ESET ENDPOINT SECURITY

Transkrypt

1 ESET ENDPOINT SECURITY Podręcznik użytkownika Microsoft Windows 7 / Vista / XP / 2000 / Home Server / 2003 / 2008 Kliknij tutaj, aby pobrać najnowszą wersję tego dokumentu

2 ESET ENDPOINT SECURITY Copyright 2012 by ESET, spol. s r. o. Oprogramowanie ESET Endpoint Security zostało opracowane przez firmę ESET, spol.s r. o. Więcej informacji można znaleźć w witrynie Wszelkie prawa zastrzeżone.żadna część niniejszej dokumentacji nie może być powielana, przechowywana w systemie pobierania ani przesyłana w żadnej formie bądź przy użyciu jakichkolwiek środków elektronicznych, mechanicznych, przez fotokopiowanie, nagrywanie, skanowanie lub w inny sposób bez uzyskania pisemnego zezwolenia autora. Firma ESET, spol.s r.o.zastrzega sobie prawo do wprowadzania zmian w dowolnych elementach opisanego oprogramowania bez uprzedniego powiadomienia. Pomoc techniczna dla klientów z całego świata: WER.5/28/2012

3 Spis treści 1. ESET Endpoint Security Wymagania...5 systemowe 1.2 Zapobieganie Instalacj a Typowa Zaawansowana Wprowadzanie...14 nazwy użytkownika i hasła 2.4 Uaktualnianie...14 do nowszej wersji 2.5 Skanowanie...15 komputera 3. Przewodnik dla początkuj ących Interfejs...16 użytkownika wprowadzenie 3.2 Postępowanie w przypadku, gdy program nie działa poprawnie Kontrola...40 dostępu do urządzeń Reguły...40 kontroli dostępu do urządzeń Dodawanie...41 reguł kontroli dostępu do urządzeń System zapobiegania włamaniom działający na hoście (Host-based Intrusion Prevention System, HIPS) Sieć Tryby...45 filtrowania Profile...46 zapory Konfigurowanie...47 i używanie reguł Ustawienia...48 reguł Edytowanie...49 reguł Konfigurowanie...50 stref Uwierzytelnianie...50 sieci Uwierzytelnianie...51 strefy konfiguracja klienta Uwierzytelnianie...53 strefy konfiguracja serwera Ustanawianie...54 połączenia wykrywanie Zapisywanie...54 w dzienniku Integracja...55 z systemem 3.3 Ustawienia...18 aktualizacji 4.3 Internet...55 i poczta Ochrona...56 dostępu do stron internetowych 3.4 Ustawienia...19 serwera proxy Protokoły...57 HTTPi HTTPS 3.5 Ochrona...20 ustawień Tryb...57 aktywny dla przeglądarek internetowych 3.6 Ustawienia...21 strefy zaufanej Zarządzanie...58 adresami URL Ochrona...59 programów poczty 4. Praca z programem ESET Endpoint Filtr protokołów...59 POP3 i POP3S Security Sprawdzanie...60 protokołów IMAPoraz IMAPS Integracja...61 z programami pocztowymi 4.1 Komputer Konfiguracja...62 ochrony programów poczty Ochrona...24 antywirusowa i antyspyware Usuwanie...63 zagrożeń Ochrona...25 systemu plików w czasie rzeczywistym Ochrona...63 przed spamem Skanowane...25 nośniki Dodawanie...64 adresów do białej i czarnej listy Skanowanie...26 po wystąpieniu zdarzenia Oznaczanie...64 wiadomości jako spam Zaawansowane...26 opcje skanowania Ochrona...65 protokołów Poziomy...26 leczenia Przeglądarki internetowe i programy poczty Zmienianie ustawień ochrony w czasie rzeczywistym Aplikacje...66 wyłączone Sprawdzanie skuteczności ochrony w czasie Wyłączone...67 adresy IP rzeczywistym Dodaj...67 adres IPv Co zrobić, jeśli ochrona w czasie rzeczywistym nie Dodaj...67 adres IPv6 działa Sprawdzanie...68 protokołu SSL Ochrona...28 dokumentów Certyfikaty Skanowanie...28 komputera Zaufane...69 certyfikaty Typ...29 skanowania Wyłączone...69 certyfikaty Skanowanie...29 inteligentne Szyfrowana...69 komunikacja SSL Skanowanie...29 niestandardowe Skanowane...30 obiekty Profile...30 skanowania Postęp...31 skanowania Skanowanie...32 przy uruchamianiu Automatyczne sprawdzanie plików przy uruchamianiu...33 Wyłączenia...33 według ścieżki Ustawienia parametrów technologii ThreatSense...34 Obiekty...35 Opcje...35 Leczenie...36 Rozszerzenie...36 Limity...37 Inne...37 Wykrycie...38 infekcji Nośniki...39 wymienne 4.4 Kontrola...70 dostępu do stron internetowych Reguły...71 kontroli dostępu do stron internetowych Dodawanie reguł kontroli dostępu do stron internetowych Edytor...73 grup 4.5 Aktualizowanie...73 programu Ustawienia...77 aktualizacji Profile...78 aktualizacji Zaawansowane...78 ustawienia aktualizacji Tryb...78 aktualizacji Serwer...79 proxy Połączenie...79 z siecią LAN Tworzenie kopii aktualizacji kopia dystrybucyjna Aktualizowanie...81 przy użyciu kopii dystrybucyjnej Rozwiązywanie problemów z aktualizacją przy użyciu...82 kopii dystrybucyjnej

4 Cofanie...83 aktualizacji Tworzenie...84 zadań aktualizacji Ustawienia zaawansowane Protokół internetowy Urządzenie rozruchowe USB Nagrywanie Praca z programem ESET SysRescue Korzystanie z programu ESET SysRescue 4.6 Narzędzia Pliki...86 dziennika Administracja...87 dziennikami Harmonogram Tworzenie...90 nowych zadań 6. Słowniczek Statystyki...91 ochrony Monitor...92 aktywności 6.1 Typy infekcji ESET...93 SysInspector Wirusy ESET...93 Live Grid Robaki Podejrzane...94 pliki Konie trojańskie Działające...95 procesy Programy typu rootkit Połączenia...96 sieciowe Adware Kwarantanna Spyware Przesyłanie...99 plików do analizy Potencjalnie niebezpieczne aplikacje Alerty i powiadomienia Potencjalnie niepożądane aplikacje Format wiadomości 6.2 Typy ataków zdalnych Aktualizacje systemu Ataki typu odmowa usługi (DoS) Diagnostyka Preparowanie pakietów DNS Licencje Ataki robaków Administracja zdalna Skanowanie portów 4.7 Interfejs użytkownika Desynchronizacja protokołu TCP Grafika Metoda SMB Relay Alerty i powiadomienia Ataki ICMP Ustawienia zaawansowane 6.3 Poczta Ukryte okna powiadomień Reklamy Ustawienia dostępu Fałszywe alarmy Menu programu Ataki typu phishing Menu kontekstowe Rozpoznawanie spamu Tryb prezentacji Reguły Biała lista Użytkownik zaawansowany Czarna lista 5.1 Ustawienia serwera proxy Kontrola po stronie serwera 5.2 Import i eksport ustawień 5.3 Skróty klawiaturowe 5.4 Wiersz polecenia 5.5 ESET SysInspector Wprowadzenie do programu ESET SysInspector Uruchamianie programu ESET SysInspector Interfejs użytkownika i użycie aplikacji Sterowanie programem Nawigacja w programie ESET SysInspector Skróty klawiaturowe Porównywanie Parametry wiersza polecenia Skrypt usługi Tworzenie skryptu usługi Struktura skryptu usługi Wykonywanie skryptów usługi Często zadawane pytania Program ESET SysInspector jako element oprogramowania ESET Endpoint Security 5.6 ESET SysRescue Minimalne wymagania Tworzenie ratunkowej płyty CD Wybór nośnika docelowego Ustawienia Foldery ESET Antivirus

5 1. ESET Endpoint Security ESET Endpoint Security jest nowym rozwiązaniem zapewniającym w pełni zintegrowaną ochronę komputera przed zagrożeniami. Bezpieczeństwo komputera zapewnia najnowsza wersja aparatu skanowania ThreatSense o szybkim i precyzyjnym działaniu w połączeniu z naszymi niestandardowymi modułami zapory osobistej i ochrony przed spamem. W wyniku tego połączenia powstał inteligentny system, który w porę ostrzega przed atakami i szkodliwymi aplikacjami zagrażającymi komputerowi. ESET Endpoint Security to kompletne rozwiązanie zabezpieczające powstałe w wyniku naszych długotrwałych prac nad uzyskaniem maksymalnej ochrony przy jednoczesnym minimalnym obciążeniu systemu. Zaawansowane techniki oparte na sztucznej inteligencji potrafią z wyprzedzeniem eliminować przenikające do systemu wirusy, aplikacje szpiegujące, konie trojańskie, robaki, oprogramowanie reklamowe i programy typu rootkit oraz inne formy ataków z Internetu, unikając przy tym obniżania wydajności komputera czy zakłócania jego pracy. Program ESET Endpoint Security jest przeznaczony głównie do użytku na stacjach roboczych w małym środowisku firmowym. Można z niego korzystać w połączeniu z programem ESET Remote Administrator, co pozwala na łatwe zarządzanie dowolną liczbą klienckich stacji roboczych, stosowanie zasad i reguł, monitorowanie procesu wykrywania oraz zdalne konfigurowanie z dowolnego komputera podłączonego do sieci. 1.1 Wymagania systemowe Aby zapewnić płynne działanie programu ESET Endpoint Security, komputer powinien spełniać następujące wymagania dotyczące sprzętu i oprogramowania: System operacyj ny Microsoft Windows 2000, XP, Server 2003 Procesor 400 MHz 32-bitowy (x86)/64-bitowy (x64) 128 MB pamięci systemowej RAM 320 MB wolnego miejsca na dysku Karta graficzna Super VGA (800 x 600) System operacyj ny Microsoft Windows 7, Vista, Home Server, Server 2008 Procesor 1 GHz 32-bitowy (x86)/64-bitowy (x64) 512 MB pamięci systemowej RAM 320 MB wolnego miejsca na dysku Karta graficzna Super VGA (800 x 600) 1.2 Zapobieganie Podczas użytkowania komputera, a zwłaszcza w trakcie przeglądania witryn internetowych, należy pamiętać, że żaden program antywirusowy na świecie nie może całkowicie wyeliminować zagrożenia powodowanego przez infekcje i ataki. Aby zapewnić maksymalną ochronę i wygodę, należy korzystać z programu antywirusowego w odpowiedni sposób i przestrzegać użytecznych zasad. Regularne aktualizowanie Zgodnie z danymi statystycznymi uzyskanymi dzięki systemowi ESET Live Grid każdego dnia powstają tysiące nowych, unikatowych infekcji mających na celu pokonanie istniejących zabezpieczeń i przyniesienie korzyści ich autorom wszystko kosztem innych użytkowników. Specjaliści z laboratorium firmy ESET codziennie analizują takie zagrożenia oraz przygotowują i publikują aktualizacje w celu stałego zwiększania poziomu ochrony użytkowników programu antywirusowego. Nieprawidłowo skonfigurowana aktualizacja zmniejsza skuteczność programu. Więcej informacji na temat konfigurowania aktualizacji można znaleźć w rozdziale Ustawienia aktualizacji. Pobieranie poprawek zabezpieczeń Twórcy złośliwego oprogramowania starają się korzystać z rozmaitych luk w zabezpieczeniach komputera, aby zwiększyć skuteczność rozprzestrzeniania się swojego kodu. Z tego powodu producenci oprogramowania starannie wyszukują nowe luki w zabezpieczeniach swoich aplikacji i regularnie publikują aktualizacje zabezpieczeń eliminujące potencjalne zagrożenia. Bardzo ważne jest pobieranie i instalowanie tych aktualizacji zabezpieczeń jak najszybciej po ich opublikowaniu. Przykładami oprogramowania, do którego udostępnia się poprawki, są chociażby system operacyjny Windows czy popularna przeglądarka internetowa Internet Explorer. 5

6 Wykonywanie zapasowych kopii ważnych danych Autorzy szkodliwego oprogramowania zazwyczaj nie dbają o potrzeby użytkowników, a działanie ich złośliwych aplikacji często prowadzi do całkowitego zablokowania systemu operacyjnego i celowego uszkodzenia ważnych danych. Dlatego ważne jest regularne wykonywanie zapasowych kopii ważnych i poufnych informacji na nośniku zewnętrznym, np. dysku DVD czy zewnętrznym dysku twardym. Tego typu działania zapobiegawcze znacznie ułatwiają i przyspieszają odzyskanie danych w razie awarii komputera. Regularne skanowanie komputera w celu wykrycia wirusów Regularne, automatyczne skanowanie komputera z zastosowaniem odpowiednich ustawień umożliwia usunięcie infekcji, które zostały wcześniej pominięte z powodu korzystania ze starszej bazy sygnatur wirusów. Przestrzeganie podstawowych zasad bezpieczeństwa To najpożyteczniejsza i najskuteczniejsza reguła ze wszystkich: należy zawsze zachowywać ostrożność. Obecnie wiele infekcji wymaga interwencji użytkownika w celu wykonania kodu i rozpowszechnienia zagrożenia. Jeśli użytkownik będzie ostrożny podczas otwierania nowych plików, zaoszczędzi sporo czasu i wysiłku, które w innym wypadku musiałby poświęcić na leczenie komputera z infekcji. Kilka użytecznych zasad: nie należy odwiedzać podejrzanych witryn internetowych o wielu wyskakujących oknach i napastliwych reklamach; należy zachowywać ostrożność przy instalowaniu bezpłatnych programów, zestawów koderów-dekoderów itp. trzeba korzystać tylko z bezpiecznych programów i odwiedzać jedynie bezpieczne witryny internetowe; należy uważać przy otwieraniu załączników do wiadomości , zwłaszcza w przypadku wiadomości kierowanych do wielu adresatów i pochodzących od nieznanych nadawców; przy codziennym użytkowaniu komputera nie należy korzystać z konta administratora. 6

7 2. Instalacj a Po uruchomieniu programu instalacyjnego kreator instalacji poprowadzi użytkownika przez czynności konfiguracyjne. Ważne: Należy się upewnić, że na komputerze nie ma zainstalowanych innych programów antywirusowych. Zainstalowanie na pojedynczym komputerze dwóch lub więcej rozwiązań antywirusowych może powodować wystąpienie konfliktów. Zaleca się odinstalowanie innych programów antywirusowych znajdujących się w systemie. Listę narzędzi do odinstalowywania popularnych programów antywirusowych (dostępną w języku angielskim i w kilku innych językach) można znaleźć w artykule w naszej bazie wiedzy. Na początku program sprawdza, czy jest dostępna nowsza wersja produktu ESET Endpoint Security. Jeśli zostanie znaleziona nowsza wersja, odpowiednie powiadomienie pojawi się w pierwszym kroku procedury instalacji. Po wybraniu opcji Pobierz i zainstaluj nową wersj ę nowa wersja zostanie pobrana, a następnie instalacja będzie kontynuowana. W następnym kroku zostanie wyświetlona Umowa Licencyjna Użytkownika Końcowego. Aby potwierdzić akceptację Umowy Licencyjnej Użytkownika Końcowego, należy ją przeczytać i kliknąć przycisk Akceptuj. Po zaakceptowaniu umowy instalacja będzie przebiegać według jednego z dwóch możliwych scenariuszy: 1. W przypadku instalowania produktu ESET Endpoint Security na komputerze po raz pierwszy po zaakceptowaniu Umowy Licencyj nej Użytkownika Końcowego zostanie wyświetlone poniższe okno. Można w nim wybrać tryb Instalacja typowa lub Instalacja zaawansowana i postępować zgodnie z dokonanym wyborem. 2. W przypadku instalowania programu ESET Endpoint Security w miejsce jego wcześniejszej wersji w poniższym oknie można zdecydować, czy nowa instalacja ma korzystać z dotychczasowych ustawień programu, czy też (po usunięciu zaznaczenia pola wyboru Użyj bieżących ustawień) zostanie wybrany jeden ze wspomnianych trybów instalacji. 7

8 2.1 Typowa W trybie instalacji typowej stosowane są opcje konfiguracyjne odpowiednie dla większości użytkowników. Te ustawienia zapewniają znakomite bezpieczeństwo, łatwą instalację i dużą wydajność systemu. Tryb instalacji typowej jest wybierany domyślnie i zalecany w przypadku, gdy użytkownik nie ma specjalnych wymagań dotyczących poszczególnych ustawień. Po wybraniu tego trybu instalacji i kliknięciu przycisku Dalej pojawi się monit o wprowadzenie nazwy użytkownika i hasła umożliwiających automatyczne aktualizowanie programu. Podanie tych danych jest ważnym elementem zapewnienia ciągłej ochrony systemu. Wprowadź odpowiednie informacje w polach Nazwa użytkownika i Hasło, to znaczy dane uwierzytelniające otrzymane po zakupie lub zarejestrowaniu produktu. Jeśli nie masz obecnie nazwy użytkownika ani hasła, zaznacz pole wyboru Wprowadź później parametry aktualizacj i. Nazwę użytkownika i hasło można wprowadzić później w samym programie. Następnym krokiem jest konfiguracja systemu ESET Live Grid. ESET Live Grid ułatwia natychmiastowe i ciągłe informowanie firmy ESET o nowych infekcjach, dzięki czemu może ona chronić swoich klientów. System umożliwia zgłaszanie nowych zagrożeń do laboratorium firmy ESET, gdzie są one analizowane, przetwarzane i dodawane do bazy sygnatur wirusów. 8

9 Domyślnie opcja Zgadzam się na udział w usłudze ESET Live Grid jest zaznaczona, co oznacza aktywowanie tej funkcji. Kolejnym krokiem procesu instalacji jest skonfigurowanie wykrywania potencjalnie niepożądanych aplikacji. Potencjalnie niepożądane aplikacje nie są z założenia tworzone w złych intencjach, ale mogą negatywnie wpływać na działanie systemu operacyjnego. Więcej informacji można znaleźć w rozdziale Potencjalnie niepożądane aplikacje. Zaznacz opcję Włącz wykrywanie potencj alnie niepożądanych aplikacj i, aby program ESET Endpoint Security wykrywał tego typu aplikacje. Ostatnią czynnością wykonywaną w trybie instalacji typowej jest potwierdzenie instalacji przez kliknięcie przycisku Instaluj. 9

10 2.2 Zaawansowana Tryb instalacji zaawansowanej jest przeznaczony dla użytkowników zaawansowanych, którzy chcą modyfikować ustawienia podczas instalacji. Po wybraniu tego trybu instalacji i kliknięciu przycisku Dalej pojawi się monit o wybranie docelowego miejsca instalacji. Domyślnie program instaluje się w następującym katalogu: C:\Program Files\ESET\ESET Endpoint Security\ Aby zmienić tę lokalizację, kliknij przycisk Przeglądaj (niezalecane). Następnie wprowadź swoją nazwę użytkownika i hasło. Ten krok jest identyczny jak w przypadku instalacji typowej (patrz część Instalacja typowa ). Następnym krokiem procedury instalacji jest wybór komponentów programu do zainstalowania. Po rozwinięciu drzewa komponentów i wybraniu danej funkcji pojawią się trzy opcje instalacji. Domyślnie wybrana jest opcja Zostanie zainstalowane do uruchomienia z lokalnego dysku. Wybór opcji Pełna funkcj onalność zostanie zainstalowana do uruchomienia z lokalnego dysku spowoduje zainstalowanie wszystkich funkcji w wybranym drzewie. Jeśli nie chcesz korzystać z danej funkcji lub danego komponentu, wybierz opcję Pełna funkcj onalność nie będzie dostępna. 10

11 Kliknij przycisk Dalej i przejdź do konfigurowania połączenia internetowego. W przypadku korzystania z serwera proxy należy go prawidłowo skonfigurować, aby można było przeprowadzać aktualizacje sygnatur wirusów. Jeśli nie masz pewności, czy do połączenia z Internetem jest używany serwer proxy, wybierz opcję Nie wiem, czy podczas łączenia z Internetem używany j est serwer proxy. Użyj ustawień z programu Internet Explorer (Zalecane) i kliknij przycisk Dalej. Jeśli serwer proxy nie jest używany, wybierz opcję Nie korzystam z serwera proxy. Aby skonfigurować ustawienia serwera proxy, wybierz ustawienie Korzystam z serwera proxy i kliknij przycisk Dalej. W polu Adres wprowadź adres IP lub URL serwera proxy. W polu Port wprowadź numer portu, na którym serwer proxy przyjmuje połączenia (domyślnie 3128). W przypadku, gdy serwer proxy wymaga uwierzytelniania, należy w polach Nazwa użytkownika i Hasło podać poprawne dane umożliwiające dostęp do serwera. Ustawienia serwera proxy można również skopiować z programu Internet Explorer. W tym celu kliknij przycisk Zastosuj i potwierdź wybór. 11

12 W tym kroku instalacji można określić sposób przeprowadzania automatycznych aktualizacji programu na komputerze. Aby uzyskać dostęp do ustawień zaawansowanych, kliknij przycisk Zmień. 12

13 Jeśli komponenty programu nie mają być aktualizowane, należy wybrać opcję Nigdy nie aktualizuj komponentów programu. Aby przy każdej próbie pobrania komponentów programu pojawiało się okno potwierdzenia, wybierz opcję Pytaj przed pobraniem aktualizacj i komponentów programu. Aby pobieranie uaktualnień komponentów programu odbywało się automatycznie, należy wybrać ustawienie Zawsze aktualizuj komponenty programu. UWAGA: Po zaktualizowaniu komponentów programu wymagane jest zazwyczaj ponowne uruchomienie komputera. Zalecamy wybranie ustawienia W razie potrzeby uruchom ponownie komputer bez powiadomienia. W następnym oknie instalacji można ustawić hasło służące do ochrony ustawień programu. Wybierz opcję Zabezpiecz ustawienia konfiguracyj ne hasłem i wprowadź hasło w polach Nowe hasło oraz Potwierdź nowe hasło. Podanie tego hasła będzie wymagane w celu uzyskania dostępu do ustawień programu ESET Endpoint Security lub ich zmiany. Gdy hasła podane w obu polach są zgodne, kliknij przycisk Dalej, aby kontynuować. Następne kroki instalacji, Automatyczna aktualizacj a ESET Live Grid i Wykrywanie potencj alnie niepożądanych aplikacj i przebiega tak samo jak w przypadku instalacji typowej (patrz część Instalacja typowa ). Następnie wybierz tryb filtrowania zapory osobistej ESET. Zapora osobista w programie ESET Endpoint Security udostępnia pięć trybów filtrowania. Zachowanie zapory zmienia się w zależności od wybranego trybu. Tryby filtrowania mają również wpływ na wymagany poziom interakcji użytkownika. 13

14 Aby zakończyć instalację, kliknij przycisk Instaluj w oknie Gotowy do instalacj i. Po zakończeniu instalacji zostanie wyświetlony monit o aktywowanie produktu. Więcej informacji na temat aktywacji produktu można znaleźć w części Instalacja typowa. 2.3 Wprowadzanie nazwy użytkownika i hasła Dla uzyskania optymalnej funkcjonalności ważne jest automatyczne aktualizowanie programu. Jest to możliwe tylko w przypadku wprowadzenia prawidłowej nazwy użytkownika i prawidłowego hasła w oknie Ustawienia aktualizacj i. Jeśli nie wprowadzono nazwy użytkownika i hasła podczas instalacji, można to zrobić teraz. W głównym oknie programu należy kliknąć opcję Aktualizuj, a następnie CTRL+U, po czym w oknie Szczegóły licencji należy wprowadzić dane licencyjne otrzymane razem z produktem zabezpieczającym firmy ESET. Przy wprowadzaniu informacji w polach Nazwa użytkownika i Hasło ważne jest zwrócenie uwagi na ich wpisanie w dokładnej postaci: W nazwie użytkownika i haśle rozróżniana jest wielkość liter, a ponadto w nazwie użytkownika musi wystąpić łącznik. Hasło składa się z 10 znaków i nie zawiera wielkich liter. W hasłach nie stosujemy litery L (zamiast niej należy zawsze wpisać cyfrę jeden (1)). Duży znak 0 to cyfra zero (0), a mały znak o to litera o. W celu zachowania dokładności zalecane jest skopiowanie i wklejenie danych z wiadomości otrzymanej po rejestracji programu. 2.4 Uaktualnianie do nowszej wersj i Nowsze wersje programu ESET Endpoint Security są wydawane w celu wprowadzania w nim udoskonaleń lub poprawek, których nie można wdrożyć w ramach automatycznych aktualizacji modułów programu. Uaktualnienie do nowszej wersji można przeprowadzić na kilka sposobów: 1. Automatycznie za pomocą aktualizacji programu. W związku z tym, że uaktualnienie programu jest rozsyłane do wszystkich użytkowników i może powodować poważne konsekwencje na komputerach o określonych konfiguracjach, jego publikacja odbywa się po długim okresie testów w celu zapewnienia sprawnego działania we wszystkich możliwych konfiguracjach. Jeśli zachodzi potrzeba uaktualnienia programu do nowszej wersji natychmiast po jej udostępnieniu, należy posłużyć się jedną z poniższych metod. 2. Ręcznie przez pobranie i zainstalowanie nowszej wersji już zainstalowanego programu. Na początku procesu instalacji można wybrać zachowanie bieżących ustawień programu, zaznaczając pole wyboru Użyj bieżących ustawień. 3. Ręcznie z automatycznym wdrożeniem w środowisku sieciowym za pośrednictwem programu ESET Remote Administrator. 14

15 2.5 Skanowanie komputera Po zainstalowaniu programu ESET Endpoint Security należy przeskanować komputer w poszukiwaniu złośliwego kodu. W głównym oknie programu należy kliknąć opcję Skanowanie komputera, a następnie opcję Skanowanie inteligentne. Więcej informacji o skanowaniu komputera można znaleźć w sekcji Skanowanie komputera. 15

16 3. Przewodnik dla początkuj ących Niniejszy rozdział zawiera ogólny opis programu ESET Endpoint Security i jego podstawowych ustawień. 3.1 Interfej s użytkownika wprowadzenie Główne okno programu ESET Endpoint Security jest podzielone na dwie główne części. W okienku z prawej strony są wyświetlane informacje dotyczące opcji wybranej w menu głównym z lewej strony. Poniżej opisano opcje dostępne w menu głównym: Stan ochrony przedstawia informacje o stanie ochrony zapewnianej przez program ESET Endpoint Security. Skanowanie komputera pozwala skonfigurować i uruchomić funkcję skanowania inteligentnego lub skanowania niestandardowego. Aktualizacj a prezentuje informacje o aktualizacjach bazy sygnatur wirusów. Ustawienia wybranie tej opcji umożliwia modyfikowanie poziomu zabezpieczeń komputera oraz dostępu do stron internetowych i poczty oraz sieci. Narzędzia ta opcja zapewnia dostęp do plików dziennika, statystyk ochrony, Monitora aktywności, funkcji Działające procesy, połączeń sieciowych, harmonogramu, kwarantanny oraz narzędzi ESET SysInspector i ESET SysRescue. Pomoc i obsługa zapewnia dostęp do plików pomocy, bazy wiedzy ESET, witryny internetowej firmy ESET i łączy umożliwiających otwarcie zgłoszenia do działu obsługi klienta. Ekran Stan ochrony zawiera informacje o zabezpieczeniach i bieżącym poziomie ochrony komputera. Zielona ikona stanu Maksymalna ochrona oznacza maksymalny poziom bezpieczeństwa. W oknie stanu są również wyświetlane często używane funkcje programu ESET Endpoint Security. Wyświetlana jest w nim także data ważności licencji programu. 16

17 3.2 Postępowanie w przypadku, gdy program nie działa poprawnie Jeśli włączone moduły działają prawidłowo, są oznaczone zielonym znacznikiem wyboru. W przeciwnym razie jest wyświetlana czerwona ikona wykrzyknika lub pomarańczowa ikona powiadomienia. Dodatkowe informacje dotyczące modułu są wyświetlane w górnej części okna. Wyświetlany jest również proponowany sposób przywrócenia działania modułu. Aby zmienić stan poszczególnych modułów, należy w menu głównym kliknąć opcję Ustawienia, a następnie kliknąć wybrany moduł. Ikona czerwona sygnalizuje problemy krytyczne (maksymalny poziom ochrony komputera nie jest zapewniony). Możliwe przyczyny: Wyłączona ochrona systemu plików w czasie rzeczywistym Wyłączona zapora osobista Nieaktualna baza sygnatur wirusów Produkt nie został aktywowany Wygaśnięcie licencji produktu Kolor pomarańczowy wskazuje, że jest wyłączona ochrona dostępu do stron internetowych lub ochrona programów poczty , wystąpił problem z aktualizacją programu (nieaktualna baza sygnatur wirusów, nie można przeprowadzić aktualizacji) lub zbliża się termin wygaśnięcia licencji. Wyłączona ochrona antywirusowa i antyspyware ten problem jest sygnalizowany czerwoną ikoną i powiadomieniem dotyczącym bezpieczeństwa obok elementu Komputer. Aby ponownie włączyć ochronę antywirusową i antyspyware, należy kliknąć przycisk Uruchom wszystkie funkcj e ochrony antywirusowej i antyspyware. Ochrona dostępu do stron internetowych wyłączona ten problem jest sygnalizowany pomarańczowa ikoną z literą i oraz informacją o stanie Powiadomienie dotyczące bezpieczeństwa. Możliwe jest także włączenie funkcji Ochrona dostępu do stron internetowych poprzez kliknięcie powiadomienia dotyczącego bezpieczeństwa, a następnie kliknięcie opcji Włącz ochronę dostępu do stron internetowych. Wyłączona zapora osobista ESET ten problem jest sygnalizowany czerwoną ikoną i powiadomieniem dotyczącym bezpieczeństwa obok elementu Sieć. Aby ponownie włączyć ochronę komunikacji sieciowej, należy kliknąć przycisk Włącz tryb filtrowania. 17

18 Licencj a wkrótce wygaśnie jest to sygnalizowane przez ikonę stanu ochrony przedstawiającą wykrzyknik. Po wygaśnięciu licencji program nie będzie mógł być aktualizowany, a kolor ikony stanu ochrony zmieni się na czerwony. Licencj a wygasła jest to sygnalizowane przez zmianę koloru ikony stanu ochrony na czerwony. Po wygaśnięciu licencji program nie może być aktualizowany. Zalecane jest odnowienie licencji zgodnie z instrukcjami podanymi w oknie alertu. Jeśli nie można rozwiązać problemu za pomocą sugerowanych rozwiązań, należy kliknąć opcję Pomoc i obsługa, aby uzyskać dostęp do plików pomocy lub przeszukać bazę wiedzy ESET. Jeśli nadal potrzebna jest pomoc, można przesłać zgłoszenie do działu obsługi klienta firmy ESET. Dział obsługi klienta ESET niezwłocznie odpowie na otrzymane zgłoszenie i pomoże znaleźć rozwiązanie. 3.3 Ustawienia aktualizacj i Aktualizacja bazy sygnatur wirusów oraz aktualizacja komponentów programu są istotnymi elementami procesu zapewniania kompleksowej ochrony przed szkodliwym kodem. Należy zwrócić szczególną uwagę na ich konfigurację i działanie. Aby sprawdzić dostępność nowszej aktualizacji bazy danych, w menu głównym wybierz opcję Aktualizacj a, a następnie kliknij opcję Aktualizuj bazę sygnatur wirusów. Jeśli nazwa użytkownika i hasło nie zostały wprowadzone podczas procesu instalacji programu ESET Endpoint Security, zostanie wyświetlony monit o ich wpisanie. 18

19 W oknie Ustawienia zaawansowane dostępne są dodatkowe opcje aktualizacji. Aby przejść do tego okna, kliknij w menu głównym opcję Ustawienia, a następnie kliknij opcję Wprowadź ustawienia zaawansowane, albo naciśnij klawisz F5 na klawiaturze. W drzewie ustawień zaawansowanych po lewej stronie kliknij opcję Aktualizacj a. W menu rozwijanym Serwer aktualizacj i domyślnie jest zaznaczona opcja Wybierz automatycznie. Aby skonfigurować zaawansowane opcje aktualizacji, np. tryb aktualizacji, dostęp do serwera proxy, połączenia z siecią LAN i tworzenie kopii sygnatur wirusów, kliknij przycisk Ustawienia. 3.4 Ustawienia serwera proxy Jeśli do kontroli połączeń internetowych w systemie z programem ESET Endpoint Security jest używany serwer proxy, należy to określić w ustawieniach zaawansowanych. Aby uzyskać dostęp do okna konfiguracji serwera proxy, naciśnij klawisz F5 w celu wyświetlenia okna Ustawienia zaawansowane, a następnie w drzewie ustawień zaawansowanych kliknij kolejno opcje Narzędzia > Serwer proxy. Zaznacz opcję Użyj serwera proxy, a następnie wypełnij pola Serwer proxy (adres IP) i Port. Jeśli jest to konieczne, wybierz opcję Serwer proxy wymaga uwierzytelniania, a następnie wprowadź odpowiednie dane w polach Nazwa użytkownika i Hasło. Jeśli te informacje są niedostępne, można spróbować automatycznie wykryć ustawienia serwera proxy, klikając przycisk Wykryj serwer proxy. 19

20 UWAGA: Opcje serwera proxy mogą być różne dla różnych profili aktualizacji. W takim przypadku w ustawieniach zaawansowanych należy skonfigurować inne profile aktualizacji, klikając pozycję Aktualizacj a w drzewie ustawień zaawansowanych. 3.5 Ochrona ustawień Ustawienia programu ESET Endpoint Security mogą odgrywać dużą rolę z perspektywy stosowanych zasad zabezpieczeń. Nieupoważnione modyfikacje mogą stanowić potencjalne zagrożenie dla stabilności i ochrony systemu. Aby zabezpieczyć hasłem ustawienia parametrów, w menu głównym kliknij kolejno opcje Ustawienia > Wprowadź ustawienia zaawansowane > Interfej s użytkownika > Ustawienia dostępu, wybierz opcję Chroń ustawienia hasłem i kliknij przycisk Ustaw hasło... Wprowadź hasło w polach Nowe hasło i Potwierdź nowe hasło, a następnie kliknij przycisk OK. To hasło będzie wymagane w przypadku wszystkich przyszłych modyfikacji ustawień programu ESET Endpoint Security. 20

21 3.6 Ustawienia strefy zaufanej Aby komputer był chroniony w środowisku sieciowym, należy skonfigurować strefę zaufaną. Konfigurując strefę zaufaną i zezwalając na udostępnianie, można pozwolić innym użytkownikom na uzyskiwanie dostępu do komputera. Kliknij kolejno opcje Ustawienia > Sieć > Zmień tryb ochrony komputera w sieci... W wyświetlonym oknie są dostępne opcje umożliwiające wybór odpowiedniego trybu ochrony komputera w sieci. Wykrywanie strefy zaufanej odbywa się po zainstalowaniu programu ESET Endpoint Security oraz po każdym nawiązaniu przez komputer połączenia z nową siecią. Dlatego zwykle nie ma potrzeby definiowania strefy zaufanej. Po wykryciu nowej strefy domyślnie zostaje wyświetlone okno dialogowe, w którym można ustawić poziom ochrony dla tej strefy. Ostrzeżenie: Nieprawidłowa konfiguracja strefy zaufanej może stwarzać zagrożenie dla bezpieczeństwa komputera. UWAGA: Dla stacji roboczych ze strefy zaufanej domyślnie jest włączona przychodząca komunikacja RPC. Otrzymują one także uprawnienia do korzystania z udostępnianych plików i drukarek oraz z funkcji udostępniania pulpitu zdalnego. 21

22 4. Praca z programem ESET Endpoint Security Korzystając z ustawień programu ESET Endpoint Security, można skonfigurować odpowiedni poziom ochrony komputera i sieci. Menu Ustawienia zawiera następujące opcje: Komputer Sieć Internet i poczta Kliknięcie wybranego komponentu umożliwia dostosowanie ustawień zaawansowanych odpowiedniego modułu ochrony. Ustawienia ochrony na poziomie Komputer umożliwiają włączenie lub wyłączenie następujących komponentów: Ochrona systemu plików w czasie rzeczywistym wszystkie pliki w momencie otwarcia, utworzenia lub uruchomienia na komputerze są skanowane w poszukiwaniu złośliwego kodu. Ochrona dokumentów funkcja ochrony dokumentów pozwala na skanowanie dokumentów pakietu Microsoft Office przed ich otwarciem, a także skanowanie plików automatycznie pobieranych przez program Internet Explorer (np. elementów Microsoft ActiveX). Kontrola dostępu do urządzeń Przy użyciu tego modułu można skanować, blokować i dostosowywać rozszerzone filtry/uprawnienia oraz określać dozwolony poziom dostępu do danego urządzenia (CD/DVD/USB...) i pracy z nim. System HIPS system HIPS monitoruje zdarzenia wewnątrz systemu operacyjnego i reaguje na nie zgodnie z niestandardowym zestawem reguł. Tryb prezentacj i włączenie lub wyłączenie trybu prezentacji. Komunikat ostrzegawczy (potencjalne zagrożenie bezpieczeństwa) zostanie wyświetlony, a główne okno programu zmieni kolor na pomarańczowy po włączeniu trybu prezentacji. Ochrona Anti-Stealth umożliwia wykrywanie niebezpiecznych programów, takich jak programy typu rootkit, które potrafią ukrywać się przed systemem operacyjnym. Wykrycie ich standardowymi sposobami jest niemożliwe. W sekcji Sieć można włączyć lub wyłączyć moduł Zapora osobista. 22

23 Ustawienia modułu ochrony Internet i poczta pozwalają włączyć lub wyłączyć następujące komponenty programu: Ochrona dostępu do stron internetowych zaznaczenie tej opcji powoduje włączenie skanowania całego ruchu sieciowego wykorzystującego protokoły HTTP i HTTPS w poszukiwaniu złośliwego oprogramowania. Ochrona programów poczty monitoruje komunikację odbieraną przy użyciu protokołów POP3 i IMAP. Ochrona przed spamem umożliwia skanowanie w poszukiwaniu niepożądanych wiadomości czyli spamu. Kontrola dostępu do stron internetowych blokuje strony internetowe, które mogą zawierać obraźliwe materiały. Ponadto pracodawcy lub administratorzy systemu mogą zablokować dostęp do 27 wstępnie zdefiniowanych kategorii witryn internetowych. UWAGA: Sekcja Ochrona dokumentów jest wyświetlana po włączeniu opcji (Wprowadź ustawienia zaawansowane (F5) > Komputer > Antywirus i antyspyware > Ochrona dokumentów > Integracj a z systemem). Po kliknięciu opcji Włączone zostanie wyświetlone okno dialogowe Tymczasowe wyłączenie ochrony. Kliknięcie przycisku OK powoduje wyłączenie wybranego składnika zabezpieczeń. Menu rozwijane Przedział czasowy przedstawia okres, przez który wybrany składnik będzie wyłączony. Aby ponownie włączyć ochronę za pomocą wyłączonego wcześniej składnik zabezpieczeń, należy kliknąć opcję Wyłączone. UWAGA: Gdy ochrona zostanie wyłączona w ten sposób, wszystkie wyłączone elementy zabezpieczeń zostaną włączone po ponownym uruchomieniu komputera. Na dole okna ustawień znajduje się kilka dodatkowych opcji. Opcja Importuj /eksportuj ustawienia umożliwia załadowanie ustawień z pliku w formacie XML lub zapisanie bieżących ustawień do takiego pliku. 23

24 4.1 Komputer Moduł Komputer można otworzyć, klikając tytuł Komputer w okienku Ustawienia. Zostanie wyświetlone zestawienie informacji o wszystkich modułach ochrony. Aby tymczasowo wyłączyć niektóre moduły, kliknij opcję Wyłącz znajdującą się poniżej żądanego modułu. Należy pamiętać, że taka operacja może pogorszyć ochronę komputera. Aby uzyskać dostęp do szczegółowych ustawień danego modułu, kliknij przycisk Konfiguruj. Kliknięcie przycisku Edytuj wyłączenia powoduje otwarcie okna ustawień Wyłączenia, w którym można wyłączyć pliki i foldery ze skanowania. Tymczasowo wyłącz ochronę antywirusową i antyspyware umożliwia wyłączenie wszystkich modułów ochrony antywirusowej i antyspyware. Wybranie tej opcji powoduje wyświetlenie okna dialogowego Tymczasowo wyłącz ochronę z menu rozwijanym Przedział czasowy. Menu rozwijane Przedział czasowy umożliwia wybranie długości czasu, przez który ochrona będzie wyłączona. Kliknij przycisk OK, aby potwierdzić ustawienia. Ustawienia skanowania komputera kliknięcie tej opcji umożliwia dostosowanie parametrów skanera na żądanie (skanowania przeprowadzanego ręcznie) Ochrona antywirusowa i antyspyware Funkcja ochrony antywirusowej i antyspyware zabezpiecza system przed szkodliwymi atakami, sprawdzając pliki, pocztę i komunikację internetową. W przypadku wykrycia zagrożenia zawierającego szkodliwy kod moduł antywirusowy może je wyeliminować przez zablokowanie, a następnie usunięcie lub przeniesienie do kwarantanny. 24

25 Ochrona systemu plików w czasie rzeczywistym Ochrona systemu plików w czasie rzeczywistym sprawdza wszystkie zdarzenia związane z ochroną antywirusową systemu. Wszystkie pliki w chwili otwarcia, utworzenia lub uruchomienia na komputerze są skanowane w poszukiwaniu szkodliwego kodu. Ochrona systemu plików w czasie rzeczywistym jest włączana przy uruchamianiu systemu. Moduł ochrony systemu plików w czasie rzeczywistym sprawdza wszystkie typy nośników. Sprawdzanie jest wywoływane wystąpieniem różnych zdarzeń systemowych, na przykład uzyskaniem dostępu do pliku. Korzystając z metod wykrywania zastosowanych w ramach technologii ThreatSense (opisanych w sekcji Ustawienia parametrów technologii ThreatSense), funkcja ochrony systemu plików w czasie rzeczywistym może działać inaczej w przypadku plików nowo tworzonych, a inaczej w przypadku już istniejących. W przypadku nowo tworzonych plików można stosować głębszy poziom sprawdzania. Aby zminimalizować obciążenie systemu podczas korzystania z ochrony w czasie rzeczywistym, przeskanowane już pliki nie są skanowane ponownie (dopóki nie zostaną zmodyfikowane). Pliki są niezwłocznie skanowane ponownie po każdej aktualizacji bazy sygnatur wirusów. Taki sposób postępowania jest konfigurowany za pomocą funkcji Inteligentna optymalizacj a. Po jej wyłączeniu wszystkie pliki są skanowane za każdym razem, gdy uzyskiwany jest do nich dostęp. Aby zmodyfikować tę opcję, należy nacisnąć klawisz F5 w celu otwarcia okna Ustawienia zaawansowane i w drzewie ustawień zaawansowanych kliknąć kolejno pozycje Komputer > Antywirus i antyspyware > Ochrona systemu plików w czasie rzeczywistym. Następnie należy kliknąć przycisk Ustawienia... obok okna konfiguracji parametrów technologii ThreatSense, kliknąć przycisk Inne i zaznaczyć opcję Włącz inteligentną optymalizacj ę. Ochrona systemu plików w czasie rzeczywistym jest domyślnie włączana przy uruchamianiu systemu i zapewnia nieprzerwane skanowanie. W szczególnych przypadkach (np. jeśli wystąpi konflikt z innym skanerem w trybie rzeczywistym) ochronę w czasie rzeczywistym można wyłączyć, usuwając zaznaczenie pola wyboru Automatycznie uruchom ochronę systemu plików w czasie rzeczywistym Skanowane nośniki Domyślnie wszystkie typy nośników są skanowane w celu wykrycia potencjalnych zagrożeń. Dyski lokalne sprawdzane są wszystkie dyski twarde w komputerze. Nośniki wymienne sprawdzane są dyskietki, dyski CD i DVD, urządzenia pamięci masowej USB itp. Dyski sieciowe skanowane są wszystkie dyski mapowane. Zalecane jest zachowanie ustawień domyślnych i modyfikowanie ich wyłącznie w szczególnych przypadkach, jeśli na przykład sprawdzanie pewnych nośników znacznie spowalnia przesyłanie danych. 25

26 Skanowanie po wystąpieniu zdarzenia Domyślnie wszystkie pliki są skanowane podczas otwierania, tworzenia i wykonywania. Zalecane jest zachowanie ustawień domyślnych, ponieważ zapewniają one maksymalny poziom ochrony komputera w czasie rzeczywistym. Otwierania pliku włącza lub wyłącza skanowanie plików przy ich otwieraniu. Tworzenia pliku włącza lub wyłącza skanowanie nowo utworzonych lub zmodyfikowanych plików. Wykonywania pliku włącza lub wyłącza skanowanie plików podczas ich wykonywania. Dostęp do nośników wymiennych włącza lub wyłącza skanowanie wywoływane przez próbę uzyskania dostępu do określonego wymiennego nośnika pamięci Zaawansowane opcj e skanowania Bardziej szczegółowe opcje konfiguracji można wyświetlić, wybierając kolejno opcje Komputer > Antywirus i antyspyware > Ochrona systemu plików w czasie rzeczywistym > Ustawienia zaawansowane. Dodatkowe parametry ThreatSense dla nowo utworzonych i zmodyfikowanych plików prawdopodobieństwo występowania infekcji w nowo utworzonych lub zmodyfikowanych plikach jest stosunkowo większe niż w przypadku istniejących już plików. Dlatego program sprawdza takie pliki z zastosowaniem dodatkowych parametrów skanowania. Oprócz typowych metod skanowania przy użyciu sygnatur stosowana jest zaawansowana heurystyka, która znacznie zwiększa wykrywalność zagrożeń, ponieważ wykrywa nowe zagrożenia jeszcze przed opublikowaniem aktualizacji bazy sygnatur wirusów. Poza nowo utworzonymi plikami skanowanie obejmuje również archiwa samorozpakowujące (SFX) i pliki spakowane (skompresowane wewnętrznie pliki wykonywalne). Domyślnie archiwa są skanowane do dziesiątego poziomu zagnieżdżenia i są sprawdzane niezależnie od ich rozmiaru. Aby zmienić ustawienia skanowania archiwów, należy usunąć zaznaczenie opcji Domyślne ustawienia skanowania archiwów. Dodatkowe parametry ThreatSense dla wykonywanych plików domyślnie zaawansowana heurystyka nie jest używana podczas wykonywania plików. W niektórych przypadkach może jednak zajść potrzeba włączenia tej funkcji (poprzez zaznaczenie opcji Zaawansowana heurystyka podczas wykonywania pliku). Należy pamiętać, że zaawansowana heurystyka może spowolnić wykonywanie niektórych programów z powodu zwiększonych wymagań systemowych. Aby przy włączonej opcji Zaawansowana heurystyka przy wykonywaniu plików z urządzeń zewnętrznych wyłączyć niektóre porty nośników wymiennych (USB) ze skanowania z użyciem zaawansowanej heurystyki podczas wykonywania pliku, należy kliknąć opcję Wyj ątki w celu otwarcia okna wyłączeń nośników wymiennych. Można w nim dostosować parametry, zaznaczając pola wyboru odpowiadające poszczególnym portom lub usuwając ich zaznaczenia Poziomy leczenia W ramach ochrony w czasie rzeczywistym dostępne są trzy poziomy leczenia (aby uzyskać do nich dostęp, należy kliknąć przycisk Ustawienia w sekcji Ochrona systemu plików w czasie rzeczywistym, a następnie kliknąć gałąź Leczenie). Brak leczenia Zainfekowane pliki nie będą automatycznie leczone. Wyświetlane jest okno z ostrzeżeniem, a użytkownik może wybrać czynność do wykonania. Ten poziom jest przeznaczony dla bardziej zaawansowanych użytkowników, którzy wiedzą, jakie czynności należy wykonać w razie wystąpienia infekcji. Leczenie standardowe program próbuje automatycznie wyleczyć lub usunąć zarażony plik zgodnie ze wstępnie zdefiniowaną czynnością (zależnie od typu infekcji). O wykryciu i usunięciu zainfekowanego pliku informuje komunikat wyświetlany w prawym dolnym rogu ekranu. Jeśli automatyczne wybranie właściwej czynności nie będzie możliwe, w programie zostaną przedstawione dostępne opcje. Aplikacja zadziała tak samo także wtedy, gdy nie będzie możliwe wykonanie wstępnie zdefiniowanej czynności. Leczenie dokładne Program leczy lub usuwa wszystkie zarażone pliki. Jedyny wyjątek stanowią pliki systemowe. Jeśli ich wyleczenie nie jest możliwe, użytkownik jest monitowany o wybranie odpowiedniej czynności w oknie z ostrzeżeniem. Ostrzeżenie: Jeśli archiwum zawiera zarażone pliki, problem można rozwiązać na dwa sposoby. W trybie standardowym (Leczenie standardowe) usunięcie całego archiwum nastąpi w sytuacji, gdy będą zarażone wszystkie znajdujące się w nim pliki. W trybie Leczenie dokładne całe archiwum zostanie usunięte po wykryciu pierwszego zarażonego pliku, niezależnie od stanu pozostałych plików w tym archiwum. 26

27 Zmienianie ustawień ochrony w czasie rzeczywistym Ochrona w czasie rzeczywistym jest najbardziej istotnym elementem zapewniającym bezpieczeństwo systemu. Podczas zmieniania jej parametrów należy zawsze zachować ostrożność. Modyfikowanie ustawień ochrony jest zalecane tylko w określonych przypadkach, na przykład jeśli występuje konflikt z określoną aplikacją lub skanerem działającym w czasie rzeczywistym, należącym do innego programu antywirusowego. Po zainstalowaniu programu ESET Endpoint Security wszystkie ustawienia są optymalizowane w celu zapewnienia maksymalnego poziomu bezpieczeństwa systemu. Aby odtworzyć ustawienia domyślne, należy kliknąć przycisk Domyślne znajdujący się w prawym dolnym rogu okna Ochrona systemu plików w czasie rzeczywistym (otwieranego po wybraniu kolejno opcji Ustawienia zaawansowane > Komputer > Antywirus i antyspyware > Ochrona systemu plików w czasie rzeczywistym) Sprawdzanie skuteczności ochrony w czasie rzeczywistym Aby sprawdzić, czy funkcja ochrony w czasie rzeczywistym działa i wykrywa wirusy, można użyć pliku z witryny eicar. com. Jest to specjalnie przygotowany nieszkodliwy plik testowy wykrywany przez wszystkie programy antywirusowe. Został on utworzony przez instytut EICAR (European Institute for Computer Antivirus Research) w celu testowania działania programów antywirusowych. Plik eicar.com jest dostępny do pobrania pod adresem download/eicar.com UWAGA: Przed przystąpieniem do sprawdzenia skuteczności ochrony w czasie rzeczywistym należy wyłączyć zaporę. Włączona zapora wykryje plik testowy i uniemożliwi jego pobranie Co zrobić, j eśli ochrona w czasie rzeczywistym nie działa W tym rozdziale opisano problemy, które mogą wystąpić podczas korzystania z ochrony w czasie rzeczywistym, oraz sposoby ich rozwiązywania. Ochrona w czasie rzeczywistym j est wyłączona Jeśli ochrona w czasie rzeczywistym została przypadkowo wyłączona przez użytkownika, należy ją włączyć ponownie. Aby ponownie włączyć ochronę w czasie rzeczywistym, należy w głównym oknie programu przejść do opcji Ustawienia, a następnie kliknąć przycisk Ochrona systemu plików w czasie rzeczywistym. Jeśli ochrona w czasie rzeczywistym nie jest inicjowana przy uruchamianiu systemu, najczęściej jest to spowodowane usunięciem zaznaczenia pola wyboru Automatycznie uruchom ochronę systemu plików w czasie rzeczywistym. Aby włączyć tę opcję, należy przejść do okna Ustawienia zaawansowane (klawisz F5) i w drzewie ustawień zaawansowanych kliknąć kolejno pozycje Komputer > Antywirus i antyspyware > Ochrona systemu plików w czasie rzeczywistym. Należy się upewnić, że u dołu okna w sekcji Ustawienia zaawansowane zaznaczono pole wyboru Automatycznie uruchom ochronę systemu plików w czasie rzeczywistym. Ochrona w czasie rzeczywistym nie wykrywa ani nie leczy zagrożeń Należy się upewnić, że na komputerze nie ma zainstalowanych innych programów antywirusowych. Jednoczesne włączenie dwóch modułów ochrony w czasie rzeczywistym może powodować ich konflikt. Zaleca się odinstalowanie 27

28 innych programów antywirusowych znajdujących się w systemie. Ochrona w czasie rzeczywistym nie j est uruchamiana Jeśli ochrona w czasie rzeczywistym nie jest inicjowana przy uruchamianiu systemu (a opcja Automatycznie uruchom ochronę systemu plików w czasie rzeczywistym jest włączona), może to być spowodowane konfliktami z innymi programami. W takim przypadku należy skontaktować się z działem obsługi klienta firmy ESET Ochrona dokumentów Funkcja Ochrona dokumentów pozwala na skanowanie dokumentów pakietu Microsoft Office przed ich otwarciem, a także skanowanie plików automatycznie pobieranych przez program Internet Explorer (np. elementów Microsoft ActiveX). Opcja Integracj a z systemem umożliwia aktywowanie systemu ochrony. Aby zmodyfikować tę opcję, należy nacisnąć klawisz F5 w celu otwarcia okna Ustawienia zaawansowane i w drzewie ustawień zaawansowanych kliknąć kolejno pozycje Komputer > Antywirus i antyspyware > Ochrona dokumentów. Po włączeniu tej funkcji informacje na temat ochrony dokumentów można wyświetlić w głównym oknie programu ESET Endpoint Security w menu Ustawienia > Komputer. Funkcja ta jest aktywowana przez aplikacje używające interfejsu Microsoft Antivirus API (np. Microsoft Office w wersji 2000 lub wyższej albo Microsoft Internet Explorer w wersji 5.0 lub wyższej) Skanowanie komputera Skaner na żądanie jest ważnym składnikiem ochrony antywirusowej. Służy on do badania plików i folderów na komputerze. Z punktu widzenia bezpieczeństwa ważne jest, aby skanowanie komputera było przeprowadzane nie tylko w przypadku podejrzenia infekcji, ale regularnie w ramach rutynowych działań związanych z bezpieczeństwem. Zalecane jest regularne przeprowadzanie dokładnego skanowania komputera w celu wykrycia potencjalnej obecności wirusów, które nie zostały zatrzymane przez funkcję Ochrona systemu plików w czasie rzeczywistym podczas zapisywania ich na dysku. Może się tak stać, jeśli ochrona systemu plików w czasie rzeczywistym była w danym momencie wyłączona, baza sygnatur wirusów była nieaktualna albo plik nie został rozpoznany jako wirus podczas zapisywania go na dysku. Dostępne są dwa typy operacji Skanowanie komputera. Opcja Skanowanie inteligentne umożliwia szybkie przeskanowanie systemu bez konieczności dodatkowego konfigurowania parametrów skanowania. Skanowanie niestandardowe umożliwia wybranie jednego ze wstępnie zdefiniowanych profili skanowania oraz określenie obiektów 28

29 skanowania. Zobacz rozdział Postęp skanowania, aby uzyskać więcej informacji o procesie skanowania. Zaleca się uruchamianie skanowania komputera co najmniej raz w miesiącu. Skanowanie można skonfigurować jako zaplanowane zadanie za pomocą opcji Narzędzia > Harmonogram Typ skanowania Skanowanie inteligentne Tryb skanowania inteligentnego umożliwia szybkie uruchomienie skanowania komputera i wyleczenie zainfekowanych plików bez konieczności podejmowania dodatkowych działań przez użytkownika. Zaletą skanowania inteligentnego jest łatwość obsługi i brak konieczności szczegółowej konfiguracji skanowania. W ramach skanowania inteligentnego sprawdzane są wszystkie pliki na dyskach lokalnych, a wykryte infekcje są automatycznie leczone lub usuwane. Automatycznie ustawiany jest domyślny poziom leczenia. Szczegółowe informacje na temat typów leczenia można znaleźć w sekcji Leczenie Skanowanie niestandardowe Skanowanie niestandardowe stanowi optymalne rozwiązanie, jeśli użytkownik chce sam określić parametry skanowania, takie jak skanowane obiekty i metody skanowania. Zaletą skanowania niestandardowego jest możliwość szczegółowej konfiguracji parametrów. Konfiguracje można zapisywać w zdefiniowanych przez użytkownika profilach skanowania, które mogą być przydatne, jeśli skanowanie jest przeprowadzane wielokrotnie z zastosowaniem tych samych parametrów. Aby wybrać skanowane obiekty, należy wybrać kolejno opcje Skanowanie komputera > Skanowanie niestandardowe, a następnie wybrać odpowiednią pozycję z menu rozwijanego Skanowane obiekty lub wybrać żądane obiekty w strukturze drzewa. Skanowane obiekty można również wskazać przez wprowadzenie ścieżki do folderu lub plików, które mają zostać uwzględnione. Jeśli użytkownik chce tylko przeskanować system bez wykonywania dodatkowych działań związanych z leczeniem, należy wybrać opcję Skanuj bez leczenia. Ponadto można wybrać jeden z trzech poziomów leczenia, klikając kolejno opcje Ustawienia > Leczenie. Skanowanie komputera w trybie skanowania niestandardowego jest odpowiednie dla zaawansowanych użytkowników, którzy mają już doświadczenie w posługiwaniu się programami antywirusowymi. 29

30 Skanowane obiekty W oknie Skanowane obiekty można określić, jakie obiekty (pamięć, dyski, sektory, pliki i foldery) będą sprawdzane w poszukiwaniu infekcji. W menu rozwijanym Skanowane obiekty można wybrać wstępnie zdefiniowane obiekty do skanowania: Ustawienia profilu powoduje wybranie obiektów skonfigurowanych w wybranym profilu skanowania. Nośniki wymienne sprawdzane będą dyskietki, urządzenia pamięci masowej USB, dyski CD i DVD. Dyski lokalne wybierane są wszystkie dyski twarde w komputerze. Dyski sieciowe powoduje wybranie wszystkich mapowanych dysków sieciowych. Brak wyboru wybór obiektów zostaje anulowany. Skanowane obiekty można również wskazać przez wprowadzenie ścieżki do folderu lub plików, które mają zostać uwzględnione. Obiekty można wybierać ze struktury drzewa zawierającej wszystkie urządzenia dostępne w komputerze. Aby szybko przejść do skanowanego obiektu lub bezpośrednio dodać żądany obiekt, należy wprowadzić go w pustym polu znajdującym się poniżej listy folderów. Jest to możliwe tylko wtedy, gdy nie wybrano żadnych obiektów w strukturze drzewa, a w menu Skanowane obiekty jest wybrana opcja Brak wyboru Profile skanowania Preferowane parametry skanowania mogą zostać zapisane i użyte w przyszłości. Zalecane jest utworzenie osobnego profilu (z ustawionymi różnymi obiektami i metodami skanowania oraz innymi parametrami) dla każdego regularnie przeprowadzanego skanowania. Aby utworzyć nowy profil, należy otworzyć okno ustawień zaawansowanych (klawisz F5) i kliknąć kolejno opcje Komputer > Antywirus i antyspyware > Skanowanie komputera > Profile. W oknie Profile konfiguracj i wyświetlane jest menu rozwijane Wybrany profil z listą istniejących już profili skanowania oraz opcja umożliwiająca utworzenie nowego profilu. Więcej informacji o tworzeniu profilu skanowania dostosowanego do indywidualnych potrzeb można znaleźć w sekcji Ustawienia parametrów technologii ThreatSense, w której opisano poszczególne parametry ustawień skanowania. Przykład: Załóżmy, że użytkownik chce utworzyć własny profil skanowania, a żądana konfiguracja częściowo pokrywa się z konfiguracją Skanowanie inteligentne. Użytkownik nie chce jednak skanować programów spakowanych ani potencjalnie niebezpiecznych aplikacji oraz chce zastosować ustawienie Leczenie dokładne. W takim przypadku należy w oknie Profile konfiguracj i kliknąć przycisk Dodaj. Następnie należy wprowadzić nazwę nowego profilu w polu Nazwa profilu i z menu rozwijanego Kopiuj ustawienia z profilu wybrać pozycję Skanowanie inteligentne. Następnie należy dostosować do potrzeb pozostałe parametry profilu. 30

31 Postęp skanowania W oknie postępu skanowania wyświetlany jest bieżący stan skanowania oraz informacje dotyczące liczby znalezionych plików zawierających złośliwy kod. UWAGA: Jest całkowicie normalne, że nie można przeskanować części plików, na przykład plików zabezpieczonych hasłem lub plików używanych przez system na prawach wyłączności (zwykle dotyczy to pliku pagefile.sys i określonych plików dziennika). Postęp skanowania pasek postępu wskazuje odsetek przeskanowanych już obiektów w odniesieniu do obiektów pozostałych do przeskanowania. Ta wartość jest obliczana na podstawie całkowitej liczby obiektów zakwalifikowanych do skanowania. Obiekt docelowy nazwa i położenie obecnie skanowanego obiektu. Liczba zagrożeń łączna liczba zagrożeń wykrytych podczas skanowania. Pauza umożliwia wstrzymanie skanowania. Wznów ta opcja jest widoczna, gdy skanowanie jest wstrzymane. Kliknięcie przycisku Wznów powoduje kontynuowanie skanowania. Zatrzymaj umożliwia przerwanie skanowania. 31

32 W tle umożliwia równoległe uruchomienie kolejnego skanowania. Bieżąca operacja skanowania będzie wykonywana w tle, a jej okno zostanie ukryte. Kliknij pozycję Przenieś na pierwszy plan, aby przenieść skanowanie na pierwszy plan i powrócić do procesu skanowania. Przewij aj dziennik skanowania po włączeniu tej opcji dziennik skanowania będzie automatycznie przewijany w miarę dodawania nowych wpisów, co zapewni widoczność najnowszych wpisów. Włącz zamknięcie systemu po skanowaniu powoduje zaplanowane wyłączenie komputera po ukończeniu skanowania na żądanie. Na 60 sekund przed automatycznym wyłączeniem zostanie wyświetlone okno potwierdzenia umożliwiające jego anulowanie. Kliknięcie przycisku Anuluj spowoduje, że komputer nie zostanie wyłączony Skanowanie przy uruchamianiu Podczas uruchamiania systemu oraz po aktualizacji bazy sygnatur wirusów przeprowadzane jest automatyczne sprawdzenie plików wykonywanych podczas uruchamiania systemu. To skanowanie jest zależne od ustawień w sekcji Konfiguracja harmonogramu i zadania. Opcje skanowania podczas uruchamiania systemu są częścią zadania zaplanowanego Sprawdzanie plików wykonywanych przy uruchamianiu systemu. Aby zmodyfikować te ustawienia, należy przejść do funkcji Narzędzia > Harmonogram, kliknąć opcję Automatyczne sprawdzanie plików przy uruchamianiu, a następnie kliknąć przycisk Edytuj. W ostatnim kroku zostanie wyświetlone okno Automatyczne sprawdzanie plików przy uruchamianiu (więcej szczegółów można znaleźć w następnym rozdziale). Szczegółowe informacje na temat tworzenia zadań zaplanowanych i zarządzania nimi można znaleźć w rozdziale Tworzenie nowych zadań. 32

33 Automatyczne sprawdzanie plików przy uruchamianiu Menu rozwijane Poziom skanowania służy do określenia szczegółowości skanowania plików wykonywanych przy uruchamianiu systemu. Pliki są porządkowane w kolejności rosnącej według liczby plików do skanowania: Tylko naj częściej używane pliki (najmniej skanowanych plików) Często używane pliki Zazwyczaj używane pliki Rzadko używane pliki Wszystkie zarej estrowane pliki (najwięcej skanowanych plików) Poziom skanowania obejmuje także dwie szczególne grupy: Pliki uruchamiane przed zalogowaniem użytkownika są to pliki w takich lokalizacjach, z których mogą być uruchamiane bez zalogowania się użytkownika (chodzi o prawie wszystkie lokalizacje wykorzystywane podczas uruchomienia systemu, takie jak usługi, obiekty pomocnika przeglądarki, powiadomienie usługi winlogon, wpisy harmonogramu systemu Windows, znane biblioteki DLL itp.). Pliki uruchamiane po zalogowaniu użytkownika są to pliki w takich lokalizacjach, z których można je uruchamiać dopiero po zalogowaniu się użytkownika (chodzi o pliki, które są uruchamiane tylko dla określonego użytkownika, zazwyczaj pliki znajdujące się w folderze HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) Listy plików do skanowania są stałe w każdej z grup. Priorytet skanowania poziom priorytetu do zastosowania przy uruchomieniu skanowania: Normalny przy przeciętnym obciążeniu systemu, Niższy przy niskim obciążeniu systemu, Naj niższy kiedy obciążenie systemu jest możliwie najmniejsze, W trakcie bezczynności zadanie zostanie wykonane tylko wtedy, gdy system jest bezczynny Wyłączenia według ścieżki Wyłączenia pozwalają wykluczyć ze skanowania wybrane pliki i foldery. Aby zapewnić skanowanie wszystkich obiektów w poszukiwaniu zagrożeń, zmiana ustawień tych opcji nie jest zalecana. Zdarzają się jednak sytuacje, w których może być konieczne wyłączenie jakiegoś obiektu. Może to dotyczyć np. oprogramowania powodującego konflikty ze skanowaniem albo wpisów dużej bazy danych, które mogłyby spowalniać komputer podczas skanowania. Ścieżka ścieżka dostępu do wyłączonych plików i folderów. Zagrożenie gdy obok wyłączonego pliku widać nazwę zagrożenia, oznacza to, że plik będzie pomijany tylko przy wyszukiwaniu tego zagrożenia, a nie całkowicie. W związku z tym, jeśli później plik zostanie zainfekowany innym 33

34 szkodliwym oprogramowaniem, moduł antywirusowy go wykryje. Ten rodzaj wyłączeń można stosować tylko w przypadku określonych typów filtracji. Można je skonfigurować w oknie alertu o zagrożeniu sygnalizującym infekcję (należy kliknąć przycisk Pokaż opcj e zaawansowane, a następnie wybrać opcję Wyłącz z wykrywania) lub w oknie Ustawienia > Kwarantanna wyświetlanym po otwarciu dla pliku poddanego kwarantannie menu kontekstowego i wybraniu opcji Przywróć i wyłącz ze skanowania. Dodaj pozwala dodać obiekty, które mają być pomijane podczas wykrywania. Edytuj pozwala edytować zaznaczone elementy. Usuń służy do usuwania zaznaczonych elementów. Aby wyłączyć obiekt ze skanowania: 1. Kliknij opcję Dodaj. 2. Wprowadź ścieżkę do obiektu lub wybierz obiekt w strukturze drzewa. Można też dodać grupę plików, używając symboli wieloznacznych. Znak zapytania (?) reprezentuje jeden dowolny znak, a gwiazdka (*) reprezentuje dowolny ciąg złożony z dowolnej liczby znaków (w tym ciąg pusty). Przykłady Aby wyłączyć ze skanowania wszystkie pliki z danego folderu, należy wpisać ścieżkę do tego folderu i zastosować maskę *.*. Aby wyłączyć ze skanowania cały dysk z jego wszystkimi plikami i podfolderami, należy zastosować maskę D:\*. Aby wyłączyć ze skanowania jedynie pliki DOC, należy użyć maski *.doc. Jeśli nazwa pliku wykonywalnego składa się z określonej liczby znaków (i znaki te różnią się od siebie), a znana jest tylko pierwsza litera (np. D ), należy zastosować następujący format: D????.exe. Znaki zapytania zastępują wszystkie brakujące (nieznane) znaki Ustawienia parametrów technologii ThreatSense Technologia ThreatSense obejmuje wiele zaawansowanych metod wykrywania zagrożeń. Jest ona proaktywna, co oznacza, że zapewnia ochronę już od pierwszych godzin rozprzestrzeniania się nowego zagrożenia. Stosowana jest w niej kombinacja kilku metod (analiza kodu, emulacja kodu, sygnatury rodzajowe, sygnatury wirusów), które razem znacznie zwiększają bezpieczeństwo systemu. Korzystając z tej technologii skanowania, można kontrolować kilka strumieni danych jednocześnie, maksymalizując skuteczność i wskaźnik wykrywalności. Ponadto technologia ThreatSense pomyślnie eliminuje programy typu rootkit. Za pomocą ustawień technologii ThreatSense można określić kilka parametrów skanowania: typy i rozszerzenia plików, które mają być skanowane; kombinacje różnych metod wykrywania; poziomy leczenia itp. Aby otworzyć okno konfiguracji, należy kliknąć przycisk Ustawienia znajdujący się w oknie ustawień każdego modułu, w którym wykorzystywana jest technologia ThreatSense (zobacz poniżej). Różne scenariusze zabezpieczeń mogą wymagać różnych konfiguracji. Technologię ThreatSense można konfigurować indywidualnie dla następujących modułów ochrony: Ochrona systemu plików w czasie rzeczywistym; Ochrona dokumentów; Ochrona programów poczty ; Ochrona dostępu do stron internetowych; Skanowanie komputera. Parametry technologii ThreatSense są w wysokim stopniu zoptymalizowane pod kątem poszczególnych modułów, a ich modyfikacja może znacząco wpływać na działanie systemu. Na przykład ustawienie opcji skanowania spakowanych programów za każdym razem lub włączenie zaawansowanej heurystyki w module ochrony systemu plików w czasie rzeczywistym może spowodować spowolnienie działania systemu (normalnie tymi metodami skanowane są tylko nowo utworzone pliki). Zaleca się pozostawienie niezmienionych parametrów domyślnych technologii ThreatSense dla wszystkich modułów z wyjątkiem modułu Skanowanie komputera. 34

35 Obiekty W sekcji Obiekty można określić, które pliki i składniki komputera będą skanowane w poszukiwaniu infekcji. Pamięć operacyj na powoduje skanowanie w poszukiwaniu szkodliwego oprogramowania, które atakuje pamięć operacyjną komputera. Sektory startowe powoduje skanowanie sektorów startowych w poszukiwaniu wirusów w głównym rekordzie rozruchowym. Pliki poczty program obsługuje następujące rozszerzenia: DBX (Outlook Express) oraz EML. Archiwa program obsługuje następujące rozszerzenia: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE i wiele innych. Archiwa samorozpakowuj ące archiwa samorozpakowujące się (SFX) to archiwa, które nie wymagają do dekompresji żadnych specjalnych programów. Pliki spakowane po uruchomieniu w odróżnieniu od archiwów standardowych dekompresują swoją zawartość do pamięci. Poza standardowymi statycznymi programami pakującymi (UPX, yoda, ASPack, FSG itd.) skaner obsługuje też wiele innych typów programów pakujących, dzięki emulowaniu ich kodu Opcj e W sekcji Opcj e można wybrać metody, które mają być stosowane podczas skanowania systemu w poszukiwaniu infekcji. Dostępne są następujące opcje: Heurystyka heurystyka jest metodą analizy pozwalającą wykrywać szkodliwe programy. Jego główną zaletą jest to, że umożliwia wykrywanie szkodliwego oprogramowania, które w chwili pobierania ostatniej aktualizacji bazy danych sygnatur wirusów jeszcze nie istniało lub nie było znane. Wadą może być ryzyko (niewielkie) wystąpienia tzw. fałszywych alarmów. Zaawansowana heurystyka/dna/inteligentne sygnatury zaawansowana heurystyka jest oparta na unikatowym algorytmie heurystycznym opracowanym przez firmę ESET. Został on napisany w językach programowania wysokiego poziomu i zoptymalizowany pod kątem wykrywania robaków i koni trojańskich. Zaawansowana heurystyka znacznie zwiększa możliwości programu w zakresie wykrywania nowych, nieznanych jeszcze zagrożeń. Sygnatury pozwalają niezawodnie wykrywać i identyfikować wirusy. Dzięki systemowi automatycznej aktualizacji nowe sygnatury są udostępniane w ciągu kilku godzin od stwierdzenia zagrożenia. Wadą sygnatur jest to, że pozwalają wykrywać tylko znane wirusy (lub ich nieznacznie zmodyfikowane wersje). Potencj alnie niepożądane aplikacj e niekoniecznie były świadomie projektowane w złych intencjach, ale mogą negatywnie wpływać na wydajność komputera. Zainstalowanie takiej aplikacji zazwyczaj wymaga zgody użytkownika. Po zainstalowaniu programu z tej kategorii zachowanie systemu jest inne niż przed instalacją. Najbardziej mogą się rzucać w oczy następujące zmiany: niewyświetlane wcześniej okna (okna wyskakujące, reklamy); aktywacja i uruchamianie ukrytych procesów; zwiększone wykorzystanie zasobów systemowych; zmiany w wynikach wyszukiwania; łączenie się aplikacji z serwerami zdalnymi. Potencj alnie niebezpieczne aplikacj e do aplikacji potencjalnie niebezpiecznych zaliczane są niektóre legalne programy komercyjne. Są to między innymi narzędzia do dostępu zdalnego, programy do łamania haseł i programy rejestrujące naciśnięcia klawiszy. Domyślnie opcja ta jest wyłączona. Technologia ESET Live Grid dzięki wykorzystującej reputację technologii firmy ESET informacje o skanowanych plikach są sprawdzane przy użyciu danych pochodzących z działającego w chmurze systemu ESET Live Grid w celu zwiększenia wykrywalności zagrożeń i przyspieszenia skanowania. 35

36 Leczenie Ustawienia leczenia określają sposób działania skanera w stosunku do zainfekowanych plików. Istnieją 3 poziomy leczenia: Brak leczenia Zainfekowane pliki nie będą automatycznie leczone. Wyświetlane jest okno z ostrzeżeniem, a użytkownik może wybrać czynność do wykonania. Ten poziom jest przeznaczony dla bardziej zaawansowanych użytkowników, którzy wiedzą, jakie czynności należy wykonać w razie wystąpienia infekcji. Leczenie standardowe program próbuje automatycznie wyleczyć lub usunąć zarażony plik zgodnie ze wstępnie zdefiniowaną czynnością (zależnie od typu infekcji). O wykryciu i usunięciu zainfekowanego pliku informuje komunikat wyświetlany w prawym dolnym rogu ekranu. Jeśli automatyczne wybranie właściwej czynności nie będzie możliwe, w programie zostaną przedstawione dostępne opcje. Aplikacja zadziała tak samo także wtedy, gdy nie będzie możliwe wykonanie wstępnie zdefiniowanej czynności. Leczenie dokładne Program leczy lub usuwa wszystkie zarażone pliki. Jedyny wyjątek stanowią pliki systemowe. Jeśli ich wyleczenie nie jest możliwe, użytkownik jest monitowany o wybranie odpowiedniej czynności w oknie z ostrzeżeniem. Ostrzeżenie: Jeśli archiwum zawiera zarażone pliki, problem można rozwiązać na dwa sposoby. W trybie standardowym (Leczenie standardowe) usunięcie całego archiwum nastąpi w sytuacji, gdy będą zarażone wszystkie znajdujące się w nim pliki. W trybie Leczenie dokładne całe archiwum zostanie usunięte po wykryciu pierwszego zarażonego pliku, niezależnie od stanu pozostałych plików w tym archiwum Rozszerzenie Rozszerzenie jest częścią nazwy pliku oddzieloną kropką. Określa ono typ i zawartość pliku. Ta sekcja ustawień parametrów technologii ThreatSense umożliwia określanie typów plików, które mają być skanowane. Domyślnie skanowane są wszystkie pliki niezależnie od rozszerzenia. Do listy plików wyłączonych ze skanowania można dodać dowolne rozszerzenie. Po usunięciu zaznaczenia pola wyboru Skanuj wszystkie pliki na liście są widoczne wszystkie aktualnie skanowane rozszerzenia plików. Aby włączyć skanowanie plików bez rozszerzenia, należy zaznaczyć opcję Skanuj pliki bez rozszerzeń. Opcja Nie skanuj plików bez rozszerzeń staje się dostępna po włączeniu opcji Skanuj wszystkie pliki. Wykluczenie plików jest czasami konieczne, jeśli skanowanie pewnych typów plików uniemożliwia prawidłowe działanie programu, który z nich korzysta. Na przykład podczas używania serwerów programu Microsoft Exchange może być wskazane wyłączenie rozszerzeń EDB, EML i TMP. Przy użyciu przycisków Dodaj i Usuń można włączyć lub wyłączyć skanowanie plików o konkretnych rozszerzeniach. Wpisanie rozszerzenia w polu Rozszerzenie powoduje uaktywnienie przycisku Dodaj, za którego pomocą można dodać nowe rozszerzenie do listy. Aby usunąć wybrane rozszerzenie z listy, należy je zaznaczyć, a następnie kliknąć przycisk Usuń. Można używać symboli specjalnych: * (gwiazdka) oraz? (znak zapytania). Gwiazdka zastępuje dowolny ciąg znaków, a znak zapytania zastępuje dowolny symbol. Szczególną ostrożność należy zachować podczas określania rozszerzeń 36

37 wyłączonych, ponieważ ich lista powinna zawierać jedynie rozszerzenia, które nie są infekowane. Ponadto należy sprawdzić, czy symbole * oraz? są na tej liście stosowane prawidłowo. Aby skanowane były tylko pliki o rozszerzeniach zawartych w domyślnym zbiorze rozszerzeń, należy kliknąć przycisk Domyślne i po wyświetleniu monitu potwierdzić wybór, klikając przycisk Tak Limity W sekcji Limity można określić maksymalny rozmiar obiektów i poziomy zagnieżdżonych archiwów, które mają być skanowane: Maksymalny rozmiar obiektu określa maksymalny rozmiar obiektów do skanowania. Dany moduł antywirusowy będzie skanować tylko obiekty o rozmiarze mniejszym niż określony. Ta opcja powinna być modyfikowana tylko przez zaawansowanych użytkowników, którzy mają określone powody do wyłączenia większych obiektów ze skanowania. Wartość domyślna: bez limitu. Maksymalny czas skanowania dla obiektu (w sek.) określa maksymalny czas skanowania obiektu. W przypadku wprowadzenia wartości zdefiniowanej przez użytkownika moduł antywirusowy zatrzyma skanowanie obiektu po upływie danego czasu, niezależnie od tego, czy skanowanie zostało ukończone. Wartość domyślna: bez limitu. Poziom zagnieżdżania archiwów określa maksymalną głębokość skanowania archiwów. Wartość domyślna: 10. Maksymalny rozmiar pliku w archiwum ta opcja pozwala określić maksymalny rozmiar plików, które mają być skanowane w rozpakowywanych archiwach. Wartość domyślna: bez limitu. Jeśli skanowanie archiwum zostanie z tego powodu przedwcześnie zakończone, archiwum pozostanie niesprawdzone. Uwaga: Nie zalecamy modyfikowania wartości domyślnych. W zwykłych warunkach nie ma potrzeby ich zmieniać Inne W sekcji Inne można skonfigurować następujące opcje: Zapisuj w dzienniku informacj e o wszystkich obiektach wybranie tej opcji powoduje, że w pliku dziennika są zapisywane informacje o wszystkich skanowanych plikach, nawet tych niezainfekowanych. Jeśli na przykład infekcja zostanie znaleziona w archiwum, w dzienniku zostaną uwzględnione również pliki niezainfekowane zawarte w tym archiwum. Włącz inteligentną optymalizacj ę po włączeniu funkcji Inteligentna optymalizacja używane są optymalne ustawienia, które zapewniają połączenie maksymalnej skuteczności z największą szybkością skanowania. Poszczególne moduły ochrony działają w sposób inteligentny, stosując różne metody skanowania w przypadku różnych typów plików. Jeśli funkcja inteligentnej optymalizacji jest wyłączona, podczas skanowania są stosowane jedynie określone przez użytkownika dla poszczególnych modułów ustawienia technologii ThreatSense. Podczas konfigurowania ustawień parametrów technologii ThreatSense dotyczących skanowania komputera dostępne są również następujące opcje: Skanuj alternatywne strumienie danych (ADS) alternatywne strumienie danych używane w systemie plików NTFS to skojarzenia plików i folderów, których nie można sprawdzić za pomocą standardowych technik skanowania. Wiele wirusów stara się uniknąć wykrycia, udając alternatywne strumienie danych. Uruchom skanowanie w tle z niskim priorytetem każde skanowanie wymaga użycia pewnej ilości zasobów systemowych. W przypadku używania programów, które wymagają dużej ilości zasobów systemowych, można uruchomić skanowanie z niskim priorytetem w tle, oszczędzając zasoby dla innych aplikacji. Zachowaj znacznik czasowy ostatniego dostępu wybranie tej opcji pozwala zachować oryginalny znacznik czasowy dostępu do plików zamiast przeprowadzania ich aktualizacji (np. na potrzeby systemów wykonywania kopii zapasowych danych). Przewij aj dziennik skanowania ta opcja umożliwia włączenie lub wyłączenie przewijania dziennika. Po jej zaznaczeniu informacje wyświetlane w oknie są przewijane w górę. 37

38 Wykrycie infekcj i System może zostać zainfekowany z różnych źródeł, takich jak strony internetowe, foldery udostępnione, poczta lub urządzenia wymienne (USB, dyski zewnętrzne, dyski CD i DVD, dyskietki itp.). Działanie standardowe Ogólnym przykładem sposobu działania programu ESET Endpoint Security w momencie infekcji jest ich wykrywanie za pomocą funkcji Ochrona systemu plików w czasie rzeczywistym Ochrona dostępu do stron internetowych, Ochrona programów poczty lub Skanowanie komputera na żądanie Każda z tych funkcji stosuje poziom leczenia standardowego, próbując wyleczyć plik i przenieść go do folderu Kwarantanna lub przerywając połączenie. Okno powiadomień jest wyświetlane w obszarze powiadomień w prawym dolnym rogu ekranu. Więcej informacji dotyczących poziomów leczenia i sposobów działania można znaleźć w sekcji Leczenie. Leczenie i usuwanie Jeżeli nie określono wstępnie czynności do wykonania przez moduł ochrony plików w czasie rzeczywistym, pojawi się okno alertu z monitem o wybranie opcji. Zazwyczaj dostępne są opcje Wylecz, Usuń i Brak czynności. Nie zaleca się wyboru opcji Brak czynności, ponieważ pozostawia to zainfekowane pliki niewyleczone. Wyjątek stanowi sytuacja, w której użytkownik ma pewność, że plik jest nieszkodliwy i został wykryty błędnie. Leczenie należy stosować w przypadku zainfekowanego pliku, do którego wirus dołączył szkodliwy kod. W takiej sytuacji należy najpierw podjąć próbę wyleczenia zainfekowanego pliku w celu przywrócenia go do stanu pierwotnego. Jeśli plik zawiera wyłącznie szkodliwy kod, jest usuwany w całości. 38

39 Jeśli zainfekowany plik jest zablokowany lub używany przez proces systemowy, jest zazwyczaj usuwany po odblokowaniu (zwykle po ponownym uruchomieniu systemu). Usuwanie plików w archiwach W domyślnym trybie leczenia całe archiwum jest usuwane tylko wtedy, gdy zawiera wyłącznie zarażone pliki i nie ma w nim żadnych niezarażonych plików. Oznacza to, że archiwa nie są usuwane, jeśli zawierają również nieszkodliwe, niezainfekowane pliki. Należy zachować ostrożność podczas skanowania w trybie leczenia dokładnego, ponieważ w tym trybie każde archiwum zawierające co najmniej jeden zainfekowany plik jest usuwane bez względu na stan pozostałych zawartych w nim plików. Jeśli komputer wykazuje objawy zainfekowania szkodliwym oprogramowaniem, na przykład działa wolniej lub często przestaje odpowiadać, zalecane jest wykonanie następujących czynności: Uruchom program ESET Endpoint Security i kliknij opcję Skanowanie komputera. Kliknij przycisk Skanowanie inteligentne (więcej informacji można znaleźć w sekcji Skanowanie inteligentne). Po zakończeniu skanowania przejrzyj dziennik, aby sprawdzić liczbę przeskanowanych, zainfekowanych i wyleczonych plików. Aby przeskanować tylko określoną część dysku, kliknij opcję Skanowanie niestandardowe i wybierz obiekty, które mają zostać przeskanowane w poszukiwaniu wirusów Nośniki wymienne Program ESET Endpoint Security udostępnia funkcję automatycznego skanowania nośników wymiennych (CD, DVD, USB i innych). Ten moduł pozwala na skanowanie włożonego nośnika. Dzięki temu administrator komputera może uniemożliwić użytkownikom korzystanie z nośników wymiennych z niepożądaną zawartością. Czynność wykonywana po podłączeniu urządzenia zewnętrznego umożliwia wybór domyślnej czynności, która zostanie wykonana po włożeniu nośnika wymiennego (CD/DVD/USB) do komputera. Jeśli jest wybrana opcja Pokaż opcj e skanowania, wyświetlone zostanie okno z powiadomieniem umożliwiające wybranie czynności: Skanuj teraz włożony nośnik wymienny zostanie poddany skanowaniu na żądanie. Skanuj później nie zostaną wykonane żadne czynności, a okno Podłączono nowe urządzenie zostanie zamknięte. Ustawienia powoduje otwarcie sekcji ustawień dotyczącej nośników wymiennych. Ponadto program ESET Endpoint Security oferuje funkcje kontroli dostępu do urządzeń obejmujące możliwość definiowania reguł dotyczących użycia urządzeń zewnętrznych na danym komputerze. Więcej szczegółowych informacji dotyczących funkcji Kontrola dostępu do urządzeń można znaleźć w sekcji Kontrola dostępu do urządzeń. 39

40 4.1.3 Kontrola dostępu do urządzeń Program ESET Endpoint Security udostępnia funkcje automatycznej kontroli korzystania z urządzeń (CD, DVD, USB i innych). Przy użyciu tego modułu można skanować, blokować i dostosowywać rozszerzone filtry i uprawnienia oraz określać poziom dostępu do danego urządzenia i pracy z nim. Dzięki temu administrator komputera może uniemożliwić użytkownikom korzystanie z urządzeń z niepożądaną zawartością. Obsługiwane urządzenia zewnętrzne Płyty CD/DVD/Blu-ray Pamięć masowa USB Urządzenie FireWire Urządzenie do tworzenia obrazów Drukarka USB Bluetooth Czytnik kart Modem Port LPT/COM Opcje ustawień kontroli dostępu do urządzeń można modyfikować w oknie Ustawienia zaawansowane (F5) > Kontrola dostępu do urządzeń. Opcja Integracj a z systemem integruje funkcję kontroli dostępu do urządzeń z programem ESET Endpoint Security i aktywuje przycisk Konfiguruj reguły, który umożliwia dostęp do okna Edytor reguł kontroli dostępu do urządzeń. Jeśli podłączone urządzenie zewnętrzne stosuje istniejącą regułę, która wykonuje czynność Blokuj, w prawym dolnym rogu zostanie wyświetlone okno powiadomienia i dostęp do urządzenia nie zostanie udzielony Reguły kontroli dostępu do urządzeń W oknie Edytor reguł kontroli dostępu do urządzeń są wyświetlane istniejące reguły. Umożliwia ono również dokładną kontrolę urządzeń zewnętrznych podłączanych przez użytkowników do komputera. Można dopuszczać lub blokować określone urządzenia dla danych użytkowników lub grup użytkowników w oparciu o dodatkowe parametry urządzeń określane w konfiguracji reguł. Lista reguł zawiera pewne informacje o regułach, takie jak nazwa, typ urządzenia zewnętrznego, czynność wykonywana po jego podłączeniu do komputera i stopień ważności w dzienniku. Aby zarządzać regułą, kliknij przycisk Nowa lub Zmień. Kliknij przycisk Kopiuj, aby utworzyć nową regułę ze zdefiniowanymi wstępnie opcjami pochodzącymi z innej wybranej reguły. Ciągi XML wyświetlane po kliknięciu danej reguły można kopiować do schowka, aby pomóc administratorom systemu w eksportowaniu/importowaniu tych danych oraz ich stosowaniu, np. w programie ESET Remote Administrator. Klikając z naciśniętym klawiszem CTRL, można wybrać wiele reguł, i wykonywać czynności na wszystkich jednocześnie, 40

41 np. usuwanie albo przenoszenie w górę lub w dół listy. Pole wyboru Włączone pozwala wyłączać i włączać regułę. Jest to użyteczne, gdy użytkownik nie chce trwale usunąć danej reguły, ponieważ może zajść potrzeba zastosowania jej w przyszłości. Sprawdzanie odbywa się według reguł posortowanych według priorytetu, przy czym ważniejsze reguły umieszczone są na górze. Kliknięcie reguły prawym przyciskiem myszy powoduje wyświetlenie menu kontekstowego. W tym miejscu można ustawić poziom szczegółowości wpisów dziennika dla reguły. Wpisy dziennika można wyświetlać w oknie głównym programu ESET Endpoint Security po wybraniu kolejno opcji Narzędzia > Pliki dziennika Dodawanie reguł kontroli dostępu do urządzeń Reguła kontroli dostępu do urządzeń definiuje czynność podejmowaną w chwili, gdy urządzenie spełniające kryteria reguły zostanie podłączone do komputera. W polu Nazwa należy wprowadzić opis reguły w celu jej lepszej identyfikacji. Zaznaczanie pola wyboru obok pozycji Włączone pozwala wyłączać i włączać regułę. Jest to użyteczne, gdy użytkownik nie chce trwale usuwać danej reguły. Typ urządzenia Z menu rozwijanego należy wybrać typ urządzenia zewnętrznego (USB, Bluetooth, FireWire itp.). Typy urządzeń są dziedziczone z systemu operacyjnego i jeśli urządzenie jest podłączone do komputera, można je zobaczyć w systemowym Menedżerze urządzeń. Typ urządzenia Optyczna pamięć masowa w menu rozwijanym odnosi się do przechowywania danych na nośniku, który można odczytać w napędzie optycznym (np. płyty CD i DVD). Do urządzeń magazynujących zalicza się dyski zewnętrzne oraz konwencjonalne czytniki kart pamięci podłączone za pomocą złącza USB lub FireWire. Przykładami urządzeń do tworzenia obrazów są skanery i aparaty fotograficzne. Czytniki kart inteligentnych obejmują czytniki kart z wbudowanym układem scalonym, takich jak karty SIM lub karty uwierzytelniające. Uprawnienia Można zezwalać na dostęp do urządzeń innych niż magazynujące lub go blokować. Reguły dotyczące urządzeń magazynujących umożliwiają natomiast wybór jednego z poniższych uprawnień: Blokuj dostęp do urządzenia zostanie zablokowany. Tylko do odczytu dozwolony będzie tylko odczyt z urządzenia. Odczyt/zapis dozwolony będzie pełny dostęp do urządzenia. Należy zwrócić uwagę, że nie wszystkie prawa (czynności) są dostępne dla każdego typu urządzenia. Jeśli urządzenie jest wyposażone w przestrzeń do magazynowania, dostępne są wszystkie trzy czynności. W przypadku urządzeń innych niż magazynujące istnieją tylko dwie (np. czynność Tylko do odczytu nie jest dostępna dla urządzenia 41

42 Bluetooth, co oznacza, że takie urządzenie może być po prostu dopuszczone lub zablokowane). Inne parametry, które można wykorzystać do dostrojenia reguł i dopasowania ich do określonych urządzeń. W parametrach nie jest rozróżniana wielkość liter: Dostawca filtrowanie według nazwy lub identyfikatora dostawcy. Model nazwa urządzenia. Numer seryj ny urządzenia zewnętrzne mają zwykle swoje własne numery seryjne. W przypadku płyt CD/DVD jest to numer seryjny danej płyty, a nie napędu optycznego. Uwaga: Jeśli powyższe trzy parametry są puste, pola te zostaną zignorowane przez regułę podczas sprawdzania zgodności. Wskazówka: Aby ustalić, jakie są parametry urządzenia, należy utworzyć regułę zezwalającą dla odpowiednich typów urządzeń, podłączyć urządzenie do komputera, a następnie sprawdzić szczegóły urządzenia w oknie Dziennik kontrolny urządzenia. Reguły mogą być ograniczane do pewnych użytkowników lub grup użytkowników znajdujących się na liście Lista użytkowników: Dodaj otwiera okno dialogowe Typ obiektu: użytkownicy lub grupy, w którym można wybrać użytkowników. Usuń usuwa wybranego użytkownika z filtru System zapobiegania włamaniom działaj ący na hoście (Host-based Intrusion Prevention System, HIPS) System zapobiegania włamaniom działaj ący na hoście (ang. Host-based Intrusion Prevention System, HIPS) chroni system operacyjny przed szkodliwym oprogramowaniem i niepożądanymi działaniami mającymi na celu wywarcie negatywnego wpływu na komputer użytkownika. W rozwiązaniu tym używana jest zaawansowana analiza behawioralna powiązana z metodami wykrywania stosowanymi w filtrze sieciowym. Dzięki temu system HIPS monitoruje uruchomione procesy, pliki i klucze rejestru, aktywnie blokując niechciane działania i zapobiegając im. Ustawienia systemu HIPS można znaleźć w oknie Ustawienia zaawansowane (F5) po kliknięciu gałęzi Komputer > System HIPS. Stan systemu HIPS (włączony/wyłączony) jest widoczny w oknie głównym programu ESET Endpoint Security, w okienku Ustawienia po prawej stronie sekcji Komputer. Ostrzeżenie: Zmiany w ustawieniach systemu HIPS powinni wprowadzać jedynie doświadczeni użytkownicy. Program ESET Endpoint Security ma wbudowaną technologię Self-defense, która zapobiega uszkodzeniu lub wyłączeniu ochrony antywirusowej i antyspyware przez szkodliwe oprogramowanie, co daje pewność, że komputer jest chroniony w sposób nieprzerwany. Zmiany ustawień Włącz system HIPS i Włącz technologię Self-defense odnoszą skutek dopiero po ponownym uruchomieniu systemu Windows. Wyłączenie całego systemu HIPS będzie również wymagać ponownego uruchomienia komputera. Filtrowanie może działać w jednym z czterech trybów: Tryb automatyczny z regułami dozwolone są wszystkie operacje z wyjątkiem objętych wstępnie skonfigurowanymi regułami chroniącymi komputer. Tryb interaktywny użytkownik jest monitowany o potwierdzenie operacji. Tryb oparty na regułach operacje są blokowane. Tryb uczenia się operacje są dozwolone, a po każdej operacji jest tworzona reguła. Reguły utworzone w tym trybie można przeglądać w oknie Edytor reguł. Mają one niższy priorytet niż reguły utworzone ręcznie i utworzone w trybie automatycznym. Po wybraniu opcji Tryb uczenia się aktywna staje się opcja Powiadom o utracie ważności trybu uczenia się w ciągu X dni. Po upłynięciu tego okresu tryb uczenia się będzie ponownie wyłączony. Maksymalna długość okresu to 14 dni. Po tym czasie zostanie otwarte okno, w którym można będzie edytować reguły i wybrać inny tryb filtrowania. System HIPS monitoruje zdarzenia w systemie operacyjnym i reaguje na nie na podstawie reguł podobnych do reguł używanych przez zaporę osobistą. Kliknięcie przycisku Konfiguruj reguły powoduje otwarcie okna zarządzania regułami systemu HIPS zawierającego reguły, które można tam zaznaczać, tworzyć, edytować i usuwać. W poniższym przykładzie pokazano, jak ograniczyć niepożądane działania aplikacji: 42

43 1. Nadaj nazwę regule i w menu rozwijanym Czynność wybierz polecenie Blokuj. 2. Otwórz kartę Aplikacj e docelowe. Kartę Aplikacj e źródłowe pozostaw pustą, aby zastosować nową regułę do wszystkich aplikacji próbujących wykonać dowolną z operacji zaznaczonych na liście Operacj e na aplikacjach z listy Dotyczy tych aplikacj i. 3. Wybierz opcję Zmodyfikuj stan innej aplikacj i (wszystkie operacje opisano w pomocy programu; naciśnij klawisz F1 w oknie wyglądającym identycznie jak na poniższym obrazie). 4. Dodaj jedną lub więcej aplikacji, które chcesz chronić. 5. Włącz opcję Powiadom użytkownika w celu wyświetlania powiadomienia dla użytkownika za każdym razem, gdy jest stosowana reguła. 6. Kliknij przycisk OK, aby zapisać nową regułę. Jeśli jako domyślne działanie wybrano Pytaj, za każdym razem wyświetlane będzie okno dialogowe. Użytkownik może w nim wybrać opcję Odmów lub Zezwól jako reakcję na daną operację. Jeśli użytkownik nie wybierze żadnej opcji przed upływem ustalonego czasu, nowa reakcja zostanie wybrana na podstawie reguł. 43

44 W oknie dialogowym można utworzyć regułę na podstawie działania, które spowodowało jego otwarcie, oraz jego warunków. Dokładne parametry można ustawić po kliknięciu przycisku Pokaż opcj e zaawansowane. Utworzone w ten sposób reguły są traktowane tak samo, jak reguły utworzone ręcznie. Dlatego reguła utworzona z poziomu tego okna dialogowego może być ogólniejsza niż reguła, która spowodowała otwarcie okna. Oznacza to, że po utworzeniu takiej reguły ta sama operacja może spowodować otwarcie tego samego okna. Zaznaczenie opcji Tymczasowo zapamiętaj czynność dla tego procesu spowoduje, że działanie (Zezwól lub Odmów ) dotyczące tego procesu zostanie zapisane i będzie stosowane zawsze, gdy ta operacja spowoduje otwarcie okna dialogowego. Te ustawienia są jedynie tymczasowe. Po zmianie reguł lub trybu filtrowania, aktualizacji modułu HIPS lub ponownym uruchomieniu systemu zostaną one usunięte. 4.2 Sieć Zapora osobista kontroluje cały przychodzący i wychodzący ruch sieciowy komputera. Jej działanie polega na zezwalaniu na pojedyncze połączenia sieciowe lub ich odmawianiu w oparciu o określone reguły filtrowania. Zapora zapewnia ochronę przed atakami z komputerów zdalnych i umożliwia blokowanie niektórych usług. Oferuje również ochronę antywirusową protokołów HTTP, POP3 oraz IMAP. Ta funkcjonalność stanowi bardzo istotny element zabezpieczeń komputera. Aby przejść do konfiguracji zapory osobistej, należy otworzyć panel Ustawienia i kliknąć tytuł Sieć. W wyświetlonym oknie można zmienić tryb filtrowania, reguły i ustawienia szczegółowe. Z jego poziomu można też uzyskać dostęp do bardziej szczegółowych ustawień programu. Jedynym sposobem całkowitego zablokowania wszelkiego ruchu sieciowego jest użycie opcji Blokuj cały ruch sieciowy: odłącz sieć. Wszystkie połączenia przychodzące i wychodzące będą blokowane przez zaporę osobistą. Tej opcji należy używać tylko w przypadku podejrzenia krytycznych zagrożeń bezpieczeństwa, które wymagają odłączenia systemu od sieci. Opcja Wyłącz filtrowanie: zezwól na cały ruch to przeciwieństwo blokowania całego ruchu sieciowego. Wybranie tej opcji oznacza wyłączenie filtrowania przez zaporę osobistą i zezwolenie na wszystkie połączenia przychodzące i wychodzące. Efekt jest taki sam jak w przypadku braku zapory. Gdy stan filtrowania ruchu sieciowego to Blokowanie, opcja Przełącz w tryb filtrowania umożliwia włączenie zapory. 44

45 Gdy włączony jest tryb filtrowania automatycznego, dostępne są następujące opcje: Tryb filtrowania automatycznego w celu zmiany trybu filtrowania należy kliknąć opcję Przełącz w tryb filtrowania interaktywnego. Ustawienia strefy powoduje wyświetlenie opcji konfiguracyjnych strefy zaufanej. Gdy włączony jest tryb filtrowania interaktywnego, dostępne są następujące opcje: Tryb filtrowania interaktywnego w celu zmiany trybu filtrowania należy w zależności od bieżącego trybu filtrowania kliknąć opcję Przełącz w tryb filtrowania automatycznego albo Przełącz w tryb filtrowania automatycznego z wyj ątkami. Konfiguruj reguły i strefy otwiera okno Ustawienia stref i reguł, w którym można skonfigurować zarządzanie ruchem sieciowym przez zaporę. Zmień tryb ochrony komputera w sieci umożliwia przełączanie między trybem ochrony dokładnej a trybem zezwalania na udostępnianie. Ustawienia zaawansowane zapory osobistej zapewnia dostęp do zaawansowanych ustawień zapory Tryby filtrowania Zapora osobista w programie ESET Endpoint Security udostępnia pięć trybów filtrowania. Można je znaleźć w oknie Ustawienia zaawansowane (klawisz F5), klikając kolejno opcje Sieć > Zapora osobista. Zachowanie zapory zmienia się w zależności od wybranego trybu. Tryby filtrowania mają również wpływ na wymagany poziom interakcji użytkownika. Filtrowanie może być wykonywane w jednym z pięciu trybów: Tryb automatyczny jest trybem domyślnym. Ten tryb jest odpowiedni dla użytkowników preferujących prostą i wygodną obsługę zapory bez potrzeby definiowania reguł. Tryb automatyczny zezwala na cały ruch wychodzący danego systemu i blokuje wszystkie nowe połączenia inicjowane ze strony sieci. Tryb automatyczny z wyj ątkami (reguły zdefiniowane przez użytkownika) umożliwia dodawanie niestandardowych reguł zdefiniowanych przez użytkownika, które uzupełniają tryb automatyczny. Tryb interaktywny umożliwia tworzenie niestandardowej konfiguracji zapory osobistej. Po wykryciu połączenia, którego nie dotyczą żadne istniejące reguły, zostanie wyświetlone okno dialogowe informujące o nieznanym połączeniu. Okno to umożliwia zezwolenie na komunikację lub jej odmowę, a podjęta decyzja może zostać zapamiętana jako nowa reguła zapory osobistej. Jeśli użytkownik zdecyduje się na utworzenie nowej reguły, wszystkie przyszłe połączenia danego typu będą dozwolone lub blokowane zgodnie z tą regułą. Tryb oparty na regułach blokuje wszystkie połączenia nieokreślone przez odpowiednią regułę jako dozwolone. Ten tryb pozwala zaawansowanym użytkownikom na definiowanie reguł, które zezwalają jedynie na pożądane i bezpieczne połączenia. Pozostałe nieokreślone połączenia będą blokowane przez zaporę osobistą. Tryb uczenia się automatycznie tworzy oraz zapisuje reguły. Ten tryb jest odpowiedni do początkowej konfiguracji zapory osobistej. Interakcja ze strony użytkownika nie jest wymagana, ponieważ program ESET Endpoint Security zapisuje reguły zgodnie ze wstępnie zdefiniowanymi parametrami. Tryb uczenia się nie jest bezpieczny i powinien być używany tylko, dopóki nie zostaną utworzone wszystkie reguły dla niezbędnych połączeń. 45

46 Profile umożliwiają sterowanie działaniem zapory osobistej programu ESET Endpoint Security Profile zapory Profile umożliwiają sterowanie działaniem zapory osobistej programu ESET Endpoint Security. Podczas tworzenia lub edytowania reguły zapory osobistej można przypisać tę regułę do określonego profilu lub zastosować ją we wszystkich profilach. Po wybraniu profilu są stosowane tylko reguły globalne (reguły dla których nie określono profilu) oraz reguły przypisane do wybranego profilu. W celu łatwego modyfikowania działania zapory osobistej można tworzyć wiele profili z różnymi przypisanymi regułami. Kliknięcie przycisku Profile (patrz rysunek w sekcji Tryby filtrowania), powoduje otwarcie okna Profile zapory zawierającego przyciski Dodaj, Edytuj i Usuń. Aby można było użyć opcji Edytuj lub Usuń w stosunku do profilu, nie może on być zaznaczony w menu rozwijanym Wybrany profil. Podczas dodawania lub edytowania profilu można także zdefiniować warunki jego wywołania. Podczas tworzenia profilu można wybrać zdarzenia, które spowodują wywołanie tego profilu. Dostępne są następujące opcje: Nie przełączaj automatycznie wyzwalanie automatyczne jest wyłączone (profil musi być aktywowany ręcznie). Gdy automatyczny profil zostanie uznany za nieprawidłowy i żaden inny profil nie zostanie automatycznie aktywowany (profil domyślny) zapora osobista włączy ten profil, gdy automatyczny profil zostanie uznany za nieprawidłowy (tzn. jeśli komputer jest połączony z niezaufaną siecią, patrz sekcja Uwierzytelnianie sieci), a w jego miejsce nie jest aktywowany inny profil (komputer nie jest połączony z inną zaufaną siecią). Z tego wywołania może 46

47 korzystać tylko jeden profil. Jeśli ta strefa została uwierzytelniona profil zostanie wywołany, gdy określona strefa jest uwierzytelniona (patrz sekcja Uwierzytelnianie sieci). Kiedy zapora osobista zostanie przełączona do innego profilu, w prawym dolnym rogu ekranu, tuż obok zegara systemowego, zostanie wyświetlone powiadomienie Konfigurowanie i używanie reguł Reguły stanowią zestaw warunków używanych do odpowiedniego testowania wszystkich połączeń sieciowych i wszystkich działań przypisanych do tych warunków. W zaporze osobistej można zdefiniować działanie, które jest podejmowane w przypadku, gdy zostanie nawiązane połączenie określone przez regułę. Aby uzyskać dostęp do ustawień filtrowania reguł, należy wybrać kolejno opcje Ustawienia zaawansowane (F5) > Sieć > Zapora osobista > Reguły i strefy. Aby wyświetlić okno ustawień strefy zaufanej, należy w sekcji Strefa zaufana kliknąć przycisk Ustawienia. Opcja Nie wyświetlaj okna dialogowego z ustawieniami strefy zaufanej... umożliwia wyłączenie wyświetlania okna dialogowego z ustawieniami strefy zaufanej po każdym wykryciu nowej podsieci. W takim przypadku automatycznie stosowana jest bieżąca konfiguracja strefy. UWAGA: Jeśli w zaporze osobistej włączony jest Tryb automatyczny, niektóre ustawienia są niedostępne. Kliknięcie przycisku Ustawienia w sekcji Edytor stref i reguł powoduje wyświetlenie okna Ustawienia stref i reguł, w którym znajduje się przegląd reguł lub stref (w zależności od wybranej aktualnie karty). Okno jest podzielone na dwie sekcje. W sekcji górnej znajduje się lista wszystkich reguł w widoku skróconym. W sekcji dolnej są wyświetlone szczegóły dotyczące reguły aktualnie wybranej w sekcji górnej. U dołu okna znajdują się przyciski Nowa, Edytuj oraz Usuń (Del), które służą do konfigurowania reguł. Połączenia można podzielić na przychodzące i wychodzące. Połączenia przychodzące są inicjowane przez komputer 47

48 zdalny, który stara się nawiązać połączenie z systemem lokalnym. Połączenia wychodzące działają w sposób odwrotny system lokalny kontaktuje się z komputerem zdalnym. W przypadku wykrycia nowego, nieznanego połączenia należy dokładnie rozważyć, czy zezwolić na to połączenie, czy odmówić. Niepożądane, niezabezpieczone lub nieznane połączenia stanowią zagrożenie dla bezpieczeństwa systemu. Gdy zostanie nawiązane takie połączenie, zalecamy zwrócenie szczególnej uwagi na komputer zdalny i aplikację, która próbuje połączyć się z komputerem użytkownika. Wiele ataków polega na próbie pozyskania i wysłania prywatnych danych lub pobraniu niebezpiecznych aplikacji na stacje robocze hosta. Zapora osobista umożliwia użytkownikowi wykrycie i przerwanie takich połączeń. Opcja Wyświetl informacj e o aplikacj i umożliwia zdefiniowanie sposobu wyświetlania aplikacji na liście reguł. Dostępne są następujące opcje: Pełna ścieżka pełna ścieżka dostępu do pliku wykonywalnego aplikacji. Opis opis aplikacji. Nazwa nazwa pliku wykonywalnego aplikacji. Należy wybrać, jakiego typu reguły będą wyświetlane na liście Wyświetlane reguły: Tylko reguły zdefiniowane przez użytkownika wyświetlane są tylko reguły zdefiniowane przez użytkownika. Reguły zdefiniowane wstępnie i przez użytkownika wyświetlane są wszystkie reguły zdefiniowane przez użytkownika oraz domyślne reguły zdefiniowane wstępnie. Wszystkie reguły (w tym systemowe) wyświetlane są wszystkie reguły Ustawienia reguł W sekcji Ustawienia reguł można obejrzeć wszystkie reguły stosowane względem ruchu generowanego przez poszczególne aplikacje w ramach stref zaufanych i Internetu. Domyślnie reguły są dodawane automatycznie, na podstawie reakcji użytkownika na próby nawiązywania nowych połączeń. Aby uzyskać więcej informacji na temat widocznej aplikacji w dolnej części tego okna, należy kliknąć jej nazwę. Na początku każdego wiersza danej reguły znajduje się przycisk, który pozwala zwiększyć (+) lub zmniejszyć (-) ilość wyświetlanych informacji. Aby wyświetlić w dolnej części okna informacje na temat reguły, należy kliknąć nazwę aplikacji w kolumnie Aplikacj a/reguła. Tryb wyświetlania można zmienić za pomocą menu kontekstowego. To menu może też służyć do dodawania, edytowania i usuwania reguł. Strefa zaufana przychodzące/wychodzące działania związane z komunikacją wychodzącą i przychodzącą w strefie zaufanej. Internet przychodzące/wychodzące działania związane z wychodzącą i przychodzącą komunikacją internetową. 48

49 Dla każdego typu (kierunku) komunikacji można wybrać następujące działania: Zezwól zezwolenie na komunikację. Zapytaj po każdym wykryciu próby nawiązania komunikacji użytkownik będzie monitowany o zezwolenie lub odmowę. Odmów odmowa zezwolenia na komunikację. Określone nie można sklasyfikować w odniesieniu do pozostałych czynności. Jeśli na przykład w ustawieniach zapory osobistej dozwolony jest dany adres IP lub port, nie można w sposób jednoznaczny określić, czy dozwolona jest komunikacja przychodząca lub wychodząca powiązanej aplikacji. Po zainstalowaniu nowej aplikacji, która łączy się z siecią, lub w przypadku modyfikacji istniejącego połączenia (strony zdalnej, numeru portu itp.) należy utworzyć nową regułę. Aby zmodyfikować istniejącą regułę, upewnij się, że jest wybrana karta Reguły, a następnie kliknij przycisk Edytuj Edytowanie reguł Modyfikacja jest wymagana wtedy, gdy jeden z monitorowanych parametrów ulegnie zmianie. W takiej sytuacji reguła nie spełnia warunków i nie można zastosować wybranej czynności. Po zmianie parametrów dane połączenie może zostać odrzucone, co może powodować problemy w działaniu określonej aplikacji. Przykładem może być zmiana adresu sieciowego lub numeru portu strony zdalnej. Górna część okna zawiera trzy karty: Ogólne umożliwia podanie nazwy reguły, kierunku połączenia, czynności, protokołu i profilu, w którym reguła ma być stosowana. Lokalne udostępnia informacje o lokalnej stronie połączenia: lokalny port lub zakres portów oraz nazwę aplikacji korzystającej z połączenia. Zdalny ta karta zawiera informacje o porcie zdalnym (zakresie portów). Pozwala ona również użytkownikowi na określenie listy zdalnych adresów IP lub stref dla danej reguły. Protokół określa używany w regule protokół transmisji. Kliknięcie przycisku Wybierz protokół powoduje otwarcie okna Wybór protokołu. Wszystkie reguły są domyślnie włączone dla każdego profilu. Zamiast tego można wybrać własny profil zapory po naciśnięciu przycisku Profile. Po kliknięciu opcji Zapisz w dzienniku wszelkie działania związane z regułą będą rejestrowane w dzienniku. Opcja Powiadom użytkownika powoduje wyświetlenie powiadomienia po zastosowaniu reguły. W polu informacyjnym u dołu każdej z trzech kart jest wyświetlane podsumowanie reguły. Te same informacje można wyświetlić przez kliknięcie reguły w oknie głównym należy kliknąć kolejno opcje Narzędzia > Połączenia sieciowe, a następnie kliknąć regułę prawym przyciskiem myszy i wybrać opcję Pokaż szczegóły (patrz rozdział Połączenia sieciowe ). Podczas tworzenia nowej reguły należy w polu Nazwa wprowadzić nazwę reguły. Kierunek, którego dotyczy reguła, 49

50 należy wybrać z menu rozwijanego Kierunek. Czynność wykonywaną, gdy połączenie spełnia regułę, należy wybrać z menu rozwijanego Czynność. Dobrym przykładem dodawania nowej reguły jest zezwolenie przeglądarce internetowej na dostęp do sieci. W tym wypadku należy wprowadzić następujące informacje: Na karcie Ogólne należy włączyć połączenia wychodzące korzystające z protokołów TCP i UDP. Na karcie Lokalne dodaj proces odpowiadający aplikacji przeglądarki (dla programu Internet Explorer jest to plik iexplore.exe). Na karcie Zdalne włącz port o numerze 80 tylko w sytuacji, gdy chcesz zezwolić na standardowe przeglądanie Internetu Konfigurowanie stref W oknie Ustawienia strefy można określić nazwę strefy, opis, listę adresów sieciowych oraz ustawienia uwierzytelniania strefy (patrz sekcja Uwierzytelnianie strefy konfiguracja klienta). Strefa to kolekcja adresów sieciowych tworzących jedną grupę logiczną. Każdemu adresowi w danej grupie przypisywane są podobne reguły, określone centralnie dla całej grupy. Jednym z przykładów takiej grupy jest strefa zaufana. Strefa zaufana to grupa adresów sieciowych uznanych za całkowicie godne zaufania, które nie są w żaden sposób blokowane przez zaporę osobistą. Strefy można konfigurować na karcie Strefy w oknie Ustawienia stref i reguł, klikając przycisk Edytuj. Dla strefy należy wypełnić pola Nazwa i Opis oraz kliknąć przycisk Dodaj adres IPv4/IPv6 w celu dodania zdalnego adresu IP Uwierzytelnianie sieci W przypadku komputerów przenośnych zaleca się weryfikowanie wiarygodności sieci, z którą jest nawiązywane połączenie. Strefa zaufana jest identyfikowana na podstawie lokalnego adresu IP karty sieciowej. Adresy IP komputerów przenośnych przyłączających się do sieci są często podobne do adresu sieci zaufanej. Jeśli ustawienia strefy zaufanej nie zostaną ręcznie przełączone na opcję Dokładna ochrona, zapora osobista będzie nadal pracować w trybie Zezwól na udostępnianie. Aby uniknąć takich sytuacji zaleca się korzystanie z funkcji uwierzytelniania strefy. 50

51 Uwierzytelnianie strefy konfiguracj a klienta W oknie Ustawienia stref i reguł kliknij kartę Strefy i utwórz nową strefę przy użyciu nazwy strefy uwierzytelnianej przez serwer. Następnie kliknij opcję Dodaj adres IPv4 i wybierz opcję Podsieć, aby dodać maskę podsieci, w której znajduje się serwer uwierzytelniania. Kliknij kartę Uwierzytelnianie strefy. Każda strefa może zostać skonfigurowana jako uwierzytelniana przez serwer. Strefa (jej adres IP i podsieć) zostanie uznana za prawidłową po pomyślnym uwierzytelnieniu takie czynności, jak przełączenie na odpowiedni profil zapory i dodanie adresu/podsieci strefy do strefy zaufanej zostaną wykonane dopiero po pomyślnym uwierzytelnieniu. Zaznacz opcję Adresy IP/podsieci w strefie zostaną uznane za prawidłowe, aby strefa została uznana za prawidłową. Jeśli uwierzytelnianie zakończy się niepowodzeniem, strefa zostanie uznana za nieprawidłową. Aby wybrać profil zapory osobistej, który ma być włączony po pomyślnym uwierzytelnieniu strefy, kliknij przycisk Profile. Po wybraniu opcji Dodaj adresy/podsieci strefy do strefy zaufanej (zalecane) adresy/podsieci strefy zostaną dodane do strefy zaufanej w przypadku pomyślnego uwierzytelnienia. Jeśli uwierzytelnianie zakończy się niepowodzeniem, adresy nie zostaną dodane do strefy zaufanej. Jeśli jest włączona opcja Automatycznie przełącz na profil o tej samej nazwie (zostanie utworzony nowy profil), po udanym uwierzytelnieniu zostanie utworzony nowy profil. Kliknij przycisk Profile, aby otworzyć okno Profile zapory. Dostępne są dwa typy uwierzytelniania: 1) Przy użyciu serwera uwierzytelniania ESET Moduł uwierzytelniania strefy wyszukuje określony serwer w sieci i korzysta z szyfrowania asymetrycznego (RSA) w celu uwierzytelnienia tego serwera. Proces uwierzytelniania jest powtarzany w przypadku każdej sieci, z którą łączy się komputer. Kliknij przycisk Ustawienia i podaj nazwę serwera, port nasłuchiwania serwera oraz klucz publiczny odpowiadający kluczowi prywatnemu serwera (patrz sekcja Uwierzytelnianie strefy konfiguracja serwera). Nazwa serwera może mieć formę adresu IP, nazwy DNS lub NetBios. Po nazwie serwera można umieścić ścieżkę wskazującą lokalizację klucza na serwerze (np. nazwa_serwera_/katalog1/katalog2/authentication). Wprowadź dane kilku serwerów (oddzielając je średnikami), które będą pełnić rolę serwerów alternatywnych używanych w przypadku niedostępności pierwszego serwera. Klucz publiczny może być dowolnym plikiem następującego typu: Zaszyfrowany klucz publiczny PEM (.pem) Ten klucz jest generowany przy użyciu serwera uwierzytelniania ESET (patrz sekcja Uwierzytelnianie strefy konfiguracja serwera). Zaszyfrowany klucz publiczny Certyfikat klucza publicznego (.crt) 51

52 Aby przetestować ustawienia, kliknij przycisk Testuj. Jeśli uwierzytelnianie zakończy się pomyślnie, zostanie wyświetlony komunikat Uwierzytelnianie serwera powiodło się. Jeśli uwierzytelnianie nie jest poprawnie skonfigurowane, zostanie wyświetlony jeden z następujących komunikatów o błędzie: Uwierzytelnianie serwera nie powiodło się. Przekroczono maksymalny czas uwierzytelniania. Serwer uwierzytelniania jest niedostępny. Sprawdź nazwę lub adres IP serwera i/lub sprawdź ustawienia zapory osobistej klienta oraz sekcję serwera. Wystąpił błąd podczas komunikacji z serwerem. Serwer uwierzytelniania nie jest uruchomiony. Uruchom usługę serwera uwierzytelniania (patrz sekcja Uwierzytelnianie strefy konfiguracja serwera). Nazwa strefy uwierzytelniania nie zgadza się ze strefą serwera. Nazwa skonfigurowanej strefy nie zgadza się ze strefą serwera uwierzytelniania. Sprawdź obie strefy i upewnij się, że ich nazwy są identyczne. Uwierzytelnianie serwera nie powiodło się. Nie znaleziono adresu serwera na liście adresów danej strefy. Adres IP komputera, na którym jest uruchomiony serwer uwierzytelniania, jest poza zakresem adresów IP bieżącej konfiguracji strefy. Uwierzytelnianie serwera nie powiodło się. Prawdopodobnie wprowadzono nieprawidłowy klucz publiczny. Sprawdź, czy wskazany klucz publiczny odpowiada kluczowi prywatnemu na serwerze. Sprawdź także, czy plik klucza publicznego nie jest uszkodzony. 2) Za pomocą konfiguracj i sieci lokalnej Do uwierzytelniania służą parametry karty sieciowej podłączonej do sieci lokalnej. Strefa zostanie uwierzytelniona, jeśli wszystkie wybrane parametry aktywnego połączenia są prawidłowe. 52

53 Uwierzytelnianie strefy konfiguracj a serwera Proces uwierzytelniania może zostać uruchomiony z dowolnego komputera lub serwera podłączonego do sieci, która ma zostać uwierzytelniona. Aplikacja serwera uwierzytelniania ESET musi być zainstalowana na komputerze lub serwerze, który będzie zawsze dostępny na potrzeby uwierzytelniania, gdy klient podejmie próbę połączenia się z siecią. Plik instalacyjny aplikacji serwera uwierzytelniania ESET jest dostępny do pobrania w witrynie firmy ESET. Po zainstalowaniu aplikacji ESET Authentication Server pojawi się okno dialogowe (dostęp do tej aplikacji można uzyskać, klikając kolejno pozycje Start > Programy > ESET > ESET Authentication Server). Aby skonfigurować serwer uwierzytelniania, należy wprowadzić nazwę strefy uwierzytelniania i port nasłuchu serwera (domyślnie: 80) oraz wskazać lokalizację, w której ma być przechowywana para kluczy (publiczny i prywatny). Następnie należy wygenerować klucz publiczny i prywatny, które będą używane w procesie uwierzytelniania. Klucz prywatny pozostanie na serwerze, a klucz publiczny należy zaimportować po stronie klienta w sekcji Uwierzytelnianie strefy w trakcie konfigurowania strefy w ustawieniach zapory. 53

54 4.2.5 Ustanawianie połączenia wykrywanie Zapora osobista wykrywa każde nowo utworzone połączenie sieciowe. Aktywny tryb zapory określa, jakie działania są realizowane dla nowej reguły. Jeśli uaktywniono opcję Tryb automatyczny lub Tryb oparty na regułach, zapora osobista będzie wykonywać zdefiniowane wstępnie czynności bez udziału użytkownika. W trybie interaktywnym wyświetlane jest okno informacyjne z powiadomieniem o wykryciu nowego połączenia sieciowego wraz ze szczegółowymi informacjami na ten temat. Użytkownik może zezwolić na połączenie lub je odrzucić (odmowa). Jeśli użytkownik wielokrotnie zezwala na to samo połączenie przy użyciu okna dialogowego, zalecane jest utworzenie nowej reguły dla tego połączenia. W tym celu należy wybrać opcję Pamiętaj czynność (utwórz regułę) i zapisać czynność jako nową regułę dla zapory osobistej. Jeśli zapora wykryje w przyszłości to samo połączenie, zostanie zastosowana istniejąca już reguła bez wymogu interakcji ze strony użytkownika. Należy ostrożnie podchodzić do tworzenia nowych reguł, zezwalając tylko na połączenia, które są bezpieczne. Jeśli wszystkie połączenia są dozwolone, zapora osobista nie spełnia swojego zadania. Oto ważne parametry połączeń: Strona zdalna należy zezwalać na połączenia tylko z zaufanymi i znanymi adresami. Aplikacj a lokalna nie zaleca się zezwalania na połączenia z nieznanymi aplikacjami i procesami. Numer portu w zwykłych warunkach powinna być dozwolona komunikacja za pośrednictwem typowych portów (np. ruch internetowy port numer 80). W celu rozprzestrzeniania się wirusy często używają połączeń internetowych i ukrytych, co ułatwia im infekowanie systemów zdalnych. Przy prawidłowo skonfigurowanych regułach zapora osobista staje się użytecznym narzędziem ochrony przed wieloma próbami ataku prowadzonymi przy użyciu szkodliwego kodu Zapisywanie w dzienniku Zapora osobista programu ESET Endpoint Security zapisuje wszystkie ważne zdarzenia w pliku dziennika, który można wyświetlić bezpośrednio z poziomu menu głównego. Kliknij kolejno opcje Narzędzia > Pliki dziennika i z menu rozwijanego Dziennik wybierz polecenie Zapora osobista. Pliki dziennika są cennym narzędziem do wykrywania błędów i odkrywania włamań do systemu. Dzienniki zapory osobistej programu ESET zawierają następujące dane: data i godzina wystąpienia zdarzenia; nazwa zdarzenia; źródło; docelowy adres sieciowy; protokół sieciowy; zastosowana reguła lub nazwa robaka, jeśli został zidentyfikowany; aplikacja, której dotyczy zdarzenie; użytkownik. 54

55 Dokładna analiza tych danych może pomóc w wykryciu prób złamania zabezpieczeń systemu. Wiele innych czynników wskazuje na potencjalne zagrożenia bezpieczeństwa i pozwala na zminimalizowanie ich skutków: zbyt częste połączenia z nieznanych lokalizacji, wielokrotne próby nawiązania połączenia, połączenia nawiązywane przez nieznane aplikacje, użycie nietypowych numerów portów Integracj a z systemem Zapora osobista programu ESET Endpoint Security może działać na kilku poziomach: Wszystkie funkcj e aktywne zapora osobista jest w pełni zintegrowana, a jej komponenty są aktywne (opcja domyślna). W przypadku komputera podłączonego do większej sieci lub do Internetu, zaleca się pozostawienie tej opcji włączonej. Zapewnia ona najwyższy poziom bezpieczeństwa i pełną ochronę systemu. Zapora osobista j est nieaktywna zapora osobista jest zintegrowana z systemem i bierze udział w komunikacji sieciowej, ale nie wykrywa zagrożeń. Tylko skanowanie protokołów aplikacj i aktywne są tylko te komponenty zapory osobistej, które wykonują skanowanie protokołów aplikacji (HTTP, POP3, IMAP i ich szyfrowane wersje). Jeśli protokoły aplikacji nie są skanowane, zabezpieczanie obejmuje ochronę systemu plików w czasie rzeczywistym i skanowanie komputera na żądanie. Zapora osobista j est całkowicie wyłączona tę opcję należy wybrać, aby całkowicie zakończyć działanie zapory osobistej w systemie. Nie będzie wykonywane żadne skanowanie. Może to być przydatne podczas testowania: jeśli dana aplikacja zostanie zablokowana, można sprawdzić, czy to zapora ją blokuje. Jest to opcja zapewniająca najniższy poziom bezpieczeństwa, w związku z czym zalecamy ostrożność w jej stosowaniu. Wykonaj aktualizacj ę zapory osobistej po ponownym uruchomieniu komputera aktualizacja zostanie jedynie pobrana, a jej instalacja zostanie przeprowadzona podczas ponownego uruchamiania komputera. 4.3 Internet i poczta Aby przejść do ustawień dotyczących Internetu i poczty , należy otworzyć panel Ustawienia i kliknąć tytuł Internet i poczta . Z tego poziomu można uzyskać dostęp do bardziej szczegółowych ustawień programu. Obsługa komunikacji przez Internet jest standardową funkcją komputerów osobistych. Niestety komunikacja internetowa stała się głównym sposobem przenoszenia szkodliwego kodu. Z tego względu ważne jest umiejętne ustawienie opcji Ochrona dostępu do stron internetowych. 55

56 Funkcja Ochrona programów poczty zapewnia kontrolę wiadomości odbieranych przy użyciu protokołów POP3 i IMAP. Korzystając z wtyczki do klienta poczty , program ESET Endpoint Security sprawdza wszystkie połączenia sieciowe klienta poczty (POP3, MAPI, IMAP i HTTP). Moduł Ochrona przed spamem filtruje niepożądane wiadomości . Wyłącz umożliwia wyłączenie ochrony dostępu do stron internetowych i poczty oraz ochrony przed spamem w klientach poczty . Konfiguruj umożliwia otwarcie ustawień zaawansowanych ochrony dostępu do stron internetowych i poczty oraz ochrony przed spamem. Biała lista użytkownika umożliwia otwarcie okna dialogowego, w którym można dodawać, edytować i usuwać adresy uznawane za bezpieczne. Wiadomości nadane z adresu występującego na białej liście nie są skanowane pod kątem spamu. Czarna lista użytkownika umożliwia otwarcie okna dialogowego, w którym można dodawać, edytować i usuwać adresy uznawane za niebezpieczne. Wiadomości nadane z adresu występującego na czarnej liście są oznaczane jako spam. Lista wyłączeń użytkownika umożliwia otwarcie okna dialogowego, w którym można dodawać, edytować i usuwać adresy uznawane za sfałszowane metodą spoofingu i służące do wysyłania spamu. Wiadomości nadane z adresu występującego na liście wyłączeń są zawsze skanowane pod kątem spamu. Domyślnie lista wyłączeń zawiera adresy pochodzące z istniejących kont pocztowych Ochrona dostępu do stron internetowych Zapewnianie połączenia z Internetem jest standardową funkcją komputera osobistego. Niestety komunikacja internetowa stała się głównym sposobem przenoszenia szkodliwego kodu. Ochrona dostępu do stron internetowych polega na monitorowaniu komunikacji między przeglądarkami internetowymi i serwerami zdalnymi zgodnej z regułami protokołów HTTP (ang. Hypertext Transfer Protocol) i HTTPS (komunikacja szyfrowana). Terminem phishing określa się działania przestępcze, obejmujące stosowanie socjotechnik (manipulowanie użytkownikami w celu uzyskania poufnych informacji). Więcej informacji na ten temat można znaleźć w słowniczku. Program ESET Endpoint Security zapewnia ochronę przez atakami typu phishing strony internetowe znane z zawartości związanej z takimi atakami są zawsze blokowane. Zdecydowanie zalecamy, aby funkcje Ochrona dostępu do stron internetowych były włączone. Dostęp do tej opcji można uzyskać w głównym oknie programu ESET Endpoint Security, wybierając kolejno pozycje Ustawienia > Internet i poczta > Ochrona dostępu do stron internetowych. 56

57 Protokoły HTTP i HTTPS Domyślnie program ESET Endpoint Security jest skonfigurowany pod kątem używania standardów obsługiwanych przez większość przeglądarek internetowych. Opcje ustawień skanera protokołu HTTP można jednak modyfikować w oknie Ustawienia zaawansowane (klawisz F5) po wybraniu kolejno opcji Internet i poczta > Ochrona dostępu do stron internetowych > Protokoły HTTP i HTTPS. W głównym oknie skanera protokołu HTTP/HTTPS można zaznaczyć lub usunąć zaznaczenie opcji Włącz sprawdzanie protokołu HTTP. Można również określić numery portów używane do komunikacji za pośrednictwem protokołu HTTP. Domyślnie wstępnie zdefiniowane są porty 80 (HTTP), 8080 i 3128 (dla serwera proxy). Program ESET Endpoint Security obsługuje sprawdzanie protokołu HTTPS. W przypadku komunikacji za pośrednictwem protokołu HTTPS informacje między serwerem a klientem przesyłane są przez kanał szyfrowany. Program ESET Endpoint Security sprawdza połączenia, używając metod szyfrowania SSL (Secure Socket Layer) i TLS (Transport Layer Security). Sprawdzanie protokołu HTTPS może być wykonywane w następujących trybach: Nie używaj funkcj i sprawdzania protokołu HTTPS szyfrowana komunikacja nie będzie sprawdzana. Użyj funkcj i sprawdzania protokołu HTTPS dla wybranych portów sprawdzanie protokołu HTTPS będzie dotyczyło tylko portów zdefiniowanych w polu Porty używane przez protokół HTTPS. Użyj funkcj i sprawdzania protokołu HTTPS dla wybranych portów sprawdzane będą tylko aplikacje określone w sekcji przeglądarek i używające portów określonych w polu Porty używane przez protokół HTTPS. Domyślnie ustawiony jest port 443. Komunikacja szyfrowana nie będzie sprawdzana. Aby włączyć skanowanie szyfrowanej komunikacji i wyświetlić ustawienia skanera, należy w sekcji Ustawienia zaawansowane przejść do sekcji Sprawdzanie protokołu SSL, przejść do opcji Internet i poczta > Ochrona protokołów > SSL i włączyć opcję Zawsze skanuj protokół SSL Tryb aktywny dla przeglądarek internetowych W programie ESET Endpoint Security znajduje się również podmenu Tryb aktywny umożliwiające zdefiniowanie trybu sprawdzania przeglądarek internetowych. Ustawienie Tryb aktywny jest przydatne, ponieważ umożliwia analizę całości danych przesyłanych przez aplikacje mające dostęp do Internetu, niezależnie od tego, czy są one oznaczone jako przeglądarki internetowe, czy też nie (aby uzyskać więcej informacji, zobacz Przeglądarki internetowe i programy poczty ). Jeśli tryb aktywny jest wyłączony, komunikacja aplikacji jest stopniowo monitorowana w partiach. Zmniejsza to skuteczność procesu weryfikacji danych, ale jednocześnie zapewnia większą zgodność z aplikacjami wymienionymi na liście. Jeśli podczas używania aktywnego trybu sprawdzania nie występują problemy, zaleca się jego włączenie poprzez zaznaczenie pola wyboru obok odpowiedniej aplikacji. Tryb aktywny działa w następujący sposób: Gdy kontrolowana aplikacja pobiera dane, są one najpierw zapisywane w pliku tymczasowym utworzonym przez program ESET Endpoint Security. Na tym etapie dane 57

58 te nie są dostępne dla aplikacji. Po zakończeniu pobierania następuje sprawdzenie, czy dane nie zawierają szkodliwego kodu. Jeśli program nie wykryje żadnego zagrożenia, dane zostaną przesłane do pierwotnej aplikacji. Ten proces zapewnia pełną kontrolę wymiany danych między Internetem a daną aplikacją. Jeśli tryb pasywny jest włączony, dane są przesyłane do oryginalnej aplikacji na bieżąco, w celu uniknięcia opóźnień Zarządzanie adresami URL W sekcji Zarządzanie adresami URL możliwe jest wskazanie adresów HTTP, które mają być blokowane, dozwolone lub wyłączone ze sprawdzania. Do zarządzania listami adresów służą przyciski Dodaj, Edytuj, Usuń i Eksportuj. Witryny internetowe znajdujące się na listach blokowanych adresów nie będą dostępne. Dostęp do witryn internetowych znajdujących się na liście adresów wyłączonych odbywa się bez skanowania w poszukiwaniu szkodliwego kodu. Jeśli zostanie włączona opcja Zezwól na dostęp tylko do adresów URL z listy dozwolonych adresów, dostępne będą tylko adresy występujące na liście dozwolonych adresów, a pozostałe adresy HTTP będą blokowane. Po dodaniu adresu URL do obszaru Lista adresów wyłączonych z filtrowania, adres ten zostanie wyłączony ze skanowania. Można również dopuszczać lub blokować określone adresy, dodając je do obszaru Lista dozwolonych adresów lub Lista zablokowanych adresów. Po kliknięciu przycisku Listy zostanie wyświetlone okno Listy adresów/ masek HTTP, w którym można dodawać i usuwać listy adresów za pomocą opcji Dodaj i Usuń. Aby możliwe było dodawanie do listy adresów URL typu HTTPS, musi być aktywna opcja Zawsze skanuj protokół SSL. Na wszystkich listach można używać symboli specjalnych: * (gwiazdka) i? (znak zapytania). Gwiazdka zastępuje dowolny ciąg znaków, a znak zapytania zastępuje dowolny symbol. Ponadto należy sprawdzić, czy symbole * oraz? są na tej liście stosowane prawidłowo. Aby uaktywnić listę, należy zaznaczyć pole wyboru Lista aktywnych. Jeśli przy wprowadzaniu adresu z bieżącej listy ma być wyświetlane powiadomienie, należy zaznaczyć opcję Powiadom o zastosowaniu adresu z listy. Dodaj /Z pliku umożliwia dodanie adresu do listy ręcznie (Dodaj ) lub z pliku tekstowego (Z pliku). Korzystając z opcji Z pliku, można dodać kilka adresów URL zapisanych w pliku tekstowym. Edytuj umożliwia ręczne edytowanie adresów, np. poprzez dodawanie maski ( * i? ). Usuń/Usuń wszystkie aby usunąć z listy wybrany adres, należy kliknąć przycisk Usuń. Aby usunąć wszystkie adresy, należy wybrać opcję Usuń wszystkie. Eksportuj umożliwia zapisanie adresów z bieżącej listy w pliku tekstowym. 58

59 4.3.2 Ochrona programów poczty W ramach ochrony poczty sprawdzana jest komunikacja przychodząca za pośrednictwem protokołów POP3 oraz IMAP. Przy użyciu wtyczki do programu Microsoft Outlook i innych programów poczty oprogramowanie ESET Endpoint Security sprawdza całą komunikację realizowaną przez dany program pocztowy (za pośrednictwem protokołów POP3, MAPI, IMAP oraz HTTP). Podczas analizowania wiadomości przychodzących program stosuje wszystkie zaawansowane metody skanowania dostępne w ramach technologii ThreatSense. Dzięki temu szkodliwe programy są wykrywane nawet zanim zostaną porównane z bazą danych sygnatur wirusów. Skanowanie komunikacji za pośrednictwem protokołów POP3 oraz IMAP odbywa się niezależnie od użytkowanego klienta poczty . Ustawienia tej funkcji są dostępne po wybraniu kolejno opcji Ustawienia zaawansowane > Internet i poczta > Ochrona programów poczty . Ustawienia parametrów technologii ThreatSense zaawansowane ustawienia skanera antywirusowego pozwalające określić skanowane elementy, metody wykrywania zagrożeń itd. Aby wyświetlić okno ze szczegółowymi ustawieniami skanera antywirusowego, należy kliknąć przycisk Ustawienia. Po sprawdzeniu wiadomości może do niej zostać dołączone powiadomienie o wynikach skanowania. Do wyboru są opcje Oznacz otrzymaną i przeczytaną wiadomość oraz Oznacz wysyłaną wiadomość . Nie można bezwzględnie polegać na takich powiadomieniach, ponieważ czasami są one pomijane w przypadku kłopotliwych wiadomości w formacie HTML lub fałszowane przez niektóre wirusy. Powiadomienia mogą być dodawane do wszystkich odebranych i przeczytanych wiadomości oraz (lub) do wysyłanych wiadomości. Dostępne opcje: Nigdy powiadomienia w ogóle nie będą dodawane. Tylko zainfekowane wiadomości oznaczane będą tylko wiadomości zawierające szkodliwe oprogramowanie (ustawienie domyślne. Cała poczta program będzie dołączać powiadomienia do wszystkich przeskanowanych wiadomości . Dołącz notatkę do tematu otrzymanej i przeczytanej /wysyłanej zainfekowanej wiadomości należy zaznaczyć to pole wyboru, aby ochrona poczty obejmowała umieszczanie w temacie zainfekowanej wiadomości ostrzeżenia o wirusie. Ta opcja umożliwia później proste odfiltrowanie zainfekowanych wiadomości na podstawie analizy ich tematów (o ile program pocztowy udostępnia taką funkcję). Zwiększa ona też wiarygodność wiadomości dla odbiorcy, a w przypadku wykrycia zagrożenia udostępnia cenne informacje na temat poziomu zagrożenia, jakie stanowi dana wiadomość lub jej nadawca. Szablon komunikatu dołączanego do tematu zainfekowanej wiadomości edytowanie tego szablonu pozwala zmodyfikować format przedrostka tematu zainfekowanej wiadomości . Korzystając z tej funkcji można zastąpić temat wiadomości Witaj podanym przedrostkiem [wirus] w następującym formacie: [wirus] Witaj. Zmienna % NAZWA_WIRUSA% zawiera nazwę wykrytego zagrożenia Filtr protokołów POP3 i POP3S POP3 jest najbardziej rozpowszechnionym protokołem używanym do odbierania wiadomości w programach poczty . Program ESET Endpoint Security zapewnia ochronę tego protokołu niezależnie od użytkowanego programu pocztowego. Moduł ochrony jest włączany automatycznie przy uruchamianiu systemu operacyjnego, a następnie działa w pamięci operacyjnej. Aby ochrona funkcjonowała prawidłowo, należy upewnić się, że moduł jest włączony sprawdzanie protokołu POP3 odbywa się automatycznie bez konieczności zmiany konfiguracji programu poczty . Domyślnie skanowana jest cała komunikacja prowadzona przez port 110, ale w razie potrzeby skanowaniem można objąć również inne porty komunikacyjne. Numery portów muszą być oddzielone przecinkami. Komunikacja szyfrowana nie będzie sprawdzana. Aby włączyć skanowanie szyfrowanej komunikacji i wyświetlić ustawienia skanera, należy w sekcji Ustawienia zaawansowane przejść do sekcji Sprawdzanie protokołu SSL, przejść do opcji Internet i poczta > Ochrona protokołów > SSL i włączyć opcję Zawsze skanuj protokół SSL. 59

60 W tej sekcji można skonfigurować sprawdzanie protokołów POP3 i POP3S. Włącz sprawdzanie protokołu POP3 zaznaczenie tej opcji powoduje włączenie skanowania całego ruchu obsługiwanego przez protokół POP3 pod kątem szkodliwego oprogramowania. Porty używane przez protokół POP3 lista portów używanych przez protokół POP3 (domyślnie jest to port 110). Program ESET Endpoint Security obsługuje również sprawdzanie protokołu POP3S. W przypadku tego typu komunikacji informacje między serwerem a klientem przesyłane są przez szyfrowany kanał. Program ESET Endpoint Security sprawdza połączenia, używając metod szyfrowania SSL (Secure Socket Layer) i TLS (Transport Layer Security). Nie używaj funkcj i sprawdzania protokołu POP3S szyfrowana komunikacja nie będzie sprawdzana. Użyj funkcj i sprawdzania protokołu POP3S dla wybranych portów sprawdzanie protokołu POP3S będzie dotyczyło tylko portów zdefiniowanych w polu Porty używane przez protokół POP3S. Porty używane przez protokół POP3S lista portów protokołu POP3S do sprawdzenia (domyślnie jest to port 995) Sprawdzanie protokołów IMAP oraz IMAPS IMAP (Internet Message Access Protocol) to kolejny protokół internetowy do odbierania poczty . IMAP ma pod pewnymi względami przewagę nad protokołem POP3, np. wiele klientów może być podłączonych równocześnie do tej samej skrzynki odbiorczej przy zachowaniu informacji o stanie wiadomości (czy została ona przeczytana lub usunięta albo czy udzielono już na nią odpowiedzi). Program ESET Endpoint Security zapewnia ochronę tego protokołu niezależnie od używanego programu poczty . Moduł ochrony jest włączany automatycznie przy uruchamianiu systemu operacyjnego, a następnie działa w pamięci operacyjnej. Aby ochrona funkcjonowała prawidłowo, należy się upewnić, że moduł jest włączony; sprawdzanie protokołu IMAP odbywa się automatycznie, bez konieczności zmiany konfiguracji programu poczty . Domyślnie skanowana jest cała komunikacja prowadzona przez port 143, ale w razie potrzeby skanowaniem można objąć również inne porty komunikacyjne. Numery portów muszą być oddzielone przecinkami. Komunikacja szyfrowana nie będzie sprawdzana. Aby włączyć skanowanie szyfrowanej komunikacji i wyświetlić ustawienia skanera, należy w sekcji Ustawienia zaawansowane przejść do sekcji Sprawdzanie protokołu SSL, przejść do opcji Internet i poczta > Ochrona protokołów > SSL i włączyć opcję Zawsze skanuj protokół SSL. 60

61 Integracj a z programami pocztowymi Integracja programu ESET Endpoint Security z programami pocztowymi zwiększa poziom aktywnej ochrony przed szkodliwym kodem rozsyłanym w wiadomościach . Jeśli dany program pocztowy jest obsługiwany, można włączyć funkcję integracji w programie ESET Endpoint Security. Po jej aktywowaniu pasek narzędzi programu ESET Endpoint Security jest wstawiany bezpośrednio do programu poczty , umożliwiając skuteczniejszą ochronę poczty. Dostęp do ustawień integracji można uzyskać, klikając kolejno opcje Ustawienia > Wprowadź ustawienia zaawansowane > Internet i poczta > Ochrona programów poczty > Integracj a z programami pocztowymi. Obecnie należą do nich programy: Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail i Mozilla Thunderbird. Pełna lista obsługiwanych programów poczty i ich wersji znajduje się w następującym artykule bazy wiedzy firmy ESET. Jeśli podczas pracy z programem poczty system działa wolniej niż zwykle, można zaznaczyć pole wyboru Wyłącz sprawdzanie po zmianie zawartości skrzynki odbiorczej. Taka sytuacja może mieć miejsce podczas pobierania poczty z pliku Kerio Outlook Connector Store. 61

62 Nawet gdy integracja nie jest włączona, komunikacja za pośrednictwem poczty jest chroniona przez moduł ochrony programów poczty (POP3, IMAP) Konfiguracj a ochrony programów poczty Moduł ochrony programów poczty obsługuje następujące programy pocztowe: Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail i Mozilla Thunderbird. Ochrona poczty działa na zasadzie wtyczki do tych programów. Główną zaletą wtyczki jest fakt, że jej działanie jest niezależne od używanego protokołu. Gdy program poczty odbierze zaszyfrowaną wiadomość, następuje jej odszyfrowanie i przesłanie do skanera antywirusowego. Skanowane wiadomości Wiadomości odbierane umożliwia włączanie i wyłączanie sprawdzania odbieranych wiadomości. Wiadomości wysyłane umożliwia włączanie i wyłączanie sprawdzania wysyłanych wiadomości. Wiadomości przeczytane umożliwia włączanie i wyłączanie sprawdzania przeczytanych wiadomości. Czynność wykonywana w przypadku zainfekowanej wiadomości Brak czynności zaznaczenie tej opcji powoduje, że program będzie wykrywał zainfekowane załączniki, ale nie będzie podejmował żadnych działań. Usuń wiadomość program powiadomi użytkownika o infekcji i usunie wiadomość. Przenieś wiadomość do folderu Elementy usunięte zainfekowane wiadomości będą automatycznie przenoszone do folderu Elementy usunięte. Przenieś wiadomość do folderu umożliwia wskazanie niestandardowego folderu, do którego mają trafiać zainfekowane wiadomości, które zostały wykryte. Inne Powtórz skanowanie po aktualizacj i umożliwia włączanie i wyłączanie opcji ponownego skanowania po dokonaniu aktualizacji bazy danych sygnatur wirusów. Akceptuj wyniki skanowania wykonanego przez inne funkcj e zaznaczenie tej opcji powoduje, że moduł ochrony poczty uwzględnia wyniki skanowania przeprowadzonego przez inne moduły ochrony. 62

63 Usuwanie zagrożeń Po odebraniu zainfekowanej wiadomości wyświetlane jest okno alertu. Zawiera ono nazwę nadawcy, wiadomość i nazwę infekcji. W dolnej części okna dostępne są działania, które można zastosować na wykrytym obiekcie: Wylecz, Usuń lub Pozostaw. W niemal wszystkich przypadkach zalecany jest wybór opcji Wylecz lub Usuń. W szczególnych sytuacjach, gdy użytkownik chce odebrać zainfekowany plik, można wybrać opcję Pozostaw. Jeśli włączony jest tryb Leczenie dokładne, wyświetlane jest okno informacyjne bez opcji dotyczących zainfekowanych obiektów Ochrona przed spamem Niepożądana poczta spam to jeden z najpoważniejszych problemów komunikacji elektronicznej. Spam stanowi obecnie aż 80% wszystkich wysyłanych wiadomości . Ochrona przed spamem służy jako rozwiązanie zabezpieczające przed tym problemem. Wysoką wydajność filtrowania poczty przez moduł antyspamowy przeciwdziałający zainfekowaniu poczty osiągnięto dzięki połączeniu kilku skutecznych metod. Jedną z istotnych zasad stosowanych w celu wykrywania spamu jest możliwość identyfikacji niepożądanej poczty na podstawie wstępnie zdefiniowanych zaufanych adresów (białej listy) i adresów kojarzonych ze spamem (czarnej listy). Wszystkie adresy z listy kontaktów użytkownika są automatycznie dodawane do białej listy. Dodawane są również wszystkie inne adresy, które użytkownik oznaczył jako bezpieczne. Główną metodą wykrywania spamu jest skanowanie właściwości wiadomości . Odebrane wiadomości są skanowane pod kątem podstawowych kryteriów antyspamowych (z zastosowaniem definicji wiadomości, heurystyki statystycznej, algorytmów rozpoznawania oraz innych unikalnych metod) i na podstawie obliczonej wartości wskaźnika klasyfikowane jako będące lub niebędące spamem. Ochrona antyspamowa w programie ESET Endpoint Security umożliwia skonfigurowanie różnych ustawień związanych z obsługą list adresowych. Dostępne są następujące opcje: Automatycznie uruchamiaj ochronę przed spamem w programie poczty włącza/wyłącza ochronę przed spamem w programie poczty . Przetwarzanie wiadomości Dodaj tekst do tematu wiadomości umożliwia dodawanie niestandardowego tekstu na początku wiersza tematu wiadomości zaklasyfikowanej jako spam. Domyślnie jest to ciąg [SPAM]. Przenieś wiadomości do folderu ze spamem po włączeniu tej opcji wiadomości uznane za spam są przenoszone do domyślnego folderu na niepożądane wiadomości. Użyj folderu ta opcja powoduje przenoszenie spamu do folderu wskazanego przez użytkownika. 63

64 Oznacz wiadomości ze spamem j ako przeczytane zaznaczenie tej opcji powoduje automatyczne oznaczanie wiadomości ze spamem jako przeczytanych. Pozwala to skupić uwagę jedynie na pożądanych wiadomościach. Oznacz wiadomość ze zmienioną klasyfikacj ą j ako nieprzeczytaną wiadomości pierwotnie uznane za spam, a następnie przekwalifikowane na pożądane będą wyświetlane jako wiadomości nieprzeczytane. Zapisywanie w dzienniku wyniku spamu Mechanizm antyspamowy programu ESET Endpoint Security przypisuje każdej przeskanowanej wiadomości wynik spamu. Wiadomość zostanie zarejestrowana w dzienniku ochrony przed spamem (ESET Endpoint Security > Narzędzia > Pliki dziennika > Ochrona przed spamem). Nie zapisuj w dzienniku ochrony przed spamem nie będzie wypełniana komórka Wynik. Zapisuj tylko wiadomości ze zmienioną klasyfikacj ą i wiadomości oznaczone j ako SPAM dzięki tej opcji rejestrowany będzie wynik spamu dla wiadomości oznaczonych jako SPAM. Zapisuj wszystkie wiadomości wszystkie wiadomości będą rejestrowane w dzienniku razem z wynikiem spamu. Automatycznie uruchamiaj ochronę przed spamem w programie poczty po włączeniu tej opcji funkcja ochrony przed spamem będzie automatycznie uaktywniana podczas uruchamiania komputera. Włącz zaawansowaną ochronę przed spamem powoduje pobranie dodatkowych baz antyspamowych, co rozszerza możliwości ochrony przed spamem i prowadzi do uzyskania lepszych wyników. Program ESET Endpoint Security umożliwia ochronę przed spamem w programach Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail i Mozilla Thunderbird Dodawanie adresów do białej i czarnej listy Adresy osób, z którymi użytkownik często się komunikuje można dodać do białej listy. Zagwarantuje to, że żadna wiadomość pochodząca z takiego adresu nie zostanie nigdy sklasyfikowana jako spam. Znane adresy kojarzone ze spamem mogą zostać dodane do czarnej listy, co spowoduje, że zawsze będą klasyfikowane jako spam. Aby dodać nowy adres do białej lub czarnej listy, należy kliknąć prawym przyciskiem myszy wiadomość i wybrać opcję ESET Endpoint Security > Dodaj do białej listy lub Dodaj do czarnej listy albo kliknąć przycisk Adres zaufany lub Adres spamu na pasku narzędzi modułu antyspamowego programu ESET Endpoint Security w programie poczty . Podobną procedurę stosuje się w przypadku adresów kojarzonych ze spamem. Jeśli dany adres znajduje się na czarnej liście, każda przysłana z niego wiadomość jest klasyfikowana jako spam Oznaczanie wiadomości j ako spam Dowolną wiadomość wyświetloną w programie poczty można oznaczyć jako spam. W tym celu należy kliknąć prawym przyciskiem myszy wybraną wiadomość, a następnie kliknąć kolejno opcje ESET Endpoint Security > Zmień klasyfikacj ę wybranych wiadomości na spam lub kliknąć przycisk Adres spamu na pasku narzędzi modułu antyspamowego programu ESET Endpoint Security, umieszczonym w górnej części okna programu poczty . Wiadomości ze zmienioną klasyfikacją są automatycznie przenoszone do folderu ze spamem, ale adresy ich nadawców nie są dodawane do czarnej listy. W podobny sposób wiadomości można klasyfikować jako pożądane. Jeśli wiadomości z folderu Wiadomości-śmieci zostaną sklasyfikowane jako niebędące spamem, zostaną przeniesione do oryginalnego folderu. Oznaczenie wiadomości jako pożądanej nie powoduje automatycznego dodania adresu jej nadawcy do białej listy. 64

65 4.3.4 Ochrona protokołów Ochrona antywirusowa protokołów aplikacji jest realizowana z wykorzystaniem technologii ThreatSense, w której połączono wszystkie zaawansowane metody wykrywania szkodliwego oprogramowania. Monitorowanie odbywa się automatycznie, niezależnie od przeglądarki internetowej i programu poczty . Aby uzyskać dostęp do komunikacji szyfrowanej (SSL), należy wybrać kolejno opcje Ochrona protokołów > SSL. Włącz ochronę zawartości protokołów aplikacj i włączenie tej opcji powoduje, że skaner antywirusowy bada cały ruch realizowany przy użyciu protokołów HTTP(S), POP3(S) oraz IMAP(S). UWAGA: Począwszy od poprawki Windows Vista Service Pack 1 oraz systemów Windows 7 i Windows Server 2008, do sprawdzania komunikacji sieciowej używana jest nowa architektura Windows Filtering Platform (WFP). Ponieważ w technologii WFP używane są specjalne techniki monitorowania, następujące opcje są niedostępne: Porty HTTP i POP3 kierowanie ruchu do wewnętrznego serwera proxy jest ograniczone tylko do portów HTTP i POP3. Aplikacj i oznaczonych j ako przeglądarki internetowe lub programy poczty kierowanie ruchu do wewnętrznego serwera proxy jest ograniczone tylko do aplikacji oznaczonych jako przeglądarki internetowe i programy poczty (Internet i poczta > Ochrona protokołów > Internet i programy poczty ). Portów i aplikacj i oznaczonych j ako przeglądarki internetowe lub programy poczty cały ruch w portach protokołów HTTP i POP3, jak również wszystkie połączenia aplikacji oznaczonych jako przeglądarki internetowe i programy poczty są kierowane do wewnętrznego serwera proxy Przeglądarki internetowe i programy poczty UWAGA: Począwszy od poprawki Windows Vista Service Pack 1 i systemu Windows Server 2008, do sprawdzania komunikacji sieciowej używana jest nowa architektura Windows Filtering Platform (WFP). W związku z tym, że technologia WFP używa specjalnych technik monitorowania, sekcja Przeglądarki internetowe i programy poczty jest niedostępna. Ponieważ po Internecie krąży ogromna ilość szkodliwego kodu, bardzo ważny aspekt ochrony komputera stanowi zadbanie o bezpieczne przeglądanie stron internetowych. Potajemne przenikanie szkodliwego oprogramowania do systemu ułatwiają luki w zabezpieczeniach przeglądarek internetowych i spreparowane łącza. Dlatego głównym zadaniem programu ESET Endpoint Security jest zabezpieczenie przeglądarek internetowych. Jako przeglądarkę internetową można oznaczyć każdą aplikację korzystającą z sieci. Dla tego pola wyboru możliwe są dwa stany: Niezaznaczone komunikacja realizowana przez aplikacje jest filtrowana tylko w odniesieniu do określonych portów. Zaznaczone komunikacja jest zawsze filtrowana (nawet jeśli został ustawiony inny port). 65

66 Aplikacj e wyłączone Aby wykluczyć z filtrowania zawartości komunikację prowadzoną przez określone aplikacje korzystające z sieci, należy zaznaczyć je na liście. Komunikacja prowadzona przez te aplikacje za pośrednictwem protokołów HTTP, POP3 oraz IMAP nie będzie sprawdzana pod kątem obecności zagrożeń. Stosowanie tej opcji jest zalecane tylko w przypadku aplikacji, które działają nieprawidłowo, gdy ich komunikacja podlega sprawdzaniu. Działające aplikacje i usługi będą tu dostępne automatycznie. Aby ręcznie dodać aplikację, której brakuje na liście filtrowania protokołów, należy kliknąć przycisk Dodaj. 66

67 Wyłączone adresy IP Pozycje na liście adresów zostaną wyłączone z ochrony zawartości protokołów. Komunikacja z tymi adresami prowadzona za pośrednictwem protokołów HTTP, POP3 oraz IMAP nie będzie sprawdzana pod kątem obecności zagrożeń. Zalecamy użycie tej opcji tylko w przypadku adresów godnych zaufania. Dodaj adres IPv4/IPv6 ta opcja pozwala na dodanie adresu IP/zakresu adresów/podsieci, do których ma zostać zastosowana dana reguła. Usuń umożliwia usunięcie z listy wybranych pozycji Dodaj adres IPv4 Te opcje umożliwiają dodawanie adresów IP/zakresu adresów/podsieci hostów zdalnych, do których ma mieć zastosowanie dana reguła. Protokół Internet Protocol w wersji 4 to wersja starsza, ale wciąż najpowszechniej używana. Poj edynczy adres umożliwia dodanie adresu IP określonego komputera, do którego ma być stosowana reguła (na przykład ). Zakres adresów umożliwia wprowadzenie początkowego i końcowego adresu IP w celu określenia zakresu adresów IP (wielu komputerów), do których ma być stosowana reguła (na przykład od do ). Podsieć podsieć (grupa komputerów) zdefiniowana przez adres IP i maskę. Na przykład to maska sieci dla prefiksu /24 wyznaczająca zakres adresów od do Dodaj adres IPv6 Te opcje umożliwiają dodawanie adresów IP/podsieci w wersji 6 określających hosty zdalne, do których ma mieć zastosowanie dana reguła. Jest to najnowsza wersja protokołu Internet Protocol, która zastąpi starszą wersję 4. Poj edynczy adres umożliwia dodanie adresu IP komputera, do którego ma być stosowana reguła, na przykład 2001:718:1c01:16:214:22ff:fec9:ca5). Podsieć podsieć (grupa komputerów) zdefiniowana przez adres IP i maskę (na przykład: 2002:c0a8:6301:1::1/64). 67

68 Sprawdzanie protokołu SSL Program ESET Endpoint Security umożliwia sprawdzanie protokołów enkapsulowanych w protokole SSL. W przypadku komunikacji chronionej protokołem SSL można stosować różne tryby skanowania z użyciem certyfikatów zaufanych, nieznanych lub takich, które zostały wyłączone ze sprawdzania komunikacji chronionej przez protokół SSL. Zawsze skanuj protokół SSL wybór tej opcji powoduje skanowanie całej komunikacji chronionej protokołem SSL oprócz komunikacji chronionej za pomocą certyfikatów wyłączonych ze sprawdzania. W przypadku nawiązania nowego połączenia z użyciem nieznanego, podpisanego certyfikatu użytkownik nie zostanie powiadomiony, a połączenie będzie automatycznie filtrowane. Przy próbie uzyskania przez użytkownika dostępu do serwera z użyciem niezaufanego certyfikatu, który użytkownik oznaczył jako zaufany (dodając go do listy zaufanych certyfikatów), komunikacja z serwerem nie zostanie zablokowana, a jej treść będzie filtrowana. Pytaj o nieodwiedzane witryny (można ustawić wyłączenia) po przejściu do nowej witryny chronionej protokołem SSL (o nieznanym certyfikacie) będzie wyświetlane okno dialogowe z możliwością wyboru działania. W tym trybie można utworzyć listę certyfikatów SSL, które zostaną wyłączone ze skanowania. Nie skanuj protokołu SSL po wybraniu tego ustawienia program nie będzie skanował komunikacji odbywającej się za pośrednictwem protokołu SSL. Zastosuj utworzone wyj ątki na podstawie certyfikatów aktywuje używanie dla skanowania połączeń używających protokołu SSL wyłączeń określonych w wyłączonych i zaufanych certyfikatach. Opcja ta jest dostępna po zaznaczeniu pola wyboru Zawsze skanuj protokół SSL. Blokuj szyfrowaną komunikacj ę z wykorzystaniem nieaktualnego protokołu SSL v2 komunikacja używająca wcześniejszej wersji protokołu SSL będzie automatycznie blokowana Certyfikaty Aby w przeglądarkach internetowych/programach poczty prawidłowo przebiegała komunikacja przy użyciu protokołu SSL, konieczne jest dodanie certyfikatu głównego firmy ESET, spol s r.o. do listy znanych certyfikatów głównych (wydawców). Dlatego powinno być zaznaczone pole wyboru Dodaj certyfikat główny do znanych przeglądarek. Należy wybrać tę opcję w celu automatycznego dodania certyfikatu głównego firmy ESET do znanych przeglądarek (np. Opera, Firefox). Certyfikat jest dodawany automatycznie do przeglądarek korzystających z systemowego magazynu certyfikacji (np. Internet Explorer). Aby zastosować certyfikat w przypadku nieobsługiwanych przeglądarek, należy kliknąć opcję Wyświetl certyfikat > Szczegóły > Kopiuj do pliku, a następnie ręcznie zaimportować go do przeglądarki. W niektórych przypadkach certyfikat nie może zostać zweryfikowany za pomocą magazynu zaufanych głównych urzędów certyfikacji (np. VeriSign). Oznacza to, że został on podpisany samodzielnie przez jakąś osobę (np. przez administratora serwera internetowego lub małej firmy) i uważanie go za zaufany certyfikat nie musi się wiązać z ryzykiem. Większość dużych przedsiębiorstw i instytucji (np. banki) korzysta z certyfikatów podpisanych przez jeden z zaufanych głównych urzędów certyfikacji. Jeśli pole wyboru Pytaj o ważność certyfikatu jest zaznaczone (ustawienie domyślne), zostanie wyświetlony monit o wybranie czynności, która ma zostać podjęta przy nawiązywaniu szyfrowanego połączenia. Pojawi się okno dialogowe wyboru czynności, w którym można oznaczyć dany certyfikat jako zaufany lub wyłączony. Jeśli certyfikat nie występuje na liście zaufanych głównych urzędów certyfikacji (TRCA), okno to ma kolor czerwony. Jeśli certyfikat występuje na liście zaufanych głównych urzędów certyfikacji, okno to ma kolor zielony. Można zaznaczyć pole wyboru Blokuj komunikacj ę używaj ącą certyfikatu, aby zawsze przerywać szyfrowane połączenie z witryną, która korzysta z niezweryfikowanego certyfikatu. Jeśli dany certyfikat jest niepoprawny lub uszkodzony, oznacza to, że wygasła jego ważność lub został nieprawidłowo podpisany samodzielnie. W takim przypadku zalecamy zablokowanie korzystającej z niego komunikacji. 68

69 Zaufane certyfikaty Jako uzupełnienie zintegrowanego magazynu zaufanych głównych urzędów certyfikacji, w którym program ESET Endpoint Security przechowuje zaufane certyfikaty, można utworzyć niestandardową listę zaufanych certyfikatów. Aby ją wyświetlić, należy otworzyć okno Ustawienia zaawansowane (klawisz F5), a następnie wybrać kolejno opcje Internet i poczta > Ochrona protokołów > SSL > Certyfikaty > Zaufane certyfikaty. Program ESET Endpoint Security będzie sprawdzać zawartość zaszyfrowanej komunikacji, korzystając z certyfikatów znajdujących się na tej liście. Aby usunąć z listy zaznaczone elementy, należy kliknąć przycisk Usuń. Aby wyświetlić informacje o wybranym certyfikacie, należy kliknąć opcję Pokaż (lub kliknąć dwukrotnie sam certyfikat) Wyłączone certyfikaty Sekcja Certyfikaty dodane do wyłączeń zawiera certyfikaty, które są uważane za bezpieczne. Zawartość szyfrowanej komunikacji korzystającej z certyfikatów znajdujących się na tej liście nie będzie sprawdzana pod kątem zagrożeń. Zalecane jest wyłączanie tylko tych certyfikatów sieciowych, których bezpieczeństwo jest zagwarantowane, a komunikacja, podczas której są wykorzystywane, nie wymaga sprawdzania. Aby usunąć z listy zaznaczone elementy, należy kliknąć przycisk Usuń. Aby wyświetlić informacje o wybranym certyfikacie, należy kliknąć opcję Pokaż (lub kliknąć dwukrotnie sam certyfikat) Szyfrowana komunikacj a SSL Jeśli na komputerze zostało skonfigurowane skanowanie protokołu SSL, próba ustanowienia komunikacji szyfrowanej (przy użyciu nieznanego certyfikatu) może spowodować otwarcie okna dialogowego, w którym należy wybrać odpowiednie działanie. Okno dialogowe zawiera następujące informacje: nazwę aplikacji, która zainicjowała komunikację, i nazwę używanego certyfikatu. Jeśli certyfikat nie znajduje się w magazynie zaufanych głównych urzędów certyfikacji, zostanie uznany za niezaufany. 69

70 Dla certyfikatów dostępne są następujące działania: Tak certyfikat zostanie czasowo oznaczony jako zaufany dla bieżącej sesji; okno alertu nie zostanie wyświetlone przy kolejnej próbie użycia tego certyfikatu. Tak, zawsze certyfikat zostanie oznaczony jako zaufany i dodany do listy zaufanych certyfikatów; dla zaufanych certyfikatów nie są wyświetlane żadne okna alertów. Nie certyfikat zostanie oznaczony jako niezaufany dla bieżącej sesji; przy kolejnej próbie użycia tego certyfikatu zostanie wyświetlone okno alertu. Wyłącz certyfikat zostanie dodany do listy wyłączonych certyfikatów; dane przekazywane w danym szyfrowanym kanale nie będą w ogóle sprawdzane. 4.4 Kontrola dostępu do stron internetowych W sekcji Kontrola dostępu do stron internetowych można skonfigurować ustawienia służące do ochrony firmy przed ryzykiem odpowiedzialności prawnej. Dotyczy to między innymi stron internetowych naruszających prawa własności intelektualnej. Celem tego mechanizmu jest uniemożliwienie pracownikom dostępu do stron zawierających nieodpowiednie lub szkodliwe treści, a także do stron, które mogą negatywnie wpływać na wydajność pracy. Kontrola dostępu do stron internetowych umożliwia blokowanie stron internetowych, które mogą zawierać materiały obraźliwe. Ponadto pracodawcy lub administratorzy systemu mogą zablokować dostęp do 20 wstępnie zdefiniowanych kategorii witryn internetowych i ponad 140 podkategorii. Opcje ustawień kontroli dostępu do stron internetowych można modyfikować w oknie Ustawienia zaawansowane (F5) > Kontrola dostępu do stron internetowych. Zaznaczenie pola wyboru obok opcji Integracj a z systemem integruje funkcję kontroli dostępu do stron internetowych z produktem ESET Endpoint Security i aktywuje przycisk Konfiguruj reguły, który umożliwia dostęp do okna Edytor reguł kontroli dostępu do stron internetowych. Uwaga: Kontrola dostępu do stron internetowych wymaga do poprawnego działania włączenia funkcji Ochrona zawartości protokołów aplikacji, Sprawdzanie protokołu HTTP i Integracja zapory osobistej z systemem. Wszystkie te funkcje są domyślnie włączone. 70

71 4.4.1 Reguły kontroli dostępu do stron internetowych W oknie Edytor reguł kontroli dostępu do stron internetowych są wyświetlane istniejące reguły dotyczące adresów URL i kategorii stron internetowych. Lista reguł zawiera pewne informacje o regułach, takie jak nazwa, typ blokowania, czynność wykonywana po dopasowaniu reguły kontroli dostępu do stron internetowych i stopień ważności w dzienniku. Aby zarządzać regułą, kliknij przycisk Nowa lub Zmień. Kliknij przycisk Kopiuj, aby utworzyć nową regułę ze zdefiniowanymi wstępnie opcjami pochodzącymi z innej wybranej reguły. Ciągi XML wyświetlane po kliknięciu danej reguły można kopiować do schowka, aby pomóc administratorom systemu w eksportowaniu/importowaniu tych danych oraz ich stosowaniu, np. w programie ESET Remote Administrator. Klikając z naciśniętym klawiszem CTRL, można wybrać wiele reguł, i wykonywać czynności na wszystkich jednocześnie, np. usuwanie albo przenoszenie w górę lub w dół listy. Pole wyboru Włączone pozwala wyłączać i włączać regułę. Jest to użyteczne, gdy użytkownik nie chce trwale usunąć danej reguły, ponieważ może zajść potrzeba zastosowania jej w przyszłości. Sprawdzanie odbywa się według reguł posortowanych według priorytetu, przy czym ważniejsze reguły umieszczone są na górze. Kliknięcie reguły prawym przyciskiem myszy powoduje wyświetlenie menu kontekstowego. W tym miejscu można ustawić poziom szczegółowości wpisów dziennika dla reguły. Wpisy dziennika można wyświetlać w oknie głównym programu ESET Endpoint Security po wybraniu kolejno opcji Narzędzia > Pliki dziennika. Aby otworzyć okno Edytor grup, w którym można dodawać i usuwać wstępnie zdefiniowane kategorie i podkategorie należące do przypisanej grupy, należy kliknąć opcję Edytuj grupę. 71

72 4.4.2 Dodawanie reguł kontroli dostępu do stron internetowych W oknie Reguły kontroli dostępu do stron internetowych można ręcznie tworzyć i modyfikować istniejące reguły dostępu do stron internetowych. Opis reguły wprowadzany w polu Nazwa służy lepszej identyfikacji. Pole wyboru Włączona powoduje wyłączenie lub włączenie tej reguły. Jest to użyteczne, jeśli reguła nie powinna zostać usunięta na stałe. Typ czynności Czynność na podstawie adresu URL dostęp do danej witryny internetowej. W polu Adres URL należy wprowadzić właściwy adres URL. Czynność na podstawie kategorii po wybraniu tej opcji trzeba wybrać kategorię z menu rozwijanego Kategoria. Na liście adresów URL nie można używać symboli specjalnych: * (gwiazdki) i? (znaku zapytania). Na przykład adresy stron internetowych z wieloma domenami najwyższego poziomu należy wprowadzić ręcznie (examplepage.com, examplepage.sk itd.). W przypadku dodania domeny do listy cała zawartość umieszczona w tej domenie i wszystkich domenach podrzędnych (np. sub.examplepage.com) będzie zablokowana lub dozwolona zgodnie z wybraną przez użytkownika czynnością na podstawie adresu URL. Czynność Zezwalaj dostęp do tego adresu URL/kategorii będzie możliwy. Blokuj blokuje dany adres URL/kategorię. Lista użytkowników Dodaj otwiera okno dialogowe Typ obiektu: użytkownicy lub grupy, w którym można wybrać użytkowników. Usuń usuwa wybranego użytkownika z filtru. 72

73 4.4.3 Edytor grup Okno Edytor grup składa się z dwóch części. Prawa część okna zawiera listę kategorii i podkategorii. Aby wyświetlić podkategorie danej kategorii, należy ją wybrać na liście Kategoria. Większość podkategorii należy do grup oznaczanych kolorami. Grupa oznaczona czerwonym kolorem zawiera podkategorie dla dorosłych i/lub z pewnych względów nieodpowiednie. Grupa oznaczona kolorem zielonym zawiera z kolei te kategorie stron internetowych, które mogą być uważane za akceptowalne. Korzystając z klawiszy strzałek, można dodać wybraną podkategorię do wybranej grupy lub ją z niej usunąć. Uwaga: Dana podkategoria może należeć tylko do jednej grupy. Istnieją pewne podkategorie, które nie należą do żadnej ze wstępnie zdefiniowanych grup (na przykład Gry). Aby dopasować żądaną podkategorię za pomocą filtra kontroli dostępu do stron internetowych, należy ją dodać do żądanej grupy. Jeśli dodawana podkategoria należy już do innej grupy, zostanie z niej usunięta, a następnie dodana do wybranej grupy. Aby wyszukać grupę, należy wprowadzić kryteria wyszukiwania w polu Szukaj znajdującym się w lewym dolnym rogu okna. 4.5 Aktualizowanie programu Regularne aktualizowanie programu ESET Endpoint Security to najlepszy sposób na uzyskanie najwyższego poziomu bezpieczeństwa komputera. Moduł aktualizacji zapewnia aktualność programu na dwa sposoby: przez aktualizowanie bazy sygnatur wirusów oraz aktualizowanie komponentów systemu. Klikając w głównym oknie programu przycisk Aktualizacj a, można sprawdzić bieżący stan aktualizacji, w tym datę i godzinę ostatniej pomyślnej aktualizacji, oraz ustalić, czy w danej chwili należy przeprowadzić aktualizację. W głównym oknie jest również wyświetlana wersja bazy sygnatur wirusów. Ten liczbowy wskaźnik stanowi aktywne łącze do witryny internetowej firmy ESET zawierającej listę wszystkich sygnatur dodanych podczas określonej aktualizacji. Ponadto dostępna jest opcja ręcznego rozpoczęcia procesu aktualizacji: Aktualizuj bazę sygnatur wirusów. Aktualizacja bazy sygnatur wirusów oraz aktualizacja komponentów programu są istotnymi elementami procesu zapewniania kompleksowej ochrony przed złośliwym kodem. Należy zwrócić uwagę na konfigurację i działanie funkcji aktualizacji. Jeśli użytkownik nie wprowadził szczegółowych danych licencji (nazwy użytkownika i hasła) podczas instalacji, nazwę użytkownika i hasło można podać podczas aktualizacji w celu uzyskania dostępu do serwerów aktualizacji firmy ESET. UWAGA: Nazwa użytkownika i hasło są przekazywane przez firmę ESET po zakupie programu ESET Endpoint Security. 73

74 Ostatnia pomyślna aktualizacj a data ostatniej aktualizacji. Powinna to być niedawna data, co będzie oznaczało, że baza sygnatur wirusów jest aktualna. Wersj a bazy sygnatur wirusów numer bazy sygnatur wirusów, który jest jednocześnie aktywnym łączem do witryny internetowej firmy ESET. Kliknięcie numeru powoduje wyświetlenie listy wszystkich sygnatur dodanych w ramach danej aktualizacji. 74

75 Procedura aktualizacj i Po kliknięciu przycisku Aktualizuj bazę sygnatur wirusów rozpoczyna się pobieranie danych. W jego trakcie jest wyświetlany pasek postępu i czas pozostały do końca pobierania. Aby przerwać aktualizację, należy kliknąć przycisk Przerwij. Ważne: W normalnych warunkach po prawidłowym pobraniu aktualizacji w oknie Aktualizacj a pojawia się komunikat Aktualizacj a nie j est konieczna zainstalowana baza sygnatur wirusów j est aktualna. Jeżeli tak nie jest, program jest nieaktualny i jest bardziej podatny na zarażenie. Należy wówczas jak najszybciej zaktualizować bazę sygnatur wirusów. W przeciwnym razie zostanie wyświetlony jeden z następujących komunikatów: Baza sygnatur wirusów j est nieaktualna ten komunikat o błędzie jest wyświetlany po kilku nieudanych próbach aktualizacji bazy sygnatur wirusów. Zaleca się sprawdzenie ustawień aktualizacji. Najczęstszym powodem wystąpienia tego błędu jest niewłaściwe wprowadzenie danych uwierzytelniających lub nieprawidłowe skonfigurowanie ustawień połączenia. 75

76 Poprzednie powiadomienie związane jest z następującymi dwiema wiadomościami Aktualizacj a bazy sygnatur wirusów nie powiodła się o niepowodzeniu aktualizacji: 1. Nieprawidłowa nazwa użytkownika i/lub hasło nazwa użytkownika i hasło zostały niewłaściwie wprowadzone w ustawieniach aktualizacji. Zalecane jest sprawdzenie danych uwierzytelniających. W oknie Ustawienia zaawansowane dostępne są dodatkowe opcje aktualizacji. Aby przejść do tego okna, kliknij opcję Ustawienia w menu głównym, a następnie opcję Wprowadź ustawienia zaawansowane, albo naciśnij klawisz F5. Kliknij kolejno opcje Aktualizacj a > Ogólna w drzewie ustawień zaawansowanych, aby wprowadzić nową nazwę użytkownika i hasło. 2. Wystąpił błąd podczas pobierania plików aktualizacj i. potencjalna przyczyna błędu to nieprawidłowe ustawienia połączenia internetowego. Zalecamy sprawdzenie połączenia z Internetem (np. przez otwarcie w przeglądarce internetowej dowolnej strony). Jeśli strona nie zostanie otwarta, prawdopodobnie połączenie z Internetem nie zostało nawiązane lub komputer ma problemy z komunikacją. W razie braku aktywnego połączenia z Internetem należy skontaktować się z dostawcą usług internetowych (ISP). 76

77 4.5.1 Ustawienia aktualizacj i Sekcja ustawień aktualizacji umożliwia określenie informacji o źródle aktualizacji, w tym serwerów aktualizacji i dotyczących ich danych uwierzytelniających. Domyślnie w menu rozwijanym Serwer aktualizacj i jest ustawiona opcja Wybierz automatycznie. Zapewnia ona automatyczne pobieranie plików aktualizacji z serwera firmy ESET przy jak najmniejszym obciążaniu sieci. Ustawienia aktualizacji są dostępne w drzewie Ustawienia zaawansowane (klawisz F5) po kliknięciu gałęzi Aktualizacj a > Ogólna. Poprawność pobierania aktualizacji zależy od prawidłowego wprowadzenia wymaganych parametrów. Jeśli jest używana zapora, należy się upewnić, że nie blokuje ona programowi dostępu do Internetu (komunikacji HTTP). Aktualnie używany profil aktualizacji jest wyświetlany w polu menu rozwijanego Wybrany profil. Aby utworzyć nowy profil, należy kliknąć przycisk Profile. Lista dostępnych serwerów aktualizacji jest wyświetlana w menu rozwijanym Serwer aktualizacj i. Serwer aktualizacji to określenie lokalizacji, w której są przechowywane aktualizacje. W przypadku korzystania z serwerów firmy ESET należy pozostawić zaznaczenie opcji domyślnej, czyli Wybierz automatycznie. Aby dodać nowy serwer aktualizacji, w sekcji Ustawienia aktualizacj i dla wybranego profilu należy kliknąć przycisk Edytuj, a następnie przycisk Dodaj. W przypadku korzystania z lokalnego serwera HTTP, znanego też jako Kopia dystrybucyjna, należy wprowadzić następujące ustawienia: W przypadku korzystania z lokalnego serwera HTTP z protokołem SSL należy wprowadzić następujące ustawienia: Do uwierzytelniania na serwerach aktualizacji są używane ustawienia Nazwa użytkownika i Hasło wygenerowane i dostarczone użytkownikowi po zakupie programu. W przypadku korzystania z lokalnego serwera kopii dystrybucyjnych potrzeba uwierzytelniania użytkowników zależy od wprowadzonych ustawień konfiguracyjnych. Domyślnie weryfikacja tych danych nie jest wymagana, co oznacza, że pola Nazwa użytkownika i Hasło należy pozostawić puste. Aktualizacje w wersji wstępnej (opcja Aktualizacj a w wersj i wstępnej ) są aktualizacjami, które przeszły wszechstronne testy wewnętrzne i wkrótce zostaną udostępnione do ogólnego użytku. Włączenie aktualizacji w wersji wstępnej przynosi korzyść w postaci dostępu do najnowszych metod wykrywania i poprawek. Aktualizacje te mogą być jednak czasem niestabilne i NIE NALEŻY ich używać na produkcyjnych serwerach i stacjach roboczych, od których wymaga się maksymalnej dostępności i stabilności. Lista aktualnie używanych modułów znajduje się w oknie Pomoc i obsługa > ESET Endpoint Security informacj e. W przypadku zwykłych użytkowników zalecane jest pozostawienie domyślnie wybranej opcji Regularna aktualizacj a. Użytkownicy biznesowi mogą wybrać opcję Opóźniona aktualizacj a, aby dokonywać aktualizacji ze specjalnych serwerów aktualizacji zapewniających dostęp do nowych wersji baz wirusów z opóźnieniem co najmniej X godzin, czyli baz przetestowanych w rzeczywistym środowisku i z tego powodu uważanych 77

78 za stabilne. Kliknięcie przycisku Ustawienia obok pola Zaawansowane ustawienia aktualizacj i powoduje wyświetlenie okna z zaawansowanymi opcjami dotyczącymi aktualizacji. W przypadku problemów z aktualizacją należy kliknąć przycisk Wyczyść, aby wyczyścić folder z tymczasowymi plikami aktualizacji. Nie wyświetlaj powiadomienia o pomyślnej aktualizacj i powoduje wyłączenie powiadomień na pasku zadań w prawym dolnym rogu ekranu. Opcja ta może być użyteczna w przypadku aplikacji lub gier działających w trybie pełnoekranowym. Należy pamiętać, że włączenie opcji Tryb prezentacji powoduje wyłączenie wszystkich powiadomień Profile aktualizacj i Dla różnych konfiguracji i zadań aktualizacji można tworzyć profile aktualizacji. Tworzenie profili aktualizacji jest przydatne zwłaszcza w przypadku użytkowników mobilnych, ponieważ mogą dzięki temu utworzyć alternatywny profil dla połączenia internetowego, którego właściwości regularnie się zmieniają. W menu rozwijanym Wybrany profil jest wyświetlany aktualnie wybrany profil (domyślnie Mój profil). Aby utworzyć nowy profil, należy kliknąć przycisk Profile, a następnie przycisk Dodaj i wprowadzić własną nazwę w polu Nazwa profilu. Podczas tworzenia nowego profilu można skopiować ustawienia istniejącego już profilu, wybierając go z menu rozwijanego Kopiuj ustawienia z profilu. W oknie konfiguracji profilu można określić serwer aktualizacji, wybierając go z listy dostępnych serwerów, lub można dodać nowy serwer. Lista istniejących już serwerów aktualizacji jest wyświetlana w menu rozwijanym Serwer aktualizacj i. Aby dodać nowy serwer aktualizacji, w sekcji Ustawienia aktualizacj i dla wybranego profilu należy kliknąć przycisk Edytuj, a następnie przycisk Dodaj Zaawansowane ustawienia aktualizacj i Aby wyświetlić zaawansowane ustawienia aktualizacji, należy kliknąć przycisk Ustawienia. Do zaawansowanych ustawień aktualizacji należą m.in. Tryb aktualizacj i, Proxy HTTP, Kopia dystrybucyj na Tryb aktualizacj i Karta Tryb aktualizacj i zawiera opcje związane z aktualizacją komponentów programu. Użytkownik może skonfigurować wstępnie sposób działania programu po wykryciu dostępności aktualizacji któregoś z jego komponentów. Aktualizacja komponentu programu ma na celu dodanie nowych funkcji lub wprowadzenie zmian w funkcjach, które występowały już w starszych wersjach programu. Może ona być wykonywana automatycznie, bez interwencji użytkownika. Istnieje też możliwość powiadamiania użytkownika o aktualizacjach. Po zainstalowaniu aktualizacji komponentu programu konieczne może być ponowne uruchomienie komputera. W sekcji Aktualizacj a komponentu programu są dostępne trzy opcje: Nigdy nie aktualizuj komponentów programu aktualizacje komponentu programu nie będą w ogóle wykonywane. Ta opcja jest przeznaczona dla instalacji serwerowych, ponieważ możliwość ponownego uruchomienia serwera pojawia się zazwyczaj dopiero wtedy, gdy są wobec niego wykonywane czynności konserwacyjne. Zawsze aktualizuj komponenty programu aktualizacje komponentów programu będą pobierane i instalowane automatycznie. Należy pamiętać, że może się pojawić potrzeba ponownego uruchomienia komputera. Pytaj przed pobraniem aktualizacj i komponentów programu jest to opcja domyślna. Po udostępnieniu aktualizacji komponentów programu wyświetlony zostanie monit o udzielenie lub odmowę zgody na ich pobranie i zainstalowanie. Po zaktualizowaniu komponentów programu konieczne może być ponowne uruchomienie komputera w celu zapewnienia pełnej funkcjonalności wszystkich modułów. Sekcja Uruchom ponownie po uaktualnieniu komponentu programu umożliwia użytkownikowi wybranie jednej z trzech opcji: Nigdy nie uruchamiaj ponownie komputera użytkownik nie będzie proszony o ponowne uruchomienie komputera, nawet jeśli będzie ono wymagane. Należy pamiętać, że wybranie tego ustawienia jest niezalecane, ponieważ komputer może nie działać prawidłowo, dopóki nie zostanie ponownie uruchomiony. W razie potrzeby zaoferuj ponowne uruchomienie komputera jest to opcja domyślna. Po zaktualizowaniu komponentu programu na ekranie pojawi się okno dialogowe z prośbą o ponowne uruchomienie komputera. W razie potrzeby uruchom ponownie komputer bez powiadomienia po zaktualizowaniu komponentu programu nastąpi ponowne uruchomienie komputera (jeśli będzie konieczne). UWAGA: Wybór najodpowiedniejszej opcji zależy od stacji roboczej, której będzie dotyczyć ustawienie. Należy pamiętać 78

79 o różnicach między stacjami roboczymi a serwerami. Na przykład automatyczne ponowne uruchomienie serwera po uaktualnieniu programu mogłoby spowodować poważne szkody. Jeśli wybrana zostanie opcja Pytaj przed pobraniem aktualizacj i, po udostępnieniu nowej aktualizacji wyświetlone zostanie powiadomienie. Jeśli plik aktualizacji ma rozmiar większy niż wybrana wartość ustawienia Pytaj, j eśli plik aktualizacj i j est większy niż, wyświetlone zostanie powiadomienie Serwer proxy Aby przejść do opcji konfiguracji serwera proxy dla danego profilu aktualizacji, należy kliknąć pozycję Aktualizacj a w drzewie ustawień zaawansowanych (F5), a następnie kliknąć przycisk Ustawienia na prawo od etykiety Zaawansowane ustawienia aktualizacj i. Należy kliknąć kartę Proxy HTTP i wybrać jedną spośród trzech następujących opcji: Użyj globalnych ustawień serwera proxy Nie używaj serwera proxy Połączenie przez serwer proxy Wybór opcji Użyj globalnych ustawień serwera proxy spowoduje użycie opcji konfiguracyjnych serwera proxy określonych już w gałęzi Narzędzia > Serwer proxy w drzewie ustawień zaawansowanych. Aby podczas aktualizacji programu ESET Endpoint Security nie korzystać z serwera proxy, należy wybrać ustawienie Nie używaj serwera proxy. Opcję Połączenie przez serwer proxy należy zaznaczyć w przypadku, gdy: Podczas aktualizacji programu ESET Endpoint Security ma być używany serwer proxy inny niż wybrany w ustawieniach globalnych (Narzędzia > Serwer proxy). W takiej sytuacji należy wprowadzić dodatkowe ustawienia: adres serwera proxy, jego port komunikacyjny oraz nazwę użytkownika i hasło, jeśli są wymagane w przypadku danego serwera proxy. Nie skonfigurowano ustawień serwera proxy na poziomie globalnym, ale program ESET Endpoint Security będzie łączyć się z serwerem proxy w celu aktualizacji. Komputer jest podłączony do Internetu za pośrednictwem serwera proxy. Podczas instalacji programu ustawienia są odczytywane z opcji programu Internet Explorer, ale jeśli te ulegną później zmianie (np. użytkownik zmieni dostawcę Internetu), należy upewnić się, że ustawienia w tym oknie są poprawne. W przeciwnym razie program nie będzie mógł nawiązać połączenia z serwerami aktualizacji. Ustawieniem domyślnym dla serwera proxy jest Użyj globalnych ustawień serwera proxy. UWAGA: Dane uwierzytelniające, tzn. Nazwa użytkownika i Hasło, dotyczą dostępu do serwera proxy. Pola te należy wypełnić tylko wtedy, gdy jest wymagane podanie nazwy użytkownika i hasła. Należy pamiętać, że nie są to nazwa użytkownika ani hasło do programu ESET Endpoint Security. Pola te należy wypełnić tylko wtedy, gdy wiadomo, że do korzystania z serwera proxy niezbędne jest hasło Połączenie z siecią LAN W celu pobrania aktualizacji z serwera lokalnego z systemem operacyjnym klasy Windows NT domyślnie wymagane jest uwierzytelnianie każdego połączenia sieciowego. W większości przypadków konto użytkownika w systemie lokalnym nie ma wystarczających uprawnień dostępu do folderu kopii dystrybucyjnej (zawierającego kopie plików aktualizacji). Należy wówczas wprowadzić nazwę użytkownika i hasło w sekcji ustawień aktualizacji lub wskazać istniejące konto, przy użyciu którego program będzie mógł uzyskać dostęp do serwera aktualizacji (kopii dystrybucyjnej). Aby skonfigurować takie konto, należy kliknąć kartę LAN. W sekcji Połącz z serwerem aktualizacj i j ako znajdują się następujące opcje: Konto systemowe (domyślnie), Bieżący użytkownik i Określony użytkownik. Aby użyć konta systemowego w celu uwierzytelniania, należy wybrać opcję Konto systemowe (domyślnie). Zazwyczaj uwierzytelnianie nie jest przeprowadzane, jeśli w głównej sekcji ustawień aktualizacji nie podano danych uwierzytelniających. Aby mieć pewność, że uwierzytelnianie jest przeprowadzanie przez program przy użyciu konta aktualnie zalogowanego użytkownika, należy zaznaczyć opcję Bieżący użytkownik. Wadą tego rozwiązania jest to, że program nie jest w stanie połączyć się z serwerem aktualizacji, jeśli w danym momencie nie jest zalogowany żaden użytkownik. Jeśli program ma używać podczas uwierzytelniania określonego konta użytkownika, należy wybrać opcję Określony użytkownik. Z tej metody należy skorzystać, jeśli nie uda się nawiązać połączenia za pomocą domyślnego konta systemowego. Należy pamiętać, że wskazane konto użytkownika musi zapewniać dostęp do katalogu z plikami 79

80 aktualizacyjnymi na serwerze lokalnym. W przeciwnym razie program nie będzie mógł ustanowić połączenia ani pobrać aktualizacji. Ostrzeżenie: Jeśli została wybrana opcja Bieżący użytkownik lub Określony użytkownik, przy zmianie tożsamości w programie na żądanego użytkownika może wystąpić błąd. Zalecane jest wprowadzenie danych uwierzytelniających w sieci LAN w głównej sekcji ustawień aktualizacji. Należy wprowadzić dane uwierzytelniające w tej sekcji ustawień aktualizacji w następujący sposób: nazwa_domeny\użytkownik (w przypadku grupy roboczej nazwa_grupy_roboczej\nazwa) oraz hasło. W przypadku aktualizacji z wersji HTTP serwera lokalnego uwierzytelnianie nie jest wymagane. Jeśli połączenie z serwerem pozostaje aktywne nawet po pobraniu wszystkich aktualizacji, należy wybrać opcję Przerwij połączenie z serwerem po zakończeniu aktualizacj i Tworzenie kopii aktualizacj i kopia dystrybucyj na Program ESET Endpoint Security umożliwia tworzenie kopii plików aktualizacji, których można używać do aktualizowania innych stacji roboczych w sieci. Tworzenie kopii dystrybucyjnej, czyli kopii plików aktualizacji w środowisku sieci LAN jest wygodne, ponieważ eliminuje potrzebę pobierania tych plików przez każdą stację roboczą bezpośrednio z serwera producenta. Są one pobierane do centralnej lokalizacji na lokalnym serwerze kopii dystrybucyjnych, a następnie dystrybuowane do wszystkich stacji roboczych. Takie postępowanie eliminuje ryzyko generowania nadmiernego ruchu sieciowego. Aktualizowanie klienckich stacji roboczych przy użyciu kopii dystrybucyjnej pozwala na oszczędne korzystanie z przepustowości połączenia internetowego. Opcje konfiguracji lokalnego serwera kopii dystrybucyjnych są dostępne (po dodaniu prawidłowego klucza licencyjnego w menedżerze licencji w sekcji zaawansowanych ustawień programu ESET Endpoint Security) w sekcji zaawansowanych ustawień aktualizacji. Aby uzyskać do niej dostęp, należy nacisnąć klawisz F5, kliknąć w drzewie ustawień zaawansowanych opcję Aktualizacj a, następnie kliknąć przycisk Ustawienia obok opcji Zaawansowane ustawienia aktualizacj i i wybrać kartę Kopia dystrybucyj na. Pierwszą czynnością w ramach konfigurowania kopii dystrybucyjnej jest wybranie opcji Utwórz kopię dystrybucyj ną aktualizacj i. Powoduje to uaktywnienie innych opcji konfiguracji kopii dystrybucyjnej, na przykład sposobu udostępniania plików aktualizacji oraz ścieżki dostępu do kopii dystrybucyjnej aktualizacji. Udostępnij pliki aktualizacj i za pośrednictwem wewnętrznego serwera HTTP włączenie tej opcji powoduje, że dostęp do plików aktualizacji można uzyskać w prosty sposób za pośrednictwem protokołu HTTP. Podawanie nazwy użytkownika i hasła nie jest wymagane. Aby skonfigurować zaawansowane opcje kopii dystrybucyjnych, należy kliknąć przycisk Ustawienia zaawansowane. Metody uaktywniania kopii dystrybucyjnej zostały szczegółowo opisane w sekcji Aktualizowanie przy użyciu kopii dystrybucyjnej. Należy zwrócić uwagę, że występują dwie podstawowe metody dostępu do kopii dystrybucyjnej: folder z plikami aktualizacji może być udostępniany jako folder sieciowy lub poprzez serwer HTTP. Folder przeznaczony do przechowywania plików aktualizacji na potrzeby kopii dystrybucyjnej należy podać w sekcji 80

81 Folder przechowywania kopii dystrybucyj nej aktualizacj i. Należy kliknąć przycisk Folder..., aby przejść do folderu na komputerze lokalnym lub do udostępnionego folderu sieciowego. Jeśli dany folder wymaga autoryzacji, należy wprowadzić dane uwierzytelniające w polach Nazwa użytkownika oraz Hasło. Jeśli wybrany folder docelowy znajduje się na dysku sieciowym w systemie operacyjnym Windows NT, 2000 lub XP, należy wprowadzić nazwę użytkownika, której przypisano uprawnienia zapisu do tego folderu, oraz skojarzone z nią hasło. Nazwę użytkownika i hasło należy wprowadzić w formacie domena/użytkownik lub grupa_robocza/użytkownik. Należy pamiętać o podaniu odpowiednich haseł. Podczas konfigurowania kopii dystrybucyjnej użytkownik może też określić wersje językowe, dla których mają być pobierane kopie plików aktualizacji obsługiwane aktualnie przez serwer kopii dystrybucyjnych skonfigurowany przez użytkownika. Ustawienia wersji językowej są dostępne na liście Dostępne wersj e Aktualizowanie przy użyciu kopii dystrybucyj nej Istnieją dwie podstawowe metody konfigurowania kopii dystrybucyjnej: folder z plikami aktualizacji może być udostępniany jako folder sieciowy lub jako serwer HTTP. Uzyskiwanie dostępu do kopii dystrybucyj nej przy użyciu wewnętrznego serwera HTTP Jest to ustawienie domyślne, wybrane we wstępnie zdefiniowanej konfiguracji programu. Aby zezwolić na dostęp do kopii dystrybucyjnej przy użyciu serwera HTTP, należy przejść do sekcji Zaawansowane ustawienia aktualizacj i (kliknąć kartę Kopia dystrybucyj na) i wybrać opcję Utwórz kopię dystrybucyj ną aktualizacj i. W sekcji Ustawienia zaawansowane na karcie Kopia dystrybucyj na można podać Port serwera, na którym będzie nasłuchiwać serwer HTTP, oraz typ uwierzytelniania stosowanego na serwerze HTTP, w polu Uwierzytelnianie. Domyślnie ustawiony jest port serwera numer W ramach opcji Uwierzytelnianie można określić metodę uwierzytelniania dostępu do plików aktualizacji. Dostępne są następujące opcje: BRAK, Podstawowe i NTLM. Wybór opcji Podstawowe spowoduje stosowanie kodowania base64 i podstawowej metody uwierzytelniania opartej na nazwie użytkownika i haśle. Opcja NTLM umożliwia uwierzytelnianie przy użyciu bezpiecznego kodowania. Na potrzeby uwierzytelniania jest używane konto użytkownika utworzone na stacji roboczej udostępniającej pliki aktualizacji. Ustawienie domyślne BRAK zapewnia dostęp do plików aktualizacji bez konieczności uwierzytelniania. Ostrzeżenie: Aby dostęp do plików aktualizacji był możliwy za pośrednictwem serwera HTTP, folder kopii dystrybucyjnej musi znajdować się na tym samym komputerze co instancja programu ESET Endpoint Security, w której ten folder został utworzony. Jeśli ma zostać uruchomiony serwer HTTP z obsługą HTTPS (SSL), należy dołączyć Plik łańcucha certyfikatu lub wygenerować certyfikat podpisany samodzielnie. Dostępne są następujące typy: ASN, PEM i PFX. Można także pobrać pliki aktualizacji za pośrednictwem protokołu HTTPS, który zapewnia większe bezpieczeństwo. Przy zastosowaniu tego protokołu śledzenie transferu danych i poświadczeń podczas logowania jest niemal niemożliwe. Opcja Typ klucza prywatnego jest domyślnie ustawiona na wartość Zintegrowany (dlatego opcja Plik klucza prywatnego jest domyślnie wyłączona), co oznacza, że klucz prywatny jest częścią wybranego pliku łańcucha certyfikatu. 81

82 Po zakończeniu konfigurowania kopii dystrybucyjnej należy wprowadzić na stacjach roboczych nowy adres serwera aktualizacji. W tym celu: W programie ESET Endpoint Security otwórz okno Ustawienia zaawansowane i kliknij gałąź Aktualizacj a > Ogólna. Kliknij opcję Edytuj na prawo od menu rozwijanego Serwer aktualizacj i i dodaj nowy serwer, stosując jeden z następujących formatów: (jeśli używany jest protokół SSL) Wybierz nowo dodany serwer z listy serwerów aktualizacji. Uzyskiwanie dostępu do kopii dystrybucyj nej za pośrednictwem udziałów systemowych Najpierw na urządzeniu lokalnym lub sieciowym należy utworzyć folder udostępniony. Podczas tworzenia folderu przeznaczonego do przechowywania kopii dystrybucyjnych konieczne jest zapewnienie dostępu z uprawnieniami do zapisu dla użytkownika, który będzie zapisywać pliki aktualizacyjne w folderze, oraz dostępu z uprawnieniami do odczytu dla wszystkich użytkowników, którzy będą aktualizować program ESET Endpoint Security, korzystając z tego folderu kopii dystrybucyjnej. Następnie należy skonfigurować dostęp do kopii dystrybucyjnej w sekcji Zaawansowane ustawienia aktualizacj i na karcie Kopia dystrybucyj na, wyłączając opcję Udostępnij pliki aktualizacj i za pośrednictwem wewnętrznego serwera HTTP. Ta opcja jest domyślnie włączona w pakiecie instalacyjnym programu. Jeśli folder udostępniony znajduje się na innym komputerze w sieci, należy wprowadzić dane uwierzytelniające niezbędne do uzyskania dostępu do tego komputera. Aby wprowadzić dane uwierzytelniające, należy w programie ESET Endpoint Security otworzyć okno Ustawienia zaawansowane (klawisz F5) i kliknąć gałąź Aktualizacj a > Ogólna. Należy kliknąć przycisk Ustawienia..., a następnie kliknąć kartę LAN. Jest to identyczne ustawienie, co na potrzeby aktualizacji, i zostało ono opisane w sekcji Połączenie z siecią LAN. Po skonfigurowaniu kopii dystrybucyjnej należy podać na stacjach roboczych lokalizację serwera aktualizacji w formacie \\ŚCIEŻKA_UNC\ŚCIEŻKA. W tym celu: W programie ESET Endpoint Security otwórz okno Ustawienia zaawansowane i kliknij gałąź Aktualizacj a > Ogólna. Kliknij przycisk Edytuj znajdujący się obok serwera aktualizacji i dodaj nowy serwer w formacie \ \ŚCIEŻKA_UNC\ŚCIEŻKA. Wybierz nowo dodany serwer z listy serwerów aktualizacji. UWAGA: Aby zapewnić prawidłowe działanie, ścieżkę do folderu kopii dystrybucyjnej należy podać w formacie UNC. Pobieranie aktualizacji ze zmapowanych dysków może nie działać. Ostatnia sekcja kontroluje komponenty programu (PCU). Domyślnie pobrane komponenty programu są przygotowane do skopiowania do lokalnej kopii dystrybucyjnej. Jeśli pole wyboru znajdujące się obok opcji Aktualizuj komponenty programu jest zaznaczone, nie trzeba klikać opcji Uaktualnij komponenty, ponieważ pliki zostaną automatycznie skopiowane do lokalnej kopii dystrybucyjnej po ich udostępnieniu. Więcej informacji na temat aktualizacji komponentów programu można znaleźć w sekcji Tryb aktualizacji Rozwiązywanie problemów z aktualizacj ą przy użyciu kopii dystrybucyj nej W większości przypadków problemy występujące podczas aktualizacji przy użyciu serwera kopii dystrybucyjnych są powodowane przez co najmniej jedną z następujących przyczyn: nieprawidłowe skonfigurowanie opcji folderu kopii dystrybucyjnej, nieprawidłowe dane uwierzytelniające w folderze kopii dystrybucyjnej, nieprawidłowa konfiguracja na lokalnych stacjach roboczych próbujących pobrać pliki aktualizacji z kopii dystrybucyjnej. Przyczyny te mogą występować razem. Poniżej omówiono najczęstsze problemy dotyczące aktualizacji przy użyciu kopii dystrybucyjnej: Program ESET Endpoint Security zgłasza wystąpienie błędu podczas łączenia się z serwerem kopii dystrybucyj nej ten problem jest prawdopodobnie spowodowany nieprawidłowym skonfigurowaniem serwera aktualizacji (ścieżki sieciowej do folderu kopii dystrybucyjnej), z którego lokalne stacje robocze pobierają aktualizacje. Aby sprawdzić folder, należy kliknąć przycisk Start systemu Windows, kliknąć polecenie Uruchom, wpisać nazwę folderu i kliknąć przycisk OK. Powinna zostać wyświetlona zawartość folderu. Program ESET Endpoint Security wymaga nazwy użytkownika i hasła ten problem jest prawdopodobnie spowodowany nieprawidłowymi danymi uwierzytelniającymi (nazwa użytkownika i hasło) w sekcji aktualizacji. Nazwa użytkownika i hasło umożliwiają uzyskanie dostępu do serwera aktualizacji, który zostanie użyty do zaktualizowania programu. Należy się upewnić, że dane uwierzytelniające są poprawne i zostały wprowadzone we właściwym formacie, na przykład domena/nazwa_użytkownika lub grupa_robocza/nazwa_użytkownika plus odpowiednie hasło. Należy pamiętać, że jeśli serwer kopii dystrybucyjnej jest dostępny dla wszystkich, nie oznacza to przyznania uprawnień dostępu dla każdego użytkownika. Wszyscy nie oznacza dowolnego nieautoryzowanego użytkownika. Oznacza to 82

83 jedynie, że folder jest dostępny dla wszystkich użytkowników w ramach domeny. Dlatego nawet w takim przypadku należy wprowadzić nazwę użytkownika domeny i hasło w sekcji ustawień aktualizacji. Program ESET Endpoint Security zgłasza wystąpienie błędu podczas łączenia się z serwerem kopii dystrybucyj nej komunikacja za pośrednictwem portu określonego dla serwera HTTP udostępniającego kopię dystrybucyjną jest zablokowana Cofanie aktualizacj i W razie podejrzeń, że nowa aktualizacja bazy wirusów może być niestabilna lub uszkodzona, można wycofać zmiany i wrócić do poprzedniej wersji oraz wyłączyć wszelkie aktualizacje na określony czas. Można także włączyć aktualizacje, które zostały wcześniej wyłączone. Program ESET Endpoint Security obejmuje funkcjonalność tworzenia i odtwarzania (czyli cofania zmian) kopii zapasowej modułów bazy wirusów. Aby tworzyć kopie poprzednich wersji bazy danych wirusów, należy pozostawić zaznaczone pole wyboru Zachowaj kopie wcześniej szych plików aktualizacj i. Pole Liczba kopii przechowywanych lokalnie określa liczbę migawek wcześniejszych baz wirusów przechowywanych w systemie plików lokalnego komputera. Po kliknięciu opcji Cofanie zmian (Ustawienia zaawansowane (F5) > Aktualizacj a > Zaawansowane) należy z menu rozwijanego Zawieś aktualizacj e wybrać okres, w którym aktualizacje bazy sygnatur wirusów i modułów programu będą wstrzymane. Aby ręcznie zezwalać na regularne aktualizacje, należy wybrać opcję Do odwołania. Wybór tej opcji nie jest zalecany, ponieważ wnosi ona potencjalne zagrożenie bezpieczeństwa. Jeśli funkcja wycofywania zmian jest włączona, przycisk Cofnij zmiany zmienia się w przycisk Zezwalaj na aktualizacj e. W przedziale czasowym wybranym z menu rozwijanego Przedział czasowy nie będą dozwolone żadne aktualizacje. Baza sygnatur wirusów jest przywracana do najstarszej przechowywanej wersji i zapisywana w postaci kopii w systemie plików lokalnego komputera. Przykład: Przyjmijmy, że numer 6871 oznacza najnowszą wersję bazy sygnatur wirusów. Wersje 6870 i 6868 są przechowywane jako kopie bazy sygnatur wirusów. Należy zwrócić uwagę, że wersja 6869 nie jest dostępna, na przykład z powodu wyłączenia komputera na dłuższy czas. Jeśli w polu Liczba kopii przechowywanych lokalnie została wprowadzona liczba 2 (dwa), po kliknięciu przycisku Cofnij zmiany zostanie przywrócona wersja numer 6868 bazy sygnatur wirusów. Ten proces może zająć pewien czas. To, czy wersja bazy sygnatur wirusów została przywrócona, można sprawdzić w głównym oknie programu ESET Endpoint Security w sekcji Aktualizacja. Opcje konfiguracji lokalnego serwera kopii dystrybucyjnych są dostępne po dodaniu prawidłowego klucza licencyjnego w menedżerze licencji w sekcji zaawansowanych ustawień programu ESET Endpoint Security. Jeśli stacja robocza jest używana jako źródło kopii dystrybucyjnych, kopie aktualizacji muszą mieć zaakceptowaną najnowszą wersję umowy licencyjnej użytkownika końcowego (EULA), aby mogły zostać użyte jako pliki kopii aktualizacji stosowane do aktualizowania innych stacji roboczych w sieci. Jeśli w czasie aktualizacji dostępna jest nowsza wersja umowy EULA, zostanie wyświetlone okno dialogowe z limitem czasu na potwierdzenie wynoszącym 60 sekund. Aby zrobić to ręcznie, należy kliknąć przycisk Ustawienia w sekcji Licencj e PCU tego okna. 83

84 4.5.2 Tworzenie zadań aktualizacj i Aktualizacje można uruchamiać ręcznie, klikając przycisk Aktualizuj bazę sygnatur wirusów w oknie głównym, które pojawia się po kliknięciu w menu głównym przycisku Aktualizacj a. Inną możliwością jest wykonywanie aktualizacji jako zaplanowanych zadań. Aby skonfigurować zaplanowanie zadanie, kliknij kolejno opcje Narzędzia > Harmonogram. Domyślnie w programie ESET Endpoint Security aktywne są następujące zadania: Regularna automatyczna aktualizacj a Automatyczna aktualizacj a po nawiązaniu połączenia modemowego Automatyczna aktualizacj a po zalogowaniu użytkownika Każde z zadań aktualizacji można zmodyfikować zgodnie z potrzebami użytkownika. Oprócz domyślnych zadań aktualizacji można tworzyć nowe zadania z konfiguracją zdefiniowaną przez użytkownika. Więcej szczegółowych informacji na temat tworzenia i konfigurowania zadań aktualizacji można znaleźć w sekcji Harmonogram. 84

85 4.6 Narzędzia Menu Narzędzia zawiera moduły, które upraszczają administrowanie programem i udostępniają dodatkowe opcje dla użytkowników zaawansowanych. To menu zawiera następujące narzędzia: Pliki dziennika Statystyki ochrony Monitor aktywności Działające procesy Harmonogram Kwarantanna Połączenia sieciowe ESET SysInspector Prześlij plik do analizy umożliwia przesłanie podejrzanego pliku do analizy w laboratorium firmy ESET. Okno dialogowe wyświetlane po kliknięciu tej opcji opisano w sekcji Przesyłanie plików do analizy. ESET SysRescue umożliwia uruchomienie kreatora tworzenia płyt ESET SysRescue. 85

86 4.6.1 Pliki dziennika Pliki dziennika zawierają informacje o wszystkich ważnych zdarzeniach, jakie miały miejsce w programie, oraz przegląd wykrytych zagrożeń. Informacje zapisywane w dzienniku są bardzo ważne i przydatne podczas analizy systemu, wykrywania zagrożeń i rozwiązywania problemów. Dziennik jest aktywnie tworzony w tle i nie wymaga żadnych działań ze strony użytkownika. Informacje są zapisywane zgodnie z bieżącymi ustawieniami szczegółowości dziennika. Możliwe jest przeglądanie komunikatów tekstowych i dzienników bezpośrednio w programie ESET Endpoint Security, jak również archiwizowanie dzienników. Pliki dziennika są dostępne z poziomu głównego okna programu po kliknięciu opcji Narzędzia > Pliki dziennika. Wybierz żądany typ dziennika z rozwijanego menu Dziennik. Dostępne są następujące dzienniki: Wykryte zagrożenia dziennik zagrożeń zawiera szczegółowe informacje na temat infekcji wykrytych przez moduły programu ESET Endpoint Security. Podaje on między innymi: datę i godzinę zagrożenia, jego nazwę, lokalizację, przeprowadzone działanie oraz nazwę użytkownika zalogowanego w czasie wykrycia zagrożenia. Dwukrotne kliknięcie dowolnej pozycji dziennika powoduje wyświetlenie jej szczegółów w oddzielnym oknie. Zdarzenia wszystkie ważne działania wykonywane przez program ESET Endpoint Security są zapisywane w dzienniku zdarzeń. Dziennik zdarzeń zawiera informacje na temat zdarzeń i błędów, które wystąpiły w programie. Jest przeznaczony do rozwiązywania problemów przez administratorów i użytkowników systemu. Zawarte w nim informacje często mogą pomóc znaleźć rozwiązanie problemu występującego w programie. Skanowanie komputera w tym oknie są wyświetlane wyniki wszystkich ukończonych operacji skanowania ręcznego i zaplanowanego. Każdy wiersz odpowiada jednej operacji skanowania. Dwukrotne kliknięcie dowolnego wpisu powoduje wyświetlenie szczegółowych informacji na temat danej operacji skanowania. System HIPS zawiera zapisy związane z określonymi regułami, które zostały zaznaczone do rejestrowania. Pozycje dziennika zawierają informacje o aplikacji, która wywołała operację, wyniku (zezwolenie lub zablokowanie reguły) oraz nazwie utworzonej reguły. Zapora osobista w dzienniku zapory są wyświetlane wszystkie ataki zdalne wykryte przez zaporę osobistą. Zawiera on informacje o wszystkich atakach skierowanych przeciwko danemu komputerowi. W kolumnie Zdarzenie są wymienione wykryte ataki. W kolumnie Źródło znajdują się informacje o intruzie. W kolumnie Protokół podany jest protokół sieciowy wykorzystany podczas ataku. Analiza dziennika zapory może pomóc w odpowiednio wczesnym wykryciu próby zainfekowania komputera, dzięki czemu można zapobiec nieautoryzowanemu dostępowi do 86

87 systemu. Ochrona przed spamem zawiera zapisy dotyczące wiadomości oznaczonych jako spam. Kontrola dostępu do stron internetowych wyświetla zablokowane lub dozwolone adresy URL i ich kategorie. Kolumna Wykonana czynność zawiera informacje o sposobie, w jaki zostały zastosowane reguły filtrowania. Kontrola dostępu do urządzeń zawiera zapisy związane z nośnikami wymiennymi i urządzeniami, które były podłączane do komputera. W pliku dziennika zapisywane są informacje dotyczące tylko tych urządzeń, z którymi są związane reguły kontroli dostępu. Jeśli dana reguła nie odpowiada podłączonemu urządzeniu, nie jest dla niego tworzony wpis w dzienniku. Można tu również znaleźć takie szczegóły jak typ urządzenia, numer seryjny, nazwa dostawcy i rozmiar nośnika (jeśli jest dostępny). Informacje wyświetlane w każdym obszarze okna można skopiować bezpośrednio do schowka, zaznaczając żądaną pozycję i klikając przycisk Kopiuj (lub naciskając klawisze Ctrl+C). Do zaznaczenia wielu pozycji można użyć klawiszy CTRL i SHIFT. Kliknięcie prawym przyciskiem myszy określonego rekordu powoduje wyświetlenie menu kontekstowego. W menu kontekstowym są dostępne następujące opcje: Filtruj rekordy tego samego typu po aktywacji tego filtru widoczne będą tylko rekordy tego samego typu (diagnostyka, ostrzeżenia itd.). Filtruj /Znaj dź po kliknięciu tej opcji zostaje otwarte okno Filtrowanie dziennika, w którym można określić kryteria filtrowania. Wyłącz filtr umożliwia wyczyszczenie wszystkich ustawień filtrowania (opisanych powyżej). Kopiuj wszystko umożliwia skopiowanie danych z wszystkich zapisów wyświetlanych w oknie. Usuń/Usuń wszystko umożliwia usunięcie wybranych rekordów albo wszystkich wyświetlanych rekordów (konieczne jest posiadanie uprawnień administratora). Eksportuj umożliwia wyeksportowanie danych z wszystkich rekordów w formacie XML. Przewij aj dziennik pozostawienie tej opcji włączonej powoduje, że w oknie Pliki dziennika stare dzienniki są przewijane automatycznie, a w dziennikach aktywnych są wyświetlane na bieżąco najnowsze operacje Administracj a dziennikami Dostęp do konfiguracji dzienników programu ESET Endpoint Security można uzyskać z poziomu jego okna głównego. W tym celu należy kliknąć kolejno opcje Ustawienia > Wprowadź ustawienia zaawansowane > Narzędzia > Pliki dziennika. W sekcji dzienników można określić sposób zarządzania dziennikami. W celu oszczędzania miejsca na dysku twardym program automatycznie usuwa starsze dzienniki. Można określić następujące opcje plików dziennika: Automatycznie usuwaj rekordy wpisy dziennika starsze niż liczba dni podana w polu Automatycznie usuwaj rekordy starsze niż X (dni) będą automatycznie usuwane. Automatycznie optymalizuj pliki dzienników zaznaczenie tej opcji powoduje automatyczną defragmentację plików dziennika po przekroczeniu stopnia fragmentacji określonego w polu Jeśli liczba nieużywanych rekordów przekracza (%). Aby rozpocząć defragmentację plików dziennika, należy kliknąć opcję Optymalizuj teraz. Wszystkie puste wpisy dzienników są usuwane, co wpływa na wzrost wydajności i szybkości przetwarzania dzienników. Poprawę można zaobserwować zwłaszcza w przypadku dzienników zawierających dużą liczbę wpisów. Minimalna szczegółowość zapisów w dzienniku umożliwia określenie minimalnego poziomu szczegółowości zdarzeń rejestrowanych w dzienniku. Diagnostyczne rejestrowanie informacji potrzebnych do ulepszenia konfiguracji programu, a także wszystkich rekordów wyższych kategorii. Informacyj ne rejestrowanie wszystkich komunikatów informacyjnych, w tym powiadomień o pomyślnych aktualizacjach, oraz wszystkich rekordów wyższych kategorii. Ostrzeżenia rejestrowanie w dzienniku wszystkich błędów krytycznych oraz komunikatów ostrzegawczych. Błędy rejestrowanie błędów typu Błąd podczas pobierania pliku oraz błędów krytycznych. Krytyczne rejestrowanie tylko błędów krytycznych (np. błąd uruchomienia ochrony antywirusowej, zapory osobistej itp.). Aby otworzyć okno Filtrowanie dziennika, należy kliknąć przycisk Filtr domyślny. Należy zaznaczyć typy rekordów, które mają być wyświetlane w dziennikach, a następnie kliknąć przycisk OK. 87

88 4.6.2 Harmonogram Harmonogram służy do zarządzania zaplanowanymi zadaniami i uruchamiania ich ze wstępnie zdefiniowaną konfiguracją. Dostęp do harmonogramu można uzyskać z poziomu głównego okna programu ESET Endpoint Security, klikając Narzędzia > Harmonogram. Okno Harmonogram zawiera listę wszystkich zaplanowanych zadań oraz ich skonfigurowane właściwości, takie jak wstępnie zdefiniowany dzień, godzina i używany profil skanowania. Okno Harmonogram umożliwia planowanie następujących zadań: aktualizowanie bazy sygnatur wirusów, skanowanie, sprawdzanie plików przy uruchamianiu systemu i administrowanie dziennikami. Zadania można dodawać i usuwać bezpośrednio w oknie Harmonogramu, klikając przycisk Dodaj lub Usuń widoczny w jego dolnej części. Klikając prawym przyciskiem myszy w oknie Harmonogramu zadań, można: wyświetlić szczegółowe informacje, zażądać natychmiastowego wykonania zadania, dodać nowe zadanie lub usunąć istniejące zadanie. Poszczególne pozycje można aktywować i dezaktywować za pomocą wyświetlanych obok nich pól wyboru. Domyślnie w oknie Harmonogram są wyświetlane następujące zaplanowane zadania: Administracj a dziennikami Regularna automatyczna aktualizacj a Automatyczna aktualizacj a po nawiązaniu połączenia modemowego Automatyczna aktualizacj a po zalogowaniu użytkownika Automatyczne sprawdzanie plików przy uruchamianiu (po zalogowaniu użytkownika) Automatyczne sprawdzanie plików przy uruchamianiu (po pomyślnej aktualizacji bazy sygnatur wirusów) Aby zmodyfikować konfigurację istniejącego zaplanowanego zadania (zarówno domyślnego, jak i zdefiniowanego przez użytkownika), kliknij prawym przyciskiem myszy zadanie i wybierz opcję Edytuj lub wybierz zadanie, które ma zostać zmodyfikowane, i kliknij przycisk Edytuj. Dodawanie nowego zadania 1. Kliknij przycisk Dodaj w dolnej części okna. 2. Wybierz odpowiednie zadanie z menu rozwijanego. 88

89 3. Wprowadź nazwę zadania i wybierz jedną z opcji określających częstotliwość jego wykonywania: Jednorazowo zadanie zostanie wykonane tylko raz, w wybranym dniu o wybranej godzinie. Wielokrotnie zadanie będzie wykonywane w określonych odstępach (podawanych w godzinach). Codziennie zadanie będzie uruchamiane codziennie o określonej godzinie. Cotygodniowo zadanie będzie uruchamiane raz lub kilka razy w tygodniu, w wybranych dniach i o ustalonych godzinach. Po wystąpieniu zdarzenia zadanie będzie wykonywane po wystąpieniu określonego zdarzenia. 4. W zależności od wybranej w poprzednim punkcie częstotliwości wykonywania zadania może się pojawić jedno z następujących okien dialogowych: Jednorazowo zadanie zostanie wykonane w wybranym dniu o wybranej godzinie. Wielokrotnie zadanie będzie wykonywane w określonych przedziałach czasowych. Codziennie Zadanie będzie uruchamiane codziennie o określonej godzinie. Cotygodniowo zadanie będzie wykonywane w wybranym dniu tygodnia o ustalonej godzinie. 5. Jeśli zadanie nie mogło zostać uruchomione o ustalonej porze, można określić, kiedy ma zostać wykonane ponownie: Czekaj do następnego zaplanowanego terminu Uruchom zadanie jak najszybciej Uruchom zadanie natychmiast, jeśli od ostatniego wykonania upłynęło ponad (godziny) 6. W ostatnim kroku można jeszcze raz przejrzeć szczegóły zadania, które ma zostać umieszczone w harmonogramie. Aby je zatwierdzić, należy kliknąć przycisk Zakończ. 89

90 Tworzenie nowych zadań Aby utworzyć nowe zadanie w Harmonogramie, kliknij przycisk Dodaj lub kliknij prawym przyciskiem myszy i z menu kontekstowego wybierz opcję Dodaj. Dostępnych jest pięć typów zaplanowanych zadań: Uruchom aplikacj ę zewnętrzną umożliwia zaplanowanie uruchomienia aplikacji zewnętrznej. Administracj a dziennikami pliki dziennika zawierają także pozostałości usuniętych rekordów. To zadanie regularnie przeprowadza optymalizację rekordów w plikach dzienników w celu usprawnienia działania. Sprawdzanie plików wykonywanych przy uruchamianiu systemu umożliwia sprawdzenie plików, które mogą być wykonywane podczas uruchamiania systemu lub logowania. Tworzenie zapisu bieżącego stanu komputera powoduje utworzenie zapisu bieżącego stanu komputera przy użyciu programu ESET SysInspector przez zebranie szczegółowych informacje o komponentach systemu (m.in. sterownikach i aplikacjach) oraz ocenę poziomu ryzyka każdego komponentu. Skanowanie komputera umożliwia skanowanie plików i folderów na komputerze. Aktualizacj a umożliwia zaplanowanie zadania polegającego na aktualizowaniu bazy sygnatur wirusów oraz aktualizowaniu modułów programu. Sprawdzanie dostępności naj nowszej wersj i produktu Ponieważ jednym z najczęściej używanych zadań planowanych jest Aktualizacj a, poniżej został przedstawiony sposób dodawania nowego zadania aktualizacji. 90

91 Z menu rozwijanego Zaplanowane zadanie wybierz opcję Aktualizacj a. Kliknij przycisk Dalej i wprowadź nazwę zadania w polu Nazwa zadania. Wybierz częstotliwość zadania. Dostępne są następujące opcje: Jednorazowo, Wielokrotnie, Codziennie, Cotygodniowo i Po wystąpieniu zdarzenia. Włączenie opcji Nie uruchamiaj zadania, j eśli komputer j est zasilany z baterii umożliwia zmniejszenie wykorzystania zasobów systemowych podczas działania komputera przenośnego z zasilaniem akumulatorowym. Zależnie od wybranej częstotliwości zostaną wyświetlone różne parametry aktualizacji. Następnie zdefiniuj czynność podejmowaną w przypadku, gdy nie można wykonać lub zakończyć zadania w zaplanowanym czasie. Dostępne są następujące trzy opcje: Czekaj do następnego zaplanowanego terminu Uruchom zadanie j ak naj szybciej Uruchom zadanie natychmiast, j eśli od ostatniego wykonania upłynął określony czas (można go określić za pomocą pola przewijania odstępu między zadaniami) W kolejnym kroku zostanie wyświetlone okno z podsumowaniem informacji dotyczących bieżącego zaplanowanego zadania. Opcja Uruchom zadanie z określonymi parametrami powinna być automatycznie włączona. Kliknij przycisk Zakończ. Zostanie wyświetlone okno dialogowe umożliwiające wybranie profili używanych z zaplanowanym zadaniem. W tym miejscu można określić profil główny i profil alternatywny (używany w przypadku braku możliwości wykonania zadania przy użyciu profilu głównego). Potwierdź zmiany, klikając przycisk OK w oknie Profile aktualizacj i. Nowe zaplanowane zadanie zostanie dodane do listy aktualnie zaplanowanych zadań Statystyki ochrony Aby wyświetlić wykres danych statystycznych dotyczących modułów ochrony programu ESET Endpoint Security, należy kliknąć opcję Narzędzia > Statystyki ochrony. Z rozwijanego menu Statystyka należy wybrać żądany moduł ochrony, aby wyświetlić odpowiedni wykres i legendę. Po wskazaniu kursorem pozycji w legendzie na wykresie wyświetlone zostaną tylko dane dotyczące tej pozycji. 91

92 Dostępne są następujące wykresy statystyczne: Antywirus i antyspyware wyświetla liczbę zarażonych i wyleczonych obiektów. Ochrona systemu plików wyświetlane są tylko obiekty odczytane z systemu plików lub w nim zapisane. Ochrona programów poczty zawiera jedynie obiekty wysłane lub odebrane za pośrednictwem programów poczty . Ochrona dostępu do stron internetowych prezentuje tylko obiekty pobrane przy użyciu przeglądarek internetowych. Ochrona przed spamem programów poczty udostępnia historię statystyki antyspamowej od ostatniego uruchomienia. Pod wykresami danych statystycznych są wyświetlane: łączna liczba przeskanowanych obiektów, ostatnio skanowany obiekt oraz okres, z którego pochodzą prezentowane dane. Kliknięcie przycisku Resetuj powoduje usunięcie wszystkich danych statystycznych Monitor aktywności Aby wyświetlić aktualny wykres Działanie systemu plików, kliknij opcję Narzędzia > Monitor aktywności. U dołu wykresu znajduje się oś czasu, na której w czasie rzeczywistym rejestrowane są działania w systemie plików (na podstawie wybranego przedziału czasowego). Aby zmienić długość tego przedziału, kliknij opcję Krok 1 znajdującą się w prawej dolnej części okna. Dostępne są następujące opcje: Krok 1: sekunda (ostatnie 10 minut) wykres jest odświeżany co sekundę, a oś czasu odpowiada ostatnim 10 minutom. Krok 1: minuta (ostatnie 24 godziny) wykres jest odświeżany co minutę, a oś czasu odpowiada ostatnim 24 godzinom. Krok 1: godzina (ostatni miesiąc) wykres jest odświeżany co godzinę, a oś czasu odpowiada ostatniemu miesiącowi. Krok 1: godzina (wybrany miesiąc) wykres jest odświeżany co godzinę, a oś czasu odpowiada ostatnim X wybranym miesiącom. Na osi pionowej w obszarze Wykres działań w systemie plików prezentowana jest ilość danych odczytanych (kolor niebieski) i zapisanych (kolor czerwony). Obydwie wartości są podawane w KB (kilobajtów)/mb/gb. Po wskazaniu 92

93 kursorem danych odczytanych lub zapisanych (na legendzie umieszczonej pod wykresem) wyświetlane będą tylko dane dotyczące wybranego typu działania. Z menu rozwijanego Działanie można także wybrać opcję Działanie w sieci. Wykres oraz opcje dla ustawienia Działania w systemie plików i Działanie w sieci są identyczne, ale w drugim przypadku prezentowana jest ilość danych odebranych (kolor niebieski) i wysłanych (kolor czerwony) ESET SysInspector ESET SysInspector to aplikacja dokładnie sprawdzająca komputer, przeprowadzająca szczegółową analizę komponentów systemu, na przykład zainstalowanych sterowników i aplikacji, połączeń sieciowych lub ważnych wpisów w rejestrze, oraz oceniająca poziom ryzyka dotyczący każdego komponentu. Na podstawie tych informacji można określić przyczynę podejrzanego zachowania systemu, które może wynikać z niezgodności oprogramowania lub sprzętu bądź zarażenia szkodliwym oprogramowaniem. W oknie programu SysInspector wyświetlane są następujące informacje na temat utworzonych dzienników: Godzina godzina utworzenia dziennika. Komentarz krótki komentarz. Użytkownik nazwa użytkownika, który utworzył dziennik. Stan stan procesu tworzenia dziennika. Dostępne są następujące czynności: Porównaj umożliwia porównanie dwóch istniejących dzienników. Utwórz umożliwia utworzenie nowego dziennika. Należy poczekać, aż dziennik programu ESET SysInspector zostanie utworzony (jego atrybut Stan będzie mieć wartość Utworzono) Usuń powoduje usunięcie wybranych dzienników z listy. Po kliknięciu prawym przyciskiem myszy jednego lub większej liczby zaznaczonych dzienników pojawia się menu kontekstowe z następującymi opcjami: Pokaż umożliwia otwarcie wybranego dziennika w programie ESET SysInspector (tak samo jak po dwukrotnym kliknięciu dziennika). Usuń wszystko powoduje usunięcie wszystkich dzienników. Eksportuj umożliwia wyeksportowanie dziennika do pliku.xml lub skompresowanego pliku.xml ESET Live Grid ESET Live Grid (nowa generacja technologii ThreatSense.Net firmy ESET) to wykorzystujący reputację zaawansowany system ostrzegania przed najnowszymi zagrożeniami. Dzięki przesyłaniu strumieniowemu informacji dotyczących zagrożeń z chmury (proces odbywa się w czasie rzeczywistym) laboratorium firmy ESET zapewnia aktualność zabezpieczeń i stały poziom ochrony. Użytkownik może sprawdzić reputację działających procesów i plików bezpośrednio z poziomu interfejsu programu lub menu kontekstowego, korzystając z dodatkowych informacji dostępnych dzięki technologii ESET Live Grid. Istnieją dwie możliwości: 1. Użytkownik może pozostawić technologię ESET Live Grid wyłączoną. Funkcjonalność oprogramowania nie ulegnie zmniejszeniu, a użytkownik nadal będzie otrzymywać najlepszą ochronę. 2. W systemie ESET Live Grid można skonfigurować przesyłanie anonimowych informacji o nowych zagrożeniach i lokalizacjach nowego niebezpiecznego kodu. Ten plik może być przesyłany do firmy ESET w celu szczegółowej analizy. Zbadanie zagrożeń pomoże firmie ESET ulepszać metody ich wykrywania. System ESET Live Grid zgromadzi informacje o komputerze użytkownika powiązane z nowo wykrytymi zagrożeniami. Te informacje mogą zawierać próbkę lub kopię pliku, w którym wystąpiło zagrożenie, ścieżkę dostępu do tego pliku, nazwę pliku, datę i godzinę, proces, za którego pośrednictwem zagrożenie pojawiło się na komputerze, oraz informacje o systemie operacyjnym komputera. Domyślnie program ESET Endpoint Security jest skonfigurowany do przesyłania podejrzanych plików do szczegółowej analizy w laboratorium firmy ESET. Pliki z określonymi rozszerzeniami, takimi jak doc lub xls, są zawsze wyłączane z procesu przesyłania. Można również dodać inne rozszerzenia, jeśli istnieją pliki, które użytkownik lub jego firma życzy sobie wyłączyć z procesu przesyłania. 93

94 Menu ustawień systemu ESET Live Grid zawiera opcje umożliwiające włączanie lub wyłączanie systemu ESET Live Grid, którego zadaniem jest przesyłanie do laboratoriów firmy ESET podejrzanych plików i anonimowych informacji statystycznych. Jest ono dostępne w drzewie ustawień zaawansowanych po kliknięciu opcji Narzędzia > ESET Live Grid. Przyłącz się do systemu ESET Live Grid umożliwia włączanie/wyłączanie systemu ESET Live Grid, którego zadaniem jest przesyłanie do laboratoriów firmy ESET podejrzanych plików i anonimowych informacji statystycznych. Nie przesyłaj statystyk tę opcję należy wybrać, aby moduł ESET Live Grid nie przesyłał anonimowych informacji o komputerze użytkownika. Te informacje dotyczą nowo wykrytych zagrożeń i mogą obejmować nazwę infekcji, datę i godzinę jej wykrycia, wersję programu ESET Endpoint Security, dane na temat wersji systemu operacyjnego komputera i jego ustawień regionalnych. Zazwyczaj statystyki są przesyłane do serwera firmy ESET raz lub dwa razy dziennie. Nie przesyłaj plików podejrzane pliki, których zawartość lub działanie mogą stwarzać zagrożenia, nie będą przesyłane do firmy ESET do analizy za pośrednictwem systemu ESET Live Grid. Ustawienia zaawansowane umożliwia otwarcie okna z dodatkowymi ustawieniami systemu ESET Live Grid. Jeśli system ESET Live Grid był używany wcześniej i został wyłączony, mogą jeszcze pozostawać pakiety do wysłania. W takiej sytuacji, pomimo wyłączenia tej opcji, pakiety zostaną wysłane do firmy ESET przy najbliższej okazji. Później nie będą już tworzone żadne nowe pakiety Podej rzane pliki Karta Pliki w ustawieniach zaawansowanych systemu ESET Live Grid umożliwia skonfigurowanie sposobu przesyłania zagrożeń do laboratorium firmy ESET w celu przeprowadzenia analizy. Po wykryciu podejrzanego pliku na komputerze można go przesłać do analizy w laboratorium firmy. Jeśli plik okaże się szkodliwą aplikacją, informacje potrzebne do jej wykrywania zostaną dodane do kolejnej aktualizacji bazy sygnatur wirusów. Filtr wyłączeń umożliwia wyłączenie określonych plików i folderów z przesyłania. Wymienione pliki nigdy nie będą wysyłane do analizy w firmie ESET, nawet jeśli będą zawierały podejrzany kod. Warto na przykład wyłączyć pliki, które mogą zawierać poufne informacje, takie jak dokumenty lub arkusze kalkulacyjne. Najpopularniejsze typy plików należących do tej kategorii (np. DOC) są wyłączone domyślnie. Do listy wyłączonych plików można dodawać inne typy plików. Kontaktowy adres (opcj onalnie) wraz z podejrzanymi plikami można wysyłać adres , który będzie używany do kontaktowania się z użytkownikiem, gdy przeprowadzenie analizy będzie wymagało dodatkowych informacji. Należy zauważyć, że specjaliści z firmy ESET kontaktują się z użytkownikiem tylko w szczególnych przypadkach, gdy wymagane są dodatkowe informacje. W tej sekcji można także wybrać, czy pliki i informacje statystyczne mają być przesyłane przy użyciu zdalnej administracji firmy ESET (Remote Administrator), czy bezpośrednio do firmy ESET. Aby mieć pewność, że podejrzane pliki i informacje statystyczne zostaną dostarczone do firmy ESET, należy wybrać opcję Przy użyciu zdalnej administracj i (Remote Administrator) lub bezpośrednio do firmy ESET. W takim przypadku pliki i informacje statystyczne będą przesyłane za pośrednictwem wszelkich dostępnych metod. Przesyłanie podejrzanych plików przy użyciu administracji zdalnej powoduje dostarczanie plików i informacji statystycznych do serwera administracji zdalnej, skąd są następnie przesyłane do laboratorium firmy ESET. W przypadku wybrania opcji Bezpośrednio do firmy ESET wszystkie podejrzane pliki i informacje statystyczne będą wysyłane do laboratorium firmy ESET bezpośrednio z programu. Wybranie opcji Włącz zapisywanie w dzienniku powoduje utworzenie dziennika zdarzeń, w którym będą rejestrowane wysyłane pliki i informacje statystyczne. Rejestrowanie w dzienniku zdarzeń następuje podczas wysyłania plików lub danych statystycznych. 94

95 4.6.7 Działaj ące procesy Funkcja Działające procesy wyświetla uruchomione na komputerze programy lub procesy oraz natychmiastowo i w sposób ciągły informuje firmę ESET o nowych infekcjach. Program ESET Endpoint Security dostarcza szczegółowych informacji o uruchomionych procesach i chroni użytkowników dzięki zastosowaniu technologii ESET Live Grid. Proces nazwa obrazu programu lub procesu, który jest obecnie uruchomiony na komputerze. Aby zobaczyć wszystkie procesy uruchomione na komputerze, można również skorzystać z Menedżera zadań systemu Windows. Aby otworzyć Menedżera zadań, należy kliknąć prawym przyciskiem myszy puste miejsce na pasku zadań i kliknąć opcję Menedżer zadań albo nacisnąć klawisze Ctrl+Shift+Esc na klawiaturze. Poziom ryzyka w większości przypadków produkt ESET Endpoint Security i technologia ESET Live Grid przypisują obiektom (plikom, procesom, kluczom rejestru itd.) poziomy ryzyka, używając do tego wielu reguł heurystyki. Na podstawie tych reguł badana jest charakterystyka danego obiektu, a następnie oceniana możliwość jego szkodliwego działania. Na podstawie analizy heurystycznej obiektom przypisywane są poziomy ryzyka od 1 (Czysty kolor zielony) do 9 (Ryzykowny kolor czerwony). UWAGA: Znane aplikacje oznaczone jako Czysty (kolor zielony) są całkowicie bezpieczne (biała lista) i zostaną wyłączone ze skanowania, co zwiększy prędkość skanowania dostępnego po włączeniu opcji Skanowanie komputera na żądanie i Ochrona systemu plików w czasie rzeczywistym na komputerze użytkownika. Liczba użytkowników liczba użytkowników korzystających z danej aplikacji. Te informacje są zbierane przez technologię ESET Live Grid. Czas wykrycia okres od wykrycia aplikacji przez technologię ESET Live Grid. UWAGA: Poziom bezpieczeństwa aplikacji oznaczony jako Nieznany (kolor pomarańczowy) nie zawsze wskazuje, że stanowi ona złośliwe oprogramowanie. Zwykle jest to po prostu nowa aplikacja. Jeśli nie ma pewności co do bezpieczeństwa pliku, można przesłać plik do analizy w laboratorium firmy ESET. Jeśli okaże się, że jest to szkodliwa aplikacja, możliwość jej wykrycia zostanie dodana do jednej z przyszłych aktualizacji. Nazwa aplikacj i nazwa programu lub procesu. Otwórz w nowym oknie informacje o uruchomionych procesach zostaną otwarte w nowym oknie. 95

96 Kliknięcie danej aplikacji u dołu spowoduje wyświetlenie następujących informacji u dołu okna: Plik lokalizacja aplikacji na komputerze. Rozmiar pliku Rozmiar pliku w kilobajtach (KB) lub megabajtach (MB). Opis pliku charakterystyka pliku oparta na jego opisie w systemie operacyjnym. Nazwa firmy nazwa dostawcy lub procesu aplikacji. Wersj a pliku informacje od wydawcy aplikacji. Nazwa produktu nazwa aplikacji i/lub nazwa handlowa. UWAGA: Można również sprawdzić reputację plików, które nie funkcjonują jako uruchomione programy/procesy. W tym celu należy zaznaczyć pliki, które mają zostać sprawdzone, kliknąć je prawym przyciskiem myszy i z menu kontekstowego wybrać kolejno pozycje Opcj e zaawansowane > Sprawdź reputacj ę pliku przy użyciu ESET Live Grid Połączenia sieciowe W sekcji Połączenia sieciowe wyświetlana jest lista aktywnych i oczekujących połączeń. Dzięki temu łatwiej jest kontrolować wszystkie aplikacje nawiązujące połączenia wychodzące. W pierwszym wierszu jest wyświetlana nazwa aplikacji i szybkość transmisji danych. Aby zobaczyć listę połączeń nawiązanych przez aplikację (i inne szczegółowe informacje), należy kliknąć znak +. Aplikacj a/lokalny adres IP nazwa aplikacji, lokalne adresy IP i porty komunikacyjne. Zdalny adres IP adres IP i numer portu konkretnego komputera zdalnego. Protokół używany protokół transmisji danych. Prędkość przekazywania/prędkość pobierania bieżąca szybkość wysyłania i odbierania danych. 96

97 Wysłano/Odebrano ilość danych przesłanych w ramach połączenia. Otwórz w nowym oknie powoduje wyświetlanie informacji w osobnym oknie. Opcja Konfiguruj widok połączenia na ekranie połączeń sieciowych umożliwia przejście do struktury ustawień zaawansowanych tej sekcji, w której można modyfikować opcje widoku połączeń: Rozwiąż nazwy komputerów w sieci jeśli jest to możliwe, wszystkie adresy sieciowe są wyświetlane w formacie DNS, a nie w postaci liczbowych adresów IP. Pokaż tylko połączenia protokołu TCP na liście są wyświetlane tylko połączenia realizowane w ramach pakietu protokołów TCP. Pokaż połączenia z otwartymi portami, na których nasłuchuj e komputer zaznaczenie tej opcji powoduje wyświetlanie tylko tych połączeń, w których w danym czasie nie odbywa się wymiana danych, ale dla których zarezerwowano w systemie otwarty port i trwa oczekiwanie na nawiązanie komunikacji. Pokaż również połączenia lokalne komputera zaznaczenie tej opcji powoduje wyświetlanie tylko tych połączeń, których stroną zdalną jest system lokalny, czyli tak zwanych połączeń hosta lokalnego. Kliknięcie połączenia prawym przyciskiem myszy powoduje wyświetlenie dodatkowych opcji: Odmów komunikacj i dla połączenia kończy ustanowione połączenie. Ta opcja jest dostępna tylko po kliknięciu aktywnego połączenia. Pokaż szczegóły wybranie tej opcji pozwala wyświetlić szczegółowe informacje na temat wybranego połączenia. Szybkość odświeżania wybierz częstotliwość odświeżania aktywnych połączeń. Odśwież teraz powoduje zaktualizowanie okna Połączenia sieciowe. Kolejne opcje są dostępne tylko po kliknięciu aplikacji lub procesu, a nie aktywnego połączenia: Tymczasowo odmów połączenia dla procesu powoduje odrzucenie bieżących połączeń danej aplikacji. Jeśli zostanie ustanowione nowe połączenie, zapora użyje wstępnie zdefiniowanej reguły. Opis ustawień można znaleźć w sekcji Reguły i strefy. Tymczasowo zezwól na połączenie procesu powoduje zezwolenie na bieżące połączenia danej aplikacji. Jeśli zostanie ustanowione nowe połączenie, zapora użyje wstępnie zdefiniowanej reguły. Opis ustawień można znaleźć w sekcji Reguły i strefy. 97

98 4.6.9 Kwarantanna Główną funkcją kwarantanny jest bezpieczne przechowywanie zainfekowanych plików. Pliki należy poddawać kwarantannie w przypadku, gdy nie można ich wyleczyć, gdy ich usunięcie nie jest bezpieczne lub zalecane oraz gdy są one nieprawidłowo wykrywane przez program ESET Endpoint Security. Kwarantanną można objąć dowolny plik. Takie działanie jest zalecane, jeśli plik zachowuje się w podejrzany sposób, ale nie jest wykrywany przez skaner antywirusowy. Pliki poddane kwarantannie można przesyłać do analizy w laboratorium firmy ESET. Pliki przechowywane w folderze kwarantanny mogą być wyświetlane w tabeli zawierającej datę i godzinę poddania kwarantannie, ścieżkę do pierwotnej lokalizacji zainfekowanego pliku, rozmiar pliku w bajtach, powód (np. obiekt dodany przez użytkownika) oraz liczbę zagrożeń (np. jeśli plik jest archiwum zawierającym wiele infekcji). Poddawanie plików kwarantannie Program ESET Endpoint Security automatycznie poddaje usunięte pliki kwarantannie (jeśli nie anulowano tej opcji w oknie alertu). W razie potrzeby można ręcznie poddać kwarantannie dowolny podejrzany plik, klikając przycisk Kwarantanna. W takim przypadku oryginalny plik nie zostanie usunięty z pierwotnej lokalizacji. Tę samą czynność można również wykonać z poziomu menu kontekstowego. Należy kliknąć prawym przyciskiem myszy w oknie Kwarantanna i wybrać polecenie Kwarantanna. Przywracanie plików z kwarantanny Pliki poddane kwarantannie można przywrócić do ich pierwotnej lokalizacji. W tym celu należy użyć funkcji Przywróć, która jest dostępna w menu kontekstowym po kliknięciu prawym przyciskiem myszy danego pliku w oknie Kwarantanna. Jeżeli plik jest oznaczony jako potencjalnie niepożądana aplikacja, opcja Przywróć i wyłącz ze skanowania jest włączona. Więcej informacji na temat aplikacji tego typu można znaleźć w słowniczku. Menu kontekstowe zawiera także opcję Przywróć do umożliwiającą przywrócenie pliku do lokalizacji innej niż ta, z której został usunięty. UWAGA: Jeżeli program przez pomyłkę podda kwarantannie nieszkodliwy plik, po jego przywróceniu należy wyłączyć ten plik ze skanowania i wysłać go do działu obsługi klienta firmy ESET. 98

99 Przesyłanie pliku z kwarantanny Jeśli poddano kwarantannie podejrzany plik, który nie został wykryty przez program, lub jeśli plik został błędnie oceniony jako zarażony (np. w wyniku analizy heurystycznej kodu) i następnie poddany kwarantannie, należy go przesłać do laboratorium firmy ESET. Aby przesłać plik z kwarantanny, należy kliknąć go prawym przyciskiem myszy i z menu kontekstowego wybrać polecenie Prześlij do analizy Przesyłanie plików do analizy Okno dialogowe przesyłania plików umożliwia wysłanie do firmy ESET pliku do analizy. Aby je otworzyć, należy przejść do opcji Narzędzia > Prześlij plik do analizy. W przypadku znalezienia na komputerze podejrzanego pliku można go wysłać do laboratorium firmy ESET, gdzie zostanie poddany analizie. Jeśli okaże się, że jest to szkodliwa aplikacja, możliwość jej wykrycia zostanie dodana do jednej z przyszłych aktualizacji. Plik można też przesłać pocztą . W tym celu należy go skompresować za pomocą programu WinRAR lub WinZIP, szyfrując archiwum przy użyciu hasła infected. Tak przygotowane archiwum należy wysłać na adres samples@eset. com. Prosimy pamiętać o wpisaniu opisowego tematu wiadomości i podaniu wszystkich możliwych informacji na temat podejrzanego pliku (może to być np. adres witryny internetowej, z której został on pobrany). UWAGA: Przed przesłaniem pliku do firmy ESET należy się upewnić, że spełnia on co najmniej jedno z następujących kryteriów: plik nie jest w ogóle wykrywany, plik jest błędnie wykrywany jako zagrożenie. Nie odpowiadamy na otrzymane wiadomości, chyba że do przeprowadzenia analizy potrzebujemy dodatkowych informacji. Z menu rozwijanego Powód przesyłania pliku należy wybrać opis, który najlepiej charakteryzuje przekazywaną wiadomość: Podej rzany plik, Fałszywy alarm (plik wykryty jako infekcja, lecz nie zarażony) oraz Inne. Plik ścieżka dostępu do pliku, który ma zostać przesłany. Kontaktowy adres adres ten jest wysyłany do firmy ESET razem z podejrzanymi plikami. Może on zostać wykorzystany w celu nawiązania kontaktu, jeśli analiza wymaga dalszych informacji na temat przesłanych plików. Wprowadzenie adresu kontaktowego jest opcjonalne. Jeśli nie jest to konieczne, firma ESET nie odpowiada na zgłoszenia. Jest to spowodowane tym, że nasze serwery codziennie odbierają dziesiątki tysięcy plików, więc nie da się odpowiedzieć każdemu nadawcy. 99

100 Alerty i powiadomienia Program ESET Endpoint Security obsługuje wysyłanie wiadomości po wystąpieniu zdarzenia o wybranym poziomie szczegółowości. Aby włączyć tę funkcję i aktywować powiadomienia pocztą , należy kliknąć pole wyboru Wysyłaj powiadomienia o zdarzeniach pocztą . Serwer SMTP serwer SMTP używany do wysyłania powiadomień. Uwaga: Serwery SMTP z szyfrowaniem SSL/TLS nie są obsługiwane przez program ESET Endpoint Security. Serwer SMTP wymaga uwierzytelniania jeśli serwer SMTP wymaga uwierzytelniania, należy wypełnić odpowiednie pola, podając prawidłową nazwę użytkownika i hasło dostępu do tego serwera. Adres nadawcy w tym polu można wpisać adres nadawcy, który będzie wyświetlany w nagłówkach wiadomości z powiadomieniami. Adres odbiorcy w tym polu można podać adres odbiorcy, który będzie wyświetlany w nagłówkach wiadomości z powiadomieniami. Wysyłaj powiadomienia o zdarzeniach do komputerów w sieci LAN za pomocą usługi Posłaniec po zaznaczeniu tego pola wyboru wiadomości do komputerów w sieci LAN będą wysyłane za pośrednictwem usługi wiadomości błyskawicznych systemu Windows. Wysyłaj powiadomienia do następuj ących komputerów (nazwy oddzielone przecinkami) można tu wprowadzić nazwy komputerów, które mają otrzymywać powiadomienia wysyłane za pośrednictwem usługi wiadomości błyskawicznych systemu Windows. Odstęp czasu między wysyłaniem wiadomości (s.) wprowadzając żądaną liczbę sekund, można zmienić czas między kolejnymi powiadomieniami rozsyłanymi w sieci LAN. Minimalna szczegółowość powiadomień umożliwia określenie minimalnego poziomu szczegółowości wysyłanych powiadomień. Edytuj format... komunikacja między programem a zdalnym użytkownikiem lub administratorem systemu odbywa się za pomocą wiadomości lub powiadomień rozsyłanych w sieci LAN (za pośrednictwem usługi wiadomości błyskawicznych systemu Windows ). Domyślny format alertów i powiadomień będzie w większości przypadków optymalny. W pewnych okolicznościach może się jednak zdarzyć, że konieczna będzie zmiana formatu wiadomości kliknij opcję Edytuj format. 100

101 Format wiadomości W tym miejscu można skonfigurować format wiadomości o zdarzeniu, które są wyświetlane na komputerach zdalnych. Wiadomości będące alertami o zagrożeniach i powiadomieniami mają wstępnie zdefiniowany format domyślny. Zaleca się nie zmieniać tego formatu. W pewnych okolicznościach (takich jak korzystanie z automatycznego systemu przetwarzania poczty) zmiana formatu może być konieczna. W treści wiadomości słowa kluczowe (ciągi oddzielane znakami %) są odpowiednio zastępowane konkretnymi informacjami. Dostępne są następujące słowa kluczowe: %TimeStamp% data i godzina wystąpienia zdarzenia. %Scanner% moduł, którego dotyczy zdarzenie. %ComputerName% nazwa komputera, na którym wystąpił alert. %ProgramName% program, który wygenerował alert. %InfectedObj ect% nazwa zainfekowanego pliku, wiadomości itp. %VirusName% identyfikacja infekcji. %ErrorDescription% opis zdarzenia niezwiązanego z wirusem. Słowa kluczowe %InfectedObj ect% i %VirusName% są używane tylko w wiadomościach ostrzegających o zagrożeniach, a słowo kluczowe %ErrorDescription% tylko w wiadomościach o zdarzeniach. Użyj alfabetu lokalnego przekształca wiadomość na postać kodowaną znakami ANSI w oparciu o ustawienia regionalne systemu Windows (np. windows-1250). W przypadku pozostawienia tej opcji bez zaznaczenia wiadomość zostanie przekształcona i zakodowana w postaci 7-bitowych znaków ASCII (np. ą zostanie zamienione na a, a nieznane symbole na? ). Użyj lokalnego kodowania znaków źródło wiadomości zostanie zakodowane w formacie Quoted-printable (QP), w którym wykorzystywane są znaki ASCII oraz prawidłowo przekazywane w wiadomościach specjalne znaki narodowe w formacie 8-bitowym (áéíóú) Aktualizacj e systemu Funkcja aktualizacji systemu Windows stanowi istotny element ochrony użytkowników przed szkodliwym oprogramowaniem. Z tego powodu konieczne jest instalowanie aktualizacji systemu Microsoft Windows, gdy tylko stają się dostępne. Program ESET Endpoint Security powiadamia o brakujących aktualizacjach zgodnie z poziomem określonym przez użytkownika. Dostępne są następujące poziomy: Brak aktualizacj i żadne aktualizacje systemu nie będą proponowane do pobrania. Aktualizacj e opcj onalne proponowane będzie pobranie aktualizacji o priorytecie niskim lub wyższym. Aktualizacj e zalecane proponowane będzie pobranie aktualizacji o priorytecie zwykłym lub wyższym. Ważne aktualizacj e proponowane będzie pobranie aktualizacji o priorytecie ważne lub wyższym. Aktualizacj e krytyczne proponowane będzie tylko pobranie aktualizacji krytycznych. Aby zapisać zmiany, należy kliknąć przycisk OK. Okno Aktualizacje systemu zostanie wyświetlone po sprawdzeniu stanu serwera aktualizacji. Dlatego informacje o aktualizacjach systemu mogą nie być dostępne natychmiast po zapisaniu zmian Diagnostyka Diagnostyka umożliwia wykonywanie zrzutów pamięci w przypadku awarii aplikacji związanych z procesami oprogramowania firmy ESET (np. ekrn). Jeśli aplikacja ulega awarii, generowany jest zrzut pamięci. Może to pomóc programistom w usuwaniu błędów i eliminowaniu rozmaitych problemów związanych z programem ESET Endpoint Security. Dostępne są dwa typy zrzutów: Pełny zrzut pamięci umożliwia zarejestrowanie całej zawartości pamięci systemu, gdy aplikacja nieoczekiwanie przestanie działać. Pełny zrzut pamięci może zawierać dane z procesów, które były uruchomione w trakcie jego tworzenia. Minizrzut umożliwia zarejestrowanie najmniejszego zbioru użytecznych informacji, które mogą być pomocne w wykryciu przyczyny nieoczekiwanej awarii aplikacji. Ten rodzaj pliku zrzutu jest przydatny w sytuacji ograniczonej ilości wolnego miejsca na dysku. Jednak ze względu na niewielką ilość zawartych w nim informacji analiza jego zawartości może nie wystarczyć do wykrycia błędów, które nie były bezpośrednio spowodowane przez wątek działający w chwili wystąpienia problemu. Aby wyłączyć tę funkcję, należy zaznaczyć pole wyboru Nie sporządzaj zrzutu pamięci (ustawienie domyślne). Katalog docelowy katalog, w którym po wystąpieniu awarii zostanie zapisany zrzut pamięci. Aby otworzyć ten 101

102 katalog w nowym oknie Eksploratora Windows, należy kliknąć przycisk Otwórz folder Licencj e W gałęzi Licencj e można zarządzać kluczami licencyjnymi programu ESET Endpoint Security oraz innych produktów firmy ESET, na przykład ESET Remote Administrator itd. Po dokonaniu zakupu klucze licencyjne są dostarczane wraz z nazwą użytkownika i hasłem. Aby dodać lub usunąć klucz licencyjny, należy kliknąć odpowiedni przycisk Dodaj /Usuń w oknie menedżera licencji (Licencj e). Menedżer licencji jest dostępny z poziomu drzewa ustawień zaawansowanych po kliknięciu kolejno opcji Narzędzia > Licencj e. Klucz licencyjny jest plikiem tekstowym zawierającym informacje na temat zakupionego produktu, takie jak jego właściciel, liczba licencji oraz data utraty ważności. Okno menedżera licencji umożliwia użytkownikowi przekazywanie i wyświetlanie zawartości klucza licencyjnego za pomocą przycisku Dodaj informacje zawarte w kluczu są wyświetlane w menedżerze licencji. Aby usunąć z listy plik licencji, należy go zaznaczyć i kliknąć przycisk Usuń. Jeśli klucz licencyjny utracił ważność, a użytkownik jest zainteresowany odnowieniem licencji, należy kliknąć przycisk Zamów, co spowoduje przekierowanie do sklepu internetowego Administracj a zdalna Program ESET Remote Administrator (ERA) to wydajne narzędzie do zarządzania zasadami zabezpieczeń, które umożliwia uzyskanie całościowego obrazu zabezpieczeń wewnątrz sieci. Jest ono szczególnie użyteczne w dużych sieciach. Narzędzie ERA nie tylko zwiększa poziom bezpieczeństwa, ale również ułatwia administrowanie programem ESET Endpoint Security na klienckich stacjach roboczych. Można instalować i konfigurować programy, przeglądać pliki dziennika, planować zadania aktualizacji i skanowania plików itd. Komunikacja między programem ESET Remote Administrator (serwerem ERA) i produktami zabezpieczeń firmy ESET jest możliwa tylko wtedy, gdy są one prawidłowo skonfigurowane. Opcje ustawień administracji zdalnej są dostępne z poziomu okna głównego programu ESET Endpoint Security. W tym celu należy kliknąć kolejno opcje Ustawienia > Wprowadź ustawienia zaawansowane > Narzędzia > Administracj a zdalna. 102

103 Włącz tryb administracji zdalnej, wybierając opcję Połącz z serwerem ESET Remote Administrator. Pozwoli to uzyskać dostęp do poniższych opcji: Odstęp czasu między połączeniami z serwerem (min) ustawienie to pozwala określić częstotliwość, z jaką produkt zabezpieczeń firmy ESET będzie się łączył z serwerem ERA w celu wysłania danych. Serwer główny, serwer pomocniczy zwykle należy skonfigurować tylko serwer główny. Jeśli w sieci działa kilka serwerów ERA, można dodać kolejne, pomocnicze połączenie z serwerem ERA. Będzie ono służyć jako rozwiązanie awaryjne. Jeśli serwer główny stanie się niedostępny, produkt zabezpieczeń firmy ESET automatycznie nawiąże połączenie z pomocniczym serwerem ERA. Równocześnie będzie podejmować próby ponownego nawiązania połączenia z serwerem głównym. Gdy to połączenie stanie się znów aktywne, produkt zabezpieczeń firmy ESET przełączy się z powrotem na serwer główny. Skonfigurowanie dwóch profili serwera administracji zdalnej jest najlepszym rozwiązaniem w przypadku mobilnych klientów nawiązujących połączenia zarówno z poziomu sieci lokalnej, jak i spoza niej. Adres serwera w tym miejscu należy podać nazwę DNS lub adres IP serwera ERA. Port to pole zawiera wstępnie zdefiniowany port serwera używany do nawiązywania połączenia. Zaleca się pozostawienie domyślnego ustawienia portu (2222). Odstęp czasu między połączeniami z serwerem (min) służy do określenia częstotliwości nawiązywania połączenia przez program ESET Endpoint Security z serwerem ERA Server. Jeśli ta opcja zostanie ustawiona na wartość 0, informacje będą przesyłane co 5 sekund. Serwer zdalnej administracj i (Remote Administrator) wymaga uwierzytelniania ta opcja umożliwia wprowadzenie hasła umożliwiającego nawiązanie połączenia z serwerem ERA Server, jeśli jest wymagane. Nigdy nie nawiązuj niezabezpieczonej komunikacj i z serwerem zaznaczenie tej opcji powoduje wyłączenie nawiązywania komunikacji z serwerami ERA, na których dopuszczalny jest nieuwierzytelniony dostęp (patrz ERA Console > Opcj e serwera > Zabezpieczenia > Zezwalaj na nieuwierzytelniony dostęp klientów). Należy kliknąć przycisk OK, aby potwierdzić zmiany i zastosować ustawienia. Program ESET Endpoint Security będzie używał tych ustawień w celu nawiązania połączenia z serwerem ERA Server. 103

104 4.7 Interfej s użytkownika W sekcji Interfej s użytkownika można skonfigurować działanie graficznego interfejsu użytkownika programu. Korzystając z narzędzia Grafika, można dostosować wygląd programu i stosowane w nim efekty wizualne. Konfigurując ustawienia sekcji Alerty i powiadomienia, można zmienić zachowanie powiadomień systemowych i alertów dotyczących wykrytych zagrożeń. Pozwala to dostosować je do swoich potrzeb. Jeśli wyświetlanie niektórych powiadomień zostanie wyłączone, będą się one pojawiać w obszarze Ukryte okna powiadomień. Można w nich sprawdzać stan powiadomień, wyświetlać dodatkowe informacje na ich temat oraz usuwać je z tych okien. Aby zapewnić maksymalne bezpieczeństwo oprogramowania zabezpieczającego, można zapobiec wprowadzaniu w nim wszelkich nieupoważnionych zmian, chroniąc ustawienia hasłem przy użyciu narzędzia Ustawienia dostępu. Menu kontekstowe jest wyświetlane po kliknięciu wybranego obiektu prawym przyciskiem myszy. Przy użyciu tego narzędzia można zintegrować elementy sterujące programu ESET Endpoint Security z menu kontekstowym. Tryb prezentacji jest przydatny dla użytkowników, którzy chcą korzystać z aplikacji bez zakłóceń powodowanych przez wyskakujące okna, zaplanowane zadania czy komponenty mocno obciążające procesor i pamięć RAM Grafika Opcje konfiguracji interfejsu użytkownika w programie ESET Endpoint Security umożliwiają dostosowanie środowiska pracy do potrzeb użytkownika. Te opcje konfiguracji są dostępne w gałęzi Interfej s użytkownika > Grafika drzewa ustawień zaawansowanych programu ESET Endpoint Security. Opcję Graficzny interfej s użytkownika w sekcji Elementy interfej su użytkownika należy wyłączyć, jeśli elementy graficzne spowalniają wydajność komputera lub powodują inne problemy. Można ją również wyłączyć, aby np. uniknąć konfliktów ze specjalnymi aplikacjami służącymi do odczytywania tekstu wyświetlanego na ekranie, z których korzystają osoby niedowidzące. Aby wyłączyć ekran powitalny programu ESET Endpoint Security, należy usunąć zaznaczenie opcji Pokaż ekran powitalny przy uruchamianiu. Jeśli opcja Pokaż etykiety narzędzi jest włączona, po umieszczeniu kursora na wybranej opcji zostanie wyświetlony jej krótki opis. Włączenie opcji Zaznacz aktywny element menu spowoduje zaznaczenie dowolnego elementu, który znajduje się w obszarze działania kursora myszy. Podświetlony element zostanie uruchomiony po kliknięciu przyciskiem myszy. Aby zmniejszyć lub zwiększyć szybkość animowanych efektów, należy wybrać opcję Użyj animowanych kontrolek i przesunąć suwak Szybkość w lewo lub w prawo. Jeśli do wyświetlania postępu różnych operacji mają być używane animowane ikony, należy wybrać opcję Użyj animowanych ikon j ako wskaźnika postępu. Aby po wystąpieniu ważnego zdarzenia program generował sygnał dźwiękowy, należy wybrać opcję Użyj sygnałów dźwiękowych. 104

105 4.7.2 Alerty i powiadomienia Sekcja Alerty i powiadomienia w obszarze Interfej s użytkownika umożliwia skonfigurowanie sposobu obsługi alertów o zagrożeniach i powiadomień systemowych (np. powiadomień o pomyślnych aktualizacjach) w programie ESET Endpoint Security. Można tu też ustawić czas wyświetlania i stopień przezroczystości powiadomień wyświetlanych na pasku zadań (ta opcja dotyczy tylko systemów operacyjnych obsługujących takie powiadomienia). Pierwszym elementem jest opcja Wyświetlaj alerty. Wyłączenie tej opcji spowoduje anulowanie wszystkich okien alertów i jest zalecane jedynie w specyficznych sytuacjach. W przypadku większości użytkowników zaleca się pozostawienie ustawienia domyślnego tej opcji (włączona). Aby wyskakujące okna były automatycznie zamykane po upływie określonego czasu, należy zaznaczyć opcję Automatycznie zamykaj okna komunikatów po (sek.). Jeśli użytkownik nie zamknie okna alertu ręcznie, zostanie ono zamknięte automatycznie po upływie określonego czasu. Powiadomienia na pulpicie i porady w dymkach mają charakter informacyjny i nie proponują ani nie wymagają działań ze strony użytkownika. Są one wyświetlane w obszarze powiadomień w prawym dolnym rogu ekranu. Aby włączyć wyświetlanie powiadomień na pulpicie, należy wybrać opcję Wyświetlaj powiadomienia na pulpicie. Szczegółowe opcje, takie jak czas wyświetlania powiadomienia i przezroczystość okien, można zmodyfikować po kliknięciu przycisku Konfiguruj powiadomienia... Aby wyświetlić podgląd powiadomień, należy kliknąć przycisk Podgląd. Aby skonfigurować czas wyświetlania porad w dymkach, należy wprowadzić wybrany przedział czasu w polu sąsiadującym z opcją Wyświetlaj porady w dymkach na pasku zadań (sek.). 105

106 Opcja Wyświetlaj tylko powiadomienia wymagaj ące interwencj i użytkownika umożliwia włączanie i wyłączanie alertów oraz powiadomień niewymagających interwencji użytkownika. Wybranie opcji Wyświetlaj tylko powiadomienia wymagaj ące interwencj i użytkownika (podczas działania aplikacj i w trybie pełnoekranowym) powoduje, że powiadomienia niewymagające interwencji użytkownika nie są wyświetlane. Aby przejść do dodatkowych opcji ustawień Alerty i powiadomienia, należy kliknąć przycisk Ustawienia zaawansowane Ustawienia zaawansowane Z menu rozwijanego Minimalna szczegółowość zdarzeń do wyświetlenia można wybrać początkowy stopień ważności alertów i powiadomień, które będą wyświetlane. Diagnostyczne rejestrowanie informacji potrzebnych do ulepszenia konfiguracji programu, a także wszystkich rekordów wyższych kategorii. Informacyj ne rejestrowanie wszystkich komunikatów informacyjnych, w tym powiadomień o pomyślnych aktualizacjach, oraz wszystkich rekordów wyższych kategorii. Ostrzeżenia rejestrowanie w dzienniku wszystkich błędów krytycznych oraz komunikatów ostrzegawczych. Błędy rejestrowanie błędów typu Błąd podczas pobierania pliku oraz błędów krytycznych. Krytyczne rejestrowanie tylko błędów krytycznych (np. błąd uruchomienia ochrony antywirusowej, zapory osobistej itp.). Ostatnia funkcja w tej sekcji umożliwia określenie miejsca docelowego powiadomień w środowisku wielu użytkowników. W polu W systemach z wieloma użytkownikami wyświetlaj powiadomienia na ekranie następuj ącego użytkownika można wskazać użytkownika, który będzie otrzymywać powiadomienia dotyczące systemu i innych kwestii w środowisku umożliwiającym równoczesne połączenie wielu użytkownikom. Zazwyczaj taką osobą jest administrator systemu lub administrator sieci. Ta opcja jest szczególnie przydatna w przypadku serwerów terminali, pod warunkiem, że wszystkie powiadomienia systemowe są wysyłane do administratora. 106

107 4.7.3 Ukryte okna powiadomień Jeśli dla dowolnego okna powiadomienia (alertu), które było już wcześniej wyświetlane, zostanie wybrana opcja Nie wyświetlaj ponownie tego komunikatu, dane okno zostanie dodane do listy ukrytych okien powiadomień. Kolejne automatycznie wykonywane czynności będą wyświetlane w kolumnie Potwierdzone. Pokaż umożliwia włączenie podglądu okien powiadomień, które nie są obecnie wyświetlane i dla których jest skonfigurowana czynność automatyczna. Usuń umożliwia usunięcie elementów z listy Ukryte okna komunikatów. Wszystkie okna powiadomień usunięte z listy będą wyświetlane ponownie Ustawienia dostępu Aby zapewnić maksymalny poziom ochrony komputera, program ESET Endpoint Security musi być prawidłowo skonfigurowany. Wszelkie niefachowe zmiany mogą spowodować utratę cennych danych. Ta opcja znajduje się w podmenu Ustawienia dostępu w menu Interfej s użytkownika w drzewie ustawień zaawansowanych. Aby zapobiec nieautoryzowanemu wprowadzaniu zmian, parametry konfiguracji programu ESET Endpoint Security można chronić za pomocą hasła. Chroń ustawienia hasłem umożliwia zablokowanie lub odblokowanie ustawień programu. Zaznaczenie lub wyczyszczenie pola wyboru powoduje otwarcie okna Konfiguracj a hasła. Aby określić lub zmienić hasło służące do ochrony ustawień, należy kliknąć Ustaw hasło. Wymagaj uprawnień administratora (system bez obsługi UAC) zaznacz tę opcję, aby użytkownik bez uprawnień administratora musiał podać nazwę użytkownika i hasło administratora w przypadku modyfikowania określonych ustawień systemowych (opcja podobna do funkcji Kontrola konta użytkownika w systemie Windows Vista). Modyfikacje te uwzględniają wyłączenie modułów ochrony lub wyłączenie zapory. Wyświetl okno dialogowe przekroczenia limitu czasu ochrony gdy wybrana jest ta opcja, podczas tymczasowego wyłączania ochrony z poziomu menu programu lub sekcji ESET Endpoint Security > Ustawienia zostanie wyświetlony monit. Menu rozwijane Przedział czasowy w oknie Tymczasowo wyłącz ochronę służy do określenia czasu, przez który będą wyłączone wszystkie wybrane funkcje ochrony. 107

108 4.7.5 Menu programu Niektóre z najważniejszych opcji konfiguracyjnych są dostępne w głównym menu programu. Często używane w tym miejscu są wyświetlane najczęściej używane funkcje programu ESET Endpoint Security. Można do nich szybko przejść z menu programu. Tymczasowe wyłączenie ochrony powoduje wyświetlenie okna dialogowego potwierdzenia, które służy do wyłączenia ochrony antywirusowej i antyspyware zabezpieczającej system przed podstępnymi atakami przez kontrolowanie komunikacji w zakresie plików, stron internetowych i poczty . Zaznacz pole wyboru Nie pytaj ponownie, aby ta wiadomość nie była wyświetlana w przyszłości. Menu rozwijane Przedział czasowy przedstawia okres czasu, przez który ochrona antywirusowa i antyspyware będzie wyłączona. Zablokuj sieć zapora osobista będzie blokować cały wychodzący i przychodzący ruch sieciowy i internetowy. Tymczasowo wyłącz zaporę umożliwia dezaktywowanie zapory. Więcej informacji można znaleźć w sekcji Integracja zapory osobistej z systemem. Ustawienia zaawansowane wybranie tej opcji powoduje wyświetlenie drzewa Ustawienia zaawansowane. Można je otworzyć również w inny sposób: naciskając klawisz F5 lub wybierając kolejno opcje Ustawienia > Ustawienia zaawansowane. Pliki dziennika pliki dziennika zawierają informacje o wszystkich ważnych zdarzeniach, jakie miały miejsce w programie, oraz udostępniają zestawienie wykrytych zagrożeń. Resetuj układ okna umożliwia przywrócenie domyślnych wymiarów i położenia okna programu ESET Endpoint Security. 108

109 Informacj e zapewnia dostęp do informacji o systemie, szczegółowych informacji o zainstalowanej wersji programu ESET Endpoint Security i zainstalowanych modułach programu. Można tu również znaleźć datę wygaśnięcia licencji. W dolnej części ekranu znajdują się informacje na temat systemu operacyjnego i zasobów systemowych Menu kontekstowe Menu kontekstowe jest wyświetlane po kliknięciu wybranego obiektu prawym przyciskiem myszy. W tym menu wyświetlane są wszystkie opcje dostępne dla danego obiektu. Elementy sterujące programu ESET Endpoint Security można zintegrować z menu kontekstowym. Bardziej szczegółowe ustawienia tej funkcji są dostępne w drzewie ustawień zaawansowanych po wybraniu opcji Interfej s użytkownika > Menu kontekstowe. Zintegruj z menu kontekstowym włącza integrację z menu kontekstowym elementów sterujących programu ESET Endpoint Security. W menu rozwijanym Typ menu dostępne są następujące opcje: Pełne (naj pierw skanowanie) aktywuje wszystkie opcje menu kontekstowego; w menu głównym będzie wyświetlana opcja Skanuj za pomocą programu ESET Endpoint Security. Pełne (naj pierw leczenie) aktywuje wszystkie opcje menu kontekstowego; w menu głównym będzie wyświetlana opcja Wylecz za pomocą programu ESET Endpoint Security. Tylko skanowanie w menu kontekstowym będzie wyświetlana jedynie opcja Skanuj za pomocą programu ESET Endpoint Security. Tylko leczenie w menu kontekstowym będzie wyświetlana jedynie opcja Wylecz za pomocą programu ESET Endpoint Security Tryb prezentacj i Tryb prezentacji jest funkcją przeznaczoną dla użytkowników, którzy wymagają niczym niezakłócanego dostępu do swojego oprogramowania, chcą zablokować wszelkie wyskakujące okna i zależy im na zmniejszeniu obciążenia procesora. Tryb prezentacji może być również wykorzystywany podczas prezentacji, które nie mogą być przerywane na skutek działania programu antywirusowego. Po włączeniu tej funkcji wszystkie wyskakujące okna zostają wyłączone i całkowicie zatrzymane zostaje działanie harmonogramu. Ochrona systemu pozostaje aktywna w tle, ale nie wymaga interwencji użytkownika. Istnieje możliwość włączenia lub wyłączenia trybu prezentacji w głównym oknie programu przez kliknięcie opcji Ustawienia > Komputer, a następnie Włącz w sekcji Tryb prezentacj i. Włączenie trybu prezentacji stanowi potencjalne zagrożenie bezpieczeństwa, dlatego ikona stanu ochrony na pasku zadań zmieni kolor na pomarańczowy, sygnalizując ostrzeżenie. W głównym oknie programu również widoczne będzie ostrzeżenie Tryb prezentacji włączony wyświetlane w kolorze pomarańczowej. Po zaznaczeniu pola wyboru Automatycznie włączaj Tryb prezentacj i przy uruchamianiu aplikacj i w trybie pełnoekranowym Tryb prezentacji będzie włączany po uruchomianiu aplikacji w trybie pełnego ekranu i automatycznie wyłączany po zakończeniu jej działania. Ta opcja jest szczególnie przydatna, gdy Tryb prezentacji ma być uaktywniany bezpośrednio po uruchomieniu gry, otwarciu aplikacji pełnoekranowej lub po rozpoczęciu prezentacji. Można również zaznaczyć pole wyboru Automatycznie wyłączaj Tryb prezentacj i po X min i zdefiniować odpowiedni czasu (wartością domyślną jest 1 minuta). Jest to przydatne, jeśli użytkownik potrzebuje trybu prezentacji tylko przez określony czas i chce, aby był on automatycznie wyłączany po upływie tego okresu. UWAGA: Jeśli zapora osobista działa w trybie interaktywnym, a tryb prezentacji jest włączony, mogą wystąpić problemy z łącznością z siecią Internet. Może się to okazać kłopotliwe w przypadku uruchomienia gry, która komunikuje się z Internetem. W zwykłych warunkach zostałby wyświetlony monit o potwierdzenie tego działania (jeśli nie zdefiniowano żadnych reguł komunikacji ani wyjątków), ale interakcja z użytkownikiem jest wyłączona w trybie prezentacji. W takim przypadku rozwiązaniem jest zdefiniowanie reguły komunikacji dla każdego programu, który może kolidować z takim zachowaniem, lub zastosowanie innego trybu filtrowania w zaporze osobistej. Należy mieć również na uwadze, że jeśli tryb prezentacji jest włączony i zostanie otwarta strona internetowa lub aplikacja mogąca stanowić zagrożenie dla bezpieczeństwa, jej ewentualnemu zablokowaniu nie będzie towarzyszyć żaden komunikat ani ostrzeżenie, ponieważ interakcja z użytkownikiem jest wyłączona. 109

110 5. Użytkownik zaawansowany 5.1 Ustawienia serwera proxy W dużych sieciach lokalnych komputery mogą być połączone z Internetem za pośrednictwem serwera proxy. W takim przypadku trzeba skonfigurować opisane poniżej ustawienia. W przeciwnym razie program nie będzie mógł być automatycznie aktualizowany. W programie ESET Endpoint Security ustawienia serwera proxy są dostępne w dwóch sekcjach drzewa ustawień zaawansowanych. Po pierwsze ustawienia serwera proxy można skonfigurować w oknie Ustawienia zaawansowane, wybierając kolejno opcje Narzędzia > Serwer proxy. Określenie serwera proxy na tym poziomie powoduje zdefiniowanie globalnych ustawień serwera proxy dla całego programu ESET Endpoint Security. Wprowadzone w tym miejscu parametry będą używane przez wszystkie moduły, które wymagają połączenia internetowego. Aby określić ustawienia serwera proxy na tym poziomie, zaznacz pole wyboru Użyj serwera proxy, a następnie wprowadź adres serwera proxy w polu Serwer proxy oraz jego numer portu w polu Port. Jeśli komunikacja z serwerem proxy wymaga uwierzytelniania, zaznacz pole wyboru Serwer proxy wymaga uwierzytelniania i w odpowiednich polach wprowadź nazwę użytkownika i hasło. Kliknięcie przycisku Wykryj serwer proxy spowoduje automatyczne wykrycie i wprowadzenie ustawień serwera proxy. Zostaną skopiowane parametry określone w programie Internet Explorer. UWAGA: Dane uwierzytelniające (nazwa użytkownika i hasło) nie są automatycznie pobierane, trzeba je wprowadzić ręcznie. Ustawienia serwera proxy można też określić w zaawansowanych ustawieniach aktualizacji (gałąź Aktualizacj a drzewa Ustawienia zaawansowane). Te ustawienia mają zastosowanie do danego profilu aktualizacji i są zalecane w przypadku komputerów przenośnych, ponieważ w ich przypadku aktualizacje sygnatur wirusów są często pobierane w różnych lokalizacjach. Więcej informacji na temat tego ustawienia można znaleźć w sekcji Zaawansowane ustawienia aktualizacji. 110

111 5.2 Import i eksport ustawień Importowanie i eksportowanie konfiguracji programu ESET Endpoint Security jest możliwe w sekcji Ustawienia. W operacjach importowania i eksportowania ustawień są używane pliki xml. Funkcja eksportu i importu jest przydatna, gdy konieczne jest utworzenie kopii zapasowej bieżącej konfiguracji programu ESET Endpoint Security w celu jej użycia w późniejszym czasie. Funkcja eksportu ustawień jest również pomocna dla użytkowników, którzy chcą używać preferowanej konfiguracji programu ESET Endpoint Security w wielu systemach ustawienia można łatwo przenieść, importując je z pliku XML. Importowanie konfiguracji jest bardzo łatwe. W głównym oknie programu kliknij kolejno opcje Ustawienia > Importuj i eksportuj ustawienia..., a następnie wybierz opcję Importuj ustawienia. Wprowadź ścieżkę pliku konfiguracyjnego lub kliknij przycisk..., aby wyszukać plik konfiguracyjny do zaimportowania. Czynności wykonywane podczas eksportu konfiguracji są bardzo podobne. W głównym oknie programu kliknij kolejno opcje Ustawienia > Importuj i eksportuj ustawienia. Wybierz opcję Eksportuj ustawienia i w polu Nazwa pliku wprowadź nazwę pliku konfiguracyjnego (np. eksport.xml). Wybierz za pomocą przeglądania lokalizację na komputerze, w której ma zostać zapisany plik konfiguracyjny. 5.3 Skróty klawiaturowe Podczas pracy z programem ESET Endpoint Security można korzystać z następujących skrótów klawiaturowych: Ctrl+G Ctrl+I Ctrl+L Ctrl+S Ctrl+Q Ctrl+U Ctrl+R Wyłączanie graficznego interfejsu użytkownika w programie. Otwieranie strony ESET SysInspector. Otwieranie strony Pliki dziennika. Otwieranie strony Harmonogram. Otwieranie strony Kwarantanna. Otwieranie okna dialogowego, w którym można ustawić nazwę użytkownika i hasło. Przywrócenie domyślnych wymiarów i położenia okna na ekranie W celu sprawniejszego poruszania po produkcie zabezpieczającym firmy ESET można korzystać z następujących skrótów klawiaturowych: F1 F5 W górę/w dół * TAB Esc Otwieranie stron pomocy. Otwieranie ustawień zaawansowanych. Nawigowanie między elementami w oprogramowaniu. Rozwijanie węzła drzewa Ustawienia zaawansowane. Zwijanie węzła drzewa Ustawienia zaawansowane. Przenoszenie kursora w oknie. Zamykanie aktywnego okna dialogowego. 111

112 5.4 Wiersz polecenia Moduł antywirusowy programu ESET Endpoint Security można uruchomić z poziomu wiersza polecenia ręcznie (polecenie ecls ) lub za pomocą pliku wsadowego (BAT). Sposób używania skanera ESET uruchamianego z wiersza polecenia: ecls [OPCJE..] PLIKI.. Podczas uruchamiania skanera na żądanie z poziomu wiersza polecenia można używać następujących parametrów i przełączników: Opcj e /base-dir=folder /quar-dir=folder /exclude=maska /subdir /no-subdir /max-subdir-level=poziom /symlink /no-symlink /ads /no-ads /log-file=plik /log-rewrite /log-console /no-log-console /log-all /no-log-all /aind /auto Załaduj moduły z FOLDERU. Poddaj FOLDER kwarantannie. Wyłącz MASKĘ zgodności plików ze skanowania. Skanuj podfoldery (parametr domyślny). Nie skanuj podfolderów. Maksymalny podpoziom folderów w ramach folderów do przeskanowania. Uwzględniaj łącza symboliczne (parametr domyślny). Pomijaj łącza symboliczne. Skanuj alternatywne strumienie danych (parametr domyślny). Nie skanuj alternatywnych strumieni danych. Zapisuj wyniki w PLIKU. Zastąp plik wyników (domyślnie dołącz). Rejestruj wyniki w konsoli (parametr domyślny). Nie rejestruj wyników w konsoli. Zapisuj również informacje o niezainfekowanych plikach. Nie zapisuj informacji o niezainfekowanych plikach (parametr domyślny). Pokaż wskaźnik aktywności. Skanuj i automatycznie lecz wszystkie lokalne dyski. Opcj e skanera /files /no-files /memory /boots /no-boots /arch /no-arch /max-obj-size=rozmiar /max-arch-level=poziom /scan-timeout=limit /max-arch-size=rozmiar /max-sfx-size=rozmiar /mail /no-mail /mailbox /no-mailbox /sfx /no-sfx /rtp /no-rtp /adware /no-adware /unsafe /no-unsafe /unwanted /no-unwanted /pattern 112 Skanuj pliki (parametr domyślny). Nie skanuj plików. Skanuj pamięć. Skanuj sektory rozruchowe. Nie skanuj sektorów rozruchowych (parametr domyślny). Skanuj archiwa (parametr domyślny). Nie skanuj archiwów. Skanuj tylko pliki mniejsze niż ROZMIAR w MB (wartość domyślna 0 = brak ograniczenia). Maksymalny podpoziom archiwów w ramach archiwów (zagnieżdżenie archiwów) do przeskanowania. Skanuj archiwa z maksymalnym LIMITEM sekund. Skanuj tylko pliki z archiwum, jeśli są mniejsze niż ROZMIAR (wartość domyślna 0 = brak ograniczenia). Skanuj tylko pliki z archiwum samorozpakowującego, jeśli są mniejsze niż ROZMIAR w MB (wartość domyślna 0 = brak ograniczenia). Skanuj pliki poczty (parametr domyślny). Nie skanuj plików poczty . Skanuj skrzynki pocztowe (parametr domyślny). Nie skanuj skrzynek pocztowych. Skanuj archiwa samorozpakowujące (parametr domyślny). Nie skanuj archiwów samorozpakowujących. Skanuj programy spakowane (parametr domyślny). Nie skanuj programów spakowanych. Skanuj w poszukiwaniu oprogramowania adware/spyware/riskware (parametr domyślny). Nie skanuj w poszukiwaniu oprogramowania adware/spyware/riskware. Skanuj w poszukiwaniu potencjalnie niebezpiecznych aplikacji. Nie skanuj w poszukiwaniu potencjalnie niebezpiecznych aplikacji (parametr domyślny). Skanuj w poszukiwaniu potencjalnie niepożądanych aplikacji. Nie skanuj w poszukiwaniu potencjalnie niepożądanych aplikacji (parametr domyślny). Używaj sygnatur (parametr domyślny).

113 /no-pattern /heur /no-heur /adv-heur /no-adv-heur /ext=rozszerzenia /ext-exclude=rozszerzenia /clean-mode=tryb /quarantine Nie używaj sygnatur. Włącz heurystykę (parametr domyślny). Wyłącz heurystykę. Włącz zaawansowaną heurystykę (parametr domyślny). Wyłącz zaawansowaną heurystykę. Skanuj tylko ROZSZERZENIA oddzielone dwukropkami. Wyłącz ze skanowania ROZSZERZENIA oddzielone dwukropkami. Używaj TRYBU leczenia zainfekowanych obiektów. Dostępne opcje: none (brak), standard (standardowe, domyślnie), strict (dokładne), rigorous (rygorystyczne), delete (usuwanie) Kopiuj zainfekowane pliki (jeśli zostały wyleczone) do kwarantanny (uzupełnienie czynności wykonywanej podczas leczenia). Nie kopiuj zainfekowanych plików do kwarantanny. /no-quarantine Opcj e ogólne /help /version /preserve-time Pokaż pomoc i zakończ. Pokaż informacje o wersji i zakończ. Zachowaj znacznik czasowy ostatniego dostępu. Kody zakończenia Nie znaleziono zagrożenia. Zagrożenie zostało wykryte i usunięte. Niektórych plików nie można przeskanować (mogą stanowić zagrożenia). Znaleziono zagrożenie. Błąd. UWAGA: Kody zakończenia o wartości wyższej niż 100 oznaczają, że plik nie został przeskanowany i dlatego może być zainfekowany. 5.5 ESET SysInspector Wprowadzenie do programu ESET SysInspector Program ESET SysInspector dokładnie sprawdza stan komputera i wyświetla kompleksowe zestawienie zgromadzonych danych. Informacje o zainstalowanych sterownikach i aplikacjach, połączeniach sieciowych lub ważnych wpisach w rejestrze ułatwiają śledzenie podejrzanego zachowania systemu, które może wynikać z niezgodności programowej lub sprzętowej bądź zainfekowania szkodliwym oprogramowaniem. Dostęp do programu ESET SysInspector można uzyskać na dwa sposoby: korzystając z wersji zintegrowanej w programie ESET Security albo bezpłatnie pobierając wersję autonomiczną (SysInspector.exe) z witryny internetowej firmy ESET. Obie wersje mają identyczne funkcje i te same elementy interfejsu. Jedyna różnica polega na sposobie zarządzania danymi wyjściowymi. W przypadku obu wersji można wyeksportować zapisy bieżącego stanu systemu do pliku XML i zapisać je na dysku. Jednak wersja zintegrowana umożliwia ponadto przechowywanie wygenerowanych wcześniej dzienników bezpośrednio pod pozycją Narzędzia > ESET SysInspector (z wyjątkiem programu ESET Remote Administrator). Przeskanowanie komputera przy użyciu programu ESET SysInspector wymaga nieco czasu. Może to potrwać od 10 sekund do kilku minut w zależności od konfiguracji sprzętowej, systemu operacyjnego i liczby aplikacji zainstalowanych na komputerze Uruchamianie programu ESET SysInspector Aby uruchomić program ESET SysInspector, wystarczy uruchomić plik wykonywalny SysInspector.exe pobrany z witryny firmy ESET. Po włączeniu aplikacji zostanie wykonana inspekcja systemu, która w zależności od sprzętu i zbieranych danych może potrwać kilka minut. 113

114 5.5.2 Interfej s użytkownika i użycie aplikacj i W celu zachowania przejrzystości okno główne zostało podzielone na cztery główne sekcje Formanty programu (u góry), okno Nawigacja (z lewej strony), okno Opis (z prawej strony pośrodku) oraz okno Szczegóły (z prawej strony u dołu). W sekcji Stan dziennika są wyświetlane podstawowe parametry dziennika (stosowany filtr, typ filtru, informacja, czy dziennik powstał w wyniku porównania itd.) Sterowanie programem W tej części opisano wszystkie elementy sterujące dostępne w programie ESET SysInspector. Plik Klikając pozycję Plik, można zapisać bieżący stan systemu, w celu zbadania go w późniejszym terminie, albo otworzyć zapisany wcześniej dziennik. Jeśli dziennik ma zostać opublikowany, zaleca się jego wygenerowanie przy użyciu opcji Przeznaczone do wysłania. W dzienniku o takiej formie pomijane są informacje poufne (nazwa bieżącego użytkownika, nazwa komputera, nazwa domeny, uprawnienia bieżącego użytkownika, zmienne środowiskowe itp.). UWAGA: Zapisane wcześniej raporty programu ESET SysInspector można otwierać, przeciągając je i upuszczając w głównym oknie programu. Drzewo Umożliwia rozwijanie i zwijanie wszystkich węzłów oraz eksportowanie wybranych sekcji do skryptu usługi. Lista Zawiera funkcje ułatwiające nawigację w obrębie programu oraz wykonywanie innych czynności, np. wyszukiwanie informacji w trybie online. Pomoc Zawiera informacje dotyczące aplikacji i jej funkcji. 114

115 Szczegóły To ustawienie ułatwia pracę z informacjami wyświetlanymi w oknie głównym. W trybie podstawowym użytkownik ma dostęp do informacji umożliwiających wyszukiwanie rozwiązań typowych problemów z systemem. W trybie średnim program wyświetla rzadziej używane informacje. W trybie pełnym program ESET SysInspector wyświetla wszystkie informacje potrzebne do rozwiązywania bardzo konkretnych problemów. Filtrowanie elementów Filtrowanie elementów wykorzystuje się najczęściej do wyszukiwania podejrzanych plików lub wpisów rejestru w systemie. Korygując ustawienie suwaka, można filtrować elementy według ich poziomu ryzyka. Jeśli suwak znajdzie się w skrajnym lewym położeniu (poziom ryzyka 1), wyświetlone zostaną wszystkie elementy. Przesunięcie suwaka w prawo spowoduje, że program odfiltruje wszystkie elementy o poziomie ryzyka niższym niż bieżący, wyświetlając tylko te elementy, które są bardziej podejrzane, niż wynika to z wybranego poziomu. Po ustawieniu suwaka w skrajnym prawym położeniu wyświetlane są tylko elementy znane jako szkodliwe. Wszystkie elementy o poziomie ryzyka od 6 do 9 mogą stanowić zagrożenie bezpieczeństwa. Jeśli użytkownik nie korzysta z oprogramowania zabezpieczającego firmy ESET, zalecane jest przeskanowanie systemu przy użyciu narzędzia ESET Online Scanner w przypadku wykrycia takich elementów przez program ESET SysInspector. Usługa ESET Online Scanner jest bezpłatna. UWAGA: Poziom ryzyka elementu można łatwo ustalić, porównując jego kolor z kolorem na suwaku Poziom ryzyka. Szukaj Korzystając z funkcji wyszukiwania, można szybko znaleźć określony element, podając jego nazwę lub część nazwy. Wyniki wyszukiwania są wyświetlane w oknie opisu. Powrót Klikając strzałki wstecz i w przód, można powrócić do informacji poprzednio wyświetlanych w oknie opisu. Zamiast klikać przyciski przewijania wstecz lub w przód, można używać klawisza Backspace lub klawisza spacji. Sekcj a Stan W tej sekcji wyświetlany jest bieżący węzeł w oknie nawigacji. Ważne: Elementy wyróżnione kolorem czerwonym są nieznane, dlatego oznaczono je jako potencjalnie niebezpieczne. Zaznaczenie elementu kolorem czerwonym nie oznacza automatycznie, że można usunąć dany plik. Należy się najpierw upewnić, że pliki są faktycznie niebezpieczne lub niepotrzebne Nawigacj a w programie ESET SysInspector W programie ESET SysInspector różne rodzaje informacji są podzielone na kilka podstawowych sekcji, określanych mianem węzłów. Po rozwinięciu każdego węzła w jego podwęzły można znaleźć dodatkowe szczegóły, jeśli są dostępne. Aby otworzyć lub zwinąć węzeł, należy kliknąć dwukrotnie jego nazwę, bądź kliknąć symbol lub znajdujący się obok jego nazwy. Przeglądając strukturę drzewa węzłów i podwęzłów w oknie nawigacji, w oknie opisu można wyświetlać różne informacje szczegółowe dotyczące każdego węzła. Natomiast przeglądając elementy w oknie opisu, można wyświetlać dodatkowe informacje na temat poszczególnych elementów w oknie szczegółów. Poniżej opisano główne węzły w oknie nawigacji oraz powiązane z nimi informacje w oknie opisu i w oknie szczegółów. Działaj ące procesy Ten węzeł zawiera informacje o aplikacjach i procesach uruchomionych w chwili generowania dziennika. W oknie opisu można znaleźć dodatkowe szczegóły dotyczące poszczególnych procesów. Są to na przykład informacje o bibliotekach dynamicznych używanych przez proces i ich lokalizacji w systemie, nazwa dostawcy aplikacji czy poziom ryzyka przypisany do danego pliku. W oknie szczegółów wyświetlane są dodatkowe informacje dotyczące elementów zaznaczonych w oknie opisu, takie jak rozmiar pliku czy jego skrót. UWAGA: W skład systemu operacyjnego wchodzi wiele ważnych składników jądra, które działają nieprzerwanie oraz zapewniają podstawowe funkcje o newralgicznym znaczeniu dla innych aplikacji użytkownika. W niektórych przypadkach takie procesy są wyświetlane w narzędziu ESET SysInspector ze ścieżką rozpoczynającą się od ciągu \??\. Te symbole zapewniają optymalizację tych procesów przed ich uruchomieniem i są bezpieczne dla systemu. 115

116 Połączenia sieciowe Okno opisu zawiera listę procesów i aplikacji komunikujących się w sieci przy użyciu protokołu wybranego w oknie nawigacji (TCP lub UDP) oraz adres zdalny, z którym jest połączona dana aplikacja. Można również sprawdzić adresy IP serwerów DNS. W oknie szczegółów wyświetlane są dodatkowe informacje dotyczące elementów zaznaczonych w oknie opisu, takie jak rozmiar pliku czy jego skrót. Ważne wpisy w rej estrze Zawiera listę wybranych wpisów rejestru, które są często związane z różnymi problemami z systemem, np. wpisy wskazujące programy uruchamiane razem z systemem, obiekty pomocnika przeglądarki (BHO) itd. W oknie opisu można sprawdzić, które pliki są powiązane z określonymi wpisami w rejestrze. W oknie szczegółów znajdują się dodatkowe informacje. Usługi Okno opisu zawiera listę plików zarejestrowanych jako usługi systemu Windows. W oknie szczegółów można sprawdzić ustawiony sposób uruchamiania danej usługi, jak również przejrzeć informacje szczegółowe dotyczące pliku. Sterowniki Lista sterowników zainstalowanych w systemie. Pliki krytyczne W oknie opisu wyświetlana jest zawartość plików krytycznych związanych z systemem operacyjnym Microsoft Windows. Zadania harmonogramu systemu Zawiera listę zadań wywoływanych przez Harmonogram zadań systemu Windows o określonej porze lub z ustalonym interwałem. Informacj e o systemie Zawiera szczegółowe informacje o sprzęcie i oprogramowaniu, ustawionych zmiennych środowiskowych, uprawnieniach użytkownika i systemowych dziennikach zdarzeń. Szczegóły pliku Lista ważnych plików systemowych i plików w folderze Program Files. Dodatkowe informacje dotyczące poszczególnych plików można znaleźć w oknach opisu i szczegółów. Informacj e Informacje o wersji programu ESET SysInspector i lista jego modułów Skróty klawiaturowe Podczas pracy z programem ESET SysInspector można korzystać z następujących skrótów klawiszowych: Plik Ctrl+O Ctrl+S Otwarcie istniejącego dziennika. Zapisanie utworzonych dzienników. Generuj Ctrl+G Ctrl+H Wygenerowanie standardowego zapisu bieżącego stanu komputera. Wygenerowanie zapisu bieżącego stanu komputera, w którym mogą się też znaleźć informacje poufne. Filtrowanie elementów 1, O 2 3 4, U Czysty (wyświetlane są elementy o poziomie ryzyka 1 9). Czysty (wyświetlane są elementy o poziomie ryzyka 2 9). Czysty (wyświetlane są elementy o poziomie ryzyka 3 9). Nieznany (wyświetlane są elementy o poziomie ryzyka 4 9). Nieznany (wyświetlane są elementy o poziomie ryzyka 5 9).

117 6 7, B Ctrl+9 Ctrl+0 Nieznany (wyświetlane są elementy o poziomie ryzyka 6 9). Ryzykowny (wyświetlane są elementy o poziomie ryzyka 7 9). Ryzykowny (wyświetlane są elementy o poziomie ryzyka 8 9). Ryzykowny (wyświetlane są elementy o poziomie ryzyka 9). Obniżenie poziomu ryzyka. Podwyższenie poziomu ryzyka. Tryb filtrowania, poziom jednakowy lub wyższy. Tryb filtrowania, tylko jednakowy poziom. Widok Ctrl+5 Ctrl+6 Ctrl+7 Ctrl+3 Ctrl+2 Ctrl+1 BackSpace Spacja Ctrl+W Ctrl+Q Widok wg dostawcy, wszyscy dostawcy. Widok wg dostawcy, tylko Microsoft. Widok wg dostawcy, wszyscy pozostali dostawcy. Wyświetlenie szczegółów w trybie Pełne. Wyświetlenie szczegółów w trybie Średnie. Tryb podstawowy. Przejście o krok wstecz. Przejście o krok w przód. Rozwinięcie drzewa. Zwinięcie drzewa. Inne funkcj e Ctrl+T Ctrl+P Ctrl+A Ctrl+C Ctrl+X Ctrl+B Ctrl+L Ctrl+R Ctrl+Z Ctrl+F Ctrl+D Ctrl+E Przejście do pierwotnej lokalizacji elementu po zaznaczeniu go w wynikach wyszukiwania. Wyświetlenie podstawowych informacji o elemencie. Wyświetlenie pełnych informacji o elemencie. Skopiowanie drzewa bieżącego elementu. Skopiowanie elementów. Wyszukanie informacji o wybranych plikach w Internecie. Otwarcie folderu zawierającego wybrany plik. Otwarcie odpowiedniego wpisu w edytorze rejestru. Skopiowanie ścieżki do pliku (jeśli element jest powiązany z plikiem). Przełączenie do pola wyszukiwania. Zamknięcie wyników wyszukiwania. Uruchomienie skryptu usługi. Porównywanie Ctrl+Alt+O Ctrl+Alt+R Ctrl+Alt+1 Ctrl+Alt+2 Ctrl+Alt+3 Ctrl+Alt+4 Ctrl+Alt+5 Ctrl+Alt+C Ctrl+Alt+N Ctrl+Alt+P Otwarcie dziennika oryginalnego/porównawczego. Anulowanie porównania. Wyświetlenie wszystkich wpisów. Wyświetlenie tylko dodanych wpisów; w dzienniku zostaną wyświetlone wpisy występujące w bieżącym dzienniku. Wyświetlenie tylko usuniętych wpisów; w dzienniku zostaną wyświetlone wpisy występujące w poprzednim dzienniku. Wyświetlenie tylko zastąpionych wpisów (z uwzględnieniem plików). Wyświetlenie tylko różnic między dziennikami. Wyświetlenie porównania. Wyświetlenie bieżącego dziennika. Otwarcie poprzedniego dziennika. Inne F1 Alt+F4 Alt+Shift+F4 Ctrl+I Wyświetlenie pomocy. Zamknięcie programu. Zamknięcie programu bez wcześniejszego monitu. Statystyki dziennika. 117

118 Porównywanie Korzystając z funkcji porównania, użytkownik może porównać dwa istniejące dzienniki. W wyniku działania tej funkcji powstaje zestawienie wpisów, którymi różnią się dzienniki. Jest to przydatne, gdy użytkownik chce śledzić zmiany w systemie to pomocne narzędzie do wykrywania aktywności złośliwego kodu. Po uruchomieniu aplikacji jest tworzony nowy dziennik, który jest wyświetlany w nowym oknie. Aby zapisać dziennik w pliku, należy kliknąć kolejno opcje Plik > Zapisz dziennik. Pliki dzienników można otwierać i przeglądać w późniejszym terminie. Aby otworzyć istniejący dziennik, należy kliknąć kolejno opcje Plik > Otwórz dziennik. W głównym oknie programu ESET SysInspector zawsze wyświetlany jest tylko jeden dziennik naraz. Zaletą porównywania dwóch dzienników jest możliwość wyświetlania aktualnie aktywnego dziennika i dziennika zapisanego w pliku. Aby porównać dzienniki, należy użyć polecenia Plik > Porównaj dziennik i wybrać opcję Wybierz plik. Wybrany dziennik zostanie porównany z dziennikiem aktywnym w głównym oknie programu. W dzienniku porównawczym zostaną wyświetlone jedynie różnice między tymi dwoma dziennikami. UWAGA: W przypadku porównywania dwóch plików dziennika należy wybrać kolejno opcje Plik > Zapisz dziennik, aby zapisać dane w pliku ZIP (zapisywane są oba pliki). Po otwarciu tego pliku w późniejszym terminie zawarte w nim dzienniki zostaną automatycznie porównane. Obok wyświetlonych elementów w programie ESET SysInspector widoczne są symbole określające różnice między porównywanymi dziennikami. Wpisy oznaczone symbolem można znaleźć jedynie w aktywnym dzienniku (nie występują w otwartym dzienniku porównawczym). Wpisy oznaczone symbolem znajdują się tylko w otwartym dzienniku (brakuje ich w aktywnym dzienniku). Opis wszystkich symboli wyświetlanych obok wpisów: Nowa wartość, nieobecna w poprzednim dzienniku. Sekcja struktury drzewa zawiera nowe wartości. Wartość usunięta, obecna jedynie w poprzednim dzienniku. Sekcja struktury drzewa zawiera usunięte wartości. Zmodyfikowano wartość/plik. Sekcja struktury drzewa zawiera zmodyfikowane wartości/pliki. Poziom ryzyka zmniejszył się/był wyższy w poprzednim dzienniku. Poziom ryzyka zwiększył się/był niższy w poprzednim dzienniku. W sekcji wyjaśnień (wyświetlanej w lewym dolnym rogu) znajduje się opis wszystkich symboli wraz z nazwami porównywanych dzienników. Dziennik porównawczy można zapisać w pliku i otworzyć później. Przykład Wygenerowano dziennik zawierający pierwotne informacje o systemie i zapisano go w pliku o nazwie stary.xml. Po wprowadzeniu zmian w systemie otwarto program ESET SysInspector w celu wygenerowania nowego dziennika. Zapisano go w pliku nowy.xml. Aby prześledzić zmiany, które zaszły między tymi dwoma dziennikami, należy kliknąć kolejno opcje Plik > Porównaj dzienniki. Program utworzy dziennik porównawczy zawierający różnice między dziennikami. Ten sam rezultat można osiągnąć, wpisując w wierszu polecenia następujące polecenie: SysIsnpector.exe nowy.xml stary.xml 118