ESET MAILSECURITY DLA OPROGRAMOWANIA MICROSOFT EXCHANGESERVER

Transkrypt

1 ESET MAILSECURITY DLA OPROGRAMOWANIA MICROSOFT EXCHANGESERVER Instrukcja instalacji i podręcznik użytkownika Microsoft Windows Server 2000 / 2003 / 2008 / 2008 R2 Kliknij tutaj, aby pobrać najnowszą wersję tego dokumentu

2 ESET MAIL SECURITY Copyright 2012 ESET, spol. s r.o. Oprogramowanie ESET Mail Security zostało opracowane przez firmę ESET, spol. s r.o. Więcej informacji można znaleźć w witrynie Wszelkie prawa zastrzeżone. Żadna część niniejszej dokumentacji nie może być powielana, przechowywana w systemie pobierania ani przesyłana w żadnej formie bądź przy użyciu jakichkolwiek środków elektronicznych, mechanicznych, przez fotokopiowanie, nagrywanie, skanowanie lub w inny sposób bez uzyskania pisemnego zezwolenia autora. Firma ESET, spol. s r.o. zastrzega sobie prawo do wprowadzania zmian w dowolnych elementach opisanego oprogramowania bez uprzedniego powiadomienia. Dział obsługi klienta cały świat: Dział obsługi klienta Ameryka Północna: WER. 1/9/2012

3 Spis treści Plik...43 konfiguracyjny Alerty...47 i powiadomienia 1. Wprowadzenie Często...47 zadawane pytania 1.1 Co nowego...5 w wersj i 4.3? 1.2 Wymagania...6 systemowe 1.3 Używane...6 metody 4.1 Skanowanie skrzynki pocztowej za pomocą interfejsu...6 VSAPI Filtrowanie...7 wiadomości na poziomie serwera SMTP Typy ochrony Ochrona...7 antywirusowa Ochrona...7 przed spamem Stosowanie reguł zdefiniowanych przez użytkownika Interfej...8 s użytkownika 2. Instalacj a Typowa...9 instalacj a 2.2 Instalacj...11 a zaawansowana 2.3 Serwer...12 terminali 2.4 Uaktualnianie...13 do nowszej wersj i 2.5 Instalowanie...13 w środowisku klastrowym 2.6 Licencj...14 a 2.7 Konfiguracj...17 a po instalacj i 3. ESET Mail Security ochrona serwera Microsoft Exchange Server ESET...50 Mail Security ochrona serwera Ustawienia...20 ogólne Microsoft...20 Exchange Server VSAPI (Virus-Scanning Application Programming Interface)...20 Agent...20 transportu Reguły...22 Dodawanie...23 nowych reguł Czynności...24 podejmowane przy stosowaniu reguł Pliki...25 dziennika Kwarantanna...26 wiadomości Dodawanie...27 nowej reguły kwarantanny Wydajność Ustawienia...28 ochrony antywirusowej i antyspyware Microsoft...29 Exchange Server VSAPI (Virus-Scanning Application Programming Interface) Microsoft...29 Exchange Server 5.5 (VSAPI 1.0) Czynności Wydajność Microsoft...30 Exchange Server 2000 (VSAPI 2.0) Czynności Wydajność Microsoft...31 Exchange Server 2003 (VSAPI 2.5) Czynności Wydajność Microsoft...33 Exchange Server 2007/2010 (VSAPI 2.6) Czynności Wydajność Agent...35 transportu Czynności Alerty...36 i powiadomienia Wyłączenia...37 automatyczne 3.3 Ochrona...38 przed spamem Microsoft...39 Exchange Server Agent...39 transportu Aparat...40 antyspamowy Ustawienia...41 parametrów aparatu antyspamowego Antywirus...50 i antyspyware Ochrona...50 systemu plików w czasie rzeczywistym Ustawienia...50 sprawdzania Skanowane...51 nośniki Skanowanie włączone (skanowanie po wystąpieniu zdarzenia)...51 Zaawansowane...51 opcje skanowania Poziomy...52 leczenia Zmienianie ustawień ochrony w czasie rzeczywistym...52 Sprawdzanie skuteczności ochrony w czasie rzeczywistym...52 Co zrobić, jeśli ochrona w czasie rzeczywistym nie działa...53 Ochrona...53 programów poczty Sprawdzanie...54 protokołu POP3 Zgodność...54 Integracja...55 z programami pocztowymi Dołączanie...56 informacji do treści wiadomości Usuwanie...56 infekcji Ochrona...57 dostępu do stron internetowych Protokoły...57 HTTP i HTTPS Zarządzanie...58 adresami Tryb...59 aktywny Skanowanie...60 komputera na żądanie Typ...61 skanowania Skanowanie...61 inteligentne Skanowanie...61 niestandardowe Skanowane...62 obiekty Profile...62 skanowania Wydajność...63 Filtrowanie...63 protokołów Protokół...63 SSL Zaufane...64 certyfikaty Wyłączone...64 certyfikaty Ustawienia...64 parametrów technologii ThreatSense Ustawienia...65 obiektów Opcje...65 Leczenie...66 Rozszerzenia...67 Limity...67 Inne...68 Wykryto...68 infekcję 4.2 Aktualizowanie...69 programu Ustawienia...71 aktualizacji Profile...71 aktualizacji Zaawansowane...72 ustawienia aktualizacji Tryb...72 aktualizacji Serwer...73 proxy Połączenie...75 z siecią LAN Tworzenie...76 kopii aktualizacji kopia dystrybucyjna Aktualizowanie...77 przy użyciu kopii dystrybucyjnej Rozwiązywanie problemów z aktualizacją przy użyciu...78 kopii dystrybucyjnej Tworzenie...78 zadań aktualizacji 4.3 Harmonogram Cel...79 planowania zadań Tworzenie...80 nowych zadań 4.4 Kwarantanna Poddawanie...81 plików kwarantannie Przywracanie...81 plików z kwarantanny Przesyłanie...82 pliku z kwarantanny 4.5 Pliki...83 dziennika

4 Filtrowanie...87 dziennika Znajdowanie...88 w dzienniku Administracja...89 dziennikami 4.6 ESET...90 SysInspector Wprowadzenie...90 do programu ESET SysInspector Uruchamianie...90 programu ESET SysInspector Interfejs...90 użytkownika i używanie aplikacji Sterowanie...91 programem Nawigacja...91 w programie ESET SysInspector Funkcja...92 Porównaj Parametry...93 wiersza polecenia Skrypt...93 usługi Tworzenie...94 skryptu usługi Struktura...94 skryptu usługi Wykonywanie...96 skryptów usługi Skróty...96 Wymagania...97 systemowe Często...97 zadawane pytania Program SysInspector jako element oprogramowania...98 ESET Mail Security 4.7 ESET...99 SysRescue Minimalne...99 wymagania W...99 jaki sposób utworzyć ratunkową płytę CD Wybór...99 nośnika docelowego Ustawienia Foldery ESET Antivirus Ustawienia zaawansowane Protokół internetowy Urządzenie rozruchowe USB Nagrywanie Praca z programem ESET SysRescue Korzystanie z programu ESET SysRescue 4.8 Opcj e interfej su użytkownika Alerty i powiadomienia Wyłączanie interfejsu GUI na serwerze terminali 4.9 Wiersz polecenia 4.10 Import i eksport ustawień 4.11 ThreatSense.Net Podejrzane pliki Statystyki Przesyłanie Administracj a zdalna 4.13 Licencj e 5. Słowniczek Typy infekcj i Wirusy Robaki Konie trojańskie Programy typu rootkit Adware Spyware Potencjalnie niebezpieczne aplikacje Potencjalnie niepożądane aplikacje 5.2 Poczta Reklamy Fałszywe alarmy Ataki typu phishing Rozpoznawanie spamu Reguły Filtr Bayesa Biała lista Czarna lista Kontrola po stronie serwera

5 1. Wprowadzenie Program ESET Mail Security 4 dla oprogramowania Microsoft Exchange Server to zintegrowane rozwiązanie, które chroni skrzynki pocztowe przed różnego rodzaju szkodliwym oprogramowaniem, takim jak załączniki do wiadomości zarażone robakami lub końmi trojańskimi, dokumenty zawierające szkodliwe skrypty, ataki typu phishing czy spam. ESET Mail Security zapewnia trzy rodzaje ochrony: antywirusową, przed spamem oraz stosowanie reguł zdefiniowanych przed użytkownika. Program ESET Mail Security filtruje szkodliwą zawartość na poziomie serwera poczty zanim dotrze ona do skrzynki odbiorczej programu poczty odbiorcy. Program ESET Mail Security obsługuje oprogramowanie Microsoft Exchange Server 5.5 i nowsze, a także platformę Microsoft Exchange Server w środowisku klastrowym. W nowszych wersjach (Microsoft Exchange Server 2007 i późniejsze) są również obsługiwane określone role (skrzynka pocztowa, centrum, granica). Narzędzie ESET Remote Administrator umożliwia zdalne zarządzanie programem ESET Mail Security w większych sieciach. Oprócz ochrony oprogramowania Microsoft Exchange Server program ESET Mail Security oferuje również narzędzia pomagające chronić sam serwer (ochrona rezydentna, ochrona dostępu do stron internetowych, ochrona programów poczty oraz ochrona przed spamem). 1.1 Co nowego w wersj i 4.3? W porównaniu z programem ESET Mail Security w wersji 4.2 wersja 4.3 oferuje następujące nowości i ulepszenia: Nowe dzienniki ochrony przed spamem oraz szarej listy oba zawierają szczegółowe informacje na temat wiadomości przetworzonych za pomocą funkcji ochrony przed spamem oraz szarej listy. Dziennik ochrony przed spamem przedstawia również szczegółowe przyczyny, dla których wiadomości zostały uznane za SPAM. Wyłączenia automatyczne zwiększają ogólną stabilność oraz płynność działania serwera. Wystarczy jedno kliknięcie, aby zdefiniować całe zestawy wyłączeń skanowania za pomocą ochrony antywirusowej dotyczące aplikacji serwera bądź plików systemu operacyjnego. Klasyfikacja wiadomości według wartości wyniku spamu administratorzy mogą teraz ulepszyć filtr antyspamowy, dostosowując zakresy wyników spamu i określając, które wiadomości powinny być klasyfikowane jako spam. Scalanie licencji program ESET Mail Security pozwala używać wielu licencji, dzięki czemu można zwiększyć liczbę chronionych skrzynek pocztowych. 5

6 1.2 Wymagania systemowe Obsługiwane systemy operacyjne: Microsoft Windows NT 4.0 z dodatkiem SP6, SP6a Microsoft Windows 2000 Server Microsoft Windows Server 2003 (oparty na procesorze x86 i x64) Microsoft Windows Server 2008 (oparty na procesorze x86 i x64) Microsoft Windows Server 2008 R2 Microsoft Windows Small Business Server 2003 (oparty na procesorze x86) Microsoft Windows Small Business Server 2003 R2 (oparty na procesorze x86) Microsoft Windows Small Business Server 2008 (oparty na procesorze x64) Microsoft Windows Small Business Server 2011 (oparty na procesorze x64) Obsługiwane wersje oprogramowania Microsoft Exchange Server: Microsoft Exchange Server 5.5 z dodatkiem SP3, SP4 Microsoft Exchange Server 2000 z dodatkiem SP1, SP2, SP3 Microsoft Exchange Server 2003 z dodatkiem SP1, SP2 Microsoft Exchange Server 2007 z dodatkiem SP1, SP2, SP3 Microsoft Exchange Server 2010 z dodatkiem SP1, SP2 Wymagania sprzętowe zależą od wersji systemu operacyjnego oraz używanej wersji oprogramowania Microsoft Exchange Server. Więcej informacji na temat wymagań sprzętowych można znaleźć w dokumentacji produktu Microsoft Exchange Server. 1.3 Używane metody Wiadomości są skanowane za pomocą dwóch niezależnych metod: Skanowanie skrzynki pocztowej za pomocą interfejsu VSAPI Filtrowanie wiadomości na poziomie serwera SMTP Skanowanie skrzynki pocztowej za pomocą interfej su VSAPI Proces skanowania skrzynki pocztowej jest wywoływany i kontrolowany przez oprogramowanie Microsoft Exchange Server. Wiadomości zapisane w bazie danych magazynu oprogramowania Microsoft Exchange Server są stale skanowane. Zależnie od wersji oprogramowania Microsoft Exchange Server, wersji interfejsu VSAPI oraz ustawień zdefiniowanych przez użytkownika proces skanowania może być wywoływany w każdej z następujących sytuacji: Gdy użytkownik uzyskuje dostęp do poczty , na przykład w programie poczty (poczta jest zawsze skanowana przy użyciu najnowszej bazy sygnatur wirusów). W tle, kiedy wykorzystanie oprogramowania Microsoft Exchange Server jest niskie. Z wyprzedzeniem (na podstawie wewnętrznego algorytmu oprogramowania Microsoft Exchange Server). Interfejs VSAPI jest obecnie używany do skanowania w poszukiwaniu wirusów oraz ochrony opartej na regułach. 6

7 1.3.2 Filtrowanie wiadomości na poziomie serwera SMTP Filtrowanie SMTP na poziomie serwera jest chronione za pomocą specjalnego dodatku. W oprogramowaniu Microsoft Exchange Server 2000 i 2003 ten dodatek (Event Sink) jest zarejestrowany na serwerze SMTP jako składnik usług IIS (Internet Information Services). W oprogramowaniu Microsoft Exchange Server 2007/2010 dodatek jest zarejestrowany jako agent transportu w rolach Granica lub Centrum oprogramowania Microsoft Exchange Server. Filtrowanie na poziomie serwera SMTP przez agenta transportu zapewnia ochronę w postaci reguł ochrony antywirusowej, ochrony przed spamem oraz zdefiniowanych przez użytkownika. W przeciwieństwie do filtrowania za pomocą interfejsu VSAPI filtrowanie na poziomie serwera SMTP jest wykonywane zanim skanowana wiadomość trafi do skrzynki pocztowej oprogramowania Microsoft Exchange Server. 1.4 Typy ochrony Istnieją trzy rodzaje ochrony: Ochrona antywirusowa Ochrona antywirusowa jest jedną z podstawowych funkcji programu ESET Mail Security. Ochrona antywirusowa zabezpiecza system przed szkodliwymi atakami, sprawdzając pliki, pocztę i komunikację internetową. W przypadku wykrycia zagrożenia zawierającego szkodliwy kod moduł antywirusowy może je wyeliminować poprzez zablokowanie, a następnie usunięcie lub przeniesienie do kwarantanny Ochrona przed spamem Ochrona przed spamem obejmuje liczne mechanizmy (lista RBL, lista DNSBL, sprawdzanie odcisków, sprawdzanie reputacji, analiza zawartości, filtr Bayesa, reguły, ręczne umieszczanie na białej/czarnej liście), które służą uzyskaniu maksymalnej skuteczności wykrywania zagrożeń związanych z pocztą . Wynikiem działania aparatu antyspamowego jest wartość prawdopodobieństwa przynależności danej wiadomości do spamu, wyrażona w procentach (0 100). Kolejnym składnikiem modułu ochrony przed spamem jest szara lista (domyślnie wyłączona). Metoda ta jest oparta na standardzie RFC 821, w którym stwierdzono, że ze względu na zawodność protokołu SMTP jako środka przekazu każdy agent przesyłania wiadomości (ang. message transfer agent, MTA) powinien powtarzać próbę dostarczenia wiadomości po wystąpieniu tymczasowego niepowodzenia. Znaczna część spamu składa się z jednorazowych przesyłek dostarczanych (za pomocą specjalnych narzędzi) do obszernej listy adresów generowanych automatycznie. Serwer, na którym stosuje się szarą listę, oblicza wartość kontrolną (skrót) dla adresu nadawcy koperty, adresu odbiorcy koperty i adresu IP nadawczego agenta MTA. Jeśli serwer nie może znaleźć w swojej bazie danych wartości kontrolnej dla danej trójki wspomnianych adresów, odmawia przyjęcia wiadomości, zwracając kod tymczasowego niepowodzenia (np. tymczasowe niepowodzenie 451). Wiarygodny serwer podejmie próbę ponownego przesłania wiadomości po upływie pewnego czasu o zmiennej długości. Przy drugiej próbie wartość kontrolna trójki adresów zostanie zapisana w bazie danych zweryfikowanych połączeń, dzięki czemu od tej pory każda wiadomość o analogicznej charakterystyce zostanie dostarczona Stosowanie reguł zdefiniowanych przez użytkownika Ochrona oparta na regułach zdefiniowanych przez użytkownika jest dostępna zarówno w przypadku skanowania za pomocą interfejsu VSAPI, jak i skanowania za pomocą agenta transportu. Interfejs użytkownika programu ESET Mail Security pozwala tworzyć osobne reguły, które można również łączyć. Jeśli jedna reguła zawiera wiele warunków, zostają one połączone za pomocą operatora logicznego AND. W wyniku tego reguła jest wykonywana tylko po spełnieniu wszystkich jej warunków. W przypadku utworzenia wielu reguł zostanie zastosowany operator logiczny OR. Oznacza to, że program będzie uruchamiać pierwszą regułę, której wszystkie warunki zostały spełnione. W sekwencji skanowania pierwszą używaną techniką jest szara lista (jeśli została włączona). Kolejne procedury będą zawsze wykonywać następujące techniki: ochrona oparta na regułach zdefiniowanych przez użytkownika, skanowanie w poszukiwaniu wirusów oraz, na końcu, skanowanie pod kątem spamu. 7

8 1.5 Interfej s użytkownika W programie ESET Mail Security zastosowano graficzny interfejs użytkownika (ang. graphical user interface, GUI), który ma zapewniać maksymalnie intuicyjną obsługę. Interfejs GUI pozwala użytkownikom na szybki i łatwy dostęp do głównych funkcji programu. Oprócz głównego interfejsu GUI dostępne jest też drzewo ustawień zaawansowanych, które można wyświetlić w każdej chwili, naciskając klawisz F5. Po naciśnięciu klawisza F5 zostaje wyświetlone okno drzewa ustawień zaawansowanych z listą funkcji programu, które można konfigurować. W oknie tym można dostosować opcje i ustawienia do indywidualnych potrzeb. Struktura drzewa dzieli się na dwie części: Ochrona serwera i Ochrona komputera. W części Ochrona serwera znajdują się elementy dotyczące ustawień programu ESET Mail Security związanych z zabezpieczaniem serwera Microsoft Exchange. Część Ochrona komputera zawiera z kolei możliwe do konfigurowania elementy dotyczące ochrony samego serwera. 8

9 2. Instalacj a Po zakupie produktu ESET Mail Security można pobrać pakiet MSI instalatora z witryny internetowej firmy ESET ( Po uruchomieniu programu instalacyjnego kreator instalacji poprowadzi użytkownika przez podstawowe czynności konfiguracyjne. Można wybrać jeden z dwóch typów instalacji o odmiennym poziomie szczegółowości konfiguracji: 1. Typowa instalacja 2. Instalacja zaawansowana UWAGA: Jeśli to możliwe, zdecydowanie zaleca się instalowanie programu ESET Mail Security w niedawno zainstalowanym i skonfigurowanym systemie operacyjnym. Jeśli jednak użytkownik musi zainstalować program w posiadanym systemie, najlepszym rozwiązaniem jest odinstalowanie wcześniejszej wersji produktu ESET Mail Security, ponowne uruchomienie serwera oraz zainstalowanie programu ESET Mail Security w wersji Typowa instalacj a Tryb typowej instalacji pozwala na szybkie zainstalowanie programu ESET Mail Security, wymagające skonfigurowania minimalnej liczby parametrów. Typowa instalacja jest domyślnym trybem instalacji i zaleca się ją w przypadku, gdy użytkownik nie ma jeszcze sprecyzowanych wymagań dotyczących poszczególnych ustawień. Po zainstalowaniu programu ESET Mail Security można w każdej chwili zmodyfikować jego opcje i ustawienia konfiguracji. Omówiono je zresztą szczegółowo w niniejszym podręczniku użytkownika. Ustawienia trybu typowej instalacji zapewniają znakomite bezpieczeństwo połączone z łatwością obsługi i dużą wydajnością systemu. Po wybraniu tego trybu instalacji i kliknięciu przycisku Dalej pojawi się monit o wprowadzenie nazwy użytkownika i hasła. Odgrywają one ważną rolę w zapewnianiu stałej ochrony systemu, ponieważ umożliwiają automatyczne przeprowadzanie aktualizacji 69 bazy sygnatur wirusów. W odpowiednich polach należy wprowadzić nazwę użytkownika i hasło otrzymane po zakupie lub zarejestrowaniu produktu. W przypadku chwilowego braku dostępu do nazwy użytkownika i hasła można je wpisać później bezpośrednio w zainstalowanym programie. W następnym kroku Menedżer licencj i należy dodać plik licencji dostarczony pocztą po zakupie produktu. 9

10 Kolejną czynnością jest skonfigurowanie systemu monitorowania zagrożeń ThreatSense.Net. Pomaga on zapewnić natychmiastowe i ciągłe informowanie firmy ESET o nowych próbach ataków, tak aby mogła ona szybko reagować i chronić swoich klientów. System ten umożliwia zgłaszanie nowych zagrożeń do laboratorium firmy ESET, gdzie są one analizowane, przetwarzane i dodawane do bazy sygnatur wirusów. Opcja Włącz system monitorowania zagrożeń ThreatSense.Net jest domyślnie zaznaczona. Aby zmodyfikować szczegółowe ustawienia dotyczące przesyłania podejrzanych plików, należy kliknąć przycisk Ustawienia zaawansowane. Następnym etapem procesu instalacji jest skonfigurowanie opcji Wykrywanie potencj alnie niepożądanych aplikacj i. Potencjalnie niepożądane aplikacje nie są z założenia tworzone w złych intencjach, ale mogą negatywnie wpływać na działanie systemu operacyjnego. Aplikacje te są często dołączane do innych programów i mogą być trudne do zauważenia podczas instalacji. W trakcie instalacji tych aplikacji zazwyczaj wyświetlane jest powiadomienie, jednak mogą one zostać łatwo zainstalowane bez zgody użytkownika. Zaznacz opcję Włącz wykrywanie potencj alnie niepożądanych aplikacj i, aby program ESET Mail Security wykrywał tego typu zagrożenia (zalecane). Aby nie korzystać z tej funkcji, należy zaznaczyć opcję Wyłącz wykrywanie aplikacj i potencj alnie niepożądanych. Ostatnią czynnością wykonywaną w trybie typowej instalacji jest potwierdzenie instalacji przez kliknięcie przycisku Instaluj. 10

11 2.2 Instalacj a zaawansowana Instalacja zaawansowana jest przeznaczona dla doświadczonych użytkowników, którzy chcą skonfigurować program ESET Mail Security podczas instalacji. Po wybraniu trybu instalacji i kliknięciu przycisku Dalej pojawi się monit o wskazanie docelowego miejsca instalacji. Domyślnie program jest instalowany w katalogu C:\Program Files\ESET\ESET Mail Security. Aby zmienić tę lokalizację (niezalecane), należy kliknąć przycisk Przeglądaj Następnie należy wprowadzić swoją nazwę użytkownika i hasło. Czynność ta jest identyczna z występującą w trybie typowej instalacji (patrz część Typowa instalacja 9 ). W następnym kroku Menedżer licencj i należy dodać plik licencji dostarczony pocztą po zakupie produktu. Po wprowadzeniu nazwy użytkownika i hasła należy kliknąć przycisk Dalej, aby przejść do okna Konfiguruj połączenie internetowe. W przypadku korzystania z serwera proxy należy go prawidłowo skonfigurować, aby można było przeprowadzać aktualizacje sygnatur wirusów. Aby automatycznie skonfigurować serwer proxy, należy wybrać ustawienie domyślne Nie wiem, czy podczas łączenia z Internetem używany j est serwer proxy. Użyj ustawień z programu Internet Explorer. (Zalecane) i kliknąć przycisk Dalej. Jeśli serwer proxy nie jest używany, należy zaznaczyć opcję Nie korzystam z serwera proxy. Aby samodzielnie wprowadzić parametry serwera proxy, można ręcznie skonfigurować jego ustawienia. W tym celu należy zaznaczyć opcję Korzystam z serwera proxy i kliknąć przycisk Dalej. W polu Adres należy wprowadzić adres IP lub URL serwera proxy. W polu Port należy wprowadzić numer portu, na którym serwer proxy przyjmuje 11

12 połączenia (domyślnie 3128). W przypadku gdy serwer proxy wymaga uwierzytelniania, należy w polach Nazwa użytkownika i Hasło wprowadzić prawidłowe dane umożliwiające uzyskanie dostępu do serwera. Ustawienia serwera proxy można również skopiować z programu Internet Explorer. Po wprowadzeniu parametrów serwera proxy należy kliknąć przycisk Zastosuj i potwierdzić wybór. Należy kliknąć przycisk Dalej, aby przejść do okna Konfiguruj ustawienia automatycznej aktualizacj i. W tym kroku można określić sposób przeprowadzania w systemie automatycznych aktualizacji komponentów programu. Aby uzyskać dostęp do ustawień zaawansowanych, należy kliknąć przycisk Zmień... Jeśli komponenty programu nie mają być aktualizowane, należy wybrać ustawienie Nigdy nie aktualizuj komponentów programu. Aby przed pobieraniem komponentów programu było wyświetlane okno potwierdzenia, należy zaznaczyć opcję Pytaj przed pobraniem komponentów programu. Aby pobieranie uaktualnień komponentów programu odbywało się automatycznie, należy wybrać ustawienie Zawsze aktualizuj komponenty programu. UWAGA: Po zaktualizowaniu komponentów programu wymagane jest zazwyczaj ponowne uruchomienie komputera. Zalecane jest wybranie opcji Nigdy nie uruchamiaj ponownie komputera. Najnowsze aktualizacje komponentów staną się aktywne po najbliższym ponownym uruchomieniu serwera (zaplanowanym 79, ręcznym lub jakimkolwiek innym). Aby po zaktualizowaniu komponentów pojawiało się przypomnienie o konieczności ponownego uruchomienia serwera, należy wybrać ustawienie W razie potrzeby zaoferuj ponowne uruchomienie komputera. Pozwala ono od razu uruchomić ponownie serwer lub odłożyć tę czynność na później. W następnym oknie instalacji można ustawić hasło służące do ochrony ustawień programu. W tym celu należy wybrać opcję Zabezpiecz ustawienia konfiguracyj ne hasłem, a następnie wprowadzić hasło w polach Nowe hasło i Potwierdź nowe hasło. Dwa kolejne kroki procesu instalacji, System monitorowania zagrożeń ThreatSense.Net i Wykrywanie potencj alnie niepożądanych aplikacj i, są identyczne z występującymi w trybie instalacji typowej (patrz sekcja Typowa instalacja 9 ). Aby zakończyć instalację, należy kliknąć przycisk Instaluj w oknie Gotowe do instalacj i. 2.3 Serwer terminali W przypadku zainstalowania programu ESET Mail Security w systemie Windows Server pełniącym rolę serwera terminali warto wyłączyć interfejs GUI programu ESET Mail Security, aby zapobiec uruchamianiu się go przy każdym logowaniu użytkownika. Szczegółowe instrukcje wyłączenia go można znaleźć w rozdziale Wyłączanie interfejsu GUI na serwerze terminali

13 2.4 Uaktualnianie do nowszej wersj i Nowsze wersje programu ESET Mail Security publikuje się w celu wprowadzania w nim poprawek lub udoskonaleń, których nie można wdrożyć w ramach automatycznych aktualizacji poszczególnych modułów. Uaktualnienie do nowszej wersji można zrealizować na jeden z kilku sposobów: 1. Automatyczne uaktualnienie za pomocą aktualizacji komponentów programu Ponieważ aktualizacje komponentów programu są rozsyłane do wszystkich użytkowników i mogą mieć wpływ na pewne konfiguracje systemu, publikuje się je po długim okresie testów, aby mieć pewność, że proces uaktualnienia przebiegnie bez zakłóceń w przypadku wszystkich możliwych konfiguracji systemu. Jeśli zachodzi potrzeba uaktualnienia programu do nowszej wersji natychmiast po jej udostępnieniu, należy posłużyć się jedną z poniższych metod. 2. Ręczne uaktualnienie przez pobranie i zainstalowanie nowej wersji już zainstalowanego programu Na początku procesu instalacji można wybrać zachowanie bieżących ustawień programu, zaznaczając pole wyboru Użyj bieżących ustawień. 3. Ręczne uaktualnienie w ramach automatycznego wdrożenia w środowisku sieciowym za pomocą narzędzia ESET Remote Administrator 2.5 Instalowanie w środowisku klastrowym Klaster to grupa serwerów (serwer podłączony do klastra jest nazywany węzłem), które pracują razem jako jeden serwer. Środowisko tego typu zapewnia wysoką dostępność oraz niezawodność dostępnych usług. W razie awarii lub niedostępności jednego z węzłów w klastrze jego działanie jest automatycznie przejmowane przez inny węzeł z tego samego klastra. Program ESET Mail Security w pełni obsługuje serwery Microsoft Exchange połączone w klaster. Warunkiem poprawnego działania programu ESET Mail Security jest skonfigurowanie wszystkich węzłów klastra w taki sam sposób. W tym celu można zastosować politykę za pomocą narzędzia ESET Remote Administrator (ERA). W kolejnych rozdziałach opisano sposób instalowania i konfigurowania programu ESET Mail Security na serwerach w środowisku klastrowym za pomocą narzędzia ERA. Instalacj a W tym rozdziale wyjaśniono działanie metody instalacji wypychanej. Nie jest to jednak jedyny sposób instalowania produktu na komputerze docelowym. Informacje na temat innych metod instalacji można znaleźć w Podręczniku użytkownika programu ESET Remote Administrator. 1) Pobierz pakiet instalacyjny msi produktu ESET Mail Security z witryny firmy ESET na komputer, na którym zainstalowano narzędzie ERA. W narzędziu ERA wybierz kartę Instalacj a zdalna, kliknij opcję Komputery, a następnie kliknij prawym przyciskiem myszy komputer na liście i wybierz z menu kontekstowego polecenie Zarządzanie pakietami. Z menu rozwijanego Typ wybierz polecenie Pakiet produktów zabezpieczeń ESET i kliknij przycisk Dodaj Znajdź pobrany pakiet instalacyjny programu ESET Mail Security w polu Źródło, a następnie kliknij opcję Utwórz. 2) W obszarze Edycj a/wybieranie konfiguracj i skoj arzonej z pakietem kliknij polecenie Edytuj i skonfiguruj ustawienia programu ESET Mail Security zgodnie ze swoimi potrzebami. Ustawienia programu ESET Mail Security są dostępne w następujących gałęziach: ESET Smart Security, ESET NOD32 Antivirus > Ochrona serwera poczty oraz Ochrona serwera poczty Microsoft Exchange Server. Można również ustawić parametry innych modułów programu ESET Mail Security (np. modułu aktualizacji, skanowania komputera itd.). Zaleca się wyeksportowanie skonfigurowanych ustawień do pliku XML w celu jego późniejszego użycia, na przykład podczas tworzenia pakietu instalacyjnego, stosowania zadania konfiguracyjnego lub polityki. 3) Kliknij opcję Zamknij. W kolejnym oknie dialogowym (Czy chcesz zapisać pakiety na serwerze?) wybierz opcję Tak i wpisz nazwę pakietu instalacyjnego. Ukończony pakiet instalacyjny (łącznie z nazwą oraz konfiguracją) zostanie zapisany na serwerze. Pakiet ten jest najczęściej używany na potrzeby instalacji wypychanej, ale można go również zapisać jako standardowy pakiet instalacyjny msi i używać do instalacji bezpośredniej na serwerze (wybierając kolejno opcje Edytor pakietów instalacyj nych > Zapisz j ako). 13

14 4) Gdy pakiet instalacyjny jest gotowy, można rozpocząć instalację zdalną w węzłach klastra. W narzędziu ERA wybierz kartę Instalacj a zdalna, kliknij opcję Komputery i zaznacz węzły, na których ma zostać zainstalowany program ESET Mail Security (Ctrl + kliknięcie przyciskiem myszy lub Shift + kliknięcie przyciskiem myszy). Kliknij prawym przyciskiem myszy dowolny z zaznaczonych komputerów i wybierz z menu kontekstowego opcję Instalacj a wypychana. Używając przycisków Ustaw / Ustaw wszystko, ustaw Nazwę użytkownika i Hasło użytkownika komputera docelowego (musi on mieć uprawnienia administratora). Kliknij przycisk Dalej, aby wybrać pakiet instalacyjny, i rozpocznij proces instalacji zdalnej, klikając przycisk Zakończ. Pakiet instalacyjny zawierający program ESET Mail Security oraz niestandardowe ustawienia konfiguracyjne zostanie zainstalowany na wybranych komputerach docelowych/węzłach. Po krótkiej chwili komputery z produktem ESET Mail Security pojawią się na karcie Klienci narzędzia ERA. Od tej chwili można zdalnie zarządzać tymi klientami. UWAGA: Aby proces instalacji zdalnej przebiegł bezproblemowo, komputery docelowe oraz serwer z narzędziem ERA muszą spełniać określone warunki. Więcej informacji można znaleźć w Podręczniku użytkownika narzędzia ESET Remote Administrator. Konfiguracj a Aby program ESET Mail Security działał poprawnie na węzłach klastra, wszystkie węzły muszą być zawsze tak samo skonfigurowane. Warunek ten zostanie spełniony, jeśli użytkownik zastosuje opisaną powyżej metodę instalacji wypychanej. Istnieje jednak ryzyko omyłkowej zmiany konfiguracji, która może spowodować niespójności między produktami ESET Mail Security w jednym klastrze. Aby temu zapobiec, należy użyć polityki w narzędziu ERA. Polityka jest podobna do standardowego zadania konfiguracyjnego wysyła ona do klientów konfigurację określoną w edytorze konfiguracji. Polityka różni się od zadania konfiguracyjnego tym, że jest ona stale stosowana w ramach klientów. W związku z tym politykę można nazwać konfiguracją, która jest regularnie wymuszana na klientach lub ich grupach. Po wybraniu w narzędziu ERA opcji Narzędzia > Menedżer polityk można uzyskać dostęp do wielu opcji stosowania polityki. Najprostsza w użyciu jest Domyślna polityka nadrzędna, która działa również jako Polityka domyślna dla klientów podstawowych. Polityka tego rodzaju jest automatycznie stosowana w odniesieniu do wszystkich podłączonych klientów (w tym wypadku do wszystkich produktów ESET Mail Security w klastrze). Politykę można skonfigurować, klikając opcję Edytuj lub używając konfiguracji zapisanej w pliku xml (jeśli został on wcześniej utworzony). Drugą możliwością jest utworzenie nowej polityki (Dodaj nową politykę podrzędną) i przypisanie do niej wszystkich produktów ESET Mail Security za pomocą opcji Dodaj klientów. Ta konfiguracja gwarantuje, że w odniesieniu do wszystkich klientów jest stosowana jedna polityka o tych samych ustawieniach. Aby zmodyfikować istniejące ustawienia serwera produktu ESET Mail Security w klastrze, wystarczy dokonać edycji aktualnej polityki. Zmiany zostaną zastosowane w odniesieniu do wszystkich klientów przypisanych do tej polityki. UWAGA: więcej informacji o politykach można znaleźć w Podręczniku użytkownika narzędzia ESET Remote Administrator. 2.6 Licencj a Wprowadzenie pliku licencji programu ESET Mail Security dla oprogramowania Microsoft Exchange Server jest bardzo ważnym krokiem. Bez niego ochrona poczty oprogramowania Microsoft Exchange Server nie będzie działać poprawnie. Jeśli plik licencji nie został dodany podczas instalacji, można zrobić to później w ustawieniach zaawansowanych, w obszarze Inne > Licencj e. Program ESET Mail Security pozwala używać jednocześnie wielu licencji. W tym celu licencje należy scalić w następujący sposób: 1) Scalane są co najmniej dwie licencje jednego klienta (tj. licencje przypisane do tego samego nazwiska klienta), a liczba skanowanych skrzynek pocztowych zostaje odpowiednio zwiększona. W menedżerze licencji nadal są wyświetlane obie licencje. 14

15 2) Scalane są co najmniej dwie licencje różnych klientów. Wykonywane są te same działania co w pierwszym przypadku (punkt 1 powyżej). Jedyną różnicą jest to, że co najmniej jedna z licencji musi mieć atrybut specjalny. Atrybut ten jest wymagany do scalenia licencji różnych klientów. Aby użyć takiej licencji, należy wystąpić do lokalnego dystrybutora o jej wygenerowanie. UWAGA: Okres ważności nowo utworzonej licencji jest wyznaczany przez najwcześniejszą datę wygaśnięcia jej składników. Produkt ESET Mail Security dla oprogramowania Microsoft Exchange Server (EMSX) porównuje liczbę skrzynek pocztowych w usłudze Active Directory z liczbą licencji posiadanych przez użytkownika. W celu ustalenia całkowitej liczby skrzynek pocztowych sprawdzana jest każda usługa Active Directory serwera Exchange. W całkowitej liczbie skrzynek pocztowych nie są uwzględniane systemowe skrzynki pocztowe, zdezaktywowane skrzynki pocztowe ani aliasy adresów . W środowisku klastrowym w całkowitej liczbie skrzynek pocztowych nie są uwzględniane węzły z rolą klastrowej skrzynki pocztowej. Aby poznać liczbę skrzynek pocztowych działających w oprogramowaniu Exchange, należy otworzyć na serwerze narzędzie Użytkownicy i komputery usługi Active Directory. Następnie należy kliknąć prawym przyciskiem myszy domenę i wybrać polecenie Znaj dź. Z menu rozwijanego Znaj dź należy wybrać opcję Wyszukiwanie niestandardowe i kliknąć kartę Zaawansowane. Następnie należy wkleić następujące zapytanie protokołu LDAP (Lightweight Directory Access Protocol) i kliknąć polecenie Znaj dź teraz: (&(objectclass=user)(objectcategory=person)(mailnickname=*)( (homemdb=*)(msexchhomeservername=*))(! (name=systemmailbox{*))(!(name=cas_{*))(msexchuseraccountcontrol=0)(! useraccountcontrol: :=2)) 15

16 Jeśli liczba skrzynek pocztowych w usłudze Active Directory przekroczy liczbę licencji, w dzienniku oprogramowania Microsoft Exchange Server zostanie umieszczony komunikat Stan ochrony został zmieniony, ponieważ przekroczono dopuszczalną liczbę skrzynek pocztowych (liczba) objętych licencją (liczba). Użytkownik zostanie o tym również powiadomiony przez program ESET Mail Security Stan ochrony zmieni kolor na POMARAŃCZOWY i zostanie wyświetlony komunikat z informacją, że ochrona zostanie wyłączona za 42 dni. W wypadku wyświetlenia takiego powiadomienia należy skontaktować się ze sprzedawcą w celu zakupienia dodatkowych licencji. Jeśli użytkownik nie doda wymaganych licencji dla dodatkowych skrzynek pocztowych przed upływem 42 dni, Stan ochrony zmieni kolor na CZERWONY. Zostanie również wyświetlony komunikat o wyłączeniu ochrony. W przypadku wyświetlenia takiego powiadomienia należy natychmiast skontaktować się ze sprzedawcą i zakupić dodatkowe licencje. 16

17 2.7 Konfiguracj a po instalacj i Po zainstalowaniu produktu należy skonfigurować kilka opcji. Ustawienia ochrony przed spamem W tej sekcji opisano ustawienia, metody i techniki, za pomocą których można chronić swoją sieć przed spamem. Zaleca się, aby przed wybraniem najkorzystniejszego dla sieci połączenia ustawień uważnie przeczytać poniższe instrukcje. Zarządzanie spamem Aby zagwarantować wysoki poziom ochrony przed spamem, należy wybrać czynności, którym będą poddawane wiadomości oznaczone jako SPAM. Dostępne są trzy opcje: 1. Usuwanie spamu Kryteria, które musi spełniać wiadomość, aby program ESET Mail Security uznał ją za SPAM, są dość wyśrubowane. Pozwala to zmniejszyć ryzyko usunięcia poprawnych wiadomości . Im bardziej konkretne są ustawienia ochrony przed spamem, tym mniejsze prawdopodobieństwo usunięcia poprawnych wiadomości . Zaletami tej metody są mniejsze zużycie zasobów systemowych oraz mniejsza potrzeba administracji. Jej wadą jest niemożność lokalnego przywrócenia poprawnej wiadomości w razie jej usunięcia. 2. Kwarantanna Ta opcja likwiduje ryzyko usunięcia niegroźnej wiadomości . Wiadomości można natychmiast przywracać i ponownie wysyłać do oryginalnych odbiorców. Wadą tej metody jest większe zużycie zasobów systemowych oraz konieczność poświęcenia dodatkowego czasu na prowadzenie kwarantanny wiadomości . Wiadomości można przekazywać do kwarantanny za pomocą dwóch metod: A. Wewnętrzna kwarantanna oprogramowania Exchange Server (dostępna tylko w wersjach Microsoft Exchange Server 2007/2010): Aby skorzystać z wewnętrznej kwarantanny serwera, należy sprawdzić, czy pole Wspólna kwarantanna wiadomości w prawym okienku menu ustawień zaawansowanych (dostępne po kliknięciu kolejno opcji Ochrona serwera > Kwarantanna wiadomości) jest puste. Należy też upewnić się, że w dostępnym na dole menu rozwijanym wybrano opcję Przenieś wiadomość do kwarantanny systemu serwera pocztowego. Ta metoda działa tylko w przypadku, gdy istnieje wewnętrzna kwarantanna oprogramowania Exchange. Domyślnie, wewnętrzna kwarantanna nie jest aktywowana w oprogramowaniu Exchange. Aby ją aktywować, należy otworzyć powłokę zarządzania serwerem Exchange i wpisać następujące polecenie: Set-ContentFilterConfig -Quarantin box nazwa@domena.com (zapis nazwa@domena.com należy zastąpić adresem skrzynki pocztowej, której oprogramowanie Microsoft Exchange ma używać jako skrzynki pocztowej wewnętrznej kwarantanny, na przykład kwarantannaexchange@firma.com). B. Niestandardowa skrzynka pocztowa wiadomości kwarantanny: Po wpisaniu żądanej skrzynki pocztowej w polu Wspólna kwarantanna wiadomości program ESET Mail Security będzie przenosić wszystkie nowe wiadomości spamu do tej niestandardowej skrzynki pocztowej. Więcej informacji na temat kwarantanny oraz różnych metod postępowania można znaleźć w rozdziale Kwarantanna wiadomości

18 3. Przekazywanie spamu Spam zostanie przekazany do odbiorcy. Program ESET Mail Security uzupełni jednak odpowiedni nagłówek MIME każdej wiadomości wartością SCL. Inteligentny filtr wiadomości (IMF) serwera Exchange podejmie na podstawie wartości SCL decyzję o wykonaniu odpowiedniej czynności. Filtrowanie spamu Aparat antyspamowy Aparat ochrony przed spamem udostępnia trzy następujące konfiguracje: Zalecana, Naj bardziej dokładna i Naj szybsza. Jeśli nie trzeba optymalizować konfiguracji, aby zapewnić maksymalną wydajność (np. duże obciążenie serwera), zaleca się wybranie opcji Naj bardziej dokładna. Wybranie konfiguracji Zalecana powoduje, że serwer automatycznie dostosowuje swoje ustawienia zależnie od skanowanych wiadomości, aby zrównoważyć obciążenie. Wybranie metody Naj bardziej dokładna powoduje, że ustawienia są optymalizowane pod kątem szybkości przechwytywania. Kliknięcie opcji Zaawansowana > Otwórz plik konfiguracyj ny pozwala edytować plik spamcatcher.conf 43. Korzystanie z tej opcji zaleca się tylko zaawansowanym użytkownikom. Przed rozpoczęciem korzystania z wybranych opcji programu warto skonfigurować ręcznie listę ograniczonych i dozwolonych adresów IP. Aby to zrobić: 1) Otwórz okno Ustawienia zaawansowane i przejdź do sekcji Ochrona przed spamem. Upewnij się, że pole wyboru Włącz ochronę serwera przed spamem jest zaznaczone. 2) Przejdź do sekcji Aparat ochrony przed spamem. 3) Kliknij przycisk Ustawienia, aby ustawić listy Dozwolone, ignorowane oraz Blokowane adresy IP. Karta Blokowane adresy IP zawiera listę ograniczonych adresów IP. Jeśli jakikolwiek nieignorowany adres IP z nagłówków Received jest taki sam, jak adres na tej liście, wiadomość otrzymuje wynik 100 i nie są przeprowadzane żadne inne kontrole. Karta Dozwolone adresy IP zawiera listę wszystkich dozwolonych adresów IP. Jeśli pierwszy nieignorowany adres IP z nagłówków Received jest taki sam, jak adres na tej liście, wiadomość otrzymuje wynik 0 i nie są przeprowadzane żadne inne kontrole. Karta Ignorowane adresy IP zawiera listę adresów, które powinny być ignorowane podczas Sprawdzania w czasie rzeczywistym za pomocą listy RBL. Lista powinna zawierać wszystkie chronione zaporą wewnętrzne adresy IP, które nie są dostępne bezpośrednio z Internetu. Pozwoli to zapobiec zbędnym kontrolom i pomoże rozróżniać adresy IP łączące się z zewnątrz od wewnętrznych adresów IP. Szara lista Szara lista chroni użytkowników przed spamem za pomocą następującej techniki: Agent transportu wysyła zwracaną wartość serwera SMTP tymczasowo odrzucono (wartość domyślna to 451/4.7.1) w odpowiedzi na każdą wiadomość od nadawcy, którego nie rozpoznaje. Serwer wysyłający autentyczne wiadomości próbuje ponownie dostarczyć wiadomość. Spamerzy zazwyczaj nie próbują ponownie dostarczać wiadomości, ponieważ jednocześnie wysyłają je na tysiące adresów i nie mogą poświęcać dodatkowego czasu na ponowne dostarczanie. Podczas oceniania źródła wiadomości metoda sprawdza konfigurację list Zatwierdzone adresy IP, Ignorowane adresy IP, Bezpieczni nadawcy i Dozwolone adresy IP serwera Exchange oraz ustawienia AntispamBypass skrzynki pocztowej odbiorcy. Szarą listę należy starannie skonfigurować, w przeciwnym razie mogą występować niechciane usterki w działaniu (np. opóźnienia w dostarczaniu pożądanych wiadomości itp.). Liczba takich efektów ubocznych maleje w miarę, jak działająca funkcja dodaje do wewnętrznej białej listy zaufane połączenia. Użytkownikom nieznającym tej metody lub niechcącym jej używać ze względu na skutki uboczne zaleca się wyłączenie jej w menu Ustawienia zaawansowane. Aby to zrobić, należy kliknąć kolejno opcje Ochrona przed spamem > Microsoft Exchange Server > Agent transportu > Włącz szarą listę. Szarą listę należy również wyłączyć, jeśli celem użytkownika jest testowanie podstawowych funkcji programu, a nie konfigurowanie jego zaawansowanych ustawień. UWAGA: Szara lista to dodatkowy sposób ochrony przed spamem. Nie wpływa ona w żaden sposób na metodę oceniania spamu przez moduł ochrony przed spamem. 18

19 Ustawienia ochrony antywirusowej Kwarantanna Zależnie od używanego trybu leczenia zaleca się skonfigurowanie czynności wykonywanej względem zainfekowanych (niewyleczonych) wiadomości. Tę opcję można ustawić w oknie Ustawienia zaawansowane po wybraniu opcji Ochrona serwera > Antywirus i antyspyware > Microsoft Exchange Server > Agent transportu. Po włączeniu opcji przenoszenia wiadomości do kwarantanny wiadomości należy skonfigurować kwarantannę, wybierając w oknie Ustawienia zaawansowane opcje Ochrona serwera> Kwarantanna wiadomości. Wydaj ność W przypadku braku ograniczeń zaleca się zwiększenie liczby aparatów skanowania technologii ThreatSense w oknie Ustawienia zaawansowane (F5). Aby to zrobić, należy wybrać kolejno opcje Ochrona serwera > Antywirus i antyspyware > Microsoft Exchange Server > VSAPI > Wydaj ność i skorzystać z następującego wzoru: liczba wątków skanowania = (liczba fizycznych procesorów x 2) + 1. Liczba wątków skanowania powinna być taka sama jak liczba aparatów skanowania technologii ThreatSense. Liczbę aparatów skanowania można skonfigurować, wybierając kolejno opcje Ochrona komputera > Antywirus i antyspyware > Wydaj ność. Oto przykład: Załóżmy, że jest używany serwer z 4 procesorami. Zgodnie z powyższym wzorem do uzyskania najwyższej wydajności wymaganych jest 9 wątków skanowania oraz 9 aparatów skanowania. UWAGA: Zaleca się ustawienie jednakowej liczby aparatów skanowania technologii ThreatSense oraz używanych wątków skanowania. Jeśli liczba używanych wątków skanowania przekroczy liczbę aparatów skanowania, nie wpłynie to w żaden sposób na wydajność. UWAGA: jeśli program ESET Mail Security działa w systemie Windows Server, który pełni rolę serwera terminali, a użytkownik nie chce, aby interfejs GUI programu ESET Mail Security był uruchamiany po każdym zalogowaniu, należy zapoznać się z treścią rozdziału Wyłączanie interfejsu GUI na serwerze terminali

20 3. ESET Mail Security ochrona serwera Microsoft Exchange Server Program ESET Mail Security zapewnia wysoki poziom ochrony serwera Microsoft Exchange Server. Istnieją trzy podstawowe rodzaje ochrony: antywirusowa, przed spamem oraz stosowanie reguł zdefiniowanych przed użytkownika. Program ESET Mail Security chroni przed różnego rodzaju szkodliwym oprogramowaniem, takim jak załączniki do wiadomości zarażone robakami lub końmi trojańskimi, dokumenty zawierające szkodliwe skrypty, ataki typu phishing czy spam. Program ESET Mail Security filtruje szkodliwą zawartość na poziomie serwera poczty, zanim dotrze ona do skrzynki odbiorczej programu poczty odbiorcy. W kolejnych rozdziałach opisano wszystkie opcje oraz ustawienia umożliwiające dostosowywanie ustawień ochrony serwera Microsoft Exchange Server. 3.1 Ustawienia ogólne W tej sekcji opisano sposób administrowania regułami, plikami dziennika, kwarantanną wiadomości oraz parametrami wydajności Microsoft Exchange Server VSAPI (Virus-Scanning Application Programming Interface) Platforma Microsoft Exchange Server udostępnia mechanizm gwarantujący, że każdy komponent wiadomości jest skanowany przy użyciu zaktualizowanej bazy sygnatur wirusów. Jeśli dany komponent wiadomości nie był skanowany, zostaje przesyłany do skanera przed wysłaniem wiadomości do klienta. Każda obsługiwana wersja platformy Microsoft Exchange Server (5.5/2000/2003/2007/2010) udostępnia inną wersję interfejsu VSAPI. Pole wyboru umożliwia włączenie lub wyłączenie automatycznego uruchamiania wersji interfejsu VSAPI używanej przez dany serwer Exchange Agent transportu W tej sekcji można skonfigurować automatyczne uruchamianie agenta transportu oraz ustawić priorytet jego ładowania. W przypadku oprogramowania Microsoft Exchange Server 2007 i jego nowszych wersji agenta transportu można zainstalować tylko w sytuacji, gdy serwer działa w jednej z następujących ról: Transport graniczny lub Transport centralny. UWAGA: Agent transportu jest niedostępny w oprogramowaniu Microsoft Exchange Server 5.5 (VSAPI 1.0). 20

21 Priorytet agentów programu ESET Mail Security można ustawić w menu Ustawienia priorytetu agenta. Zakres numerów priorytetu agenta zależy od wersji oprogramowania Microsoft Exchange Server (im niższy numer, tym wyższy priorytet). Zapisuj poziom ufności filtrów spamu (SCL) w nagłówkach zeskanowanych wiadomości na podstawie wyniku spamu SCL to przypisywana do wiadomości znormalizowana wartość, która wskazuje prawdopodobieństwo tego, że wiadomość jest spamem (na podstawie charakterystyki nagłówka wiadomości, jej tematu, treści itp.). Ocena 0 wskazuje, że wiadomość niemal na pewno nie jest spamem, a ocena 9 wskazuje, że wiadomość najprawdopodobniej jest spamem. Wartości SCL mogą być dalej przetwarzane przez inteligentny filtr wiadomości (lub agenta filtru zawartości) oprogramowania Microsoft Exchange Server. Więcej informacji można znaleźć w dokumentacji oprogramowania Microsoft Exchange Server. Opcja Podczas usuwania wiadomości wysyłaj odpowiedź o odrzuceniu przez usługę SMTP: Jeśli opcja nie jest zaznaczona, serwer SMTP wysyła do agenta MTA (Mail Transfer Agent) nadawcy odpowiedź SMTP OK w formacie Requested mail action okay, completed ( Wykonano i zakończono żądaną czynność dotyczącą poczty), a następnie przechodzi do trybu cichego. Jeśli opcja jest zaznaczona, do agenta MTA nadawcy wysyłana jest odpowiedź o odrzuceniu przez serwer SMTP. Treść odpowiedzi można wpisać w następującym formacie: Podstawowy kod odpowiedzi 250 Uzupełniaj ący kod stanu Opis Wykonano i zakończono żądaną czynność dotyczącą poczty Przerwano żądaną czynność: błąd lokalny podczas przetwarzania Nie wykonano żądanej czynności: skrzynka pocztowa jest niedostępna Ostrzeżenie: Nieprawidłowa składnia kodów odpowiedzi serwera SMTP może spowodować błędne działanie komponentów programu oraz ograniczyć jego skuteczność. UWAGA: Wysyłaną przez serwer SMTP odpowiedź o odrzuceniu można również skonfigurować za pomocą zmiennych systemu. 21

22 3.1.2 Reguły Element menu Reguły umożliwia administratorom ręczne definiowanie warunków filtrowania wiadomości i czynności, jakie mają zostać podjęte wobec odfiltrowanych wiadomości. Reguły są stosowane zgodnie z zestawem połączonych warunków. Do łączenia wielu warunków służy operator logiczny AND w takim przypadku reguła jest stosowana tylko w przypadku spełnienia wszystkich warunków. Kolumna Numer (widoczna obok nazwy każdej reguły) pokazuje, ile razy dana reguła została pomyślnie zastosowana. Reguły są stosowane do wiadomości, gdy jest ona przetwarzana przez agenta transportu (TA) lub program VSAPI. Gdy włączony jest zarówno agent transportu, jak i program VSAPI, a wiadomość spełnia warunki reguły, wartość licznika reguł może wzrosnąć o 2 lub więcej. Dzieje się tak, ponieważ program VSAPI uzyskuje dostęp do każdej części wiadomości osobno (treść, załącznik). Oznacza to, że reguły są kolejno stosowane osobno wobec każdej części. Reguły są również stosowane podczas skanowania w tle (np. powtórzone skanowanie skrzynek pocztowych po aktualizacji bazy danych sygnatur wirusów), co także może zwiększyć wartość licznika reguł. Dodaj umożliwia dodanie nowej reguły. Edytuj umożliwia zmodyfikowanie istniejącej reguły. Usuń umożliwia usunięcie zaznaczonej reguły. Wyczyść umożliwia wyczyszczenie licznika reguł (kolumny Numer). Przenieś w górę przenosi wybraną regułę w górę listy. Przenieś w dół przenosi wybraną regułę w dół listy. Usunięcie zaznaczenia pola wyboru (widocznego po lewej stronie nazwy każdej reguły) dezaktywuje bieżącą regułę. Umożliwia to ponowne aktywowanie reguły w razie konieczności. UWAGA: podczas konfigurowania reguł można także używać zmiennych systemowych (np. %PATHEXT%). UWAGA: w przypadku dodania nowej lub zmodyfikowania istniejącej reguły automatycznie zostanie uruchomione ponowne skanowanie wiadomości za pomocą nowej/zmodyfikowanej reguły. 22

23 Dodawanie nowych reguł Ten kreator prowadzi użytkownika przez proces dodawania zdefiniowanych przez niego reguł zawierających połączone warunki. UWAGA: W przypadku skanowania wiadomości przez agenta transportu nie są stosowane wszystkie warunki. Według docelowej skrzynki pocztowej dotyczy nazwy skrzynki pocztowej (VSAPI) Według odbiorcy wiadomości dotyczy wiadomości wysłanej do określonego odbiorcy (VSAPI + TA) Według nadawcy wiadomości dotyczy wiadomości wysłanej przez określonego nadawcę (VSAPI + TA) Według tematu wiadomości dotyczy wiadomości o określonym temacie (VSAPI + TA) Według treści wiadomości dotyczy wiadomości, której treść zawiera określony tekst (VSAPI) Według nazwy załącznika dotyczy wiadomości z załącznikiem o określonej nazwie (VSAPI) Według rozmiaru załącznika dotyczy wiadomości, w przypadku której rozmiar załącznika przekracza określoną wartość (VSAPI) Według częstotliwości występowania dotyczy obiektów (treści lub załącznika wiadomości ), których liczba wystąpień w określonym przedziale czasu przekracza ustalony limit (VSAPI + TA). Jest to przydatne zwłaszcza w przypadku częstego otrzymywania spamu o takiej samej treści bądź z takim samym załącznikiem. Jeśli nie włączono opcji Tylko całe wyrazy, podczas określania wymienionych powyżej warunków (z wyjątkiem warunku Według rozmiaru załącznika) wystarczy wpisać jedynie fragment tekstu. Jeśli nie włączono opcji Uwzględniaj wielkość liter, wielkość liter nie jest uwzględniana podczas wprowadzania wartości. W przypadku stosowania wartości innych niż alfanumeryczne należy używać nawiasów i cudzysłowów. Warunki można też tworzyć z użyciem operatorów logicznych AND, OR i NOT. UWAGA: Lista dostępnych reguł zależy od zainstalowanej wersji oprogramowania Microsoft Exchange Server. UWAGA: Oprogramowanie Microsoft Exchange Server 2000 (VSAPI 2.0) ocenia jedynie wyświetloną nazwę nadawcy/odbiorcy, a nie adres . Adresy są oceniane w oprogramowaniu Microsoft Exchange Server 2003 (VSAPI 2.5) i w jego nowszych wersjach. Przykłady wprowadzania warunków: Według docelowej kowalski skrzynki pocztowej: Według nadawcy kowalski@poczta.pl wiadomości Według odbiorcy "J. Kowalski" OR "kowalski@poczta.pl" wiadomości Według tematu "" wiadomości Według nazwy ".com" OR ".exe" załącznika: 23

24 Według treści wiadomości ("bezpłatny" OR "loteria") AND ("wygraj" OR "kup") Czynności podej mowane przy stosowaniu reguł Ta sekcja umożliwia wybieranie czynności wykonywanych w odniesieniu do wiadomości i/lub załączników spełniających warunki określone w regułach. Można nie wykonywać żadnej czynności, oznaczyć wiadomość tak, jakby była zagrożeniem/spamem, lub usunąć całą wiadomość. Skanowanie za pomocą modułów antywirusowych lub ochrony przed spamem nie jest uruchamiane domyślnie, gdy wiadomość lub jej załącznik spełnia warunki określone w regule. Aby tak się działo, należy zaznaczyć odpowiednie pola wyboru dostępne poniżej (czynność wykonywana w takiej sytuacji będzie zależeć od ustawień ochrony antywirusowej i ochrony przed spamem). Brak czynności nie zostanie podjęta żadna czynność wobec wiadomości. Wykonaj czynność dotyczącą niewyleczonego zagrożenia wiadomość zostanie oznaczona jako zawierająca niewyleczone zagrożenie (niezależnie od tego, czy zawierała zagrożenie, czy nie). Wykonaj czynność dotyczącą niepożądanych wiadomości wiadomość zostanie oznaczona jako spam (niezależnie od tego, czy faktycznie jest spamem, czy nie). Ta opcja jest niedostępna, jeśli użytkownik korzysta z programu ESET Mail Security bez modułu ochrony przed spamem. Usuń wiadomość spowoduje usunięcie całej wiadomości zawierającej treść, która spełnia warunki reguł. Poddaj plik kwarantannie załączniki zostaną przeniesione do kwarantanny. UWAGA: Tej opcji nie należy mylić z kwarantanną wiadomości (więcej informacji można znaleźć w rozdziale Kwarantanna wiadomości 26 ). Prześlij plik do analizy wysyła podejrzane załączniki do laboratorium firmy ESET, gdzie są one poddawane analizie. Wyślij powiadomienie o zdarzeniu wysyła powiadomienie do administratora (na podstawie ustawień wybranych w obszarze Narzędzia > Alerty i powiadomienia). Dziennik zapisuje w dzienniku programu informacje o zastosowanej regule. Oceń inne reguły umożliwia ocenę innych reguł, pozwalając użytkownikowi definiować wiele zestawów warunków oraz wiele czynności, które mogą być wykonywane zależnie od warunków. Skanuj za pomocą ochrony antywirusowej i antyspyware powoduje skanowanie wiadomości i jej załączników pod kątem zagrożeń. Skanuj za pomocą ochrony przed spamem skanuje wiadomości pod kątem spamu. UWAGA: Ta opcja jest dostępna tylko w oprogramowaniu Microsoft Exchange Server w wersji 2000 lub nowszej, gdy włączono agenta transportu. Ostatni krok w kreatorze tworzenia nowej reguły polega na nadaniu każdej utworzonej regule nazwy. Można także dodać Komentarz do reguły. Ta informacja zostanie zapisana w dzienniku oprogramowania Microsoft Exchange Server. 24

25 3.1.3 Pliki dziennika Ustawienia plików dziennika pozwalają określić, jak długo będzie tworzony plik dziennika. Bardziej szczegółowy protokół może zawierać więcej informacji, ale również obniżać wydajność serwera. Po włączeniu opcji Zsynchronizowany zapis bez używania pamięci podręcznej wszystkie wpisy dziennika są zapisywane natychmiast w pliku dziennika bez zapisywania w jego pamięci podręcznej. Domyślnie komponenty programu ESET Mail Security uruchomione w oprogramowaniu Microsoft Exchange Server zapisują wiadomości dziennika w swojej pamięci podręcznej i, w celu utrzymania wydajności, przesyłają je do dziennika aplikacji w określonych odstępach czasu. W takim przypadku wpisy diagnostyczne dziennika mogą jednak nie mieć właściwej kolejności. Zaleca się wyłączenie tego ustawienia, chyba że jest ono wymagane do diagnostyki. Rodzaj informacji zapisywanych w plikach dziennika można określić w menu Zawartość. Rej estruj stosowanie reguł po włączeniu tej opcji program ESET Mail Security zapisuje w pliku dziennika nazwy wszystkich aktywowanych reguł. Rej estruj wyniki spamu użycie tej opcji powoduje rejestrowanie czynności związanych ze spamem w Dzienniku ochrony przed spamem 83. Gdy serwer pocztowy odbiera wiadomość będącą spamem, informacja na ten temat jest zapisywana w dzienniku. Zawiera ona takie dane, jak Godzina/Data, Nadawca, Odbiorca, Temat, Wynik spamu, Powód oraz Czynność. Są one przydatne w razie konieczności sprawdzenia, jakie wiadomości spamu zostały odebrane, kiedy to nastąpiło oraz jakie czynności wykonano. Rej estruj operacj e użycia szarej listy włączenie tej opcji spowoduje zapisywanie czynności związanych z szarą listą w Dzienniku szarej listy 83. Zawiera on takie dane jak Godzina/Data, Domena HELO, Adres IP, Nadawca, Odbiorca, Czynność itp. UWAGA: ta opcja działa tylko po włączeniu szarej listy za pomocą ustawień Agenta transportu 39 dostępnych po wybraniu kolejno opcji Ochrona serwera > Ochrona przed spamem > Microsoft Exchange Server > Agent transportu w drzewie ustawień zaawansowanych (F5). Rej estruj wydaj ność rejestruje informacje na temat przedziału czasu wykonywanego zadania, rozmiaru skanowanego obiektu, szybkości transferu (KB/s) oraz oceny wydajności. Rej estruj informacj e diagnostyczne rejestruje informacje diagnostyczne niezbędne do dostosowywania programu pod kątem protokołu. Ta opcja służy głównie do debugowania oraz wykrywania problemów. Nie zaleca się włączania tej opcji. Aby zobaczyć informacje diagnostyczne udostępniane przez tę funkcję, należy ustawić opcję Minimalna szczegółowość zapisów w dzienniku jako Rekordy diagnostyczne, wybierając kolejno 25

26 opcje Narzędzia > Pliki dziennika > Minimalna szczegółowość zapisów w dzienniku Kwarantanna wiadomości Kwarantanna wiadomości to specjalna skrzynka pocztowa zdefiniowana przez administratora systemu w celu przechowywania potencjalnie zainfekowanych wiadomości i spamu. Wiadomości poddane kwarantannie można przeanalizować lub wyleczyć w późniejszym czasie przy użyciu nowszej bazy sygnatur wirusów. Dostępne są dwa rodzaje systemów kwarantanny wiadomości. Można korzystać z systemu kwarantanny oprogramowania Microsoft Exchange (dostępny tylko w wersji Microsoft Exchange Server 2007/2010). W tym przypadku do przechowywania potencjalnie zainfekowanych wiadomości oraz spamu używany jest wewnętrzny mechanizm oprogramowania Exchange. Dodatkowo, jeśli zajdzie taka potrzeba, można dodać osobną skrzynkę pocztową wiadomości kwarantanny (lub kilka takich skrzynek) na potrzeby poszczególnych odbiorców. W wyniku tego potencjalnie zainfekowane wiadomości, które początkowo zostały wysłane do konkretnego odbiorcy, zostaną dostarczone do osobnej skrzynki pocztowej wiadomości kwarantanny, a nie do wewnętrznej skrzynki pocztowej wiadomości kwarantanny programu Exchange. W niektórych przypadkach może to pomóc w porządkowaniu potencjalnie zarażonych wiadomości oraz spamu. Oprócz tego jest dostępna funkcja Wspólna kwarantanna wiadomości. Użytkownicy wcześniejszych wersji oprogramowania Microsoft Exchange Server (5.5, 2000 lub 2003) mogą wybrać opcję Wspólna kwarantanna wiadomości, tzn. skrzynkę pocztową, która będzie używana do przechowywania potencjalnie zainfekowanych wiadomości. W takim przypadku system wewnętrznej kwarantanny oprogramowania Exchange nie jest używany. Zamiast niego jest w tym celu stosowana skrzynka pocztowa określona przez administratora systemu. Tak jak w przypadku pierwszej opcji, można dodać osobną skrzynką pocztową kwarantanny (lub kilka takich skrzynek pocztowych) na potrzeby poszczególnych odbiorców. W wyniku tego potencjalnie zainfekowane wiadomości są dostarczane do osobnej skrzynki pocztowej, a nie do wspólnej kwarantanny wiadomości. 26

27 Wspólna kwarantanna wiadomości w tym miejscu można określić adres wspólnej kwarantanny wiadomości (np. glowna_kwarantanna@firma.com). Można też używać systemu wewnętrznej kwarantanny oprogramowania Microsoft Exchange Server 2007/2010 aby to zrobić, należy pozostawić to pole puste i wybrać w dostępnym na dole menu rozwijanym opcję Przenieś wiadomość do kwarantanny systemu serwera pocztowego (o ile kwarantanna oprogramowania Exchange jest dostępna w danym środowisku). Następnie wiadomości są dostarczane do wewnętrznego mechanizmu kwarantanny oprogramowania Exchange za pomocą jego własnych ustawień. UWAGA: Domyślnie, wewnętrzna kwarantanna nie jest aktywowana w oprogramowaniu Exchange. Aby ją aktywować, należy otworzyć powłokę zarządzania serwerem Exchange i wpisać następujące polecenie: Set-ContentFilterConfig -Quarantin box nazwa@domena.com (zapis nazwa@domena.com należy zastąpić adresem skrzynki pocztowej, której oprogramowanie Microsoft Exchange ma używać jako skrzynki pocztowej wewnętrznej kwarantanny, na przykład kwarantannaexchange@firma.com). Kwarantanna wiadomości wg odbiorcy ta opcja pozwala określać skrzynki pocztowe wiadomości kwarantanny dla wielu odbiorców. Każdą regułę kwarantanny można włączać i wyłączać, zaznaczając pole wyboru widoczne w jej wierszu lub usuwając jego zaznaczenie. Dodaj pozwala dodawać nowe reguły kwarantanny poprzez wprowadzenie odpowiedniego adresu odbiorcy oraz adresu kwarantanny, na który będą przekazywane wiadomości . Edytuj umożliwia edytowanie wybranej reguły kwarantanny. Usuń umożliwia usunięcie wybranej reguły kwarantanny. Preferuj wspólną kwarantannę wiadomości po włączeniu tej opcji wiadomość zostanie dostarczona do określonej wspólnej kwarantanny, o ile zostały spełnione warunki więcej niż jednej reguły kwarantanny (np. jeśli wiadomość ma wielu odbiorców i część z nich jest zdefiniowanych w wielu regułach kwarantanny). Wiadomość przeznaczona dla kwarantanny wiadomości nieistniej ących (jeśli nie określono wspólnej kwarantanny wiadomości, dostępne są następujące opcje czynności podejmowanych wobec potencjalnie zarażonych wiadomości oraz spamu) Brak czynności wiadomość zostanie przetworzona w standardowy sposób, czyli dostarczona do odbiorcy (niezalecane). Usuń wiadomość wiadomość zostanie usunięta, jeśli jest zaadresowana do odbiorcy, dla którego nie zdefiniowano żadnej reguły kwarantanny ani nie wybrano wspólnej kwarantanny wiadomości. Oznacza to, że wszystkie potencjalnie zarażone wiadomości oraz spam będą automatycznie usuwane i nie będą nigdzie zapisywane. Przenieś wiadomość do kwarantanny systemu serwera pocztowego wiadomość zostanie dostarczona do systemu wewnętrznej kwarantanny programu Exchange i zapisana w nim (opcja niedostępna w oprogramowaniu Microsoft Exchange Server 2003 ani w jego wcześniejszych wersjach) UWAGA: Przy konfigurowaniu ustawień kwarantanny wiadomości można też korzystać ze zmiennych systemowych (np. %USERNAME%) Dodawanie nowej reguły kwarantanny W odpowiednich polach należy podać żądany adres odbiorcy oraz żądany adres kwarantanny. Aby usunąć wiadomość zaadresowaną do odbiorcy, w odniesieniu do którego nie zastosowano reguły kwarantanny, należy wybrać opcję Usuń wiadomość z menu rozwijanego Wiadomość przeznaczona dla kwarantanny wiadomości nieistniej ących. 27

28 3.1.5 Wydaj ność Aby zwiększyć wydajność programu, można zdefiniować w tej sekcji folder, w którym będą przechowywane pliki tymczasowe. Jeśli nie zostanie wybrany żaden folder, program ESET Mail Security będzie tworzyć pliki tymczasowe w folderze tymczasowym systemu. UWAGA: Aby ograniczyć potencjalny wpływ na operacje we/wy oraz fragmentację, nie zaleca się umieszczania folderu tymczasowego na tym samym dysku twardym, na którym zainstalowano oprogramowanie Microsoft Exchange Server. Zdecydowanie nie należy tworzyć folderu tymczasowego na nośniku wymiennym, takim jak dyskietka, pamięć USB, dysk DVD itp. UWAGA: Ustawienia wydajności można konfigurować za pomocą zmiennych systemowych (np. %SystemRoot% \TEMP). 3.2 Ustawienia ochrony antywirusowej i antyspyware Aby włączyć ochronę antywirusową i antyspyware serwera poczty , należy wybrać opcję Włącz ochronę antywirusową i antyspyware serwera. Ochrona antywirusowa i antyspyware jest włączana automatycznie po każdym ponownym uruchomieniu usługi/komputera. Ustawienia parametrów aparatu ThreatSense są dostępne po kliknięciu przycisku Ustawienia. 28

29 3.2.1 Microsoft Exchange Server W zakresie ochrony antywirusowej i ochrony przed spamem w programie ESET Mail Security dla oprogramowania Microsoft Exchange Server są stosowane dwa rodzaje skanowania. Pierwszy z nich to skanowanie wiadomości za pośrednictwem programu VSAPI, a drugi to skanowanie za pomocą agenta transportu. Po włączeniu ochrony za pomocą programu VSAPI 29 wiadomości są skanowane bezpośrednio w magazynie serwera Exchange. W przypadku włączenia ochrony za pomocą agenta transportu 35 skanowana jest komunikacja SMTP, a nie sam magazyn serwera Exchange. Po włączeniu ochrony tego typu wszystkie wiadomości oraz ich składniki są skanowane podczas transportu zanim dotrą do magazynu serwera Exchange lub zostaną wysłane za pomocą protokołu SMTP. Filtrowanie SMTP na poziomie serwera jest chronione za pomocą specjalnego dodatku. W oprogramowaniu Microsoft Exchange Server 2000 i 2003 ten dodatek (Event Sink) jest zarejestrowany na serwerze SMTP jako składnik usług IIS (Internet Information Services). W oprogramowaniu Microsoft Exchange Server 2007/2010 dodatek jest zarejestrowany jako agent transportu w rolach Granica lub Centrum oprogramowania Microsoft Exchange Server. UWAGA: Agent transportu jest niedostępny w oprogramowaniu Microsoft Exchange Server 5.5, natomiast można z niego korzystać we wszystkich nowszych wersjach oprogramowania Microsoft Exchange Server (od wersji 2000). Istnieje możliwość jednoczesnego włączenia ochrony antywirusowej i ochrony przed spamem za pomocą programu VSAPI oraz agenta transportu jest to konfiguracja domyślna i zalecana. Użytkownik może również wybrać tylko jeden rodzaj ochrony (za pomocą programu VSAPI lub agenta transportu). Mogą być one włączane i wyłączane niezależnie od siebie. Zaleca się stosowanie obu rodzajów ochrony, ponieważ gwarantuje to maksymalną ochronę antywirusową i przed spamem. Wyłączenie obu rodzajów ochrony nie jest zalecane VSAPI (Virus-Scanning Application Programming Interface) Platforma Microsoft Exchange Server udostępnia mechanizm gwarantujący, że każdy komponent wiadomości jest skanowany przy użyciu zaktualizowanej bazy sygnatur wirusów. Jeśli wiadomość nie była skanowana wcześniej, jej odpowiednie komponenty są przesyłane do skanera przed wysłaniem wiadomości do klienta. Każda obsługiwana wersja platformy Microsoft Exchange Server (5.5/2000/2003/2007/2010) udostępnia inną wersję interfejsu VSAPI Microsoft Exchange Server 5.5 (VSAPI 1.0) Ta wersja oprogramowania Microsoft Exchange Server zawiera program VSAPI w wersji 1.0. Włączenie opcji Skanowanie w tle umożliwia skanowanie wszystkich wiadomości w tle. Oprogramowanie Microsoft Exchange Server decyduje o uruchomieniu skanowania w tle na podstawie różnych czynników, takich jak aktualne obciążenie systemu, liczba aktywnych użytkowników itd. Oprogramowanie Microsoft Exchange Server zachowuje rejestr przeskanowanych wiadomości oraz wersji użytej bazy sygnatur wirusów. W przypadku otwierania wiadomości, która nie została przeskanowana za pomocą najbardziej aktualnej bazy sygnatur wirusów, oprogramowanie Microsoft Exchange Server wysyła tę wiadomość do programu ESET Mail Security w celu jej przeskanowania przed otwarciem w programie poczty . Ponieważ skanowanie w tle może mieć wpływ na obciążenie systemu (skanowanie jest wykonywane po każdej aktualizacji bazy sygnatur wirusów), zaleca się ustalenie harmonogramu skanowania obejmującego godziny poza czasem pracy. Zaplanowane skanowanie w tle można skonfigurować za pomocą specjalnego zadania w obszarze Harmonogram/Plan. Podczas planowania zadania skanowania w tle można skonfigurować godzinę jego rozpoczęcia, liczbę powtórzeń oraz inne parametry dostępne w obszarze Harmonogram/Plan. Po zakończeniu zadanie pojawi się na liście zaplanowanych zadań. Podobnie jak w przypadku innych zadań użytkownik może usunąć to zadanie, tymczasowo je wyłączyć oraz zmodyfikować jego parametry. 29

30 Czynności W tej sekcji można określić czynności wykonywane w przypadku wykrycia infekcji wiadomości i/lub załącznika. Pole Czynność w razie niemożności wyczyszczenia pozwala wybrać opcję Blokuj zarażoną zawartość, Usuń wiadomość lub Brak czynności dotyczącej zainfekowanej zawartości wiadomości. Ta czynność będzie stosowana tylko w przypadku, gdy wiadomość nie została wyleczona przez funkcję automatycznego leczenia (można ją włączyć, wybierając opcję Ustawienia parametrów technologii ThreatSense > Leczenie 66 ). Pole Usunięcie pozwala określić, jaka Metoda usuwania załącznika będzie stosowana dla każdej z tych opcji: Obetnij plik do zerowej długości program ESET Mail Security obcina załącznik do zerowej długości, pozwalając odbiorcy zobaczyć nazwę i typ pliku załącznika. Zastąp załącznik informacj ami o czynnościach program ESET Mail Security zastępuje zainfekowany plik protokołem wirusa lub opisem reguły Klikając przycisk Przeskanuj ponownie, można uruchomić ponowne skanowanie wiadomości i plików, które zostały przeskanowane wcześniej Wydaj ność Podczas skanowania oprogramowanie Microsoft Exchange Server umożliwia ustalenie limitu czasu otwierania załączników wiadomości. Wartość wpisana w polu Limit czasu odpowiedzi (ms) określa, po jakim czasie program ponawia próbę uzyskania dostępu do pliku, który wcześniej był niedostępny z powodu skanowania Microsoft Exchange Server 2000 (VSAPI 2.0) Ta wersja oprogramowania Microsoft Exchange Server zawiera program VSAPI w wersji 2.0. Po usunięciu zaznaczenia pola wyboru Włącz ochronę antywirusową i antyspyware przez program VSAPI 2.0 dodatek ESET Mail Security dla serwera Exchange zostanie usunięty z procesu serwera Microsoft Exchange. Będzie on jedynie przekazywać wiadomości, nie skanując ich w poszukiwaniu wirusów. Wiadomości będą jednak nadal skanowane pod kątem spamu 39, będą również wobec nich stosowane reguły 22. Po włączeniu opcji Skanowanie prewencyj ne nowe wiadomości przychodzące będą skanowane w kolejności odebrania. Jeśli po zaznaczeniu tej opcji użytkownik otworzy jeszcze niezeskanowaną wiadomość, wiadomość ta zostanie zeskanowana przed innymi wiadomościami w kolejce. Opcja Skanowanie w tle umożliwia skanowanie wszystkich wiadomości w tle systemu. Oprogramowanie Microsoft Exchange Server decyduje o uruchomieniu skanowania w tle na podstawie różnych czynników, takich jak aktualne obciążenie systemu, liczba aktywnych użytkowników itd. Oprogramowanie Microsoft Exchange Server zachowuje rejestr przeskanowanych wiadomości oraz wersji użytej bazy sygnatur wirusów. W przypadku otwierania wiadomości, która nie została przeskanowana za pomocą najbardziej aktualnej bazy sygnatur wirusów, oprogramowanie Microsoft Exchange Server wysyła tę wiadomość do programu ESET Mail Security w celu jej przeskanowania przed otwarciem w programie poczty . Ponieważ skanowanie w tle może mieć wpływ na obciążenie systemu (skanowanie jest wykonywane po każdej aktualizacji bazy sygnatur wirusów), zaleca się ustalenie harmonogramu skanowania obejmującego godziny poza czasem pracy. Zaplanowane skanowanie w tle można skonfigurować za pomocą specjalnego zadania w obszarze Harmonogram/Plan. Podczas planowania zadania skanowania w tle można skonfigurować godzinę jego rozpoczęcia, liczbę powtórzeń oraz inne parametry dostępne w obszarze Harmonogram/Plan. Po zakończeniu zadanie pojawi się na liście zaplanowanych zadań. Podobnie jak w przypadku innych zadań użytkownik może usunąć to zadanie, tymczasowo je wyłączyć oraz zmodyfikować jego parametry. Aby skanować wiadomości w formacie tekstowym, należy wybrać opcję Skanuj treść wiadomości tekstowych. Włączenie opcji Skanuj treści wiadomości RTF aktywuje skanowanie treści wiadomości w formacie RTF. Treść wiadomości w formacie RTF może zawierać makrowirusy. 30

31 Czynności W tej sekcji można określić czynności wykonywane w przypadku wykrycia infekcji wiadomości i/lub załącznika. Pole Czynność w razie niemożności wyczyszczenia pozwala wybrać opcję Blokuj zarażoną zawartość, Usuń wiadomość lub Brak czynności dotyczącej zainfekowanej zawartości wiadomości. Ta czynność będzie stosowana tylko w przypadku, gdy wiadomość nie została wyleczona przez funkcję automatycznego leczenia (można ją włączyć, wybierając opcję Ustawienia parametrów technologii ThreatSense > Leczenie 66 ). Opcja Usunięcie pozwala wybrać ustawienie Metoda usuwania wiadomości i Metoda usuwania załącznika. Metoda usuwania wiadomości może mieć wartość: Usuń treść wiadomości powoduje usunięcie treści zainfekowanej wiadomości. Odbiorca otrzyma pustą wiadomość oraz wszystkie niezainfekowane załączniki. Przepisz treść wiadomości z informacj ami o czynnościach powoduje przepisanie treści zainfekowanej wiadomości oraz dodanie informacji o wykonanych czynnościach. Pole Metoda usuwania załącznika może mieć wartość: Obetnij plik do zerowej długości program ESET Mail Security obcina załącznik do zerowej długości, pozwalając odbiorcy zobaczyć nazwę i typ pliku załącznika. Zastąp załącznik informacj ami o czynnościach program ESET Mail Security zastępuje zainfekowany plik protokołem wirusa lub opisem reguły Klikając przycisk Przeskanuj ponownie, można uruchomić ponowne skanowanie wiadomości i plików, które zostały przeskanowane wcześniej Wydaj ność W tej sekcji można ustawić liczbę niezależnych wątków skanowania używanych jednocześnie. Większa liczba wątków na komputerach z wieloma procesorami może zwiększyć wskaźnik wykrywalności. W celu osiągnięcia najwyższej wydajności programu zaleca się użycie takiej samej liczby aparatów skanowania technologii ThreatSense i wątków skanowania. Opcja Limit czasu odpowiedzi (s) pozwala wybrać maksymalny czas oczekiwania wątku na zakończenie skanowania wiadomości. Jeśli skanowanie nie zostanie zakończone przed upływem wyznaczonego czasu, oprogramowanie Microsoft Exchange Server odmówi programowi dostępu do wiadomości . Skanowanie nie zostanie przerwane, a dostęp do pliku będzie możliwy dopiero po jego zakończeniu. PORADA:: aby ustalić, jaka Liczba wątków skanowania jest zalecana przez dostawcę oprogramowania Microsoft Exchange Server, można użyć następującego wzoru: [liczba fizycznych procesorów] x UWAGA: Jeśli liczba aparatów skanowania technologii ThreatSense przekroczy liczbę wątków skanowania, wzrost wydajności nie będzie znaczący Microsoft Exchange Server 2003 (VSAPI 2.5) Ta wersja oprogramowania Microsoft Exchange Server zawiera program VSAPI w wersji 2.5. Po usunięciu zaznaczenia pola wyboru Włącz ochronę antywirusową i antyspyware przez program VSAPI 2.5 dodatek ESET Mail Security dla serwera Exchange zostanie usunięty z procesu serwera Microsoft Exchange. Będzie on jedynie przekazywać wiadomości, nie skanując ich w poszukiwaniu wirusów. Wiadomości będą jednak nadal skanowane pod kątem spamu 39, będą również wobec nich stosowane reguły 22. Po włączeniu opcji Skanowanie prewencyj ne nowe wiadomości przychodzące będą skanowane w kolejności odebrania. Jeśli po zaznaczeniu tej opcji użytkownik otworzy jeszcze niezeskanowaną wiadomość, wiadomość ta zostanie zeskanowana przed innymi wiadomościami w kolejce. 31

32 Opcja Skanowanie w tle umożliwia skanowanie wszystkich wiadomości w tle systemu. Oprogramowanie Microsoft Exchange Server decyduje o uruchomieniu skanowania w tle na podstawie różnych czynników, takich jak aktualne obciążenie systemu, liczba aktywnych użytkowników itd. Oprogramowanie Microsoft Exchange Server zachowuje rejestr przeskanowanych wiadomości oraz wersji użytej bazy sygnatur wirusów. W przypadku otwierania wiadomości, która nie została przeskanowana za pomocą najbardziej aktualnej bazy sygnatur wirusów, oprogramowanie Microsoft Exchange Server wysyła tę wiadomość do programu ESET Mail Security w celu jej przeskanowania przed otwarciem w programie poczty . Ponieważ skanowanie w tle może mieć wpływ na obciążenie systemu (skanowanie jest wykonywane po każdej aktualizacji bazy sygnatur wirusów), zaleca się ustalenie harmonogramu skanowania obejmującego godziny poza czasem pracy. Zaplanowane skanowanie w tle można skonfigurować za pomocą specjalnego zadania w obszarze Harmonogram/Plan. Podczas planowania zadania skanowania w tle można skonfigurować godzinę jego rozpoczęcia, liczbę powtórzeń oraz inne parametry dostępne w obszarze Harmonogram/Plan. Po zakończeniu zadanie pojawi się na liście zaplanowanych zadań. Podobnie jak w przypadku innych zadań użytkownik może usunąć to zadanie, tymczasowo je wyłączyć oraz zmodyfikować jego parametry. Włączenie opcji Skanuj treści wiadomości RTF aktywuje skanowanie treści wiadomości w formacie RTF. Treść wiadomości w formacie RTF może zawierać makrowirusy. Opcja Skanuj przesyłane wiadomości umożliwia skanowanie wiadomości, które nie są przechowywane na lokalnym serwerze Microsoft Exchange Server, ale są za jego pomocą dostarczane do innych serwerów poczty . Oprogramowanie Microsoft Exchange Server może zostać skonfigurowane jako brama, a następnie przekazywać wiadomości do innych serwerów poczty . Po włączeniu skanowania przesyłanych wiadomości program ESET Mail Security skanuje również te wiadomości. Ta opcja jest dostępna tylko po wyłączeniu agenta transportu. UWAGA: program VSAPI nie skanuje treści wiadomości tekstowych Czynności W tej sekcji można określić czynności wykonywane w przypadku wykrycia infekcji wiadomości i/lub załącznika. Pole Czynność w razie niemożności wyczyszczenia pozwala wybrać opcję Blokuj zainfekowaną zawartość, Usuń zainfekowaną zawartość wiadomości, Usuń całą wiadomość łącznie z zainfekowaną zawartością lub Brak czynności. Ta czynność będzie stosowana tylko w przypadku, gdy wiadomość nie została wyleczona przez funkcję automatycznego leczenia (można ją włączyć, wybierając opcję Ustawienia parametrów technologii ThreatSense > Leczenie 66 ). Opcja Usunięcie pozwala wybrać ustawienie Metoda usuwania wiadomości i Metoda usuwania załącznika. Metoda usuwania wiadomości może mieć wartość: Usuń treść wiadomości powoduje usunięcie treści zainfekowanej wiadomości. Odbiorca otrzyma pustą wiadomość oraz wszystkie niezainfekowane załączniki. Przepisz treść wiadomości z informacj ami o czynnościach powoduje przepisanie treści zainfekowanej wiadomości oraz dodanie informacji o wykonanych czynnościach. Usuń całą wiadomość powoduje usunięcie całej wiadomości łącznie z załącznikami. Można ustawić czynność wykonywaną podczas usuwania załączników. Pole Metoda usuwania załącznika może mieć wartość: Obetnij plik do zerowej długości program ESET Mail Security obcina załącznik do zerowej długości, pozwalając odbiorcy zobaczyć nazwę i typ pliku załącznika. Zastąp załącznik informacj ami o czynnościach program ESET Mail Security zastępuje zainfekowany plik protokołem wirusa lub opisem reguły Usuń całą wiadomość powoduje usunięcie całej wiadomości łącznie z załącznikami. Można ustawić czynność wykonywaną podczas usuwania załączników. Klikając przycisk Przeskanuj ponownie, można uruchomić ponowne skanowanie wiadomości i plików, które zostały przeskanowane wcześniej. 32

33 Wydaj ność W tej sekcji można ustawić liczbę niezależnych wątków skanowania używanych jednocześnie. Większa liczba wątków na komputerach z wieloma procesorami może zwiększyć wskaźnik wykrywalności. W celu osiągnięcia najwyższej wydajności programu zaleca się użycie takiej samej liczby aparatów skanowania technologii ThreatSense i wątków skanowania. Opcja Limit czasu odpowiedzi (s) pozwala wybrać maksymalny czas oczekiwania wątku na zakończenie skanowania wiadomości. Jeśli skanowanie nie zostanie zakończone przed upływem wyznaczonego czasu, oprogramowanie Microsoft Exchange Server odmówi programowi dostępu do wiadomości . Skanowanie nie zostanie przerwane, a dostęp do pliku będzie możliwy dopiero po jego zakończeniu. PORADA: aby ustalić, jaka Liczba wątków skanowania jest zalecana przez dostawcę oprogramowania Microsoft Exchange Server, można użyć następującego wzoru: [liczba fizycznych procesorów] x UWAGA: Jeśli liczba aparatów skanowania technologii ThreatSense przekroczy liczbę wątków skanowania, wzrost wydajności nie będzie znaczący Microsoft Exchange Server 2007/2010 (VSAPI 2.6) Ta wersja oprogramowania Microsoft Exchange Server zawiera program VSAPI w wersji 2.6. Po usunięciu zaznaczenia pola wyboru Włącz ochronę antywirusową i antyspyware przez program VSAPI 2.6 dodatek ESET Mail Security dla serwera Exchange zostanie usunięty z procesu serwera Microsoft Exchange. Będzie on jedynie przekazywać wiadomości, nie skanując ich w poszukiwaniu wirusów. Wiadomości będą jednak nadal skanowane pod kątem spamu 39, będą również wobec nich stosowane reguły 22. Po włączeniu opcji Skanowanie prewencyj ne nowe wiadomości przychodzące będą skanowane w kolejności odebrania. Jeśli po zaznaczeniu tej opcji użytkownik otworzy jeszcze niezeskanowaną wiadomość, wiadomość ta zostanie zeskanowana przed innymi wiadomościami w kolejce. Opcja Skanowanie w tle umożliwia skanowanie wszystkich wiadomości w tle systemu. Oprogramowanie Microsoft Exchange Server decyduje o uruchomieniu skanowania w tle na podstawie różnych czynników, takich jak aktualne obciążenie systemu, liczba aktywnych użytkowników itd. Oprogramowanie Microsoft Exchange Server zachowuje rejestr przeskanowanych wiadomości oraz wersji użytej bazy sygnatur wirusów. W przypadku otwierania wiadomości, która nie została przeskanowana za pomocą najbardziej aktualnej bazy sygnatur wirusów, oprogramowanie Microsoft Exchange Server wysyła tę wiadomość do programu ESET Mail Security w celu jej przeskanowania przed otwarciem w programie poczty . Można wybrać opcję Skanuj tylko wiadomości z załącznikami i filtrować wiadomości na podstawie czasu ich odebrania za pomocą następujących opcji Poziom skanowania: Wszystkie wiadomości Wiadomości otrzymane w ostatnim roku Wiadomości otrzymane w ciągu ostatnich 6 miesięcy Wiadomości otrzymane w ciągu ostatnich 3 miesięcy Wiadomości otrzymane w ciągu ostatniego miesiąca Wiadomości otrzymane w ciągu ostatniego tygodnia Ponieważ skanowanie w tle może mieć wpływ na obciążenie systemu (skanowanie jest wykonywane po każdej aktualizacji bazy sygnatur wirusów), zaleca się ustalenie harmonogramu skanowania obejmującego godziny poza czasem pracy. Zaplanowane skanowanie w tle można skonfigurować za pomocą specjalnego zadania w obszarze Harmonogram/Plan. Podczas planowania zadania skanowania w tle można skonfigurować godzinę jego rozpoczęcia, liczbę powtórzeń oraz inne parametry dostępne w obszarze Harmonogram/Plan. Po zakończeniu zadanie pojawi się na liście zaplanowanych zadań. Podobnie jak w przypadku innych zadań użytkownik może usunąć to zadanie, tymczasowo je wyłączyć oraz zmodyfikować jego parametry. Włączenie opcji Skanuj treści wiadomości RTF aktywuje skanowanie treści wiadomości w formacie RTF. Treść wiadomości w formacie RTF może zawierać makrowirusy. UWAGA: Program VSAPI nie skanuje treści wiadomości tekstowych. 33

34 Czynności W tej sekcji można określić czynności wykonywane w przypadku wykrycia infekcji wiadomości i/lub załącznika. Pole Czynność w razie niemożności wyczyszczenia pozwala wybrać opcję Blokuj zainfekowaną zawartość, Usuń obiekt, czyli zainfekowaną zawartość wiadomości, Usuń całą wiadomość lub Brak czynności. Ta czynność będzie stosowana tylko w przypadku, gdy wiadomość nie została wyleczona przez funkcję automatycznego leczenia (można ją włączyć, wybierając opcję Ustawienia parametrów technologii ThreatSense > Leczenie 66 ). Zgodnie z powyższym opisem dla ustawienia Czynność w razie niemożności wyczyszczenia można wybrać następujące opcje: Brak czynności nie jest wykonywana żadna czynność względem zainfekowanej zawartości wiadomości. Blokuj powoduje blokowanie wiadomości zanim zostanie ona odebrana przez magazyn oprogramowania Microsoft Exchange Server. Usuń obiekt powoduje usunięcie zainfekowanej zawartości wiadomości Usuń całą wiadomość powoduje usunięcie całej wiadomości łącznie z zainfekowaną zawartością Opcja Usunięcie pozwala wybrać ustawienie Metoda usuwania treści wiadomości i Metoda usuwania załącznika. Pole Metoda usuwania treści wiadomości może mieć wartość: Usuń treść wiadomości powoduje usunięcie treści zainfekowanej wiadomości. Odbiorca otrzyma pustą wiadomość oraz wszystkie niezainfekowane załączniki. Przepisz treść wiadomości z informacj ami o czynnościach powoduje przepisanie treści zainfekowanej wiadomości oraz dodanie informacji o wykonanych czynnościach. Usuń całą wiadomość powoduje usunięcie całej wiadomości łącznie z załącznikami. Można ustawić czynność wykonywaną podczas usuwania załączników. Pole Metoda usuwania załącznika może mieć wartość: Obetnij plik do zerowej długości program ESET Mail Security obcina załącznik do zerowej długości, pozwalając odbiorcy zobaczyć nazwę i typ pliku załącznika. Zastąp załącznik informacj ami o czynnościach program ESET Mail Security zastępuje zainfekowany plik protokołem wirusa lub opisem reguły Usuń całą wiadomość powoduje usunięcie załącznika. Jeśli włączono opcję Używaj kwarantanny systemu VSAPI, zainfekowane wiadomości będą zapisywane w kwarantannie serwera poczty . Należy pamiętać, że jest to kwarantanna programu VSAPI zarządzana przez serwer (a nie kwarantanna programu ani skrzynka pocztowa wiadomości kwarantanny). Zainfekowane wiadomości zapisane w kwarantannie serwera poczty są niedostępne do momentu wyleczenia za pomocą najnowszej bazy danych sygnatur wirusów. Klikając przycisk Przeskanuj ponownie, można uruchomić ponowne skanowanie wiadomości i plików, które zostały przeskanowane wcześniej Wydaj ność W tej sekcji można ustawić liczbę niezależnych wątków skanowania używanych jednocześnie. Większa liczba wątków na komputerach z wieloma procesorami może zwiększyć wskaźnik wykrywalności. W celu osiągnięcia najwyższej wydajności programu zaleca się użycie takiej samej liczby aparatów skanowania technologii ThreatSense i wątków skanowania. PORADA: aby ustalić, jaka Liczba wątków skanowania jest zalecana przez dostawcę oprogramowania Microsoft Exchange Server, można użyć następującego wzoru: [liczba fizycznych procesorów] x UWAGA: Jeśli liczba aparatów skanowania technologii ThreatSense przekroczy liczbę wątków skanowania, wzrost wydajności nie będzie znaczący. 34

35 Agent transportu W tej sekcji można włączać lub wyłączać ochronę antywirusową i ochronę przed spamem zapewnianą przez agenta transportu. W przypadku oprogramowania Microsoft Exchange Server 2007 i jego nowszych wersji agenta transportu można zainstalować tylko w sytuacji, gdy serwer działa w jednej z następujących ról: Transport graniczny lub Transport centralny. Wiadomości, których nie można wyleczyć, są przetwarzane zgodnie z ustawieniami w sekcji Agent transportu. Wiadomość może zostać usunięta, wysłana do skrzynki pocztowej wiadomości kwarantanny lub zachowana. Po usunięciu zaznaczenia pola wyboru Włącz ochronę antywirusową i antyspyware przez agenta transportu dodatek ESET Mail Security dla serwera Exchange zostanie usunięty z procesu serwera Microsoft Exchange. Będzie on jedynie przekazywać wiadomości, nie skanując ich w poszukiwaniu wirusów. Wiadomości będą jednak nadal skanowane pod kątem spamu 39, będą również wobec nich stosowane reguły 22. Po wybraniu opcji Włącz ochronę antywirusową i antyspyware przez agenta transportu można także określić Czynność w razie niemożności wyczyszczenia: Zachowaj wiadomość powoduje zachowanie zainfekowanej wiadomości, która nie mogła zostać wyleczona Poddaj wiadomość kwarantannie powoduje wysłanie zainfekowanej wiadomości do skrzynki pocztowej wiadomości kwarantanny Usuń wiadomość powoduje usunięcie zainfekowanej wiadomości. Po znalezieniu zagrożeń zapisuj wyniki spamu w nagłówkach zeskanowanych wiadomości (%) umożliwia ustawienie określonej wartości wyniku spamu (prawdopodobieństwa, że wiadomość jest spamem) wyrażonej w procentach Oznacza to, że w przypadku znalezienia zagrożenia wynik spamu (określona wartość w procentach) jest zapisywany w przeskanowanej wiadomości. Ponieważ większość zainfekowanych wiadomości wysyłają grupy komputerów zarażonych złośliwym oprogramowaniem (tzw. botnety), wiadomości dystrybuowane w ten sposób są uznawane za spam. Aby ta funkcja działała skutecznie, należy włączyć opcję Zapisuj poziom ufności filtrów spamu (SCL) w nagłówkach zeskanowanych wiadomości na podstawie wyniku spamu, wybierając kolejno opcje Ochrona serwera > Microsoft Exchange Server > Agent transportu 20. Jeśli opcja Skanuj również wiadomości otrzymane za pośrednictwem połączeń uwierzytelnionych i wewnętrznych jest włączona, program ESET Mail Security skanuje także wiadomości odebrane z 35

36 uwierzytelnionych źródeł lub serwerów lokalnych. Skanowanie takich wiadomości nie jest konieczne, ale jest zalecane, ponieważ dodatkowo zwiększa ochronę Czynności W tej sekcji można wybrać dołączanie identyfikatora zadania skanowania i/lub informacji na temat wyniku skanowania w nagłówku skanowanych wiadomości Alerty i powiadomienia Program ESET Mail Security umożliwia dodawanie tekstu do oryginalnych tematów lub treści zainfekowanych wiadomości. 36

37 Dodaj do treści zeskanowanej wiadomości to pole udostępnia trzy opcje: Nie dodawaj do żadnych wiadomości Dodawaj tylko do zainfekowanych wiadomości Dodawaj do wszystkich skanowanych wiadomości Po włączeniu opcji Dodawaj do tematu zainfekowanych wiadomości program ESET Mail Security będzie dodawać w temacie wiadomości oznaczenie, którego wartość określono w polu tekstowym Szablon dodawany do tematu zainfekowanych wiadomości (wartość domyślna to [wirus %VIRUSNAME%]). Opisane powyżej modyfikacje pozwalają zautomatyzować filtrowanie zarażonych wiadomości przez filtrowanie wiadomości z określonym tematem (jeśli program poczty obsługuje tę opcję) do osobnego folderu. UWAGA: Dodając szablon do tematu wiadomości, można również używać zmiennych systemowych Wyłączenia automatyczne Twórcy aplikacji i systemów operacyjnych przeznaczonych do serwerów zalecają w przypadku większości swoich produktów wyłączanie zestawów krytycznych plików i folderów roboczych ze skanowania w poszukiwaniu wirusów. Skanowanie w poszukiwaniu wirusów może mieć niekorzystny wpływ na wydajność serwera, prowadzić do konfliktów, a nawet przeszkadzać niektórym aplikacjom w uruchomieniu się na serwerze. Wyłączenia pomagają ograniczyć do minimum ryzyko potencjalnych konfliktów i zwiększyć ogólną wydajność serwera, gdy jest na nim uruchomione oprogramowanie antywirusowe. Program ESET Mail Security wykrywa krytyczne aplikacje serwerowe i pliki serwerowych systemów operacyjnych, po czym automatycznie dodaje je do listy wyłączeń. Procesy/aplikacje serwerowe dodane do listy można uaktywniać (domyślnie są właśnie aktywne), zaznaczając odpowiednie pola wyboru lub dezaktywować, usuwając zaznaczenie. Uzyskuje się w ten sposób następujące efekty: 1) Jeśli wyłączenie aplikacji/systemu operacyjnego pozostanie aktywne, każdy z jej/jego krytycznych plików i folderów znajdzie się na liście plików wyłączonych ze skanowania (Ustawienia zaawansowane > Ochrona komputera > Antywirus i antyspyware > Wyłączenia). Przy każdorazowym uruchamianiu serwera system przeprowadza automatyczne sprawdzenie wyłączeń i przywraca wszystkie wyłączenia, które mogły zostać usunięte z listy. Jest to zalecane ustawienie w sytuacji, gdy użytkownik chce mieć pewność, że zalecane wyłączenia automatyczne są zawsze aktywne. 2) Jeśli użytkownik zdezaktywuje wyłączenie aplikacji/systemu operacyjnego, jej/jego krytyczne pliki i foldery pozostaną na liście plików wyłączonych ze skanowania (Ustawienia zaawansowane > Ochrona komputera > Antywirus i antyspyware > Wyłączenia). Nie będą one jednak automatycznie zaznaczane na liście Wyłączenia po każdorazowym uruchomieniu serwera (patrz punkt 1 powyżej). To ustawienie jest zalecane dla zaawansowanych użytkowników, którzy zamierzają usunąć lub zmodyfikować niektóre wyłączenia standardowe. Aby usunąć wyłączenia z listy bez ponownego uruchamiania serwera, należy skasować je z niej ręcznie (Ustawienia zaawansowane > Ochrona komputera > Antywirus i antyspyware > Wyłączenia). Opisane powyżej ustawienia nie mają wpływu na żadne wyłączenia wprowadzone ręcznie przez użytkownika za pośrednictwem opcji Ustawienia zaawansowane > Ochrona komputera > Antywirus i antyspyware > Wyłączenia. Automatyczne wyłączenia aplikacji/systemów operacyjnych przeznaczonych do serwerów są dobierane zgodnie z zaleceniami firmy Microsoft. Szczegółowe informacje można znaleźć pod następującymi adresami:

38 3.3 Ochrona przed spamem W sekcji Ochrona przed spamem można włączać lub wyłączać ochronę zainstalowanego serwera poczty przed spamem, konfigurować ustawienia parametrów aparatu oraz ustawienia innych poziomów ochrony. 38

39 3.3.1 Microsoft Exchange Server Agent transportu W tej sekcji można ustawić opcje ochrony przed spamem za pomocą agenta transportu. UWAGA: Agent transportu jest niedostępny w oprogramowaniu Microsoft Exchange Server 5.5. Po wybraniu opcji Włącz ochronę przed spamem przez agenta transportu można wybrać jedną z poniższych opcji jako Czynność w odniesieniu do wiadomości zawieraj ących spam: Zachowaj wiadomość wiadomość zostanie zachowana, nawet jeśli jest oznaczona jako spam Poddaj wiadomość kwarantannie wiadomość oznaczona jako spam jest wysyłana do skrzynki pocztowej kwarantanny wiadomości. Usuń wiadomość wiadomość oznaczona jako spam jest usuwana Aby informacja o wyniku spamu wiadomości była dodawana w jej nagłówku, należy włączyć opcję Zapisuj wyniki spamu w nagłówkach zeskanowanych wiadomości. Funkcja Włącz szarą listę aktywuje funkcję, która chroni użytkowników przed spamem za pomocą następującej techniki: Agent transportu wysyła zwracaną wartość serwera SMTP tymczasowo odrzucono (wartość domyślna to 451/4.7.1) w odpowiedzi na każdą wiadomość od nadawcy, którego nie rozpoznaje. Wiarygodny serwer próbuje ponownie wysłać wiadomość po upływie określonego czasu. Serwery wysyłające spam zazwyczaj nie próbują ponownie dostarczać wiadomości, ponieważ jednocześnie wysyłają je na tysiące adresów i nie mogą poświęcać dodatkowego czasu na ponowne dostarczanie Szara lista to dodatkowy sposób ochrony przed spamem. Nie wpływa ona w żaden sposób na metodę oceniania spamu przez moduł ochrony przed spamem. Podczas oceniania źródła wiadomości metoda sprawdza konfigurację list Zatwierdzone adresy IP, Ignorowane adresy IP, Bezpieczni nadawcy i Dozwolone adresy IP serwera Exchange oraz ustawienia AntispamBypass skrzynki pocztowej odbiorcy. Wiadomości wysyłane z tych adresów IP bądź przez nadawców z listy oraz wiadomości dostarczane do skrzynki pocztowej, w której włączono opcję AntispamBypass, są pomijane przez metodę wykrywania spamu za pomocą szarej listy. W polu Odpowiedź z usługi SMTP dla tymczasowo odrzuconych połączeń określona jest tymczasowa odpowiedź o odrzuceniu wysyłana do serwera SMTP w przypadku odrzucenia wiadomości. 39

40 Przykładowa odpowiedź serwera SMTP: Podstawowy kod odpowiedzi 451 Uzupełniaj ący kod stanu Opis Przerwano żądaną czynność: błąd lokalny podczas przetwarzania Ostrzeżenie: Nieprawidłowa składnia kodów odpowiedzi serwera SMTP może powodować błędne działanie ochrony za pomocą szarej listy. W wyniku tego do programu mogą docierać wiadomości będące spamem lub też wiadomości mogą w ogóle nie być dostarczane. Limit czasu dla początkowego odrzucania połączeń (w minutach) gdy wiadomość jest dostarczana po raz pierwszy i zostanie tymczasowo odrzucona, ten parametr definiuje okres, w trakcie którego wiadomość zawsze zostanie odrzucona (czas jest mierzony od momentu pierwszego odrzucenia). Po upływie określonego czasu wiadomość jest pomyślnie odbierana. Minimalna dozwolona wartość to 1 minuta. Okres ważności niezweryfikowanych połączeń (w godzinach) ten parametr definiuje minimalny czas, przez który będą przechowywane dane trójki. Prawidłowo działający serwer musi wysłać ponownie żądaną wiadomość przed upływem tego czasu. Ta wartość musi być większa niż wartość Limit czasu dla początkowego odrzucania połączeń. Okres ważności zweryfikowanych połączeń (w dniach) minimalna liczba dni, przez które są przechowywane informacje trójki. W tym czasie wiadomości od określonego nadawcy są odbierane bez opóźnień. Ta wartość musi być większa niż wartość Okres ważności niezweryfikowanych połączeń. UWAGA: Wysyłaną przez serwer SMTP odpowiedź o odrzuceniu można również skonfigurować za pomocą zmiennych systemu Aparat antyspamowy W tej sekcji można skonfigurować parametry Aparatu antyspamowego. Aby to zrobić, należy kliknąć przycisk Konfiguruj. Zostanie otwarte okno, w którym można konfigurować Parametry aparatu antyspamowego 41. Klasyfikacj a wiadomości Aparat antyspamowy programu ESET Mail Security przypisuje do każdej zeskanowanej wiadomości wynik spamu od 0 do 100. Zmieniając w tej sekcji limity wyników spamu, można wpływać na następujące kwestie: 1) Klasyfikowanie wiadomości jako spam lub nie spam. Wszystkie wiadomości, których wynik spamu jest taki sam jak wartość Wynik spamu powoduj ący uznanie wiadomości za spam lub wyższy, są uznawane za spam. Powoduje to stosowanie wobec tych wiadomości czynności określonych w Agencie transportu 39. 2) Rejestrowanie wiadomości w dzienniku ochrony przed spamem 83 (Narzędzia > Pliki dziennika > Ochrona przed spamem). Wszystkie wiadomości, których wynik spamu jest taki sam jak wartość Próg wyniku spamu, przy którym wiadomość będzie traktowana j ako prawdopodobnie zawieraj ąca spam lub prawdopodobnie czysta lub wyższy od niej, są rejestrowane w dzienniku. 3) Sekcja statystyki antyspamowej, do które będą zaliczane omawiane wiadomości (Stan ochrony > Statystyki > Ochrona serwera poczty przed spamem): Wiadomości uznane za spam wynik spamu wiadomości jest taki sam jak wartość Wynik spamu powoduj ący uznanie wiadomości za spam lub wyższy. Wiadomości uznane za prawdopodobny spam wynik spamu wiadomości jest taki sam jak wartość Próg wyniku spamu, przy którym wiadomość będzie traktowana j ako prawdopodobnie zawieraj ąca spam lub prawdopodobnie czysta lub wyższy. Wiadomości uznane za prawdopodobne pożądane wiadomości wynik spamu wiadomości jest niższy niż wartość Próg wyniku spamu, przy którym wiadomość będzie traktowana j ako prawdopodobnie zawieraj ąca spam lub prawdopodobnie czysta. Wiadomości uznane za pożądane wiadomości wynik spamu wiadomości jest taki sam jak wartość Wynik 40

41 spamu powoduj ący uznanie wiadomości za niezawieraj ącą spamu lub niższy Ustawienia parametrów aparatu antyspamowego Ustawienia parametrów aparatu antyspamowego Użytkownik może wybrać profil z zestawu wstępnie skonfigurowanych profili (Zalecana, Naj bardziej dokładna, Naj szybsza, Zaawansowana). Lista profili jest wczytywana z modułu ochrony przed spamem. W wypadku każdego z wymienionych profili wczytywane są inne ustawienia z pliku spamcatcher.conf oraz specyficzny podzestaw ustawień programu inny dla każdego profilu. Nawet po wybraniu profilu Zaawansowana niektóre ustawienia są stosowane bezpośrednio z programu, a nie z pliku spamcatcher.conf, na przykład ustawienia serwera proxy z pliku spamcatcher.conf nie będą stosowane, jeśli serwer proxy został skonfigurowany za pomocą interfejsu GUI programu ESET Mail Security, ponieważ ustawienia programu zawsze są uznawane za ważniejsze od ustawień zawartych w pliku spamcatcher.conf. Ustawienie aktualizacji automatycznych dostępne w aparacie ochrony przed spamem będą zastępowane po każdym wyłączeniu, niezależnie od zmian w pliku spamcatcher.conf. Profil Zalecana składa się z zalecanych ustawień, które zapewniają ochronę, nie obniżając przy tym wydajności systemu. Ustawienia profilu Naj bardziej dokładna zapewniają maksymalną ochronę serwera pocztowego. Ten profil wymaga większych zasobów systemowych niż profil Zalecana. Wstępna konfiguracja profilu Naj szybsza zapewnia minimalne użycie zasobów systemowych dzięki wyłączeniu niektórych funkcji skanowania. Kliknięcie opcji Zaawansowana > Otwórz plik konfiguracyj ny pozwala edytować plik spamcatcher.conf. Ta opcja jest polecana administratorom systemów, którzy chcą szczegółowo skonfigurować dany system (jeśli jest to konieczne). Jednak pierwsze trzy opcje profili spełniają większość potrzeb użytkowników. Aby korzystać z profilu zaawansowanego, należy przeczytać rozdział Plik konfiguracyjny 43. Zawiera on szczegółowe informacje na temat dostępnych parametrów oraz sposobu, w jaki wpływają one na system. Należy pamiętać, że część ustawień nadal będzie stosowana bezpośrednio z programu, dlatego będą one traktowane jako ważniejsze niż ustawienia pliku spamcatcher.conf. Pozwala to zapobiegać błędnej konfiguracji podstawowych komponentów, która mogłaby być przyczyną błędnego działania programu ESET Mail Security. Ustawienia zawarte w pliku spamcatcher.conf można zmieniać na dwa sposoby. Można skorzystać z interfejsu GUI programu ESET Mail Security, wybierając profil Zaawansowana w menu rozwijanym Konfiguracj a. Następnie należy kliknąć łącze Otwórz plik konfiguracyj ny dostępne bezpośrednio pod menu rozwijanym profilu. Plik spamcatcher.conf zostanie otwarty do edycji w Notatniku. Można też otworzyć plik spamcatcher.conf bezpośrednio w dowolnym edytorze tekstu. Plik spamcatcher.conf jest dostępny w folderze C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\MailServer w systemie Windows Server 2000 i 2003 oraz w folderze C: \ProgramData\ESET\ESET Mail Security\MailServer w systemie Windows Server Po zmodyfikowaniu ustawień pliku spamcatcher.conf należy ponownie uruchomić aparat antyspamowy. Umożliwi to wykrycie zmian w programie oraz pliku konfiguracyjnym. Jeśli plik spamcatcher.conf został zmodyfikowany za pomocą interfejsu GUI, wystarczy zamknąć okno dialogowe, klikając przycisk OK. Spowoduje to ponowne uruchomienie aparatu antyspamowego. Łącze Ponownie załaduj parametry ochrony przed spamem zmieni kolor na szary, co oznacza ponowne uruchamianie aparatu antyspamowego. Jeśli ustawienia pliku spamcatcher.conf zostały zmodyfikowane bezpośrednio za pomocą edytora tekstu (a nie interfejsu GUI), program wykryje te zmiany wyłącznie po ponownym uruchomieniu aparatu antyspamowego. Istnieje kilka sposobów ponownego uruchomienia aparatu antyspamowego. Można poczekać, aż zostanie on uruchomiony przy najbliższej okazji (np. podczas aktualizacji bazy sygnatur wirusów), lub jeśli to konieczne uruchomić go ponownie samodzielnie. Aby to zrobić, należy przejść do drzewa menu ustawień zaawansowanych (F5) i wybrać kolejno opcje Ochrona serwera > Ochrona przed spamem > Aparat antyspamowy, a następnie kliknąć łącze Ponownie załaduj parametry ochrony przed spamem. Można także ponownie uruchomić aparat antyspamowy, wyłączając i włączając ochronę przed spamem w oknie głównym programu ESET Mail Security lub wybierając kolejno opcje Ustawienia > Ochrona przed spamem, a następnie klikając opcję Tymczasowe wyłączenie ochrony przed spamem w dolnej części okna i wybierając opcję Włącz ochronę przed spamem. Po wykonaniu tych czynności aparat antyspamowy będzie używał nowej konfiguracji. UWAGA: Istnieje możliwość użycia zmodyfikowanego pliku spamcatcher.conf w połączeniu z profilem konfiguracji innym niż Zaawansowana (na przykład Naj bardziej dokładna). W takim wypadku niektóre ustawienia są używane zgodnie z konfiguracją zawartą w pliku spamcatcher.conf, a inne zgodnie z modyfikacjami dokonanymi przez użytkownika za pośrednictwem interfejsu GUI. Jeśli między ustawieniami występują niezgodności, ustawienia interfejsu GUI zawsze są uważane za ważniejsze od ustawień zawartych w pliku spamcatcher.conf 41

42 (wyjątkiem jest kilka podstawowych komponentów systemu, które są definiowane przez program niezależnie od konfiguracji w interfejsie GUI lub pliku spamcatcher.conf). Na karcie Dozwolone adresy IP można określić adresy IP, które mają być akceptowane. To znaczy, jeśli pierwszy nieignorowany adres IP z nagłówków Received jest taki sam, jak adres na tej liście, wiadomość otrzymuje wynik 0 i nie są przeprowadzane żadne inne kontrole. Na karcie Ignorowane adresy IP można określić adresy IP, które powinny być ignorowane podczas Sprawdzania w czasie rzeczywistym za pomocą listy RBL. Lista powinna zawierać wszystkie chronione zaporą wewnętrzne adresy IP, które nie są dostępne bezpośrednio z Internetu. Pozwoli to zapobiec zbędnym kontrolom i pomoże rozróżniać nawiązujące połączenie adresy IP. Aparat pomija wewnętrzne adresy IP ( x.y i 10.x). Na karcie Blokowane adresy IP można określić adresy IP, które mają być blokowane. To znaczy, jeśli pierwszy nieignorowany adres IP z nagłówków Received jest taki sam, jak adres na tej liście, wiadomość otrzymuje wynik 100 i nie są przeprowadzane żadne inne kontrole. Karta Ignorowane domeny pozwala określić, które używane w treści wiadomości domeny nie powinny nigdy być uwzględniane w kontrolach za pomocą list DNSBL i MSBL oraz powinny być ignorowane. Karta Blokowane domeny umożliwia określanie, które domeny używane w treści wiadomości powinny zawsze być blokowane. UWAGA: Podczas dodawania domen nie można używać symboli wieloznacznych (inaczej niż w przypadku dodawania adresów IP). Technologie ochrony przed spamem i szarej listy umożliwiają także korzystanie z tzw. białej listy. Możliwości stosowania białej listy na potrzeby szarej listy Microsoft Exchange 2003 lista dozwolonych adresów IP w inteligentnym filtrze wiadomości (IMF) programu Exchange (Filtrowanie połączeń > Globalna lista akceptowanych). lista adresów IP dozwolonych oraz ignorowanych w ustawieniach programu ESET Mail Security. 42

43 Microsoft Exchange 2007/2010 lista adresów IP dozwolonych oraz ignorowanych w ustawieniach programu ESET Mail Security. lista bezpiecznych nadawców przyporządkowana do danego odbiorcy. opcja AntispamBypassEnabled dla wybranej skrzynki pocztowej lista adresów IP dozwolonych w oprogramowaniu Microsoft Exchange. opcja AntispamBypassEnabled dla wybranego połączenia SMTP. Możliwości stosowania białej listy na potrzeby ochrony przed spamem Ogólne lista adresów IP dozwolonych w ustawieniach programu ESET Mail Security. lista domen poczty zawartych w pliku approvedsenders. filtrowanie na podstawie reguł. Microsoft Exchange 2003 lista dozwolonych adresów IP w inteligentnym filtrze wiadomości (IMF) programu Exchange (Filtrowanie połączeń > Globalna lista akceptowanych). Microsoft Exchange 2007/2010 lista bezpiecznych nadawców przyporządkowana do danego odbiorcy. opcja AntispamBypassEnabled dla wybranej skrzynki pocztowej lista adresów IP dozwolonych w oprogramowaniu Microsoft Exchange. opcja AntispamBypassEnabled dla wybranego połączenia SMTP. UWAGA: technologie ochrony przed spamem oraz szarej listy pozwalają nie sprawdzać pod kątem spamu wiadomości pochodzących z uwierzytelnionych i wewnętrznych źródeł Plik konfiguracyj ny Plik konfiguracyjny spamcatcher.conf umożliwia modyfikowanie wielu dodatkowych ustawień, które nie są dostępne w interfejsie GUI programu ESET Mail Security. Ustawienia zawarte w pliku spamcatcher.conf są usystematyzowane i opisane w przejrzysty sposób. Name nazwa parametru. Arguments wartości, które mogą zostać przypisane do parametru, oraz ich składnia Default domyślna wartość parametru Description szczegółowy opis parametru Puste linie oraz linie rozpoczynające się symbolem # są pomijane. Lista najważniejszych ustawień zawartych w pliku spamcatcher.conf: Nazwa parametru approved_ip_list blocked_ip_list ignored_ip_list rbl_list Szczegóły Lista zatwierdzonych adresów IP. Nie ma potrzeby dodawania tej listy do pliku spamcatcher.conf. Można ją zdefiniować w interfejsie GUI programu (patrz rozdział Ustawienia parametrów ochrony przed spamem 41 ). Lista zablokowanych adresów IP. Nie ma potrzeby dodawania tej listy do pliku spamcatcher.conf. Można ją zdefiniować w interfejsie GUI programu (patrz rozdział Ustawienia parametrów ochrony przed spamem 41 ). Lista ignorowanych adresów IP. Nie ma potrzeby dodawania tej listy do pliku spamcatcher.conf. Można ją zdefiniować w interfejsie GUI programu (patrz rozdział Ustawienia parametrów ochrony przed spamem 41 ). Lista serwerów Realtime Blackhole, która ma być używana na potrzeby oceniania wiadomości. Żądania listy RBL sprawdzają, czy na określonym serwerze RBL występują określone adresy IP. Sprawdzane są adresy IP dostępne w sekcji Received (Odebrane) nagłówka wiadomości . Ten wpis ma następujący format: rbl_list=serwer:odpowiedź:przesunięcie,serwer2:odpowiedź2: przesunięcie2,... Poniżej objaśniono znaczenie parametrów: 1) serwer nazwa serwera RBL 43

44 2) odpowiedź odpowiedź serwera RBL w przypadku znalezienia adresu IP (odpowiedzi standardowe to , , itd.). Ten parametr jest opcjonalny. Jeśli nie zostanie skonfigurowany, pod uwagę będą brane wszystkie odpowiedzi. 3) przesunięcie wartość od 0 do 100. Ma wpływ na ogólny wynik spamu wiadomości. Wartość standardowa to 100. Na przykład w przypadku wyniku pozytywnego do wiadomości przypisywany jest wynik spamu 100, a wiadomość zostaje uznana za spam. Wartości ujemne obniżają ogólny wynik spamu wiadomości. Wiadomości od nadawców, których nazwy zawarto w pliku approvedsenders, otrzymują wynik 0. Wiadomości od nadawców, których nazwy zawarto w pliku blockedsenders, otrzymują wynik 100 (patrz poniżej). Przykład 1: rbl_list=ent.adbl.org Kontrola RBL jest przeprowadzana za pomocą serwera ent.adbl.org. W przypadku pozytywnego wyniku kontroli wiadomość otrzymuje standardowe przesunięcie 100 i jest oznaczana jako spam. Przykład 2: rbl_list=ent.adbl.org::60 Kontrola RBL jest przeprowadzana za pomocą serwera ent.adbl.org. W przypadku pozytywnego wyniku kontroli do wiadomości jest przypisywane przesunięcie 60, które zwiększa jej ogólny wynik spamu. Przykład 3: rbl_list=bx9.dbl.com::85, list.dnb.org: :35, req.gsender.org::-75 Kontrola RBL jest przeprowadzana za pomocą zdefiniowanych serwerów (od lewej do prawej). W przypadku pozytywnego wyniku kontroli przeprowadzanej za pomocą serwera bx9.dbl.com zostanie dodane przesunięcie 85. Jeśli kontrola przeprowadzona za pomocą serwera list.dnb. org będzie miała wynik pozytywny z odpowiedzią , zostanie zastosowane przesunięcie 35. Przesunięcie nie zostanie zastosowane w przypadku odpowiedzi innych niż W razie otrzymania pozytywnego wyniku kontroli przeprowadzanej za pomocą serwera req.gsender.org wynik spamu zostanie obniżony o 75 punktów (wartość ujemna). rbl_max_ips Maksymalna liczba adresów IP, które mogą zostać przesłane do sprawdzenia za pomocą serwera RBL. Całkowita liczba żądań RBL równa się całkowitej liczbie adresów IP w sekcji Received (Odebrane) nagłówka wiadomości (do wartości limitu ustalonego w ustawieniu rbl_maxcheck_ips) pomnożonej przez liczbę serwerów RBL określonych w ustawieniu rbl_list. Wartość 0 oznacza brak limitu maksymalnej liczby adresów IP, które mogą zostać sprawdzone. Adresy IP w ustawieniu ignored_ip_list (tj. na liście Ignorowane adresy IP w ustawieniach programu ESET Mail Security). Parametr ten jest stosowany jedynie wtedy, gdy lista rbl_list jest włączona (tj. zawiera co najmniej 1 serwer). approved_domain Jest to lista zawartych w treści wiadomości domen i adresów IP, które mają być _list uznawane za dozwolone. Nie należy używać jej do wpisywania na białą listę adresów w domenie nadawcy. blocked_domain_li Jest to lista zawartych w treści wiadomości domen i adresów IP, które mają być trwale st zablokowane. To nie jest czarna lista adresów nadawców. Nie ma potrzeby dodawania tej listy do pliku spamcatcher.conf. Można ją zdefiniować w interfejsie GUI programu (patrz rozdział Ustawienia parametrów ochrony przed spamem 41 ). ignored_domain_li Lista domen w treści wiadomości , które mają zostać trwale wyłączone ze sprawdzania st za pomocą list DNSBL i zignorowane. Nie ma potrzeby dodawania tej listy do pliku spamcatcher. conf. Można ją zdefiniować w interfejsie GUI programu (patrz rozdział Ustawienia parametrów ochrony przed spamem 41 ). dnsbl_list Lista serwerów DNSBL, które mają być używane do sprawdzania domen i adresów IP w treści wiadomości . Ten wpis ma następujący format: dnsbl_list=serwer:odpowiedź: przesunięcie,serwer2:odpowiedź2:przesunięcie2,... Znaczenie użytych parametrów: 1) serwer nazwa serwera DNSBL 2) odpowiedź odpowiedź serwera DNSBL w przypadku znalezienia adresu IP/domeny (odpowiedzi standardowe to , , itd.). Ten parametr jest opcjonalny. Jeśli nie zostanie skonfigurowany, pod uwagę będą brane wszystkie odpowiedzi. 3) przesunięcie wartość od 0 do 100. Ma wpływ na ogólny wynik spamu wiadomości. Wartość standardowa to 100. Na przykład w przypadku wyniku pozytywnego do wiadomości przypisywany jest wynik spamu 100, a wiadomość zostaje uznana za spam. Wartości ujemne obniżają ogólny wynik spamu wiadomości. Wiadomości od nadawców, których nazwy 44

45 zawarto w pliku approvedsenders, otrzymują wynik 0. Wiadomości od nadawców, których nazwy zawarto w pliku blockedsenders, otrzymują wynik 100 (patrz poniżej). Sprawdzanie za pomocą list DNSBL może wpływać negatywnie na wydajność serwera. Dzieje się tak, ponieważ każda domena bądź adres IP z treści wiadomości jest sprawdzany na wszystkich zdefiniowanych serwerach DNSBL, a każde sprawdzenie wymaga przetworzenia żądania serwera DNS. Wdrożenie serwera pamięci podręcznej DNS pozwala ograniczyć wpływ tych operacji na zasoby systemowe. Z tego samego powodu podczas sprawdzania za pomocą list DNSBL są pomijane również nierutowalne adresy IP (10.x.x.x, 127.x.x.x, x.x). Przykład 1: dnsbl_list=ent.adbl.org Sprawdzanie za pomocą listy DNSBL jest przeprowadzane na serwerze ent.adbl.org. W przypadku wyniku pozytywnego do wiadomości jest przypisywane przesunięcie domyślne 100 (wiadomość zostaje oznaczona jako spam). Przykład 2: dnsbl_list=ent.adbl.org::60 Kontrola DNSBL jest przeprowadzana za pomocą serwera ent.adbl.org. W przypadku pozytywnego wyniku kontroli do wiadomości jest przypisywane przesunięcie 60, które zwiększa jej ogólny wynik spamu. Przykład 3: dnsbl_list=bx9.dbl.com::85, list.dnb.org: :35, req.gsender.org::-75 Kontrola DNSBL jest przeprowadzana za pomocą zdefiniowanych serwerów (od lewej do prawej). W razie otrzymania pozytywnego wyniku kontroli przeprowadzanej za pomocą serwera bx9.dbl.com zostanie dodane przesunięcie 85. Jeśli kontrola przeprowadzona za pomocą serwera list.dnb.org będzie miała wynik pozytywny z odpowiedzią , zostanie zastosowane przesunięcie 35. Przesunięcie nie zostanie zastosowane w przypadku odpowiedzi innych niż W razie otrzymania pozytywnego wyniku kontroli przeprowadzanej za pomocą serwera req.gsender.org wynik spamu zostanie obniżony o 75 punktów (wartość ujemna). home_country_list Lista krajów, które będą uznawane za ojczyste. Wiadomości rutowane przez kraj nieuwzględniony na liście będą oceniane za pomocą bardziej surowych reguł (będzie stosowany wyższy wynik spamu). Wpis kraju ma format dwuliterowego kodu zgodnego ze standardem ISO home_language_li Lista preferowanych języków, czyli języków najczęściej używanych w wiadomościach st użytkownika. Takie wiadomości będą oceniane za pomocą mniej surowych reguł (niższy wynik spamu). Wpis języka ma format dwuliterowego kodu zgodnego ze standardem ISO 639. custom_rules_list Pozwala definiować niestandardowe listy reguł oraz przechowywać każdą listę w osobnym pliku. Każda reguła jest umieszczona w oddzielnym wierszu pliku w następującym formacie: Fraza, Typ, Ufność, Rozpoznawanie_wielkości_liter Fraza jakikolwiek tekst, nie może zawierać przecinków (,) Typ może mieć następujące wartości: SPAM, PHISH, BOUNCE, ADULT, FRAUD. W przypadku wprowadzenia wartości innej niż wymienione powyżej automatycznie zostanie użyta wartość SPAM. SPAM oznacza frazy używane w typowych wiadomościach spamu (oferujących produkty i usługi). PHISH oznacza frazy używane w spreparowanych wiadomościach (phishing), które mają na celu wyłudzenie od użytkownika poufnych danych (nazwisk, haseł, numerów kart kredytowych itd.). BOUNCE oznacza frazy używane w automatycznych odpowiedziach serwera powiadomieniach o niedostarczeniu (używanych do wyłudzania adresów nadawców). ADULT oznacza frazy używane w wiadomościach oferujących materiały pornograficzne. FRAUD oznacza frazy używane w spreparowanych wiadomościach (spamie), w których oferowane są podejrzane operacje bankowe (przekazy pieniężne za pośrednictwem konta użytkownika itp.). Klasycznym przykładem spamu tego rodzaju jest tzw. spam nigeryjski. Ufność wartość od 0 do 100. Definiuje prawdopodobieństwo tego, że fraza należy do określonej kategorii spamu (które wymieniono powyżej). Jeśli wartość PHISH ma wynik ufności 90, prawdopodobieństwo użycia danej frazy w oszukańczej wiadomości jest bardzo wysokie. Im wyższy wynik ufności, tym większy ma on wpływ na ogólny wynik spamu wiadomości. Wartość ufności 100 jest wypadkiem szczególnym, w którym wynik spamu wiadomości również wyniesie 100. W takiej sytuacji wiadomości zostanie oznaczona jako całkowicie pewny spam. Analogicznie, jeśli wartość wyniesie 0, wiadomość zostanie oznaczona jako 45

46 niebędąca spamem. Rozpoznawanie_wielkości_liter wartości 0 lub 1. 0 oznacza, że wielkość liter frazy nie jest brana pod uwagę. 1 oznacza, że wielkość liter jest brana pod uwagę. Przykłady: replika, SPAM, 100, 0 Drogi użytkowniku serwisu ebay, PHISH, 90, 1 zwrot do nadawcy, BOUNCE, 80, 0 Więcej opcji wpisywania na czarną bądź białą listę można znaleźć w plikach approvedsenders i blockedsenders, które są dostępne w folderze C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\MailServer w systemie Windows Server 2000 i 2003 oraz w folderze C:\ProgramData\ESET\ESET Mail Security\MailServer w systemie Windows Server Do tych list można dodawać adresy lub domeny nadawców. Plik approvedsenders zawiera listę dozwolonych adresów/domen, a plik blockedsenders listę zablokowanych adresów/domen. Ostrzeżenie: Ze względu na częste fałszowanie adresów nadawców (są one zmieniane tak, aby wyglądały jak prawdziwe), nie zaleca się używania plików approvedsenders i blockedsenders na potrzeby tworzenia białych bądź czarnych list. Używanie w tym celu dozwolonych oraz zablokowanych adresów IP jest znacznie bezpieczniejsze i bardziej niezawodne. W przypadku tworzenia białej listy za pomocą adresu/domeny nadawcy (plik approvedsenders), należy zawsze stosować dodatkową metodę sprawdzania wiadomości (np. SPF). Inne ustawienia: enable_spf Ta opcja włącza/wyłącza sprawdzanie za pomocą systemu Sender Policy Framework. Metoda ta umożliwia sprawdzanie reguł publicznych domeny zasad domeny określających, czy nadawca jest uprawniony do wysyłania wiadomości z danej domeny. enable_all_spf Ta opcja pomaga określić, czy domeny nieznajdujące się na liście spf_list ani w pliku Mailshell mogą zostać pominięte podczas sprawdzania za pomocą systemu SPF. Aby opcja działała poprawnie, należy ustawić wartość parametru enable_realtime_spf jako yes. enable_realtime_spf W przypadku włączenia tej opcji żądania serwera DNS są wysyłane w czasie rzeczywistym podczas sprawdzania za pomocą systemu SPF. Może to mieć negatywny wpływ na wydajność (opóźnienia podczas oceniania wiadomości). spf_list Ta opcja umożliwia przypisywanie ważności określonym wpisom systemu SPF, a co za tym idzie wpływanie na ogólny wynik spamu wiadomości. spf_*_weight Gwiazdka oznacza 14 możliwych wyników sprawdzania za pomocą systemu SPF (więcej informacji można znaleźć w pliku spamcatcher.conf). Wartość wprowadzana na potrzeby tego parametru jest następnie stosowana w odniesieniu do wyniku spamu zgodnie z poszczególnymi rodzajami wyników. Jeśli wynik sprawdzania za pomocą systemu SPF to fail, zostanie zastosowana wartość przesunięcia z parametru spf_fail_weight. Zależnie od wartości przesunięcia uzyskany wynik spamu jest następnie zwiększany/obniżany. spf_recursion_depth Maksymalna głębokość zagnieżdżania (za pomocą mechanizmu włączania). Norma RFC 4408 określa ten limit jako 10 (aby zapobiegać odmowie dostępu), jednak niektóre rekordy systemu SPF nie uwzględniają tego limitu, ponieważ warunkiem spełnienia żądania systemu SPF jest zastosowanie większej liczby poziomów zagnieżdżania. enable_livefeed_sen W przypadku wyłączenia tej opcji informacje systemu SPF uzyskiwane za pomocą technologii der_repute LiveFeed będą ignorowane. 46

47 3.3.3 Alerty i powiadomienia Każdą wiadomość skanowaną przez program ESET Mail Security i oznaczoną jako spam można oflagować, dodając oznaczenie w temacie wiadomości. Domyślne oznaczenie to [SPAM], ale dodawany tekst może zostać zdefiniowany przez użytkownika. UWAGA: Dodając szablon do tematu wiadomości, można również używać zmiennych systemowych. 3.4 Często zadawane pytania P: Po zainstalowaniu oprogramowania EMSX z ochroną przed spamem wiadomości nie są dostarczane do skrzynek pocztowych. O: Jeśli włączono szarą listę, taki sposób działania jest standardowy. W ciągu pierwszych godzin działania oprogramowania wiadomości mogą być dostarczane z kilkugodzinnym opóźnieniem. Jeśli problem nie ustąpi przez dłuższy czas, zaleca się wyłączenie szarej listy (lub zmianę jej konfiguracji). P: Czy podczas skanowania załączników wiadomości program VSAPI skanuje również treść tych wiadomości? O: W oprogramowaniu Microsoft Exchange Server 2000 z dodatkiem SP2 i jego nowszych wersjach program VSAPI skanuje również treść wiadomości . P: Dlaczego wiadomości są nadal skanowane po wyłączeniu opcji VSAPI? O: Zmiany ustawień programu VSAPI są wprowadzane asynchronicznie. Oznacza to, że aby zmodyfikowane ustawienia programu VSAPI zaczęły działać, muszą one zostać wywołane przez oprogramowanie Microsoft Exchange Server. Ten powtarzany cyklicznie proces jest uruchamiany w około jednominutowych odstępach czasu. To samo dotyczy wszystkich innych ustawień programu VSAPI. P: Czy program VSAPI może usunąć całą wiadomość, jeśli jej załącznik jest zarażony? O: Tak, program VSAPI może usunąć całą wiadomość. W tym celu należy wybrać opcję Usuń całą wiadomość w sekcji Działania ustawień programu VSAPI. Ta opcja jest dostępna w oprogramowaniu Microsoft Exchange Server 2003 i jego nowszych wersjach. Starsze wersje oprogramowania Microsoft Exchange Server nie obsługują usuwania całych wiadomości. P: Czy program VSAPI skanuje również pod kątem wirusów wychodzące wiadomości ? O: Tak, pogram VSAPI skanuje wychodzące wiadomości , jeśli w programie poczty skonfigurowano taki sam serwer SMTP jak w oprogramowaniu Microsoft Exchange Server. Ta funkcja jest stosowana w 47

48 oprogramowaniu Microsoft Exchange Server 2000 z dodatkiem Service Pack 3 i w jego nowszych wersjach. P: Czy program VSAPI pozwala dodawać do każdej zeskanowanej wiadomości tekst powiadomienia tak samo jak agent transportu? O: Oprogramowanie Microsoft Exchange Server nie obsługuje dodawania tekstu do wiadomości skanowanych przez program VSAPI. P: Czasami niemożliwe jest otwarcie wybranej wiadomości w programie Microsoft Outlook. Dlaczego tak się dzieje? O: Opcj a Czynność w razie niemożności wyczyszczenia dostępna w sekcji Działania ustawień programu VSAPI ma prawdopodobnie wartość Blokuj lub utworzono regułę z działaniem Blokuj. Każde z tych ustawień będzie powodować oznaczanie oraz blokowanie zainfekowanych wiadomości i/lub wiadomości, do których stosowana jest opisana powyżej reguła. P: Czego dotyczy wartość Limit czasu odpowiedzi dostępna w sekcji Wydaj ność? O: W oprogramowaniu Microsoft Exchange Server 2000 z dodatkiem SP2 oraz w jego nowszych wersjach wartość Limit czasu odpowiedzi oznacza maksymalny czas (w sekundach) wymagany do zakończenia skanowania jednego wątku w programie VSAPI. Jeśli skanowanie nie zostanie zakończone przed upływem wyznaczonego czasu, oprogramowanie Microsoft Exchange Server odmówi programowi dostępu do wiadomości . Skanowanie nie zostanie przerwane, a dostęp do pliku będzie możliwy dopiero po jego zakończeniu. W przypadku oprogramowania Microsoft Exchange Server 5.5 z dodatkiem SP3 lub SP4 wartość jest wyrażana w milisekundach i oznacza czas, po którym program ponownie próbuje uzyskać dostęp do pliku, który wcześniej był niedostępny z powodu skanowania. P: Jak długa może być lista typów plików w jednej regule? O: Lista rozszerzeń plików może zawierać maksymalnie 255 znaków w jednej regule. P: W programie VSAPI jest włączona opcja Skanowanie w tle. Do tej pory wiadomości w oprogramowaniu Microsoft Exchange Server zawsze były skanowane po każdej aktualizacji bazy sygnatur wirusów. Po ostatniej aktualizacji tak się nie stało. Co jest przyczyną problemu? O: Decyzja o natychmiastowym skanowaniu wszystkich wiadomości bądź skanowaniu wiadomości w momencie, gdy użytkownik próbuje uzyskać do niej dostęp, zależy od wielu czynników. Zaliczają się do nich obciążenie serwera, czas procesora wymagany do zeskanowania partii wiadomości oraz łączna liczba wiadomości. Przed dotarciem do skrzynki odbiorczej każda wiadomość jest skanowana przez oprogramowanie Microsoft Exchange Server. P: Dlaczego wartość licznika reguł zwiększyła się o więcej niż jeden po otrzymaniu jednej wiadomości? O:Reguły są stosowane do wiadomości, gdy jest ona przetwarzana przez agenta transportu (TA) lub program VSAPI. Gdy włączony jest zarówno agent transportu, jak i program VSAPI, a wiadomość spełnia warunki reguły, wartość licznika reguł może wzrosnąć o 2 lub więcej. Program VSAPI uzyskuje dostęp do każdej części wiadomości osobno (treść, załącznik). Oznacza to, że reguły są kolejno stosowane osobno wobec każdej części. Ponadto, reguły są również stosowane podczas skanowania w tle (np. powtórzone skanowanie skrzynek pocztowych po aktualizacji bazy danych sygnatur wirusów), co także może zwiększyć wartość licznika reguł. P: Czy program ESET Mail Security 4 dla oprogramowania Microsoft Exchange Server jest zgodny z inteligentnym filtrem wiadomości (IMF)? O: Tak, program ESET Mail Security 4 dla oprogramowania Microsoft Exchange Server (EMSX) jest zgodny z inteligentnym filtrem wiadomości (IMF). W przypadku uznania wiadomości za spam wiadomości są przetwarzane w następujący sposób: Jeśli w module antyspamowym programu ESET Mail Security włączono opcję Usuń wiadomość (lub Poddaj wiadomość kwarantannie), czynność zostanie wykonana niezależnie od czynności skonfigurowanej w inteligentnym filtrze wiadomości programu Microsoft Exchange. Jeśli w module ochrony przed spamem programu ESET Mail Security wybrano opcję Brak czynności, zostaną użyte ustawienia inteligentnego filtra wiadomości programu Microsoft Exchange, a program wykona odpowiednią czynność (np. usunięcie, odrzucenie, przeniesienie do archiwum). Aby ta funkcja działała skutecznie, należy włączyć opcję Zapisuj poziom ufności filtrów spamu (SCL) w nagłówkach zeskanowanych wiadomości na podstawie wyniku spamu, wybierając kolejno opcje Ochrona serwera > Microsoft Exchange Server > Agent transportu. 48

49 P: Jak skonfigurować program ESET Mail Security, aby przenosił niechciane wiadomości do zdefiniowanego przez użytkownika folderu spamu w programie Microsoft Outlook? O: Ustawienia domyślne programu ESET Mail Security powodują, że program Microsoft Outlook zapisuje niechciane wiadomości w folderze Wiadomości-śmieci. Aby włączyć tę funkcję, należy wybrać opcję Zapisuj wyniki spamu w nagłówkach zeskanowanych wiadomości (F5 > Ochrona serwera > Ochrona przed spamem > Microsoft Exchange Server > Agent transportu). Aby zapisywać niechciane wiadomości w innym folderze, należy przeczytać następujące instrukcje: 1) W programie ESET Mail Security: wyłącz opcję Zapisuj wyniki spamu w nagłówkach zeskanowanych wiadomości , włącz opcję Brak czynności w odniesieniu do wiadomości oznaczonych jako spam, - określ oznaczenie, które będzie dodawane do niechcianych wiadomości, na przykład [SPAM] (wybierając kolejno opcje Ochrona serwera > Ochrona przed spamem > Alerty i powiadomienia). 2) W programie Microsoft Outlook: skonfiguruj regułę, dzięki której wiadomości z określonymi wyrażeniami w temacie ( [SPAM] ) będą przenoszone do zdefiniowanego folderu. P: W statystykach ochrony przed spamem wiele wiadomości jest zaliczanych do kategorii Nieskanowane. Jakie wiadomości nie są skanowane przez funkcję ochrony przed spamem? O: Kategoria Nieskanowane obejmuje następujące podkategorie: Ogólne: Wszystkie wiadomości zeskanowane w momencie, gdy była wyłączona jakakolwiek powłoka ochrony przed spamem (serwer pocztowy, agent transportu). Microsoft Exchange Server 2003: Wszystkie wiadomości pochodzące z adresów IP, które występują w inteligentnym filtrze wiadomości na globalnej liście akceptowanych. Wiadomości od uwierzytelnionych nadawców. Microsoft Exchange Server 2007: Wszystkie wiadomości wysłane wewnątrz organizacji (wszystkie będą skanowane w ramach ochrony antywirusowej). Wiadomości od uwierzytelnionych nadawców. Wiadomości od użytkowników, dla których skonfigurowano pomijanie ochrony przed spamem. Wszystkie wiadomości wysłane do skrzynki pocztowej, dla której włączono opcję pomijania ochrony przed spamem (AntispamBypass). Wszystkie wiadomości od nadawców znajdujących się na liście Bezpieczni nadawcy. UWAGA: Adresy dodane do białej listy i w ustawieniach aparatu antyspamowego nie należą do kategorii Nieskanowane, ponieważ zawiera ona wyłącznie wiadomości, które nie były nigdy przetwarzane przez moduł ochrony przed spamem. P: Użytkownicy pobierają wiadomości do swoich programów poczty za pośrednictwem protokołu POP3 (pomijając oprogramowanie Microsoft Exchange), jednak skrzynki pocztowe są przechowywane w oprogramowaniu Microsoft Exchange Server. Czy program ESET Mail Security będzie skanować te wiadomości pod kątem wirusów i spamu? O: Przy takiej konfiguracji program ESET Mail Security będzie skanować wiadomości zapisane w oprogramowaniu Microsoft Exchange Server tylko pod kątem wirusów (za pomocą programu VSAPI). Skanowanie pod kątem spamu nie będzie wykonywane, ponieważ wymaga ono serwera SMTP. P: Czy można zdefiniować poziom wyniku spamu, po osiągnięciu którego wiadomość będzie klasyfikowana jako spam? O: Tak, limit można ustawić w wersji 4.3 i nowszej programu ESET Mail Security (więcej informacji można znaleźć w rozdziale Ustawienia parametrów aparatu antyspamowego 41 ). P: Czy moduł ochrony przed spamem programu ESET Mail Security skanuje także wiadomości pobierana za pomocą rozwiązania POP3 Connector? O: Wiadomości pobierane za pomocą rozwiązania POP3 Connector są skanowane pod kątem spamu tylko w systemie SBS

50 4. ESET Mail Security ochrona serwera Oprócz ochrony oprogramowania Microsoft Exchange Server program ESET Mail Security oferuje również narzędzia niezbędne do ochrony samego serwera (ochrona rezydentna, ochrona dostępu do stron internetowych, ochrona programów poczty oraz ochrona przed spamem). 4.1 Antywirus i antyspyware Ochrona antywirusowa zabezpiecza system przed szkodliwymi atakami, sprawdzając pliki, pocztę i komunikację internetową. W przypadku wykrycia zagrożenia zawierającego szkodliwy kod moduł antywirusowy może je wyeliminować przez zablokowanie, a następnie usunięcie lub przeniesienie do kwarantanny Ochrona systemu plików w czasie rzeczywistym W ramach ochrony systemu plików w czasie rzeczywistym sprawdzane są wszystkie zdarzenia związane z ochroną antywirusową systemu. Wszystkie pliki w chwili otwarcia, utworzenia lub uruchomienia na komputerze są skanowane w poszukiwaniu szkodliwego kodu. Ochrona systemu plików w czasie rzeczywistym jest włączana przy uruchamianiu systemu Ustawienia sprawdzania Moduł ochrony systemu plików w czasie rzeczywistym sprawdza wszystkie typy nośników. Sprawdzanie jest wywoływane wystąpieniem różnych zdarzeń. Korzystając z metod wykrywania technologii ThreatSense (opisanych w sekcji Ustawienia parametrów technologii ThreatSense 64 ), funkcja ochrony systemu plików w czasie rzeczywistym może działać inaczej dla plików nowo tworzonych, a inaczej dla już istniejących. W przypadku nowo tworzonych plików można stosować głębszy poziom sprawdzania. Aby zminimalizować obciążenie systemu podczas korzystania z ochrony w czasie rzeczywistym, przeskanowane już pliki nie są skanowane ponownie (dopóki nie zostaną zmodyfikowane). Pliki są niezwłocznie skanowane ponownie po każdej aktualizacji bazy sygnatur wirusów. Taki sposób postępowania jest konfigurowany za pomocą funkcji inteligentnej optymalizacji. Po jej wyłączeniu wszystkie pliki są skanowane za każdym razem, gdy uzyskiwany jest do nich dostęp. Aby zmodyfikować tę opcję, należy otworzyć okno Ustawienia zaawansowane i w drzewie ustawień zaawansowanych kliknąć kolejno pozycje Antywirus i antyspyware > Ochrona systemu plików w czasie rzeczywistym. Następnie należy kliknąć przycisk Ustawienia obok opcji Ustawienia parametrów technologii ThreatSense, po czym kliknąć przycisk Inne i zaznaczyć opcję Włącz inteligentną optymalizacj ę lub usunąć jej zaznaczenie Ochrona w czasie rzeczywistym jest domyślnie włączana przy uruchamianiu systemu i zapewnia nieprzerwane skanowanie. W szczególnych przypadkach (np. jeśli wystąpi konflikt z innym skanerem działającym w trybie rzeczywistym) ochronę w czasie rzeczywistym można wyłączyć, usuwając zaznaczenie opcji Automatycznie uruchom ochronę systemu plików w czasie rzeczywistym. 50

51 Skanowane nośniki Domyślnie wszystkie typy nośników są skanowane w celu wykrycia potencjalnych zagrożeń. Dyski lokalne sprawdzane są wszystkie dyski twarde w systemie. Nośniki wymienne sprawdzane są dyskietki, urządzenia pamięci masowej USB itp. Dyski sieciowe skanowane są wszystkie dyski mapowane. Zalecane jest zachowanie ustawień domyślnych i modyfikowanie ich wyłącznie w szczególnych przypadkach, jeśli na przykład sprawdzanie pewnych nośników znacznie spowalnia przesyłanie danych Skanowanie włączone (skanowanie po wystąpieniu zdarzenia) Domyślnie wszystkie pliki są skanowane podczas otwierania, tworzenia i wykonywania. Zalecane jest zachowanie ustawień domyślnych, ponieważ zapewniają one maksymalny poziom ochrony komputera w czasie rzeczywistym. Opcja Dostępu do dyskietki umożliwia sprawdzanie sektora rozruchowego dyskietki podczas uzyskiwania dostępu do napędu dyskietek. Opcja Wyłączania komputera umożliwia sprawdzanie sektorów rozruchowych dysku twardego podczas wyłączania komputera. Mimo że wirusy sektora rozruchowego występują obecnie rzadko, zalecane jest włączenie tych opcji, ponieważ nadal zachodzi ryzyko infekcji sektora rozruchowego wirusami z innych źródeł Zaawansowane opcj e skanowania Dostęp do bardziej szczegółowych ustawień można uzyskać, wybierając kolejno opcje Ochrona komputera > Antywirus i antyspyware > Ochrona systemu plików w czasie rzeczywistym > Ustawienia zaawansowane. Dodatkowe parametry ThreatSense dla nowo utworzonych i zmodyfikowanych plików prawdopodobieństwo zarażenia nowo utworzonych lub zmodyfikowanych plików jest stosunkowo większe niż w przypadku plików już istniejących. Dlatego program sprawdza takie pliki z zastosowaniem dodatkowych parametrów skanowania. Oprócz typowych metod skanowania przy użyciu sygnatur używana jest zaawansowana heurystyka, która znacznie zwiększa wykrywalność zagrożeń. Poza nowo utworzonymi plikami skanowanie obejmuje również archiwa samorozpakowujące (SFX) i pliki spakowane (skompresowane wewnętrznie pliki wykonywalne). Domyślnie archiwa są skanowane do dziesiątego poziomu zagnieżdżenia i są sprawdzane niezależnie od ich rozmiaru. Aby zmienić ustawienia skanowania archiwów, należy usunąć zaznaczenie opcji Domyślne ustawienia skanowania archiwów. Dodatkowe parametry ThreatSense.Net dla wykonanych plików domyślnie zaawansowana heurystyka nie jest używana podczas wykonywania plików. W niektórych przypadkach może jednak zajść potrzeba włączenia tej opcji (poprzez zaznaczenie opcji Zaawansowana heurystyka podczas wykonywania pliku). Należy pamiętać, że zaawansowana heurystyka może spowolnić wykonywanie niektórych programów z powodu zwiększonego zapotrzebowania na zasoby systemowe. 51

52 Poziomy leczenia W ramach ochrony w czasie rzeczywistym są dostępne trzy poziomy leczenia. Aby wybrać poziom leczenia, należy w sekcji Ochrona systemu plików w czasie rzeczywistym kliknąć przycisk Ustawienia, a następnie kliknąć gałąź Leczenie. W przypadku pierwszego poziomu, Brak leczenia, dla każdego wykrytego zagrożenia wyświetlane jest okno alertu z opcjami do wyboru. Należy wybrać działanie osobno dla każdego zagrożenia. Poziom ten jest przeznaczony dla bardziej zaawansowanych użytkowników, którzy wiedzą, jakie czynności podjąć na wypadek zagrożenia. Przy domyślnym poziomie leczenia w zależności od typu zagrożenia automatycznie wybierane i wykonywane jest wstępnie zdefiniowane działanie. O wykryciu i usunięciu zainfekowanego pliku informuje komunikat wyświetlany w prawym dolnym rogu ekranu. Automatyczne działania nie są podejmowane, jeśli zagrożenie wykryto w archiwum (które zawiera również niezainfekowane pliki) lub dla zainfekowanych obiektów nie określono wstępnie działania. Trzeci poziom, Leczenie dokładne, charakteryzuje się najbardziej stanowczym działaniem leczone są wszystkie zainfekowane obiekty. Z uwagi na to, że przy tym poziomie można utracić także niezainfekowane pliki, zaleca się jego używanie tylko w szczególnych sytuacjach Zmienianie ustawień ochrony w czasie rzeczywistym Ochrona w czasie rzeczywistym jest najbardziej istotnym elementem zapewniającym bezpieczeństwo systemu. Dlatego należy zachować ostrożność podczas zmieniania jej parametrów. Modyfikowanie ustawień ochrony jest zalecane tylko w określonych przypadkach, na przykład jeśli występuje konflikt z określoną aplikacją lub działającym w czasie rzeczywistym skanerem należącym do innego programu antywirusowego. Po zainstalowaniu programu ESET Mail Security wszystkie ustawienia są optymalizowane w celu zapewnienia maksymalnego poziomu bezpieczeństwa systemu. Aby przywrócić ustawienia domyślne, należy kliknąć przycisk Domyślne znajdujący się w prawym dolnym rogu okna Ochrona systemu plików w czasie rzeczywistym (dostępnego po wybraniu kolejno opcji Ustawienia zaawansowane > Antywirus i antyspyware > Ochrona systemu plików w czasie rzeczywistym) Sprawdzanie skuteczności ochrony w czasie rzeczywistym Aby sprawdzić, czy funkcja ochrony w czasie rzeczywistym działa i wykrywa wirusy, należy użyć pliku z witryny eicar.com. Jest to specjalnie przygotowany nieszkodliwy plik testowy wykrywany przez wszystkie programy antywirusowe. Został on utworzony przez firmę EICAR (European Institute for Computer Antivirus Research) w celu testowania działania programów antywirusowych. Plik eicar.com jest dostępny do pobrania pod adresem UWAGA: Przed przystąpieniem do sprawdzenia skuteczności ochrony w czasie rzeczywistym należy wyłączyć zaporę. Włączona zapora wykryje plik testowy i uniemożliwi jego pobranie. 52

53 Co zrobić, j eśli ochrona w czasie rzeczywistym nie działa W kolejnym rozdziale opisano problemy, które mogą wystąpić podczas korzystania z ochrony w czasie rzeczywistym oraz sposoby ich rozwiązywania. Ochrona w czasie rzeczywistym j est wyłączona Jeśli ochrona w czasie rzeczywistym została przypadkowo wyłączona przez użytkownika, należy ją ponownie włączyć. Aby ponownie włączyć ochronę w czasie rzeczywistym, należy wybrać kolejno opcje Ustawienia > Antywirus i antyspyware, a następnie w oknie głównym programu w sekcji Ochrona systemu plików w czasie rzeczywistym kliknąć przycisk Włącz. Jeśli ochrona w czasie rzeczywistym nie jest włączana przy uruchamianiu systemu, może to być spowodowane wyłączeniem opcji Automatyczne uruchamianie ochrony systemu plików w czasie rzeczywistym. Aby ją włączyć, należy przejść do okna Ustawienia zaawansowane (klawisz F5) i w drzewie ustawień zaawansowanych kliknąć pozycję Ochrona systemu plików w czasie rzeczywistym. Należy się upewnić, że w dolnej części okna w sekcji Ustawienia zaawansowane jest zaznaczone pole wyboru Automatycznie uruchom ochronę systemu plików w czasie rzeczywistym. Ochrona w czasie rzeczywistym nie wykrywa ani nie leczy zagrożeń Należy się upewnić, że na komputerze nie ma zainstalowanych innych programów antywirusowych. Jednoczesne włączenie dwóch modułów ochrony w czasie rzeczywistym może powodować ich konflikt. Zaleca się odinstalowanie innych programów antywirusowych z systemu. Ochrona w czasie rzeczywistym nie j est uruchamiana Jeśli ochrona w czasie rzeczywistym nie jest włączana przy uruchamianiu systemu (a opcja Automatycznie uruchom ochronę systemu plików w czasie rzeczywistym jest włączona), może to być spowodowane konfliktami z innymi programami. W takim przypadku należy skonsultować się z działem pomocy technicznej firmy ESET Ochrona programów poczty W ramach ochrony poczty sprawdzana jest komunikacja przychodząca za pośrednictwem protokołu POP3. Przy użyciu wtyczki do aplikacji Microsoft Outlook program ESET Mail Security zapewnia sprawdzanie całej komunikacji realizowanej przez klienta poczty (za pośrednictwem protokołów POP3, MAPI, IMAP oraz HTTP). Podczas analizowania wiadomości przychodzących program stosuje wszystkie zaawansowane metody skanowania dostępne w ramach technologii skanowania ThreatSense. Dzięki temu szkodliwe programy są wykrywane nawet zanim zostaną porównane z bazą danych sygnatur wirusów. Skanowanie komunikacji realizowanej za pośrednictwem protokołu POP3 odbywa się niezależnie od używanego programu poczty . 53

54 Sprawdzanie protokołu POP3 POP3 jest najbardziej rozpowszechnionym protokołem używanym do odbierania wiadomości w programach poczty . Program ESET Mail Security zapewnia ochronę tego protokołu niezależnie od użytkowanego programu pocztowego. Moduł ochrony jest włączany automatycznie przy uruchamianiu systemu operacyjnego, a następnie działa w pamięci operacyjnej. Aby ochrona funkcjonowała prawidłowo, należy się upewnić się, że moduł jest włączony. Sprawdzanie protokołu POP3 odbywa się automatycznie bez konieczności zmiany konfiguracji programu poczty . Domyślnie skanowana jest cała komunikacja realizowana przez port 110, ale w razie potrzeby skanowaniem można objąć również inne porty. Numery portów muszą być oddzielone przecinkami. Komunikacja szyfrowana nie jest sprawdzana. Aby móc korzystać z filtrowania protokołu POP3/POP3S, należy najpierw włączyć filtrowanie protokołów. Jeśli ustawienia POP3/POP3S są niedostępne, należy w drzewie ustawień zaawansowanych przejść do pozycji Ochrona komputera > Antywirus i antyspyware > Filtrowanie protokołów i zaznaczyć opcję Włącz ochronę zawartości protokołów aplikacj i. Więcej informacji na temat filtrowania i jego konfiguracji można znaleźć w sekcji Filtrowanie protokołów Zgodność Niektóre programy poczty mogą wykazywać problemy związane z filtrowaniem protokołu POP3 (np. z powodu sprawdzania odbieranych wiadomości przy wolnym połączeniu internetowym może upłynąć limit czasu). W takim przypadku należy spróbować zmodyfikować sposób sprawdzania. Zmniejszenie poziomu dokładności może wpłynąć na przyspieszenie procesu leczenia. Aby zmienić poziom dokładności filtrowania protokołu POP3, należy w drzewie ustawień zaawansowanych przejść do pozycji Antywirus i antyspyware > Ochrona poczty > Protokoły POP3 i POP3s > Zgodność. Po włączeniu opcji Maksymalna skuteczność infekcje są usuwane z zarażonych wiadomości , a przed oryginalnym tematem wiadomości jest wstawiana informacja o zarażeniu (jeśli jest włączona opcja Usuń lub Wylecz bądź jest ustawiony poziom leczenia Dokładny lub Domyślny). Ustawienie Średnia zgodność zmienia sposób odbierania wiadomości. Wiadomości są stopniowo przesyłane do programu poczty . Po przekazaniu ostatniej części wiadomości jest ona skanowana w poszukiwaniu zagrożeń. Przy tym poziomie sprawdzania zwiększa się ryzyko infekcji. Poziom leczenia i obsługa oznaczeń (informacji dodawanych do tematu i treści wiadomości) są takie same, jak dla ustawienia Maksymalna skuteczność. Po wybraniu poziomu Maksymalna zgodność w przypadku odebrania zarażonej wiadomości jest wyświetlane okno alertu z ostrzeżeniem. Do tematu ani do treści dostarczanych wiadomości nie są dodawane żadne informacje o zainfekowanych plikach, a zagrożenia nie są automatycznie usuwane. Użytkownik musi samodzielnie usunąć zagrożenia w programie poczty . 54

55 Integracj a z programami pocztowymi Integracja programu ESET Mail Security z programami pocztowymi zwiększa poziom aktywnej ochrony przed szkodliwym kodem rozsyłanym w wiadomościach . Jeśli dany program pocztowy jest obsługiwany, integrację tę można włączyć w programie ESET Mail Security. Po jej włączeniu pasek narzędzi programu ESET Mail Security zostaje wstawiony bezpośrednio do programu pocztowego, umożliwiając skuteczniejszą ochronę poczty. Dostęp do ustawień integracji można uzyskać, klikając kolejno opcje Ustawienia > Otwórz całe drzewo ustawień zaawansowanych > Inne > Integracj a z programami pocztowymi. Integrację można uaktywnić w przypadku obsługiwanych programów poczty . Obecnie należą do nich programy Microsoft Outlook, Outlook Express, Poczta systemu Windows, Poczta usługi Windows Live i Mozilla Thunderbird. Jeśli podczas pracy z programem poczty system działa wolniej niż zwykle, można zaznaczyć opcję Wyłącz sprawdzanie po zmianie zawartości skrzynki odbiorczej. Może to mieć miejsce podczas pobierania poczty z Kerio Outlook Connector Store. Aby włączyć ochronę poczty , należy kliknąć kolejno opcje Ustawienia > Otwórz całe drzewo ustawień zaawansowanych > Antywirus i antyspyware > Ochrona programów poczty i wybrać opcję Włącz ochronę antywirusową i antyspyware w programie pocztowym. 55

56 Dołączanie informacj i do treści wiadomości Każdą wiadomość przeskanowaną przez program ESET Mail Security można oznaczyć, dołączając notatkę do jej treści lub tematu. Funkcja ta zwiększa wiarygodność wiadomości dla odbiorcy, a w przypadku wykrycia zagrożenia udostępnia cenne informacje na temat poziomu zagrożenia, jakie stanowi dana wiadomość lub jej nadawca. Ustawienia tej funkcji są dostępne po wybraniu kolejno opcji Ustawienia zaawansowane > Antywirus i antyspyware > Ochrona programów poczty . Do wyboru są opcje Oznacz otrzymaną i przeczytaną wiadomość oraz Oznacz wysyłaną wiadomość . Można też zdecydować, czy notatki mają być dołączane do wszystkich przeskanowanych wiadomości , tylko do zainfekowanych, czy do żadnych. Program ESET Mail Security może również dodawać notatki do oryginalnego tematu zainfekowanych wiadomości. Aby włączyć tę funkcję, należy zaznaczyć opcje Dołącz notatkę do tematu otrzymanej i przeczytanej zainfekowanej wiadomości oraz Dołącz notatkę do tematu wysyłanej zainfekowanej wiadomości. Treść dołączanych notatek można modyfikować w polu Szablon komunikatu dołączanego do tematu zainfekowanej wiadomości. Wspomniane uprzednio modyfikacje pomagają zautomatyzować proces filtrowania zainfekowanej poczty , ponieważ umożliwiają filtrowanie wiadomości o określonym temacie (jeśli funkcję tę obsługuje używany program poczty ) i przenoszenie ich do osobnego folderu Usuwanie infekcj i Po odebraniu zainfekowanej wiadomości wyświetlane jest okno alertu. Zawiera ono nazwę nadawcy, wiadomość i nazwę infekcji. W dolnej części okna dostępne są działania, które można zastosować na wykrytym obiekcie: Wylecz, Usuń lub Pozostaw. W niemal wszystkich przypadkach zalecany jest wybór opcji Wylecz lub Usuń. W szczególnych sytuacjach, gdy użytkownik chce odebrać zainfekowany plik, można wybrać opcję Pozostaw. Jeśli włączone jest Leczenie dokładne, wyświetlane jest okno informacyjne bez opcji dotyczących zainfekowanych obiektów. 56

57 4.1.3 Ochrona dostępu do stron internetowych Zapewnianie połączenia z Internetem jest standardową funkcją komputera osobistego. Niestety komunikacja internetowa stała się głównym sposobem przenoszenia szkodliwego kodu. Z tego względu ważne jest umiejętne dobranie ochrony dostępu do stron internetowych. Zdecydowanie zalecamy zaznaczenie pola wyboru Włącz ochronę antywirusową i antyspyware do stron internetowych. Można je znaleźć w oknie Ustawienia zaawansowane (klawisz F5) po kliknięciu kolejno opcji Antywirus i antyspyware > Ochrona dostępu do stron internetowych Protokoły HTTP i HTTPS Ochrona dostępu do stron internetowych polega na monitorowaniu realizowanej między przeglądarkami internetowymi i zdalnymi serwerami komunikacji zgodnej z regułami protokołów HTTP (ang. Hypertext Transfer Protocol) i HTTPS (komunikacja szyfrowana). Domyślnie program ESET Mail Security jest skonfigurowany pod kątem używania standardów obsługiwanych przez większość przeglądarek internetowych. Opcje ustawień skanera protokołu HTTP można jednak modyfikować w oknie Ustawienia zaawansowane (klawisz F5) po wybraniu kolejno opcji Antywirus i antyspyware > Ochrona dostępu do stron internetowych > Protokoły HTTP i HTTPS. W głównym oknie skanera protokołu HTTP można zaznaczyć lub usunąć zaznaczenie opcji Włącz sprawdzanie protokołu HTTP. Można również określić numery portów używane do komunikacji za pośrednictwem protokołu HTTP. Domyślnie wstępnie zdefiniowane są porty 80, 8080 i Sprawdzanie protokołu HTTPS może być wykonywane w jednym z następujących trybów: Nie używaj funkcj i sprawdzania protokołu HTTPS komunikacja szyfrowana nie będzie sprawdzana. Użyj funkcj i sprawdzania protokołu HTTPS dla wybranych portów sprawdzanie protokołu HTTPS będzie dotyczyło tylko portów zdefiniowanych w polu Porty używane przez protokół HTTPS. 57

58 Zarządzanie adresami W tej sekcji można określić adresy HTTP, które mają być blokowane, dozwolone lub wyłączone ze sprawdzania. Przyciski Dodaj, Edytuj, Usuń i Eksportuj służą do zarządzania listami adresów. Witryny internetowe znajdujące się na listach blokowanych adresów nie będą dostępne. Dostęp do witryn internetowych znajdujących się na liście adresów wyłączonych odbywa się bez skanowania w poszukiwaniu szkodliwego kodu. Jeśli zostanie włączona opcja Zezwól na dostęp tylko do adresów HTTP z listy dozwolonych adresów, tylko adresy obecne na liście dozwolonych adresów będą dostępne, podczas gdy pozostałe adresy HTTP będą blokowane. Na wszystkich listach można używać symboli specjalnych: * (gwiazdka) i? (znak zapytania). Gwiazdka zastępuje dowolny ciąg znaków, a znak zapytania zastępuje dowolny symbol. Szczególną ostrożność należy zachować podczas określania adresów wyłączonych, ponieważ ich lista powinna zawierać jedynie adresy zaufane i bezpieczne. Ponadto należy sprawdzić, czy symbole * oraz? są na tej liście stosowane prawidłowo. Aby aktywować listę, należy zaznaczyć pole wyboru Lista aktywnych. Jeśli przy wprowadzaniu adresu z bieżącej listy ma być wyświetlane powiadomienie, należy zaznaczyć pole wyboru Powiadom o zastosowaniu adresu z listy. 58

59 Tryb aktywny Program ESET Mail Security wyposażono w funkcję Przeglądarki internetowe, umożliwiającą użytkownikowi określenie, czy dana aplikacja jest przeglądarką. Jeśli dana aplikacja zostanie oznaczona jako przeglądarka, sprawdzana będzie jej cała komunikacja, niezależnie od używanych portów. Funkcja Przeglądarki internetowe uzupełnia funkcję sprawdzania protokołu HTTP, ponieważ sprawdzanie protokołu HTTP jest wykonywane tylko dla wstępnie zdefiniowanych portów. Wiele usług internetowych używa jednak zmieniających się lub nieznanych numerów portów. W tej sytuacji funkcja Przeglądarki internetowe umożliwia sprawdzanie komunikacji prowadzonej przez porty niezależnie od parametrów połączenia. Lista aplikacji oznaczonych jako przeglądarki jest dostępna bezpośrednio w podmenu Przeglądarki internetowe w gałęzi Protokoły HTTP i HTTPS. W tej sekcji znajduje się również podmenu Tryb aktywny umożliwiające zdefiniowanie trybu sprawdzania przeglądarek internetowych. Ustawienie Tryb aktywny jest przydatne, ponieważ umożliwia analizę przesyłanych danych jako całości. Jeśli nie jest ona włączona, komunikacja aplikacji jest stopniowo monitorowana w partiach. Zmniejsza to skuteczność procesu weryfikacji danych, ale jednocześnie zapewnia większą zgodność z aplikacjami wymienionymi na liście. 59

60 Jeśli podczas używania aktywnego trybu sprawdzania nie występują problemy, zaleca się jego włączenie poprzez zaznaczenie pola wyboru obok odpowiedniej aplikacji Skanowanie komputera na żądanie Jeśli zachodzi podejrzenie zainfekowania komputera (działa w nieprawidłowy sposób), należy uruchomić skanowanie na żądanie w celu wyszukania zagrożeń. Z punktu widzenia bezpieczeństwa ważne jest, aby skanowanie komputera było przeprowadzane nie tylko w przypadku podejrzenia infekcji, ale regularnie w ramach rutynowych działań związanych z bezpieczeństwem. Regularne skanowanie umożliwia wykrywanie zagrożeń, które podczas zapisywania zainfekowanych plików na dysku nie zostały wykryte przez skaner działający w czasie rzeczywistym. Może się tak zdarzyć, jeśli w momencie wystąpienia infekcji skaner działający w czasie rzeczywistym był wyłączony lub baza sygnatur wirusów była nieaktualna. Zalecane jest uruchamianie skanowania komputera na żądanie co najmniej raz w miesiącu. Skanowanie można skonfigurować jako zaplanowane zadanie za pomocą opcji Narzędzia > Harmonogram. 60

61 Typ skanowania Dostępne są dwa typy skanowania komputera na żądanie. Opcja Skanowanie inteligentne umożliwia szybkie przeskanowanie systemu bez konieczności dodatkowego konfigurowania parametrów skanowania. Opcja Skanowanie niestandardowe umożliwia wybranie jednego ze wstępnie zdefiniowanych profilów skanowania oraz określenie obiektów skanowania Skanowanie inteligentne Tryb skanowania inteligentnego umożliwia szybkie uruchomienie skanowania komputera i wyleczenie zainfekowanych plików bez konieczności podejmowania dodatkowych działań przez użytkownika. Jego główną zaletą jest łatwa obsługa i brak szczegółowej konfiguracji skanowania. W ramach skanowania inteligentnego sprawdzane są wszystkie pliki na dyskach lokalnych, a wykryte infekcje są automatycznie leczone lub usuwane. Automatycznie ustawiany jest też domyślny poziom leczenia. Szczegółowe informacje na temat typów leczenia można znaleźć w sekcji Leczenie Skanowanie niestandardowe Skanowanie niestandardowe stanowi optymalne rozwiązanie, jeśli użytkownik chce sam określić parametry skanowania, takie jak skanowane obiekty i metody skanowania. Zaletą skanowania niestandardowego jest możliwość szczegółowej konfiguracji parametrów. Konfiguracje można zapisywać w zdefiniowanych przez użytkownika profilach skanowania, które mogą być przydatne, jeśli skanowanie jest przeprowadzane wielokrotnie z zastosowaniem tych samych parametrów. Aby wybrać skanowane obiekty, należy wybrać kolejno opcje Skanowanie komputera > Skanowanie niestandardowe, a następnie wybrać odpowiednią pozycję z menu rozwijanego Skanowane obiekty lub wybrać żądane obiekty w strukturze drzewa. Obiekty do skanowania można również wskazać bardziej precyzyjnie, wprowadzając ścieżkę do folderu lub plików, które mają zostać objęte skanowaniem. Jeśli użytkownik chce tylko przeskanować system bez wykonywania dodatkowych działań związanych z leczeniem, należy wybrać opcję Skanuj bez leczenia. Ponadto można wybrać jeden z trzech poziomów leczenia, klikając kolejno opcje Ustawienia... > Leczenie. 61

62 Skanowane obiekty Z menu rozwijanego Skanowane obiekty można wybrać pliki, foldery i urządzenia (dyski), które mają być skanowane w poszukiwaniu wirusów. Według ustawień profilu skanowane są obiekty określone w wybranym profilu skanowania. Nośniki wymienne skanowane są dyskietki, urządzenia pamięci masowej USB, płyty CD/DVD. Dyski lokalne skanowane są wszystkie dyski twarde dostępne w systemie. Dyski sieciowe skanowane są wszystkie zmapowane dyski sieciowe. Brak wyboru wybór obiektów zostaje anulowany. Obiekt do skanowania można również wskazać bardziej precyzyjnie, wprowadzając ścieżkę do folderu lub plików, które mają zostać objęte skanowaniem. Skanowane obiekty można wybrać w strukturze drzewa zawierającej wszystkie urządzenia dostępne w komputerze Profile skanowania Preferowane parametry skanowania mogą zostać zapisane i użyte w przyszłości. Zalecane jest utworzenie osobnego profilu (z ustawionymi różnymi obiektami i metodami skanowania oraz innymi parametrami) dla każdego regularnie przeprowadzanego skanowania. Aby utworzyć nowy profil, należy otworzyć okno ustawień zaawansowanych (klawisz F5) i kliknąć kolejno opcje Skanowanie komputera na żądanie > Profile... W oknie Profile konfiguracj i znajduje się menu rozwijane, które zawiera listę istniejących profili skanowania oraz opcję umożliwiającą utworzenie nowego profilu. Informacje na temat tworzenia profilu skanowania dostosowanego do indywidualnych potrzeb można znaleźć w sekcji Ustawienia parametrów technologii ThreatSense 64, w której opisano poszczególne parametry ustawień skanowania. PRZYKŁAD: Załóżmy, że użytkownik chce utworzyć własny profil skanowania, a żądana konfiguracja częściowo pokrywa się z konfiguracją Skanowanie inteligentne. Użytkownik nie chce jednak skanować plików spakowanych lub potencjalnie niebezpiecznych aplikacji oraz chce zastosować ustawienie Leczenie dokładne. W takim przypadku należy w oknie Profile konfiguracj i kliknąć przycisk Dodaj... Następnie należy wprowadzić nazwę nowego profilu w polu Nazwa profilu i wybrać z menu rozwijanego Kopiuj ustawienia z profilu pozycję Skanowanie inteligentne. Następnie należy dostosować do własnych potrzeb pozostałe parametry profilu. 62

63 4.1.5 Wydaj ność W tej sekcji można ustalić liczbę aparatów skanowania technologii ThreatSense używanych do ochrony przed wirusami. Większa liczba aparatów skanowania technologii ThreatSense używanych na komputerach z wieloma procesorami może zwiększyć wskaźnik wykrywalności. Dopuszczalna wartość mieści się w przedziale od 1 do 20. UWAGA: Zmiany wprowadzone w tej sekcji zostaną zastosowane dopiero po ponownym uruchomieniu Filtrowanie protokołów Ochrona antywirusowa protokołów POP3 i HTTP jest realizowana z wykorzystaniem technologii ThreatSense, w której połączono wszystkie zaawansowane techniki wykrywania szkodliwego oprogramowania. Monitorowanie odbywa się automatycznie, niezależnie od przeglądarki internetowej i programu poczty . Dostępne są następujące ustawienia filtrowania protokołów (jeśli zaznaczono opcję Włącz ochronę zawartości protokołów aplikacj i): Portów HTTP i POP3 powoduje ograniczenie skanowania komunikacji do znanych portów HTTP i POP3. Aplikacj i oznaczonych j ako przeglądarki internetowe lub programy poczty po wybraniu tego ustawienia filtrowana jest tylko komunikacja aplikacji oznaczonych jako przeglądarki internetowe (Ochrona dostępu do stron internetowych > HTTP, HTTPS > Przeglądarki internetowe) i programy poczty ( Ochrona programów poczty > POP3, POP3s > Programy poczty ). Portów i aplikacj i oznaczonych j ako przeglądarki internetowe lub programy poczty wykrywanie szkodliwego oprogramowania obejmuje zarówno porty, jak i przeglądarki internetowe. UWAGA: Począwszy od systemów Windows Vista z dodatkiem Service Pack 1 i Windows Server 2008 stosowana jest nowa metoda filtrowania komunikacji. W efekcie sekcja Filtrowanie protokołów jest w tych systemach niedostępna Protokół SSL Program ESET Mail Security umożliwia sprawdzanie protokołów enkapsulowanych w protokole SSL. W przypadku komunikacji chronionej protokołem SSL można stosować różne tryby skanowania z użyciem certyfikatów zaufanych, nieznanych lub takich, które zostały wyłączone ze sprawdzania komunikacji chronionej przez protokół SSL. Zawsze skanuj protokół SSL wybór tej opcji powoduje skanowanie całej komunikacji chronionej protokołem SSL oprócz komunikacji chronionej za pomocą certyfikatów wyłączonych ze sprawdzania. W przypadku nawiązania nowego połączenia z użyciem nieznanego, podpisanego certyfikatu użytkownik nie zostanie o tym powiadomiony, a połączenie będzie automatycznie filtrowane. Przy próbie uzyskania przez użytkownika dostępu do serwera z użyciem niezaufanego certyfikatu, który użytkownik oznaczył jako zaufany (dodając go do listy zaufanych certyfikatów), komunikacja z serwerem nie zostanie zablokowana, a jej treść będzie filtrowana. Pytaj o nieodwiedzane witryny (można ustawić wyłączenia) po przejściu do nowej witryny chronionej protokołem SSL (o nieznanym certyfikacie) będzie wyświetlane okno dialogowe z możliwością wyboru działania. W tym trybie można utworzyć listę certyfikatów SSL, które zostaną wyłączone ze skanowania. Nie skanuj protokołu SSL po wybraniu tego ustawienia program nie będzie skanował komunikacji odbywającej się za pośrednictwem protokołu SSL. Jeśli nie można zweryfikować certyfikatu w magazynie zaufanych głównych urzędów certyfikacji (Filtrowanie protokołów > SSL > Certyfikaty): Pytaj o ważność certyfikatu pojawia się monit o wybór działania, jakie należy podjąć. Blokuj komunikacj ę używaj ącą certyfikatu powoduje zakończenie połączenia z witryną używającą danego certyfikatu. Jeśli certyfikat stracił ważność lub jest uszkodzony (Filtrowanie protokołów > SSL > Certyfikaty): Pytaj o ważność certyfikatu pojawia się monit o wybór działania, jakie należy podjąć. Blokuj komunikacj ę używaj ącą certyfikatu powoduje zakończenie połączenia z witryną używającą danego certyfikatu. 63

64 Zaufane certyfikaty Jako uzupełnienie magazynu zaufanych głównych urzędów certyfikacji, w którym program ESET Mail Security przechowuje zaufane certyfikaty, można utworzyć niestandardową listę zaufanych certyfikatów. Aby ją wyświetlić, należy otworzyć okno Ustawienia zaawansowane (klawisz F5), a następnie wybrać kolejno opcje Filtrowanie protokołów > SSL > Certyfikaty > Zaufane certyfikaty Wyłączone certyfikaty Sekcja Wyłączone certyfikaty zawiera certyfikaty, które są uważane za bezpieczne. Zawartość szyfrowanej komunikacji korzystającej z certyfikatów znajdujących się na tej liście nie będzie sprawdzana pod kątem zagrożeń. Zalecane jest wykluczanie tylko takich certyfikatów sieciowych, których bezpieczeństwo jest zagwarantowane, a komunikacja odbywająca się z ich użyciem nie wymaga sprawdzania Ustawienia parametrów technologii ThreatSense ThreatSense to technologia obejmująca złożone metody wykrywania zagrożeń. Działa ona w sposób proaktywny, co oznacza, że zapewnia ochronę już od pierwszych godzin rozprzestrzeniania się nowego zagrożenia. Stosowana jest w niej kombinacja kilku metod (analiza kodu, emulacja kodu, sygnatury rodzajowe, sygnatury wirusów), które razem znacznie zwiększają bezpieczeństwo systemu. Korzystając z tej technologii skanowania, można kontrolować kilka strumieni danych jednocześnie, maksymalizując skuteczność i wskaźnik wykrywalności. Ponadto technologia ThreatSense pomyślnie eliminuje programy typu rootkit. Za pomocą ustawień technologii ThreatSense można określić kilka parametrów skanowania: typy i rozszerzenia plików, które mają być skanowane; kombinacje różnych metod wykrywania; poziomy leczenia itp. Aby otworzyć okno konfiguracji, należy kliknąć przycisk Ustawienia... znajdujący się w oknie ustawień każdego modułu, w którym wykorzystywana jest technologia ThreatSense (zobacz poniżej). Poszczególne scenariusze zabezpieczeń mogą wymagać różnych konfiguracji. Technologię ThreatSense można konfigurować indywidualnie dla następujących modułów ochrony: Ochrona systemu plików w czasie rzeczywistym 50 Sprawdzanie plików wykonywanych przy uruchamianiu systemu Ochrona poczty 53 Ochrona dostępu do stron internetowych 57 Skanowanie komputera na żądanie 60 Parametry technologii ThreatSense są w wysokim stopniu zoptymalizowane pod kątem poszczególnych modułów, a ich modyfikacja może znacząco wpływać na działanie systemu. Na przykład wybór opcji skanowania wszystkich plików spakowanych lub włączenie zaawansowanej heurystyki w module ochrony systemu plików w czasie rzeczywistym może spowodować spowolnienie działania systemu (w zwykłym trybie tylko nowo utworzone pliki są skanowane z użyciem tych metod). Dlatego zalecane jest pozostawienie niezmienionych parametrów domyślnych technologii ThreatSense dla wszystkich modułów z wyjątkiem modułu skanowania komputera na żądanie. 64

65 Ustawienia obiektów W sekcji Obiekty można określać, które pliki i składniki komputera będą skanowane w poszukiwaniu infekcji. Pamięć operacyj na skanowanie w poszukiwaniu szkodliwego oprogramowania, które atakuje pamięć operacyjną komputera. Sektory startowe skanowanie sektorów startowych w poszukiwaniu wirusów w głównym rekordzie rozruchowym. Pliki skanowanie najczęściej używanych typów plików (programów, obrazów, plików audio, plików wideo, plików baz danych itd.). Pliki poczty skanowanie specjalnych plików zawierających wiadomości . Archiwa skanowanie plików skompresowanych w archiwach (RAR, ZIP, ARJ, TAR itd.). Archiwa samorozpakowuj ące skanowanie plików znajdujących się w archiwach samorozpakowujących, które mają zwykle rozszerzenie EXE. Pliki spakowane oprócz standardowych statycznych spakowanych plików skanowanie obejmuje też pliki, które (w odróżnieniu od standardowych typów archiwów) są rozpakowywane w pamięci (UPX, yoda, ASPack, FGS itp.) Opcj e W sekcji Opcj e można wybrać metody, które mają być stosowane podczas skanowania systemu w poszukiwaniu infekcji. Dostępne są następujące opcje: Sygnatury sygnatury umożliwiają dokładne i niezawodne wykrywanie i identyfikowanie zagrożeń według nazwy przy użyciu sygnatur wirusów. Heurystyka heurystyka korzysta z algorytmu analizującego działania (szkodliwe) podejmowane przez programy. Główną zaletą heurystyki jest możliwość wykrywania nowego szkodliwego oprogramowania, które wcześniej nie istniało lub nie zostało umieszczone na liście znanych wirusów (w bazie sygnatur wirusów). Zaawansowana heurystyka zaawansowana heurystyka jest oparta na unikatowym algorytmie heurystycznym opracowanym przez firmę ESET. Został on zoptymalizowany pod kątem wykrywania robaków i koni trojańskich napisanych w językach programowania wysokiego poziomu. Dzięki zaawansowanej heurystyce znacznie wzrosła skuteczność wykrywania zagrożeń przez program. Adware/Spyware/Riskware do tej kategorii zaliczane jest oprogramowanie gromadzące różne poufne informacje na temat użytkowników bez ich świadomej zgody. Obejmuje ona również oprogramowanie wyświetlające materiały reklamowe. Potencj alnie niepożądane aplikacj e aplikacje potencjalnie niepożądane nie muszą być tworzone w złych intencjach, ale mogą negatywnie wpływać na wydajność komputera. Zainstalowanie takiej aplikacji zazwyczaj wymaga zgody użytkownika. Po zainstalowaniu programu z tej kategorii działanie systemu jest inne niż przed instalacją. Najbardziej widoczne zmiany to wyświetlanie wyskakujących okienek, aktywacja i uruchamianie ukrytych procesów, zwiększone użycie zasobów systemowych, zmiany w wynikach wyszukiwania oraz komunikowanie się aplikacji ze zdalnymi serwerami. Potencj alnie niebezpieczne aplikacj e do aplikacji potencjalnie niebezpiecznych zaliczane są niektóre legalne programy komercyjne. Są to m.in. narzędzia do dostępu zdalnego, dlatego ta opcja jest domyślnie wyłączona. 65

66 Leczenie Ustawienia leczenia określają sposób działania skanera w stosunku do zainfekowanych plików. Określone zostały 3 poziomy leczenia: Brak leczenia zainfekowane pliki nie są automatycznie leczone. Program wyświetla okno z ostrzeżeniem, a użytkownik sam wybiera żądane działanie. Leczenie standardowe program próbuje automatycznie wyleczyć lub usunąć zainfekowany plik. Jeśli automatyczny wybór właściwego działania nie jest możliwy, program umożliwia użytkownikowi wybór dostępnych działań. Są one wyświetlane również wtedy, gdy wykonanie wstępnie zdefiniowanego działania nie jest możliwe. Leczenie dokładne program leczy lub usuwa wszystkie zainfekowane pliki (w tym archiwa). Jedyny wyjątek stanowią pliki systemowe. Jeśli ich wyleczenie nie jest możliwe, użytkownik może wybrać działanie w oknie z ostrzeżeniem. Ostrzeżenie: W trybie domyślnym cały plik archiwum jest usuwany tylko wtedy, gdy wszystkie pliki w tym archiwum są zainfekowane. Jeśli zawiera również niezainfekowane pliki, nie jest usuwany. Jeśli zainfekowany plik archiwum zostanie wykryty w trybie Leczenie dokładne, od razu usuwane jest całe archiwum, nawet jeśli zawiera również niezainfekowane pliki. 66

67 Rozszerzenia Rozszerzenie jest częścią nazwy pliku oddzieloną kropką. Określa ono typ i zawartość pliku. Ta sekcja ustawień parametrów technologii ThreatSense umożliwia określanie typów plików, które mają być skanowane. Domyślnie skanowane są wszystkie pliki niezależnie od rozszerzenia. Do listy plików wyłączonych ze skanowania można dodać dowolne rozszerzenie. Po usunięciu zaznaczenia pola wyboru Skanuj wszystkie pliki na liście widoczne są wszystkie skanowane aktualnie rozszerzenia plików. Przy użyciu przycisków Dodaj i Usuń można włączyć lub wyłączyć skanowanie określonych rozszerzeń. Aby włączyć skanowanie plików bez rozszerzenia, należy zaznaczyć pole wyboru Skanuj pliki bez rozszerzeń. Wykluczenie plików ze skanowania jest czasami konieczne, jeśli skanowanie pewnych typów plików uniemożliwia prawidłowe działanie programu, który z nich korzysta. Na przykład podczas używania serwerów programu Microsoft Exchange może być wskazane wyłączenie rozszerzeń EDB, EML i TMP Limity W sekcji Limity można określić maksymalny rozmiar obiektów i poziomy zagnieżdżonych archiwów, które mają być skanowane: Maksymalny rozmiar obiektu określa maksymalny rozmiar obiektów do skanowania. Dany moduł antywirusowy będzie skanować tylko obiekty o rozmiarze mniejszym niż określony. Nie zaleca się zmieniania wartości domyślnej, ponieważ zazwyczaj nie ma ku temu powodu. Do modyfikowania tej opcji powinni przystępować tylko zaawansowani użytkownicy, mający określone powody do wykluczenia większych obiektów ze skanowania. Maksymalny czas skanowania dla obiektu (w sek.) określa maksymalny czas przyznany na skanowanie obiektu. Jeśli wprowadzono tu wartość zdefiniowaną przez użytkownika, moduł antywirusowy zatrzyma skanowanie obiektu po upływie danego czasu, niezależnie od tego, czy skanowanie zostało zakończone. Poziom zagnieżdżania archiwów określa maksymalną głębokość skanowania archiwów. Nie zaleca się zmieniania wartości domyślnej (równej 10); w normalnych warunkach nie powinno być powodów do jej modyfikacji. Jeśli skanowanie zostanie przedwcześnie zakończone z powodu liczby zagnieżdżonych archiwów, archiwum pozostanie niesprawdzone. Maksymalny rozmiar pliku w archiwum opcja ta pozwala określić maksymalny rozmiar plików znajdujących się w archiwach (po rozpakowaniu tych plików), które mają być skanowane. Jeśli spowoduje to przedwczesne zakończenie skanowania, archiwum pozostanie niesprawdzone. 67

68 Inne Skanuj alternatywne strumienie danych (ADS) alternatywne strumienie danych (ADS) używane w systemie plików NTFS to skojarzenia plików i folderów, których nie można sprawdzić za pomocą standardowych technik skanowania. Wiele wirusów stara się uniknąć wykrycia, udając alternatywne strumienie danych. Uruchom skanowanie w tle z niskim priorytetem każde skanowanie wymaga użycia pewnej ilości zasobów systemowych. W przypadku używania programów, które wymagają dużej ilości zasobów systemowych, skanowanie można uruchomić z niskim priorytetem w tle, oszczędzając zasoby dla innych aplikacji. Zapisuj w dzienniku wszystkie obiekty wybranie tej opcji powoduje, że w pliku dziennika są zapisywane informacje o wszystkich skanowanych plikach, nawet tych niezainfekowanych. Włącz inteligentną optymalizacj ę wybranie tej opcji powoduje, że przeskanowane już pliki nie są ponownie skanowane (o ile nie zostały zmodyfikowane). Pliki są niezwłocznie skanowane ponownie po każdej aktualizacji bazy sygnatur wirusów. Zachowaj znacznik czasowy ostatniego dostępu wybranie tej opcji pozwala zachować oryginalny znacznik czasowy dostępu do plików zamiast jego aktualizacji (do użytku z systemami wykonywania kopii zapasowych danych). Przewij aj dziennik skanowania opcja ta umożliwia włączenie lub wyłączenie przewijania dziennika. Po jej zaznaczeniu informacje wyświetlane w oknie są przewijane w górę. Wyświetl powiadomienie o zakończeniu skanowania w osobnym oknie powoduje otwarcie osobnego okna z informacjami o wynikach skanowania Wykryto infekcj ę System może zostać zainfekowany z różnych źródeł, takich jak strony internetowe, udostępnione foldery, poczta lub wymienne nośniki komputerowe (USB, dyski zewnętrzne, płyty CD i DVD, dyskietki itd.). Jeśli komputer wykazuje symptomy zainfekowania szkodliwym oprogramowaniem, na przykład działa wolniej lub często przestaje odpowiadać, zalecane jest wykonanie następujących czynności: Uruchom program ESET Mail Security i kliknij opcję Skanowanie komputera. Kliknij opcję Skanowanie inteligentne (więcej informacji można znaleźć w sekcji Skanowanie inteligentne 61 ) Po zakończeniu skanowania przejrzyj dziennik, aby sprawdzić liczbę przeskanowanych, zainfekowanych i wyleczonych plików. Aby przeskanować tylko określoną część dysku, kliknij opcję Skanowanie niestandardowe i wybierz obiekty, które mają zostać przeskanowane w poszukiwaniu wirusów. Ogólnym przykładem sposobu działania programu ESET Mail Security w przypadku wykrycia infekcji może być sytuacja, w której infekcję wykrywa działający w czasie rzeczywistym monitor systemu plików z ustawionym domyślnym poziomem leczenia. Następuje wtedy próba wyleczenia lub usunięcia pliku. Jeżeli nie określono wstępnie czynności do wykonania przez moduł ochrony w czasie rzeczywistym, pojawi się okno alertu z monitem o wybranie opcji. Zazwyczaj dostępne są opcje Wylecz, Usuń i Pozostaw. Nie zaleca się wybierania opcji Pozostaw, ponieważ powoduje to pozostawienie zainfekowanych plików bez zmian. Jedyny wyjątek stanowi sytuacja, w której użytkownik ma pewność, że dany plik jest nieszkodliwy i został wykryty błędnie. Leczenie i usuwanie leczenie należy stosować w przypadku zainfekowanego pliku, do którego wirus dołączył szkodliwy kod. Należy najpierw podjąć próbę wyleczenia zainfekowanego pliku w celu przywrócenia go do stanu pierwotnego. Jeśli plik zawiera wyłącznie szkodliwy kod, jest usuwany w całości. 68

69 Jeśli zainfekowany plik jest zablokowany lub używany przez proces systemowy, jest zazwyczaj usuwany po odblokowaniu (najczęściej po ponownym uruchomieniu systemu). Usuwanie plików w archiwach w domyślnym trybie leczenia całe archiwum jest usuwane tylko wtedy, gdy zawiera wyłącznie zainfekowane pliki i nie ma w nim żadnych niezainfekowanych plików. Oznacza to, że archiwa nie są usuwane, jeśli zawierają również nieszkodliwe, niezainfekowane pliki. Należy jednak zachować ostrożność podczas skanowania w trybie leczenia dokładnego, ponieważ w trybie tym każde archiwum zawierające co najmniej jeden zainfekowany plik jest usuwane bez względu na stan pozostałych zawartych w nim plików. 4.2 Aktualizowanie programu Regularna aktualizacja programu ESET Mail Security to podstawowa czynność gwarantująca utrzymanie najwyższego poziomu ochrony. Moduł aktualizacji zapewnia aktualność programu na dwa sposoby przez aktualizowanie bazy sygnatur wirusów oraz aktualizowanie składników systemu. Klikając w menu głównym opcję Aktualizacj a, można sprawdzić bieżący stan aktualizacji, w tym datę i godzinę ostatniej pomyślnej aktualizacji oraz ustalić, czy w danej chwili należy przeprowadzić aktualizację. W głównym oknie jest również wyświetlana wersja bazy sygnatur wirusów. Ten liczbowy wskaźnik stanowi aktywne łącze do witryny internetowej firmy ESET zawierającej listę wszystkich sygnatur dodanych podczas określonej aktualizacji. Dostępna jest również opcja ręcznej aktualizacji Aktualizuj bazę sygnatur wirusów oraz podstawowe opcje konfiguracji aktualizacji, takie jak nazwa użytkownika i hasło do serwerów aktualizacji firmy ESET. Łącze Aktywacj a produktu umożliwia otwarcie formularza rejestracji, dzięki któremu można aktywować produkt firmy ESET oraz otrzymać wiadomość zawierającą dane uwierzytelniające (nazwę użytkownika oraz hasło). 69

70 UWAGA: Nazwa użytkownika i hasło są podawane przez firmę ESET po zakupie programu ESET Mail Security. 70

71 4.2.1 Ustawienia aktualizacj i Sekcja ustawień aktualizacji umożliwia określenie informacji o źródle aktualizacji, w tym serwerów aktualizacji i dotyczących ich danych uwierzytelniających. Domyślnie w menu rozwijanym Serwer aktualizacj i jest zaznaczona opcja Wybierz automatycznie. Zapewnia ona automatyczne pobieranie plików aktualizacji z serwera firmy ESET przy możliwie najmniejszym obciążeniu sieci. Ustawienia aktualizacji są dostępne w drzewie ustawień zaawansowanych (klawisz F5) w części Aktualizacj a. Lista dostępnych serwerów aktualizacji jest wyświetlana w menu rozwijanym Serwer aktualizacj i. Aby dodać nowy serwer aktualizacji, należy kliknąć przycisk Edytuj w sekcji Ustawienia aktualizacj i dla wybranego profilu, a następnie kliknąć przycisk Dodaj. Uwierzytelnianie na serwerach aktualizacji jest oparte na ustawieniach Nazwa użytkownika i Hasło wygenerowanych i dostarczonych użytkownikowi w momencie zakupu programu Profile aktualizacj i Dla różnych konfiguracji i zadań aktualizacji można tworzyć profile aktualizacji. Tworzenie profili aktualizacji jest szczególnie przydatne w przypadku użytkowników mobilnych, ponieważ mogą oni utworzyć alternatywny profil dla połączenia internetowego, którego właściwości regularnie się zmieniają. W menu rozwijanym Wybrany profil jest wyświetlany aktualnie wybrany profil (wartością domyślną jest opcja Mój profil). Aby utworzyć nowy profil, należy kliknąć przycisk Profile, a następnie przycisk Dodaj i wprowadzić własną nazwę w polu Nazwa profilu. Podczas tworzenia nowego profilu można skopiować ustawienia istniejącego profilu, wybierając go z menu rozwijanego Kopiuj ustawienia z profilu. W oknie konfiguracji profilu można określić serwer aktualizacji, wybierając go z listy dostępnych serwerów, lub 71

72 można dodać nowy serwer. Menu rozwijane Serwer aktualizacj i zawiera listę istniejących serwerów aktualizacji. Aby dodać nowy serwer aktualizacji, kliknij przycisk Edytuj w sekcji Ustawienia aktualizacj i dla wybranego profilu, a następnie kliknij przycisk Dodaj Zaawansowane ustawienia aktualizacj i Aby wyświetlić okno zaawansowanych ustawień aktualizacji, należy kliknąć przycisk Ustawienia... Do zaawansowanych ustawień aktualizacji należą między innymi Tryb aktualizacj i, Proxy HTTP, Sieć LAN i Kopia dystrybucyj na Tryb aktualizacj i Karta Tryb aktualizacj i zawiera opcje związane z aktualizacją komponentów programu. W sekcji Aktualizacj a komponentu programu są dostępne trzy opcje: Nigdy nie aktualizuj komponentów programu: nowe aktualizacje komponentów programu nie będą pobierane. Zawsze aktualizuj komponenty programu: nowe aktualizacje komponentów programu będą automatycznie pobierane i instalowane. Pytaj przed pobraniem komponentów programu: ustawienie domyślne. Po udostępnieniu aktualizacji komponentów programu będzie pojawiać się monit o potwierdzenie lub odrzucenie ich pobrania i zainstalowania. Po zaktualizowaniu komponentów programu konieczne może być ponowne uruchomienie komputera w celu zapewnienia pełnej funkcjonalności wszystkich modułów. W sekcji Uruchom ponownie po uaktualnieniu komponentu programu można wybrać jedną z następujących opcji: Nigdy nie uruchamiaj ponownie komputera W razie potrzeby zaoferuj ponowne uruchomienie komputera W razie potrzeby uruchom ponownie komputer bez powiadomienia Ustawieniem domyślnym jest W razie potrzeby zaoferuj ponowne uruchomienie komputera. Wybór najodpowiedniejszego ustawienia zależy od stacji roboczej, której będzie ono dotyczyć. Należy pamiętać o różnicach między stacjami roboczymi a serwerami. Na przykład automatyczne ponowne uruchomienie serwera po uaktualnieniu programu mogłoby spowodować poważne szkody. 72

73 Serwer proxy W programie ESET Mail Security konfiguracja serwera proxy jest dostępna w dwóch sekcjach drzewa ustawień zaawansowanych. Po pierwsze, ustawienia serwera proxy można skonfigurować, wybierając kolejno opcje Inne > Serwer proxy. Określenie serwera proxy na tym poziomie powoduje zdefiniowanie globalnych ustawień serwera proxy dla całego programu ESET Mail Security. Wprowadzone w tym miejscu parametry będą używane przez wszystkie moduły, które wymagają połączenia internetowego. Aby określić ustawienia serwera proxy na tym poziomie, należy zaznaczyć pole wyboru Użyj serwera proxy, a następnie wprowadzić adres serwera w polu Serwer proxy oraz jego numer portu w polu Port. Jeśli komunikacja z serwerem proxy wymaga uwierzytelniania, zaznacz pole wyboru Serwer proxy wymaga uwierzytelniania i wprowadź dane w polach Nazwa użytkownika oraz Hasło. Kliknięcie przycisku Wykryj serwer proxy spowoduje automatyczne wykrycie i wprowadzenie ustawień serwera proxy. Zostaną skopiowane parametry określone w programie Internet Explorer. UWAGA: Dane uwierzytelniające (nazwa użytkownika i hasło) nie są automatycznie kopiowane i trzeba je wprowadzić ręcznie. Ustawienia serwera proxy można też skonfigurować w sekcji zaawansowanych ustawień aktualizacji. Mają one wówczas zastosowanie do danego profilu aktualizacji. Dostęp do ustawień serwera proxy dla danego profilu aktualizacji można uzyskać, klikając kartę Proxy HTTP w oknie Zaawansowane ustawienia aktualizacj i. Można wybrać jedno z trzech ustawień: Użyj globalnych ustawień serwera proxy Nie używaj serwera proxy Połączenie przez serwer proxy (zdefiniowane przy użyciu jego właściwości) Wybór opcji Użyj globalnych ustawień serwera proxy spowoduje używanie ustawień serwera proxy wprowadzonych w gałęzi Inne > Serwer proxy drzewa ustawień zaawansowanych (zgodnie z opisem na początku niniejszego artykułu). 73

74 Aby w celu aktualizacji programu ESET Mail Security nie korzystać z serwera proxy, należy wybrać ustawienie Nie używaj serwera proxy. Opcję Połączenie przez serwer proxy należy wybrać, jeśli aktualizowanie programu ESET Mail Security ma się odbywać z użyciem serwera proxy, ale innego niż skonfigurowany w ustawieniach globalnych (Inne > Serwer proxy). W takiej sytuacji należy wprowadzić dodatkowe ustawienia: określić adres w polu Serwer proxy, port komunikacyjny w polu Port oraz dane w polach Nazwa użytkownika i Hasło, jeśli są wymagane w przypadku danego serwera proxy. Opcję tę należy również wybrać wtedy, gdy parametry serwera proxy nie zostały określone globalnie, ale program ESET Mail Security będzie się łączyć z serwerem proxy przy pobieraniu aktualizacji. Ustawieniem domyślnym serwera proxy jest Użyj globalnych ustawień serwera proxy. 74

75 Połączenie z siecią LAN Na potrzeby pobierania aktualizacji z serwera lokalnego z systemem operacyjnym opartym na systemie Windows NT domyślnie wymagane jest uwierzytelnianie każdego połączenia sieciowego. W większości przypadków konto użytkownika w systemie lokalnym nie ma wystarczających uprawnień dostępu do folderu kopii dystrybucyjnej (zawierającego kopie plików aktualizacji). Należy wówczas wprowadzić nazwę użytkownika i hasło w sekcji ustawień aktualizacji lub wskazać istniejące już konto, w przypadku którego program będzie mógł uzyskać dostęp do serwera aktualizacji (kopii dystrybucyjnej). Aby skonfigurować takie konto, należy kliknąć kartę Sieć LAN. W sekcji Połącz z serwerem aktualizacj i j ako są dostępne opcje Konto systemowe (domyślnie), Bieżący użytkownik oraz Określony użytkownik. Aby do uwierzytelniania używać konta systemowego, należy wybrać opcję Konto systemowe (domyślnie). Zazwyczaj uwierzytelnianie nie jest przeprowadzane, jeśli w głównej sekcji ustawień aktualizacji nie podano danych uwierzytelniających. Aby program przeprowadzał uwierzytelnianie za pomocą konta aktualnie zalogowanego użytkownika, należy wybrać opcję Bieżący użytkownik. Wadą tego rozwiązania jest to, że program nie jest w stanie połączyć się z serwerem aktualizacji, jeśli akurat nie jest zalogowany żaden użytkownik. Jeśli program ma używać do uwierzytelniania określonego konta użytkownika, należy wybrać opcję Określony użytkownik. Ostrzeżenie: Jeśli wybrano opcję Bieżący użytkownik lub Określony użytkownik, podczas zmiany tożsamości w programie na żądanego użytkownika może wystąpić błąd. Zalecane jest podanie danych uwierzytelniających w sieci LAN w głównej sekcji ustawień aktualizacji. Należy wprowadzić następujące informacje: nazwa_domeny\użytkownik (w przypadku grupy roboczej nazwa_grupy_roboczej\nazwa) oraz hasło. W przypadku aktualizacji z wersji HTTP serwera lokalnego uwierzytelnianie nie jest wymagane. 75

76 Tworzenie kopii aktualizacj i kopia dystrybucyj na Program ESET Mail Security pozwala na tworzenie kopii plików aktualizacji, których można używać do aktualizowania innych stacji roboczych znajdujących się w sieci. Aktualizowanie klienckich stacji roboczych przy użyciu kopii dystrybucyjnej pozwala na oszczędne korzystanie z przepustowości połączenia internetowego. Opcje konfiguracji lokalnego serwera kopii dystrybucyjnych są dostępne (po dodaniu prawidłowego klucza licencyjnego w menedżerze licencji, w ustawieniach zaawansowanych programu ESET Mail Security) w sekcji Zaawansowane ustawienia aktualizacj i. Aby uzyskać do niej dostęp, należy nacisnąć klawisz F5, kliknąć w drzewie ustawień zaawansowanych pozycję Aktualizacj a, a następnie kliknąć przycisk Ustawienia obok opcji Zaawansowane ustawienia aktualizacj i i wybrać kartę Kopia dystrybucyj na. Pierwszą czynnością w ramach konfigurowania kopii dystrybucyjnej jest wybranie opcji Utwórz kopię dystrybucyjną aktualizacji. Powoduje to uaktywnienie innych opcji konfiguracji kopii dystrybucyjnej, na przykład sposobu udostępniania plików aktualizacji oraz ścieżki dostępu do kopii dystrybucyjnej aktualizacji. Metody uaktywniania kopii dystrybucyjnej opisano szczegółowo w sekcji Aktualizowanie przy użyciu kopii dystrybucyjnej 77. Należy zwrócić uwagę na fakt, że występują dwie podstawowe metody dostępu do kopii dystrybucyjnej: folder z plikami aktualizacji może być udostępniany jako folder sieciowy lub jako serwer HTTP. Folder przeznaczony do przechowywania plików aktualizacji na potrzeby kopii dystrybucyjnej należy wskazać w sekcji Folder przechowywania kopii dystrybucyj nej aktualizacj i. Należy kliknąć przycisk Folder..., aby przejść do folderu na komputerze lokalnym lub do udostępnionego folderu sieciowego. Jeśli dany folder wymaga autoryzacji, należy wprowadzić dane uwierzytelniające w polach Nazwa użytkownika i Hasło. Nazwę użytkownika i hasło należy wprowadzić w formacie domena/użytkownik lub grupa_robocza/użytkownik. Należy pamiętać o podaniu odpowiednich haseł. Podczas konfigurowania kopii dystrybucyjnej użytkownik może też określić wersje językowe, dla których mają być pobierane kopie plików aktualizacji. Ustawienia wersji językowej są dostępne w sekcji Pliki Dostępne wersj e. UWAGA: Baza danych modułu antyspamowego nie może być aktualizowana przy użyciu kopii dystrybucyjnej. Aby uzyskać więcej informacji na temat poprawnego aktualizowania bazy danych modułu antyspamowego, kliknij tutaj

77 Aktualizowanie przy użyciu kopii dystrybucyj nej Występują dwie podstawowe metody dostępu do kopii dystrybucyjnej: folder z plikami aktualizacji może być udostępniany jako folder sieciowy lub jako serwer HTTP. Uzyskiwanie dostępu do kopii dystrybucyj nej przy użyciu wewnętrznego serwera HTTP Jest to ustawienie domyślne, wybrane we wstępnie zdefiniowanej konfiguracji programu. Aby zezwolić na dostęp do kopii dystrybucyjnej przy użyciu serwera HTTP, należy przejść do sekcji Zaawansowane ustawienia aktualizacj i (karta Kopia dystrybucyj na) i wybrać opcję Utwórz kopię dystrybucyj ną aktualizacj i. W sekcji Ustawienia zaawansowane na karcie Kopia dystrybucyj na można określić Port serwera, za pośrednictwem którego serwer HTTP będzie przeprowadzać nasłuch, oraz typ uwierzytelniania stosowanego na serwerze HTTP (opcja Uwierzytelnianie). Domyślnie ustawiony jest port serwera numer W ramach opcji Uwierzytelnianie można określić metodę uwierzytelniania dostępu do plików aktualizacji. Dostępne są następujące opcje: BRAK, Podstawowe i NTLM. Wybranie ustawienia Podstawowe spowoduje stosowanie kodowania base64 i podstawowej metody uwierzytelniania, opartej na nazwie użytkownika i haśle. Opcja NTLM umożliwia uwierzytelnianie przy użyciu bezpiecznego kodowania. Na potrzeby uwierzytelniania używane jest konto użytkownika utworzone na stacji roboczej udostępniającej pliki aktualizacji. Ustawienie domyślne BRAK zapewnia dostęp do plików aktualizacji bez konieczności uwierzytelniania. Ostrzeżenie: Aby dostęp do plików aktualizacji był możliwy za pośrednictwem serwera HTTP, folder kopii dystrybucyjnej musi znajdować się na tym samym komputerze co program ESET Mail Security, za pomocą którego folder ten został utworzony. Po zakończeniu konfigurowania kopii dystrybucyjnej należy z poziomu stacji roboczych dodać nowy serwer aktualizacji w formacie W tym celu: Otwórz program ESET Mail Security, przejdź do sekcji Ustawienia zaawansowane i kliknij gałąź Aktualizacj a. Kliknij opcję Edytuj po prawej stronie menu rozwijanego Serwer aktualizacj i i dodaj nowy serwer w następującym formacie: Wybierz nowo dodany serwer z listy serwerów aktualizacji. Uzyskiwanie dostępu do kopii dystrybucyj nej za pośrednictwem udziałów systemowych Najpierw na urządzeniu lokalnym lub sieciowym należy utworzyć udostępniony folder. Podczas tworzenia folderu przeznaczonego do przechowywania kopii dystrybucyjnych konieczne jest zapewnienie dostępu z uprawnieniami do zapisu dla użytkownika, który będzie zapisywać pliki w folderze, oraz dostępu z uprawnieniami do odczytu dla wszystkich użytkowników, którzy będą aktualizować program ESET Smart Security przy użyciu tej metody. Następnie należy skonfigurować dostęp do kopii dystrybucyjnej w sekcji Zaawansowane ustawienia aktualizacj i (karta Kopia dystrybucyj na), wyłączając opcję Udostępnij pliki aktualizacj i za pośrednictwem wewnętrznego serwera HTTP. Ta opcja jest domyślnie włączona w pakiecie instalacyjnym programu. Jeśli udostępniony folder znajduje się na innym komputerze w sieci, należy koniecznie określić metodę uwierzytelniania wymaganą w celu uzyskania do niego dostępu. Aby wprowadzić dane uwierzytelniające, należy wyświetlić w programie ESET Mail Security drzewo ustawień zaawansowanych (klawisz F5) i kliknąć gałąź Aktualizacj a. Należy kliknąć przycisk Ustawienia..., a następnie kliknąć kartę Sieć LAN. Jest to to samo ustawienie, które należy skonfigurować na potrzeby aktualizacji zgodnie z opisem w rozdziale Połączenie z siecią LAN 75. Po skonfigurowaniu kopii dystrybucyjnej na stacjach roboczych należy podać lokalizację serwera aktualizacji w formacie \\ŚCIEŻKA_UNC\ŚCIEŻKA. W tym celu: Otwórz ustawienia zaawansowane programu ESET Mail Security i kliknij opcję Aktualizacj a. Kliknij przycisk Edytuj znajdujący się obok opcji Serwer aktualizacji i dodaj nowy serwer, używając następującego 77

78 formatu \\ŚCIEŻKA_UNC\ŚCIEŻKA. Wybierz nowo dodany serwer z listy serwerów aktualizacji. UWAGA: Aby zapewnić prawidłowe działanie, ścieżkę do folderu kopii dystrybucyjnej należy podać w formacie UNC. Pobieranie aktualizacji z dysków zmapowanych może nie działać Rozwiązywanie problemów z aktualizacj ą przy użyciu kopii dystrybucyj nej W większości przypadków problemy występujące podczas aktualizacji przy użyciu serwera kopii dystrybucyjnych są powodowane przez jedną z następujących przyczyn: nieprawidłowe skonfigurowanie opcji folderu kopii dystrybucyjnej, nieprawidłowe dane uwierzytelniania w folderze kopii dystrybucyjnej, nieprawidłowa konfiguracja na lokalnych stacjach roboczych próbujących pobrać pliki aktualizacji z kopii dystrybucyjnej. Przyczyny te mogą występować razem. Poniżej omówiono najczęstsze problemy dotyczące aktualizacji przy użyciu kopii dystrybucyjnej: Program ESET Mail Security zgłasza wystąpienie błędu podczas łączenia się z serwerem kopii dystrybucyj nych ten problem jest prawdopodobnie spowodowany nieprawidłowym skonfigurowaniem serwera aktualizacji (ścieżki sieciowej do folderu kopii dystrybucyjnych), z którego lokalne stacje robocze pobierają aktualizacje. Aby sprawdzić folder, należy kliknąć w systemie Windows przycisk Start, kliknąć polecenie Uruchom, wpisać nazwę folderu i kliknąć przycisk OK. Wyświetlona powinna zostać zawartość folderu. Program ESET Mail Security wymaga nazwy użytkownika i hasła ten problem jest prawdopodobnie spowodowany podaniem w sekcji aktualizacji nieprawidłowych danych uwierzytelniających (nazwy użytkownika i hasła). Nazwa użytkownika i hasło umożliwiają uzyskanie dostępu do serwera aktualizacji, który zostanie użyty do zaktualizowania programu. Należy się upewnić, że dane uwierzytelniające są prawidłowe i zostały wprowadzone we właściwym formacie, na przykład domena/użytkownik lub grupa_robocza/użytkownik plus odpowiednie hasło. Jeśli serwer kopii dystrybucyjnej jest dostępny dla wszystkich, należy mieć świadomość, że nie oznacza to, iż każdy użytkownik otrzyma dostęp. Wszyscy nie oznacza dowolnego nieautoryzowanego użytkownika. Oznacza to jedynie, że folder jest dostępny dla wszystkich użytkowników w ramach domeny. Dlatego nawet w takim przypadku należy wprowadzić w sekcji ustawień aktualizacji nazwę użytkownika domeny i hasło. Program ESET Mail Security zgłasza wystąpienie błędu podczas łączenia się z serwerem kopii dystrybucyj nych komunikacja za pośrednictwem portu określonego dla serwera HTTP udostępniającego kopię dystrybucyjną jest zablokowana Tworzenie zadań aktualizacj i Aktualizacje można uruchamiać ręcznie, klikając opcję Aktualizuj bazę sygnatur wirusów w oknie głównym, które jest wyświetlane po kliknięciu polecenia Aktualizacja w menu głównym. Inną możliwością jest wykonywanie aktualizacji jako zaplanowanych zadań. Aby skonfigurować zaplanowanie zadanie, kliknij kolejno opcje Narzędzia > Harmonogram. Domyślnie w programie ESET Mail Security są aktywne następujące zadania: Regularne aktualizacj e automatyczne Automatyczna aktualizacj a po nawiązaniu połączenia modemowego Automatyczna aktualizacj a po zalogowaniu użytkownika Każde z zadań aktualizacji można zmodyfikować zgodnie z potrzebami użytkownika. Oprócz domyślnych zadań aktualizacji można tworzyć nowe zadania z konfiguracją zdefiniowaną przez użytkownika. Więcej szczegółowych informacji na temat tworzenia i konfigurowania zadań aktualizacji można znaleźć w sekcji Harmonogram

79 4.3 Harmonogram Harmonogram jest dostępny, gdy w programie ESET Mail Security zostanie włączony tryb zaawansowany. Opcja Harmonogram znajduje się w menu głównym programu ESET Mail Security w kategorii Narzędzia. Okno Harmonogram zawiera listę wszystkich zaplanowanych zadań oraz ich właściwości konfiguracyjne, takie jak wstępnie zdefiniowany dzień, godzina i używany profil skanowania. Domyślnie w oknie Harmonogram są wyświetlane następujące zaplanowane zadania: Regularne aktualizacj e automatyczne Automatyczna aktualizacj a po nawiązaniu połączenia modemowego Automatyczna aktualizacj a po zalogowaniu użytkownika Automatyczne sprawdzanie plików przy uruchamianiu (po zalogowaniu użytkownika) Automatyczne sprawdzanie plików przy uruchamianiu (po pomyślnej aktualizacj i bazy sygnatur wirusów) Aby zmodyfikować konfigurację istniejącego zaplanowanego zadania (zarówno domyślnego, jak i zdefiniowanego przez użytkownika), należy kliknąć prawym przyciskiem myszy zadanie i wybrać opcję Edytuj lub wybrać zadanie, które ma zostać zmodyfikowane, i kliknąć przycisk Edytuj Cel planowania zadań Harmonogram służy do zarządzania zaplanowanymi zadaniami i uruchamiania ich ze wstępnie zdefiniowaną konfiguracją i właściwościami. Konfiguracja i właściwości zawierają informacje, na przykład datę i godzinę, jak również określone profile używane podczas wykonywania zadania. 79

80 4.3.2 Tworzenie nowych zadań Aby utworzyć nowe zadanie w Harmonogramie, kliknij przycisk Dodaj lub kliknij prawym przyciskiem myszy i z menu kontekstowego wybierz opcję Dodaj. Dostępnych jest pięć typów zaplanowanych zadań: Uruchom aplikacj ę zewnętrzną Sprawdzanie plików wykonywanych przy uruchamianiu systemu Tworzenie zapisu bieżącego stanu komputera Skanowanie komputera na żądanie Aktualizacj a Ponieważ jednym z najczęściej używanych zadań planowanych jest Aktualizacj a, zostanie przedstawiony sposób dodawania nowego zadania aktualizacji. Z menu rozwijanego Zaplanowane zadanie wybierz opcję Aktualizacj a. Kliknij przycisk Dalej i wprowadź nazwę zadania w polu Nazwa zadania. Wybierz częstotliwość zadania. Dostępne są następujące opcje: Jednorazowo, Wielokrotnie, Codziennie, Cotygodniowo i Po wystąpieniu zdarzenia. Na podstawie wybranej częstotliwości wyświetlane są monity o różne parametry aktualizacji. Następnie zdefiniuj czynność podejmowaną w przypadku, gdy nie można wykonać lub zakończyć zadania w zaplanowanym czasie. Dostępne są następujące trzy opcje: Czekaj do następnego zaplanowanego terminu Uruchom zadanie j ak naj szybciej Uruchom zadanie natychmiast, j eśli od ostatniego wykonania upłynęło (interwał można określić za pomocą pola przewijania przedziału czasu zadania). W kolejnym kroku zostanie wyświetlone okno z podsumowaniem informacji dotyczących bieżącego zaplanowanego zadania. Opcja Uruchom zadanie z określonymi parametrami powinna być automatycznie włączona. Kliknij przycisk Zakończ. Zostanie wyświetlone okno dialogowe umożliwiające wybranie profilów używanych z zaplanowanym zadaniem. W tym miejscu można określić profil główny i alternatywny, który będzie używany w przypadku braku możliwości wykonania zadania przy użyciu profilu głównego. Potwierdź zmiany, klikając przycisk OK w oknie Profile aktualizacj i. Nowe zaplanowane zadanie zostanie dodane do listy aktualnie zaplanowanych zadań. 80

81 4.4 Kwarantanna Głównym zadaniem kwarantanny jest bezpieczne przechowywanie zainfekowanych plików. Pliki należy poddawać kwarantannie w przypadku, gdy nie można ich wyleczyć, gdy ich usunięcie nie jest bezpieczne lub zalecane albo gdy są one nieprawidłowo wykrywane przez program ESET Mail Security. Kwarantanną można objąć dowolny plik. Takie działanie jest zalecane, jeśli plik zachowuje się w podejrzany sposób, ale nie jest wykrywany przez skaner antywirusowy. Pliki poddane kwarantannie można przesyłać do analizy w laboratorium firmy ESET. Pliki przechowywane w folderze kwarantanny mogą być wyświetlane w tabeli zawierającej datę i godzinę poddania kwarantannie, ścieżkę do pierwotnej lokalizacji zarażonego pliku, rozmiar pliku w bajtach, powód (np. dodane przez użytkownika) oraz liczbę zagrożeń (np. jeśli plik jest archiwum zawierającym wiele zainfekowanych plików) Poddawanie plików kwarantannie Program ESET Mail Security automatycznie poddaje kwarantannie usunięte pliki (jeśli nie anulowano tej opcji w oknie alertu). W razie potrzeby można ręcznie poddać kwarantannie dowolny podejrzany plik, klikając przycisk Kwarantanna W takim przypadku dany plik nie jest usuwany z pierwotnej lokalizacji. W tym celu można również skorzystać z menu kontekstowego, klikając prawym przyciskiem myszy w oknie Kwarantanna i wybierając opcję Dodaj Przywracanie plików z kwarantanny Pliki poddane kwarantannie można przywracać do ich pierwotnej lokalizacji. Służy do tego funkcja Przywróć, która jest dostępna w oknie Kwarantanna w menu kontekstowym po kliknięciu danego pliku prawym przyciskiem myszy. Menu kontekstowe zawiera także opcję Przywróć do umożliwiającą przywrócenie pliku do lokalizacji innej niż ta, z której został usunięty. UWAGA: jeśli w programie nastąpi pomyłkowe przeniesienie nieszkodliwego pliku do kwarantanny, należy po jego przywróceniu wyłączyć plik ze skanowania i wysłać go do działu obsługi klienta firmy ESET. 81

82 4.4.3 Przesyłanie pliku z kwarantanny Jeśli poddano kwarantannie podejrzany plik, który nie został wykryty przez program, lub jeśli plik został błędnie oceniony jako zainfekowany (np. w drodze analizy heurystycznej kodu) i następnie poddany kwarantannie, należy przesłać plik do laboratorium firmy ESET. Aby przesłać plik z kwarantanny, należy kliknąć go prawym przyciskiem myszy i z menu kontekstowego wybrać polecenie Prześlij do analizy. 82

83 4.5 Pliki dziennika W dziennikach są przechowywane informacje o ważnych zdarzeniach, takich jak wykryte infekcje, dzienniki skanera rezydentnego i skanera na żądanie czy informacje o systemie. Dzienniki ochrony przed spamem oraz szarej listy (aby przejść do tych i innych dzienników, należy wybrać opcje Narzędzia > Pliki dziennika) zawierają szczegółowe informacje na temat wiadomości, które zostały zeskanowane, oraz wykonanych później czynności związanych z tymi wiadomościami. Dzienniki mogą być bardzo przydatne w przypadku szukania niedostarczonej wiadomości , sprawdzania, dlaczego wiadomość została oznaczona jako spam itp. 83

84 Ochrona przed spamem W tym miejscu są rejestrowane wszystkie wiadomości, które według programu ESET Mail Security są lub mogą być spamem. Opis kolumn: Czas czas utworzeniu wpisu w dzienniku ochrony przed spamem. Nadawca adres nadawcy. Odbiorca adres odbiorcy. Temat temat wiadomości. Wynik przypisany do wiadomości wynik spamu (od 0 do 100). Powód wskazuje przyczynę uznania wiadomości za spam. Wyświetlony wskaźnik ma największe znaczenie. Aby zobaczyć inne wskaźniki, kliknij dwukrotnie wpis. Zostanie wyświetlone okno Powód, w którym będą widoczne pozostałe wskaźniki w porządku malejącym według znaczenia. Adres URL j est znany z rozsyłania spamu Format HTML (czcionki, kolory itd.) Adresy URL dostępne w wiadomościach często ułatwiają klasyfikowanie ich jako spamu. Formatowanie elementów części wiadomości utworzonej formacie HTML może zawierać znaki charakterystyczne dla spamu (rodzaj i kolor czcionki itd.) Sztuczki spamowe: zaciemnianie kodu Słowa charakterystyczne dla spamu często są maskowane za pomocą innych znaków. Typowym przykładem jest słowo Viagra często zapisywane jako V1agra w celu pominięcia ochrony przed spamem. Spam wykorzystuj ący obrazy w kodzie Inną metodą unikania ochrony przed spamem jest wysyłanie HTML wiadomości spamu w postaci obrazów. Takie obrazy najczęściej zawierają interaktywne łącza do stron internetowych. Formatowanie adresu URL domeny Adres URL zawiera domenę hosta usługi. hosta usługi Spamowe słowo kluczowe Wiadomość zawiera słowa charakterystyczne dla spamu. Niespój ność nagłówków wiadomości e- Informacje w nagłówku są zmieniane tak, aby wskazywały nadawcę mail innego niż oryginalny. Wirus Wiadomość zawiera podejrzany załącznik. Phishing Wiadomość zawiera tekst charakterystyczny dla wiadomości używanych do ataków typu phishing. Replika Wiadomość zawiera tekst charakterystyczny dla kategorii spamu, za pośrednictwem którego oferowane są podrabiane towary. Ogólny wskaźnik spamu Wiadomość zawiera słowa/znaki charakterystyczne dla spamu, na przykład Dear friend (Drogi przyjacielu), hello winner (Witaj, zwycięzco),!!! itp. 84

85 Wskaźnik pseudo-spamu Ten wskaźnik ma funkcję odmienną od pozostałych wymienionych wskaźników. Analizuje on elementy typowe dla standardowych wiadomości niebędących spamem. Obniża on ogólny wynik spamu. Nieokreślony wskaźnik spamu Wiadomość zawiera inne elementy spamu, takie jak kodowanie base64. Niestandardowe frazy spamowe Inne wyrażenia typowe dla spamu. Adres URL znaj duj e się na czarnej liście Adres URL zawarty w wiadomości znajduje się na czarnej liście. Adres IP %s znaj duj e się na liście RBL Adres IP... znajduje się na liście RBL. Adres URL %s znaj duj e się na liście Adres URL... znajduje się na liście DNSBL. DNSBL Adres URL %s znaj duj e się na liście RBL Adres URL... znajduje się na liście RBL lub serwer nie posiada uprawnień lub serwer nie posiada uprawnień do wymaganych do wysyłania wiadomości . Adresy będące częścią wysyłania poczty trasy wiadomości są sprawdzane na liście RBL. Ostatni adres jest też testowany pod kątem uprawnień do łączenia się z publicznymi serwerami poczty. Jeśli nie można wykryć ważnych uprawnień do łączenia się, adres znajduje się na liście LBL. Wiadomości oznaczone jako spam z powodu wskaźnika LBL zawierają w polu Powód następujący tekst: serwer nie posiada uprawnień do wysyłania poczty. Czynność czynność wykonywana w odniesieniu do wiadomości. Możliwe czynności: Zachowano Poddano kwarantannie Wyleczono i poddano kwarantannie Odrzucono Usunięto Nie wykonano żadnego działania w odniesieniu do wiadomości. Wiadomość została przeniesiona do kwarantanny. Wirus został usunięty z wiadomości, a wiadomość poddano kwarantannie. Wiadomość została odrzucona. Do nadawcy wysłano odpowiedź odmowną serwera SMTP 20. Wiadomość została usunięta w trybie cichym 20. Odebrano czas odebrania wiadomości przez serwer. UWAGA: Jeśli wiadomości są odbierane za pośrednictwem serwera poczty , godziny w polach Czas i Odebrano są niemal identyczne. Szara lista W tym dzienniku rejestrowane są wszystkie wiadomości ocenione za pomocą szarej listy. 85

86 Opis kolumn: Czas czas utworzeniu wpisu w dzienniku ochrony przed spamem. Domena HELO nazwa domeny, za pomocą której serwer nadawczy identyfikuje się podczas komunikacji z serwerem odbiorczym. Adres IP adres IP nadawcy. Nadawca adres nadawcy. Odbiorca adres odbiorcy. Czynność może zawierać informacje o następujących stanach: Odrzucono Odrzucono (nie zweryfikowano) Zweryfikowano Wiadomość przychodząca została odrzucona za pomocą podstawowej zasady szarej listy (pierwsza próba dostarczenia). Wiadomość przychodząca została ponownie dostarczona przez serwer nadawczy, ale limit czasu odrzucenia połączenia jeszcze nie upłynął (Limit czasu dla początkowego odrzucania połączeń). Wiadomość przychodząca została kilka razy dostarczona ponownie przez serwer nadawczy. Limit czasu dla początkowego odrzucania połączeń upłynął, a wiadomość została pomyślnie zweryfikowana i dostarczona. Zobacz też Agent transportu 39. Czas do zakończenia czas, po którym upłynie Limit czasu dla początkowego odrzucania połączeń. Wykryte zagrożenia Dziennik zagrożeń udostępnia szczegółowe informacje na temat infekcji wykrytych przez moduły programu ESET Mail Security. Podaje on między innymi: godzinę wykrycia, rodzaj skanera, rodzaj obiektu, nazwę obiektu, nazwę infekcji, lokalizację, wykonaną czynność oraz nazwę użytkownika zalogowanego w czasie wykrycia infekcji. Aby skopiować lub usunąć wiersze dziennika (bądź usunąć cały dziennik), należy skorzystać z menu kontekstowego (wystarczy kliknąć prawym przyciskiem myszy wybrany element). Zdarzenia Dziennik zdarzeń zawiera informacje na temat zdarzeń i błędów, które wystąpiły w programie. Często pomagają one znaleźć rozwiązanie problemów napotkanych podczas pracy z programem. Skanowanie komputera na żądanie Dziennik skanera zawiera informacje na temat wyników ręcznych i zaplanowanych operacji skanowania. Każdy wiersz odpowiada jednej operacji skanowania. Podawane są następujące informacje: data i godzina skanowania, łączna liczba przeskanowanych, zainfekowanych i zdrowych plików oraz bieżący stan skanowania. Dwukrotne kliknięcie wybranego wpisu dziennika w obszarze Skanowanie komputera na żądanie powoduje wyświetlenie szczegółowych informacji na jego temat w osobnym oknie. Zaznaczone wpisy (z dowolnego dziennika) można skopiować za pomocą menu kontekstowego (dostępnego po kliknięciu prawym przyciskiem myszy). 86

87 4.5.1 Filtrowanie dziennika Filtrowanie dziennika to użyteczna funkcja, która ułatwia wyszukiwanie rekordów w plikach dziennika, zwłaszcza gdy liczba rekordów jest na tyle duża, że trudno jest znaleźć potrzebne informacje szczegółowe. Jako kryteria można wpisać ciąg znaków do odfiltrowania (pole Co), wskazać kolumny do przeszukiwania (Szukaj w kolumnach), wybrać Typy rekordów i zaznaczyć Okres w celu ograniczenia liczby rekordów. Po skonfigurowaniu określonych opcji filtrowania w oknie Pliki dziennika widoczne będą tylko rekordy spełniające kryteria, co zapewnia łatwy i szybki dostęp do poszukiwanych informacji. Aby otworzyć okno Filtrowanie dziennika, należy kliknąć przycisk Filtr... w obszarze Narzędzia > Pliki dziennika lub użyć skrótu klawiszowego Ctrl+Shift+F. UWAGA: W celu wyszukania określonego rekordu można zamiast filtrowania dziennika lub w połączeniu z nim skorzystać z funkcji Znajdź w dzienniku 88. Po skonfigurowaniu określonych opcji filtrowania w oknie Pliki dziennika będą widoczne tylko rekordy spełniające kryteria filtra. Pozwoli to na odfiltrowanie rekordów/ograniczenie ich liczby i ułatwi znalezienie poszukiwanych informacji. Im bardziej szczegółowe ustawienia filtra, tym ściślejsze wyniki. Co: Należy tu wpisać ciąg znaków (wyraz lub część wyrazu). Zostaną wyświetlone tylko rekordy zawierające dany ciąg. Dla lepszej czytelności pozostałe rekordy będą niewidoczne. Szukaj w kolumnach: Należy wybrać kolumny, które mają być brane pod uwagę podczas filtrowania. Na potrzeby filtrowania można zaznaczyć jedną lub więcej kolumn. Domyślnie zaznaczone są wszystkie kolumny: Godzina Moduł Zdarzenie Użytkownik Typy rekordów: Umożliwia wybór typu rekordów do wyświetlenia. Można wskazać jeden określony typ rekordu, wiele typów naraz lub wszystkie widoczne typy rekordów (domyślnie): Diagnostyka Informacj a Ostrzeżenie Błąd Krytyczne Okres: Ta opcja służy do filtrowania rekordów według okresu. Można wybrać jedno z następujących ustawień: Cały dziennik (domyślnie) filtrowanie według okresu jest wyłączone, widoczny jest cały dziennik Ostatni dzień Ostatni tydzień Ostatni miesiąc Odstęp czasu można określić dokładny okres (daty i godziny), aby wyświetlać tylko rekordy zarejestrowane w tym czasie. Oprócz powyższych ustawień filtrowania dostępne są następujące opcje: Tylko całe wyrazy wyświetlanie tylko rekordów, które odpowiadają z dokładnością do całych wyrazów ciągowi wprowadzonemu w polu tekstowym Co. Uwzględniaj wielkość liter wyświetlanie tylko rekordów, które odpowiadają z dokładnością do wielkości liter ciągowi wprowadzonemu w polu tekstowym Co. Włącz inteligentne filtrowanie po włączeniu tej opcji program ESET Mail Security przeprowadza filtrowanie z 87

88 użyciem własnych metod. Po skonfigurowaniu opcji filtrowania należy kliknąć przycisk OK, aby zastosować filtr. W oknie Pliki dziennika będą widoczne tylko rekordy odpowiadające wybranym kryteriom Znaj dowanie w dzienniku Uzupełnieniem opcji filtrowania dziennika 87 jest funkcja wyszukiwania w plikach dziennika, z której można też korzystać niezależnie od filtrowania. Jest ona przydatna w razie potrzeby znalezienia określonych rekordów w dziennikach. Analogicznie do filtrowania, wyszukiwanie ułatwia dotarcie do potrzebnych informacji, zwłaszcza gdy zarejestrowanych jest zbyt wiele rekordów. Przy korzystaniu z funkcji Znajdź w dzienniku można wpisać ciąg znaków do znalezienia (Co), wskazać kolumny do przeszukiwania (Szukaj w kolumnach), wybrać Typy rekordów i zaznaczyć Okres, aby przeszukiwać tylko rekordy zarejestrowane w danym przedziale czasu. Po skonfigurowaniu określonych opcji wyszukiwania w oknie Pliki dziennika będą widoczne tylko odpowiadające im rekordy. W celu wyszukiwania w dziennikach należy otworzyć okno Znaj dź w dzienniku, naciskając kombinację klawiszy Ctrl+F. UWAGA: Funkcji Znajdź w dzienniku można używać w połączeniu z filtrowaniem dziennika 87. Na początek można ograniczyć liczbę rekordów za pomocą filtrowania, a następnie rozpocząć wyszukiwanie w odfiltrowanych rekordach. Co: Należy tu wpisać ciąg znaków (wyraz lub część wyrazu). Zostaną znalezione tylko rekordy zawierające dany ciąg. Pozostałe rekordy zostaną pominięte. Szukaj w kolumnach: Należy wybrać kolumny, które mają być brane pod uwagę podczas wyszukiwania. Na potrzeby wyszukiwania można zaznaczyć jedną lub więcej kolumn. Domyślnie zaznaczone są wszystkie kolumny: Godzina Moduł Zdarzenie Użytkownik Typy rekordów: Umożliwia wybór typu rekordów, które mają być wyszukiwane. Można wskazać jeden określony typ rekordu, wiele typów naraz lub wszystkie typy rekordów (domyślnie): Diagnostyka Informacj a Ostrzeżenie Błąd Krytyczne Okres: Ta opcja umożliwia zawężenie wyszukiwania do rekordów z danego czasu. Można wybrać jedno z następujących ustawień: Cały dziennik (domyślnie) kryterium okresu nie jest uwzględniane i przeszukiwany jest cały dziennik Ostatni dzień Ostatni tydzień Ostatni miesiąc Odstęp czasu można określić dokładny okres (daty i godziny), aby przeprowadzić wyszukiwanie tylko w rekordach zarejestrowanych w tym czasie. Oprócz powyższych ustawień wyszukiwania dostępne są następujące opcje: Tylko całe wyrazy wyszukiwane są tylko rekordy, które odpowiadają z dokładnością do całych wyrazów ciągowi 88

89 wprowadzonemu w polu tekstowym Co. Uwzględniaj wielkość liter wyszukiwane są tylko rekordy, które odpowiadają z dokładnością do wielkości liter ciągowi wprowadzonemu w polu tekstowym Co. Szukaj w górę umożliwia wyszukiwanie od bieżącej pozycji w górę. Po skonfigurowaniu opcji wyszukiwania należy kliknąć przycisk Znaj dź, aby rozpocząć przeszukiwanie. Wyszukiwanie zostaje zatrzymane po znalezieniu pierwszego rekordu spełniającego kryteria. Ponowne kliknięcie przycisku Znaj dź powoduje kontynuację wyszukiwania. Pliki dziennika są przeszukiwane od góry do dołu, począwszy do bieżącej pozycji (od zaznaczonego rekordu) Administracj a dziennikami Dostęp do konfiguracji dzienników programu ESET Mail Security można uzyskać z poziomu okna głównego programu. Należy kliknąć kolejno opcje Ustawienia > Otwórz całe drzewo ustawień zaawansowanych > Narzędzia > Pliki dziennika. Można określić następujące opcje plików dziennika: Usuwaj rekordy automatycznie: wpisy dziennika starsze niż podana liczba dni będą automatycznie usuwane. Automatycznie optymalizuj pliki dziennika: umożliwia automatyczną defragmentację plików dziennika w przypadku przekroczenia określonego procentu nieużywanych rekordów. Minimalna szczegółowość zapisów w dzienniku: umożliwia określenie poziomu szczegółowości zapisów w dzienniku. Dostępne ustawienia: - Rekordy diagnostyczne powoduje rejestrowanie w dzienniku informacji potrzebnych do ulepszenia konfiguracji programu i wszystkich rekordów wymienionych powyżej. - Rekordy informacyj ne powoduje rejestrowanie wszystkich komunikatów informacyjnych, w tym powiadomień o pomyślnych aktualizacjach, oraz wszystkich rekordów wymienionych powyżej. - Ostrzeżenia powoduje rejestrowanie w dzienniku wszystkich błędów krytycznych oraz komunikatów ostrzegawczych. - Błędy powoduje rejestrowanie tylko komunikatów o błędach Błąd pobierania pliku oraz błędów krytycznych. - Ostrzeżenia krytyczne powoduje rejestrowanie tylko błędów krytycznych (błędy uruchamiania ochrony antywirusowej itp.). 89

90 4.6 ESET SysInspector Wprowadzenie do programu ESET SysInspector Program ESET SysInspector jest aplikacją, która dokładnie sprawdza stan komputera i wyświetla zgromadzone dane w kompleksowy sposób. Informacje o zainstalowanych sterownikach i aplikacjach, połączeniach sieciowych lub ważnych wpisach w rejestrze ułatwiają śledzenie podejrzanego zachowania systemu, które może wynikać z niezgodności programowej lub sprzętowej bądź zainfekowania szkodliwym oprogramowaniem. Dostęp do programu SysInspector można uzyskać na dwa sposoby: korzystając z wersji zintegrowanej w programie ESET Mail Security albo bezpłatnie pobierając wersję autonomiczną (SysInspector.exe) z witryny internetowej firmy ESET. Aby otworzyć program SysInspector, aktywuj tryb zaawansowany, naciskając klawisze CTRL + M i klikając opcję Narzędzia > SysInspector. Obie wersje mają identyczne funkcje i te same elementy sterujące programu. Jedyna różnica to sposób zarządzania danymi wyjściowymi. Zarówno wersja pobrana samodzielnie, jak i zintegrowana umożliwia wyeksportowanie migawek systemu do pliku xml i zapisanie ich na dysku. Jednak wersja zintegrowana umożliwia ponadto zapisanie migawek systemu bezpośrednio w pozycji Narzędzia > SysInspector (więcej informacji znajduje się w sekcji Program SysInspector jako element oprogramowania ESET Mail Security 98 ). Skanowanie komputera przy użyciu programu ESET SysInspector wymaga nieco czasu. Może to potrwać od 10 sekund do kilku minut w zależności od konfiguracji sprzętowej, systemu operacyjnego i liczby aplikacji zainstalowanych na komputerze Uruchamianie programu ESET SysInspector Aby uruchomić program ESET SysInspector, wystarczy uruchomić plik wykonywalny SysInspector.exe pobrany z witryny firmy ESET. Jeśli jest już zainstalowany jeden z produktów zabezpieczających firmy ESET, program ESET SysInspector można uruchomić bezpośrednio z menu Start (Programy > ESET > ESET Mail Security). Po włączeniu aplikacji zostanie wykonana inspekcja systemu, która w zależności od sprzętu i zbieranych danych może potrwać kilka minut Interfej s użytkownika i używanie aplikacj i W celu zachowania przejrzystości okno główne zostało podzielone na cztery podstawowe sekcje Formanty programu (u góry), okno nawigacji (z lewej strony), okno opisu (z prawej strony pośrodku) oraz okno szczegółów (z prawej strony u dołu). W sekcji Stan dziennika są wyświetlane podstawowe parametry dziennika (stosowany filtr, typ filtru, utworzenie dziennika w wyniku porównania itp.). 90

91 Sterowanie programem W tej części opisano wszystkie elementy sterujące dostępne w programie ESET SysInspector. Plik Klikając pozycję Plik, można zapisać bieżący stan systemu w celu zbadania go w późniejszym terminie albo otworzyć zapisany wcześniej dziennik. Jeśli użytkownik chce opublikować dziennik, zaleca się jego wygenerowanie przy użyciu opcji Przeznaczony do wysłania. W tej formie w dzienniku są pomijane informacje poufne (nazwa bieżącego użytkownika, nazwa komputera, nazwa domeny, uprawnienia bieżącego użytkownika, zmienne środowiskowe itp.). UWAGA: Zapisane wcześniej raporty programu ESET SysInspector można otwierać, przeciągając je i upuszczając w głównym oknie programu. Drzewo Umożliwia rozwijanie i zwijanie wszystkich węzłów oraz eksportowanie wybranych sekcji do skryptu usługi. Lista Zawiera funkcje ułatwiające nawigację w obrębie programu oraz wykonywanie innych czynności, na przykład wyszukiwanie informacji w trybie online. Pomoc Zawiera informacje dotyczące aplikacji i jej funkcji. Szczegóły To ustawienie wpływa na kształt informacji wyświetlanych w oknie głównym i ułatwia pracę z tymi danymi. W trybie Podstawowe użytkownik ma dostęp do informacji umożliwiających wyszukiwanie rozwiązań typowych problemów z systemem. W trybie Średnie program wyświetla rzadziej używane informacje. W trybie Pełne program ESET SysInspector wyświetla wszystkie informacje potrzebne do rozwiązywania konkretnych problemów. Filtrowanie elementów Filtrowanie elementów wykorzystuje się najczęściej do wyszukiwania podejrzanych plików lub wpisów rejestru w systemie. Korygując ustawienie suwaka, można filtrować elementy według ich poziomu ryzyka. Jeśli suwak znajdzie się w skrajnym lewym położeniu (poziom ryzyka 1), zostaną wyświetlone wszystkie elementy. Przesunięcie suwaka w prawo spowoduje, że program odfiltruje wszystkie elementy o poziomie ryzyka niższym niż bieżący, wyświetlając tylko te elementy, które są bardziej podejrzane, niż wynika to z wybranego poziomu. W przypadku ustawienia suwaka w skrajnym prawym położeniu są wyświetlane tylko elementy znane jako szkodliwe. Wszystkie elementy o poziomie ryzyka od 6 do 9 mogą stanowić zagrożenie bezpieczeństwa. Jeśli użytkownik nie korzysta z oprogramowania zabezpieczającego firmy ESET, zalecane jest przeskanowanie systemu przy użyciu narzędzia ESET Online Scanner w przypadku wykrycia takich elementów przez program ESET SysInspector. Usługa ESET Online Scanner jest bezpłatna. UWAGA: Poziom ryzyka elementu można łatwo ustalić, porównując jego kolor z kolorem na suwaku Poziom ryzyka. Szukaj Korzystając z funkcji wyszukiwania, można szybko znaleźć określony element, podając jego nazwę lub część nazwy. Wyniki wyszukiwania są wyświetlane w oknie opisu. Powrót Klikając strzałki Wstecz i Dalej, można powrócić do informacji poprzednio wyświetlanych w oknie opisu. Zamiast klikać przyciski Wstecz lub Dalej, można używać klawisza Backspace i klawisza spacji. Sekcj a stanu W tej sekcji jest wyświetlany bieżący węzeł w oknie nawigacji. Ważne: Elementy wyróżnione kolorem czerwonym są nieznane, dlatego oznaczono je jako potencjalnie niebezpieczne. Wystąpienie elementu zaznaczonego kolorem czerwonym nie oznacza automatycznie, że można usunąć plik. Przed usunięciem należy upewnić się, że pliki są faktycznie niebezpieczne lub niepotrzebne Nawigacj a w programie ESET SysInspector W programie ESET SysInspector różne rodzaje informacji są podzielone na kilka podstawowych sekcji, określanych mianem węzłów. Niekiedy dodatkowe szczegóły można znaleźć po rozwinięciu węzła w jego podwęzły. Aby otworzyć lub zwinąć węzeł, należy kliknąć dwukrotnie jego nazwę albo kliknąć symbol lub znajdujący się obok nazwy. Przeglądając strukturę drzewa węzłów i podwęzłów w oknie nawigacji, można wyświetlać okna opisu zawierające różne informacje szczegółowe dotyczące każdego węzła. Podczas przeglądania elementów w oknie opisu można uzyskać dostęp do dodatkowych informacji szczegółowych dotyczących poszczególnych elementów w oknie szczegółów. Poniżej znajdują się opisy głównych węzłów w oknie nawigacji, wraz z powiązanymi informacjami z okien opisu i szczegółów. Uruchomione procesy Ten węzeł zawiera informacje o aplikacjach i procesach uruchomionych w chwili generowania raportu. W oknie opisu można znaleźć dodatkowe informacje szczegółowe dotyczące poszczególnych procesów, takie jak biblioteki 91

92 dynamiczne używane przez dany proces i ich lokalizacja w systemie, nazwa dostawcy aplikacji, poziom ryzyka przypisany do danego pliku itd. W oknie szczegółów są wyświetlane dodatkowe informacje dotyczące elementów zaznaczonych w oknie opisu, takie jak rozmiar pliku czy jego skrót. UWAGA: W skład systemu operacyjnego wchodzi wiele ważnych komponentów jądra, które działają cały czas oraz zapewniają podstawowe i istotne funkcje dla innych aplikacji użytkownika. W niektórych przypadkach takie procesy są wyświetlane w narzędziu ESET SysInspector ze ścieżką rozpoczynającą się od ciągu \??\. Te symbole zapewniają optymalizację tych procesów przed ich uruchomieniem i są bezpieczne dla systemu. Połączenia sieciowe Okno opisu zawiera listę procesów i aplikacji komunikujących się w sieci przy użyciu protokołu wybranego w oknie nawigacji (TCP lub UDP) oraz adres zdalny, z którym jest połączona dana aplikacja. Można również sprawdzić adresy IP serwerów DNS. W oknie szczegółów są wyświetlane dodatkowe informacje dotyczące elementów zaznaczonych w oknie opisu, takie jak rozmiar pliku czy jego skrót. Ważne wpisy w rej estrze Zawiera listę wybranych wpisów rejestru, które są często związane z różnymi problemami z systemem, na przykład wpisy określające programy uruchamiane wraz z systemem, obiekty pomocnika przeglądarki (BHO) itd. W oknie opisu można sprawdzić, które pliki są powiązane z określonymi wpisami w rejestrze. W oknie szczegółów znajdują się dodatkowe informacje. Usługi Okno opisu zawiera listę plików zarejestrowanych jako usługi systemu Windows. W oknie szczegółów można sprawdzić ustawiony sposób uruchamiania danej usługi, jak również przejrzeć informacje szczegółowe dotyczące pliku. Sterowniki Lista sterowników zainstalowanych w systemie. Pliki krytyczne W oknie opisu jest wyświetlana zawartość plików krytycznych związanych z systemem operacyjnym Microsoft Windows. Informacj e o systemie Zawiera szczegółowe informacje o sprzęcie i oprogramowaniu, ustawionych zmiennych środowiskowych i prawach użytkownika. Szczegóły pliku Lista ważnych plików systemowych i plików w folderze Program Files. Dodatkowe informacje dotyczące poszczególnych plików można znaleźć w oknach opisu i szczegółów. Informacj e Informacje o programie ESET SysInspector Funkcj a Porównaj Funkcja Porównaj umożliwia porównywanie dwóch istniejących dzienników. W wyniku działania tej funkcji powstaje zestaw wpisów różniących się między dziennikami. Porównywanie może być przydatne, gdy użytkownik chce śledzić zmiany w systemie. Dzięki temu można na przykład wykryć działanie złośliwego kodu. Po uruchomieniu tej funkcji jest tworzony nowy dziennik wyświetlany w nowym oknie. Aby zapisać dziennik w pliku, należy kliknąć kolejno opcje Plik > Zapisz dziennik. Pliki dzienników można otwierać i przeglądać w dowolnym momencie. Aby otworzyć istniejący dziennik, należy kliknąć kolejno opcje Plik > Otwórz dziennik. W głównym oknie programu ESET SysInspector zawsze jest wyświetlany tylko jeden dziennik naraz. Porównanie dwóch dzienników umożliwia wyświetlenie bieżącego aktywnego dziennika oraz dziennika zapisanego w pliku. Aby porównać dzienniki, należy użyć polecenia Plik > Porównaj dziennik i wybrać opcję Wybierz plik. Wybrany dziennik zostanie porównany z dziennikiem aktywnym w głównym oknie programu. W dzienniku porównawczym zostaną wyświetlone tylko różnice między tymi dwoma dziennikami. UWAGA: W przypadku porównywania dwóch plików dziennika należy kliknąć kolejno opcje Plik > Zapisz dziennik i zapisać dane w pliku ZIP. Zapisane zostaną oba pliki. Otwarcie takiego pliku w późniejszym terminie powoduje automatyczne wyświetlenie porównania zawartych w nim dzienników. Obok wyświetlonych elementów w programie SysInspector widoczne są symbole określające różnice między porównywanymi dziennikami. Wpisy oznaczone symbolem można znaleźć jedynie w aktywnym dzienniku (nie występują w otwartym dzienniku porównawczym). Wpisy oznaczone symbolem znajdują się tylko w otwartym dzienniku i nie występują w aktywnym dzienniku. Opis wszystkich symboli wyświetlanych obok wpisów: Nowa wartość, nieobecna w poprzednim dzienniku. Sekcja struktury drzewa zawiera nowe wartości. Wartość usunięta, obecna jedynie w poprzednim dzienniku. 92

93 Sekcja struktury drzewa zawiera usunięte wartości. Zmodyfikowano wartość/plik. Sekcja struktury drzewa zawiera zmodyfikowane wartości/pliki. Poziom ryzyka zmniejszył się / był wyższy w poprzednim dzienniku. Poziom ryzyka się zwiększył/był niższy w poprzednim dzienniku. W sekcji wyjaśnień (wyświetlanej w lewym dolnym rogu) znajduje się opis wszystkich symboli wraz z nazwami porównywanych dzienników. Dziennik porównawczy można zapisać do pliku i otworzyć w późniejszym terminie. Przykład Wygenerowano dziennik zawierający pierwotne informacje o systemie i zapisano go w pliku o nazwie poprzedni. xml. Po wprowadzeniu zmian w systemie otwarto program SysInspector w celu wygenerowania nowego dziennika. Zapisano go w pliku biezacy.xml. Aby prześledzić zmiany, które zaszły między tymi dwoma dziennikami, należy kliknąć kolejno opcje Plik > Porównaj dzienniki. Program utworzy dziennik porównawczy zawierający różnice między dziennikami. Ten sam rezultat można osiągnąć za pomocą następującej opcji wiersza poleceń: SysInspector.exe biezacy.xml poprzedni.xml Parametry wiersza polecenia Program ESET SysInspector obsługuje generowanie raportów przy użyciu wiersza polecenia z zastosowaniem następujących parametrów: /gen powoduje wygenerowanie dziennika bezpośrednio z wiersza polecenia bez uruchamiania graficznego interfejsu użytkownika. /privacy powoduje wygenerowanie dziennika z wyłączeniem informacji poufnych. /zip powoduje zapisanie wynikowego dziennika bezpośrednio na dysku w pliku skompresowanym. /silent powoduje wyłączenie wyświetlania paska postępu obrazującego tworzenie dziennika. /help, /? powoduje wyświetlenie informacji dotyczących parametrów wiersza polecenia. Przykłady Aby załadować określony dziennik bezpośrednio do przeglądarki, należy użyć polecenia: SysInspector.exe "c:\clientlog. xml" Aby wygenerować dziennik w aktualnej lokalizacji, należy użyć polecenia: SysInspector.exe /gen Aby wygenerować dziennik w określonym folderze, należy użyć polecenia: SysInspector.exe /gen="c:\folder\" Aby wygenerować dziennik w określonym pliku lub określonej lokalizacji, należy użyć polecenia: SysInspector.exe / gen="c:\folder\nowydziennik.xml" Aby wygenerować dziennik z wyłączeniem informacji poufnych bezpośrednio w pliku skompresowanym, należy użyć polecenia: SysInspector.exe /gen="c:\nowydziennik.zip" /privacy /zip Aby porównać dwa dzienniki, należy użyć polecenia: SysInspector.exe "biezacy.xml" "pierwotny.xml" UWAGA: Jeśli nazwa pliku/folderu zawiera spację, nazwę należy ująć w cudzysłów Skrypt usługi Skrypt usługi to przydatne narzędzie przeznaczone dla użytkowników programu ESET SysInspector, które umożliwia łatwe usuwanie niepożądanych obiektów z systemu. Za pomocą skryptu usługi użytkownik może wyeksportować cały dziennik programu SysInspector lub jego część. Po wyeksportowaniu można oznaczyć niepożądane obiekty do usunięcia. Następnie można uruchomić zmodyfikowany dziennik, aby usunąć oznaczone obiekty. Skrypt usługi jest przeznaczony dla zaawansowanych użytkowników mających doświadczenie w diagnozowaniu problemów z systemem. Nieodpowiednie modyfikacje mogą prowadzić do uszkodzenia systemu operacyjnego. Przykład Jeśli użytkownik podejrzewa, że komputer został zainfekowany wirusem, który nie jest wykrywany przez posiadany program antywirusowy, należy wykonać instrukcje przedstawione poniżej: Uruchom program ESET SysInspector, aby wygenerować nową migawkę systemu. 93

94 Zaznacz pierwszy element w lewej sekcji (w strukturze drzewa), naciśnij klawisz Ctrl i zaznacz ostatni element, co spowoduje zaznaczenie wszystkich elementów. Kliknij prawym przyciskiem myszy wybrane obiekty i wybierz opcję Eksportuj wybrane sekcj e do skryptu usługi z menu kontekstowego. Zaznaczone obiekty zostaną wyeksportowane do nowego dziennika. Najważniejszy krok w całej procedurze: otwórz nowy dziennik i zmień atrybut - na + dla wszystkich obiektów, które chcesz usunąć. Należy się upewnić, że nie oznaczono żadnych ważnych plików lub obiektów systemu operacyjnego. Otwórz program ESET SysInspector, kliknij opcje Plik > Uruchom skrypt usługi i wprowadź ścieżkę do skryptu. Kliknij przycisk OK, aby uruchomić skrypt Tworzenie skryptu usługi Aby wygenerować skrypt, kliknij prawym przyciskiem myszy dowolny element drzewa menu w lewym panelu głównego okna programu SysInspector. Z menu kontekstowego wybierz opcję Eksportuj wszystkie sekcj e do skryptu usługi lub Eksportuj wybrane sekcj e do skryptu usługi. UWAGA: Nie jest możliwe wyeksportowanie skryptu usługi, gdy są porównywane dwa dzienniki Struktura skryptu usługi Pierwszy wiersz nagłówka skryptu zawiera informację o wersji aparatu (ev), wersji interfejsu GUI (gv) i wersji dziennika (lv). Na podstawie tych danych można śledzić zmiany w pliku xml używanym do wygenerowania skryptu, aby zapobiec ewentualnym niespójnościom podczas wykonywania. Tej części skryptu nie należy zmieniać. Pozostała część pliku jest podzielona na sekcje zawierające pozycje dostępne do edycji. Modyfikowanie pliku polega na wskazaniu elementów, które mają być przetwarzane przez skrypt. Oznaczenie wybranego elementu do przetwarzania wymaga zastąpienia poprzedzającego go znaku - znakiem +. Kolejne sekcje skryptu są oddzielane pustymi wierszami. Każda sekcja ma numer i tytuł. 01) Running processes (Uruchomione procesy) Ta sekcja zawiera listę wszystkich procesów uruchomionych w systemie. Każdy proces jest identyfikowany przez ścieżkę UNC, po której następuje odpowiadający mu skrót CRC16 ujęty w znaki gwiazdki (*). Przykład: 01) Running processes: - \SystemRoot\System32\smss.exe *4725* - C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...] W tym przykładzie proces module32.exe został wybrany (oznaczony znakiem + ), co spowoduje jego zakończenie po wykonaniu skryptu. 02) Loaded modules (Załadowane moduły) Ta sekcja zawiera listę aktualnie używanych modułów systemowych. Przykład: 02) Loaded modules: - c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...] W tym przykładzie moduł khbekhb.dll został oznaczony znakiem +. Po uruchomieniu skryptu procesy korzystające z tego modułu zostaną wykryte i zakończone. 03) TCP connections (Połączenia TCP) Ta sekcja zawiera informacje o istniejących połączeniach TCP. Przykład: 03) TCP connections: - Active connection: : > :55320, owner: ekrn.exe - Active connection: : > :50006, - Active connection: : > :30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System [...] Po uruchomieniu skryptu zlokalizowani zostaną właściciele gniazd odpowiadających zaznaczonym połączeniom TCP i gniazda te zostaną zamknięte, zwalniając tym samym zasoby systemowe. 04) UDP endpoints (Punkty końcowe UDP) Ta sekcja zawiera informacje o istniejących punktach końcowych UDP. 94

95 Przykład: 04) UDP endpoints: , port 123 (ntp) , port , port 4500 (ipsec-msft) , port 500 (isakmp) [...] Po uruchomieniu skryptu zlokalizowani zostaną właściciele gniazd odpowiadających zaznaczonym punktom końcowym UDP i gniazda te zostaną zamknięte. 05) DNS server entries (Wpisy serwera DNS) Ta sekcja zawiera informacje o aktualnej konfiguracji serwera DNS. Przykład: 05) DNS server entries: [...] Po uruchomieniu skryptu zaznaczone wpisy serwera DNS zostaną usunięte. 06) Important registry entries (Ważne wpisy w rej estrze) Ta sekcja zawiera informacje o ważnych wpisach w rejestrze. Przykład: 06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = [...] Po uruchomieniu skryptu zaznaczone wpisy zostaną usunięte, nadpisane bajtami zerowymi lub przywrócone do wartości domyślnych. Działanie podejmowane dla danego wpisu rejestru zależy od jego kategorii i odpowiadającej mu wartości klucza. 07) Services (Usługi) Ta sekcja zawiera listę usług zarejestrowanych w systemie. Przykład: 07) Services: - Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic - Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic - Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual [...] Po wykonaniu skryptu zaznaczone usługi wraz z usługami od nich zależnymi zostaną zatrzymane i odinstalowane. 08) Drivers (Sterowniki) Ta sekcja zawiera listę zainstalowanych sterowników. Przykład: 08) Drivers: - Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot - Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32 \drivers\adihdaud.sys, state: Running, startup: Manual [...] Po wykonaniu skryptu zaznaczone sterowniki zostaną wyrejestrowane z systemu i usunięte. 09) Critical files (Pliki krytyczne) Ta sekcja zawiera informacje o plikach krytycznych dla działania systemu operacyjnego. Przykład: 09) Critical files: * File: win.ini - [fonts] - [extensions] - [files] - MAPI=1 [...] * File: system.ini - [386Enh] - woafont=dosapp.fon - EGA80WOA.FON=EGA80WOA.FON [...] * File: hosts localhost - ::1 localhost [...] Zaznaczone elementy zostaną usunięte albo zostaną im przywrócone wartości domyślne. 95

96 Wykonywanie skryptów usługi Oznacz wszystkie żądane pozycje, a następnie zapisz i zamknij skrypt. Uruchom zmodyfikowany skrypt bezpośrednio z okna głównego programu SysInspector, wybierając z menu Plik opcję Uruchom skrypt usługi. Po otwarciu skryptu w programie zostanie wyświetlone okno z następującym komunikatem: Czy na pewno uruchomić skrypt usługi %Nazwa_skryptu%? Po potwierdzeniu może się pojawić kolejne ostrzeżenie z informacją, że uruchamiany skrypt usługi nie został podpisany. Kliknij przycisk Uruchom, aby uruchomić skrypt. Pomyślne wykonanie skryptu zostanie zasygnalizowane w oknie dialogowym. Jeśli skrypt udało się przetworzyć tylko częściowo, zostanie wyświetlone okno dialogowe z następującym komunikatem: Skrypt usługi został częściowo uruchomiony. Czy wyświetlić raport o błędach? Kliknij przycisk Tak, aby wyświetlić szczegółowy raport o błędach zawierający listę niewykonanych operacji. Jeśli skrypt nie został rozpoznany, zostanie wyświetlone okno dialogowe z następującym komunikatem: Wybrany skrypt usługi nie j est podpisany. Uruchamianie niepodpisanych i nieznanych skryptów może poważnie zaszkodzić danym na komputerze. Czy na pewno uruchomić skrypt i wykonać działania? Może to być spowodowane niespójnością skryptu (uszkodzony nagłówek, błędny tytuł sekcji, brak pustego wiersza pomiędzy sekcjami itd.). Można ponownie otworzyć plik skryptu i poprawić błędy w skrypcie albo utworzyć nowy skrypt usługi Skróty Podczas pracy z programem ESET SysInspector można korzystać z następujących skrótów klawiaturowych: Plik Ctrl+O otwarcie istniejącego dziennika Ctrl+S zapisanie utworzonych dzienników Generuj Ctrl+G standardowe sprawdzenie stanu systemu Ctrl+H sprawdzenie systemu, które może obejmować rejestrowanie informacji poufnych Filtrowanie elementów 1, O Czysty (wyświetlane są elementy o poziomie ryzyka 1 9) 2 Czysty (wyświetlane są elementy o poziomie ryzyka 2 9) 3 Czysty (wyświetlane są elementy o poziomie ryzyka 3 9) 4, U Nieznany (wyświetlane są elementy o poziomie ryzyka 4 9) 5 Nieznany (wyświetlane są elementy o poziomie ryzyka 5 9) 6 Nieznany (wyświetlane są elementy o poziomie ryzyka 6 9) 7, B Ryzykowny (wyświetlane są elementy o poziomie ryzyka 7 9) 8 Ryzykowny (wyświetlane są elementy o poziomie ryzyka 8 9) 9 Ryzykowny (wyświetlane są elementy o poziomie ryzyka 9) obniżenie poziomu ryzyka + podwyższenie poziomu ryzyka Ctrl+9 tryb filtrowania, poziom jednakowy lub wyższy Ctrl+0 tryb filtrowania, tylko jednakowy poziom Widok Ctrl+5 widok wg dostawcy, wszyscy dostawcy Ctrl+6 widok wg dostawcy, tylko Microsoft Ctrl+7 widok wg dostawcy, wszyscy pozostali dostawcy Ctrl+3 wyświetlenie szczegółów w trybie Pełne Ctrl+2 wyświetlenie szczegółów w trybie Średnie Ctrl+1 tryb Podstawowy BackSpace przejście o krok wstecz Spacja przejście o krok w przód Ctrl+W rozwinięcie drzewa Ctrl+Q zwinięcie drzewa Inne formanty 96

97 Ctrl+T przejście do pierwotnej lokalizacji elementu po wybraniu go spośród wyników wyszukiwania Ctrl+P wyświetlenie podstawowych informacji o elemencie Ctrl+A wyświetlenie pełnych informacji o elemencie Ctrl+C skopiowanie drzewa bieżącego elementu Ctrl+X skopiowanie elementów Ctrl+B wyszukanie informacji o wybranych plikach w Internecie Ctrl+L otwarcie folderu zawierającego wybrany plik Ctrl+R otwarcie odpowiedniego wpisu w edytorze rejestru Ctrl+Z skopiowanie ścieżki do pliku (jeśli element jest powiązany z plikiem) Ctrl+F przełączenie do pola wyszukiwania Ctrl+D zamknięcie wyników wyszukiwania Ctrl+E uruchomienie skryptu usługi Porównywanie Ctrl+Alt+O otwarcie dziennika oryginalnego/porównawczego Ctrl+Alt+R anulowanie porównania Ctrl+Alt+1 wyświetlenie wszystkich wpisów Ctrl+Alt+2 wyświetlenie tylko dodanych wpisów, w dzienniku zostaną wyświetlone wpisy występujące w bieżącym dzienniku Ctrl+Alt+3 wyświetlenie tylko usuniętych wpisów, w dzienniku zostaną wyświetlone wpisy występujące w poprzednim dzienniku Ctrl+Alt+4 wyświetlenie tylko zastąpionych wpisów (z uwzględnieniem plików) Ctrl+Alt+5 wyświetlenie tylko różnic między dziennikami Ctrl+Alt+C wyświetlenie porównania Ctrl+Alt+N wyświetlenie bieżącego dziennika Ctrl+Alt+P otwarcie poprzedniego dziennika Inne F1 wyświetlenie pomocy Alt+F4 zamknięcie programu Alt+Shift+F4 zamknięcie programu bez wcześniejszego monitu Ctrl+I statystyki dziennika Wymagania systemowe Aby zapewnić płynne działanie programu ESET SysInspector, komputer powinien spełniać następujące wymagania dotyczące sprzętu i oprogramowania: System Windows 2000, XP, 2003 Procesor 400 MHz 32-bitowy (x86) / 64-bitowy (x64) 128MB pamięci systemowej RAM 10 MB wolnego miejsca Ekran Super VGA (800 x 600) System Windows 7, Vista, 2008 Procesor 1 GHz 32-bitowy (x86) / 64-bitowy (x64) 512 MB pamięci systemowej RAM 10 MB wolnego miejsca Ekran Super VGA (800 x 600) Często zadawane pytania Czy do uruchomienia programu ESET SysInspector wymagane są uprawnienia administratora? Do uruchomienia programu ESET SysInspector nie są wymagane uprawnienia administratora, jednak dostęp do niektórych informacji gromadzonych przez ten program można uzyskać tylko z konta administratora. Uruchomienie tego programu przez użytkownika z uprawnieniami standardowymi lub ograniczonymi spowoduje zgromadzenie mniejszej ilości informacji na temat środowiska operacyjnego. Czy program ESET SysInspector tworzy plik dziennika? W programie ESET SysInspector można utworzyć plik dziennika rejestrujący konfigurację komputera. Aby zapisać ten plik, z menu głównego należy wybrać kolejno opcje Plik > Zapisz dziennik. Dzienniki są zapisywane w formacie XML. Domyślnie pliki są zapisywane w katalogu %USERPROFILE%\Moj e dokumenty\, a przyjęta konwencja tworzenia nazw plików to SysInspector-%COMPUTERNAME%-RRMMDD-GGMM.XML. W razie potrzeby przed zapisaniem można zmienić lokalizację i nazwę pliku dziennika. W j aki sposób można wyświetlić plik dziennika utworzony w programie ESET SysInspector? Aby wyświetlić plik dziennika utworzony przez program ESET SysInspector, należy uruchomić ten program i z menu głównego wybrać kolejno opcje Plik > Otwórz dziennik. Można również przeciągnąć i upuścić pliki dziennika na aplikację ESET SysInspector. Jeśli użytkownik często wyświetla pliki dziennika w programie ESET SysInspector, 97

98 warto utworzyć skrót do pliku SYSINSPECTOR.EXE na pulpicie. Następnie można przeciągać i upuszczać pliki dziennika na ten skrót w celu ich wyświetlenia. Ze względów bezpieczeństwa systemy Windows Vista i Windows 7 mogą nie zezwalać na operacje przeciągania i upuszczania między oknami z różnymi uprawnieniami zabezpieczeń. Czy j est dostępna specyfikacj a formatu pliku dziennika? Co z zestawem SDK? Ponieważ program jest nadal opracowywany, aktualnie nie są dostępne specyfikacje pliku dziennika ani zestaw SDK. Po wydaniu programu specyfikacje mogą zostać udostępnione, z uwzględnieniem opinii i potrzeb klientów. W j aki sposób program ESET SysInspector ocenia ryzyko związane z danym obiektem? W większości przypadków w programie ESET SysInspector poziomy ryzyka są przypisywane do obiektów (plików, procesów, kluczy rejestru itd.) przy użyciu zestawu reguł heurystycznych, które umożliwiają zbadanie właściwości i ocenę potencjału szkodliwego działania poszczególnych obiektów. Na podstawie analizy heurystycznej do obiektów są przypisywane poziomy ryzyka od 1 ((BRAK RYZYKA, KOLOR ZIELONY) do 9 (WYSOKIE RYZYKO, KOLOR CZERWONY). W lewym okienku nawigacyjnym sekcje są pokolorowane zgodnie z najwyższym poziomem ryzyka występującego w nich obiektu. Czy poziom ryzyka 6 (Nieznany - kolor czerwony) oznacza, że obiekt j est niebezpieczny? Oceny sugerowane w programie ESET SysInspector nie gwarantują, że dany obiekt jest szkodliwy; ostateczny werdykt powinien wydać specjalista zajmujący się bezpieczeństwem. Program ESET SysInspector został opracowany, aby umożliwić ekspertom ds. bezpieczeństwa uzyskanie szybkiego przeglądu sytuacji i informacji o tym, które obiekty w systemie wymagają dokładniejszego zbadania pod kątem nietypowego działania. Dlaczego program ESET SysInspector nawiązuj e połączenie z Internetem po uruchomieniu? Podobnie jak wiele innych aplikacji program ESET SysInspector jest podpisany przy użyciu certyfikatu z podpisem cyfrowym w celu zapewnienia, że został opublikowany przez firmę ESET i nie uległ modyfikacji. W celu zweryfikowania certyfikatu system operacyjny kontaktuje się z urzędem certyfikacji, co pozwala sprawdzić tożsamość wydawcy oprogramowania. Jest to normalne zachowanie w przypadku wszystkich cyfrowo podpisanych programów działających w systemie Microsoft Windows. Co to j est technologia Anti-Stealth? Technologia Anti-Stealth zapewnia skuteczne wykrywanie programów typu rootkit. Jeśli system zostanie zaatakowany przez złośliwy kod zachowujący się jak program typu rootkit, użytkownik będzie narażony na uszkodzenie lub kradzież danych. Bez specjalnego narzędzia jest prawie niemożliwe wykrycie takich programów. Dlaczego czasami niektóre pliki oznaczone j ako Podpisane przez MS maj ą j ednocześnie inny wpis Nazwa firmy? Podczas próby identyfikacji podpisu cyfrowego pliku wykonywalnego narzędzie SysInspector najpierw wyszukuje informacje o tym, czy podpis jest osadzony w pliku. W takim przypadku dane identyfikacyjne z pliku są używane podczas sprawdzania poprawności. Jeśli plik nie zawiera podpisu cyfrowego, program ESI rozpoczyna wyszukiwanie odpowiedniego pliku CAT (w katalogu zabezpieczeń %systemroot%\system32\catroot), który zawiera informacje na temat przetwarzanego pliku wykonywalnego. Jeśli zostanie znaleziony odpowiedni plik CAT, podczas weryfikowania pliku wykonywalnego zostanie zastosowany podpis cyfrowy z pliku CAT. Dlatego właśnie niektóre pliki są oznaczone jako Podpisane przez MS, ale zawierają inny wpis w pozycji Nazwa firmy. Przykład: W systemie Windows 2000 dostępna jest aplikacja HyperTerminal znajdująca się w folderze C:\Program Files\Windows NT. Główny plik wykonywalny aplikacji nie jest podpisany cyfrowo, jednak narzędzie SysInspector oznacza go jako podpisany przez firmę Microsoft. Jest to spowodowane obecnością odwołania w pliku C: \WINNT\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp4.cat wskazującego na plik C:\Program Files\Windows NT\hypertrm.exe (główny plik wykonywalny aplikacji HyperTerminal), a plik sp4.cat jest podpisany cyfrowo przez firmę Microsoft Program SysInspector j ako element oprogramowania ESET Mail Security Aby otworzyć sekcję SysInspector w oprogramowaniu ESET Mail Security, kliknij kolejno pozycje Narzędzia > SysInspector. System zarządzania w oknie programu SysInspector jest podobny do obsługi dzienników skanowania lub zaplanowanych zadań na komputerze. Wszystkie operacje dotyczące migawek systemu (tworzenie, wyświetlanie, porównywanie, usuwanie i eksportowanie) są dostępne po jednym lub dwóch kliknięciach. Okno programu SysInspector zawiera podstawowe informacje o utworzonych migawkach, takie jak godzina utworzenia, krótki komentarz, nazwa użytkownika, który utworzył migawkę, oraz stan migawki. Aby w odniesieniu do migawek użyć funkcji Porównaj, Utwórz lub Usuń, należy skorzystać z odpowiadających tym funkcjom przycisków umieszczonych pod listą migawek w oknie programu SysInspector. Te opcje są także dostępne w menu kontekstowym. Aby wyświetlić wybraną migawkę systemu, w menu kontekstowym należy kliknąć opcję Wyświetl. Aby wyeksportować wybrany zapis stanu bieżącego do pliku, należy kliknąć go prawym przyciskiem myszy i wybrać opcję Eksportuj. 98

99 Poniżej przedstawiono szczegółowy opis dostępnych opcji: Funkcj a Porównaj umożliwia porównanie dwóch istniejących dzienników. Ta opcja jest przydatna, gdy użytkownik chce prześledzić różnice między aktualnym a starszym dziennikiem. Aby skorzystać z tej opcji, należy wybrać dwie migawki, które mają zostać porównane. Dodaj umożliwia utworzenie nowego rekordu. Najpierw należy wprowadzić krótki komentarz dotyczący rekordu. Postęp tworzenia migawki (dotyczący aktualnie generowanej migawki) można sprawdzić w kolumnie Stan. Wszystkie zakończone migawki mają stan Utworzono. Usuń umożliwia usunięcie pozycji z listy. Eksportuj powoduje zapisanie wybranej pozycji w pliku XML (także w wersji skompresowanej). 4.7 ESET SysRescue ESET SysRescue to narzędzie, które umożliwia utworzenie dysku rozruchowego zawierającego oprogramowanie ESET Mail Security. Główną zaletą programu ESET SysRescue jest fakt, że oprogramowanie ESET Mail Security działa niezależnie od systemu operacyjnego komputera, mając jednocześnie bezpośredni dostęp do dysku i całego systemu plików. Umożliwia to usunięcie infekcji, których nie można usunąć w normalnych warunkach, na przykład podczas działania systemu operacyjnego itp Minimalne wymagania Program ESET SysRescue działa w środowisku Microsoft Windows Preinstallation Environment (Windows PE) w wersji 2.x, która jest oparta na systemie Windows Vista. Środowisko Windows PE jest elementem bezpłatnego zestawu zautomatyzowanej instalacji systemu Windows (Windows AIK), dlatego przed utworzeniem dysku CD programu ESET SysRescue należy zainstalować zestaw Windows AIK ( Z powodu obsługi 32bitowej wersji systemu Windows PE wymagane jest stosowanie 32-bitowego pakietu instalacyjnego ESET Mail Security podczas tworzenia dysku ESET SysRescue w systemach 64-bitowych. Program ESET SysRescue obsługuje system AIK w wersji 1.1 i późniejszych. Program ESET SysRescue jest dostępny w oprogramowaniu ESET Mail Security w wersji 4.0 i późniejszych. Obsługiwane systemy operacyj ne Windows 7 Windows Vista Windows Vista z dodatkiem Service Pack 1 Windows Vista z dodatkiem Service Pack 2 Windows Server 2008 Windows Server 2003 z dodatkiem Service Pack 1 z poprawką KB Windows Server 2003 z dodatkiem Service Pack 2 Windows XP z dodatkiem Service Pack 2 z poprawką KB Windows XP z dodatkiem Service Pack W j aki sposób utworzyć ratunkową płytę CD Aby uruchomić kreatora dysku programu ESET SysRescue, należy kliknąć kolejno polecenia Start > Programy > ESET > ESET Mail Security > ESET SysRescue. W pierwszej kolejności kreator sprawdza, czy zainstalowano zestaw Windows AIK oraz odpowiednie urządzenie do utworzenia nośnika rozruchowego. Jeśli zestaw Windows AIK nie został zainstalowany na komputerze (lub jest uszkodzony bądź zainstalowany nieprawidłowo), kreator umożliwi jego zainstalowanie lub wprowadzenie ścieżki do folderu z tym zestawem ( W następnym kroku 99 należy wybrać nośnik docelowy, na którym ma zostać umieszczony program ESET SysRescue Wybór nośnika docelowego Oprócz nośnika CD/DVD/USB można wybrać zapisanie zawartości dysku programu ESET SysRescue w pliku ISO. Następnie można nagrać obraz ISO na płycie CD/DVD lub użyć go w inny sposób (np. w środowisku wirtualnym VMware lub VirtualBox). W przypadku nagrania na nośniku USB program może nie uruchamiać się na niektórych komputerach. W niektórych wersjach systemu BIOS mogą wystąpić problemy z komunikacją między systemem BIOS a menedżerem rozruchu (np. w systemie Windows Vista) i rozruch zakończy się następującym komunikatem o błędzie: plik: \boot\bcd stan: 0xc000000e informacje: wystąpił błąd podczas próby odczytania danych konfiguracji rozruchu W przypadku napotkania takiego komunikatu zaleca się użycie płyty CD zamiast nośnika USB. 99

100 4.7.4 Ustawienia Przed rozpoczęciem tworzenia dysku programu ESET SysRescue, w ostatnim kroku kreatora dysku programu ESET SysRescue kreator instalacji wyświetla parametry kompilacji. Można je zmodyfikować, klikając przycisk Zmień. Dostępne opcje: Foldery 100 ESET Antivirus 100 Zaawansowane 100 Protokół internetowy 101 Urządzenie rozruchowe USB 101 (o ile zaznaczono docelowe urządzenie USB) Nagrywanie 101 (o ile zaznaczono docelowy dysk CD/DVD) Przycisk Utwórz jest nieaktywny, jeśli nie określono żadnego pakietu instalacyjnego MSI lub na komputerze nie jest zainstalowane żadne rozwiązanie firmy ESET z zakresu bezpieczeństwa. Aby wybrać pakiet instalacyjny, należy kliknąć przycisk Zmień i przejść na kartę ESET Antivirus. Dodatkowo, jeśli nie wpisano nazwy użytkownika i hasła ( Zmień > ESET Antivirus), przycisk Utwórz jest wyszarzony Foldery Folder tymczasowy to katalog roboczy służący do przechowywania plików wymaganych podczas kompilacji dysku ESET SysRescue. Folder pliku ISO to folder, w którym po zakończeniu kompilacji zapisywany jest wynikowy plik ISO. Lista znajdująca się na tej karcie zawiera wszystkie lokalne i mapowane dyski sieciowe (wraz z dostępnym na nich wolnym miejscem). Jeśli jakieś foldery znajdują się na dysku z niewystarczającym wolnym miejscem, zaleca się wybranie innego dysku zawierającego więcej dostępnego miejsca. W przeciwnym razie kompilacja może zakończyć się przedwcześnie z powodu braku wolnego miejsca. Aplikacj e zewnętrzne umożliwia wybranie dodatkowych programów, które zostaną uruchomione lub zainstalowane po uruchomieniu komputera z nośnika ESET SysRescue. Uwzględnij aplikacj e zewnętrzne umożliwia dodanie zewnętrznych programów do kompilacji dysku ESET SysRescue. Wybrany folder folder zawierający programy, które mają zostać dodane do dysku ESET SysRescue ESET Antivirus W celu utworzenia płyty CD programu ESET SysRescue można wybrać dwa źródła plików firmy ESET do użycia przez kompilator. Folder ESS/EAV pliki znajdujące się w folderze, w którym zainstalowano produkt firmy ESET na komputerze. Plik MSI pliki znajdujące się w instalatorze MSI. Następnie można wybrać opcję zaktualizowania lokalizacji plików (nup). Standardowo powinna być ustawiona opcja domyślna Folder ESS/EAV / plik MSI. W niektórych przypadkach można wybrać niestandardowy Folder aktualizacj i, na przykład w celu użycia starszej lub nowszej wersji bazy sygnatur wirusów. Można użyć jednego z następujących źródeł nazwy użytkownika i hasła: Zainstalowany program ESS/EAV nazwa użytkownika i hasło zostaną skopiowane z aktualnie zainstalowanego programu ESET Mail Security. Od użytkownika nazwę użytkownika i hasło należy wprowadzić w odpowiednich polach tekstowych. UWAGA: Oprogramowanie ESET Mail Security na dysku CD programu ESET SysRescue jest aktualizowane z Internetu lub z oprogramowania ESET Security zainstalowanego na komputerze, na którym uruchamiany jest dysk CD programu ESET SysRescue Ustawienia zaawansowane Karta Zaawansowane pozwala dostosować płytę CD programu ESET SysRescue do rozmiaru pamięci zainstalowanej w komputerze. Wybierz wartość 576 MB lub więcej w celu zapisania zawartości płyty CD w pamięci operacyjnej (RAM). W przypadku wybrania wartości mniej niż 576 MB podczas działania środowiska WinPE komputer będzie stale odczytywać zawartość ratunkowej płyty CD. W sekcji Sterowniki zewnętrzne można wstawić określone sterowniki sprzętowe (zwykle sterownik karty sieciowej). Choć środowisko WinPE jest oparte na systemie Windows Vista SP1, który obsługuje szeroką gamę sprzętu, niektóre urządzenia mogą nie zostać rozpoznane. Taka sytuacja wymaga ręcznego dodania sterownika. Sterownik można wprowadzić do kompilacji ESET SysRescue na dwa sposoby ręcznie (przycisk Dodaj ) lub automatycznie (przycisk Wyszukaj automatycznie). W przypadku ręcznego wprowadzania sterownika należy wybrać ścieżkę do odpowiedniego pliku INF (w tym folderze musi się również znajdować właściwy plik *.sys). W trybie automatycznym sterownik jest wyszukiwany automatycznie w systemie operacyjnym komputera. Zaleca się zastosowanie trybu automatycznego tylko wtedy, gdy program ESET SysRescue jest używany na komputerze z taką samą kartą sieciową, jak karta zainstalowana w komputerze, na którym utworzono dysk programu ESET 100

101 SysRescue. Podczas tworzenia dysku ESET SysRescue sterownik jest wprowadzany do kompilacji, dzięki czemu później nie trzeba go szukać Protokół internetowy W tej sekcji można określić podstawowe informacje na temat sieci i skonfigurować wstępnie zdefiniowane połączenia po uruchomieniu programu ESET SysRescue. Aby automatycznie uzyskać adres IP z serwera DHCP (Dynamic Host Configuration Protocol), należy zaznaczyć opcję Automatyczny prywatny adres IP. Dla tego połączenia sieciowego można także ręcznie określić adres IP (czyli nadać statyczny adres IP). Aby skonfigurować odpowiednie ustawienia protokołu IP, należy wybrać opcję Niestandardowe. W przypadku wybrania tej opcji należy określić dane w polu Adres IP, a w przypadku sieci LAN i szybkich połączeń internetowych także w polu Maska podsieci. W polach Preferowany serwer DNS i Alternatywny serwer DNS należy wpisać adresy podstawowego i pomocniczego serwera DNS Urządzenie rozruchowe USB Jeśli jako nośnik docelowy wybrano urządzenie USB, na karcie Urządzenie rozruchowe USB można wybrać jedno z dostępnych urządzeń (jeśli dostępnych jest wiele urządzeń USB). Należy wybrać odpowiednie urządzenie docelowe (opcja Urządzenie), na którym zostanie zainstalowany program ESET SysRescue. Ostrzeżenie: Podczas tworzenia dysku programu ESET SysRescue wybrane urządzenie USB zostanie sformatowane. Wszystkie dane zapisane na urządzeniu zostaną usunięte. W przypadku wybrania opcji Szybkie formatowanie podczas formatowania z partycji zostaną usunięte wszystkie pliki, ale dysk nie zostanie przeskanowany w poszukiwaniu uszkodzonych sektorów. Tę opcję można wybrać, jeśli urządzenie USB zostało wcześniej sformatowane i na pewno nie jest uszkodzone Nagrywanie Jeśli jako nośnik docelowy wybrana została płyta CD/DVD, na karcie Nagrywanie można określić dodatkowe parametry nagrywania. Usuń plik ISO zaznaczenie tej opcji powoduje usunięcie tymczasowego pliku ISO po utworzeniu płyty CD programu ESET SysRescue. Włączone usuwanie umożliwia wybranie szybkiego wymazywania i pełnego wymazywania. Urządzenie nagrywaj ące należy wybrać napęd używany do nagrywania. Ostrzeżenie: Jest to opcja domyślna. W przypadku używania płyty CD/DVD wielokrotnego zapisu wszystkie znajdujące się na niej dane zostaną usunięte. Sekcja Nośnik zawiera informacje o nośniku znajdującym się aktualnie w stacji dysków CD/DVD. Szybkość nagrywania należy wybrać odpowiednią szybkość z menu rozwijanego. Podczas wybierania szybkości nagrywania należy uwzględnić możliwości urządzenia nagrywającego oraz typ używanej płyty CD/DVD Praca z programem ESET SysRescue Aby ratunkowa płyta CD/DVD/dysk USB mógł działać skutecznie, należy uruchomić komputer z nośnika rozruchowego ESET SysRescue. Priorytet uruchamiania można zmodyfikować w systemie BIOS. Innym rozwiązaniem jest użycie menu startowego podczas uruchamiania komputera (zazwyczaj służy do tego jeden z klawiszy F9 F12, w zależności od wersji płyty głównej/systemu BIOS). Po uruchomieniu systemu z nośnika rozruchowego zostanie uruchomiony program ESET Mail Security. Ponieważ program ESET SysRescue jest używany jedynie w określonych sytuacjach, niektóre moduły ochrony oraz funkcje dostępne w standardowej wersji oprogramowania ESET Mail Security nie są potrzebne ich lista jest ograniczona do opcji Skanowanie komputera, Aktualizacj a oraz niektórych sekcji w obszarze Ustawienia. Możliwość aktualizacji bazy sygnatur wirusów jest najważniejszą funkcją programu ESET SysRescue i zalecane jest zaktualizowanie programu przed uruchomieniem skanowania komputera. 101

102 Korzystanie z programu ESET SysRescue Załóżmy, że komputery w sieci zostały zarażone wirusem modyfikującym pliki wykonywalne (exe). Program ESET Mail Security może wyleczyć wszystkie zarażone pliki oprócz pliku explorer.exe, którego nie można wyleczyć nawet w trybie awaryjnym. Jest to spowodowane faktem, że program explorer.exe, który jest jednym z podstawowych procesów systemu Windows, jest uruchamiany również w trybie awaryjnym. Program ESET Mail Security nie może wykonać żadnych operacji na tym pliku, dlatego pozostanie on zarażony. W takiej sytuacji można użyć programu ESET SysRescue, aby rozwiązać problem. Program ESET SysRescue nie wymaga żadnych składników systemu operacyjnego komputera, dzięki czemu może przetwarzać (leczyć, usuwać) wszystkie pliki na dysku. 4.8 Opcj e interfej su użytkownika Opcje konfiguracji interfejsu użytkownika w programie ESET Mail Security umożliwiają dostosowanie środowiska pracy do potrzeb użytkownika. Opcje konfiguracji są dostępne w obszarze Interfej s użytkownika w drzewie ustawień zaawansowanych programu ESET Mail Security. W sekcji Elementy interfej su użytkownika znajduje się opcja Tryb zaawansowany, która pozwala na przejście do trybu zaawansowanego. W trybie zaawansowanym są wyświetlane bardziej szczegółowe ustawienia i dodatkowe formanty programu ESET Mail Security. Opcję Graficzny interfej s użytkownika należy wyłączyć, jeśli elementy graficzne spowalniają wydajność komputera lub powodują inne problemy. Można go również wyłączyć, aby na przykład uniknąć konfliktów ze specjalnymi aplikacjami służącymi do odczytywania tekstu wyświetlanego na ekranie, z których korzystają osoby niedowidzące. Aby wyłączyć ekran powitalny programu ESET Mail Security, należy usunąć zaznaczenie opcji Pokaż ekran powitalny przy uruchamianiu. W górnej części głównego okna programu ESET Mail Security znajduje się menu standardowe, które można włączyć lub wyłączyć za pomocą opcji Użyj standardowego menu. Jeśli opcja Pokaż etykiety narzędzi jest włączona, po umieszczeniu kursora na wybranej opcji zostanie wyświetlony jej krótki opis. Włączenie opcji Zaznacz aktywny element menu spowoduje zaznaczenie dowolnego elementu, który znajduje się w obszarze działania kursora myszy. Zaznaczony element zostanie uruchomiony po kliknięciu przyciskiem myszy. Aby zwiększyć lub zmniejszyć szybkość animowanych efektów, należy wybrać opcję Użyj animowanych kontrolek i przesunąć suwak Szybkość w lewo lub w prawo. Jeśli do wyświetlania postępu różnych operacji mają być używane animowane ikony, należy wybrać opcję Użyj animowanych ikon j ako wskaźnika postępu. Aby po wystąpieniu ważnego zdarzenia program generował dźwięk, należy wybrać opcję Użyj sygnałów dźwiękowych. 102

103 Interfej s użytkownika udostępnia również opcję ochrony hasłem parametrów konfiguracji programu ESET Mail Security. Ta opcja znajduje się w podmenu Ochrona ustawień w menu Interfej s użytkownika. Do zapewnienia maksymalnego bezpieczeństwa systemu ważne jest prawidłowe skonfigurowanie programu. Nieautoryzowane modyfikacje mogą powodować utratę ważnych danych. Aby ustawić hasło ochrony parametrów konfiguracji, należy kliknąć przycisk Ustaw hasło Alerty i powiadomienia Sekcja Alerty i powiadomienia w obszarze Interfej s użytkownika umożliwia skonfigurowanie sposobu obsługi alertów o zagrożeniach i powiadomień systemowych w programie ESET Mail Security. Pierwszym elementem jest opcja Wyświetlaj alerty. Wyłączenie tej opcji spowoduje anulowanie wszystkich okien alertów jest to zalecane jedynie w specyficznych sytuacjach. W przypadku większości użytkowników zaleca się pozostawienie ustawienia domyślnego tej opcji (włączona). Aby wyskakujące okienka były automatycznie zamykane po upływie określonego czasu, należy zaznaczyć opcję Automatycznie zamykaj okna komunikatów po (sek). Jeśli użytkownik nie zamknie okna powiadomień ręcznie, zostanie ono zamknięte automatycznie po upływie określonego czasu. Powiadomienia na pulpicie i dymki mają charakter informacyjny i nie proponują ani nie wymagają działań ze strony użytkownika. Są one wyświetlane w obszarze powiadomień w prawym dolnym rogu ekranu. Aby włączyć wyświetlanie powiadomień na pulpicie, należy zaznaczyć opcję Wyświetlaj powiadomienia na pulpicie. Szczegółowe opcje, takie jak czas wyświetlania powiadomienia i przezroczystość okien, można zmodyfikować po kliknięciu przycisku Konfiguruj powiadomienia. Aby wyświetlić podgląd powiadomień, należy kliknąć przycisk Podgląd. Do konfigurowania czasu wyświetlania porad w dymkach służy opcja Wyświetlaj porady w dymkach na pasku zadań (sek.). 103

104 Kliknięcie pozycji Ustawienia zaawansowane powoduje przejście do dodatkowych opcji konfiguracji w obszarze Alerty i powiadomienia, które zawierają opcję Wyświetlaj tylko powiadomienia wymagaj ące interwencj i użytkownika. Ta opcja pozwala włączyć lub wyłączyć wyświetlanie alertów i powiadomień niewymagających interwencji użytkownika. Wybranie opcji Wyświetlaj tylko powiadomienia wymagaj ące interwencj i użytkownika (podczas uruchamiania aplikacj i w trybie pełnoekranowym) powoduje, że powiadomienia niewymagające podjęcia działania przez użytkownika nie są wyświetlane. Z menu rozwijanego Minimalna szczegółowość zdarzeń do wyświetlenia można wybrać początkowy poziom ważności alertów i powiadomień, które mają być wyświetlane. Ostatnia funkcja w tej sekcji umożliwia określenie miejsca docelowego powiadomień w środowisku z wieloma użytkownikami. Pole W systemach z wieloma użytkownikami wyświetlaj powiadomienia na ekranie następuj ącego użytkownika: umożliwia określenie użytkownika, który będzie otrzymywał ważne powiadomienia w programie ESET Mail Security. Zazwyczaj takimi osobami są administrator systemu lub administrator sieci. Ta opcja jest szczególnie przydatna w przypadku serwerów terminali, pod warunkiem, że wszystkie powiadomienia systemowe są wysyłane do administratora Wyłączanie interfej su GUI na serwerze terminali W tym rozdziale omówiono wyłączanie graficznego interfejsu użytkownika (GUI) w programie ESET Mail Security działającym na serwerze terminali systemu Windows dla sesji użytkownika. Graficzny interfejs użytkownika programu ESET Mail Security jest zwykle uruchamiany po zalogowaniu się zdalnego użytkownika na serwerze i po utworzeniu przez niego sesji terminalu. To działanie jest przeważnie niepożądane w przypadku serwerów terminali. Aby wyłączyć interfejs GUI dla sesji terminali, należy wykonać poniższe kroki: 1. Wprowadź polecenie regedit.exe 2. Przejdź do węzła HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 3. Kliknij prawym przyciskiem myszy wartość egui i wybierz opcję Modyfikuj 4. Dodaj parametr /terminal na końcu istniejącego wyrażenia. Poniżej przedstawiono przykład wartości elementu egui: "C:\Program Files\ESET\ESET Mail Security\egui.exe" /hide /waitservice /terminal Aby cofnąć tę zmianę i włączyć automatyczne uruchamianie interfejsu GUI programu ESET Mail Security, należy usunąć parametr /terminal z wartości rejestru. Aby przejść do wartości egui w rejestrze, należy powtórzyć kroki od 1 do

105 4.9 Wiersz polecenia Moduł antywirusowy programu ESET Mail Security można uruchomić z poziomu wiersza polecenia ręcznie (polecenie ecls ) lub za pomocą pliku wsadowego (BAT). Przy uruchamianiu skanera na żądanie z poziomu wiersza polecenia można używać następujących parametrów i przełączników: Opcj e ogólne: - help Pokaż pomoc i zakończ. - version Pokaż informacje o wersji i zakończ. - base-dir = FOLDER Załaduj moduły z FOLDERU. - quar-dir = FOLDER Poddaj FOLDER kwarantannie. - aind Pokaż wskaźnik aktywności. Obiekty docelowe: - files Skanuj pliki (parametr domyślny). - no-files Nie skanuj plików. - boots Skanuj sektory rozruchowe (parametr domyślny). - no-boots Nie skanuj sektorów rozruchowych. - arch Skanuj archiwa (parametr domyślny). - no-arch Nie skanuj archiwów. - max-archive-level = POZIOM Określa maksymalny POZIOM zagnieżdżenia archiwów. - scan-timeout = LIMIT Maksymalny LIMIT czasu skanowania archiwów w sekundach. Jeśli czas skanowania osiągnie ten limit, skanowanie archiwum zostaje zatrzymane. Skanowanie zostaje następnie wznowione od kolejnego pliku. - max-arch-size=rozmiar Skanuj tylko określoną jako ROZMIAR liczbę pierwszych bajtów archiwów (wartość domyślna 0 = bez limitu). - mail Skanuj pliki poczty . - no-mail Nie skanuj plików poczty . - sfx Skanuj archiwa samorozpakowujące. - no-sfx Nie skanuj archiwów samorozpakowujących. - rtp Skanuj pliki spakowane. - no-rtp Nie skanuj plików spakowanych. - exclude = FOLDER Wyłącz FOLDER ze skanowania. - subdir Skanuj podfoldery (parametr domyślny). - no-subdir Nie skanuj podfolderów. - max-subdir-level = POZIOM Określa maksymalny POZIOM zagnieżdżenia podfolderów (wartość domyślna 0 = bez limitu). - symlink Uwzględniaj łącza symboliczne (parametr domyślny). - no-symlink Pomijaj łącza symboliczne. - ext-remove = ROZSZERZENIA - ext-exclude = ROZSZERZENIA Wyłącz ze skanowania podane ROZSZERZENIA oddzielone dwukropkami. Metody: - adware Skanuj w poszukiwaniu adware/spyware/riskware. - no-adware Nie skanuj w poszukiwaniu adware/spyware/riskware. - unsafe Skanuj w poszukiwaniu potencjalnie niebezpiecznych aplikacji. - no-unsafe Nie skanuj w poszukiwaniu potencjalnie niebezpiecznych aplikacji. - unwanted Skanuj w poszukiwaniu potencjalnie niepożądanych aplikacji. - no-unwanted Nie skanuj w poszukiwaniu potencjalnie niepożądanych aplikacji. - pattern Używaj sygnatur. - no-pattern Nie używaj sygnatur. - heur Włącz heurystykę. - no-heur Wyłącz heurystykę. - adv-heur Włącz zaawansowaną heurystykę. - no-adv-heur Wyłącz zaawansowaną heurystykę. Leczenie: - action = CZYNNOŚĆ Wykonaj CZYNNOŚĆ na zainfekowanych obiektach. Dostępne czynności: none (brak), clean (wylecz), prompt (wyświetl monit). - quarantine Kopiuj zainfekowane pliki do kwarantanny (uzupełnienie parametru action ). - no-quarantine Nie kopiuj zainfekowanych plików do kwarantanny. Dzienniki: 105

106 - log-file=plik Zapisuj wyniki w PLIKU. - log-rewrite Zastąp plik wyników (domyślnie dołącz). - log-all Zapisuj również informacje o niezainfekowanych plikach. - no-log-all Nie zapisuj informacji o niezainfekowanych plikach (parametr domyślny). Możliwe kody zakończenia skanowania: 0 Nie znaleziono zagrożenia. 1 Wykryto zagrożenie, ale go nie usunięto. 10 Pozostały pewne zainfekowane pliki. 101 Wystąpił błąd archiwum. 102 Wystąpił błąd dostępu. 103 Wystąpił błąd wewnętrzny. UWAGA: Kody zakończenia o wartości wyższej niż 100 oznaczają, że plik nie został przeskanowany i dlatego może być zainfekowany Import i eksport ustawień Konfigurację programu ESET Mail Security można importować lub eksportować w obszarze Ustawienia po kliknięciu przycisku Import i eksport ustawień. Importowanie i eksportowanie ustawień odbywa się z użyciem plików XML. Funkcja eksportu i importu jest przydatna, gdy konieczne jest utworzenie kopii zapasowej bieżącej konfiguracji programu ESET Mail Security w celu jej użycia w późniejszym czasie. Funkcja eksportu ustawień jest również pomocna dla użytkowników, którzy chcą używać preferowanej konfiguracji programu ESET Mail Security na wielu komputerach ustawienia można łatwo przenieść, importując je z pliku XML ThreatSense.Net System monitorowania zagrożeń ThreatSense.Net pomaga zapewnić natychmiastowe i ciągłe informowanie firmy ESET o nowych próbach ataków. Dwukierunkowy system wczesnego ostrzegania ThreatSense.Net ma jeden cel poprawę oferowanej ochrony. Najlepszą gwarancją wykrycia nowych zagrożeń natychmiast po ich pojawieniu się jest połączenie jak największej liczby naszych klientów i obsadzenie ich w roli tropicieli zagrożeń. Istnieją dwie możliwości: 1. Można nie włączać systemu monitorowania zagrożeń ThreatSense.Net. Funkcjonalność oprogramowania nie ulegnie zmniejszeniu, a użytkownik nadal będzie otrzymywać najlepszą ochronę. 2. System ThreatSense.Net można skonfigurować w taki sposób, aby anonimowe informacje o nowych zagrożeniach i lokalizacjach nowego niebezpiecznego kodu były przesyłane w postaci pojedynczego pliku. Ten plik może być przesyłany do firmy ESET w celu szczegółowej analizy. Zbadanie zagrożeń pomoże firmie ESET ulepszać metody wykrywania zagrożeń. System monitorowania zagrożeń ThreatSense.Net zgromadzi informacje o komputerze użytkownika powiązane z nowo wykrytymi zagrożeniami. Te informacje mogą zawierać próbkę lub kopię pliku, w którym wystąpiło zagrożenie, ścieżkę do tego pliku, nazwę pliku, datę i godzinę, proces, za pośrednictwem którego zagrożenie pojawiło się na komputerze, oraz informacje o systemie operacyjnym komputera. Chociaż istnieje możliwość, że w wyniku tego pracownicy laboratorium firmy ESET mogą mieć dostęp do niektórych informacji dotyczących użytkownika lub jego komputera (np. do nazw użytkowników widocznych w ścieżce katalogu), nie będą one używane w ŻADNYM innym celu niż ulepszanie systemu monitorowania zagrożeń. Domyślna konfiguracja programu ESET Mail Security zawiera zdefiniowaną opcję pytania użytkownika przed przesłaniem podejrzanych plików do szczegółowej analizy w laboratorium zagrożeń firmy ESET. Pliki z określonymi rozszerzeniami, takimi jak DOC lub XLS, są zawsze wyłączone. Można również dodać inne rozszerzenia, jeśli istnieją pliki, które użytkownik lub jego firma życzy sobie wyłączyć z procesu przesyłania. 106

107 Do konfiguracji systemu ThreatSense.Net można przejść z poziomu drzewa ustawień zaawansowanych, wybierając kolejno opcje Narzędzia > ThreatSense.Net. Należy zaznaczyć opcję Włącz system monitorowania zagrożeń ThreatSense.Net, aby uaktywnić tę funkcję, a następnie należy kliknąć przycisk Ustawienia zaawansowane Podej rzane pliki Karta Podej rzane pliki umożliwia skonfigurowanie sposobu przesyłania zagrożeń do laboratorium firmy ESET w celu przeprowadzenia analizy. Po wykryciu podejrzanego pliku na komputerze można go przesłać do analizy w laboratorium firmy. Jeśli plik okaże się szkodliwą aplikacją, informacje potrzebne do jej wykrywania zostaną dodane do kolejnej aktualizacji bazy sygnatur wirusów. Ustawienia można skonfigurować w taki sposób, aby pliki były przesyłane automatycznie. Można też wybrać opcję Pytaj przed przesłaniem, aby uzyskiwać informacje o plikach wysyłanych do analizy i potwierdzać ich wysłanie. Jeśli żadne pliki nie mają być przesyłane, należy zaznaczyć opcję Nie przesyłaj do analizy. Zaznaczenie tej opcji nie wpływa na przesyłanie informacji statystycznych, których ustawienia są konfigurowane w innym miejscu (patrz sekcja Statystyki 108 ). 107

108 Kiedy przesyłać domyślnie jest zaznaczona opcja Natychmiast, aby podejrzane pliki były przesyłane do analizy w laboratorium firmy ESET. Jest to zalecane w przypadku korzystania ze stałego łącza internetowego, dzięki czemu podejrzane pliki mogą być dostarczane bez opóźnienia. Wybór opcji Podczas aktualizacj i spowoduje, że podejrzane pliki będą przesyłane do programu ThreatSense.Net podczas kolejnej aktualizacji. Wyłączenia umożliwia wyłączenie określonych plików i folderów z przesyłania. Warto na przykład wyłączyć pliki, które mogą zawierać poufne informacje, takie jak dokumenty lub arkusze kalkulacyjne. Najpopularniejsze typy plików należących do tej kategorii (np. DOC) są domyślnie wyłączone. Do listy wyłączonych plików można dodawać inne typy plików. Kontaktowy adres wraz z podejrzanymi plikami opcjonalnie może być wysyłany kontaktowy adres , który będzie używany do kontaktowania się z użytkownikiem w sytuacji, gdy przeprowadzenie analizy będzie wymagało dodatkowych informacji. Należy podkreślić, że specjaliści z firmy ESET kontaktują się z użytkownikiem tylko w szczególnych przypadkach Statystyki System monitorowania zagrożeń ThreatSense.Net gromadzi anonimowe informacje o komputerze użytkownika dotyczące nowo wykrytych zagrożeń. Mogą one obejmować nazwę infekcji, datę i godzinę jej wykrycia, numer wersji programu zabezpieczającego firmy ESET, wersję systemu operacyjnego oraz ustawienia regionalne. Zazwyczaj statystyka jest wysyłana do serwerów firmy ESET raz lub dwa razy dziennie. Poniżej przedstawiono przykład wysyłanego pakietu danych statystycznych: # # # # # # # # # utc_time= :21:28 country="slovakia" language="english" osver= NT engine=5417 components= moduleid=0x4e4f4d41 filesize=28368 filename=c:\documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8NS7\rdgFR1 Kiedy przesyłać użytkownik może określić termin wysyłania danych statystycznych. Po wybraniu opcji Natychmiast informacje statystyczne będą wysyłane natychmiast po ich utworzeniu. To ustawienie jest odpowiednie przy korzystaniu ze stałego łącza internetowego. W przypadku zaznaczenia opcji Podczas aktualizacj i informacje statystyczne będą wysyłane zbiorczo podczas kolejnej aktualizacji. 108

109 Przesyłanie Użytkownik może wybrać sposób przesyłania plików i informacji statystycznych do firmy ESET. Jeśli pliki i dane statystyczne mają być przesyłane wszystkimi dostępnymi sposobami, należy zaznaczyć opcję Przy użyciu zdalnej administracj i (Remote Administrator) lub bezpośrednio do firmy ESET. Zaznaczenie jedynie opcji Przy użyciu zdalnej administracj i (Remote Administrator) spowoduje wysyłanie informacji i plików wyłącznie do serwera zdalnej administracji, skąd następnie trafią one do laboratorium firmy ESET. Jeśli zostanie zaznaczona opcja Bezpośrednio do firmy ESET, wszystkie podejrzane pliki i informacje statystyczne będą wysyłane z programu do laboratorium firmy ESET. Jeżeli istnieją pliki oczekujące na przesłanie, przycisk Prześlij teraz jest aktywny. Należy kliknąć ten przycisk, aby przesłać pliki i informacje statystyczne. Zaznaczenie opcji Włącz zapisywanie w dzienniku spowoduje utworzenie dziennika, w którym będą rejestrowane wysyłane pliki i informacje statystyczne. 109

110 4.12 Administracj a zdalna Program ESET Remote Administrator (ERA) to wydajne narzędzie służące do zarządzania zasadami zabezpieczeń i pozwalające uzyskać całościowy obraz zabezpieczeń wewnątrz sieci. Jest ono szczególnie użyteczne w dużych sieciach. Narzędzie ERA nie tylko zwiększa poziom bezpieczeństwa, ale również ułatwia administrowanie programem ESET Mail Security na klienckich stacjach roboczych. Opcje ustawień administracji zdalnej są dostępne z poziomu okna głównego programu ESET Mail Security. Kliknij kolejno opcje Ustawienia > Otwórz całe drzewo ustawień zaawansowanych > Inne > Administracj a zdalna. Włącz tryb administracji zdalnej, wybierając opcję Połącz z serwerem zdalnej administracj i (Remote Administrator). Pozwoli to uzyskać dostęp do poniższych opcji: Odstęp czasu pomiędzy połączeniami z serwerem (min) służy do określania częstotliwości nawiązywania przez program ESET Mail Security połączenia z serwerem ERA. Jeśli ta opcja zostanie ustawiona na wartość 0, informacje będą przesyłane co 5 sekund. Adres serwera adres sieciowy serwera, na którym jest zainstalowany serwer ERA Server. Port: to pole zawiera wstępnie zdefiniowany port serwera używany do nawiązywania połączenia. Zaleca się pozostawienie domyślnego ustawienia portu (2222). Serwer zdalnej administracj i (Remote Administrator) wymaga uwierzytelniania umożliwia wprowadzenie hasła w celu nawiązania połączenia z serwerem ERA Server (jeśli jest to wymagane). Kliknij przycisk OK, aby potwierdzić zmiany i zastosować ustawienia. Program ESET Mail Security będzie używał tych ustawień w celu nawiązania połączenia z serwerem ERA. 110

111 4.13 Licencj e W gałęzi Licencj e można zarządzać kluczami licencyjnymi programu ESET Mail Security oraz innych produktów firmy ESET, na przykład ESET Mail Security itd. Po dokonaniu zakupu klucze licencyjne są dostarczane wraz z nazwą użytkownika i hasłem. Aby dodać lub usunąć klucz licencyjny, należy kliknąć odpowiedni przycisk Dodaj /Usuń w oknie menedżera licencji. Menedżer licencji jest dostępny z poziomu drzewa ustawień zaawansowanych po wybraniu kolejno opcji Inne > Licencj e. Klucz licencyjny jest plikiem tekstowym zawierającym informacje na temat zakupionego produktu, takie jak jego właściciel, liczba licencji oraz data utraty ważności. Okno menedżera licencji umożliwia użytkownikowi przekazywanie i wyświetlanie zawartości klucza licencyjnego za pomocą przycisku Dodaj informacje zawarte w kluczu są wyświetlane w menedżerze licencji. Aby usunąć z listy pliki licencyjne, należy kliknąć przycisk Usuń. Jeśli klucz licencyjny utracił ważność, a użytkownik jest zainteresowany odnowieniem licencji, należy kliknąć przycisk Zamów, co spowoduje przekierowanie do sklepu internetowego. 111