powiadomieńsystemu Windows.
Powiadomienia na pulpicie
Powiadomienia na pulpicie i porady w dymkach mają charakter informacyjny i nie wymagają działań ze stronyużytkownika. Są one wyświetlane w obszarze powiadomień w prawym dolnym rogu ekranu. Szczegółowe opcje,takie jak czas wyświetlania powiadomienia i przezroczystość okien, można zmodyfikować poniżej. Włączenie opcji Nie wyświetlaj powiadomień przy uruchamianiu aplikacji w trybie pełnoekranowym umożliwia blokowaniewszystkich powiadomień, które nie są interaktywne.
Z menu rozwijanego Minimalna szczegółowość zdarzeń do wyświetlenia można wybrać stopień ważności alertów ipowiadomień. Dostępne są następujące opcje:
171
· Diagnostyczne— rejestrowanie informacji potrzebnych do ulepszenia konfiguracji programu, a takżewszystkich rekordów wyższych kategorii.
· Informacyjne— rejestrowanie komunikatów informacyjnych, w tym powiadomień o pomyślnychaktualizacjach, oraz wszystkich rekordów wyższych kategorii.
· Ostrzeżenia— rejestrowanie błędów krytycznych oraz komunikatów ostrzegawczych.
· Błędy— rejestrowanie błędów typu „Błąd podczas pobierania pliku” oraz błędów krytycznych.
· Krytyczne— rejestrowanie tylko błędów krytycznych (np. błąd uruchomienia ochrony antywirusowej).
W polu W systemach z wieloma użytkownikami wyświetlaj powiadomienia na ekranie tego użytkownika możnawskazać użytkownika, który będzie otrzymywać powiadomienia dotyczące systemu i innych kwestii w środowiskuumożliwiającym równoczesne połączenie wielu użytkownikom. Zazwyczaj taką osobą jest administrator systemu lubadministrator sieci. Ta opcja jest szczególnie przydatna w przypadku serwerów terminali, pod warunkiem, żewszystkie powiadomienia systemowe są wysyłane do administratora.
okna komunikatów
Krótkie komunikaty tekstowe i pytania są wyświetlane w oknach komunikatów.
Automatycznie zamykaj okna komunikatówUmożliwia automatyczne zamykanie wyskakujących okien po upływie określonego czasu. Jeśli użytkownik niezamknie okna alertu ręcznie, zostanie ono zamknięte automatycznie po upływie określonego czasu.
Komunikaty wymagające potwierdzeńKliknięcie opcji Edytuj powoduje otwarcie okna wyskakującego z listą komunikatów wymagające potwierdzeńwyświetlanych przez program ESET File Security przed wykonaniem działania. Pola wyboru umożliwiajądostosowanie preferencji dotyczących komunikatów wymagających potwierdzeń.
6.7.2 Ustawienia dostępu
Aby zapewnić maksymalny poziom ochrony systemu, program ESET File Security musi być prawidłowoskonfigurowany. Wszelkie niefachowe zmiany mogą spowodować utratę cennych danych. Aby zapobiecnieautoryzowanemu wprowadzaniu zmian, parametry konfiguracji programu ESET File Security można chronić zapomocą hasła.
WAŻNEPodczas odinstalowywania programu ESET File Security w przypadku korzystania z funkcji ochrony hasłemustawień dostępu zostanie wyświetlony monit o wprowadzenie hasła. Jeśli hasło nie zostanie wprowadzone,nie będzie można odinstalować programu ESET File Security.
Chroń ustawienia hasłemUmożliwia zablokowanie lub odblokowanie ustawień programu. Kliknięcie umożliwia otwarcie okna Ustawieniehasła.
Ustaw hasłoAby określić lub zmienić hasło służące do ochrony ustawień, należy kliknąć opcję Ustaw. Aby zabezpieczyćparametry ustawień programu ESET File Security przed nieautoryzowaną modyfikacją, należy ustalić nowehasło. Aby zmienić istniejące hasło, stare hasło należy wpisać w polu Stare hasło, w polach Nowe hasło iPotwierdź hasło należy wprowadzić nowe hasło, a następnie kliknąć przycisk OK. To hasło będzie wymaganepodczas modyfikowania w przyszłości ustawień programu ESET File Security.
Wymagaj pełnych uprawnień administratora w przypadku kont administratora z ograniczonymi uprawnieniamiTę opcję należy zaznaczyć, aby bieżący użytkownik bez uprawnień administratora musiał podać nazwęużytkownika i hasło administratora w przypadku modyfikowania określonych parametrów, takich jak wyłączaniemodułów ochrony.
172
UWAGAJeśli hasło z sekcji Ustawienia zaawansowane zostanie zmienione, a wymagane jest zaimportowanieistniejącego pliku konfiguracyjnego .xml (podpisanego przed zmianą hasła) przy użyciu wiersza polecenia ESETCMD, należy podpisać plik ponownie przy użyciu nowego hasła. Umożliwia to korzystanie ze starszych plikówkonfiguracyjnych bez konieczności eksportowania ich na inny komputer z programem ESET File Security przedzaimportowaniem.
6.7.3 ESET Shell
Istnieje możliwość skonfigurowania uprawnień dostępu do ustawień i funkcji produktu oraz danych przy użyciupoleceń eShell. W tym celu należy zmienić ustawienie Zasady wykonywania powłoki ESET Shell. Ustawieniedomyślne to Ograniczona obsługa skryptów, ale w razie potrzeby można je zmienić, wprowadzając ustawienieWyłączone, Tylko do odczytu lub Pełny dostęp.
WyłączoneBrak możliwości używania interfejsu eShell. Możliwa jest jedynie konfiguracja samego interfejsu eShell wkontekście ui eshell. Można dostosować wygląd interfejsu eShell, ale nie można uzyskać dostępu do żadnychustawień produktu ani danych.
Tylko do odczytuInterfejs eShell może być używany jako narzędzie do monitorowania. Możliwe jest wyświetlanie wszystkichustawień, zarówno w trybie interaktywnym, jak i wsadowym, ale nie można modyfikować żadnych ustawień,funkcji ani danych.
Ograniczona obsługa skryptówW trybie interaktywnym można wyświetlać i modyfikować wszystkie ustawienia, funkcje i dane. W trybiewsadowym interfejs eShell działa w trybie zbliżonym do trybu tylko do odczytu, jednak w przypadku korzystaniaz podpisanych plików wsadowych można edytować ustawienia i modyfikować dane.
Pełny dostępDostęp do wszystkich ustawień jest nieograniczony zarówno w trybie interaktywnym, jak i w trybie wsadowym(przy uruchamianiu plików wsadowych). Można wyświetlać i modyfikować dowolne ustawienia. W celuuruchomienia interfejsu eShell z pełnym dostępem należy użyć konta administratora. Podwyższenie poziomuuprawnień jest również wymagane, gdy włączona jest obsługa UAC.
6.7.4 Wyłączanie interfejsu GUI na serwerze terminali
W tym rozdziale omówiono wyłączanie graficznego interfejsu użytkownika (GUI) w programie ESET File Securitydziałającym na serwerze terminali systemu Windows dla sesji użytkownika.
Graficzny interfejs użytkownika programu ESET File Security jest zwykle uruchamiany po zalogowaniu się zdalnegoużytkownika na serwerze i utworzeniu przez niego sesji terminalu. To działanie jest przeważnie niepożądane wprzypadku serwerów terminali. Interfejs GUI dla sesji terminali można wyłączyć w interfejsie eShell, uruchamiającpolecenie set ui ui gui-start-mode none. Spowoduje to przełączenie interfejsu GUI w tryb terminalowy.Dostępne są dwa tryby uruchamiania interfejsu GUI:
set ui ui gui-start-mode full
set ui ui gui-start-mode none
Aby dowiedzieć się, jaki tryb jest obecnie używany, należy uruchomić polecenie get ui ui gui-start-mode.
UWAGAJeśli program ESET File Security został zainstalowany na serwerze Citrix, zalecamy korzystanie z ustawieńopisanych w tym artykule bazy wiedzy .
173
6.7.5 Wyłączone komunikaty i stany
Komunikaty wymagające potwierdzeńUmożliwia wyświetlenie listy komunikatów wymagających potwierdzeń, z której można wybrać elementy dowyświetlenia.
Ustawienia stanów aplikacjiUmożliwia włączanie i wyłączanie wyświetlania stanu na stronie Monitorowanie w menu głównym.
6.7.5.1 Ustawienia stanów aplikacji
W tym oknie dialogowym możesz włączać i wyłączać stany aplikacji, które będą wyświetlane. Możesz na przykładwstrzymać ochronę antywirusową i antyspyware, co spowoduje zmianę stanu ochrony wyświetlanego na stronie Monitorowanie. Stan aplikacji będzie również wyświetlany, jeśli produkt nie został aktywowany lub wygasła jegolicencja.
Stanami aplikacji można zarządzać za pośrednictwem polityk na serwerze <%ERA%>. Kategorie i stany sąwyświetlane na liście z dwoma opcjami: Pokaż i Wyślij. Kolumna „Wyślij” dotycząca stanów aplikacji jest widocznatylko w konfiguracji polityk na serwerze <%ERA%>. Program ESET File Security pokazuje ustawienia z ikoną kłódki.Aby tymczasowo zmienić ustawienia stanów aplikacji, możesz skorzystać z trybu wymuszania.
174
6.7.6 Ikona na pasku zadań
Szybki dostęp do często używanych elementów i funkcji programu ESET File Security. Są one dostępne po kliknięciu
prawym przyciskiem myszy ikony na pasku zadań.
Więcej informacjiOtwieranie strony Monitorowanie w celu wyświetlenia informacji o bieżącym stanie ochrony i komunikatów.
Wstrzymanie ochronyPowoduje wyświetlenie okna dialogowego potwierdzenia, które służy do wyłączenia ochrony antywirusowej iantyspyware zabezpieczającej przed atakami przez kontrolowanie komunikacji w zakresie plików, stroninternetowych i poczty e-mail. W przypadku tymczasowego wstrzymania ochrony antywirusowej i antyspyware
przy użyciu ikony na pasku zadań pojawi się okno dialogowe Wstrzymanie ochrony. Spowoduje to wyłączenieochrony przed szkodliwym oprogramowaniem na wybrany czas. Aby wyłączyć tę ochronę na stałe, należy tozrobić w obszarze Ustawienia zaawansowane. Należy zachować ostrożność, ponieważ wyłączenie ochrony możespowodować narażenie komputera na zagrożenia.
Ustawienia zaawansowaneTa opcja umożliwia przechodzenie do obszaru Ustawienia zaawansowane.
Pliki dziennikaZawiera informacje o wszystkich ważnych zdarzeniach, jakie miały miejsce w programie, oraz udostępniazestawienie wykrytych zagrożeń.
Ukryj program ESET File SecurityUmożliwia ukrycie na ekranie okna programu ESET File Security.
Resetuj układ oknaUmożliwia przywrócenie domyślnych wymiarów i położenia okna programu ESET File Security.
Sprawdź dostępne aktualizacjeUmożliwia uruchomienie aktualizacji bazy sygnatur wirusów w celu zapewnienia odpowiedniego poziomuochrony przed szkodliwym kodem.
Informacje
175
Zapewnia dostęp do informacji o systemie, szczegółowych informacji o zainstalowanej wersji programu ESETFile Security i zainstalowanych modułach programu, a także o dacie ważności licencji. Informacje dotyczącesystemu operacyjnego oraz zasobów systemowych można znaleźć u dołu strony.
6.8 Personalizacja
Ten komunikat będzie wyświetlany w stopce wszystkich wybranych powiadomień.
Domyślny komunikat powiadomieniaDomyślny komunikat wyświetlany w stopce powiadomień.
Zagrożenia
Nie zamykaj automatycznie powiadomień o szkodliwym oprogramowaniuUmożliwia zatrzymywanie powiadomień o szkodliwym oprogramowaniu na ekranie do ich ręcznego zamknięciaprzez użytkownika.
Użyj komunikatu domyślnegoMożna wyłączyć wiadomość domyślną i określić niestandardowy Komunikat powiadomienia o zagrożeniuwyświetlany po zablokowaniu zagrożenia.
Komunikat powiadomienia o zagrożeniuWprowadź komunikat, który będzie wyświetlany, gdy zagrożenie zostanie zablokowane.
6.9 Przywracanie ustawień domyślnych
Można przywrócić wartości domyślne ustawień w obszarze Ustawienia zaawansowane. Dostępne są dwie opcje —przywrócenie wartości domyślnych wszystkich ustawień i przywrócenie ustawień wyłącznie w określonej sekcji(ustawienia w innych sekcjach pozostaną niezmienione).
Przywracanie wszystkich ustawieńWszystkie ustawienia we wszystkich sekcjach w obszarze ustawień zaawansowanych zostaną przywrócone dostanu po zainstalowaniu programu ESET File Security. Opcję tę można określić jako przywrócenie ustawieńf abrycznych.
UWAGAPo kliknięciu opcji Przywróć ustawienia domyślne wszystkie wprowadzone zmiany zostaną utracone. Tejczynności nie można cofnąć.
Przywracanie wszystkich ustawień w sekcjiPrzywraca wartości domyślne ustawień modułów w wybranej sekcji. Wszelkie zmiany wprowadzone w danejsekcji zostaną utracone.
176
Przywróć zawartość tabelPo włączeniu tej opcji reguły, zadania lub profile, które zostały dodane ręcznie lub automatycznie, zostanąutracone.
6.10 Pomoc i obsługa
Program ESET File Security jest dostarczany z narzędziami i informacjami pomagającymi w rozwiązywaniuproblemów, które można napotkać.
Pomoc
Przeszukaj bazę wiedzy ESET Baza wiedzy firmy ESET zawiera odpowiedzi na często zadawane pytania oraz zalecane rozwiązania różnychproblemów. Dzięki regularnej aktualizacji przez specjalistów z firmy ESET baza wiedzy jest bardzo skutecznymnarzędziem do rozwiązywania różnego rodzaju problemów.
Otwórz pomocOtwieranie stron pomocy online programu ESET File Security.
Znajdź szybkie rozwiązanieWybranie tej opcji umożliwia znalezienie rozwiązania najczęściej występujących problemów. Przedskontaktowaniem się z działem obsługi technicznej zalecamy zapoznanie się z wyświetlonymi informacjami.
Pomoc techniczna
Prześlij zgłoszenie do działu obsługi klienta W przypadku nieznalezienia rozwiązania problemu można skorzystać z formularza dostępnego w witrynieinternetowej firmy ESET, który pozwala na szybki kontakt z naszym działem obsługi klienta.
Szczegóły dla działu pomocy technicznejWyświetlanie informacji szczegółowych (nazwy produktu, wersji produktu itp.) dla działu pomocy technicznej.
Narzędzia pomocy technicznej
Encyklopedia zagrożeń Łącza do publikowanej przez firmę ESET Encyklopedii zagrożeń, która zawiera informacje na temat zagrożeń iobjawów związanych z różnymi rodzajami infekcji.
ESET Log Collector Łącze do strony pobierania narzędzia ESET Log Collector. Jest to aplikacja, która automatycznie gromadziinformacje, takie jak dane konfiguracji i dzienniki z serwera, aby pomóc w szybszym rozwiązywaniu problemów.
Historia silnika detekcji
177
Łącza do narzędzia ESET Virus Radar, gdzie można znaleźć informacje na temat wersji modułów wykrywaniazagrożeń firmy ESET.
Specjalistyczna aplikacja czyszcząca ESET Specjalistyczna aplikacja czyszcząca ESET to narzędzie do usuwania popularnych infekcji powstałych w wynikudziałania szkodliwego oprogramowania, takich jak Conficker, Sirefef lub Necurs.
Informacje o produkcie i licencji
Aktywuj produkt / Zmień licencję Kliknięcie tej opcji powoduje wyświetlenie okna aktywacji produktu. Wybierz jedną z dostępnych metodaktywacji programu ESET File Security.
ESET File Security — informacjeInformacje na temat danego egzemplarza programu ESET File Security.
6.10.1 Przesyłanie zgłoszenia do Działu obsługi klienta
Aby zapewnić użytkownikom pomoc w jak najszybszy i jak najprecyzyjniejszy sposób, firma ESET wymaga podaniainformacji dotyczących konfiguracji programu ESET File Security, szczegółowych informacji dotyczących systemu orazuruchomionych procesów (plik dziennika aplikacji ESET SysInspector), a także danych rejestru. Te dane zostanąwykorzystane przez firmę ESET wyłącznie w celu zapewnienia klientowi pomocy technicznej. To ustawienie możnarównież skonfigurować w obszarze Ustawienia zaawansowane (F5) > Narzędzia > Diagnostyka > Pomoc techniczna.
UWAGAJeśli użytkownik zdecydował się przesłać dane systemu, konieczne jest wypełnienie i przesłanie formularzainternetowego. W przeciwnym razie nie zostanie utworzony bilet i dane systemu zostaną utracone.
Wraz z przesłaniem formularza internetowego do firmy ESET zostaną przesłane dane konfiguracyjne systemu. Abyzapamiętać tę czynność w ramach tego procesu, należy zaznaczyć opcję Zawsze należy przesyłać te informacje.
Nie przesyłaj informacji Tej opcji należy użyć, jeśli użytkownik nie chce przesyłać danych. Spowoduje to przekierowanie do stronyinternetowej pomocy technicznej firmy ESET.
6.10.2 ESET File Security — informacje
W tym oknie znajdują się szczegółowe informacje o zainstalowanej wersji programu ESET File Security. W górnejczęści okna znajdują się informacje na temat systemu operacyjnego i zasobów systemowych, nazwa bieżącegoużytkownika i pełna nazwa komputera.
Zainstalowane komponentyZawiera informacje na temat modułów i umożliwia wyświetlanie listy zainstalowanych komponentów wraz zeszczegółami. Aby skopiować tę listę do schowka, kliknij przycisk Kopiuj. Może to być przydatne podczasrozwiązywania problemów lub w razie konieczności kontaktowania się z pracownikami działu pomocytechnicznej.
178
6.11 Słowniczek
Słowniczek zawiera wiele pojęć technicznych dotyczących zagrożeń i bezpieczeństwa w Internecie.
Wybierz kategorię (lub przejdź do słowniczka Radaru wirusów w trybie online):
· Typy infekcji
· Poczta e-mail
6.11.1 Typy infekcji
Infekcja oznacza atak szkodliwego oprogramowania, które usiłuje uzyskać dostęp do komputera użytkownika i (lub)uszkodzić jego zawartość.
· Wirusy
· Robaki
· Konie trojańskie
· Programy typu rootkit
· Adware
· Spyware
· Botnet
· Oprogramowanie wymuszające okup
· Programy spakowane
· Blokada programów typu Exploit
· Zaawansowany skaner pamięci
· Potencjalnie niebezpieczne aplikacje
· Potencjalnie niepożądane aplikacje
UWAGAStrona zradarem wirusów zawiera więcej informacji dotyczących słowniczka , wersji bazy sygnatur wirusówESET i narzędzi .
6.11.1.1 Wirusy
Wirus komputerowy to program, który atakuje system i uszkadza pliki znajdujące się na komputerze. Nazwa tegotypu programów pochodzi od wirusów biologicznych, ponieważ stosują one podobne metody przenoszenia się zjednego komputera na drugi.
Wirusy komputerowe atakują głównie pliki wykonywalne i dokumenty. W celu powielenia wirus dokleja swój kodna końcu zaatakowanego pliku. Działanie wirusa komputerowego w skrócie przedstawia się następująco. Pouruchomieniu zainfekowanego pliku wirus uaktywnia się (przed aplikacją, do której jest doklejony) i wykonujezadanie określone przez jego twórcę. Dopiero wtedy następuje uruchomienie zaatakowanej aplikacji. Wirus niemoże zainfekować komputera, dopóki użytkownik (przypadkowo lub rozmyślnie) nie uruchomi lub nie otworzyszkodliwego programu.
Wirusy komputerowe różnią się pod względem odgrywanej roli i stopnia stwarzanego zagrożenia. Niektóre z nich sąbardzo niebezpieczne, ponieważ mogą celowo usuwać pliki z dysku twardego. Część wirusów nie powodujenatomiast żadnych szkód — celem ich działania jest tylko zirytowanie użytkownika i zademonstrowanieumiejętności programistycznych ich twórców.
Warto zauważyć, że w porównaniu z końmi trojańskimi lub oprogramowaniem spyware wirusy stają się corazrzadsze, ponieważ nie przynoszą autorom żadnych dochodów. Ponadto termin „wirus” jest często błędnie używanyw odniesieniu do wszystkich typów programów infekujących system. Taka interpretacja powoli jednak zanika istosowane jest nowe, ściślejsze określenie „szkodliwe oprogramowanie”.
179
Jeśli komputer został zaatakowany przez wirusa, konieczne jest przywrócenie zainfekowanych plików dopierwotnego stanu, czyli wyleczenie ich przy użyciu programu antywirusowego.
Przykłady wirusów: OneHalf, Tenga i Yankee Doodle.
6.11.1.2 Robaki
Robak komputerowy jest programem zawierającym szkodliwy kod, który atakuje hosty. Robaki rozprzestrzeniają sięza pośrednictwem sieci. Podstawowa różnica między wirusem a robakiem polega na tym, że ten ostatni potrafisamodzielnie powielać się i przenosić — nie musi w tym celu korzystać z plików nosicieli ani sektorów rozruchowychdysku. Robaki rozpowszechniają się przy użyciu adresów e-mail z listy kontaktów oraz wykorzystują luki wzabezpieczeniach aplikacji sieciowych.
Robaki są przez to znacznie bardziej żywotne niż wirusy komputerowe. Ze względu na powszechność dostępu doInternetu mogą one rozprzestrzenić się na całym świecie w ciągu kilku godzin po opublikowaniu, a w niektórychprzypadkach nawet w ciągu kilku minut. Możliwość szybkiego i niezależnego powielania się powoduje, że są oneznacznie groźniejsze niż inne rodzaje szkodliwego oprogramowania.
Robak uaktywniony w systemie może być przyczyną wielu niedogodności: może usuwać pliki, obniżać wydajnośćkomputera, a nawet blokować działanie programów. Natura robaka komputerowego oznacza, że nadaje się on dostosowania w charakterze „środka transportu” dla szkodliwego oprogramowania innego typu.
Jeśli komputer został zainfekowany przez robaka, zaleca się usunięcie zainfekowanych plików, ponieważprawdopodobnie zawierają one szkodliwy kod.
Przykłady znanych robaków:: Lovsan/Blaster, Stration/Warezov, Bagle i Netsky.
6.11.1.3 Konie trojańskie
Komputerowe konie trojańskie uznawano dotychczas za klasę wirusów, które udają pożyteczne programy, abyskłonić użytkownika do ich uruchomienia. Należy jednak koniecznie zauważyć, że było to prawdziwe w odniesieniudo koni trojańskich starej daty — obecnie nie muszą już one ukrywać swojej prawdziwej natury. Ich jedynym celemjest jak najłatwiejsze przeniknięcie do systemu i wyrządzenie w nim szkód. Określenie „koń trojański” stało siębardzo ogólnym terminem używanym w odniesieniu do każdego wirusa, którego nie można zaliczyć do infekcjiinnego typu.
W związku z tym, że jest to bardzo pojemna kategoria, dzieli się ją często na wiele podkategorii:
· Program pobierający (ang. downloader) — szkodliwy program, który może pobierać z Internetu inne szkodliweprogramy.
· Program zakażający (ang. dropper) — rodzaj konia trojańskiego, którego działanie polega na umieszczaniu nazaatakowanych komputerach innych typów szkodliwego oprogramowania.
· Program furtki (ang. backdoor) — aplikacja, która komunikuje się ze zdalnymi intruzami, umożliwiając imuzyskanie dostępu do systemu i przejęcie nad nim kontroli.
· Program rejestrujący znaki wprowadzane na klawiaturze (ang. keylogger, keystroke logger) — program, któryrejestruje znaki wprowadzane przez użytkownika i wysyła informacje o nich zdalnym intruzom.
· Program nawiązujący kosztowne połączenia (ang. dialer)— program mający na celu nawiązywanie połączeń zkosztownymi numerami telefonicznymi. Zauważenie przez użytkownika nowego połączenia jest prawieniemożliwe. Takie programy mogą przynosić straty użytkownikom modemów telefonicznych, które nie są jużregularnie eksploatowane.
Konie trojańskie występują zwykle w postaci plików wykonywalnych z rozszerzeniem EXE. Jeśli na komputerzezostanie wykryty plik uznany za konia trojańskiego, zaleca się jego usunięcie, ponieważ najprawdopodobniejzawiera szkodliwy kod.
180
Przykłady popularnych koni trojańskich: NetBus, Trojandownloader, Small.ZL, Slapper.
6.11.1.4 Programy typu rootkit
Programy typu rootkit są szkodliwymi aplikacjami, które przyznają internetowym intruzom nieograniczony dostępdo systemu operacyjnego, ukrywając zarazem ich obecność. Po uzyskaniu dostępu do komputera (zwykle zwykorzystaniem luki w jego zabezpieczeniach) programy typu rootkit używają funkcji systemu operacyjnego, abyuniknąć wykrycia przez oprogramowanie antywirusowe: ukrywają procesy, pliki i dane w rejestrze systemuWindows. Z tego powodu wykrycie ich przy użyciu zwykłych technik testowania jest prawie niemożliwe.
Wykrywanie programów typu rootkit odbywa się na dwóch poziomach:
1. Podczas próby uzyskania przez nie dostępu do systemu. Nie są one jeszcze w nim obecne, a zatem sąnieaktywne. Większość aplikacji antywirusowych potrafi wyeliminować programy typu rootkit na tympoziomie (przy założeniu, że rozpoznają takie pliki jako zainfekowane).
2. Gdy są niewidoczne dla zwykłych narzędzi testowych. W programie ESET File Security zastosowanotechnologię Anti-Stealth, która potrafi wykrywać i usuwać także aktywne programy typu rootkit.
6.11.1.5 Adware
Oprogramowanie adware to oprogramowanie utrzymywane z reklam. Do tej kategorii zaliczane są programywyświetlające treści reklamowe. Aplikacje adware często powodują automatyczne otwieranie wyskakujących okienzawierających reklamy lub zmianę strony głównej w przeglądarce internetowej. Oprogramowanie adware jest częstodołączane do bezpłatnych programów, dzięki czemu ich autorzy mogą pokryć koszty tworzenia tych (zazwyczajużytecznych) aplikacji.
Oprogramowanie adware samo w sobie nie jest niebezpieczne — użytkownikom mogą jedynie przeszkadzaćwyświetlane reklamy. Niebezpieczeństwo związane z oprogramowaniem adware polega jednak na tym, że możeono zawierać funkcje śledzące (podobnie jak oprogramowanie spyware).
Jeśli użytkownik zdecyduje się użyć bezpłatnego oprogramowania, powinien zwrócić szczególną uwagę na jegoprogram instalacyjny. Podczas instalacji zazwyczaj jest wyświetlane powiadomienie o instalowaniu dodatkowychprogramów adware. Często jest dostępna opcja umożliwiająca anulowanie instalacji programu adware izainstalowanie programu głównego bez dołączonego oprogramowania tego typu.
W niektórych przypadkach zainstalowanie programu bez dołączonego oprogramowania adware jest niemożliwe lubpowoduje ograniczenie funkcjonalności. Dzięki temu oprogramowanie adware może zostać zainstalowane wsystemie w sposób „legalny”, ponieważ użytkownik wyraża na to zgodę. W takich przypadkach najlepiej zadbać oodpowiednią ochronę. Jeśli na komputerze zostanie wykryty plik rozpoznany jako adware, zaleca się jego usunięcie,ponieważ z dużym prawdopodobieństwem zawiera on szkodliwy kod.
6.11.1.6 Spyware
Do tej kategorii należą wszystkie aplikacje, które przesyłają prywatne informacje bez zgody i wiedzy użytkownika.Korzystają one z funkcji śledzących w celu wysyłania różnych danych statystycznych, na przykład listy odwiedzonychwitryn internetowych, adresów e-mail z listy kontaktów użytkownika lub listy znaków wprowadzanych za pomocąklawiatury.
Twórcy oprogramowania spyware twierdzą, że te techniki mają na celu uzyskanie pełniejszych informacjio potrzebach i zainteresowaniach użytkowników oraz umożliwiają trafniejsze adresowanie reklam do odbiorców.Problem polega jednak na tym, że nie ma wyraźnego rozgraniczenia między pożytecznymi a szkodliwymi aplikacjamii nikt nie może mieć pewności, czy gromadzone informacje nie zostaną wykorzystane w niedozwolony sposób. Danepozyskiwane przez spyware mogą obejmować kody bezpieczeństwa, kody PIN, numery kont bankowych itd.Aplikacja spyware jest często umieszczana w bezpłatnej wersji programu przez jego autora w celu uzyskaniaśrodków pieniężnych lub zachęcenia użytkownika do nabycia wersji komercyjnej. Nierzadko użytkownicy są podczasinstalacji programu informowani o obecności oprogramowania spyware, co ma ich skłonić do zakupu pozbawionejgo wersji płatnej.
181
Przykładami popularnych bezpłatnych produktów, do których dołączone jest takie oprogramowanie, są aplikacjeklienckie sieci P2P (ang. peer-to-peer). Programy Spyfalcon i Spy Sheriff (oraz wiele innych) należą do szczególnejpodkategorii oprogramowania spyware. Wydają się zapewniać przed nim ochronę, ale w rzeczywistości same sątakimi programami.
Jeśli na komputerze zostanie wykryty plik rozpoznany jako spyware, zaleca się jego usunięcie, ponieważ z dużymprawdopodobieństwem zawiera on szkodliwy kod.
6.11.1.7 Botnet
Boty, zwane również robotami sieciowymi, to zautomatyzowane szkodliwe programy skanujące bloki adresówsieciowych i infekujące niezabezpieczone komputery. Tego rodzaju programy umożliwiają hakerom przejmowaniekontroli nad wieloma komputerami równocześnie w celu przekształcenia ich w kolejne boty (określane również jakozombie). Hakerzy wykorzystują zwykle boty do infekowania znacznej liczby komputerów. Duża grupazainfekowanych w ten sposób komputerów tworzy sieć, określaną mianem botnetu. Gdy komputer zostaniezainfekowany i stanie się częścią botnetu, może służyć do przeprowadzania ataków typu odmowa usługi (DDoS), atakże do realizowania zautomatyzowanych zadań przez Internet bez wiedzy użytkownika (na przykład do wysyłaniaspamu bądź wirusów albo do kradzieży danych osobowych i poufnych, takich jak poświadczenia bankowe czynumery kart kredytowych).
Więcej informacji zawiera strona z radarem wirusów .
6.11.1.8 Oprogramowanie wymuszające okup
Szczególny rodzaj szkodliwego oprogramowania, które jest używane do wymuszania okupu. Aktywowaneoprogramowanie wymuszające okup zapobiega dostępowi do urządzenia lub danych na tym urządzeniu do chwiliprzekazania pieniędzy przez ofiarę.
6.11.1.9 Programy spakowane
Program spakowany to plik wykonywalny samorozpakowujący się w środowisku wykonawczym. Może zawieraćwiele rodzajów szkodliwego oprogramowania w jednym pakiecie.
Najpopularniejsze programy spakowane to UPX, PE_Compact, PKLite i ASPack. To samo szkodliwe oprogramowaniemożna wykryć w inny sposób — kompresując je za pomocą innego programu pakującego. Programy spakowanepotrafią przeprowadzać mutacje swoich „sygnatur” w czasie, co utrudnia wykrywanie i usuwanie szkodliwegooprogramowania.
6.11.1.10 Blokada programów typu Exploit
Blokada programów typu Exploit ma na celu wzmocnienie używanych zazwyczaj aplikacji, takich jak przeglądarkiinternetowe, przeglądarki plików PDF, programy poczty e-mail oraz składniki pakietu MS Office. Jej działanie polegana monitorowaniu procesów pod kątem podejrzanych działań, które mogą wskazywać na wykorzystanie istniejącejluki w zabezpieczeniach. Stanowi ona dodatkową, przybliżającą do intruzów warstwę zabezpieczeń, co osiągniętodzięki wykorzystaniu zupełnie innej technologii niż w przypadku technik skoncentrowanych na wykrywaniu samychszkodliwych plików.
Gdy blokada programów typu Exploit zidentyfikuje podejrzany proces, może zatrzymać ten proces natychmiast izarejestrować dane dotyczące zagrożenia, które zostają następnie przesłane do systemu ESET LiveGrid® w chmurze.Te dane są przetwarzane przez laboratorium firmy ESET i wykorzystywane w celu zapewnienia wszystkimużytkownikom skuteczniejszej ochrony przed nieznanymi zagrożeniami oraz niespotykanymi dotąd atakami (nowoopublikowanym szkodliwym oprogramowaniem, na które nie ma jeszcze wstępnie skonfigurowanych środkówzaradczych).
182
6.11.1.11 Zaawansowany skaner pamięci
Zaawansowany skaner pamięci działa w połączeniu z blokadą programów typu Exploit w celu zapewnieniaskuteczniejszej ochrony przed szkodliwym oprogramowaniem, które unika wykrycia przez produkty do ochronyprzed szkodliwym oprogramowaniem poprzez zastosowanie zaciemniania kodu i/lub szyfrowania. W przypadkach,gdy zwykła emulacja lub heurystyka może nie wykryć zagrożenia, zaawansowany skaner pamięci jest w staniezidentyfikować podejrzane zachowanie i przeskanować zagrożenia, gdy ujawnią się w pamięci systemowej. Torozwiązanie działa skutecznie w odniesieniu do szkodliwego oprogramowania, w którym stosowane jestzaciemnianie kodu. W przeciwieństwie do blokady programów typu Exploit w tym narzędziu zastosowano metodędziałania po wykonaniu, co jest równoznaczne z ryzykiem, że część szkodliwych działań mogła zostaćprzeprowadzona przed wykryciem zagrożenia. Jednak w przypadkach, gdy inne techniki wykrywania okażą sięzawodne, stanowi ono dodatkową warstwę zabezpieczeń.
6.11.1.12 Potencjalnie niebezpieczne aplikacje
Istnieje wiele legalnych programów, które ułatwiają administrowanie komputerami podłączonymi do sieci. Jednakw niewłaściwych rękach mogą one zostać użyte do wyrządzenia szkód. Program ESET File Security zawiera narzędziapozwalające wykrywać takie zagrożenia. Potencjalnie niebezpieczne aplikacje to legalne oprogramowaniekomercyjne, które może zostać wykorzystane do szkodliwych celów. To kategoria, do której należą legalne programykomercyjne mogące zostać użyte do wyrządzania szkód. Klasyfikacja ta obejmuje narzędzia do crackowania,generatory kluczy licencji, narzędzia do hackowania, narzędzia do zdalnego dostępu lub sterowania, aplikacje dołamania haseł i programy rejestrujące znaki wprowadzane na klawiaturze.
W przypadku wykrycia działającej na komputerze aplikacji potencjalnie niebezpiecznej, która nie zostałazainstalowana świadomie przez użytkownika, należy skonsultować się z administratorem sieci lub ją usunąć.
6.11.1.13 Potencjalnie niepożądane aplikacje
Potencjalnie niepożądane aplikacje niekoniecznie były świadomie projektowane w złych intencjach, ale mogąnegatywnie wpływać na wydajność komputera. Zainstalowanie takiej aplikacji zazwyczaj wymaga uprzedniej zgodyużytkownika. Po zainstalowaniu programu z tej kategorii działanie systemu jest inne niż przed instalacją. Najbardziejmogą się rzucać w oczy następujące zmiany:
· nowe, niewyświetlane wcześniej okna (wyskakujące okna, reklamy);
· aktywowanie i uruchamianie ukrytych procesów;
· zwiększone wykorzystanie zasobów systemowych;
· zmiany w wynikach wyszukiwania;
· komunikacja aplikacji z serwerami zdalnymi.
W przypadku wykrycia potencjalnie niepożądanej aplikacji użytkownik może wybrać jedno z poniższych działań:
1. Wylecz/Rozłącz: ta opcja przerywa wykonywanie czynności i uniemożliwia potencjalnemu zagrożeniuprzedostanie się do systemu.
2. Brak czynności: ta opcja umożliwia potencjalnemu zagrożeniu przedostanie się do systemu.
3. Aby w przyszłości umożliwić uruchamianie aplikacji na komputerze bez zakłóceń, należy kliknąć opcję Więcejinformacji/Pokaż opcje zaawansowane i zaznaczyć pole wyboru obok pozycji Wyłącz z wykrywania lubWyłącz sygnaturę z wykrywania.
Potencjalnie niepożądane aplikacje — ustawienia
Podczas instalowania produktu firmy ESET można zdefiniować opcje wykrywania potencjalnie niepożądanychaplikacji, tak jak pokazano poniżej:
183
Aby włączyć lub wyłączyć wykrywanie potencjalnie niepożądanych, niebezpiecznych i podejrzanych aplikacji późniejlub zmodyfikować tę opcję, należy nacisnąć klawisz F5 w celu otwarcia okna Ustawienia zaawansowane i kliknąćkolejno opcje Silnik detekcji > Podstawowe w drzewie ustawień zaawansowanych.
184
Potencjalnie niepożądane aplikacje — otoki pobierania
Otoki pobierania to specjalny typ modyfikacji aplikacji używany przez niektóre witryny internetowe służące dopobierania plików. Jest to zewnętrzne narzędzie, które instaluje program pobierany przez użytkownika, leczdodatkowo instaluje również inne oprogramowanie, takie jak paski narzędzi czy oprogramowanie typu adware.Takie dodatkowe oprogramowanie może również zmieniać stronę główną przeglądarki i ustawienia wyszukiwania.Operatorzy witryn hostujących pliki często nie informują również autora oprogramowania lub użytkownikapobierającego o dokonanych modyfikacjach, ukrywając także opcje rezygnacji z tych dodatków. Z tego powoduoprogramowanie firmy ESET klasyfikuje otoki pobierania jako potencjalnie niepożądane aplikacje, aby użytkownicymogli podjąć decyzję o zaakceptowaniu pobrania.
6.11.2 Poczta e-mail
Poczta e-mail, czyli poczta elektroniczna, to nowoczesna forma komunikacji oferująca wiele korzyści. Umożliwiaszybką, elastyczną i bezpośrednią komunikację, a ponadto odegrała kluczową rolę w upowszechnieniu się Internetuwe wczesnych latach 90. ubiegłego wieku.
Niestety wysoki poziom anonimowości podczas korzystania z poczty e-mail i Internetu ułatwia prowadzenienielegalnych działań, takich jak rozsyłanie spamu. Spam można podzielić na niechciane reklamy, fałszywe alarmyoraz wiadomości rozpowszechniające szkodliwe oprogramowanie. Zagrożenie dla użytkownika jest tym większe, żekoszty wysyłania wiadomości są znikome, a autorzy spamu mają dostęp do wielu narzędzi i źródeł udostępniającychnowe adresy e-mail. Dodatkowo objętość i różnorodność spamu bardzo utrudniają jego kontrolę. Im dłużej jestużywany dany adres e-mail, tym większe jest prawdopodobieństwo, że znajdzie się on w bazie danych mechanizmuwysyłającego spam.
185
6.11.2.1 Reklamy
Reklama internetowa jest jedną z najszybciej rozwijających się form działalności reklamowej. Główne zaletymarketingowe reklamy tego typu to znikome koszty oraz bezpośrednie, niemal natychmiastowe przekazywaniewiadomości. Wiele firm stosuje narzędzia marketingowe związane z pocztą e-mail w celu skutecznej komunikacji zobecnymi i potencjalnymi klientami.
Ten sposób reklamy jest pożądany, ponieważ użytkownicy mogą być zainteresowani otrzymywaniem informacjihandlowych na temat określonych produktów. Wiele firm wysyła jednak dużą liczbę niepożądanych wiadomości otreści handlowej. W takich przypadkach reklama za pośrednictwem poczty e-mail wykracza poza dopuszczalnegranice i staje się spamem.
Niepożądane wiadomości e-mail stanowią rzeczywisty problem, a ich liczba niestety nie maleje. Autorzyniepożądanych wiadomości e-mail próbują często stworzyć pozory, że przesyłany przez nich spam jest pożądany.
6.11.2.2 Fałszywe alarmy
Fałszywy alarm to nieprawdziwa wiadomość przesyłana przez Internet. Fałszywe alarmy są zwykle rozsyłane zapośrednictwem poczty e-mail lub narzędzi komunikacyjnych, takich jak Gadu-Gadu i Skype. Sama wiadomość toczęsto żart lub plotka.
Fałszywe alarmy dotyczące wirusów komputerowych mają na celu wzbudzanie w odbiorcach strachu, niepewności iwątpliwości. Mają oni wierzyć, że istnieje „niewykrywalny wirus” usuwający pliki i pobierający hasła lub wykonującyw ich systemie jakieś inne szkodliwe działania.
Niektóre fałszywe alarmy zawierają prośbę do odbiorcy o przekazanie wiadomości wszystkim osobom z jego książkiadresowej, co sprzyja dalszemu rozprzestrzenianiu się alarmu. Istnieją fałszywe alarmy na telefony komórkowe, atakże spreparowane prośby o pomoc, informacje o ludziach oferujących wysłanie pieniędzy z zagranicy itd. Wwiększości przypadków nie sposób określić intencji twórcy.
Wiadomość z prośbą o przekazanie jej do wszystkich znajomych z dużym prawdopodobieństwem jest takimfałszywym alarmem. W Internecie dostępnych jest wiele witryn, w których można zweryfikować prawdziwośćwiadomości e-mail. Przed przekazaniem dalej wiadomości, która jest podejrzana, dobrze jest zweryfikować ją wInternecie.
6.11.2.3 Ataki typu „phishing”
Terminem „phishing” określa się działania przestępcze obejmujące stosowanie socjotechnik (manipulowanieużytkownikami w celu uzyskania poufnych informacji). Działania takie są podejmowane z myślą o uzyskaniu dostępudo prywatnych danych, na przykład numerów kont bankowych, kodów PIN itp.
Dostęp jest zwykle uzyskiwany w wyniku podszycia się pod osobę lub firmę godną zaufania (np. instytucjęfinansową, towarzystwo ubezpieczeniowe) w spreparowanej wiadomości e-mail. Wiadomość taka jest łudzącopodobna do oryginalnej, ponieważ zawiera materiały graficzne i tekstowe mogące pochodzić ze źródła, pod którepodszywa się nadawca. W tego typu wiadomości znajduje się prośba o wprowadzenie (pod dowolnym pretekstem,np. weryfikacji danych, operacji finansowych) pewnych danych osobowych — numerów kont bankowych lub nazwużytkownika i haseł. Wszystkie dane tego typu mogą zostać po wysłaniu bez trudu przechwycone i wykorzystane dodziałań na szkodę użytkownika.
Banki, towarzystwa ubezpieczeniowe i inne wiarygodne firmy nigdy nie proszą o podanie nazwy użytkownika i hasław wiadomościach e-mail przesyłanych bez uprzedzenia.
