ESET FILESECURITY DLA MICROSOFT WINDOWS SERVER. Instrukcj a instalacj i i podręcznik użytkownika

Transkrypt

1 ESET FILESECURITY DLA MICROSOFT WINDOWS SERVER Instrukcj a instalacj i i podręcznik użytkownika Microsoft Windows Server 2003 / 2003 R2 / 2008 / 2008 R2 / 2012 / 2012 R2 Kliknij tutaj, aby pobrać najnowszą wersję tego dokumentu

2 ESET FILE SECURITY Copyright 2015 ESET, spol. s r.o. Oprogramowanie ESET File Security zostało opracowane przez firmę ESET, spol. s r.o. Więcej informacji można znaleźć w witrynie Wszelkie prawa zastrzeżone. Żadna część niniejszej dokumentacji nie może być powielana, przechowywana w systemie pobierania ani przesyłana w żadnej formie bądź przy użyciu jakichkolwiek środków elektronicznych, mechanicznych, przez fotokopiowanie, nagrywanie, skanowanie lub w inny sposób bez uzyskania pisemnego zezwolenia autora. Firma ESET, spol. s r.o. zastrzega sobie prawo do wprowadzania zmian w dowolnych elementach opisanego oprogramowania bez uprzedniego powiadomienia. Dział obsługi klienta: WER. 25/02/2015

3 Spis treści Podejrzana...55 witryna 1. Wprowadzenie Plik...55 z fałszywym alarmem 1.1 Nowości Witryna...56 internetowa z fałszywym alarmem Inne Kwarantanna Wymagania...7 systemowe 3. Typy ochrony Pomoc...57 i obsługa Wykonywanie...58 zadań 4. Interfejs...9 użytkownika Aktualizowanie...58 programu ESET File Security Aktywowanie...58 programu ESET File Security 5. Zarządzanie za pomocą rozwiązania ESET...10 Remote Administrator Tworzenie...59 nowego zadania w harmonogramie Planowanie zadania skanowania (wykonywanego co godziny) 5.1 Serwer...11 ERA Usuwanie...60 wirusa z serwera 5.2 Konsola...11 internetowa Przesyłanie...60 zgłoszenia do działu obsługi klienta 5.3 Agent Specjalistyczna...61 aplikacja czyszcząca ESET ESET File...61 Security informacje Aktywacja...62 produktu Rejestracja Aktywacja...62 administratora zabezpieczeń Błąd...63 aktywacji Licencja Postęp...63 aktywacji Aktywacja...63 zakończona pomyślnie 5.4 Narzędzie...12 RD Sensor 5.5 Serwer...12 proxy 6. Instalacja Procedura instalacji produktu ESET File...15 Security 6.2 Aktywacja...19 produktu 6.3 Serwer...20 terminali 6.4 Narzędzie...20 ESET AV Remover 6.5 Uaktualnianie...21 do nowszej wersji 7. Przewodnik...22 dla początkujących 7.1 Interfejs...22 użytkownika 7.2 Konfiguracja...25 aktualizacji bazy wirusów Ochrona...27 ustawień 7.3 Ustawienia...28 serwera proxy 7.4 Pliki...29 dziennika 8. Praca...64 z programem ESET File Security 8.1 Serwer Wyłączenia...66 automatyczne Klaster Kreator...68 konfiguracji klastrów strona Kreator...70 konfiguracji klastrów strona Kreator...71 konfiguracji klastrów strona Kreator...73 konfiguracji klastrów strona Komputer Skanowanie Ochrona...77 antywirusowa 7.6 Aktualizacja Wykrycie...77 infekcji 7.7 Narzędzia Udostępniona...78 lokalna pamięć podręczna Uruchomione...36 procesy Ochrona...79 systemu plików w czasie rzeczywistym Monitor...38 aktywności Wyłączenia Wybór...39 okresu...81 lub edytowanie wyłączeń ze skanowania Dodawanie ESET Log...39 Collector...82 ze skanowania Format wyłączeń Statystyki...40 ochrony...82 technologii ThreatSense Parametry Klaster rozszerzenia Wyłączone ESET Shell parametry technologii ThreatSense Dodatkowe Sposób...44 użycia leczenia Poziomy Polecenia ustawień ochrony w czasie rzeczywistym Zmienianie Pliki...49 wsadowe i skrypty Sprawdzanie skuteczności ochrony w czasie ESET SysInspector Tworzenie...51 zapisu bieżącego stanu komputera ESET SysRescue...51 Live Harmonogram Przesyłanie...54 próbek do analizy Podejrzany...55 plik rzeczywistym Co zrobić, jeśli ochrona w czasie rzeczywistym nie działa Przesyłanie Statystyki pliki Podejrzane Skanowanie...88 komputera na żądanie

4 uruchamiający skanowanie niestandardowe Program Narzędzia Postęp skanowania ESET Live Grid Menedżer...91 profili Filtr wyłączeń Skanowane...92 obiekty Kwarantanna Zaawansowane...92 opcje skanowania Microsoft Windows Update Wstrzymanie...93 zaplanowanego skanowania Microsoft NAP Skanowanie...93 w trakcie bezczynności Dostawca WMI Skanowanie...94 przy uruchamianiu dane Udostępnione Automatyczne...94 sprawdzanie plików przy uruchamianiu dostępu do przekazanych danych Uzyskiwanie Nośniki...95 wymienne Ochrona...95 dokumentów dziennika Filtrowanie System...95 HIPS w dzienniku Znajdowanie...97 HIPS Reguły systemu dziennikami Administrowanie...98 reguł systemu HIPS Ustawienia Serwer proxy Ustawienia zaawansowane Powiadomienia zawsze mogą być ładowane Sterowniki Pliki dziennika wiadomości Format Aktualizacja Tryb prezentacji Cofanie aktualizacji Diagnostyka Tryb aktualizacji Dział obsługi klienta Serwer proxy HTTP Klaster Połącz z siecią LAN jako Interfejs użytkownika Kopia dystrybucyjna Alerty i powiadomienia przy użyciu kopii dystrybucyjnej Aktualizowanie Ustawienia dostępu Pliki kopii dystrybucyjnej Hasło Rozwiązywanie problemów z aktualizacją przy użyciu kopii dystrybucyjnej hasła Ustawienie Tworzenie zadań aktualizacji Strony internetowe i poczta Filtrowanie protokołów wyłączone Aplikacje Wyłączone adresy IP Przeglądarki internetowe i programy poczty Sprawdzanie protokołu SSL komunikacja SSL Szyfrowana Lista znanych certyfikatów Ochrona programów poczty poczty Protokoły Alerty i powiadomienia Pasek narzędzi do programu MS Outlook Pasek narzędzi do programów Outlook Express i Poczta systemu Windows Pomoc ESET Shell Wyłączanie interfejsu GUI na serwerze terminali Wyłączone komunikaty i stany wymagające potwierdzeń Komunikaty o stanie aplikacji Komunikaty Ikona na pasku zadań ochrony Wstrzymanie Menu kontekstowe Przywracanie wszystkich ustawień w sekcji Przywracanie ustawień domyślnych 8.3 Import i eksport ustawień 8.4 Harmonogram Szczegóły zadania Częstotliwość wykonywania zadania jednorazowo Częstotliwość wykonywania zadania wielokrotnie Okno dialogowe potwierdzenia Ponowne skanowanie wiadomości Częstotliwość wykonywania zadania codziennie Ochrona dostępu do stron internetowych Częstotliwość wykonywania zadania cotygodniowo adresami URL Zarządzanie Częstotliwość wykonywania zadania po wystąpieniu zdarzenia Szczegóły zadania uruchamianie aplikacji Pominięte zadanie Szczegóły zaplanowanego zadania Profile aktualizacji Tworzenie nowych zadań nowej listy Tworzenie HTTP Adresy Ochrona przed atakami typu phishing Kontrola dostępu do urządzeń Reguły kontroli dostępu do urządzeń Dodawanie reguł kontroli dostępu do urządzeń Wykryte urządzenia Grupy urządzeń 8.5 Kwarantanna Poddawanie plików kwarantannie

5 Spis treści Przywracanie plików z kwarantanny Przesyłanie pliku z kwarantanny 8.6 Aktualizacje systemu operacyjnego 9. Słowniczek Typy infekcji Wirusy Robaki Konie trojańskie Programy typu rootkit Adware Spyware Programy spakowane Blokada programów typu Exploit Zaawansowany skaner pamięci Potencjalnie niebezpieczne aplikacje Potencjalnie niepożądane aplikacje

6 1. Wprowadzenie Program ESET File Security jest zintegrowanym rozwiązaniem zaprojektowanym specjalnie dla środowiska Microsoft Windows Server. Program ESET File Security oferuje dwie skuteczne i wydajne metody ochrony przed różnymi rodzajami szkodliwego oprogramowania: antywirusową i antyspyware. Oto niektóre najważniejsze funkcje programu ESET File Security: Klaster ESET umożliwia wzajemną komunikację produktów serwerowych firmy ESET oraz wymianę danych, takich jak konfiguracje i powiadomienia, a także synchronizację danych niezbędnych do prawidłowego działania grupy instancji produktu. Pozwala to uzyskać tę samą konfigurację produktu w ramach całego klastra. Klastry Windows Failover oraz klastry Network Load Balancing (NLB) są obsługiwane przez program ESET File Security. Ponadto węzły klastra ESET można dodawać ręcznie, bez konieczności stosowania określonego klastra Windows. Klastry ESET działają zarówno w środowiskach domenowych, jak i w grupach roboczych. Skanowanie pamięci masowej skanowanie wszystkich plików udostępnionych na serwerze lokalnym. Ułatwia to selektywne skanowanie tylko danych użytkowników przechowywanych na serwerze plików. Wyłączenia automatyczne automatyczne wykrywanie i wyłączanie najważniejszych aplikacji i plików serwera w celu zapewnienia łatwej obsługi i wydajności. Kolektor dzienników automatyczne gromadzenie informacji, takich jak konfiguracja programu ESET File Security oraz liczne dzienniki. Kolektor dzienników ESET ułatwi gromadzenie informacji diagnostycznych, które należy przekazać pracownikom obsługi technicznej firmy ESET w celu usprawnienia rozwiązywania problemów. Interfejs eshell (ESET Shell) interfejs sterowania z wiersza polecenia, umożliwiający zaawansowanym użytkownikom i administratorom korzystanie z bardziej kompleksowych opcji zarządzania produktami serwerowymi ESET. Interfejs eshell dostępny jest w nowej, usprawnionej wersji 2.0. Self-defense technologia, która chroni rozwiązania zabezpieczające firmy ESET przed nieuprawnionym zmodyfikowaniem lub wyłączeniem. Skuteczne rozwiązywanie problemów wbudowane narzędzia ułatwiające rozwiązywanie różnych problemów: narzędzie ESET SysInspector do przeprowadzania diagnostyki systemu i narzędzie ESET SysRescue Live do tworzenia rozruchowej ratunkowej płyty CD lub dysku USB. Program ESET File Security obsługuje większość wersji systemu Microsoft Windows Server 2003, 2008 i 2012 w środowisku autonomicznym oraz klastrowym. Narzędzie ESET Remote Administrator umożliwia zdalne zarządzanie programem ESET File Security w większych sieciach. 1.1 Nowości Integracja następujących funkcji: Obsługa klastrów Usprawnienia w graficznym interfejsie użytkownika Oparte na regułach skanowanie filtrujące (możliwość zdefiniowania reguł dla plików i uruchomienie określonej formy skanowania na żądanie) Ochrona przed atakami typu phishing Optymalizacja pod kątem środowisk zwirtualizowanych 6

7 2. Wymagania systemowe Obsługiwane systemy operacyjne: Microsoft Windows Server 2003 (oparty na procesorze x86 i x64) Microsoft Windows Server 2003 R2 (oparty na procesorze x86 i x64) Microsoft Windows Server 2008 (oparty na procesorze x86 i x64) Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Serwery Storage, Small Business i MultiPoint: Microsoft Windows Storage Server 2008 R2 Essentials SP1 Microsoft Windows Storage Server 2012 Microsoft Windows Storage Server 2012 R2 Microsoft Windows Small Business Server 2003 (oparty na procesorze x86) Microsoft Windows Small Business Server 2003 R2 (oparty na procesorze x86) Microsoft Windows Small Business Server 2008 (oparty na procesorze x64) Microsoft Windows Small Business Server 2011 (oparty na procesorze x64) Microsoft Windows Server 2012 Essentials Microsoft Windows Server 2012 R2 Essentials Microsoft Windows MultiPoint Server 2010 Microsoft Windows MultiPoint Server 2011 Microsoft Windows MultiPoint Server 2012 Wymagania sprzętowe zależą od używanej wersji systemu operacyjnego. Więcej informacji na temat wymagań sprzętowych można znaleźć w dokumentacji produktu Microsoft Windows Server. 7

8 3. Typy ochrony Istnieją dwa rodzaje ochrony: Ochrona antywirusowa Ochrona antyspyware Ochrona antywirusowa i antyspyware jest jedną z podstawowych funkcji programu ESET File Security. Ten typ ochrony zabezpiecza system przed szkodliwymi atakami, sprawdzając pliki, pocztę i komunikację internetową. W przypadku wykrycia zagrożenia moduł antywirusowy może je wyeliminować przez zablokowanie, a następnie wyleczenie, usunięcie lub przeniesienie do kwarantanny. 8

9 4. Interfejs użytkownika W programie ESET File Security zastosowano graficzny interfejs użytkownika (ang. graphical user interface, GUI), który ma zapewniać maksymalnie intuicyjną obsługę. Interfejs GUI pozwala użytkownikom na szybki i łatwy dostęp do głównych funkcji programu. Oprócz głównego interfejsu GUI dostępne jest też okno ustawień zaawansowanych, które można wyświetlić w każdej chwili, naciskając klawisz F5. W oknie Ustawienia zaawansowane można dostosować opcje i ustawienia do indywidualnych potrzeb. Menu dostępne z lewej strony składa się z następujących kategorii: Moduł antywirusowy, Aktualizacja, Strony internetowe i poczta , Kontrola dostępu do urządzeń, Narzędzia i Interfejs użytkownika. Niektóre z kategorii głównych zawierają podkategorie. Po kliknięciu danego elementu (kategorii lub podkategorii) w menu z lewej strony, odpowiednie ustawienia tego elementu wyświetlane są w prawym okienku. Aby uzyskać więcej informacji dotyczących graficznego interfejsu użytkownika, kliknij tutaj. 9

10 5. Zarządzanie za pomocą rozwiązania ESET Remote Administrator ESET Remote Administrator (ERA) to aplikacja umożliwiająca zarządzanie produktami firmy ESET w środowisku sieciowym z jednej lokalizacji centralnej. System zarządzania zadaniami ESET Remote Administrator umożliwia instalowanie oprogramowania zabezpieczającego ESET na komputerach zdalnych oraz szybkie reagowanie na nowe problemy i zagrożenia. Sam program ESET Remote Administrator nie zapewnia ochrony przed szkodliwym kodem. Do tego niezbędne jest zainstalowanie oprogramowania zabezpieczającego ESET na każdym z klientów. Oprogramowanie zabezpieczające ESET obsługuje sieci obejmujące platformy różnego typu. Sieć może stanowić połączenie aktualnych systemów operacyjnych firmy Microsoft, systemów operacyjnych Linux i Mac OS oraz systemów wykorzystywanych w urządzeniach mobilnych (telefony komórkowe i tablety). Poniższa ilustracja przedstawia przykładową architekturę sieci chronionej przez oprogramowanie zabezpieczające ESET zarządzane przy pomocy ERA: UWAGA: Więcej informacji na temat rozwiązania ERA można znaleźć w Pomocy online rozwiązania ESET Remote Administrator. 10

11 5.1 Serwer ERA Serwer administracji zdalnej ESET jest głównym komponentem programu ESET Remote Administrator. To aplikacja wykonawcza przetwarzająca wszystkie dane otrzymywane od klientów nawiązujących połączenia z serwerem (za pośrednictwem agenta ERA). Agent ERA usprawnia komunikację pomiędzy klientem a serwerem. Dane (dzienniki klienta, konfiguracja, replikacja agenta itp.) są przechowywane w bazie danych. Do prawidłowego przetworzenia danych przez serwer ERA wymagane jest stabilne połączenie z serwerem bazy danych. W celu zoptymalizowania wydajności zalecane jest zainstalowanie serwera ERA i bazy danych na oddzielnych serwerach. Komputer, na którym zainstalowany jest serwer ERA, musi być tak skonfigurowany, by akceptować wszystkie połączenia Agent/Proxy/RD Sensor, które są weryfikowane przy użyciu certyfikatów. Po zainstalowaniu serwera ERA można otworzyć konsolę internetową ERA, która łączy się z serwerem ERA (jak pokazano na schemacie). Za pomocą konsoli internetowej przeprowadzane są wszystkie operacje serwera ERA dotyczące zarządzania programami zabezpieczającymi ESET. 5.2 Konsola internetowa Konsola internetowa ERA to sieciowy interfejs użytkownika, który prezentuje dane z serwera ERA i umożliwia zarządzanie oprogramowaniem zabezpieczającym ESET z poziomu środowiska użytkownika. Do konsoli internetowej można uzyskać dostęp za pomocą przeglądarki internetowej. Umożliwia wyświetlanie podsumowania stanu klientów w danej sieci i może być używana do zdalnego wdrażania rozwiązań ESET na niezarządzanych komputerach. Jeśli użytkownik zdecyduje, by serwer sieciowy był dostępny przez Internet, uzyska możliwość korzystania z rozwiązania ESET Remote Administrator z niemal dowolnego miejsca i urządzenia z aktywnym połączeniem internetowym. To jest panel kontrolny konsoli internetowej: 11

12 Na górnym pasku konsoli internetowej znajduje się narzędzie o nazwie Szybkie wyszukiwanie. Z menu rozwijanego należy wybrać opcję Nazwa komputera, Adres IPv4/IPv6 lub Nazwa zagrożenia, wpisać wyszukiwany ciąg w polu tekstowym i kliknąć symbol szkła powiększającego lub nacisnąć klawisz Enter, by rozpocząć wyszukiwanie. Nastąpi przekierowanie do sekcji grupy, gdzie zostaną wyświetlone wyniki wyszukiwania klient lub lista klientów. Wszystkimi klientami można zarządzać przy pomocy konsoli internetowej. Dostęp do konsoli internetowej można uzyskać przy użyciu najpopularniejszych urządzeń i przeglądarek. UWAGA: Więcej informacji można znaleźć w Pomocy online rozwiązania ESET Remote Administrator. 5.3 Agent Agent ERA to podstawowy element produktu ESET Remote Administrator. Produkt ESET na komputerze klienckim (na przykład ESET Endpoint Security dla systemu Windows) komunikuje się z serwerem ERA za pośrednictwem agenta. Taka komunikacja umożliwia zarządzanie produktami ESET na wszystkich klientach zdalnych z jednej centralnej lokalizacji. Agent gromadzi informacje pozyskiwane od klienta i wysyła je do serwera. Gdy serwer wysyła zadanie do klienta, przesyła je do agenta, po czym agent przekazuje to zadanie do klienta. Całość komunikacji w sieci odbywa się pomiędzy agentem oraz górną warstwą sieci ERA, którą stanowi serwer oraz serwer proxy. Agent ESET łączy się z serwerem przy użyciu jednej spośród trzech metod opisanych poniżej: 1. Agent klienta jest bezpośrednio połączony z serwerem. 2. Agent klienta jest połączony przy użyciu serwera proxy, który jest połączony z serwerem. 3. Agent klienta jest połączony z serwerem za pośrednictwem wielu serwerów proxy. Agent ESET komunikuje się z rozwiązaniami ESET zainstalowanymi na kliencie, gromadzi informacje pozyskiwane z programów na tym kliencie, a także przekazuje do klienta informacje uzyskane od serwera. UWAGA: Serwer proxy ESET jest wyposażony we własnego agenta, który obsługuje wszystkie zadania związane z komunikacją pomiędzy klientami, innymi serwerami proxy oraz serwerem. 5.4 Narzędzie RD Sensor RD (Rogue Detection) Sensor to narzędzie służące do wyszukiwania komputerów w sieci. Funkcja RD Sensor jest częścią programu ESET Remote Administrator i służy do wykrywania komputerów w sieci. W wygodny sposób umożliwia dodawania nowych komputerów w programie ESET Remote Administrator bez konieczności ich ręcznego wyszukiwania i dodawania. Każdy z komputerów znalezionych w sieci zostaje wyświetlony w konsoli internetowej oraz dodany do domyślnej grupy Wszystkie. W tym miejscu można podjąć dalsze działania związane z poszczególnymi komputerami klienckimi. Działanie narzędzia RD Sensor opiera się na nasłuchu pasywnym, co umożliwia wykrywanie komputerów znajdujących się w sieci oraz wysyłanie informacji o nich do serwera ERA. Serwer ERA dokonuje następnie oceny, czy komputery znalezione w sieci są nieznane na serwerze ERA, czy może są już obsługiwane. 5.5 Serwer proxy Serwer proxy ERA to jeden z komponentów programu ESET Remote Administrator, który służy do realizacji dwóch celów. W przypadku sieci średniej wielkości lub sieci firmowej z wieloma klientami (na przykład od klientów wzwyż) można korzystać z serwera proxy ERA w celu dystrybuowania obciążeń pomiędzy wieloma serwerami proxy ERA, co umożliwia usprawnienie działania głównego serwera ERA. Kolejną zaletą serwera proxy ERA jest to, że można go użyć w celu nawiązania połączenia ze zdalnym biurem oddziału, w którym dostępne jest słabe łącze. Oznacza to, że agent ERA na każdym z klientów nie łączy się z głównym serwerem ERA bezpośrednio, lecz przez serwer proxy ERA znajdujący się w tej samej lokalnej sieci oddziału. W ten sposób zmniejsza obciążenie łącza do oddziału. Serwer proxy ERA przyjmuje połączenia od wszystkich lokalnych agentów ERA, sumuje ich dane i przesyła je do głównego serwera ERA (lub innego serwera proxy ERA). Umożliwia to umieszczenie w sieci większej liczby klientów bez obniżenia sprawności działania sieci oraz jakości kwerend bazy danych. W zależności od konfiguracji sieci serwer proxy ERA może łączyć się z innym serwerem proxy ERA, a następnie z serwerem głównym ERA. 12

13 Aby serwer proxy ERA funkcjonował poprawnie, komputer, na którym zainstalowany jest serwer proxy ERA, musi mieć zainstalowanego agenta ESET i być połączony z wyższym poziomem sieci (serwerem ERA lub wyższym w hierarchii serwerem proxy ERA, jeśli taki istnieje). UWAGA: Przykłady scenariuszy wdrożenia serwerów proxy ERA można znaleźć w Pomocy online rozwiązania ESET Remote Administrator. 13

14 6. Instalacja Po zakupie produktu ESET File Security można pobrać pakiet MSI instalatora z witryny internetowej firmy ESET ( Należy pamiętać, że instalator trzeba uruchomić przy użyciu wbudowanego konta administratora. Inni użytkownicy, nawet jeśli należą do grupy Administratorzy, nie mają wystarczających uprawnień dostępu. Z tego powodu należy użyć wbudowanego konta administratora pomyślne ukończenie instalacji nie będzie możliwe przy użyciu żadnego innego konta niż konto administratora. Instalator można uruchomić na dwa sposoby: Można zalogować się lokalnie przy użyciu konta Administrator i uruchomić instalator w zwykły sposób. Można zalogować się jako inny użytkownik, otwierając wiersz polecenia przy użyciu opcji Uruchom jako... i wpisując poświadczenia konta administratora, aby uruchomić wiersz polecenia (program cmd) jako administrator, a następnie wpisać polecenie uruchamiające instalator (np. msiexec /i zastępując nazwę dokładną nazwą pobranego pliku instalatora msi). Po uruchomieniu instalatora i zaakceptowaniu Umowy licencyjnej użytkownika końcowego (EULA) kreator instalacji przeprowadzi użytkownika przez proces instalacji. Jeśli warunki Umowy licencyjnej nie zostaną zaakceptowane, kreator instalacji nie będzie kontynuował procesu. Kreator daje dostęp do trzech typów instalacji: Pełna Jest to zalecany typ instalacji. W ramach tej instalacji zainstalowane zostaną wszystkie funkcje produktu ESET File Security. Po wybraniu tego typu instalacji należy jedynie wskazać foldery, w których ma zostać zainstalowany produkt, lecz można także zaakceptować wstępnie określone domyślne foldery instalacji (zalecane). Instalator automatycznie zainstaluje wszystkie funkcje programu. Główna Instalacja tego typu jest przeznaczona dla wersji Server Core systemu Windows. Kroki podczas tej instalacji są takie same, jak podczas instalacji pełnej, lecz instalator wybiera wyłącznie główne funkcje i interfejs użytkownika wiersza polecenia. Choć instalacja główna przeznaczona jest przede wszystkim dla wersji Server Core systemu Windows, to jeśli użytkownik zechce lub będzie miał taką potrzebę, można ją również przeprowadzić w standardowym systemie Windows Server. Główna różnica w porównaniu do instalacji pełnej polega na tym, że po instalacji głównej na standardowym systemie Windows Server produkt ESET File Security nie będzie miał graficznego interfejsu użytkownika. Oznacza to, że podczas pracy z produktem ESET File Security korzystać można wyłącznie z interfejsu użytkownika wiersza polecenia. Niestandardowa Instalacja niestandardowa umożliwia wybór funkcji programu ESET File Security, które mają zostać zainstalowane w systemie. Wyświetlona zostanie typowa lista funkcji/komponentów, które użytkownik wybiera do instalacji. Oprócz instalacji za pomocą kreatora instalacji można również wybrać instalację produktu ESET File Security w trybie cichym, za pośrednictwem wiersza polecenia. Ten typ instalacji nie wymaga interwencji użytkownika, takich jak podczas korzystania z wyżej opisanego kreatora. Jest ona przydatna na przykład podczas automatyzacji lub usprawniania procesów. Ten typ instalacji nazywa się również nienadzorowanym, ponieważ nie wymaga od użytkownika podejmowania czynności. Instalacja cicha/nienadzorowana Pełna instalacja za pośrednictwem wiersza polecenia: msiexec /i <nazwapakietu> /qn /l*xv msi.log UWAGA: Jeśli to możliwe, zdecydowanie zaleca się instalowanie programu ESET File Security w niedawno zainstalowanym i skonfigurowanym systemie operacyjnym. Jeśli jednak użytkownik musi zainstalować program w już używanym systemie, najlepszym rozwiązaniem jest odinstalowanie wcześniejszej wersji produktu ESET File Security, ponowne uruchomienie serwera oraz zainstalowanie nowej wersji programu ESET File Security. UWAGA: Jeśli w systemie było wcześniej używane oprogramowanie antywirusowe innej firmy, zalecamy jego całkowite odinstalowanie przed przystąpieniem do instalacji programu ESET File Security. Do tego celu można użyć narzędzia ESET do usuwania oprogramowania antywirusowego, które ułatwia dezinstalację. 14

15 6.1 Procedura instalacji produktu ESET File Security W celu zainstalowania produktu ESET File Security należy wykonać poniższe działania, korzystając z kreatora instalacji: Po zaakceptowaniu umowy EULA możesz wybrać jeden z 3 typów instalacji. Typy instalacji: 15

16 Pełna jest to zalecany typ instalacji. W ramach tej instalacji zainstalowane zostaną wszystkie funkcje produktu ESET File Security. Główna instalacja tego typu jest przeznaczona dla wersji Server Core systemu Windows. Procedura jest zbliżona do instalacji pełnej, jednak instalowane są tylko komponenty główne. Po zainstalowaniu produktu ESET File Security tą metodą nie będzie w nim dostępny graficzny interfejs użytkownika. W razie konieczności instalację główną można również przeprowadzić w zwykłym systemie Windows Server. Aby uzyskać więcej informacji dotyczących instalacji głównej, kliknij tutaj. Niestandardowa można wybrać, które funkcje programu ESET File Security mają zostać zainstalowane w systemie. Instalacja pełna: Zwana także kompletną instalacją. Powoduje zainstalowanie wszystkich komponentów programu ESET File Security. Zostanie wyświetlony monit o wybranie docelowego miejsca instalacji. Domyślnie program jest instalowany w katalogu C:\Program Files\ESET\ESET File Security. Aby zmienić tę lokalizację, kliknij przycisk Przeglądaj (niezalecane). Instalacja główna: Zainstalowane zostaną główne funkcje oraz interfejs użytkownika wiersza polecenia. Zastosowanie tej metody jest zalecane w przypadku instalacji Server Core systemu Windows. 16

17 Instalacja niestandardowa: Umożliwia wybranie funkcji, które mają zostać zainstalowane. Jest to przydatne podczas dostosowywania produktu ESET File Security w taki sposób, by zawierał jedynie komponenty potrzebne użytkownikowi. Można dodać komponenty do istniejącej instalacji lub usunąć je z niej. W tym celu uruchom pakiet instalacyjny.msi użyty wcześniej podczas instalacji lub przejdź do obszaru Programy i funkcje (jest on dostępny w panelu sterowania systemu Windows). Kliknij prawym przyciskiem myszy produkt ESET File Security i wybierz opcję Zmień. Spowoduje to uruchomienie instalatora w taki sam sposób, jakby został uruchomiony ręcznie. Wykonaj opisane poniżej działania w celu dodania lub usunięcia komponentów. 17

18 Proces modyfikacji komponentów (Dodaj/Usuń), Napraw i Usuń: Do wyboru są 3 opcje. Opcja Modyfikuj umożliwia zmodyfikowanie zainstalowanych komponentów, opcja Napraw umożliwia naprawienie instalacji produktu ESET File Security, a opcja Usuń pozwala go całkowicie odinstalować. Po wybraniu opcji Modyfikuj zostanie wyświetlona lista wszystkich dostępnych komponentów programu. Wybierz, które z komponentów mają zostać dodane lub usunięte. Możesz jednocześnie dodać lub usunąć wiele komponentów. Kliknij komponent i wybierz odpowiednią opcję z menu rozwijanego: Po wybraniu opcji kliknij opcję Modyfikuj, aby przeprowadzić modyfikacje. UWAGA: Zainstalowane komponenty można zmodyfikować w dowolnym momencie, uruchamiając instalator. Można to zrobić bez konieczność ponownego uruchamiania serwera. Wystarczy wprowadzić modyfikacje. Graficzny 18

19 interfejs użytkownika zostanie uruchomiony ponownie i widoczne będą tylko komponenty, które miały być zainstalowane. 6.2 Aktywacja produktu Po zakończeniu instalacji zostanie wyświetlony monit o aktywowanie produktu. Należy wybrać jedną z dostępnych metod aktywacji programu ESET File Security. Więcej informacji na ten temat znajduje się w części Aktywowanie programu ESET File Security. 19

20 Po pomyślnym aktywowaniu programu ESET File Security zostanie otwarte główne okno programu, a na stronie Monitorowanie widoczny będzie jego bieżący stan. Program może na początku wymagać nieco uwagi, na przykład wyświetlone zostanie pytanie o chęć przynależności do programu ESET Live Grid. W głównym oknie programu będą również wyświetlane powiadomienia dotyczące innych elementów, takich jak aktualizacje systemu (aktualizacje systemu Windows) czy aktualizacje bazy sygnatur wirusów. Po rozwiązaniu wszystkich kwestii wymagających uwagi stan monitorowania zostanie oznaczony kolorem zielonym i wyświetlona zostanie informacja Maksymalna ochrona. 6.3 Serwer terminali W przypadku zainstalowania programu ESET File Security w systemie Windows Server pełniącym rolę serwera terminali warto wyłączyć graficzny interfejs użytkownika programu ESET File Security, aby zapobiec uruchamianiu się go przy każdym logowaniu użytkownika. Szczegółowe instrukcje dotyczące wyłączania interfejsu można znaleźć w rozdziale Wyłączanie interfejsu GUI na serwerze terminali. 6.4 Narzędzie ESET AV Remover W razie konieczności usunięcia lub odinstalowania z systemu oprogramowania antywirusowego innej firmy zalecamy skorzystanie z narzędzia ESET AV Remover. W tym celu należy wykonać poniższe działania: 1. Pobierz narzędzie ESET AV Remover z obszaru narzędzi do pobrania na stronie internetowej firmy ESET. 2. Kliknij przycisk I accept, start search (Akceptuję, zacznij wyszukiwanie), by zaakceptować umowę EULA i rozpocząć wyszukiwanie w systemie. 3. Kliknij przycisk Launch uninstaller (Uruchom dezinstalator) w celu usunięcia zainstalowanego oprogramowania antywirusowego. Listę programów antywirusowych innych firm, które można usunąć przy użyciu narzędzia ESET AV Remover można 20

21 znaleźć w tym artykule bazy wiedzy. 6.5 Uaktualnianie do nowszej wersji Nowsze wersje programu ESET File Security publikuje się w celu wprowadzania w nim poprawek lub udoskonaleń, których nie można wdrożyć w ramach automatycznych aktualizacji poszczególnych modułów. Uaktualnienie do nowszej wersji można przeprowadzić na dwa sposoby: Ręcznie, przez pobranie i zainstalowanie nowszej wersji już zainstalowanego programu. Na początku instalacji można wybrać opcję zachowania bieżących ustawień programu, zaznaczając pole wyboru przy opcji Użyj bieżących ustawień. Zdalnie, w środowisku sieciowym, przy użyciu narzędzia ESET Remote Administrator. 21

22 7. Przewodnik dla początkujących Niniejszy rozdział zawiera ogólny opis programu ESET File Security, głównych elementów jego menu, funkcji oraz podstawowych ustawień. 7.1 Interfejs użytkownika Główne okno programu ESET File Security jest podzielone na dwie główne części. W okienku z prawej strony są wyświetlane informacje dotyczące opcji wybranej w menu głównym z lewej strony. Poszczególne sekcje menu głównego zostały opisane poniżej: Monitorowanie w tej sekcji dostępne są informacje na temat stanu ochrony programu ESET File Security, ważności licencji, ostatniej aktualizacji bazy sygnatur wirusów oraz podstawowe informacje statystyczne i systemowe. Pliki dziennika zapewnia dostęp do plików dziennika z informacjami na temat wszystkich ważnych zdarzeń związanych z programem, jakie wystąpiły. Pliki te zawierają przegląd wykrytych zagrożeń, a także innych zdarzeń związanych z zabezpieczeniami. Skanowanie pozwala skonfigurować i uruchomić skanowanie pamięci masowej, skanowanie inteligentne, skanowanie niestandardowe lub skanowanie nośników wymiennych. Umożliwia również powtórzenie ostatnio uruchamianego skanowania. Aktualizacja umożliwia wyświetlanie informacji na temat bazy sygnatur wirusów oraz powiadomień o dostępności aktualizacji. W tej sekcji można również przeprowadzić aktywację produktu. Ustawienia tutaj można dostosować ustawienia zabezpieczeń serwera i komputera. Narzędzia udostępnia dodatkowe informacje na temat systemu i zabezpieczeń stanowiących dodatek do narzędzi, co usprawnia zarządzanie zabezpieczeniami. Sekcja Narzędzia składa się z następujących elementów: Uruchomione procesy, Monitor aktywności, Kolektor dzienników ESET, Statystyki ochrony, Klaster, ESET Shell, ESET SysInspector, ESET SysRescue Live do tworzenia ratunkowej płyty CD lub dysku USB oraz Harmonogram. Można tu również przesłać próbkę do analizy i sprawdzić kwarantannę. Pomoc i obsługa dostęp do plików pomocy, bazy wiedzy firmy ESET oraz innych narzędzi pomocy technicznej firmy ESET. Dostępne są również łącza umożliwiające otwarcie formularza zgłoszenia do działu obsługi klienta oraz informacje dotyczące aktywacji produktu. 22

23 Ekran Stan ochrony zawiera informacje o bieżącym poziomie ochrony komputera. Zielona ikona stanu Maksymalna ochrona oznacza maksymalny poziom bezpieczeństwa. W oknie stanu widoczne są również szybkie łącza do często używanych funkcji programu ESET File Security oraz informacje dotyczące ostatniej aktualizacji. 23

24 Postępowanie w przypadku, gdy program nie działa poprawnie Moduły działające prawidłowo są oznaczane zielonym znacznikiem wyboru. Moduły, które nie są w pełni funkcjonalne są oznaczane czerwonym wykrzyknikiem lub pomarańczową ikoną powiadomienia. Dodatkowe informacje dotyczące modułu są wyświetlane w górnej części okna. Wyświetlany jest również proponowany sposób przywrócenia działania modułu. Aby zająć się stanem danego modułu, należy w menu głównym kliknąć opcję Ustawienia, a następnie kliknąć wybrany moduł. Czerwona ikona ze znakiem! sygnalizuje problemy krytyczne (maksymalny poziom ochrony komputera nie jest zapewniony). Taki stan jest wyświetlany w następujących sytuacjach: Ochrona antywirusowa i antyspyware wyłączona użytkownik może ponownie włączyć ochronę antywirusową i antyspyware, klikając opcję Włącz ochronę w czasie rzeczywistym w okienku Stan ochrony lub opcję Włącz ochronę antywirusową i antyspyware w okienku Ustawienia w oknie głównym programu. Używana baza sygnatur wirusów jest nieaktualna. Produkt nie został aktywowany. Licencja wygasła jest to sygnalizowane przez zmianę koloru ikony stanu ochrony na czerwony. Po wygaśnięciu licencji program nie może być aktualizowany. Zalecane jest odnowienie licencji zgodnie z instrukcjami podanymi w oknie alertu. Pomarańczowa ikona ze znakiem i oznacza, że produkt ESET wymaga interwencji użytkownika w związku z problemem niekrytycznym. Możliwe przyczyny: Ochrona dostępu do stron internetowych jest wyłączona użytkownik może ponownie włączyć ochronę dostępu do stron internetowych, klikając powiadomienie dotyczące bezpieczeństwa, a następnie opcję Włącz ochronę dostępu do stron internetowych. Licencja wkrótce wygaśnie jest to sygnalizowane przez ikonę stanu ochrony przedstawiającą wykrzyknik. Po 24

25 wygaśnięciu licencji programu nie będzie można aktualizować, a kolor ikony stanu ochrony zmieni się na czerwony. Jeśli nie można usunąć problemu za pomocą sugerowanych rozwiązań, należy kliknąć opcję Pomoc i obsługa, aby uzyskać dostęp do plików pomocy, lub przeszukać bazę wiedzy ESET. Aby uzyskać dodatkową pomoc, można przesłać zgłoszenie do działu obsługi klienta firmy ESET. Dział obsługi klienta ESET niezwłocznie odpowie na otrzymane zgłoszenie i pomoże znaleźć rozwiązanie. Aby wyświetlić okno Stan ochrony, należy kliknąć górną opcję w menu głównym. W głównym oknie zostanie wyświetlone podsumowanie informacji o działaniu programu ESET File Security. Pojawi się także podmenu z dwoma elementami: Monitor aktywności i Statystyki. Aby wyświetlić bardziej szczegółowe informacje o systemie, należy wybrać jeden z tych elementów. Gdy program ESET File Security jest uruchomiony z pełnym zestawem funkcji, ikona Stan ochrony ma kolor zielony. Gdy program wymaga interwencji użytkownika, ikona ma kolor pomarańczowy lub czerwony. W celu wyświetlenia wykresu aktywności systemu plików w czasie rzeczywistym (oś pozioma) należy kliknąć opcję Monitor aktywności. Na osi pionowej przedstawiana jest ilość danych odczytanych (niebieska linia) oraz zapisanych (czerwona linia). Podmenu Statystyki umożliwia dostęp do informacji o liczbie zarażonych, wyleczonych i niezainfekowanych obiektów w danym module. Dostępnych jest wiele modułów, które można wybierać z listy rozwijanej. 7.2 Konfiguracja aktualizacji bazy wirusów Aktualizacje bazy sygnatur wirusów oraz komponentów programu są istotnym elementem procesu zapewniania kompleksowej ochrony przed szkodliwym kodem. Należy zwrócić szczególną uwagę na ich konfigurację i działanie. Aby sprawdzić dostępność nowszej aktualizacji bazy sygnatur, w menu głównym należy wybrać opcję Aktualizacja, a następnie kliknąć opcję Aktualizuj teraz. 25

26 Ustawienia aktualizacji można skonfigurować w oknie Ustawienia zaawansowane (dostępnym po naciśnięciu klawisza F5 na klawiaturze). Aby skonfigurować zaawansowane opcje aktualizacji, np. tryb aktualizacji, dostęp do serwera proxy, połączenie z siecią LAN i ustawienia kopii sygnatur wirusów (kopii dystrybucyjnej), należy kliknąć przycisk Aktualizacja dostępny w drzewie Ustawienia zaawansowane po lewej stronie. W przypadku problemów z aktualizacją należy kliknąć przycisk Wyczyść pamięć podręczną, aby usunąć tymczasowy folder aktualizacji. W menu Serwer aktualizacji domyślnie ustawiona jest opcja AUTOSELECT. Wybranie opcji AUTOSELECT oznacza, że serwer aktualizacji, z którego pobierane będą aktualizacje sygnatur wirusów, zostanie wybrany automatycznie. Zalecamy pozostawienie wybranej opcji domyślnej. Aby zrezygnować z wyświetlania powiadomień na pasku zadań w prawym dolnym rogu ekranu, należy wybrać opcję Wyłącz wyświetlanie powiadomień o pomyślnej aktualizacji. Dla uzyskania optymalnej funkcjonalności ważne jest automatyczne aktualizowanie programu. Jest to możliwe wyłącznie po wprowadzeniu prawidłowego klucza licencyjnego w sekcji Pomoc i obsługa > Aktywuj licencję. Jeśli produkt nie został aktywowany po zainstalowaniu, można to zrobić w dowolnym momencie. Aby uzyskać szczegółowe informacje na temat aktywacji, przejdź do sekcji Aktywowanie programu ESET File Security i w oknie Szczegóły licencji wprowadź dane licencyjne otrzymane wraz z oprogramowaniem zabezpieczającym firmy ESET. 26

27 7.2.1 Ochrona ustawień Ustawienia programu ESET File Security mogą odgrywać istotną rolę w całościowej polityce bezpieczeństwa firmy. Nieautoryzowane modyfikacje mogą poważnie zagrażać stabilności i zabezpieczeniom systemu. Aby uzyskać dostęp do ustawień interfejsu użytkownika, kliknij opcję Ustawienia w menu głównym, a następnie kliknij opcję Ustawienia zaawansowane lub naciśnij klawisz F5 na klawiaturze. Kliknij kolejno opcje Interfejs użytkownika > Ustawienia dostępu, wybierz opcję Chroń ustawienia hasłem i kliknij przycisk Ustaw hasło. Wpisz hasło w polach Nowe hasło i Potwierdź nowe hasło, a następnie kliknij przycisk OK. Podanie hasła będzie wymagane w przypadku jakichkolwiek przyszłych modyfikacji ustawień programu ESET File Security. 27

28 7.3 Ustawienia serwera proxy Jeśli do obsługi połączenia internetowego w systemie z zainstalowanym programem ESET File Security używany jest serwer proxy, konieczne jest skonfigurowanie ustawień serwera proxy w obszarze Ustawienia zaawansowane. Aby uzyskać dostęp do okna konfiguracji serwera proxy, należy nacisnąć klawisz F5 w celu wyświetlenia okna Ustawienia zaawansowane, a następnie kliknąć kolejno opcje Aktualizacja > Serwer proxy HTTP. Należy wybrać opcję Połączenie przez serwer proxy z menu rozwijanego Tryb proxy i wprowadzić szczegółowe dane serwera proxy w odpowiednich polach: Serwer proxy (adres IP), Port (numer portu) oraz Nazwa użytkownika i Hasło (jeśli to konieczne). Jeśli użytkownik nie ma pewności co do danych serwera proxy, może spróbować automatycznie wykryć ustawienia serwera proxy, wybierając z listy rozwijanej opcję Użyj globalnych ustawień serwera proxy. UWAGA: Opcje serwera proxy mogą być różne dla różnych profilów aktualizacji. W takim przypadku w ustawieniach zaawansowanych należy skonfigurować inne profile aktualizacji, klikając pozycje Aktualizacja > Profil. 28

29 7.4 Pliki dziennika Pliki dziennika zawierają informacje o wszystkich ważnych zdarzeniach, jakie miały miejsce w programie, oraz przegląd wykrytych zagrożeń. Dzienniki są bardzo istotnym narzędziem przy analizowaniu systemu, wykrywaniu zagrożeń i rozwiązywaniu problemów. Dziennik jest aktywnie tworzony w tle i nie wymaga żadnych działań ze strony użytkownika. Informacje są zapisywane zgodnie z bieżącymi ustawieniami szczegółowości dziennika. Możliwe jest przeglądanie komunikatów tekstowych i dzienników bezpośrednio w programie ESET File Security. Ponadto możliwe jest archiwizowanie plików dziennika przy użyciu funkcji eksportowania. Pliki dziennika są dostępne z poziomu głównego okna programu po kliknięciu opcji Pliki dziennika. Żądany typ dziennika można wybrać z menu rozwijanego. Dostępne są następujące dzienniki: Wykryte zagrożenia dziennik zagrożeń zawiera szczegółowe informacje na temat infekcji wykrytych przez moduły programu ESET File Security. Podaje on między innymi: datę i godzinę wykrycia infekcji, jej nazwę, lokalizację, przeprowadzone działanie oraz nazwę użytkownika zalogowanego w czasie wykrycia infekcji. Dwukrotne kliknięcie dowolnej pozycji dziennika powoduje wyświetlenie jej szczegółów w oddzielnym oknie. Zdarzenia wszystkie ważne działania wykonywane przez program ESET File Security są zapisywane w dzienniku zdarzeń. Dziennik zdarzeń zawiera informacje na temat zdarzeń i błędów, które wystąpiły w programie. Jego zadaniem jest ułatwianie rozwiązywania problemów przez administratorów i użytkowników systemu. Zawarte w nim informacje często mogą pomóc znaleźć rozwiązanie problemu występującego w programie. Skanowanie komputera w tym oknie wyświetlane są wszystkie wyniki skanowania. Każdy wiersz odpowiada jednej operacji skanowania. Dwukrotne kliknięcie dowolnego wpisu powoduje wyświetlenie szczegółowych informacji na temat danej operacji skanowania. System HIPS zawiera zapisy związane z określonymi regułami, które zostały zaznaczone do rejestrowania. Pozycje dziennika zawierają informacje o aplikacji, która wywołała operację, wyniku (zezwolenie lub zablokowanie reguły) oraz nazwie utworzonej reguły. 29

30 Filtrowane witryny internetowe ta lista jest przydatna do przeglądania listy witryn zablokowanych przez funkcję Ochrona dostępu do stron internetowych. W dziennikach odnotowane są: czas, adres URL, nazwa użytkownika oraz aplikacja, która nawiązała połączenie z daną witryną. Kontrola dostępu do urządzeń zawiera zapisy związane z nośnikami wymiennymi i urządzeniami, które były podłączane do komputera. W pliku dziennika zapisywane są informacje dotyczące tylko tych urządzeń, z którymi są związane reguły kontroli dostępu do urządzeń. Jeśli dana reguła nie odpowiada podłączonemu urządzeniu, nie jest dla niego tworzony wpis w dzienniku. Można tu również znaleźć takie szczegóły jak typ urządzenia, numer seryjny, nazwa dostawcy i rozmiar nośnika (jeśli jest dostępny). Informacje wyświetlane w każdym obszarze okna można skopiować do schowka, zaznaczając żądaną pozycję i klikając przycisk Kopiuj (lub naciskając klawisze Ctrl+C). Do zaznaczenia wielu pozycji można użyć klawiszy CTRL i SHIFT. Kliknięcie ikony przełącznika Filtrowanie umożliwia otwarcie okna Filtrowanie dziennika, w którym można zdefiniować kryteria filtrowania. Kliknięcie prawym przyciskiem myszy określonego rekordu powoduje wyświetlenie menu kontekstowego. W menu kontekstowym są dostępne następujące opcje: Pokaż umożliwia wyświetlenie w nowym oknie szczegółowych informacji na temat wybranego dziennika (tak samo, jak po dwukrotnym kliknięciu). Filtruj rekordy tego samego typu funkcja ta aktywuje filtrowanie dziennika i prezentuje wyłącznie rekordy tego samego typu, co wybrany rekord. Filtr po kliknięciu tej opcji w oknie Filtrowanie dziennika można zdefiniować kryteria filtrowania dla określonych wpisów w dzienniku. Włącz filtr umożliwia aktywację ustawień filtra. Podczas pierwszego uruchomienia tej opcji należy zdefiniować kryteria filtrowania, a przy kolejnych jej uruchomieniach zostanie włączony filtr z uprzednio zdefiniowanymi kryteriami. Wyłącz filtr wyłącza filtrowanie (tak samo, jak kliknięcie przełącznika w dolnej części). Opcja ta dostępna jest wyłącznie wówczas, gdy włączone jest filtrowanie. Kopiuj opcja ta kopiuje informacje z zaznaczonych/podświetlonych rekordów do schowka. Kopiuj wszystko umożliwia skopiowanie danych z wszystkich rekordów wyświetlanych w oknie. Usuń umożliwia usunięcie wybranych/podświetlonych rekordów. Korzystanie z tej funkcji wymaga uprawnień administratora. Usuń wszystko umożliwia usunięcie wszystkich rekordów. Korzystanie z tej funkcji wymaga uprawnień administratora. Eksportuj umożliwia wyeksportowanie informacji z wybranych/podświetlonych rekordów do pliku XML. Znajdź otwiera okno Znajdź w dzienniku i umożliwia zdefiniowanie kryteriów wyszukiwania. Funkcja ta działa również w przypadku przefiltrowanej zawartości, co jest przydatne, gdy nadal widocznych jest zbyt wiele wpisów. Znajdź następny umożliwia wyszukanie następnego wystąpienia elementu odpowiadającego uprzednio zdefiniowanemu wyszukaniu (patrz powyżej). Znajdź poprzedni umożliwia znalezienie poprzedniego wystąpienia. Przewijaj dziennik pozostawienie tej opcji włączonej powoduje, że w oknie Pliki dziennika stare dzienniki są przewijane automatycznie i wyświetlane są aktywne dzienniki. 30

31 7.5 Skanowanie Skaner na żądanie jest ważnym składnikiem programu ESET File Security. Służy on do badania plików i folderów na komputerze. Z punktu widzenia bezpieczeństwa ważne jest, aby skanowanie komputera było przeprowadzane nie tylko w przypadku podejrzenia infekcji, ale regularnie w ramach rutynowych działań związanych z bezpieczeństwem. Zalecane jest regularne (np. raz w miesiącu) przeprowadzanie dokładnego skanowania systemu w celu wykrycia wirusów, które nie zostają wykryte przez funkcję Ochrona systemu plików w czasie rzeczywistym. Mogłoby się to zdarzyć, gdyby Ochrona systemu plików w czasie rzeczywistym była wyłączona w danym momencie, gdyby baza sygnatur wirusów była nieaktualna lub gdyby plik nie został rozpoznany jako wirus podczas zapisywania go na dysku. Dostępne są dwa typy operacji Skanowanie komputera. Opcja Skanowanie inteligentne umożliwia szybkie przeskanowanie systemu bez konieczności dodatkowego konfigurowania parametrów skanowania. Opcja Skanowanie niestandardowe umożliwia wybranie jednego ze wstępnie zdefiniowanych profili skanowania oraz określenie obiektów skanowania. Zobacz rozdział Postęp skanowania, aby uzyskać więcej informacji o procesie skanowania. Skanowanie pamięci masowej Skanowanie wszystkich folderów udostępnionych na serwerze lokalnym. Jeżeli opcja Skanowanie pamięci masowej jest niedostępna, oznacza to, że na serwerze nie ma folderów udostępnionych. 31

32 Skanowanie inteligentne Tryb skanowania inteligentnego umożliwia szybkie uruchomienie skanowania komputera i wyleczenie zainfekowanych plików bez konieczności podejmowania dodatkowych działań przez użytkownika. Zaletą skanowania inteligentnego jest łatwość obsługi i brak konieczności szczegółowej konfiguracji skanowania. W ramach skanowania inteligentnego sprawdzane są wszystkie pliki na dyskach lokalnych, a wykryte infekcje są automatycznie leczone lub usuwane. Automatycznie ustawiany jest domyślny poziom leczenia. Szczegółowe informacje na temat typów leczenia można znaleźć w sekcji Leczenie. Skanowanie niestandardowe Skanowanie niestandardowe stanowi optymalne rozwiązanie, jeśli użytkownik chce sam określić parametry skanowania, takie jak skanowane obiekty i metody skanowania. Zaletą skanowania niestandardowego jest możliwość szczegółowej konfiguracji parametrów. Konfiguracje można zapisywać w zdefiniowanych przez użytkownika profilach skanowania, które mogą być przydatne, jeśli skanowanie jest przeprowadzane wielokrotnie z zastosowaniem tych samych parametrów. Aby wybrać skanowane obiekty, należy wybrać kolejno opcje Skanowanie komputera > Skanowanie niestandardowe, a następnie wybrać odpowiednią pozycję z menu rozwijanego Skanowane obiekty lub wybrać żądane obiekty w strukturze drzewa. Skanowane obiekty można również wskazać przez wprowadzenie ścieżki do folderu lub plików, które mają zostać uwzględnione. Jeśli użytkownik chce tylko przeskanować system bez wykonywania dodatkowych działań związanych z leczeniem, należy wybrać opcję Skanuj bez leczenia. Podczas przeprowadzania skanowania można wybrać jeden z trzech poziomów leczenia, klikając kolejno opcje Ustawienia > Parametry technologii ThreatSense > Leczenie. Skanowanie komputera w trybie skanowania niestandardowego jest zalecane tylko w przypadku zaawansowanych użytkowników, którzy mają już doświadczenie w posługiwaniu się programami antywirusowymi. Skanowanie nośników wymiennych Podobnie jak skanowanie inteligentne, ta opcja umożliwia szybkie uruchomienie skanowania nośników wymiennych (takich jak płyta CD, DVD lub dysk USB) podłączonych do komputera. Jest ona przydatna w przypadku, gdy użytkownik podłączy do komputera dysk USB i chce uruchomić skanowanie jego zawartości w celu wykrycia szkodliwego oprogramowania i innych potencjalnych zagrożeń. Ten typ skanowania można również uruchomić, klikając opcję Skanowanie niestandardowe i wybierając opcję Nośniki wymienne z menu rozwijanego Skanowane obiekty, a następnie klikając przycisk Skanuj. Powtórz ostatnie skanowanie Ta opcja umożliwia uruchomienie ostatniego przeprowadzonego skanowania (skanowania pamięci masowej, inteligentnego, niestandardowego itp.) z zachowaniem identycznych ustawień. UWAGA: Zaleca się uruchamianie skanowania komputera co najmniej raz w miesiącu. Skanowanie można skonfigurować jako zaplanowane zadanie za pomocą opcji Narzędzia > Harmonogram. 32

33 7.6 Aktualizacja Regularne aktualizowanie programu ESET File Security to najlepszy sposób na utrzymanie najwyższego poziomu bezpieczeństwa komputera. Moduł aktualizacji zapewnia aktualność programu na dwa sposoby: przez aktualizowanie bazy sygnatur wirusów oraz aktualizowanie komponentów systemu. Klikając w głównym oknie programu przycisk Aktualizacja, można sprawdzić bieżący stan aktualizacji, w tym datę i godzinę ostatniej pomyślnej aktualizacji, oraz ustalić, czy w danej chwili należy przeprowadzić aktualizację. W głównym oknie jest również wyświetlana wersja bazy sygnatur wirusów. Ten liczbowy wskaźnik stanowi aktywne łącze do witryny internetowej firmy ESET zawierającej listę wszystkich sygnatur dodanych w ramach określonej aktualizacji. Aby rozpocząć procedurę aktualizacji, należy kliknąć pozycję Aktualizuj teraz. Aktualizacja bazy sygnatur wirusów oraz aktualizacja komponentów programu są istotnymi elementami procesu zapewniania kompleksowej ochrony przed szkodliwym kodem. Ostatnia pomyślna aktualizacja data ostatniej aktualizacji. Powinna to być niedawna data, co oznacza, że baza sygnatur wirusów jest aktualna. Wersja bazy sygnatur wirusów numer bazy sygnatur wirusów, który jest jednocześnie aktywnym łączem do witryny internetowej firmy ESET. Kliknięcie go powoduje wyświetlenie listy wszystkich sygnatur dodanych w ramach danej aktualizacji. 33

34 Procedura aktualizacji Po kliknięciu pozycji Aktualizuj teraz rozpoczyna się proces pobierania i wyświetlany jest postęp aktualizacji. Aby przerwać aktualizację, należy kliknąć przycisk Anuluj aktualizację. Ważne: W normalnych warunkach po prawidłowym pobraniu aktualizacji w oknie Aktualizacja pojawia się komunikat Aktualizacja nie jest konieczna zainstalowana baza sygnatur wirusów jest aktualna. Jeżeli tak nie jest, program jest nieaktualny i jest bardziej podatny na zarażenie. Należy wówczas jak najszybciej zaktualizować bazę sygnatur wirusów. W przeciwnym razie zostanie wyświetlony jeden z następujących komunikatów: Baza sygnatur wirusów jest nieaktualna ten komunikat o błędzie jest wyświetlany po kilku nieudanych próbach aktualizacji bazy sygnatur wirusów. Zaleca się sprawdzenie ustawień aktualizacji. Najczęstszym powodem wystąpienia tego błędu jest niewłaściwe wprowadzenie danych uwierzytelniających lub nieprawidłowe skonfigurowanie ustawień połączenia. Poprzednie powiadomienie związane jest z następującymi dwoma rodzajami komunikatu Aktualizacja bazy sygnatur wirusów nie powiodła się o niepowodzeniu aktualizacji: Nieprawidłowa licencja w konfiguracji aktualizacji nieprawidłowo wprowadzono klucz licencyjny. Zalecane jest sprawdzenie danych uwierzytelniających. W oknie Ustawienia zaawansowane (dostępnym po naciśnięciu klawisza F5 na klawiaturze) dostępne są dodatkowe opcje aktualizacji. W menu głównym kliknij kolejno opcje Pomoc i obsługa > Zarządzanie licencją, aby wprowadzić nowy klucz licencyjny. Wystąpił błąd podczas pobierania plików aktualizacji możliwa przyczyna błędu to nieprawidłowe ustawienia połączenia internetowego. Zalecamy sprawdzenie połączenia z Internetem przez otwarcie w przeglądarce internetowej dowolnej strony. Jeśli strona nie zostanie otwarta, prawdopodobnie połączenie z Internetem nie zostało nawiązane lub komputer ma problemy z komunikacją. W razie braku aktywnego połączenia z Internetem należy skontaktować się z dostawcą usług internetowych. UWAGA: Więcej informacji można znaleźć w tym artykule bazy wiedzy firmy ESET. 34

35 7.7 Narzędzia W menu Narzędzia można skonfigurować moduły, które upraszczają administrowanie programem i zawierają dodatkowe opcje. To menu zawiera następujące narzędzia: Uruchomione procesy Monitor aktywności ESET Log Collector Statystyki ochrony Klaster ESET Shell ESET SysInspector ESET SysRescue Live Harmonogram Przesyłanie próbek do analizy Kwarantanna 35

36 7.7.1 Uruchomione procesy Funkcja Uruchomione procesy wyświetla uruchomione na komputerze programy lub procesy oraz natychmiastowo i w sposób ciągły informuje firmę ESET o nowych infekcjach. Program ESET File Security dostarcza szczegółowych informacji o uruchomionych procesach i chroni użytkowników dzięki zastosowaniu technologii ESET Live Grid. Poziom ryzyka w większości przypadków produkt ESET File Security i technologia ESET Live Grid przypisują obiektom (plikom, procesom, kluczom rejestru itd.) poziomy ryzyka, używając do tego wielu reguł heurystyki. Na podstawie tych reguł badana jest charakterystyka danego obiektu, a następnie oceniana możliwość jego szkodliwego działania. Na podstawie analizy heurystycznej obiektom przypisywane są poziomy ryzyka od 1 (Czysty kolor zielony) do 9 (Ryzykowny kolor czerwony). Proces nazwa obrazu programu lub procesu, który jest obecnie uruchomiony na komputerze. Aby zobaczyć wszystkie procesy uruchomione na komputerze, można również skorzystać z Menedżera zadań systemu Windows. Aby otworzyć Menedżera zadań, należy kliknąć prawym przyciskiem myszy puste miejsce na pasku zadań i kliknąć opcję Menedżer zadań albo nacisnąć klawisze Ctrl+Shift+Esc na klawiaturze. PID jest to identyfikator uruchomionych procesów w systemach operacyjnych Windows. UWAGA: Znane aplikacje oznaczone jako Czysty (kolor zielony) są całkowicie bezpieczne (biała lista) i zostaną wyłączone ze skanowania, co zwiększy prędkość skanowania dostępnego po włączeniu opcji Skanowanie komputera i Ochrona systemu plików w czasie rzeczywistym na komputerze użytkownika. Liczba użytkowników liczba użytkowników korzystających z danej aplikacji. Te informacje są zbierane przez technologię ESET Live Grid. Czas wykrycia okres od wykrycia aplikacji przez technologię ESET Live Grid. UWAGA: Poziom bezpieczeństwa aplikacji oznaczony jako Nieznany (kolor pomarańczowy) nie zawsze oznacza, że jest to szkodliwe oprogramowanie. Zwykle jest to po prostu nowa aplikacja. W przypadku braku pewności co do bezpieczeństwa pliku można przesłać plik do analizy w laboratorium firmy ESET. Jeśli okaże się, że jest to szkodliwa aplikacja, możliwość jej wykrycia zostanie dodana do jednej z przyszłych aktualizacji bazy sygnatur wirusów. 36

37 Nazwa aplikacji nazwa programu, z którym związany jest dany proces. Kliknięcie danej aplikacji u dołu spowoduje wyświetlenie następujących informacji u dołu okna: Ścieżka lokalizacja aplikacji na komputerze. Rozmiar rozmiar pliku w kilobajtach (KB) lub megabajtach (MB). Opis charakterystyka pliku oparta na jego opisie w systemie operacyjnym. Firma nazwa dostawcy lub procesu aplikacji. Wersja informacje od wydawcy aplikacji. Produkt nazwa aplikacji i/lub nazwa handlowa. Data utworzenia data i godzina utworzenia aplikacji. Data modyfikacji data i godzina ostatniej modyfikacji aplikacji. UWAGA: Można również sprawdzić reputację plików, które nie funkcjonują jako uruchomione programy/procesy. W tym celu należy zaznaczyć pliki, które mają zostać sprawdzone, kliknąć je prawym przyciskiem myszy i z menu kontekstowego wybrać kolejno pozycje Opcje zaawansowane > Sprawdź reputację pliku przy użyciu systemu ESET Live Grid. 37

38 7.7.2 Monitor aktywności Aby wyświetlić aktualny wykres Działanie systemu plików, kliknij opcję Narzędzia > Monitor aktywności. W postaci dwóch wykresów przedstawiona jest tam ilość danych odczytanych i zapisanych w systemie. U dołu wykresu znajduje się oś czasu, na której w czasie rzeczywistym rejestrowane są działania w systemie plików (na podstawie wybranego przedziału czasowego). Aby zmienić czas trwania tego przedziału, wybierz odpowiednią wartość z menu rozwijanego Częstotliwość odświeżania. Dostępne są następujące opcje: 1 sekunda wykres jest odświeżany co sekundę, a oś czasu odpowiada ostatnim 10 minutom. 1 minuta (ostatnie 24 godziny) wykres jest odświeżany co minutę, a oś czasu odpowiada ostatnim 24 godzinom. 1 godzina (ostatni miesiąc) wykres jest odświeżany co godzinę, a oś czasu odpowiada ostatniemu miesiącowi. 1 godzina (wybrany miesiąc) wykres jest odświeżany co godzinę, a oś czasu odpowiada wybranemu miesiącowi. Kliknij przycisk Zmień miesiąc, aby dokonać innego wyboru. Na osi pionowej w obszarze Wykres działań w systemie plików prezentowana jest ilość danych odczytanych (kolor niebieski) i zapisanych (kolor czerwony). Obydwie wartości są podawane w KB/MB/GB. Po wskazaniu kursorem danych odczytanych lub zapisanych (na legendzie umieszczonej pod wykresem) wyświetlane będą tylko dane dotyczące wybranego typu działania. 38

39 7.7.3 Wybór okresu Należy wybrać miesiąc (i rok), dla którego mają zostać wyświetlone dane na wykresie Działania w systemie plików ESET Log Collector ESET Log Collector to aplikacja, która automatycznie gromadzi informacje, takie jak dane konfiguracji i dzienniki z serwera, aby pomóc w szybszym rozwiązywaniu problemów. W przypadku kontaktu z działem obsługi klienta firmy ESET pracownik może poprosić użytkownika o udostępnienie wpisów dziennika z danego komputera. Kolektor dzienników ESET ułatwia użytkownikom gromadzenie niezbędnych informacji. Narzędzie ESET Log Collector dostępne jest z poziomu menu głównego po kliknięciu kolejno opcji Narzędzia > Kolektor dzienników ESET. Zaznacz odpowiednie pola wyboru dla wpisów dziennika, które chcesz zbierać. Jeśli nie masz pewności, co wybrać, pozostaw wszystkie pola wyboru zaznaczone (domyślnie). Wskaż lokalizację, gdzie chcesz zapisywać pliki archiwum, a następnie kliknij opcję Zapisz. Nazwa pliku archiwum jest wstępnie zdefiniowana. Kliknij opcję Zbieraj. Podczas zbierania możesz wyświetlać w dolnej części ekranu okno dziennika operacyjnego, gdzie widać, która operacja jest obecnie w toku. Po zakończeniu zbierania zostaną wyświetlone wszystkie zebrane i zarchiwizowane pliki. Oznacza to, że proces zbierania został zakończony pomyślnie, a plik archiwum (na przykład emsx_logs.zip) został zapisany we wskazanej lokalizacji. Aby uzyskać więcej informacji dotyczących narzędzia ESET Log Collector oraz listy plików zbieranych obecnie przez 39

40 narzędzie ESET Log Collector, przejdź do bazy wiedzy firmy ESET Statystyki ochrony Aby wyświetlić wykres danych statystycznych dotyczących modułów ochrony programu ESET File Security, należy kliknąć opcję Narzędzia > Statystyki ochrony. Z menu rozwijanego Statystyki należy wybrać żądany moduł ochrony, aby wyświetlić odpowiedni wykres i legendę. Po wskazaniu kursorem pozycji w legendzie na wykresie wyświetlone zostaną tylko dane dotyczące tej pozycji. Dostępne są następujące wykresy statystyczne: Ochrona antywirusowa i antyspyware wyświetla liczbę zarażonych i wyleczonych obiektów. Ochrona systemu plików wyświetlane są tylko obiekty odczytane z systemu plików lub w nim zapisane. Ochrona programów poczty zawiera jedynie obiekty wysłane lub odebrane za pośrednictwem programów poczty . Ochrona dostępu do stron internetowych i ochrona przed atakami typu phishing wyświetlane są tylko obiekty pobrane przez przeglądarki internetowe. Obok wykresów danych statystycznych wyświetlana jest liczba wszystkich przeskanowanych obiektów, liczba zainfekowanych obiektów, liczba wyleczonych obiektów oraz liczba niezainfekowanych obiektów. Kliknięcie pozycji Resetuj umożliwia usunięcie danych statystycznych, a kliknięcie pozycji Resetuj wszystkie usunięcie wszystkich istniejących danych. 40

41 7.7.6 Klaster Klaster ESET to infrastruktura komunikacji P2P linii produktów firmy ESET dla serwera Microsoft Windows Server. Infrastruktura ta umożliwia wzajemną komunikację produktów serwerowych firmy ESET oraz wymianę danych, takich jak konfiguracje i powiadomienia, a także synchronizację danych niezbędnych do prawidłowego działania grupy instancji produktu. Przykładem takiej grupy jest grupa węzłów w klastrze Windows Failover lub klastrze Network Load Balancing (NLB) z zainstalowanym produktem, gdzie istnieje potrzeba zastosowania tej samej konfiguracji produktu w całym klastrze. Klaster ESET zapewnia tę spójność pomiędzy instancjami. Strona stanu klastra ESET dostępna jest w menu głównym, po kliknięciu pozycji Narzędzia > Klaster, a jeśli konfiguracja jest prawidłowa, strona stanu powinna wyglądać następująco: Aby skonfigurować klaster ESET, kliknij pozycję Kreator konfiguracji klastrów. Aby uzyskać więcej informacji dotyczących konfiguracji klastra ESET przy użyciu kreatora, kliknij tutaj. Podczas konfiguracji klastra ESET istnieją dwa sposoby dodawania węzłów automatyczny, z wykorzystaniem istniejącego klastra Windows Failover/NLB, lub ręczny, polegający na przeglądaniu komputerów należących do grupy roboczej lub domeny. Funkcja Autowykrywanie automatycznie wykrywa węzły należące już do klastra Windows Failover/NLB i dodaje je do klastra ESET. Opcja Przeglądaj umożliwia dodawanie węzłów ręcznie, poprzez wpisywanie nazw serwerów (zarówno należących do tej samej grupy roboczej, jak i należących do tej samej domeny). UWAGA: Aby korzystać z funkcji klastra ESET, serwery nie muszą należeć do klastra Windows Failover/NLB. Do korzystania z klastrów ESET w danym środowisku nie jest wymagane istnienie klastra Windows Failover ani NLB. Po dodaniu węzłów do klastra ESET kolejnym krokiem jest instalacja produktu ESET File Security na każdym z węzłów. Przebiega to automatycznie podczas konfiguracji klastra ESET. 41

42 Poświadczenia wymagane do instalacji zdalnej produktu ESET File Security na pozostałych węzłach klastra: Dla domeny poświadczenia administratora domeny. Dla grupy roboczej należy dopilnować, aby wszystkie węzły korzystały z tych samych lokalnych poświadczeń konta. W klastrze ESET można również korzystać z kombinacji węzłów dodawanych automatycznie, jako elementów istniejącego klastra Windows Failover/NLB, oraz węzłów dodawanych ręcznie (pod warunkiem, że należą do tej samej domeny). UWAGA: Nie można tworzyć kombinacji węzłów domen z węzłami grup roboczych. Kolejny wymóg dotyczący korzystania z klastra ESET to konieczność włączenia opcji Udostępnianie plików i drukarek w zaporze systemu Windows przed wypchnięciem instalacji produktu ESET File Security do węzłów klastra ESET. Klaster ESET można w razie potrzeby łatwo zlikwidować, klikając opcję Zniszcz klaster. Każdy z węzłów umieści w swoim dzienniku zdarzeń wpis dotyczący klastra ESET podlegającego zniszczeniu. Po zakończeniu tego procesu wszystkie reguły zapory ESET zostaną usunięte z zapory systemu Windows. Byłe węzły zostaną przywrócone do poprzedniego stanu i mogą w razie potrzeby zostać ponownie wykorzystane w innym klastrze ESET. UWAGA: Tworzenie klastrów ESET między produktem ESET File Security a programem ESET File Security dla systemu Linux nie jest obsługiwane. Do istniejącego klastra ESET można w dowolnym momencie dodać nowe węzły, uruchamiając narzędzie Kreator konfiguracji i klastrów w sposób opisany powyżej oraz tutaj. Więcej informacji na temat konfigurowania klastra ESET można znaleźć w sekcji Klaster roboczy ESET Shell eshell (krótka forma nazwy ESET Shell) to interfejs wiersza polecenia programu ESET File Security. Stanowi on alternatywę dla graficznego interfejsu użytkownika (GUI). Interfejs eshell oferuje te same funkcje i opcje, które są dostępne za pośrednictwem interfejsu GUI. Interfejs eshell pozwala konfigurować program i administrować nim bez użycia interfejsu GUI. Zawiera on wszystkie funkcje dostępne w interfejsie GUI, a ponadto umożliwia zautomatyzowanie działań za pomocą skryptów uruchamianych w celu konfigurowania ustawień, modyfikowania konfiguracji lub wykonywania określonych czynności. Interfejs eshell może być również przydatny dla tych użytkowników, którzy wolą wiersz polecenia od interfejsu GUI. Interfejs eshell można uruchamiać w dwóch trybach: Tryb interaktywny jest przydatny, kiedy interfejs eshell ma zostać użyty do wykonania jakiegoś ogólniejszego działania (a nie tylko jednego polecenia), np. zmodyfikowania konfiguracji albo wyświetlenia dzienników. Tryb interaktywny jest też pomocny, gdy użytkownik nie zna jeszcze wszystkich poleceń. Tryb interaktywny ułatwia nawigowanie po interfejsie eshell. Są w nim również wyświetlane dostępne polecenia, których można użyć w danej sytuacji. Pojedyncze polecenie/tryb wsadowy tego trybu można użyć, aby wykonać tylko jedno polecenie bez uruchamiania trybu interaktywnego interfejsu eshell. Można to zrobić za pomocą wiersza polecenia systemu Windows, wpisując polecenie eshell z odpowiednimi parametrami. Przykład: eshell get status lub eshell set antivirus status disabled Aby umożliwić uruchamianie pewnych poleceń (takich jak drugie polecenie z powyższego przykładu) w trybie wsadowym lub skryptowym, należy najpierw skonfigurować pewne ustawienia. W przeciwnym razie zostanie wyświetlony komunikat Odmowa dostępu. Jest to podyktowane względami bezpieczeństwa. 42

43 UWAGA: W celu uzyskania pełnej funkcjonalności zalecane jest otwarcie interfejsu eshell przy użyciu opcji Uruchom jako administrator. To samo dotyczy wykonywania pojedynczego polecenia przy użyciu wiersza polecenia systemu Windows (cmd). Wiersz polecenia należy otworzyć przy użyciu opcji Uruchom jako administrator. W przeciwnym razie nie będzie można wykonać wszystkich poleceń. Jest to spowodowane brakiem wystarczających uprawnień w przypadku otwarcia wiersza polecenia (cmd) lub interfejsu eshell przy użyciu konta innego niż konto administratora. UWAGA: Aby uruchamiać polecenia interfejsu eshell z wiersza polecenia systemu Windows lub uruchamiać pliki wsadowe, należy najpierw wprowadzić pewne ustawienia. Aby uzyskać więcej informacji o uruchamianiu plików wsadowych, kliknij tutaj. Tryb interaktywny interfejsu eshell można włączyć na dwa sposoby: Za pomocą menu Start systemu Windows: Start > Wszystkie programy > ESET > ESET File Security > ESET shell Za pomocą wiersza polecenia systemu Windows, wpisując polecenie eshell i naciskając klawisz Enter Przy pierwszym uruchomieniu interfejsu eshell w trybie interaktywnym wyświetlany jest ekran pierwszego uruchomienia (przewodnik). UWAGA: Aby później wyświetlić ekran pierwszego uruchomienia, należy wpisać polecenie guide. Przedstawia on kilka podstawowych przykładów używania interfejsu eshell z zastosowaniem składni, przedrostka, ścieżki polecenia, form skróconych, aliasów itp. Jest to w zasadzie krótki przewodnik po interfejsie eshell. Przy następnym uruchomieniu interfejsu eshell wyświetlony zostanie następujący ekran: UWAGA: W poleceniach nie jest rozróżniana wielkość liter. Można używać zarówno wielkich, jak i małych liter nie będzie to miało wpływu na wykonanie polecenia. Dostosowywanie interfejsu eshell Ustawienia interfejsu eshell można dostosować w kontekście ui eshell. Można skonfigurować aliasy, kolory, język, zasady wykonywania skryptów, wyświetlanie ukrytych poleceń, a także inne ustawienia. 43

44 Sposób użycia Składnia Polecenia muszą być sformatowane według określonych reguł składniowych i mogą składać się z przedrostka, kontekstu, argumentów, opcji itd. Ogólna składnia używana w całym interfejsie eshell to: [<przedrostek>] [<ścieżka polecenia>] <polecenie> [<argumenty>] Przykład (uaktywnienie ochrony dokumentów): SET ANTIVIRUS DOCUMENT STATUS ENABLED SET przedrostek ścieżka do określonego polecenia; kontekst, do którego należy dane polecenie. samo polecenie ENABLED argument polecenia ANTIVIRUS DOCUMENT STATUS Wpisanie? jako argumentu w poleceniu umożliwia wyświetlenie składni danego polecenia. Na przykład przy użyciu polecenia STATUS? można wyświetlić składnię polecenia STATUS: SKŁADNIA: [get] status set status enabled disabled Można zauważyć, że wyraz [get] znajduje się w nawiasach kwadratowych. To oznacza, że ciąg get jest przedrostkiem domyślnym polecenia status. Oznacza to, że gdy polecenie status zostanie wykonane bez określonego przedrostka, w rzeczywistości zostanie użyty przedrostek domyślny (w tym przypadku get status). Używanie poleceń bez przedrostków pozwala zaoszczędzić czas podczas pisania. Zazwyczaj przedrostek get jest przedrostkiem domyślnym większości poleceń. Należy się jednak upewnić, jaki przedrostek domyślny jest stosowany do określonego polecenia oraz czy spowoduje on wykonanie żądanej operacji. UWAGA: Wielkość liter używanych w poleceniach nie jest rozróżniana. Można używać zarówno wielkich, jak i małych liter nie będzie to miało wpływu na wykonanie polecenia. Przedrostek lub operacja Przedrostek oznacza operację. Za pomocą przedrostka GET można wyświetlić informacje o konfiguracji określonej funkcji programu ESET File Security lub jej stanie (na przykład polecenie GET ANTIVIRUS STATUS umożliwia wyświetlenie informacji o aktualnym stanie ochrony). Za pomocą przedrostka SET można skonfigurować funkcję lub zmodyfikować jej stan (polecenieset ANTIVIRUS STATUS ENABLED uaktywnia ochronę). Oto przedrostki używane w interfejsie eshell. Polecenie może nie obsługiwać wszystkich poniższych przedrostków: zwrócenie bieżącego ustawienia/stanu SET ustawienie wartości/stanu SELECT wybranie elementu ADD dodanie elementu REMOVE usunięcie elementu CLEAR usunięcie wszystkich elementów/plików START rozpoczęcie wykonywania czynności STOP zakończenie wykonywania czynności PAUSE wstrzymanie czynności RESUME wznowienie czynności RESTORE przywrócenie ustawień domyślnych lub domyślnego obiektu/pliku SEND wysłanie obiektu/pliku IMPORT importowanie z pliku EXPORT eksportowanie do pliku GET Przedrostki takie, jak GET i SET, mogą być używane z wieloma poleceniami. Jednak niektóre polecenia, takie jak EXIT, nie obsługują przedrostków. 44

45 Ścieżka polecenia/kontekst Polecenia są umieszczane w kontekstach, które tworzą strukturę drzewa. Górny poziom drzewa stanowi katalog główny (root). Po uruchomieniu interfejsu eshell użytkownik znajduje się na poziomie katalogu głównego: eshell> Można wykonywać polecenia z tego poziomu lub wprowadzić nazwę kontekstu, aby nawigować w obszarze drzewa. Na przykład wprowadzenie kontekstu TOOLS spowoduje wyświetlenie listy wszystkich poleceń i kontekstów podrzędnych dostępnych z tego poziomu. Kolorem żółtym oznaczono polecenia możliwe do wykonania. Kolorem szarym wyróżniono konteksty podrzędne, do których można przejść. Kontekst podrzędny zawiera dodatkowe polecenia. Aby przejść z powrotem na wyższy poziom, należy wpisać.. (dwie kropki). Załóżmy, że użytkownik znajduje się na następującym poziomie: eshell antivirus startup> Po wpisaniu ciągu.. będzie znajdować się o jeden poziom wyżej: eshell antivirus> Aby powrócić do poziomu katalogu głównego z poziomu eshell antivirus startup> (który znajduje się o dwa poziomy niżej niż katalog główny), należy wpisać ciąg.... (dwie kropki, spacja, dwie kropki). W ten sposób można przejść o dwa poziomy wyżej, czyli w tym przypadku do poziomu katalogu głównego. Przy użyciu lewego ukośnika \ można powrócić bezpośrednio do katalogu głównego z dowolnego poziomu drzewa kontekstu. Aby przejść do określonego kontekstu na wyższych poziomach, wystarczy użyć odpowiedniej liczby ciągów.. tyle razy, ile potrzeba do przejścia na żądany poziom. Ciągi te należy oddzielić od siebie spacjami. Na przykład w celu przejścia o trzy poziomy wyżej należy użyć ciągu Ścieżka jest względna wobec bieżącego kontekstu. Jeśli polecenie jest zawarte w bieżącym kontekście, nie należy podawać ścieżki. Aby na przykład wykonać polecenie GET ANTIVIRUS STATUS należy wprowadzić następujący ciąg: z poziomu kontekstu elementu głównego (wiersz polecenia ma postać eshell>) z poziomu kontekstu ANTIVIRUS (wiersz polecenia ma postać eshell antivirus>).. GET STATUS z poziomu kontekstu ANTIVIRUS STARTUP (wiersz polecenia ma postać eshell antivirus startup> ) GET ANTIVIRUS STATUS GET STATUS UWAGA: Można użyć jednego znaku. (kropka) zamiast dwóch.. ze względu na to, że pojedyncza kropka jest skrótem dla dwóch kropek. Przykład:. GET STATUS z poziomu kontekstu ANTIVIRUS STARTUP (wiersz polecenia ma postać eshell antivirus startup> ) 45

46 Argument Argument oznacza czynność wykonywaną dla określonego polecenia. Na przykład polecenie CLEAN-LEVEL (znajdujące się w kontekście ANTIVIRUS REALTIME ENGINE) może być używane z następującymi argumentami: brak leczenia normal leczenie normalne strict leczenie dokładne no Inne przykłady argumentów to ENABLED lub DISABLED, które służą do włączania i wyłączania określonych funkcji. Forma skrócona/polecenia skrócone W interfejsie eshell można skracać konteksty, polecenia i argumenty (o ile dany argument jest przełącznikiem lub opcją alternatywną). Nie można skracać przedrostków i argumentów będących konkretną wartością, taką jak liczba, nazwa lub ścieżka. Przykłady formy skróconej: set status enabled => set stat en add antivirus common scanner-excludes C:\ścieżka\plik.ext => add ant com scann C:\ścieżka\plik.ext W przypadku, gdy dwa polecenia lub konteksty rozpoczynają się taką samą literą, na przykład ABOUT i ANTIVIRUS, a użytkownik wprowadzi literę A jako polecenie skrócone, rozróżnienie, które z poleceń ma zostać wykonane w interfejsie eshell, będzie niemożliwe. Zostanie wówczas wyświetlony komunikat o błędzie oraz lista poleceń rozpoczynających się literą A, z których można wybrać odpowiednie: eshell>a Następujące polecenie nie jest unikatowe: a W tym kontekście dostępne są następujące polecenia: ABOUT wyświetlanie informacji o programie ANTIVIRUS zmiana kontekstu na antivirus Po dodaniu przez użytkownika jednej lub kilku liter (np. AB zamiast samej litery A,) w interfejsie eshell zostanie wykonane polecenie ABOUT, ponieważ w tym momencie będzie ono unikatowe. UWAGA: Aby mieć pewność, że polecenie zostanie wykonane prawidłowo, zaleca się używanie pełnych form poleceń, argumentów i innych elementów zamiast form skróconych. Pozwala to na wykonanie polecenia w wymagany sposób i uniknięcie niepożądanych błędów. Ma to szczególne znaczenie w przypadku plików wsadowych i skryptów. Automatyczne uzupełnianie To nowa funkcja dostępna w narzędziu eshell od wersji 2.0. Działa bardzo podobnie do funkcji automatycznego uzupełniania w wierszu polecenia systemu Windows. W wierszu polecenia systemu Windows uzupełniane są ścieżki do plików, natomiast w narzędziu eshell uzupełniane są polecenia, konteksty, a także nazwy operacji. Uzupełnianie argumentów nie jest obsługiwane. Podczas wpisywania polecenia wystarczy nacisnąć klawisz TAB, aby uzupełnić wpis lub przejrzeć kolejno dostępne opcje. Aby przeglądać wstecz, należy nacisnąć klawisze SHIFT + TAB. Łączenie form skróconych i automatycznego uzupełniania nie jest obsługiwane. Należy użyć jednej z tych metod. Na przykład naciśnięcie klawisza TAB po wprowadzeniu ciągu antivir real scan nie przyniesie żadnego efektu. Zamiast tego należy wpisać antivir, a następnie nacisnąć klawisz TAB w celu uzupełnienia wpisu do postaci antivirus, przejść do wpisywania real, po czym nacisnąć klawisz TAB, a następnie wpisać scan i nacisnąć klawisz TAB. Można wówczas przeglądać wszystkie dostępne opcje: scan-create, scan-execute, scan-open itd. Aliasy Alias to alternatywna nazwa, przy użyciu której można wykonać polecenie (o ile do danego polecenia przypisano alias). Istnieje kilka aliasów domyślnych: zakończenie zakończenie (globalny) bye zakończenie warnlog zdarzenia zarejestrowane w dzienniku narzędzi virlog przypadki wykrycia zarejestrowane w dzienniku narzędzi antivirus on-demand log skanowania zarejestrowane w dzienniku narzędzi (globalny) close (globalny) quit 46

47 Oznaczenie (globalny) wskazuje, że dane polecenie może być użyte w dowolnym miejscu, niezależnie od bieżącego kontekstu. Do jednego polecenia można przypisać wiele aliasów, na przykład polecenie EXIT ma alias CLOSE, QUIT i BYE. Aby zakończyć działanie interfejsu eshell, można użyć polecenia EXIT lub dowolnego z jego aliasów. Alias VIRLOG jest aliasem polecenia DETECTIONS, które znajduje się w kontekście TOOLS LOG. Polecenie DETECTIONS jest więc dostępne w kontekście ROOT. Ułatwia to jego wykonywanie (nie trzeba przechodzić do kontekstu TOOLS, a następnie do kontekstu LOG, lecz można uruchomić polecenie bezpośrednio z kontekstu ROOT). Interfejs eshell umożliwia definiowanie własnych aliasów. Polecenie ALIAS można znaleźć w kontekście UI ESHELL. Ustawienia chronione hasłem Ustawienia programu ESET File Security mogą być chronione hasłem. Hasło można ustawić przy użyciu graficznego interfejsu użytkownika lub przy użyciu interfejsu eshell po wpisaniu polecenia set ui access lock-password. Następnie konieczne będzie interaktywne wprowadzanie tego hasła w przypadku niektórych poleceń (na przykład poleceń umożliwiających zmienianie ustawień lub modyfikowanie danych). Jeśli użytkownik planuje dłuższe korzystanie z interfejsu eshell i chciałby wyeliminować konieczność wielokrotnego wprowadzania hasła, możliwe jest zapamiętanie hasła w interfejsie eshell przy użyciu polecenia set password. Hasło będzie wówczas wprowadzane automatycznie przy wykonywaniu poleceń wymagających wprowadzenia hasła. Zostanie zapamiętane do momentu zamknięcia interfejsu eshell, co oznacza, że po rozpoczęciu nowej sesji konieczne będzie ponowne użycie polecenia set password w celu zapamiętania hasła w interfejsie eshell. Polecenia Guide i Help Wydanie polecenia GUIDE lub HELP powoduje wyświetlenie ekranu pierwszego uruchomienia, który zawiera informacje dotyczące sposobu korzystania z interfejsu eshell. To polecenie jest dostępne z kontekstu ROOT (eshell>). Historia poleceń Interfejs eshell zachowuje historię uprzednio wykonanych poleceń. Obejmuje ona tylko bieżącą interaktywną sesję interfejsu eshell. Po zakończeniu działania interfejsu eshell historia poleceń zostanie usunięta. W celu przeglądania historii należy użyć klawiszy strzałek w górę i w dół na klawiaturze. Po odnalezieniu odpowiedniego polecenia można wykonać je ponownie lub zmodyfikować bez konieczności ponownego wpisywania całego polecenia. Polecenie CLS/Czyszczenie ekranu Za pomocą polecenia CLS można wyczyścić ekran. Działa ono w taki sam sposób, jak w przypadku wiersza polecenia systemu Windows lub podobnego interfejsu wiersza polecenia. Polecenia EXIT/CLOSE/QUIT/BYE Aby zamknąć interfejs eshell lub zakończyć jego działanie, można użyć dowolnego z następujących poleceń (EXIT, CLOSE, QUIT lub BYE ) Polecenia W tej sekcji opisano kilka przykładowych poleceń interfejsu eshell. UWAGA: Wielkość liter używanych w poleceniach nie jest rozróżniana. Można używać zarówno wielkich, jak i małych liter nie będzie to miało wpływu na wykonanie polecenia. Polecenia przykładowe (zawarte w kontekście ROOT): ABOUT Wyświetlenie informacji o programie. Obejmują one nazwę zainstalowanego produktu, numer wersji, zainstalowane komponenty (łącznie z numerem wersji każdego z nich) oraz podstawowe informacje o serwerze i systemie operacyjnym, w którym działa program ESET File Security. ŚCIEŻKA KONTEKSTU: root 47

48 PASSWORD Aby wykonać polecenie chronione hasłem, zwykle ze względów bezpieczeństwa należy wpisać hasło. Zasada ta dotyczy na przykład poleceń wyłączających ochronę antywirusową bądź mogących wpływać na działanie programu ESET File Security. Użytkownik będzie proszony o podanie hasła przed każdym wykonaniem takiego polecenia. Aby nie wprowadzać hasła za każdym razem, można je zdefiniować. Zostanie ono zapamiętane przez interfejs eshell i będzie używane automatycznie przy wykonywaniu poleceń chronionych hasłem. Dzięki temu nie będzie konieczne każdorazowe wprowadzanie hasła przez użytkownika. UWAGA: Zdefiniowane hasło jest używane tylko podczas bieżącej interaktywnej sesji interfejsu eshell. Po zakończeniu pracy z interfejsem eshell zdefiniowane hasło jest usuwane. Po kolejnym uruchomieniu interfejsu eshell należy ponownie zdefiniować hasło. Zdefiniowane hasło jest też bardzo przydatne podczas uruchamiania plików wsadowych i skryptów. Oto przykład takiego pliku wsadowego: eshell start batch "&" set password plain <hasło> "&" set status disabled Powyższe połączone polecenie uruchamia tryb wsadowy, definiuje hasło, które będzie używane, oraz wyłącza ochronę. ŚCIEŻKA KONTEKSTU: root SKŁADNIA: [get] restore password set password [plain <hasło>] OPERACJE: get wyświetlenie hasła set ustawienie lub wyczyszczenie hasła restore wyczyszczenie hasła ARGUMENTY: plain przełączenie na wprowadzanie hasła jako parametru password hasło PRZYKŁADY: set password plain <hasło> ustawienie hasła, które będzie używane na potrzeby wykonywania poleceń chronionych hasłem restore password wyczyszczenie hasła PRZYKŁADY: get password to polecenie pozwala sprawdzić, czy hasło zostało skonfigurowane (wyświetlane są jedynie gwiazdki *, samo hasło nie jest widoczne). Brak gwiazdek oznacza, że hasło nie zostało jeszcze ustawione. set password plain <hasło> restore password ustawienie zdefiniowanego hasła wyczyszczenie zdefiniowanego hasła STATUS Wyświetlenie informacji o aktualnym stanie ochrony programu ESET File Security (podobnie jak w interfejsie GUI). ŚCIEŻKA KONTEKSTU: root 48

49 SKŁADNIA: [get] restore status set status disabled enabled OPERACJE: get wyświetlenie stanu ochrony antywirusowej set wyłączenie/włączenie ochrony antywirusowej restore przywrócenie ustawień domyślnych ARGUMENTY: wyłączona enabled wyłączenie ochrony antywirusowej włączenie ochrony antywirusowej PRZYKŁADY: get status wyświetlenie aktualnego stanu ochrony set status disabled restore status wyłączenie ochrony przywrócenie domyślnego ustawienia ochrony (włączone) VIRLOG To jest alias polecenia DETECTIONS. To polecenie służy do wyświetlania informacji o wykrytych infekcjach. WARNLOG To jest alias polecenia EVENTS. To polecenie służy do wyświetlania informacji o różnych zdarzeniach Pliki wsadowe i skrypty Interfejs eshell może posłużyć jako wydajne narzędzie do tworzenia skryptów umożliwiających automatyzację. Aby użyć pliku wsadowego w narzędziu eshell, należy utworzyć taki plik z wpisem eshell i odpowiednim poleceniem. Na przykład: eshell get antivirus status Można również tworzyć ciągi poleceń, co jest czasem konieczne. Na przykład w celu pobrania typu określonego zaplanowanego zadania, należy wprowadzić następujący ciąg: eshell select scheduler task 4 "&" get scheduler action Wybranie elementu (w tym przypadku zadania numer 4) zwykle ma zastosowanie wyłącznie w odniesieniu do instancji interfejsu eshell, która jest aktualnie uruchomiona. Gdyby uruchomiono te dwa polecenia jedno po drugim, drugie polecenie zakończyłoby się niepowodzeniem i błędem Nie wybrano zadania lub wybrane zadanie już nie istnieje. Ze względów bezpieczeństwa domyślne ustawienie zasad wykonywania to Ograniczona obsługa skryptów. Umożliwia to stosowanie interfejsu eshell jako narzędzia do monitorowania, ale nie pozwala na wprowadzanie zmian w konfiguracji programu ESET File Security. Użycie poleceń, które mogą mieć wpływ na bezpieczeństwo, takich jak wyłączenie zabezpieczeń, powoduje wyświetlenie komunikatu Odmowa dostępu. Aby możliwe było wykonywanie poleceń wprowadzających zmiany w konfiguracji, zalecamy korzystanie z podpisanych plików wsadowych. Jeśli z jakiegoś powodu konieczne jest umożliwienie zmian w konfiguracji przy użyciu pojedynczego polecenia wprowadzanego ręcznie w wierszu polecenia systemu Windows, należy nadać interfejsowi eshell pełne uprawnienia dostępu (niezalecane). W celu nadania pełnych uprawnień dostępu należy użyć polecenia ui eshell shell-execution-policy w trybie interaktywnym w samym narzędziu eshell. Można to również zrobić przy użyciu graficznego interfejsu użytkownika, wybierając kolejno pozycje Ustawienia zaawansowane > Interfejs użytkownika > ESET Shell. 49

50 Podpisane pliki wsadowe Interfejs eshell umożliwia zabezpieczanie zwykłych plików wsadowych (*.bat) podpisem. Skrypty są podpisywane przy użyciu tego samego hasła, które jest używane do ochrony ustawień. Aby podpisać skrypt, należy najpierw włączyć ochronę ustawień. Można to zrobić przy użyciu graficznego interfejsu użytkownika lub z poziomu interfejsu eshell, przy użyciu polecenia set ui access lock-password. Po skonfigurowaniu hasła ochrony ustawień można zacząć podpisywać pliki wsadowe. W celu podpisania pliku należy uruchomić polecenie sign <skrypt.bat> z kontekstu elementu głównego interfejsu eshell, przy czym skrypt.bat to ścieżka do skryptu, który ma zostać podpisany. Należy wprowadzić i potwierdzić hasło, które będzie używane do podpisywania. Hasło to musi być zgodne z hasłem ochrony ustawień. Podpis jest umieszczany na końcu pliku wsadowego w postaci komentarza. W przypadku gdy dany skrypt został już wcześniej podpisany, dotychczasowy podpis zostanie zastąpiony nowym podpisem. UWAGA: Jeśli podpisany plik wsadowy zostanie zmodyfikowany, należy ponownie go podpisać. UWAGA: Jeśli hasło ochrony ustawień zostanie zmienione, konieczne będzie ponowne podpisanie wszystkich skryptów, gdyż w przeciwnym razie od momentu zmiany hasła ochrony ustawień wykonywanie skryptów będzie niemożliwe. Dzieje się tak dlatego, że hasło wprowadzone przy podpisywaniu skryptu musi być zgodne z hasłem ochrony ustawień w systemie docelowym. Aby wykonać podpisany plik wsadowy z poziomu wiersza polecenia systemu Windows lub w ramach zaplanowanego zadania, należy użyć następującego polecenia: eshell run <skrypt.bat> Zmienna skrypt.bat to ścieżka do pliku wsadowego. Przykład: eshell run d:\myeshellscript.bat ESET SysInspector ESET SysInspector to aplikacja dokładnie sprawdzająca komputer, przeprowadzająca szczegółową analizę komponentów systemu, na przykład zainstalowanych sterowników i aplikacji, połączeń sieciowych lub ważnych wpisów w rejestrze, oraz oceniająca poziom ryzyka w odniesieniu do każdego komponentu. Na podstawie tych informacji można określić przyczynę podejrzanego zachowania systemu, które może wynikać z niezgodności oprogramowania lub sprzętu bądź zarażenia szkodliwym oprogramowaniem. W oknie programu ESET SysInspector wyświetlane są następujące informacje na temat utworzonych dzienników: Godzina godzina utworzenia dziennika. Komentarz krótki komentarz. Użytkownik nazwa użytkownika, który utworzył dziennik. Stan stan procesu tworzenia dziennika. Dostępne są następujące czynności: Otwórz powoduje otwarcie utworzonego dziennika. Można to również zrobić, klikając utworzony dziennik prawym przyciskiem myszy, a następnie wybierając z menu kontekstowego opcję Pokaż. Porównaj umożliwia porównanie dwóch istniejących dzienników. Utwórz umożliwia utworzenie nowego dziennika. Należy poczekać, aż dziennik programu ESET SysInspector zostanie utworzony (jego atrybut Stan będzie mieć wartość Utworzono). Usuń powoduje usunięcie wybranych dzienników z listy. Po kliknięciu prawym przyciskiem myszy jednego lub większej liczby zaznaczonych dzienników pojawia się menu kontekstowe z następującymi opcjami: Pokaż umożliwia otwarcie wybranego dziennika w programie ESET SysInspector (tak samo jak po dwukrotnym kliknięciu dziennika). Utwórz umożliwia utworzenie nowego dziennika. Należy poczekać, aż dziennik programu ESET SysInspector zostanie utworzony (jego atrybut Stan będzie mieć wartość Utworzono). Usuń wszystko powoduje usunięcie wszystkich dzienników. Eksportuj umożliwia wyeksportowanie dziennika do pliku.xml lub skompresowanego pliku.xml. 50

51 Tworzenie zapisu bieżącego stanu komputera Należy wprowadzić krótki komentarz opisujący tworzony dziennik, a następnie kliknąć przycisk Dodaj. Należy poczekać, aż utworzony zostanie dziennik programu ESET SysInspector (stan Utworzono). Tworzenie dziennika może zająć nieco czasu, w zależności od konfiguracji sprzętowej oraz danych systemowych ESET SysRescue Live ESET SysRescue Live to narzędzie umożliwiające utworzenie płyty rozruchowej zawierającej jeden z produktów ESET Security może być to ESET NOD32 Antivirus, ESET Smart Security lub jeden z produktów serwerowych. Główną zaletą narzędzia ESET SysRescue Live jest to, że rozwiązanie ESET Security działa niezależnie od systemu operacyjnego hosta, a jednocześnie ma bezpośredni dostęp do dysku i całego systemu plików. Umożliwia to usunięcie infekcji, których nie można usunąć w normalnych warunkach, na przykład podczas działania systemu operacyjnego Harmonogram Harmonogram służy do zarządzania zaplanowanymi zadaniami i uruchamiania ich ze wstępnie zdefiniowaną konfiguracją. Konfiguracja i właściwości zawierają informacje, na przykład datę i godzinę, jak również profile używane podczas wykonywania zadania. Dostęp do harmonogramu można uzyskać z poziomu głównego okna programu ESET File Security, klikając kolejno pozycje Narzędzia > Harmonogram. Okno Harmonogram zawiera listę wszystkich zaplanowanych zadań oraz ich skonfigurowane właściwości, takie jak wstępnie zdefiniowana data, godzina i używany profil skanowania. Okno Harmonogram umożliwia planowanie następujących zadań: aktualizowanie bazy sygnatur wirusów, skanowanie, sprawdzanie plików przy uruchamianiu systemu i administrowanie dziennikami. Zadania można dodawać i usuwać bezpośrednio w oknie Harmonogram, klikając przycisk Dodaj zadanie lub Usuń. Klikając prawym przyciskiem myszy w oknie Harmonogramu zadań, można: wyświetlić szczegółowe informacje, zażądać natychmiastowego wykonania zadania, dodać nowe zadanie lub usunąć istniejące zadanie. Poszczególne pozycje można aktywować i dezaktywować za pomocą wyświetlanych obok nich pól wyboru. Domyślnie w oknie Harmonogram są wyświetlane następujące zaplanowane zadania: Administrowanie dziennikami Regularne aktualizacje automatyczne Aktualizacja automatyczna po nawiązaniu połączenia modemowego Aktualizacja automatyczna po zalogowaniu użytkownika Automatyczne sprawdzanie plików przy uruchamianiu (po zalogowaniu użytkownika) Automatyczne sprawdzanie plików przy uruchamianiu (po pomyślnej aktualizacji bazy sygnatur wirusów) Automatyczne pierwsze skanowanie 51

52 Aby zmodyfikować konfigurację istniejącego zaplanowanego zadania (zarówno domyślnego, jak i zdefiniowanego przez użytkownika), kliknij prawym przyciskiem myszy zadanie i wybierz opcję Edytuj lub wybierz zadanie, które ma zostać zmodyfikowane, i kliknij przycisk Edytuj. Dodawanie nowego zadania 1. Kliknij przycisk Dodaj zadanie w dolnej części okna. 2. Wprowadź nazwę zadania. 3. Wybierz odpowiednie zadanie z menu rozwijanego: Uruchom aplikację zewnętrzną umożliwia zaplanowanie uruchomienia aplikacji zewnętrznej. Administracja dziennikami pliki dziennika zawierają także pozostałości usuniętych rekordów. To zadanie regularnie przeprowadza optymalizację rekordów w plikach dzienników w celu usprawnienia działania. Sprawdzanie plików przy uruchamianiu systemu umożliwia sprawdzenie plików, które mogą być wykonywane podczas uruchamiania systemu lub logowania. Tworzenie skanowania komputera tworzy migawkę stanu komputera w programie ESET SysInspector, gromadząc szczegółowe informacje dotyczące komponentów systemu (na przykład sterowników i aplikacji) wraz z oceną poziomu ryzyka w odniesieniu do każdego komponentu. Skanowanie komputera na żądanie umożliwia skanowanie plików i folderów na komputerze. Pierwsze skanowanie domyślnie 20 minut po zakończeniu instalacji lub ponownym uruchomieniu zostanie przeprowadzone skanowanie komputera jako zadanie o niskim priorytecie. Aktualizacja umożliwia zaplanowanie zadania polegającego na aktualizowaniu bazy sygnatur wirusów i aktualizowaniu modułów programu. 4. W celu aktywowania zadania należy kliknąć przełącznik Włączono (można to zrobić później poprzez zaznaczenie lub odznaczenie pola wyboru na liście zaplanowanych zadań), kliknąć Dalej i wybrać jedną z opcji określających częstotliwość jego wykonywania: Jednorazowo zadanie zostanie wykonane w wybranym dniu o wybranej godzinie. Wielokrotnie zadanie będzie wykonywane w określonych przedziałach czasowych. Codziennie zadanie będzie uruchamiane codziennie o określonej godzinie. Cotygodniowo zadanie będzie wykonywane w wybranym dniu tygodnia o ustalonej godzinie. Po wystąpieniu zdarzenia zadanie będzie wykonywane po wystąpieniu określonego zdarzenia. 52

53 5. Wybranie opcji Pomiń zadanie, gdy komputer jest zasilany z baterii umożliwia zminimalizowanie wykorzystania zasobów systemowych, gdy komputer działa na zasilaniu akumulatorowym. Zadanie zostanie uruchomione w dniu tygodnia i o godzinie, które wskazano w polach Wykonanie zadania. Jeśli zadanie nie mogło zostać uruchomione o ustalonej porze, można określić, kiedy ma zostać wykonane ponownie: W następnym zaplanowanym terminie Jak najwcześniej Natychmiast, gdy czas od ostatniego uruchomienia przekroczy określoną wartość (interwał można określić za pomocą pola przewijania Czas od ostatniego uruchomienia) W celu wyświetlenia informacji na temat zadania należy kliknąć zadanie prawym przyciskiem myszy, a następnie wybrać z menu kontekstowego opcję Pokaż szczegóły zadania. 53

54 Przesyłanie próbek do analizy Okno dialogowe przesyłania próbek umożliwia wysłanie do firmy ESET pliku lub witryny internetowej do analizy. Aby je otworzyć, należy przejść do opcji Narzędzia > Prześlij plik do analizy. W przypadku znalezienia na komputerze podejrzanego pliku lub podejrzanej strony w Internecie, można je wysłać do laboratorium firmy ESET, gdzie zostaną poddane analizie. Jeśli okaże się, że jest to szkodliwa aplikacja lub strona internetowa, możliwość jej wykrycia zostanie dodana do jednej z przyszłych aktualizacji. Plik można też przesłać pocztą . W tym celu pliki należy skompresować przy użyciu programu takiego jak WinRAR lub WinZip, zabezpieczyć archiwum hasłem infected (zainfekowane) i przesłać pod adres samples@eset.com. Należy pamiętać o podaniu opisowego tematu wiadomości oraz wszystkich możliwych informacji na temat podejrzanego pliku (może to być np. adres strony internetowej, z której został on pobrany). UWAGA: Przed przesłaniem próbki do firmy ESET należy się upewnić, że spełnia ona co najmniej jedno z następujących kryteriów: plik lub strona internetowa nie są w ogóle wykrywane, plik lub strona internetowa są błędnie wykrywane jako zagrożenie. Nie odpowiadamy na otrzymane wiadomości, chyba że do przeprowadzenia analizy potrzebujemy dodatkowych informacji. Z menu rozwijanego Powód przesyłania próbki należy wybrać opis, który najlepiej charakteryzuje przekazywaną wiadomość: Podejrzany plik Podejrzana witryna (strona internetowa, która jest zainfekowana przez szkodliwe oprogramowanie) Plik z fałszywym alarmem (plik, który został wykryty jako zainfekowany, ale nie był zainfekowany) Witryna internetowa z fałszywym alarmem Inne 54

55 Plik/witryna ścieżka do pliku lub witryny, którą użytkownik zamierza przesłać. Kontaktowy adres adres ten jest wysyłany do firmy ESET razem z podejrzanymi plikami. Może on zostać wykorzystany w celu nawiązania kontaktu, jeśli analiza wymaga dodatkowych informacji na temat przesłanych plików. Wprowadzenie adresu kontaktowego jest opcjonalne. Jeśli nie jest to konieczne, firma ESET nie odpowiada na zgłoszenia. Nasze serwery codziennie odbierają dziesiątki tysięcy plików, dlatego nie sposób odpowiedzieć każdemu nadawcy Podejrzany plik Obserwowane oznaki i objawy zarażenia szkodliwym oprogramowaniem należy wprowadzić opis zachowania podejrzanego pliku na komputerze. Pochodzenie pliku (adres URL lub dostawca) należy podać pochodzenie (źródło) pliku i okoliczności jego napotkania. Uwagi oraz informacje dodatkowe można tu wprowadzić dodatkowe informacje lub opisy, które pomogą w procesie identyfikacji podejrzanego pliku. Uwaga: Wymagany jest tylko pierwszy parametr (Obserwowane oznaki i objawy zarażenia szkodliwym oprogramowaniem), ale podanie informacji dodatkowych znacznie ułatwi proces identyfikacji i przetwarzania próbek w naszych laboratoriach Podejrzana witryna Należy wybrać jedną z pozycji rozwijanego menu Co jest nie tak z tą witryną: Zainfekowana witryna internetowa, która zawiera wirusy lub inne złośliwe oprogramowanie rozprowadzane za pośrednictwem różnych metod. Ataki typu phishing działania takie są podejmowane z myślą o uzyskaniu dostępu do prywatnych danych, np. numerów kont bankowych, kodów PIN itp. Więcej informacji na temat ataków tego typu można znaleźć w słowniczku. Fałszywa fałszywa lub nieuczciwa witryna internetowa. Wybierz Inne, jeżeli powyższe opcje nie opisują witryny, którą zamierzasz przesłać. Uwagi i informacje dodatkowe można tu wprowadzić dodatkowe informacje lub opisy, które pomogą w procesie analizowania podejrzanej witryny internetowej Plik z fałszywym alarmem Zachęcamy użytkowników do przysyłania plików, które zostały wykryte jako infekcja, ale nie są zainfekowane, w celu udoskonalenia naszych aparatów antywirusowych i antyspyware oraz pomagania w ochronie innych użytkowników. Fałszywe alarmy (FA) mogą wystąpić, gdy wzorzec pliku odpowiada identycznemu wzorcowi znajdującemu się w bazie sygnatur wirusów. Nazwa i wersja aplikacji nazwa programu i jego wersja (np. numer, alias lub nazwa kodowa). Pochodzenie pliku (adres URL lub dostawca) należy podać pochodzenie (źródło) pliku i okoliczności jego napotkania. Przeznaczenie aplikacji ogólny opis aplikacji, jej typ (np. przeglądarka internetowa, odtwarzacz multimedialny) i zakres funkcji. Uwagi i informacje dodatkowe można tu wprowadzić dodatkowe informacje lub opisy, które pomogą w przetwarzaniu podejrzanego pliku. Uwaga: Pierwsze trzy parametry są wymagane do identyfikacji legalnego oprogramowania i odróżnienia go od szkodliwego kodu. Podanie dodatkowych informacji wydatnie pomoże naszym laboratoriom w identyfikacji i przetwarzaniu przesłanych próbek. 55

56 Witryna internetowa z fałszywym alarmem Zachęcamy użytkowników do przysyłania adresów witryn internetowych, które zostały wykryte jako infekcja, oszustwo lub ataki typu phishing, ale nimi nie są. Fałszywe alarmy (FA) mogą wystąpić, gdy wzorzec pliku odpowiada identycznemu wzorcowi znajdującemu się w bazie sygnatur wirusów. Prosimy o dostarczanie takich witryn internetowych, ponieważ pozwala to na doskonalenie działania naszego aparatu antywirusowego i ochrony przed atakami typu phishing oraz pomaga zapewnić ochronę innym użytkownikom. Uwagi i informacje dodatkowe można tu wprowadzić dodatkowe informacje lub opisy, które pomogą w przetwarzaniu podejrzanego pliku Inne Z tego formularza należy skorzystać, jeśli danego pliku nie można zaliczyć ani do kategorii Podejrzany plik, ani do kategorii Fałszywy alarm. Powód przesyłania pliku należy podać szczegółowy opis pliku i powód jego przesłania Kwarantanna Główną funkcją kwarantanny jest bezpieczne przechowywanie zainfekowanych plików. Pliki należy poddawać kwarantannie w przypadku, gdy nie można ich wyleczyć, gdy ich usunięcie nie jest bezpieczne lub zalecane oraz gdy są one nieprawidłowo wykrywane przez program ESET File Security. Kwarantanną można objąć dowolny plik. Takie działanie jest zalecane, jeśli plik zachowuje się w podejrzany sposób, ale nie jest wykrywany przez skaner antywirusowy. Pliki poddane kwarantannie można przesłać do analizy w laboratorium firmy ESET. Pliki przechowywane w folderze kwarantanny mogą być wyświetlane w tabeli zawierającej datę i godzinę poddania kwarantannie, ścieżkę do pierwotnej lokalizacji zainfekowanego pliku, rozmiar pliku w bajtach, powód (np. obiekt dodany przez użytkownika) oraz liczbę zagrożeń (np. jeśli plik jest archiwum zawierającym wiele infekcji). 56

57 Poddawanie plików kwarantannie Program ESET File Security automatycznie poddaje kwarantannie usunięte pliki (jeśli nie wyłączono tej opcji w oknie alertu). W razie potrzeby można ręcznie poddać kwarantannie dowolny podejrzany plik, klikając przycisk Kwarantanna. Pliki poddane kwarantannie zostaną usunięte z ich pierwotnej lokalizacji. Tę samą czynność można również wykonać z poziomu menu kontekstowego. Należy kliknąć prawym przyciskiem myszy w oknie Kwarantanna i wybrać polecenie Kwarantanna. Przywracanie plików z kwarantanny Pliki poddane kwarantannie można przywrócić do ich pierwotnej lokalizacji. Służy do tego funkcja Przywróć, która jest dostępna w oknie Kwarantanna w menu kontekstowym po kliknięciu danego pliku prawym przyciskiem myszy. Jeśli plik został oznaczony jako potencjalnie niepożądana aplikacja, dostępna będzie również opcja Przywróć i wyłącz ze skanowania. Więcej informacji na temat aplikacji tego typu można znaleźć w słowniczku. Menu kontekstowe zawiera także opcję Przywróć do..., umożliwiającą przywrócenie pliku do lokalizacji innej niż ta, z której został usunięty. UWAGA: Jeżeli program przez pomyłkę podda kwarantannie nieszkodliwy plik, po jego przywróceniu należy wyłączyć ten plik ze skanowania i wysłać go do działu obsługi klienta firmy ESET. Przesyłanie pliku z kwarantanny Jeśli poddano kwarantannie podejrzany plik, który nie został wykryty przez program, lub jeśli plik został błędnie oceniony jako zarażony (np. w wyniku analizy heurystycznej kodu) i następnie poddany kwarantannie, należy go przesłać do laboratorium firmy ESET. Aby przesłać plik z kwarantanny, należy kliknąć go prawym przyciskiem myszy i z menu kontekstowego wybrać polecenie Prześlij do analizy. 7.8 Pomoc i obsługa Program ESET File Security jest dostarczany z narzędziami i informacjami pomagającymi w rozwiązywaniu problemów, które można napotkać. Pomoc Szukaj w bazie wiedzy firmy ESET baza wiedzy firmy ESET zawiera odpowiedzi na często zadawane pytania oraz zalecane rozwiązania różnych problemów. Dzięki regularnej aktualizacji przez specjalistów z firmy ESET baza wiedzy jest bardzo skutecznym narzędziem do rozwiązywania różnego rodzaju problemów. Otwórz pomoc kliknięcie tego łącza powoduje otwarcie stron pomocy programu ESET File Security. Znajdź szybkie rozwiązanie wybranie tej opcji umożliwia znalezienie rozwiązania najczęściej występujących problemów. Przed skontaktowaniem się z działem obsługi technicznej zalecamy zapoznanie się z wyświetlonymi informacjami. Dział obsługi klienta Prześlij zgłoszenie do działu obsługi klienta jeśli nie można znaleźć rozwiązania problemu, można skorzystać z formularza dostępnego w witrynie internetowej firmy ESET, który pozwala na szybki kontakt z naszym działem obsługi klienta. Narzędzia pomocy technicznej Encyklopedia zagrożeń łącza do publikowanej przez firmę ESET Encyklopedii zagrożeń, która zawiera informacje na temat zagrożeń i objawów związanych z różnymi rodzajami infekcji. Historia bazy sygnatur wirusów łącza do Radaru wirusów ESET, gdzie można znaleźć informacje na temat wersji bazy sygnatur wirusów ESET. Wyspecjalizowany moduł leczący moduł leczący automatycznie identyfikujący i usuwający popularne infekcje w wyniku działania szkodliwego oprogramowania. Dodatkowe informacje na ten temat można znaleźć w tym artykule bazy wiedzy firmy ESET. 57

58 Informacje na temat produktu i licencji ESET File Security informacje informacje na temat egzemplarza programu ESET File Security. Zarządzaj licencją kliknięcie tej opcji powoduje wyświetlenie okna aktywacji produktu. Należy wybrać jedną z dostępnych metod aktywacji programu ESET File Security. Więcej informacji na ten temat znajduje się w części Aktywowanie programu ESET File Security Wykonywanie zadań W tym rozdziale omówiono niektóre najczęściej zadawane pytania oraz występujące problemy. Aby dowiedzieć się, jak rozwiązać dany problem, kliknij temat: Aktualizowanie programu ESET File Security Aktywowanie programu ESET File Security Planowanie zadania skanowania (wykonywanego co 24 godziny) Usuwanie wirusa z serwera Sposób działania wyłączeń automatycznych Jeśli dany problem nie występuje na powyższej liście stron pomocy, należy spróbować wyszukiwania według słów kluczowych bądź wpisać określenia opisujące problem w celu wyszukania ich na stronach pomocy programu ESET File Security. Jeśli nie można znaleźć rozwiązania problemu lub odpowiedzi na pytanie na stronach pomocy, można spróbować przeszukać regularnie aktualizowaną internetową bazę wiedzy. W razie potrzeby można bezpośrednio skontaktować się z internetowym centrum obsługi technicznej firmy ESET i przedstawić pytania lub problemy. Formularz kontaktowy dostępny jest na karcie Pomoc i obsługa w programie firmy ESET Aktualizowanie programu ESET File Security Program ESET File Security można aktualizować ręcznie lub automatycznie. Aby uruchomić proces aktualizacji, należy kliknąć przycisk Aktualizuj bazę sygnatur wirusów. Jest on dostępny w obszarze Aktualizacja programu. W ramach konfiguracji domyślnej jest tworzone zadanie aktualizacji automatycznej wykonywane co godzinę. Aby zmienić odstęp czasu pomiędzy aktualizacjami, należy przejść do obszaru Harmonogram (więcej informacji na temat harmonogramu można uzyskać, klikając tutaj) Aktywowanie programu ESET File Security Po zakończeniu instalacji zostanie wyświetlony monit o aktywowanie produktu. Istnieje kilka metod aktywacji produktu. Dostępność danego scenariusza w oknie aktywacji zależy od kraju oraz sposobu dystrybucji (na płycie CD/DVD, na stronie internetowej firmy ESET itd.). Aby aktywować produkt ESET File Security bezpośrednio z poziomu programu, należy kliknąć ikonę na pasku zadań i z menu wybrać opcję Aktywuj licencję produktu. Produkt można również aktywować z menu głównego, wybierając pozycje Pomoc i obsługa > Aktywuj licencję lub Stan ochrony > Aktywuj licencję produktu. Aktywacji produktu ESET File Security można dokonać przy użyciu dowolnej z poniższych metod: Klucz licencyjny niepowtarzalny ciąg znaków w formacie XXXX-XXXX-XXXX-XXXX-XXXX służący do identyfikacji właściciela licencji oraz do aktywowania licencji. Konto administratora zabezpieczeń konto tworzone w portalu ESET License Administrator przy użyciu poświadczeń (adres + hasło). Ta metoda umożliwia zarządzanie wieloma licencjami z jednego miejsca. Plik licencji offline automatycznie generowany plik, który zostanie przeniesiony do produktu ESET w celu przekazania informacji dotyczących licencji. Plik licencji offline jest generowany przez portal licencyjny i jest przeznaczony do użytku w środowiskach, w których aplikacja nie może łączyć się z podmiotem odpowiedzialnym 58

59 za licencje. Jeśli komputer należy do sieci zarządzanej, w której to administrator przeprowadzi aktywację przez serwer ESET Remote Administrator, należy kliknąć opcję Aktywuj później za pomocą serwera ESET Remote Administrator. Z tej opcji użytkownik może skorzystać również wówczas, gdy chce przeprowadzić aktywację klienta w późniejszym czasie. W dowolnym momencie można kliknąć pozycje Pomoc i obsługa > Zarządzanie licencją w oknie głównym programu, by zarządzać informacjami dotyczącymi licencji. Zostanie wyświetlony identyfikator publiczny licencji służący do identyfikacji produktu przez obsługę firmy ESET oraz do identyfikacji licencji. Nazwa użytkownika, pod którą komputer jest zarejestrowany w systemie licencyjnym, zapisana jest w sekcji Informacje, dostępnej po kliknięciu prawym przyciskiem myszy ikony na pasku zadań. UWAGA: Na serwerze ESET Remote Administrator można aktywować komputery klienckie w trybie dyskretnym, przy użyciu licencji udostępnionych przez administratora Tworzenie nowego zadania w harmonogramie Aby utworzyć nowe zadanie w obszarze Narzędzia > Harmonogram, należy kliknąć przycisk Dodaj zadanie lub kliknąć prawym przyciskiem myszy i z menu kontekstowego wybrać opcję Dodaj. Dostępnych jest pięć typów zaplanowanych zadań: Uruchom aplikację zewnętrzną umożliwia zaplanowanie uruchomienia aplikacji zewnętrznej. Administrowanie dziennikami pliki dziennika zawierają także pozostałości usuniętych rekordów. To zadanie regularnie przeprowadza optymalizację rekordów w plikach dzienników w celu usprawnienia działania. Sprawdzanie plików przy uruchamianiu systemu umożliwia sprawdzenie plików, które mogą być wykonywane podczas uruchamiania systemu lub logowania. Tworzenie migawki stanu komputera tworzy migawkę stanu komputera w narzędziu ESET SysInspector jest to szczegółowa analiza komponentów systemu (na przykład sterowników i aplikacji) oraz ocena poziomu ryzyka dotyczącego każdego komponentu. Skanowanie komputera na żądanie umożliwia skanowanie plików i folderów na komputerze. Pierwsze skanowanie domyślnie 20 minut po zakończeniu instalacji lub ponownym uruchomieniu zostanie przeprowadzone skanowanie komputera jako zadanie o niskim priorytecie. Aktualizacja umożliwia zaplanowanie zadania polegającego na aktualizowaniu bazy sygnatur wirusów i aktualizowaniu modułów programu. Ponieważ jednym z najczęściej używanych zadań planowanych jest Aktualizacja, poniżej został przedstawiony sposób dodawania nowego zadania aktualizacji: Z menu rozwijanego Zaplanowane zadanie wybierz opcję Aktualizacja. Wprowadź nazwę zadania w polu Nazwa zadania i kliknij przycisk Dalej. Wybierz częstotliwość zadania. Dostępne są następujące opcje: Jednorazowo, Wielokrotnie, Codziennie, Cotygodniowo i Po wystąpieniu zdarzenia. Wybranie opcji Pomiń zadanie, gdy komputer jest zasilany z baterii umożliwia zminimalizowanie wykorzystania zasobów systemowych, gdy komputer działa na zasilaniu akumulatorowym. Zadanie zostanie uruchomione w dniu tygodnia i o godzinie, które wskazano w polach Wykonanie zadania. Następnie zdefiniuj czynność podejmowaną w przypadku, gdy nie można wykonać lub zakończyć zadania w zaplanowanym czasie. Dostępne są następujące opcje: W następnym zaplanowanym terminie Jak najwcześniej Natychmiast, gdy czas od ostatniego uruchomienia przekroczy określoną wartość (interwał można określić za pomocą pola przewijania Czas od ostatniego uruchomienia) W następnym kroku zostanie wyświetlone okno podsumowania z informacjami na temat bieżącego zaplanowanego zadania. Kliknij Zakończ, gdy zakończysz wprowadzanie zmian. Zostanie wyświetlone okno dialogowe umożliwiające wybranie profili używanych z zaplanowanym zadaniem. Można tam ustawić profil główny i alternatywny. Profil alternatywny jest używany, gdy zadanie nie może być wykonane przy użyciu profilu głównego. Po potwierdzeniu za pomocą przycisku Zakończ nowe zaplanowane zadanie zostanie dodane do listy aktualnie zaplanowanych zadań. 59

60 Planowanie zadania skanowania (wykonywanego co 24 godziny) Aby zaplanować zwykłe zadanie, należy przejść do opcji ESET File Security > Narzędzia > Harmonogram. Poniżej przedstawiono krótką instrukcję planowania zadania, które umożliwi skanowanie dysków lokalnych co 24 godziny. Aby zaplanować zadanie skanowania: 1. Kliknij przycisk Dodaj znajdujący się w głównym oknie sekcji Harmonogram. 2. Z menu rozwijanego wybierz opcję Skanowanie komputera. 3. Wprowadź nazwę zadania i wybierz opcję Wielokrotnie. 4. Wybierz uruchamianie zadania co 24 godziny (1440 minut). 5. Wybierz działanie, które zostanie podjęte w przypadku niepowodzenia zaplanowanego zadania. 6. Przejrzyj podsumowanie planowanego zadania i kliknij przycisk Zakończ. 7. Z menu rozwijanego Obiekty docelowe wybierz opcję Dyski lokalne. 8. Aby zatwierdzić zadanie, kliknij przycisk Zakończ Usuwanie wirusa z serwera Jeśli komputer wykazuje symptomy zarażenia szkodliwym oprogramowaniem, na przykład działa wolniej lub często przestaje odpowiadać, zalecane jest wykonanie następujących czynności: 1. W oknie głównym programu ESET File Security kliknij opcję Skanowanie komputera. 2. Następnie kliknij opcję Skanowanie inteligentne, aby rozpocząć skanowanie systemu. 3. Po zakończeniu skanowania przejrzyj dziennik zawierający informacje o liczbie przeskanowanych, zarażonych i wyleczonych plików. 4. Aby przeskanować określoną część dysku, wybierz opcję Skanowanie niestandardowe i wskaż obiekty docelowe, które mają być skanowane w poszukiwaniu wirusów Przesyłanie zgłoszenia do działu obsługi klienta Aby zapewnić użytkownikom pomoc w jak najszybszy i jak najprecyzyjniejszy sposób, firma ESET wymaga podania informacji dotyczących konfiguracji programu ESET File Security, szczegółowych informacji dotyczących systemu oraz uruchomionych procesów (plik dziennika programu ESET SysInspector), a także danych rejestru. Te dane zostaną wykorzystane przez firmę ESET wyłącznie w celu zapewnienia klientowi pomocy technicznej. Wraz z przesłaniem formularza internetowego do firmy ESET zostaną przesłane dane konfiguracyjne systemu. Aby zapamiętać tę czynność w ramach tego procesu, należy zaznaczyć opcję Zawsze należy przesyłać te informacje. Aby przesłać formularz bez przesyłania jakichkolwiek danych, należy kliknąć opcję Nie przesyłaj informacji. Można wówczas skontaktować się z obsługą klienta firmy ESET przy użyciu formularza internetowego. To ustawienie można również skonfigurować w obszarze Ustawienia zaawansowane > Narzędzia > Diagnostyka > Dział obsługi klienta. UWAGA: Jeśli użytkownik zdecydował się przesłać dane systemowe, konieczne jest wypełnienie i przesłanie formularza internetowego, gdyż w przeciwnym razie nie zostanie utworzony bilet i dane systemowe zostaną utracone. 60

61 7.8.3 Specjalistyczna aplikacja czyszcząca ESET Specjalistyczna aplikacja czyszcząca ESET to narzędzie do usuwania popularnych infekcji powstałych w wyniku działania szkodliwego oprogramowania, takich jak Conficker, Sirefef lub Necurs. Więcej informacji można znaleźć w tym artykule bazy wiedzy firmy ESET ESET File Security informacje W tym oknie znajdują się szczegółowe informacje o zainstalowanej wersji oprogramowania ESET File Security oraz lista zainstalowanych modułów programu. W górnej części okna znajdują się informacje na temat systemu operacyjnego i zasobów systemowych. Informacje o modułach (Zainstalowane komponenty) można skopiować do schowka, klikając opcję Kopiuj. Może to być przydatne podczas rozwiązywania problemów lub w razie konieczności kontaktowania się z pracownikami pomocy technicznej. 61

62 7.8.5 Aktywacja produktu Po zakończeniu instalacji zostanie wyświetlony monit o aktywowanie produktu. Istnieje kilka metod aktywacji produktu. Dostępność danego scenariusza w oknie aktywacji zależy od kraju oraz sposobu dystrybucji (na płycie CD/DVD, na stronie internetowej firmy ESET itd.). Aby aktywować produkt ESET File Security bezpośrednio z poziomu programu, należy kliknąć ikonę na pasku zadań i z menu wybrać opcję Aktywuj licencję produktu. Produkt można również aktywować z menu głównego, wybierając pozycje Pomoc i obsługa > Aktywuj licencję lub Stan ochrony > Aktywuj licencję produktu. Aktywacji produktu ESET File Security można dokonać przy użyciu dowolnej z poniższych metod: Klucz licencyjny niepowtarzalny ciąg znaków w formacie XXXX-XXXX-XXXX-XXXX-XXXX służący do identyfikacji właściciela licencji oraz do aktywowania licencji. Konto administratora zabezpieczeń konto tworzone w portalu ESET License Administrator przy użyciu poświadczeń (adres + hasło). Ta metoda umożliwia zarządzanie wieloma licencjami z jednego miejsca. Plik licencji offline automatycznie generowany plik, który zostanie przeniesiony do produktu ESET w celu przekazania informacji dotyczących licencji. Plik licencji offline jest generowany przez portal licencyjny i jest przeznaczony do użytku w środowiskach, w których aplikacja nie może łączyć się z podmiotem odpowiedzialnym za licencje. Jeśli komputer należy do sieci zarządzanej, w której to administrator przeprowadzi aktywację przez serwer ESET Remote Administrator, należy kliknąć opcję Aktywuj później za pomocą serwera ESET Remote Administrator. Z tej opcji użytkownik może skorzystać również wówczas, gdy chce przeprowadzić aktywację klienta w późniejszym czasie. W dowolnym momencie można kliknąć pozycje Pomoc i obsługa > Zarządzanie licencją w oknie głównym programu, by zarządzać informacjami dotyczącymi licencji. Zostanie wyświetlony identyfikator publiczny licencji służący do identyfikacji produktu przez obsługę firmy ESET oraz do identyfikacji licencji. Nazwa użytkownika, pod którą komputer jest zarejestrowany w systemie licencyjnym, zapisana jest w sekcji Informacje, dostępnej po kliknięciu prawym przyciskiem myszy ikony na pasku zadań. UWAGA: Na serwerze ESET Remote Administrator można aktywować komputery klienckie w trybie dyskretnym, przy użyciu licencji udostępnionych przez administratora Rejestracja Zarejestruj swoją licencję, wypełniając pola zawarte w formularzu rejestracyjnym i klikając przycisk Kontynuuj. Wypełnienie pól zaznaczonych w nawiasach jako wymagane jest obowiązkowe. Te informacje będą wykorzystywane wyłącznie w sprawach związanych z licencją ESET Aktywacja administratora zabezpieczeń Konto administratora zabezpieczeń to konto na portalu licencyjnym utworzone przy użyciu adresu oraz hasła użytkownika. To konto umożliwia wyświetlanie uprawnień związanych z wszystkimi stanowiskami. Konto administratora zabezpieczeń umożliwia zarządzanie wieloma licencjami. W przypadku braku konta administratora zabezpieczeń należy kliknąć opcję Utwórz konto, po czym nastąpi przekierowanie do strony internetowej ESET License Administrator, gdzie można zarejestrować swoje poświadczenia. W razie zapomnienia hasła należy kliknąć opcję Nie pamiętasz hasła?, po czym nastąpi przekierowanie do portalu biznesowego ESET. Należy wprowadzić tam swój adres i kliknąć opcję Prześlij w celu potwierdzenia. Użytkownik otrzyma wówczas wiadomość z instrukcjami dotyczącymi resetowania hasła. Uwaga: Więcej informacji na temat korzystania z narzędzia ESET License Administrator można znaleźć w Podręczniku użytkownika narzędzia ESET License Administrator. 62

63 Błąd aktywacji Aktywacja programu ESET File Security nie powiodła się. Upewnij się, że wprowadzony został właściwy klucz licencyjny lub załączona została właściwa licencja offline. Jeśli posiadasz inną licencję offline, wprowadź ją ponownie. W celu sprawdzenia wprowadzonego klucza licencyjnego kliknij opcję Sprawdź wprowadzony klucz licencyjny lub kliknij opcję Kup nową licencję, co spowoduje przekierowanie na naszą stronę internetową, gdzie można zakupić nową licencję Licencja Jeśli użytkownik wybierze opcję aktywacji administratora zabezpieczeń, zostanie poproszony o wybranie licencji skojarzonej z kontem, które będzie używane z programem ESET File Security. Aby kontynuować, należy kliknąć przycisk Aktywuj Postęp aktywacji Trwa aktywacja programu ESET File Security. Proszę czekać. Może to chwilę potrwać Aktywacja zakończona pomyślnie Aktywacja została zakończona pomyślnie i program ESET File Security został aktywowany. Od teraz program ESET File Security będzie regularnie otrzymywać aktualizacje umożliwiające identyfikację najnowszych zagrożeń i ochronę komputera. Aby zakończyć aktywację produktu, należy kliknąć pozycję Gotowe. 63

64 8. Praca z programem ESET File Security Menu Ustawienia zawiera następujące sekcje: Serwer Komputer Aby tymczasowo wyłączyć pojedyncze moduły, należy kliknąć zielony przełącznik znajdujący się obok wybranego modułu. Należy pamiętać, że taka operacja może zmniejszyć poziom ochrony komputera. Aby ponownie włączyć ochronę, należy kliknąć czerwony przełącznik, by przywrócić działanie wyłączonego komponentu zabezpieczeń. Aby uzyskać dostęp do szczegółowych ustawień poszczególnych komponentów zabezpieczeń, należy kliknąć ikonę koła zębatego. Aby skonfigurować bardziej szczegółowe ustawienia, należy kliknąć opcję Ustawienia zaawansowane lub nacisnąć klawisz F5. Na dole okna ustawień znajduje się kilka dodatkowych opcji. Opcja Importuj/Eksportuj ustawienia umożliwia załadowanie ustawień z pliku konfiguracyjnego z rozszerzeniem.xml lub zapisanie bieżących ustawień do takiego pliku. Szczegółowe informacje znajdują się w sekcji Importowanie i eksportowanie ustawień. 64

65 8.1 Serwer Program ESET File Security zapewnia ochronę serwera dzięki takim niezbędnym funkcjom, jak: ochrona antywirusowa i antyspyware, tarcza rezydentna (ochrona w czasie rzeczywistym), ochrona dostępu do stron internetowych oraz ochrona programów poczty . Więcej informacji o poszczególnych rodzajach ochrony można znaleźć w sekcji ESET File Security ochrona komputera. Funkcja Wyłączenia automatyczne wykrywa krytyczne aplikacje serwerowe i pliki serwerowych systemów operacyjnych, po czym automatycznie dodaje je do listy Wyłączenia. Ta funkcjonalność ogranicza do minimum ryzyko potencjalnych konfliktów i zwiększa ogólną wydajność serwera, gdy jest na nim uruchomione oprogramowanie antywirusowe. Aby skonfigurować klaster ESET, kliknij pozycję Kreator konfiguracji klastrów... Aby uzyskać więcej informacji dotyczących konfiguracji klastra ESET przy użyciu kreatora, kliknij tutaj. Aby skonfigurować bardziej szczegółowe ustawienia, należy kliknąć opcję Ustawienia zaawansowane lub nacisnąć klawisz F5. Na dole okna ustawień znajduje się kilka dodatkowych opcji. Opcja Importuj/Eksportuj ustawienia umożliwia załadowanie ustawień z pliku konfiguracyjnego z rozszerzeniem.xml lub zapisanie bieżących ustawień do takiego pliku. Szczegółowe informacje znajdują się w sekcji Importowanie i eksportowanie ustawień. 65

66 8.1.1 Wyłączenia automatyczne Twórcy aplikacji i systemów operacyjnych przeznaczonych do serwerów zalecają w przypadku większości swoich produktów wyłączanie zestawów krytycznych plików i folderów roboczych ze skanowania w poszukiwaniu wirusów. Skanowanie w poszukiwaniu wirusów może mieć niekorzystny wpływ na wydajność serwera, prowadzić do konfliktów, a nawet przeszkadzać niektórym aplikacjom w uruchomieniu się na serwerze. Wyłączenia pomagają ograniczyć do minimum ryzyko potencjalnych konfliktów i zwiększyć ogólną wydajność serwera, gdy jest na nim uruchomione oprogramowanie antywirusowe. Program ESET File Security wykrywa krytyczne aplikacje serwerowe i pliki serwerowych systemów operacyjnych, po czym automatycznie dodaje je do listy wyłączeń. Listę wykrytych aplikacji serwerowych, dla których utworzone zostały wyjątki można znaleźć w obszarze Wyłączenia automatyczne do wygenerowania. Wszystkie wyłączenia automatyczne są domyślnie włączone. Poszczególne aplikacje serwerowe można włączyć lub wyłączyć, klikając przełącznik, czego skutki będą następujące: 1. Jeśli wyłączenie aplikacji/systemu operacyjnego pozostanie aktywne, każdy z jej/jego krytycznych plików i folderów znajdzie się na liście plików wyłączonych ze skanowania (Ustawienia zaawansowane > Ochrona antywirusowa > Podstawowe > Wyłączenia > Edytuj). Przy każdorazowym uruchamianiu serwera system przeprowadza automatyczne sprawdzenie wyłączeń i przywraca wszystkie wyłączenia, które mogły zostać usunięte z listy. Jest to zalecane ustawienie w sytuacji, gdy użytkownik chce mieć pewność, że zalecane wyłączenia automatyczne są zawsze aktywne. 2. Jeśli użytkownik zdezaktywuje wyłączenie aplikacji/systemu operacyjnego, jej/jego krytyczne pliki i foldery pozostaną na liście plików wyłączonych ze skanowania (Ustawienia zaawansowane > Ochrona antywirusowa > Podstawowe > Wyłączenia > Edytuj). Nie będą one jednak automatycznie zaznaczane na liście Wyłączenia po każdorazowym uruchomieniu serwera (patrz punkt 1 powyżej). To ustawienie jest zalecane dla zaawansowanych użytkowników, którzy zamierzają usunąć lub zmodyfikować niektóre wyłączenia standardowe. Aby usunąć wyłączenia z listy bez ponownego uruchamiania serwera, należy usunąć je z listy ręcznie (Ustawienia zaawansowane > Ochrona antywirusowa > Podstawowe > Wyłączenia > Edytuj). Opisane powyżej ustawienia nie mają wpływu na żadne wyłączenia wprowadzone ręcznie przez użytkownika (w obszarze Ustawienia zaawansowane > Ochrona antywirusowa > Podstawowe > Wyłączenia > Edytuj). Automatyczne wyłączenia aplikacji/systemów operacyjnych przeznaczonych do serwerów są dobierane zgodnie z zaleceniami firmy Microsoft. Szczegółowe informacje można znaleźć w następujących artykułach bazy wiedzy firmy Microsoft: Zalecenia dotyczące skanowania w poszukiwaniu wirusów na komputerach przedsiębiorstwa z obsługiwanymi obecnie wersjami systemu Windows Zalecenia dotyczące rozwiązywania problemów na komputerze z programem Exchange Server z zainstalowanym oprogramowaniem antywirusowym Omówienie programu Exchange Server 2003 i oprogramowania antywirusowego Skanowanie antywirusowe na poziomie plików w programie Exchange 2007 Oprogramowanie antywirusowe w systemie operacyjnym na serwerach Exchange 66

67 8.1.2 Klaster Klaster ESET to infrastruktura komunikacji P2P linii produktów firmy ESET dla serwera Microsoft Windows Server. Infrastruktura ta umożliwia wzajemną komunikację produktów serwerowych firmy ESET oraz wymianę danych, takich jak konfiguracje i powiadomienia, a także synchronizację danych niezbędnych do prawidłowego działania grupy instancji produktu. Przykładem takiej grupy jest grupa węzłów w klastrze Windows Failover lub klastrze Network Load Balancing (NLB) z zainstalowanym produktem, gdzie istnieje potrzeba zastosowania tej samej konfiguracji produktu w całym klastrze. Klaster ESET zapewnia tę spójność pomiędzy instancjami. Strona stanu klastra ESET dostępna jest w menu głównym, po kliknięciu pozycji Narzędzia > Klaster, a jeśli konfiguracja jest prawidłowa, strona stanu powinna wyglądać następująco: Aby skonfigurować klaster ESET, kliknij pozycję Kreator konfiguracji klastrów. Aby uzyskać więcej informacji dotyczących konfiguracji klastra ESET przy użyciu kreatora, kliknij tutaj. Podczas konfiguracji klastra ESET istnieją dwa sposoby dodawania węzłów automatyczny, z wykorzystaniem istniejącego klastra Windows Failover/NLB, lub ręczny, polegający na przeglądaniu komputerów należących do grupy roboczej lub domeny. Funkcja Autowykrywanie automatycznie wykrywa węzły należące już do klastra Windows Failover/NLB i dodaje je do klastra ESET. Opcja Przeglądaj umożliwia dodawanie węzłów ręcznie, poprzez wpisywanie nazw serwerów (zarówno należących do tej samej grupy roboczej, jak i należących do tej samej domeny). UWAGA: Aby korzystać z funkcji klastra ESET, serwery nie muszą należeć do klastra Windows Failover/NLB. Do korzystania z klastrów ESET w danym środowisku nie jest wymagane istnienie klastra Windows Failover ani NLB. Po dodaniu węzłów do klastra ESET kolejnym krokiem jest instalacja produktu ESET File Security na każdym z węzłów. Przebiega to automatycznie podczas konfiguracji klastra ESET. 67

68 Poświadczenia wymagane do instalacji zdalnej produktu ESET File Security na pozostałych węzłach klastra: Dla domeny poświadczenia administratora domeny. Dla grupy roboczej należy dopilnować, aby wszystkie węzły korzystały z tych samych lokalnych poświadczeń konta. W klastrze ESET można również korzystać z kombinacji węzłów dodawanych automatycznie, jako elementów istniejącego klastra Windows Failover/NLB, oraz węzłów dodawanych ręcznie (pod warunkiem, że należą do tej samej domeny). UWAGA: Nie można tworzyć kombinacji węzłów domen z węzłami grup roboczych. Kolejny wymóg dotyczący korzystania z klastra ESET to konieczność włączenia opcji Udostępnianie plików i drukarek w zaporze systemu Windows przed wypchnięciem instalacji produktu ESET File Security do węzłów klastra ESET. Klaster ESET można w razie potrzeby łatwo zlikwidować, klikając opcję Zniszcz klaster. Każdy z węzłów umieści w swoim dzienniku zdarzeń wpis dotyczący klastra ESET podlegającego zniszczeniu. Po zakończeniu tego procesu wszystkie reguły zapory ESET zostaną usunięte z zapory systemu Windows. Byłe węzły zostaną przywrócone do poprzedniego stanu i mogą w razie potrzeby zostać ponownie wykorzystane w innym klastrze ESET. UWAGA: Tworzenie klastrów ESET między produktem ESET File Security a programem ESET File Security dla systemu Linux nie jest obsługiwane. Do istniejącego klastra ESET można w dowolnym momencie dodać nowe węzły, uruchamiając narzędzie Kreator konfiguracji i klastrów w sposób opisany powyżej oraz tutaj. Więcej informacji na temat konfigurowania klastra ESET można znaleźć w sekcji Klaster roboczy Kreator konfiguracji klastrów strona 1 Pierwszym krokiem podczas konfiguracji klastra ESET jest dodanie węzłów. Aby dodać węzły, można skorzystać z opcji Autowykrywanie lub z opcji Przeglądaj. Inna metoda polega na wpisaniu nazwy serwera w polu tekstowym i kliknięciu przycisku Dodaj. Wybranie opcji Autowykrywanie powoduje automatyczne dodanie węzłów z istniejącego klastra Windows Failover/ Network Load Balancing (NLB). Aby móc automatycznie dodać węzły, serwer wykorzystywany do utworzenia klastra ESET musi należeć do tego klastra Windows Failover/NLB. Aby klaster ESET mógł prawidłowo wykryć węzły, klaster NLB musi mieć we właściwościach włączoną funkcję Zezwól na kontrolę zdalną. Gdy w klastrze ESET potrzebne są tylko określone węzły, mając do dyspozycji listę nowo dodanych węzłów można usunąć niechciane pozycje. Kliknięcie opcji Przeglądaj umożliwia wyszukiwanie i wybieranie komputerów należących do domeny lub grupy roboczej. Ta metoda umożliwia ręczne dodawanie węzłów do klastra ESET. Innym sposobem dodawania węzłów jest wpisanie nazwy hosta serwera, który ma zostać dodany i kliknięcie opcji Dodaj. 68

69 Bieżące węzły klastra, które mają zostać dodane do klastra ESET po kliknięciu opcji Dalej: Aby zmodyfikować węzły klastra znajdujące się na liście, należy wybrać węzeł do usunięcia i kliknąć opcję Usuń. Można także kliknąć opcję Usuń wszystkie, by całkowicie wyczyścić listę. Jeśli istniejący klaster ESET jest już na liście, w dowolnym momencie można dodać do niego nowe węzły. Niezbędne czynności są takie same, jak opisano powyżej. UWAGA: Wszystkie węzły pozostające na liście muszą być podłączone do Internetu i osiągalne. Do węzłów klastra domyślnie dodawany jest host lokalny. 69

70 Kreator konfiguracji klastrów strona 2 Ustal nazwę klastra, tryb dystrybucji certyfikatu, oraz czy instalować produkt w węzłach czy nie. Nazwa klastra wpisz nazwę klastra. Port nasłuchu (domyślny port to 9777). Otwórz port w zaporze systemu Windows jeśli ta opcja jest zaznaczona, zostaje utworzona reguła w zaporze systemu Windows. Dystrybucja certyfikatu: Automatyczna zdalna certyfikat zostanie zainstalowany automatycznie. Ręczna jeśli klikniesz Generuj, a zostanie otwarte okno przeglądania wybierz folder, w którym przechowywane będą certyfikaty. Utworzony zostanie certyfikat główny oraz certyfikat dla każdego z węzłów, w tym dla tego (komputera lokalnego), z którego konfigurujesz klaster ESET. Możesz następnie wybrać opcję rejestracji certyfikatu na komputerze lokalnym, klikając pozycję Tak. Trzeba będzie następnie ręcznie zaimportować certyfikaty, jak opisano tutaj. Instalacja produktu na innych węzłach: Automatyczna zdalna produkt ESET File Security zostanie automatycznie zainstalowany na każdym z węzłów (pod warunkiem, że ich systemy operacyjne mają taką samą architekturę). Ręczna wybierz tę opcję, jeśli chcesz zainstalować produkt ESET File Security ręcznie (na przykład gdy na niektórych z węzłów zainstalowany jest system operacyjny o innej architekturze). UWAGA: Jeśli utworzony ma zostać klaster ESET z mieszanymi architekturami systemów operacyjnych (32-bitowe i 64-bitowe), produkt ESET File Security należy zainstalować ręcznie. Zostanie to wykryte podczas kolejnych kroków i informacja ta zostanie wyświetlona w oknie dziennika. 70

71 Kreator konfiguracji klastrów strona 3 Po określeniu szczegółów dotyczących instalacji uruchamiany jest proces kontroli węzła. W Dzienniku kontroli węzłów wyświetlany będzie proces kontroli następujących pozycji: kontrola wszystkich istniejących węzłów podłączonych do Internetu kontrola dostępności nowych węzłów; węzeł jest podłączony do Internetu; udział administracyjny jest dostępny; zdalne wykonanie jest możliwe; zainstalowana jest prawidłowa wersja produktu lub nie jest zainstalowany żaden produkt (wyłącznie, jeśli wybrana jest opcja instalacji automatycznej); kontrola obecności nowych certyfikatów. 71

72 Bezpośrednio po zakończeniu kontroli węzła wyświetlony zostanie następujący raport: 72

73 Kreator konfiguracji klastrów strona 4 Gdy produkt ma zostać zainstalowany na zdalnym komputerze podczas inicjowania klastra ESET, pakiet instalacyjny sprawdza, czy instalator znajduje się w katalogu %ProgramData%\ESET\<Nazwa_produktu>\Instalator. Jeśli pakiet instalacyjny nie zostanie tam znaleziony, użytkownik zostanie poproszony o wskazanie jego lokalizacji. UWAGA: Jeśli użytkownik podejmie próbę wykorzystania automatycznej instalacji zdalnej na węźle o innej platformie (32-bitowej, a nie 64-bitowej), zostanie to wykryte i pojawi się zalecenie przeprowadzenia dla tego węzła instalacji ręcznej. UWAGA: Jeśli na niektórych węzłach jest już zainstalowana starsza wersja programu ESET File Security, przed utworzeniem klastra należy ponownie zainstalować na tych komputerach program ESET File Security w nowszej wersji. Może to spowodować automatyczne ponowne uruchomienie tych komputerów. W takim przypadku zostanie wyświetlone ostrzeżenie. 73

74 Po prawidłowym skonfigurowaniu klastra ESET będzie on widoczny na stronie Ustawienia > Serwer jako włączony. 74

75 Można również sprawdzić jego aktualny stan na stronie stanu klastra (Narzędzia > Klaster). Importowanie certyfikatów... Przejdź do folderu, w którym znajdują się certyfikaty (generowane w czasie korzystania z Kreatora konfiguracji klastrów). Wybierz plik certyfikatu i kliknij opcję Otwórz. 8.2 Komputer W programie ESET File Security dostępne są wszystkie komponenty niezbędne do zapewnienia skutecznej ochrony serwera jako komputera. Każdy z komponentów zapewnia określony rodzaj ochrony, na przykład ochronę antywirusową i antyspyware, ochronę systemu plików w czasie rzeczywistym, ochronę dostępu do stron internetowych, ochronę programów poczty , czy ochronę przed atakami typu phishing. Moduł Komputer można znaleźć w obszarze Ustawienia > Komputer. Dostępna jest tam lista komponentów, które można włączać/wyłączać przy użyciu przełącznika. Aby skonfigurować ustawienia danego elementu, należy kliknąć symbol koła zębatego. W przypadku ochrony systemu plików w czasie rzeczywistym dostępna jest również opcja Edytuj wyłączenie, której użycie powoduje otwarcie okna konfiguracji Wyłączenia, w którym można ustawić wyłączenia plików i folderów ze skanowania. Wstrzymaj ochronę antywirusową i antyspyware za każdym razem, gdy ochrona antywirusowa i antyspyware zostaje tymczasowo wyłączona, użytkownik może wybrać z menu rozwijanego okres, przez jaki wybrany komponent będzie wyłączony, a następnie kliknąć pozycję Zastosuj, by wyłączyć komponent zabezpieczeń. Aby ponownie włączyć ochronę, należy kliknąć pozycję Włącz ochronę antywirusową i antyspyware. 75

76 W module Komputer można włączyć lub wyłączyć, a także skonfigurować następujące składniki programu: Ochrona systemu plików w czasie rzeczywistym wszystkie pliki w momencie otwarcia, utworzenia lub uruchomienia na komputerze są skanowane w poszukiwaniu szkodliwego kodu. Ochrona dokumentów funkcja ochrony dokumentów pozwala na skanowanie dokumentów pakietu Microsoft Office przed ich otwarciem, a także skanowanie plików automatycznie pobieranych przez program Internet Explorer (np. elementów Microsoft ActiveX). System HIPS system HIPS monitoruje zdarzenia występujące wewnątrz systemu operacyjnego i reaguje na nie zgodnie z odpowiednio dostosowanym zestawem reguł. Tryb prezentacji funkcja przeznaczona dla użytkowników, którzy wymagają niczym niezakłócanego dostępu do swojego oprogramowania, chcą zablokować wszelkie wyskakujące okna i zależy im na zmniejszeniu obciążenia procesora. Po włączeniu trybu prezentacji zostanie wyświetlony komunikat ostrzegawczy (o potencjalnym zagrożeniu bezpieczeństwa), a główne okno programu zmieni kolor na pomarańczowy. Ochrona Anti-Stealth umożliwia wykrywanie niebezpiecznych programów, takich jak programy typu rootkit, które potrafią ukrywać się przed systemem operacyjnym. Wykrycie ich standardowymi sposobami jest niemożliwe. Ochrona dostępu do stron internetowych włączenie tej opcji powoduje skanowanie całego ruchu sieciowego wykorzystującego protokoły HTTP i HTTPS w poszukiwaniu szkodliwego oprogramowania. Ochrona programów poczty monitoruje komunikację odbieraną przy użyciu protokołów POP3 i IMAP. Ochrona przed atakami typu phishing chroni użytkownika przed próbami pozyskania haseł, danych bankowych lub innych poufnych informacji przez nielegalnie działające strony internetowe podszywające się pod strony internetowe uprawnione do pozyskiwania tego rodzaju informacji. UWAGA: Ochrona dokumentów jest domyślnie wyłączona. W razie potrzeby można ją łatwo włączyć, klikając ikonę przełącznika. Na dole okna ustawień znajduje się kilka dodatkowych opcji. Opcja Importuj/Eksportuj ustawienia umożliwia załadowanie ustawień z pliku konfiguracyjnego z rozszerzeniem.xml lub zapisanie bieżących ustawień do takiego pliku. Szczegółowe informacje znajdują się w sekcji Importowanie i eksportowanie ustawień. 76

77 Aby skonfigurować bardziej szczegółowe ustawienia, należy kliknąć opcję Ustawienia zaawansowane lub nacisnąć klawisz F Ochrona antywirusowa Funkcja ochrony antywirusowej i antyspyware zabezpiecza system przed szkodliwymi atakami, sprawdzając pliki, pocztę i komunikację internetową. W przypadku wykrycia zagrożenia moduł antywirusowy może je wyeliminować przez zablokowanie, a następnie wyleczenie, usunięcie lub przeniesienie do kwarantanny. Aby szczegółowo skonfigurować ustawienia modułu antywirusowego, należy kliknąć opcję Ustawienia zaawansowane lub nacisnąć klawisz F5. Opcje skanera dla wszystkich modułów ochrony (np. ochrona systemu plików w czasie rzeczywistym, ochrona dostępu do stron internetowych) pozwalają włączyć lub wyłączyć wykrywanie następujących zagrożeń: Potencjalnie niepożądane aplikacje niekoniecznie były świadomie projektowane w złych intencjach, ale mogą negatywnie wpływać na wydajność komputera. Więcej informacji na temat aplikacji tego typu można znaleźć w słowniczku. Potencjalnie niebezpieczne aplikacje to legalne oprogramowanie komercyjne, które potencjalnie może zostać wykorzystane do szkodliwych celów. Są to między innymi narzędzia do dostępu zdalnego, programy do łamania haseł i programy rejestrujące znaki wprowadzane na klawiaturze (naciśnięcia klawiszy). Domyślnie opcja ta jest wyłączona. Więcej informacji na temat aplikacji tego typu można znaleźć w słowniczku. Potencjalnie podejrzane aplikacje to programy skompresowane przy użyciu programów pakujących lub zabezpieczających. Programy zabezpieczające tego typu są często używane przez twórców szkodliwego oprogramowania w celu uniknięcia wykrycia. Technologia Anti-Stealth to zaawansowany system wykrywania niebezpiecznych programów, np. programów typu rootkit, które potrafią ukrywać się przed systemem operacyjnym. Wykrycie ich standardowymi sposobami jest niemożliwe. Wyłączenia pozwalają wykluczyć ze skanowania wybrane pliki i foldery. Aby zapewnić skanowanie wszystkich obiektów pod kątem zagrożeń, zaleca się tworzenie wyłączeń tylko wtedy, gdy jest to absolutnie konieczne. Do sytuacji, w których może być konieczne wykluczenie obiektu, może zaliczać się skanowanie wpisów dużych baz danych, które spowolniłyby pracę komputera podczas skanowania lub korzystanie z oprogramowania, które powoduje konflikt ze skanowaniem. Informacje na temat wyłączania obiektów ze skanowania można znaleźć w sekcji Wyłączenia Wykrycie infekcji System może zostać zainfekowany z różnych źródeł, takich jak strony internetowe, foldery udostępnione, poczta lub urządzenia wymienne (USB, dyski zewnętrzne, płyty CD i DVD, dyskietki itp.). Działanie standardowe Ogólnym przykładem sposobu działania programu ESET File Security w momencie infekcji jest ich wykrywanie za pomocą funkcji: Ochrona systemu plików w czasie rzeczywistym Ochrona dostępu do stron internetowych Ochrona programów poczty Skanowanie komputera na żądanie Każda z tych funkcji stosuje poziom leczenia standardowego, próbując wyleczyć plik i przenieść go do folderu Kwarantanna lub przerywając połączenie. Okno powiadomień jest wyświetlane w obszarze powiadomień w prawym dolnym rogu ekranu. Więcej informacji dotyczących poziomów leczenia i sposobów działania można znaleźć w sekcji Leczenie. 77

78 Leczenie i usuwanie Jeżeli nie określono wstępnie czynności do wykonania przez moduł ochrony plików w czasie rzeczywistym, pojawi się okno alertu z monitem o wybranie opcji. Zazwyczaj dostępne są opcje Wylecz, Usuń i Brak czynności. Nie zaleca się wyboru opcji Brak czynności, ponieważ pozostawia to zainfekowane pliki niewyleczone. Wyjątek stanowi sytuacja, w której użytkownik ma pewność, że plik jest nieszkodliwy i został wykryty błędnie. Leczenie należy stosować w przypadku zainfekowanego pliku, do którego wirus dołączył szkodliwy kod. W takiej sytuacji należy najpierw podjąć próbę wyleczenia zainfekowanego pliku w celu przywrócenia go do stanu pierwotnego. Jeśli plik zawiera wyłącznie szkodliwy kod, jest usuwany w całości. Jeśli zainfekowany plik jest zablokowany lub używany przez proces systemowy, jest zazwyczaj usuwany po odblokowaniu (zwykle po ponownym uruchomieniu systemu). Wiele zagrożeń Jeśli jakieś zainfekowane pliki nie zostały wyleczone podczas skanowania komputera (lub poziom leczenia został ustawiony na Brak leczenia), w oknie alertu wyświetlona zostanie prośba o wybranie czynności dotyczących tych plików. Należy wybrać odpowiednie czynności (są one ustawiane indywidualnie dla każdego pliku z listy), a następnie kliknąć przycisk Zakończ. Usuwanie plików w archiwach W domyślnym trybie leczenia całe archiwum jest usuwane tylko wtedy, gdy zawiera wyłącznie zarażone pliki i nie ma w nim żadnych niezarażonych plików. Oznacza to, że archiwa nie są usuwane, jeśli zawierają również nieszkodliwe, niezainfekowane pliki. Należy zachować ostrożność podczas skanowania w trybie leczenia dokładnego, ponieważ w tym trybie każde archiwum zawierające co najmniej jeden zainfekowany plik jest usuwane bez względu na stan pozostałych zawartych w nim plików. Jeśli komputer wykazuje objawy zainfekowania szkodliwym oprogramowaniem, na przykład działa wolniej lub często przestaje odpowiadać, zalecane jest wykonanie następujących czynności: Otwórz program ESET File Security i kliknij Skanowanie komputera. Kliknij opcję Skanowanie inteligentne (więcej informacji można znaleźć w części Skanowanie komputera). Po zakończeniu skanowania przejrzyj dziennik, aby sprawdzić liczbę przeskanowanych, zainfekowanych i wyleczonych plików. Aby przeskanować tylko określoną część dysku, kliknij opcję Skanowanie niestandardowe i wybierz obiekty, które mają zostać przeskanowane w poszukiwaniu wirusów Udostępniona lokalna pamięć podręczna Udostępniona lokalna pamięć podręczna zwiększa wydajność w środowiskach zwirtualizowanych dzięki wyeliminowaniu skanowania duplikatów w sieci. Daje to pewność, że każdy plik zostanie przeskanowany tylko raz i będzie przechowywany w udostępnionej pamięci podręcznej. By zapisywać w lokalnej pamięci podręcznej informacje dotyczące skanowania plików i folderów w sieci, należy włączyć przełącznik Opcja pamięci podręcznej. Wykonanie nowego skanu spowoduje, że program ESET File Security wyszuka skanowane pliki w pamięci podręcznej. Jeśli pliki będą zgodne, zostaną wyłączone ze skanowania. W ustawieniach Serwer pamięci podręcznej znajdują się następujące pozycje: Nazwa hosta nazwa lub adres IP komputera, na którym umiejscowiona jest pamięć podręczna. Port liczba portów używanych do komunikacji (taka sama, jak w ustawieniu Udostępniona lokalna pamięć podręczna). Hasło ustawienie hasła do udostępnionej lokalnej pamięci podręcznej, jeśli jest wymagane. 78

79 Ochrona systemu plików w czasie rzeczywistym Ochrona systemu plików w czasie rzeczywistym sprawdza wszystkie zdarzenia związane z ochroną antywirusową systemu. Wszystkie pliki w momencie otwarcia, utworzenia lub uruchomienia na komputerze są skanowane w poszukiwaniu szkodliwego kodu. Ochrona systemu plików w czasie rzeczywistym jest włączana przy uruchamianiu systemu. Ochrona systemu plików w czasie rzeczywistym jest domyślnie włączana przy uruchamianiu systemu i zapewnia nieprzerwane skanowanie. W szczególnych przypadkach (np. jeśli wystąpi konflikt z innym skanerem działającym w czasie rzeczywistym), ochronę w czasie rzeczywistym można wyłączyć, wyłączając opcję Automatycznie uruchom ochronę systemu plików w czasie rzeczywistym w obszarze Ustawienia zaawansowane, w sekcji Ochrona systemu plików w czasie rzeczywistym > Podstawowe. Skanowane nośniki Domyślnie wszystkie typy nośników są skanowane w celu wykrycia potencjalnych zagrożeń: Dyski lokalne sprawdzane są wszystkie dyski twarde w komputerze. Nośniki wymienne sprawdzane są płyty CD i DVD, urządzenia pamięci masowej USB, urządzenia Bluetooth itp. Dyski sieciowe skanowane są wszystkie dyski mapowane. Zalecane jest zachowanie ustawień domyślnych i modyfikowanie ich wyłącznie w szczególnych przypadkach, jeśli na przykład sprawdzanie pewnych nośników znacznie spowalnia przesyłanie danych. 79

80 Skanuj podczas Domyślnie wszystkie pliki są skanowane podczas otwierania, tworzenia i wykonywania. Zalecane jest zachowanie ustawień domyślnych, ponieważ zapewniają one maksymalny poziom ochrony komputera w czasie rzeczywistym: Otwierania pliku włącza lub wyłącza skanowanie plików przy ich otwieraniu. Tworzenia pliku włącza lub wyłącza skanowanie plików przy ich tworzeniu. Wykonywania pliku włącza lub wyłącza skanowanie plików przy ich wykonywaniu. Dostępu do nośników wymiennych włącza lub wyłącza skanowanie wywoływane przez próbę uzyskania dostępu do określonego wymiennego nośnika pamięci. Wyłączania komputera włącza lub wyłącza skanowanie uruchamiane podczas wyłączania komputera. Moduł ochrony systemu plików w czasie rzeczywistym sprawdza wszystkie typy nośników. Sprawdzanie jest wywoływane wystąpieniem różnych zdarzeń systemowych, na przykład uzyskaniem dostępu do pliku. Korzystając z metod wykrywania zastosowanych w ramach technologii ThreatSense (opisanych w sekcji Parametry technologii ThreatSense), funkcja ochrony systemu plików w czasie rzeczywistym może działać inaczej w przypadku plików nowo tworzonych, a inaczej w przypadku już istniejących. Na przykład funkcję ochrony systemu plików w czasie rzeczywistym można skonfigurować tak, by umożliwić dokładniejsze monitorowanie nowo utworzonych plików. Aby zminimalizować obciążenie systemu podczas korzystania z ochrony w czasie rzeczywistym, przeskanowane pliki nie są skanowane ponownie (dopóki nie zostaną zmodyfikowane). Pliki są niezwłocznie skanowane ponownie po każdej aktualizacji bazy sygnatur wirusów. Taki sposób postępowania jest kontrolowany za pomocą funkcji Inteligentna optymalizacja. Po jej wyłączeniu wszystkie pliki są skanowane za każdym razem, gdy uzyskiwany jest do nich dostęp. Aby zmodyfikować to ustawienie, należy nacisnąć klawisz F5 w celu otwarcia okna Ustawienia zaawansowane i kliknąć kolejno pozycje Moduł antywirusowy > Ochrona systemu plików w czasie rzeczywistym. Następnie należy kliknąć kolejno Parametry technologii ThreatSense > Inne i zaznaczyć lub odznaczyć opcję Włącz inteligentną optymalizację Wyłączenia Nie należy mylić z wyłączonymi rozszerzeniami Wyłączenia pozwalają wykluczyć ze skanowania wybrane pliki i foldery. Aby zapewnić skanowanie wszystkich obiektów pod kątem zagrożeń, zaleca się tworzenie wyłączeń tylko wtedy, gdy jest to absolutnie konieczne. Do sytuacji, w których może być konieczne wykluczenie obiektu, może zaliczać się skanowanie wpisów dużych baz danych, które spowolniłyby pracę komputera podczas skanowania lub korzystanie z oprogramowania powodującego konflikt ze skanowaniem (np. oprogramowania do tworzenia kopii zapasowych). Aby wyłączyć obiekt ze skanowania: 1. Kliknij opcję Dodaj i wprowadź ścieżkę do obiektu lub wskaż obiekt w strukturze drzewa. Grupę plików można przedstawić przy użyciu symboli wieloznacznych. Znak zapytania (?) oznacza jeden dowolny znak, a gwiazdka (*) oznacza dowolny ciąg złożony z dowolnej liczby znaków (w tym ciąg pusty). Przykłady Aby wyłączyć ze skanowania wszystkie pliki z danego folderu, należy wpisać ścieżkę do tego folderu i zastosować maskę *.*. Aby wyłączyć ze skanowania cały dysk z jego wszystkimi plikami i podfolderami, należy zastosować maskę D:\*. Aby wyłączyć ze skanowania jedynie pliki DOC, należy użyć maski *.doc. Jeśli nazwa pliku wykonywalnego składa się z określonej liczby znaków (i znaki te różnią się od siebie), a znana jest tylko pierwsza litera (np. D ), należy zastosować następujący format: D????.exe. Znaki zapytania zastępują wszystkie brakujące (nieznane) znaki. 80

81 UWAGA: Zagrożenie w pliku nie zostanie wykryte przez moduł ochrony systemu plików w czasie rzeczywistym ani moduł skanowania komputera, jeśli plik spełnia kryteria wykluczenia ze skanowania. Kolumny Ścieżka ścieżka dostępu do wyłączonych plików i folderów. Zagrożenie gdy obok wyłączonego pliku wyświetlana jest nazwa zagrożenia, oznacza to, że plik będzie pomijany tylko przy wyszukiwaniu tego zagrożenia, a nie całkowicie. Jeśli później plik zostanie zainfekowany innym szkodliwym oprogramowaniem, moduł antywirusowy go wykryje. Ten rodzaj wyłączeń można stosować tylko w przypadku określonych typów infekcji. Można je skonfigurować w oknie alertu o zagrożeniu sygnalizującym infekcję (należy kliknąć przycisk Pokaż opcje zaawansowane, a następnie wybrać opcję Wyłącz z wykrywania) lub klikając kolejno opcje Ustawienia > Kwarantanna, klikając prawym przyciskiem myszy plik poddany kwarantannie i wybierając z menu kontekstowego opcję Przywróć i wyłącz ze skanowania. Elementy sterujące Dodaj pozwala dodać obiekty, które mają być pomijane podczas wykrywania. Edytuj pozwala edytować zaznaczone elementy. Usuń służy do usuwania zaznaczonych elementów Dodawanie lub edytowanie wyłączeń ze skanowania W tym oknie dialogowym można dodawać i edytować wyłączenia ze skanowania. Można to robić na dwa sposoby: wpisując ścieżkę do obiektu, który ma zostać wyłączony ze skanowania; wybierając go w strukturze drzewa (funkcję przeglądania można włączyć klikając opcję..., znajdującą się na końcu pola tekstowego). W przypadku pierwszej metody można używać symboli wieloznacznych opisanych w sekcji Format wyłączeń ze skanowania. 81

82 Format wyłączeń ze skanowania Grupę plików można przedstawić przy użyciu symboli wieloznacznych. Znak zapytania (?) oznacza jeden dowolny znak, a gwiazdka (*) oznacza dowolny ciąg złożony z dowolnej liczby znaków (w tym ciąg pusty). Przykłady Aby wyłączyć ze skanowania wszystkie pliki z danego folderu, należy wpisać ścieżkę do tego folderu i zastosować maskę *.*. Aby wyłączyć ze skanowania cały dysk z jego wszystkimi plikami i podfolderami, należy zastosować maskę D:\*. Aby wyłączyć ze skanowania jedynie pliki DOC, należy użyć maski *.doc. Jeśli nazwa pliku wykonywalnego składa się z określonej liczby znaków (i znaki te różnią się od siebie), a znana jest tylko pierwsza litera (np. D ), należy zastosować następujący format: D????.exe. Znaki zapytania zastępują wszystkie brakujące (nieznane) znaki Parametry technologii ThreatSense Technologia ThreatSense obejmuje wiele zaawansowanych metod wykrywania zagrożeń. Jest ona proaktywna, co oznacza, że zapewnia ochronę już od pierwszych godzin rozprzestrzeniania się nowego zagrożenia. Stosowana jest w niej kombinacja kilku metod (analiza kodu, emulacja kodu, sygnatury rodzajowe, sygnatury wirusów), które razem znacznie zwiększają bezpieczeństwo systemu. Korzystając z tej technologii skanowania, można kontrolować kilka strumieni danych jednocześnie, maksymalizując skuteczność i wskaźnik wykrywalności. Ponadto technologia ThreatSense pomyślnie eliminuje programy typu rootkit. Za pomocą opcji ustawień parametrów technologii ThreatSense można określić kilka parametrów skanowania: typy i rozszerzenia plików, które mają być skanowane; kombinacje różnych metod wykrywania; poziomy leczenia itp. Aby otworzyć okno konfiguracji, należy kliknąć pozycję Ustawienia parametrów technologii ThreatSense, dostępną w oknie Ustawienia zaawansowane każdego modułu, w którym wykorzystywana jest technologia ThreatSense (zobacz poniżej). Różne scenariusze zabezpieczeń mogą wymagać różnych konfiguracji. Mając to na uwadze, technologię ThreatSense można konfigurować indywidualnie dla następujących modułów ochrony: Ochrona systemu plików w czasie rzeczywistym Ochrona dokumentów Ochrona programów poczty Ochrona dostępu do stron internetowych Skanowanie komputera Parametry technologii ThreatSense są w wysokim stopniu zoptymalizowane pod kątem poszczególnych modułów, a ich modyfikacja może znacząco wpływać na działanie systemu. Na przykład ustawienie opcji skanowania spakowanych programów za każdym razem lub włączenie zaawansowanej heurystyki w module ochrony systemu plików w czasie rzeczywistym może spowodować spowolnienie działania systemu (normalnie tymi metodami skanowane są tylko nowo utworzone pliki). Zaleca się pozostawienie niezmienionych parametrów domyślnych technologii ThreatSense dla wszystkich modułów z wyjątkiem modułu Skanowanie komputera. 82

83 Skanowane obiekty W sekcji Obiekty można określić, które pliki i składniki komputera będą skanowane w poszukiwaniu infekcji. Pamięć operacyjna powoduje skanowanie w poszukiwaniu szkodliwego oprogramowania, które atakuje pamięć operacyjną komputera. Sektory startowe powoduje skanowanie sektorów startowych w poszukiwaniu wirusów w głównym rekordzie rozruchowym. Pliki poczty program obsługuje następujące rozszerzenia: DBX (Outlook Express) oraz EML. Archiwa program obsługuje następujące rozszerzenia: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE i wiele innych. Archiwa samorozpakowujące archiwa samorozpakowujące się (SFX) to archiwa, które nie wymagają do dekompresji żadnych specjalnych programów. Programy spakowane po uruchomieniu w odróżnieniu od archiwów standardowych dekompresują swoją zawartość do pamięci. Poza standardowymi statycznymi programami spakowanymi (UPX, yoda, ASPack, FSG itd.) skaner umożliwia również rozpoznawanie innych typów programów spakowanych, dzięki emulowaniu ich kodu. Opcje skanowania Tu można wybrać metody stosowane podczas skanowania systemu w poszukiwaniu infekcji. Dostępne są następujące opcje: Heurystyka heurystyka jest metodą analizy pozwalającą wykrywać działanie szkodliwych programów. Główną zaletą tej technologii jest to, że umożliwia wykrywanie szkodliwego oprogramowania, które w chwili pobierania ostatniej aktualizacji bazy danych sygnatur wirusów jeszcze nie istniało lub nie było znane. Wadą może być ryzyko (niewielkie) wystąpienia tzw. fałszywych alarmów. Zaawansowana heurystyka/dna/inteligentne sygnatury zaawansowana heurystyka jest oparta na unikatowym algorytmie heurystycznym opracowanym przez firmę ESET. Został on napisany w językach programowania wysokiego poziomu i zoptymalizowany pod kątem wykrywania robaków i koni trojańskich. Zastosowanie zaawansowanej heurystyki w produktach firmy ESET znacząco usprawnia wykrywanie zagrożeń. Sygnatury pozwalają niezawodnie wykrywać i identyfikować wirusy. Dzięki systemowi automatycznej aktualizacji nowe sygnatury są udostępniane w ciągu kilku godzin od stwierdzenia zagrożenia. Wadą sygnatur jest to, że pozwalają wykrywać tylko znane wirusy (lub ich nieznacznie zmodyfikowane wersje). Potencjalnie niepożądane aplikacje niekoniecznie były świadomie projektowane w złych intencjach, ale mogą negatywnie wpływać na wydajność komputera. Zainstalowanie takiej aplikacji zazwyczaj wymaga uprzedniej zgody użytkownika. Po zainstalowaniu programu z tej kategorii działanie systemu jest inne niż przed instalacją. Najbardziej mogą się rzucać w oczy następujące zmiany: pojawienie się nowych, nieznanych okien (wyskakujące okna, reklamy); aktywowanie i uruchamianie ukrytych procesów; zwiększone wykorzystanie zasobów systemowych; zmiany w wynikach wyszukiwania; komunikacja aplikacji z serwerami zdalnymi. Potencjalnie niebezpieczne aplikacje potencjalnie niebezpieczne aplikacje to klasyfikacja używana w odniesieniu do komercyjnych, legalnych programów, takich jak narzędzia do dostępu zdalnego, aplikacje służące do łamania haseł oraz programy zapisujące znaki wpisywane na klawiaturze (ang. keylogger). Domyślnie opcja ta jest wyłączona. ESET Live Grid dzięki wykorzystującej reputację technologii firmy ESET informacje o skanowanych plikach są sprawdzane przy użyciu danych pochodzących z działającego w chmurze systemu ESET Live Grid w celu zwiększenia wykrywalności zagrożeń i przyspieszenia skanowania. Leczenie Ustawienia leczenia określają sposób działania skanera w stosunku do zainfekowanych plików. Istnieją 3 poziomy leczenia: Brak leczenia zainfekowane pliki nie będą automatycznie leczone. Wyświetlane jest okno z ostrzeżeniem, a użytkownik może wybrać czynność do wykonania. Ten poziom jest przeznaczony dla bardziej zaawansowanych 83

84 użytkowników, którzy wiedzą, jakie czynności należy wykonać w razie wystąpienia infekcji. Leczenie normalne program próbuje automatycznie wyleczyć lub usunąć zarażony plik zgodnie ze wstępnie zdefiniowaną czynnością (zależnie od typu infekcji). O wykryciu i usunięciu zainfekowanego pliku informuje powiadomienie wyświetlane w prawym dolnym rogu ekranu. Jeśli automatyczne wybranie właściwej czynności nie będzie możliwe, w programie będą dostępne inne czynności kontynuacyjne. Aplikacja zadziała tak samo także wtedy, gdy nie będzie możliwe wykonanie wstępnie zdefiniowanej czynności. Leczenie dokładne program leczy lub usuwa wszystkie zarażone pliki. Jedyny wyjątek stanowią pliki systemowe. Jeśli wyleczenie pliku okaże się niemożliwe, zostanie wyświetlony monit o wybranie czynności, która ma zostać wykonana. Ostrzeżenie: Jeśli archiwum zawiera zainfekowane pliki, problem można rozwiązać na dwa sposoby. W trybie standardowym (Leczenie standardowe) usunięcie całego archiwum nastąpi w sytuacji, gdy zarażone będą wszystkie znajdujące się w nim pliki. W trybie Leczenie dokładne całe archiwum zostanie usunięte po wykryciu pierwszego zarażonego pliku, niezależnie od stanu pozostałych plików w tym archiwum. Wyłączenia Rozszerzenie jest częścią nazwy pliku oddzieloną kropką. Określa ono typ i zawartość pliku. Ta sekcja ustawień parametrów technologii ThreatSense umożliwia określanie typów plików, które mają być skanowane. Inne Podczas konfigurowania ustawień parametrów technologii ThreatSense dotyczących skanowania komputera na żądanie w sekcji Inne dostępne są również następujące opcje: Skanuj alternatywne strumienie danych (ADS) alternatywne strumienie danych używane w systemie plików NTFS to skojarzenia plików i folderów, których nie można sprawdzić za pomocą standardowych technik skanowania. Wiele wirusów stara się uniknąć wykrycia, udając alternatywne strumienie danych. Uruchom skanowanie w tle z niskim priorytetem każde skanowanie wymaga użycia pewnej ilości zasobów systemowych. W przypadku używania programów, które wymagają dużej ilości zasobów systemowych, można uruchomić skanowanie w tle z niskim priorytetem, oszczędzając zasoby dla innych aplikacji. Zapisuj w dzienniku informacje o wszystkich obiektach wybranie tej opcji powoduje, że w pliku dziennika są zapisywane informacje o wszystkich skanowanych plikach, nawet tych niezainfekowanych. Jeśli na przykład infekcja zostanie znaleziona w archiwum, w dzienniku zostaną uwzględnione również pliki niezainfekowane zawarte w tym archiwum. Włącz inteligentną optymalizację po włączeniu funkcji Inteligentna optymalizacja używane są optymalne ustawienia, które zapewniają połączenie maksymalnej skuteczności z największą szybkością skanowania. Poszczególne moduły ochrony działają w sposób inteligentny, stosując różne metody skanowania w przypadku różnych typów plików. Jeśli funkcja inteligentnej optymalizacji jest wyłączona, podczas skanowania są stosowane jedynie określone przez użytkownika ustawienia technologii ThreatSense dla poszczególnych modułów. Zachowaj znacznik czasowy ostatniego dostępu wybranie tej opcji pozwala zachować oryginalny znacznik czasowy dostępu do plików zamiast przeprowadzania ich aktualizacji (na przykład na potrzeby systemów wykonywania kopii zapasowych danych). Limity W sekcji Limity można określić maksymalny rozmiar obiektów i poziomy zagnieżdżonych archiwów, które mają być skanowane: Ustawienia obiektów Domyślne ustawienia obiektów Maksymalny rozmiar obiektu określa maksymalny rozmiar obiektów do skanowania. Dany moduł antywirusowy będzie skanować tylko obiekty o rozmiarze mniejszym niż określony. Ta opcja powinna być modyfikowana tylko przez zaawansowanych użytkowników, którzy mają określone powody do wyłączenia większych obiektów ze skanowania. Wartość domyślna: bez limitu. Maksymalny czas skanowania dla obiektu (s) określa maksymalny czas skanowania obiektu. W przypadku wprowadzenia wartości zdefiniowanej przez użytkownika moduł antywirusowy zatrzyma skanowanie obiektu po 84

85 upływie danego czasu, niezależnie od tego, czy skanowanie zostało ukończone. Wartość domyślna: bez limitu. Ustawienia skanowania archiwów Poziom zagnieżdżania archiwów określa maksymalną głębokość skanowania archiwów. Wartość domyślna: 10. Maksymalny rozmiar pliku w archiwum ta opcja pozwala określić maksymalny rozmiar plików, które mają być skanowane w rozpakowywanych archiwach. Wartość domyślna: bez limitu. UWAGA: Nie zalecamy modyfikowania wartości domyślnych. W zwykłych warunkach nie ma potrzeby ich zmieniać Wyłączone rozszerzenia Rozszerzenie jest częścią nazwy pliku oddzieloną kropką. Określa ono typ i zawartość pliku. Ta sekcja ustawień parametrów technologii ThreatSense umożliwia określanie typów plików, które mają być skanowane. Domyślnie skanowane są wszystkie pliki. Do listy plików wyłączonych ze skanowania można dodać dowolne rozszerzenie. Wykluczenie plików jest czasami konieczne, jeśli skanowanie pewnych typów plików uniemożliwia prawidłowe działanie programu, który z niektórych z nich korzysta. Na przykład podczas używania serwerów programu Microsoft Exchange może być wskazane wyłączenie rozszerzeń EDB, EML i TMP. Przy użyciu przycisków Dodaj i Usuń można włączyć lub wyłączyć skanowanie plików o konkretnych rozszerzeniach. W celu dodania do listy nowego rozszerzenia należy kliknąć przycisk Dodaj, wpisać rozszerzenie w pustym polu i kliknąć OK. Gdy wybrana jest opcja Wprowadź wiele wartości, można dodać wiele rozszerzeń plików oddzielonych wierszami, przecinkami lub średnikami. W przypadku włączenia opcji wielokrotnego wyboru rozszerzenia będą wyświetlane na liście. Aby usunąć wybrane rozszerzenie z listy, należy je zaznaczyć, a następnie kliknąć przycisk Usuń. W celu edytowania wybranego rozszerzenia należy nacisnąć przycisk Edytuj. Można używać symboli specjalnych: * (gwiazdka) oraz? (znak zapytania). Gwiazdka oznacza dowolny ciąg znaków, a znak zapytania oznacza dowolny symbol Dodatkowe parametry technologii ThreatSense Dodatkowe parametry ThreatSense dla nowo utworzonych i zmodyfikowanych plików prawdopodobieństwo występowania infekcji w nowo utworzonych lub zmodyfikowanych plikach jest stosunkowo większe niż w przypadku istniejących już plików. Dlatego program sprawdza takie pliki z zastosowaniem dodatkowych parametrów skanowania. Oprócz typowych metod skanowania przy użyciu sygnatur stosowana jest również zaawansowana heurystyka, która wykrywa nowe zagrożenia jeszcze przed opublikowaniem aktualizacji bazy sygnatur wirusów. Poza nowo utworzonymi plikami skanowanie obejmuje też archiwa samorozpakowujące (SFX) i programy spakowane (skompresowane wewnętrznie pliki wykonywalne). Domyślnie archiwa są skanowane do dziesiątego poziomu zagnieżdżenia i są sprawdzane niezależnie od ich rozmiaru. Aby zmienić ustawienia skanowania archiwów, należy wyłączyć opcję Domyślne ustawienia skanowania archiwów. Więcej informacji na temat programów spakowanych, archiwów samorozpakowujących oraz zaawansowanej heurystyki można znaleźć w sekcji Ustawienia parametrów technologii ThreatSense. Dodatkowe parametry ThreatSense dla wykonywanych plików domyślnie podczas wykonywania plików używana jest zaawansowana heurystyka. Gdy ta opcja jest włączona, zalecamy pozostawienie włączonych opcji inteligentnej optymalizacji oraz ESET Live Grid w celu ograniczenia wpływu na wydajność systemu. 85

86 Poziomy leczenia W ramach ochrony w czasie rzeczywistym dostępne są trzy poziomy leczenia. Aby uzyskać do nich dostęp, należy kliknąć pozycję Parametry technologii ThreatSense w sekcji Ochrona systemu plików w czasie rzeczywistym, a następnie kliknąć opcję Leczenie. Brak leczenia zainfekowane pliki nie będą automatycznie leczone. Wyświetlane jest okno z ostrzeżeniem, a użytkownik może wybrać czynność do wykonania. Ten poziom jest przeznaczony dla bardziej zaawansowanych użytkowników, którzy wiedzą, jakie czynności należy wykonać w razie wystąpienia infekcji. Leczenie normalne program próbuje automatycznie wyleczyć lub usunąć zarażony plik zgodnie ze wstępnie zdefiniowaną czynnością (zależnie od typu infekcji). O wykryciu i usunięciu zainfekowanego pliku informuje powiadomienie wyświetlane w prawym dolnym rogu ekranu. Jeśli automatyczne wybranie właściwej czynności nie będzie możliwe, w programie będą dostępne inne czynności kontynuacyjne. Aplikacja zadziała tak samo także wtedy, gdy nie będzie możliwe wykonanie wstępnie zdefiniowanej czynności. Leczenie dokładne program leczy lub usuwa wszystkie zarażone pliki. Jedyny wyjątek stanowią pliki systemowe. Jeśli wyleczenie pliku okaże się niemożliwe, zostanie wyświetlony monit o wybranie czynności, która ma zostać wykonana. Ostrzeżenie: Jeśli archiwum zawiera zainfekowane pliki, problem można rozwiązać na dwa sposoby. W trybie standardowym (Leczenie standardowe) usunięcie całego archiwum nastąpi w sytuacji, gdy zarażone będą wszystkie znajdujące się w nim pliki. W trybie Leczenie dokładne całe archiwum zostanie usunięte po wykryciu pierwszego zarażonego pliku, niezależnie od stanu pozostałych plików w tym archiwum Zmienianie ustawień ochrony w czasie rzeczywistym Ochrona systemu plików w czasie rzeczywistym jest najbardziej istotnym elementem zapewniającym bezpieczeństwo systemu. Podczas zmieniania jej parametrów należy zawsze zachować ostrożność. Modyfikowanie ustawień ochrony jest zalecane tylko w określonych przypadkach, Po zainstalowaniu programu ESET File Security wszystkie ustawienia są optymalizowane w celu zapewnienia maksymalnego poziomu bezpieczeństwa systemu. W celu przywrócenia ustawień domyślnych należy kliknąć ikonę obok każdej z kart w oknie (Ustawienia zaawansowane > Moduł antywirusowy > Ochrona systemu plików w czasie rzeczywistym) Sprawdzanie skuteczności ochrony w czasie rzeczywistym Aby sprawdzić, czy funkcja ochrony w czasie rzeczywistym działa i wykrywa wirusy, można użyć pliku z witryny eicar.com. Jest to przygotowany nieszkodliwy plik testowy wykrywany przez wszystkie programy antywirusowe. Został on utworzony przez firmę EICAR (European Institute for Computer Antivirus Research) w celu testowania działania programów antywirusowych. Plik jest dostępny do pobrania pod adresem download/eicar.com Co zrobić, jeśli ochrona w czasie rzeczywistym nie działa W tym rozdziale opisano problemy, które mogą wystąpić podczas korzystania z ochrony w czasie rzeczywistym, oraz sposoby ich rozwiązywania. Ochrona w czasie rzeczywistym jest wyłączona Jeśli ochrona w czasie rzeczywistym została przypadkowo wyłączona przez użytkownika, należy ją włączyć ponownie. Aby ponownie włączyć ochronę w czasie rzeczywistym, należy w głównym oknie programu przejść do opcji Ustawienia, a następnie kliknąć przycisk Ochrona systemu plików w czasie rzeczywistym. Jeśli ochrona w czasie rzeczywistym nie jest inicjowana przy uruchamianiu systemu, najczęściej jest to spowodowane usunięciem zaznaczenia pola wyboru Automatycznie uruchom ochronę systemu plików w czasie rzeczywistym. Aby włączyć tę opcję, należy przejść do okna Ustawienia zaawansowane (klawisz F5) i w sekcji Ustawienia zaawansowane kliknąć kolejno pozycje Komputer > Ochrona systemu plików w czasie rzeczywistym > Podstawowe. Należy upewnić się, że włączona jest opcja Automatycznie uruchom ochronę systemu plików w czasie rzeczywistym. 86

87 Ochrona w czasie rzeczywistym nie wykrywa ani nie leczy zagrożeń Należy się upewnić, że na komputerze nie ma zainstalowanych innych programów antywirusowych. Jednoczesne włączenie dwóch modułów ochrony w czasie rzeczywistym może powodować ich konflikt. Zaleca się odinstalowanie innych programów antywirusowych znajdujących się w systemie przed zainstalowaniem programu ESET. Ochrona w czasie rzeczywistym nie jest uruchamiana Jeśli ochrona w czasie rzeczywistym nie jest inicjowana przy uruchamianiu systemu (a opcja Automatycznie uruchom ochronę systemu plików w czasie rzeczywistym jest włączona), może to być spowodowane konfliktami z innymi programami. W celu uzyskania pomocy w rozwiązaniu tego problemu należy skontaktować się z działem obsługi klienta firmy ESET Przesyłanie Użytkownik może wybrać sposób przesyłania plików i informacji statystycznych do firmy ESET. Jeśli pliki i dane statystyczne mają być przesyłane wszystkimi dostępnymi sposobami, należy zaznaczyć opcję Przy użyciu zdalnej administracji (Remote Administrator) lub bezpośrednio do firmy ESET. Zaznaczenie opcji Przy użyciu zdalnej administracji (Remote Administrator) spowoduje wysyłanie informacji i plików do serwera zdalnej administracji, skąd następnie trafią one do laboratorium firmy ESET. Jeśli zostanie zaznaczona opcja Bezpośrednio do firmy ESET, wszystkie podejrzane pliki i informacje statystyczne będą wysyłane z programu do laboratorium firmy ESET. Jeżeli istnieją pliki oczekujące na przesłanie, przycisk Prześlij teraz jest aktywny. Należy kliknąć ten przycisk, aby przesłać pliki i informacje statystyczne. Wybranie opcji Włącz zapisywanie w dzienniku spowoduje utworzenie dziennika, w którym będą rejestrowane wysyłane pliki i informacje statystyczne Statystyki System monitorowania zagrożeń ThreatSense.Net gromadzi anonimowe informacje o komputerze użytkownika dotyczące nowo wykrytych zagrożeń. Mogą one obejmować nazwę infekcji, datę i godzinę jej wykrycia, numer wersji programu zabezpieczającego firmy ESET, wersję systemu operacyjnego oraz ustawienia regionalne. Zazwyczaj statystyki są przesyłane do serwerów firmy ESET raz lub dwa razy dziennie. Poniżej przedstawiono przykład wysyłanego pakietu danych statystycznych: # # # # # # # # # utc_time= :21:28 country="slovakia" language="english" osver= NT engine=5417 components= moduleid=0x4e4f4d41 filesize=28368 filename=c:\documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8 Kiedy przesyłać użytkownik może sam określić termin wysyłania danych statystycznych. Po wybraniu opcji Jak najszybciej informacje statystyczne będą wysyłane natychmiast po ich utworzeniu. To ustawienie jest odpowiednie przy korzystaniu ze stałego łącza internetowego. W przypadku zaznaczenia opcji Podczas aktualizacji wszystkie informacje statystyczne będą wysyłane w trakcie pierwszej aktualizacji przypadającej po ich zgromadzeniu. 87

88 Podejrzane pliki Karta Podejrzane pliki umożliwia skonfigurowanie sposobu przesyłania zagrożeń do laboratorium firmy ESET w celu przeprowadzenia analizy. Po wykryciu podejrzanego pliku na komputerze można go przesłać do analizy w laboratorium firmy. Jeśli plik okaże się szkodliwą aplikacją, informacje potrzebne do jej wykrywania zostaną dodane do kolejnej aktualizacji bazy sygnatur wirusów. Można skonfigurować ustawienia w taki sposób, aby pliki były przesyłane automatycznie, lub wybrać opcję Pytaj przed przesłaniem, aby uzyskać informacje o plikach wysyłanych do analizy i potwierdzić ich wysłanie. Jeśli nie mają być przesyłane żadne pliki, należy zaznaczyć opcję Nie przesyłaj do analizy. Zaznaczenie tej opcji nie wpływa na przesyłanie informacji statystycznych, których ustawienia są konfigurowane w innym miejscu (patrz sekcja Statystyki). Kiedy przesyłać domyślnie zaznaczona jest opcja Natychmiast dotycząca wysyłania podejrzanych plików do analizy w laboratorium firmy ESET. Jest to zalecane w przypadku korzystania ze stałego łącza internetowego, dzięki czemu podejrzane pliki mogą być dostarczane bez opóźnienia. Wybór opcji Podczas aktualizacji spowoduje, że podejrzane pliki będą przesyłane do programu ThreatSense.Net podczas kolejnej aktualizacji. Wyłączenia umożliwia wykluczenie określonych plików i folderów z przesyłania. Warto na przykład wyłączyć pliki, które mogą zawierać poufne informacje, takie jak dokumenty lub arkusze kalkulacyjne. Najpopularniejsze typy plików należących do tej kategorii (np. DOC) są domyślnie wyłączone. Do listy wyłączonych plików można dodawać inne typy plików. Kontaktowy adres (opcjonalnie) wraz z podejrzanymi plikami może być wysyłany adres , który będzie używany do kontaktowania się z użytkownikiem w sytuacji, gdy przeprowadzenie analizy będzie wymagało dodatkowych informacji. Należy pamiętać, że specjaliści z firmy ESET kontaktują się z użytkownikiem tylko w szczególnych przypadkach, gdy wymagane są dodatkowe informacje Skanowanie komputera na żądanie W tej sekcji dostępne są opcje umożliwiające wybór parametrów skanowania. Wybrany profil określony zestaw parametrów stosowanych podczas skanowania na żądanie. W celu utworzenia nowego profilu należy kliknąć opcję Edytuj obok pozycji Lista profili. Jeśli przeskanowany ma być wyłącznie określony obiekt docelowy, można kliknąć opcję Edytuj obok pozycji Skanowane obiekty i wybrać opcję z menu rozwijanego lub wybrać określone obiekty w strukturze (drzewie) folderów. W oknie skanowanych obiektów można określić, jakie obiekty (pamięć, dyski, sektory, pliki i foldery) będą sprawdzane w poszukiwaniu infekcji. Obiekty można wybierać ze struktury drzewa zawierającej wszystkie urządzenia dostępne w komputerze. W menu rozwijanym Skanowane obiekty można wybrać wstępnie zdefiniowane obiekty do skanowania: Ustawienia profilu powoduje wybranie obiektów skonfigurowanych w wybranym profilu skanowania. Nośniki wymienne sprawdzane będą dyskietki, urządzenia pamięci masowej USB, płyty CD i DVD. Dyski lokalne wybierane są wszystkie dyski twarde w komputerze. Dyski sieciowe powoduje wybranie wszystkich mapowanych dysków sieciowych. Foldery udostępnione powoduje wybranie wszystkich folderów udostępnionych na lokalnym serwerze. Brak wyboru wybór obiektów zostaje anulowany. W celu zmodyfikowania parametrów skanowania na żądanie (np. metod wykrywania) należy kliknąć pozycję Parametry technologii ThreatSense. 88

89 Program uruchamiający skanowanie niestandardowe Jeśli użytkownik chce przeprowadzić wyłącznie skanowanie określonego obiektu, możliwe jest użycie narzędzia Skanowanie niestandardowe. W tym celu należy kliknąć kolejno opcje Skanowanie komputera > Skanowanie niestandardowe, a następnie wybrać z menu rozwijanego opcję Skanowane obiekty lub wybrać żądane obiekty w strukturze (drzewie) folderów. W oknie skanowanych obiektów można określić, jakie obiekty (pamięć, dyski, sektory, pliki i foldery) będą sprawdzane w poszukiwaniu infekcji. Obiekty można wybierać ze struktury drzewa zawierającej wszystkie urządzenia dostępne w komputerze. W menu rozwijanym Skanowane obiekty można wybrać wstępnie zdefiniowane obiekty do skanowania: Ustawienia profilu powoduje wybranie obiektów skonfigurowanych w wybranym profilu skanowania. Nośniki wymienne sprawdzane będą dyskietki, urządzenia pamięci masowej USB, płyty CD i DVD. Dyski lokalne wybierane są wszystkie dyski twarde w komputerze. Dyski sieciowe powoduje wybranie wszystkich mapowanych dysków sieciowych. Foldery udostępnione powoduje wybranie wszystkich folderów udostępnionych na lokalnym serwerze. Brak wyboru wybór obiektów zostaje anulowany. Aby szybko przejść do skanowanego obiektu lub bezpośrednio dodać żądany obiekt (folder lub plik), należy wprowadzić go w pustym polu znajdującym się poniżej listy folderów. Jest to możliwe tylko wtedy, gdy nie wybrano żadnych obiektów w strukturze drzewa, a w menu Skanowane obiekty jest wybrana opcja Brak wyboru. Zainfekowane elementy nie będą automatycznie leczone. Skanowanie bez leczenia umożliwia ocenę skuteczności bieżącego stopnia ochrony. Jeśli użytkownik chce tylko przeskanować system bez wykonywania dodatkowych działań związanych z leczeniem, należy wybrać opcję Skanuj bez leczenia. Ponadto można wybrać jeden z trzech poziomów leczenia, klikając kolejno opcje Ustawienia > Parametry technologii ThreatSense > Leczenie. Informacje na temat skanowania są umieszczane w dzienniku skanowania. W menu rozwijanym Profil skanowania można wybrać profil, który ma być używany podczas skanowania wybranych obiektów. Profilem domyślnym jest Skanowanie inteligentne. Istnieją jeszcze dwa wstępnie zdefiniowane profile skanowania: Skanowanie dokładne i Skanowanie z poziomu menu kontekstowego. W tych profilach skanowania stosowane są różne parametry aparatu ThreatSense. Kliknij przycisk Ustawienia, aby szczegółowo skonfigurować wybrany profil skanowania w menu Profil skanowania. Dostępne opcje opisano w sekcji Inne w części Ustawienia parametrów technologii ThreatSense. Kliknij przycisk Zapisz, aby zapisać zmiany dokonane podczas wybierania obiektów wraz z obiektami wybranymi w 89

90 strukturze drzewa. Kliknij przycisk Skanowanie, aby przeprowadzić skanowanie z wykorzystaniem ustawionych parametrów niestandardowych. Opcja Skanuj jako administrator pozwala na przeprowadzenie skanowania z uprawnieniami administratora. Tę opcję należy kliknąć, jeśli obecny użytkownik nie ma uprawnień pozwalających na dostęp do plików, które mają być skanowane. Uwaga: Ten przycisk jest niedostępny, jeśli aktualny użytkownik nie może wywoływać operacji UAC jako administrator Postęp skanowania W oknie postępu skanowania wyświetlany jest bieżący stan skanowania oraz informacje dotyczące liczby znalezionych plików zawierających szkodliwy kod. UWAGA: Jest całkowicie normalne, że nie można przeskanować części plików, na przykład plików zabezpieczonych hasłem lub plików używanych przez system na prawach wyłączności (zwykle dotyczy to pliku pagef ile.sys i określonych plików dziennika). 90

91 Postęp skanowania pasek postępu wskazuje stan przeskanowanych już obiektów w odniesieniu do obiektów pozostałych do przeskanowania. Ta wartość postępu skanowania jest obliczana na podstawie całkowitej liczby obiektów zakwalifikowanych do skanowania. Obiekt docelowy nazwa i położenie obecnie skanowanego obiektu. Znalezione zagrożenia łączna liczba zagrożeń wykrytych podczas skanowania. Przerwij umożliwia wstrzymanie skanowania. Wznów ta opcja jest widoczna, gdy skanowanie jest wstrzymane. Kliknięcie przycisku Wznów powoduje kontynuowanie skanowania. Zatrzymaj umożliwia przerwanie skanowania. Przewijaj dziennik skanowania po włączeniu tej opcji dziennik skanowania będzie automatycznie przewijany w miarę dodawania nowych wpisów, co zapewni widoczność najnowszych wpisów Menedżer profili Menedżer profili jest używany w dwóch sekcjach programu ESET File Security: Skanowanie komputera na żądanie oraz Aktualizacja. Skanowanie komputera na żądanie Preferowane parametry skanowania mogą zostać zapisane i użyte w przyszłości. Zalecane jest utworzenie osobnego profilu (z ustawionymi różnymi obiektami i metodami skanowania oraz innymi parametrami) dla każdego regularnie przeprowadzanego skanowania. Aby utworzyć nowy profil, należy otworzyć okno ustawień zaawansowanych (klawisz F5) i kliknąć kolejno opcje Moduł antywirusowy > Skanowanie komputera na żądanie, a następnie opcję Edytuj obok pozycji Lista profili. W menu rozwijanym Wybrany profil widoczne są istniejące profile skanowania. Więcej informacji o tworzeniu profilu skanowania dostosowanego do indywidualnych potrzeb można znaleźć w sekcji Ustawienia parametrów technologii ThreatSense, w której opisano poszczególne parametry ustawień skanowania. Przykład: Załóżmy, że użytkownik chce utworzyć własny profil skanowania, a żądana konfiguracja częściowo pokrywa 91

92 się z konfiguracją Skanowanie inteligentne. Użytkownik nie chce jednak skanować programów spakowanych ani potencjalnie niebezpiecznych aplikacji oraz chce zastosować ustawienie Leczenie dokładne. W oknie Menedżer profili należy wprowadzić nazwę nowego profilu, a następnie kliknąć opcję Dodaj. Nowy profil należy wybrać z menu rozwijanego Wybrany profil w celu dostosowania pozostałych parametrów zgodnie z wymogami, po czym należy kliknąć OK, by zapisać nowy profil. Aktualizacja Edytor profili w sekcji ustawień aktualizacji pozwala na tworzenie nowych profili aktualizacji. Tworzenie i używanie własnych, niestandardowych profili (tzn. innych niż domyślny Mój profil jest przydatne tylko w sytuacji, gdy komputer na różne sposoby łączy się z serwerami aktualizacji. Przykładem może być komputer przenośny, który zwykle łączy się z serwerem lokalnym (z kopią dystrybucyjną) w sieci lokalnej, ale po odłączeniu od niej (np. podczas podróży służbowej) pobiera aktualizacje bezpośrednio z serwerów firmy ESET korzystając z dwóch profili: jednego na potrzeby połączenia z lokalnym serwerem, a drugiego do komunikacji z serwerami firmy ESET. Po skonfigurowaniu tych profili należy kliknąć kolejno opcje Narzędzia > Harmonogram i edytować parametry zadań aktualizacji. Jeden profil należy ustawić jako główny, a drugi jako alternatywny. Wybrany profil obecnie używany profil aktualizacji. Aby go zmienić, należy wybrać inny profil z menu rozwijanego. Lista profili możliwość tworzenia nowych lub edytowania istniejących profili aktualizacji Skanowane obiekty W oknie skanowanych obiektów można określić, jakie obiekty (pamięć, dyski, sektory, pliki i foldery) będą sprawdzane w poszukiwaniu infekcji. Obiekty można wybierać ze struktury drzewa zawierającej wszystkie urządzenia dostępne w komputerze. W menu rozwijanym Skanowane obiekty można wybrać wstępnie zdefiniowane obiekty do skanowania: Ustawienia profilu powoduje wybranie obiektów skonfigurowanych w wybranym profilu skanowania. Nośniki wymienne sprawdzane będą dyskietki, urządzenia pamięci masowej USB, płyty CD i DVD. Dyski lokalne wybierane są wszystkie dyski twarde w komputerze. Dyski sieciowe powoduje wybranie wszystkich mapowanych dysków sieciowych. Foldery udostępnione powoduje wybranie wszystkich folderów udostępnionych na lokalnym serwerze. Brak wyboru wybór obiektów zostaje anulowany Zaawansowane opcje skanowania W tym oknie można określić zaawansowane opcje zaplanowanego zadania skanowania komputera. Można skonfigurować czynność wykonywaną automatycznie po ukończeniu skanowania. Opcje dostępne są w menu rozwijanym: Wyłącz po ukończeniu skanowania komputer zostanie wyłączony. Uruchom ponownie zamknięcie wszystkich otwartych programów i ponowne uruchomienie komputera po ukończeniu skanowania. Uśpij zapisanie sesji i przełączenie komputera w tryb obniżonego poboru energii, z którego szybko można wznowić pracę. Hibernacja wszystkie procesy uruchomione w pamięci RAM zostają przeniesione do specjalnego pliku na dysku twardym. Komputer wyłącza się, ale po kolejnym uruchomieniu wznawia pracę od poprzedniego stanu. Brak czynności po ukończeniu skanowania nie zostanie wykonana żadna czynność. UWAGA: Należy pamiętać, że komputer w trybie uśpienia nadal działa. Uruchomione są nadal podstawowe funkcje i komputer nadal zużywa energię, będąc na zasilaniu akumulatorowym. Aby ograniczyć zużycie baterii, na przykład po opuszczeniu biura, zalecane jest skorzystanie z opcji Hibernacja. Aby uniemożliwić nieupoważnionym użytkownikom zatrzymywanie czynności wykonywanych po skanowaniu, należy wybrać opcję Użytkownik nie może anulować czynności. Aby umożliwić użytkownikom z ograniczeniami wstrzymywanie skanowania komputera na określony czas, należy 92

93 wybrać opcję Użytkownik może wstrzymać skanowanie na (min). Więcej informacji można znaleźć w rozdziale Postęp skanowania Wstrzymanie zaplanowanego skanowania Zaplanowane skanowanie może zostać opóźnione. Podanie wartości opcji Przerwij zaplanowane operacje skanowania na (min) umożliwia opóźnienie skanowania komputera Skanowanie w trakcie bezczynności Skanowanie w trakcie bezczynności można włączyć w obszarze Ustawienia zaawansowane po kliknięciu opcji Moduł antywirusowy > Skanowanie w trakcie bezczynności > Podstawowe. W celu włączenia tej funkcji należy włączyć przełącznik widoczny obok pozycji Włącz skanowanie w trakcie bezczynności. Gdy komputer jest w stanie bezczynności, skanowanie komputera w trybie cichym jest wykonywane na wszystkich dyskach lokalnych. Domyślnie skaner w trybie bezczynności nie pracuje, gdy komputer (notebook) jest zasilany z baterii. Można zmienić to ustawienie, zaznaczając pole wyboru Uruchom, nawet jeśli komputer jest zasilany z baterii w Ustawieniach zaawansowanych. Włączenie przełącznika opcji Włącz zapisywanie w dzienniku w Ustawieniach zaawansowanych umożliwia rejestrowanie danych wyjściowych skanowania komputera w sekcji Pliki dziennika (w oknie głównym programu należy kliknąć kolejno pozycje Narzędzia > Pliki dziennika i wybrać opcję Skanowanie komputera z menu rozwijanego Dziennik). Wykrywanie stanu bezczynności będzie uruchamiane, gdy komputer znajdzie się w jednym z następujących stanów: Wygaszacz ekranu Blokada komputera Wylogowanie użytkownika W celu zmodyfikowania parametrów skanowania w trakcie bezczynności (np. metod wykrywania) należy kliknąć 93

94 pozycję Parametry technologii ThreatSense Skanowanie przy uruchamianiu Domyślnie przeprowadzane jest automatyczne sprawdzenie plików podczas uruchamiania systemu oraz podczas aktualizacji bazy sygnatur wirusów. To skanowanie jest zależne od ustawień w sekcji Konfiguracja harmonogramu i zadania. Opcje skanowania podczas uruchamiania systemu są częścią zadania zaplanowanego Sprawdzanie plików przy uruchamianiu systemu. Aby zmodyfikować te ustawienia skanowania przy uruchamianiu, należy przejść do opcji Narzędzia > Harmonogram, kliknąć Automatyczne sprawdzanie plików przy uruchamianiu, a następnie Edytuj. W ostatnim kroku zostanie wyświetlone okno Automatyczne sprawdzanie plików przy uruchamianiu (więcej szczegółów można znaleźć w następnym rozdziale). Szczegółowe informacje na temat tworzenia zadań zaplanowanych i zarządzania nimi można znaleźć w rozdziale Tworzenie nowych zadań Automatyczne sprawdzanie plików przy uruchamianiu Podczas tworzenia zaplanowanego zadania sprawdzania plików przy uruchamianiu systemu dostępnych jest kilka opcji umożliwiających dostosowanie następujących parametrów: Menu rozwijane Poziom skanowania służy do określenia szczegółowości skanowania plików wykonywanych przy uruchamianiu systemu. Pliki są rozmieszczone w kolejności malejącej, zgodnie z następującymi kryteriami: Tylko najczęściej używane pliki (najmniej skanowanych plików) Często używane pliki Zazwyczaj używane pliki Rzadko używane pliki Wszystkie zarejestrowane pliki (najwięcej skanowanych plików) Poziom skanowania obejmuje także dwie szczególne grupy: Pliki uruchamiane przed zalogowaniem użytkownika są to pliki w takich lokalizacjach, do których można uzyskać dostęp bez zalogowania użytkownika (prawie wszystkie lokalizacje wykorzystywane podczas uruchomienia systemu, takie jak usługi, obiekty pomocnika przeglądarki, powiadamianie usługi winlogon, wpisy harmonogramu systemu Windows, znane biblioteki DLL itp.). Pliki uruchamiane po zalogowaniu użytkownika są to pliki w takich lokalizacjach, do których można uzyskać dostęp dopiero po zalogowaniu się użytkownika (pliki, które są uruchamiane tylko dla określonego użytkownika, zazwyczaj pliki znajdujące się w folderze HKEY_CURRENT_USER\SOFTWARE\Microsof t\windows\currentversion \Run). Listy plików do skanowania są stałe w każdej z wcześniej wymienionych grup. Priorytet skanowania poziom priorytetu używany do określenia momentu uruchomienia skanowania: Normalny przy przeciętnym obciążeniu systemu, Niższy przy niskim obciążeniu systemu, Najniższy kiedy obciążenie systemu jest możliwie najmniejsze, W trakcie bezczynności zadanie zostanie wykonane tylko wtedy, gdy system jest bezczynny. 94

95 Nośniki wymienne Program ESET File Security udostępnia funkcję automatycznego skanowania nośników wymiennych (CD, DVD, USB i innych). Ten moduł pozwala na skanowanie włożonego lub podłączonego nośnika. Dzięki temu administrator komputera może uniemożliwić użytkownikom korzystanie z nośników wymiennych z niepożądaną zawartością. Czynność do wykonania po włożeniu nośnika wymiennego umożliwia wybór domyślnej czynności, która zostanie wykonana po włożeniu do komputera nośnika wymiennego (CD/DVD/USB). Jeśli wybrana jest opcja Pokaż opcje skanowania, wyświetlone zostanie okno z powiadomieniem umożliwiające wybranie czynności: Nie skanuj nie zostaną wykonane żadne czynności, a okno Podłączono nowe urządzenie zostanie zamknięte. Automatyczne skanowanie urządzeń włożony nośnik wymienny zostanie poddany skanowaniu na żądanie. Pokaż opcje skanowania powoduje otwarcie sekcji Nośniki wymienne w ustawieniach. Po włożeniu nośnika wymiennego pojawi się następujące okno dialogowe: Skanuj teraz powoduje rozpoczęcie skanowania nośnika wymiennego. Skanuj później skanowanie nośnika wymiennego zostanie odłożone. Ustawienia powoduje otwarcie opcji Ustawienia zaawansowane. Zawsze używaj wybranej opcji po wybraniu tej opcji, gdy nośnik wymienny zostanie włożony po raz kolejny, wykonana zostanie ta sama czynność. Ponadto program ESET File Security oferuje funkcję Kontrola dostępu do urządzeń, która umożliwia definiowanie reguł dotyczących używania urządzeń zewnętrznych na danym komputerze. Więcej szczegółowych informacji dotyczących funkcji Kontrola dostępu do urządzeń można znaleźć w sekcji Kontrola dostępu do urządzeń Ochrona dokumentów Funkcja Ochrona dokumentów pozwala na skanowanie dokumentów pakietu Microsoft Office przed ich otwarciem, a także skanowanie plików automatycznie pobieranych przez program Internet Explorer (np. elementów Microsoft ActiveX). Oprócz ochrony systemu plików w czasie rzeczywistym dostępna jest również ochrona dokumentów. Opcję tę można wyłączyć, aby zwiększyć wydajność systemu na komputerach, na których nie znajduje się dużo dokumentów programu Microsoft Office. Opcja Integracja z systemem umożliwia aktywowanie systemu ochrony. Aby zmodyfikować tę opcję, należy nacisnąć klawisz F5 w celu otwarcia okna Ustawienia zaawansowane i w drzewie ustawień zaawansowanych kliknąć kolejno pozycje Moduł antywirusowy > Ochrona dokumentów. Więcej informacji na temat ustawień funkcji Ochrona dokumentów można znaleźć w temacie Parametry technologii Threatsense. Funkcja ta jest aktywowana przez aplikacje używające interfejsu Microsoft Antivirus API (np. Microsoft Office w wersji 2000 lub wyższej albo Microsoft Internet Explorer w wersji 5.0 lub wyższej) System HIPS Zmiany w ustawieniach systemu HIPS powinni wprowadzać jedynie doświadczeni użytkownicy. Nieprawidłowe skonfigurowanie ustawień systemu HIPS może spowodować niestabilność systemu. System zapobiegania włamaniom działający na hoście (ang. Host-based Intrusion Prevention System, HIPS) chroni system operacyjny przed szkodliwym oprogramowaniem i niepożądanymi działaniami mającymi na celu wywarcie negatywnego wpływu na komputer użytkownika. W rozwiązaniu tym używana jest zaawansowana analiza behawioralna powiązana z metodami wykrywania stosowanymi w filtrze sieciowym. Dzięki temu system HIPS monitoruje uruchomione procesy, pliki i klucze rejestru. System HIPS jest modułem oddzielnym względem ochrony systemu plików w czasie rzeczywistym i nie jest zaporą. Monitoruje on tylko procesy uruchomione w systemie operacyjnym. 95

96 Ustawienia systemu HIPS można znaleźć w obszarze Ustawienia zaawansowane (F5) > Moduł antywirusowy > System HIPS. Stan systemu HIPS (włączony/wyłączony) jest widoczny w oknie głównym programu ESET File Security, w panelu Ustawienia, po prawej stronie sekcji Komputer. Program ESET File Security ma wbudowaną technologię Self -def ense, która zapobiega uszkodzeniu lub wyłączeniu ochrony antywirusowej i antyspyware przez szkodliwe oprogramowanie, co daje pewność, że komputer jest chroniony w sposób nieprzerwany. Zmiany ustawień Włącz system HIPS i Włącz technologię Self-defense odnoszą skutek dopiero po ponownym uruchomieniu systemu Windows. Wyłączenie całego systemu HIPS będzie również wymagać ponownego uruchomienia komputera. Zaawansowany skaner pamięci działa w połączeniu z blokadą programów typu Exploit w celu wzmocnienia ochrony przed szkodliwym oprogramowaniem, które unika wykrycia przez produkty do ochrony przed szkodliwym oprogramowaniem poprzez zastosowanie zaciemniania kodu lub szyfrowania. Zaawansowany skaner pamięci jest domyślnie włączony. Więcej informacji na temat ochrony tego typu można znaleźć w słowniczku. Blokada programów typu Exploit ma na celu wzmocnienie używanych zazwyczaj typów aplikacji, takich jak przeglądarki internetowe, przeglądarki plików PDF, programy poczty oraz składniki pakietu MS Office. Blokada programów typu Exploit jest domyślnie włączona. Więcej informacji na temat ochrony tego typu można znaleźć w słowniczku. Filtrowanie może działać w jednym z czterech trybów: Tryb automatyczny dozwolone są wszystkie operacje z wyjątkiem operacji zablokowanych przez wstępnie zdefiniowane reguły chroniące komputer. Tryb inteligentny użytkownik będzie powiadamiany wyłącznie o szczególnie podejrzanych zdarzeniach. Tryb interaktywny użytkownik jest monitowany o potwierdzenie operacji. Tryb oparty na regułach operacje są blokowane. Tryb uczenia się operacje są dozwolone, a po każdej operacji jest tworzona reguła. Reguły utworzone w tym trybie można przeglądać w oknie Edytor reguł. Mają one niższy priorytet niż reguły utworzone ręcznie i utworzone w trybie automatycznym. Po wybraniu trybu uczenia się z menu rozwijanego trybu filtrowania HIPS udostępnione 96

97 zostanie ustawienie Termin zakończenia trybu uczenia się. Użytkownik może wskazać, na jaki czas chce włączyć tryb uczenia się (maksymalny dostępny czas to 14 dni). Po upływie wskazanego czasu zostanie wyświetlony monit o przeprowadzenie edycji reguł utworzonych przez system HIPS w trybie uczenia się. Można również wybrać różne tryby filtrowania lub odroczyć podjęcie decyzji i kontynuować korzystanie z trybu uczenia się. System HIPS monitoruje zdarzenia w systemie operacyjnym i reaguje na nie na podstawie reguł podobnych do reguł używanych przez zaporę osobistą. Kliknięcie opcji Edytuj powoduje otwarcie okna zarządzania regułami systemu HIPS. Tutaj można wybierać, tworzyć, edytować i usuwać reguły. Bardziej szczegółowe informacje o tworzeniu reguł i działaniu systemu HIPS można znaleźć w rozdziale Edytowanie reguł. Jeśli czynnością domyślną ustawioną dla danej reguły jest Pytaj, po każdym uruchomieniu danej reguły wyświetlone zostanie okno dialogowe. Można wybrać opcję Blokuj lub Zezwól w odniesieniu do danej operacji. Jeśli użytkownik nie wybierze żadnej opcji przed upływem ustalonego czasu, nowa reakcja zostanie wybrana na podstawie reguł. Okno dialogowe umożliwia tworzenie reguł w oparciu o dowolne nowe czynności wykrywane przez system HIPS, a następnie określenie warunków, na jakich dana czynność ma być dozwolona lub blokowana. Dokładne parametry można ustawić po kliknięciu przycisku Pokaż opcje. Utworzone w ten sposób reguły są traktowane tak samo jak reguły utworzone ręcznie, dlatego reguła utworzona z poziomu okna dialogowego może być ogólniejsza niż reguła, która spowodowała otwarcie tego okna. Oznacza to, że po utworzeniu takiej reguły ta sama operacja może spowodować otwarcie tego samego okna. Opcja Tymczasowo zapamiętaj czynność dla tego procesu powoduje stosowanie czynności (Zezwól/Blokuj) do czasu zmiany reguł lub trybu filtrowania, aktualizacji modułu HIPS lub ponownego uruchomienia systemu. Po wystąpieniu dowolnej z tych trzech czynności reguły tymczasowe zostaną usunięte Reguły systemu HIPS W tym oknie dostępny jest przegląd istniejących reguł systemu HIPS. Kolumny Reguła nazwa reguły podana przez użytkownika lub wybrana automatycznie. Włączona wyłączenie tego przełącznika spowoduje, że reguła pozostanie na liście, ale nie będzie stosowana. Czynność określona przez regułę czynność (Zezwól, Blokuj lub Pytaj), która ma zostać wykonana, gdy spełnione są warunki. Źródła reguła będzie stosowana tylko wówczas, gdy zdarzenie zostanie spowodowane przez wymienione aplikacje. Obiekty docelowe reguła będzie stosowana tylko wówczas, gdy dana operacja będzie związana z określonym plikiem, aplikacją lub wpisem rejestru. Zapisz w dzienniku uruchomienie tej opcji spowoduje, że informacje o regule będą zapisywane w dzienniku systemu HIPS. Powiadom po wywołaniu zdarzenia w prawym dolnym rogu ekranu zostanie wyświetlone małe wyskakujące okno. 97

98 Elementy sterujące Dodaj umożliwia utworzenie nowej reguły. Edytuj pozwala edytować zaznaczone elementy. Usuń służy do usuwania zaznaczonych elementów Ustawienia reguł systemu HIPS Nazwa reguły nazwa reguły podana przez użytkownika lub wybrana automatycznie. Czynność określona przez regułę czynność (Zezwól, Blokuj lub Pytaj), która ma zostać wykonana, gdy spełnione są warunki. Operacje dotyczące należy wybrać typ operacji, w odniesieniu do której stosowana będzie reguła. Reguła będzie stosowana tylko w przypadku podanego typu operacji i wybranego elementu docelowego. Pliki reguła będzie stosowana tylko wtedy, gdy operacja będzie dotyczyła określonego elementu docelowego. W celu dodania nowych plików lub folderów należy wybrać z menu rozwijanego opcję Określone pliki i kliknąć przycisk Dodaj. W celu dodania wszystkich aplikacji można wybrać z menu rozwijanego opcję Wszystkie pliki. Aplikacje reguła będzie stosowana tylko wtedy, gdy zdarzenie zostanie spowodowane przez wymienione aplikacje. W celu dodania nowych plików lub folderów należy wybrać z menu rozwijanego opcję Określone aplikacje i kliknąć przycisk Dodaj. W celu dodania wszystkich aplikacji można wybrać z menu rozwijanego opcję Wszystkie aplikacje. Wpisy rejestru reguła będzie stosowana tylko wtedy, gdy operacja będzie dotyczyła określonego elementu docelowego. W celu dodania nowych plików lub folderów należy wybrać z menu rozwijanego opcję Określone wpisy i kliknąć przycisk Dodaj. W celu dodania wszystkich aplikacji można wybrać z menu rozwijanego opcję Wszystkie wpisy. Włączona wyłączenie tego przełącznika spowoduje, że reguła pozostanie na liście, ale nie będzie stosowana. Zapisz w dzienniku uruchomienie tej opcji spowoduje, że informacje o regule będą zapisywane w dzienniku systemu HIPS. Powiadom użytkownika po wywołaniu zdarzenia w prawym dolnym rogu ekranu zostanie wyświetlone małe wyskakujące okno. Reguła składa się z części, które opisują warunki powodujące jej wywołanie: 98

99 Aplikacje źródłowe reguła będzie stosowana tylko wtedy, gdy zdarzenie zostanie spowodowane przez wymienione aplikacje. W celu dodania nowych plików lub folderów należy wybrać z menu rozwijanego opcję Określone aplikacje i kliknąć przycisk Dodaj. W celu dodania wszystkich aplikacji można wybrać z menu rozwijanego opcję Wszystkie aplikacje. Pliki reguła będzie stosowana tylko wtedy, gdy operacja będzie dotyczyła określonego elementu docelowego. W celu dodania nowych plików lub folderów należy wybrać z menu rozwijanego opcję Określone pliki i kliknąć przycisk Dodaj. W celu dodania wszystkich aplikacji można wybrać z menu rozwijanego opcję Wszystkie pliki. Aplikacje reguła będzie stosowana tylko wtedy, gdy operacja będzie dotyczyła określonego elementu docelowego. W celu dodania nowych plików lub folderów należy wybrać z menu rozwijanego opcję Określone aplikacje i kliknąć przycisk Dodaj. W celu dodania wszystkich aplikacji można wybrać z menu rozwijanego opcję Wszystkie aplikacje. Wpisy rejestru reguła będzie stosowana tylko wtedy, gdy operacja będzie dotyczyła określonego elementu docelowego. W celu dodania nowych plików lub folderów należy wybrać z menu rozwijanego opcję Określone wpisy i kliknąć przycisk Dodaj. W celu dodania wszystkich aplikacji można wybrać z menu rozwijanego opcję Wszystkie wpisy. Opisy ważnych operacji: Operacje na plikach Usunięcie pliku aplikacja monituje o zezwolenie na usunięcie pliku docelowego. Zapis do pliku aplikacja monituje o zezwolenie na zapis do pliku docelowego. Bezpośredni dostęp do dysku aplikacja próbuje dokonywać odczytu z dysku lub zapisu na dysku w niestandardowy sposób, omijający standardowe procedury systemu Windows. Może to spowodować modyfikacje plików bez zastosowania odpowiednich reguł. Ta operacja może być spowodowana przez szkodliwe oprogramowanie próbujące uniknąć wykrycia, program do tworzenia kopii zapasowych próbujący wykonać dokładną kopię dysku lub program do zarządzania partycjami próbujący zmienić układ woluminów dyskowych. Instalacja globalnego punktu zaczepienia wskazuje na wywołanie funkcji SetWindowsHookEx z biblioteki MSDN. Ładowanie sterownika instalowanie i ładowanie sterowników w systemie. Operacje na aplikacjach Debugowanie innej aplikacji dołączenie debugera do procesu. Podczas debugowania aplikacji można odczytać i zmodyfikować wiele szczegółów związanych z jej działaniem oraz uzyskać dostęp do jej danych. Przechwytywanie zdarzeń z innej aplikacji aplikacja źródłowa próbuje przechwycić zdarzenia skierowane do określonej aplikacji (na przykład program rejestrujący znaki wprowadzane na klawiaturze próbuje przechwycić zdarzenia przeglądarki internetowej). Zakończenie/wstrzymanie innej aplikacji zawieszenie, wznowienie lub zakończenie procesu (dostęp można uzyskać bezpośrednio z Eksploratora procesów lub okienka Procesy). Uruchomienie nowej aplikacji uruchamianie nowych aplikacji lub procesów. Modyfikacja stanu innej aplikacji aplikacja źródłowa próbuje dokonać zapisu w pamięci aplikacji docelowych lub uruchomić kod w ich imieniu. Ta funkcja może być przydatna do zapewnienia ochrony ważnej aplikacji przez skonfigurowanie tej aplikacji jako docelowej w regule blokującej korzystanie z tej operacji. Operacje na rejestrze Zmiana ustawień uruchamiania dowolne zmiany w ustawieniach określających, które aplikacje będą uruchamiane podczas uruchamiania systemu Windows. Można je znaleźć, przeszukując na przykład klucz Run w rejestrze systemu Windows. Usunięcie z rejestru usunięcie klucza rejestru lub jego wartości. Zmiana nazwy klucza rejestru zmiana nazw kluczy rejestru. Modyfikacja rejestru tworzenie nowych wartości kluczy rejestru, zmienianie istniejących wartości, przenoszenie danych w drzewie bazy danych lub ustawianie praw użytkowników lub grup do kluczy rejestru. UWAGA: Wprowadzając obiekt docelowy, można stosować symbole wieloznaczne z pewnymi ograniczeniami. W 99

100 ścieżkach rejestru można zamiast określonego klucza stosować znak * (gwiazdkę). Na przykład ścieżka HKEY_USERS\* \sof tware może oznaczać HKEY_USERS\.def ault\sof tware, ale nie HKEY_USERS\S \.def ault\sof tware. HKEY_LOCAL_MACHINE\system\ControlSet* nie jest dozwoloną ścieżką klucza rejestru. Ścieżka klucza rejestru zakończona znakami \* oznacza ta ścieżka lub dowolna ścieżka na dowolnym poziomie po tym symbolu. Jest to jedyny sposób stosowania symboli wieloznacznych w przypadku ścieżek plików. Najpierw sprawdzana jest konkretna część ścieżki, a następnie ścieżka odpowiadająca symbolowi wieloznacznemu (*). W przypadku utworzenia bardzo ogólnej reguły, zostanie wyświetlone ostrzeżenie dotyczące tego typu reguł. W poniższym przykładzie pokazano, jak ograniczyć niepożądane działania aplikacji: Ustawienia zaawansowane Poniższe opcje są przydatne podczas debugowania i analizowania działania aplikacji: Sterowniki zawsze mogą być ładowane wybrane sterowniki zawsze mogą być ładowane, bez względu na skonfigurowany tryb filtrowania, chyba że zostaną wyraźnie zablokowane przez regułę użytkownika. Zapisuj w dzienniku informacje o wszystkich zablokowanych operacjach wszystkie zablokowane operacje zostaną zarejestrowane w dzienniku systemu HIPS. Powiadamiaj o zmianach w aplikacjach uruchomieniowych wyświetla powiadomienie na pulpicie za każdym razem, gdy aplikacja jest dodawana lub usuwana z listy aplikacji wykonywanych przy uruchamianiu systemu. Zaktualizowaną wersję tej strony pomocy można znaleźć w artykule bazy wiedzy Sterowniki zawsze mogą być ładowane Sterowniki wyszczególnione na tej liście mogą być ładowane zawsze, niezależnie od trybu filtrowania HIPS, chyba że zostaną wyraźnie zablokowane przez regułę ustaloną przez użytkownika. Dodaj umożliwia dodanie nowego sterownika. Edytuj umożliwia edytowanie ścieżki do wybranego sterownika. Usuń umożliwia usunięcie sterownika z listy. Resetuj powoduje ponowne załadowanie zestawu sterowników systemowych. UWAGA: Jeśli sterowniki dodane przez użytkownika ręcznie nie mają być uwzględniane, należy kliknąć opcję Resetuj. Ta opcja może być przydatna, gdy użytkownik dodał kilka sterowników i nie chce usuwać ich z listy ręcznie Aktualizacja Ustawienia aktualizacji są dostępne w drzewie Ustawienia zaawansowane (klawisz F5) po kliknięciu pozycji Aktualizacja > Podstawowe. Ta sekcja umożliwia określenie informacji o źródle aktualizacji, w tym używanych serwerów aktualizacji i dotyczących ich danych uwierzytelniających. Ogólne Aktualnie stosowany profil aktualizacji wyświetlany jest w menu rozwijanym Wybrany profil. Aby utworzyć nowy profil, kliknij opcję Edytuj obok pozycji Lista profili, wprowadź własną nazwę w polu Nazwa profilu, a następnie kliknij przycisk Dodaj. W przypadku problemów z aktualizacją należy kliknąć przycisk Wyczyść, aby usunąć tymczasową pamięć podręczną aktualizacji. Alerty o nieaktualnej bazie sygnatur wirusów Automatycznie ustaw maksymalny wiek bazy danych umożliwia ustawienie maksymalnego czasu (w dniach), po upływie którego baza sygnatur wirusów zostanie zgłoszona jako nieaktualna. Wartość domyślna to

101 Cofanie zmian W razie podejrzeń, że nowa aktualizacja bazy wirusów i/lub modułów programu może być niestabilna lub uszkodzona, można wycofać zmiany i wrócić do poprzedniej wersji oraz wyłączyć aktualizacje na określony czas. Można także włączyć aktualizacje, które zostały wcześniej wyłączone na czas nieokreślony. Program ESET File Security zapisuje migawki bazy sygnatur wirusów i modułów programu przeznaczone do użycia z funkcją cof ania zmian. Aby tworzyć migawki bazy danych wirusów, należy pozostawić przełącznik opcji Utwórz kopie wcześniejszych plików aktualizacji włączony. Pole Liczba kopii przechowywanych lokalnie określa liczbę przechowywanych migawek wcześniejszych baz danych wirusów. Po kliknięciu opcji Cofanie zmian (Ustawienia zaawansowane (F5) > Aktualizacja > Ogólne) należy z menu rozwijanego wybrać okres, w którym aktualizacje bazy sygnatur wirusów i modułów programu będą wstrzymane. Poprawność pobierania aktualizacji zależy od prawidłowego wprowadzenia wszystkich parametrów aktualizacji. Jeśli używana jest zapora, należy się upewnić, że nie blokuje ona programowi ESET dostępu do Internetu (na przykład komunikacji HTTP). Domyślnie w menu Typ aktualizacji (na karcie Podstawowe) ustawiona jest opcja Regularna aktualizacja. Zapewnia ona automatyczne pobieranie plików aktualizacji z serwera firmy ESET przy jak najmniejszym obciążaniu sieci. Podstawowe Wyłącz wyświetlanie powiadomień o pomyślnej aktualizacji powoduje wyłączenie powiadomień na pasku zadań w prawym dolnym rogu ekranu. Opcja ta może być użyteczna w przypadku aplikacji lub gier działających w trybie pełnoekranowym. Należy pamiętać, że włączenie trybu prezentacji powoduje wyłączenie wszystkich powiadomień. W menu Serwer aktualizacji domyślnie ustawiona jest opcja AUTOSELECT. Serwer aktualizacji to określenie lokalizacji, w której są przechowywane aktualizacje. W przypadku korzystania z serwera ESET zalecane jest pozostawienie włączonej opcji domyślnej. Gdy używany jest niestandardowy serwer aktualizacji i użytkownik chce przywrócić serwer domyślny, należy wpisać polecenie AUTOSELECT. Program ESET File Security automatycznie wybierze serwery aktualizacji firmy ESET. W przypadku korzystania z lokalnego serwera HTTP, znanego też jako Kopia dystrybucyjna, należy wprowadzić 101

102 następujące ustawienia serwera aktualizacji: ego_adres_ip:2221 W przypadku korzystania z lokalnego serwera HTTP z protokołem SSL należy wprowadzić następujące ustawienia serwera aktualizacji: ego_adres_ip:2221 W przypadku korzystania z lokalnego folderu udostępnionego należy wprowadzić następujące ustawienia serwera aktualizacji: \\nazwa_lub_adres_ip_komputera\f older_udostępniony Aktualizowanie przy użyciu kopii dystrybucyjnej Do uwierzytelniania na serwerach aktualizacji używany jest klucz licencyjny wygenerowany i dostarczony użytkownikowi po zakupie programu. W przypadku korzystania z lokalnego serwera kopii dystrybucyjnych można zdefiniować poświadczenia umożliwiające klientom zalogowanie się do serwera kopii dystrybucyjnych przed pobraniem aktualizacji. Domyślnie weryfikacja tych danych nie jest wymagana, co oznacza, że pola Nazwa użytkownika i Hasło można pozostawić puste Cofanie aktualizacji Po kliknięciu opcji Cofanie zmian (Ustawienia zaawansowane (F5) > Aktualizacja > Profil) należy z menu rozwijanego wybrać okres, w którym aktualizacje bazy sygnatur wirusów i modułów programu będą wstrzymane. Wybranie opcji Do odwołania umożliwia odroczenie regularnych aktualizacji na czas nieokreślony do czasu ręcznego przywrócenia funkcji aktualizacji. Wybór tej opcji nie jest zalecany, ponieważ wiąże się ona z potencjalnym zagrożeniem bezpieczeństwa. Baza sygnatur wirusów jest przywracana do najstarszej przechowywanej wersji i zapisywana w postaci migawki w systemie plików lokalnego komputera. Przykład: Przyjmijmy, że numer oznacza najnowszą wersję bazy sygnatur wirusów. Wersje i są przechowywane jako migawki bazy sygnatur wirusów. Należy zauważyć, że wersja nie jest dostępna, ponieważ przykładowo komputer był wyłączony i przed pobraniem wersji została udostępniona nowsza aktualizacja. Jeśli w polu Liczba migawek przechowywanych lokalnie ustawiono wartość 2, to po kliknięciu przycisku Cofanie zmian zostanie przywrócona wersja bazy sygnatur wirusów (i modułów programu) numer Ten proces może zająć nieco czasu. To, czy wersja bazy sygnatur wirusów została przywrócona, można sprawdzić w głównym oknie programu ESET File Security w sekcji Aktualizacja Tryb aktualizacji Karta Tryb aktualizacji zawiera opcje związane z aktualizacją komponentów programu. Użytkownik może skonfigurować wstępnie sposób działania programu po wykryciu dostępności aktualizacji któregoś z jego komponentów. Aktualizacja komponentu programu ma na celu dodanie nowych funkcji lub wprowadzenie zmian w funkcjach, które występowały już w starszych wersjach programu. Może ona być wykonywana automatycznie, bez interwencji użytkownika. Istnieje też możliwość powiadamiania użytkownika o aktualizacjach. Po zainstalowaniu aktualizacji komponentu programu konieczne może być ponowne uruchomienie komputera. W sekcji Aktualizacja komponentu programu są dostępne trzy opcje: Pytaj przed pobraniem aktualizacji komponentów programu jest to opcja domyślna. Po udostępnieniu aktualizacji komponentów programu wyświetlony zostanie monit o udzielenie lub odmowę zgody na ich pobranie i zainstalowanie. Zawsze aktualizuj komponenty programu aktualizacje komponentów programu będą pobierane i instalowane automatycznie. Należy pamiętać, że może się pojawić potrzeba ponownego uruchomienia komputera. Nigdy nie aktualizuj komponentów programu aktualizacje komponentów programu nie będą w ogóle wykonywane. Ta opcja jest odpowiednia w przypadku instalacji serwerowych, ponieważ ponowne uruchomienie serwera zazwyczaj jest możliwe dopiero wtedy, gdy są na nim wykonywane czynności konserwacyjne. UWAGA: Wybór najodpowiedniejszej opcji zależy od stacji roboczej, której będzie dotyczyć ustawienie. Należy 102

103 pamiętać o różnicach między stacjami roboczymi a serwerami. Na przykład automatyczne ponowne uruchomienie serwera po aktualizacji programu mogłoby spowodować poważne szkody. Jeśli aktywna jest opcja Pytaj przed pobraniem aktualizacji, to po udostępnieniu nowej aktualizacji wyświetlone zostanie powiadomienie. Jeśli plik aktualizacji ma rozmiar większy niż wybrana wartość ustawienia Pytaj, jeśli plik aktualizacji jest większy niż (kb), wyświetlone zostanie powiadomienie Serwer proxy HTTP Aby przejść do opcji konfiguracji serwera proxy dla danego profilu aktualizacji, należy kliknąć pozycję Aktualizacja w drzewie Ustawienia zaawansowane (F5), a następnie kliknąć opcję Serwer proxy HTTP. Należy kliknąć menu rozwijane Tryb proxy i wybrać jedną spośród trzech następujących opcji: Nie używaj serwera proxy Połączenie przez serwer proxy Użyj globalnych ustawień serwera proxy Wybór opcji Użyj globalnych ustawień serwera proxy spowoduje użycie opcji konfiguracyjnych serwera proxy określonych już w gałęzi Narzędzia > Serwer proxy w drzewie ustawień zaawansowanych. Aby podczas aktualizacji programu ESET File Security nie używać serwera proxy, należy wybrać opcję Nie używaj serwera proxy. Opcję Połączenie przez serwer proxy należy zaznaczyć w przypadku, gdy: Podczas aktualizacji programu ESET File Security ma być używany serwer proxy inny niż wybrany w ustawieniach globalnych (Narzędzia > Serwer proxy). W takiej sytuacji należy wprowadzić dodatkowe ustawienia: adres serwera proxy, jego port komunikacyjny (domyślnie 3128) oraz nazwę użytkownika i hasło, jeśli są wymagane w przypadku danego serwera proxy. Nie skonfigurowano ustawień serwera proxy na poziomie globalnym, ale program ESET File Security będzie łączyć się z serwerem proxy w celu aktualizacji. Komputer jest podłączony do Internetu za pośrednictwem serwera proxy. Podczas instalacji programu ustawienia są odczytywane z opcji programu Internet Explorer, ale jeśli ulegną później zmianie (np. użytkownik zmieni dostawcę Internetu), należy upewnić się, że ustawienia serwera proxy HTTP wyświetlone w tym oknie są poprawne. W przeciwnym razie program nie będzie mógł nawiązać połączenia z serwerami aktualizacji. Ustawieniem domyślnym dla serwera proxy jest Użyj globalnych ustawień serwera proxy. UWAGA: Dane uwierzytelniające, tzn. Nazwa użytkownika i Hasło, dotyczą dostępu do serwera proxy. Pola te należy wypełnić tylko wtedy, gdy jest wymagane podanie nazwy użytkownika i hasła. Należy pamiętać, że nie są to nazwa użytkownika ani hasło programu ESET File Security. Pola te należy wypełnić tylko wtedy, gdy wiadomo, że w celu korzystania z Internetu niezbędne jest hasło serwera proxy. 103

104 Połącz z siecią LAN jako W celu pobrania aktualizacji z serwera lokalnego z systemem operacyjnym Windows w wersji NT domyślnie wymagane jest uwierzytelnianie każdego połączenia sieciowego. Aby skonfigurować takie konto, należy wybrać odpowiednią opcję z menu Typ użytkownika lokalnego: Konto systemowe (domyślnie), Bieżący użytkownik, Określony użytkownik. Aby użyć konta systemowego w celu uwierzytelniania, należy wybrać opcję Konto systemowe (domyślnie). Zazwyczaj uwierzytelnianie nie jest przeprowadzane, jeśli w głównej sekcji ustawień aktualizacji nie podano danych uwierzytelniających. Aby mieć pewność, że uwierzytelnianie jest przeprowadzanie przez program przy użyciu konta aktualnie zalogowanego użytkownika, należy zaznaczyć opcję Bieżący użytkownik. Wadą tego rozwiązania jest to, że program nie jest w stanie połączyć się z serwerem aktualizacji, jeśli w danym momencie nie jest zalogowany żaden użytkownik. Jeśli program ma używać podczas uwierzytelniania określonego konta użytkownika, należy wybrać opcję Określony użytkownik. Z tej metody należy skorzystać, jeśli nie uda się nawiązać połączenia za pomocą domyślnego konta systemowego. Należy pamiętać, że wskazane konto użytkownika musi zapewniać dostęp do katalogu z plikami aktualizacyjnymi na serwerze lokalnym. W przeciwnym razie program nie będzie mógł nawiązać połączenia ani pobrać aktualizacji. Ostrzeżenie: Jeśli została wybrana opcja Bieżący użytkownik lub Określony użytkownik, przy zmianie tożsamości w programie na żądanego użytkownika może wystąpić błąd. Zalecane jest wprowadzenie danych uwierzytelniających sieci LAN w głównej sekcji ustawień aktualizacji. Należy wprowadzić dane uwierzytelniające w tej sekcji ustawień aktualizacji w następujący sposób: nazwa_domeny\użytkownik (w przypadku grupy roboczej nazwa_grupy_roboczej \nazwa) oraz hasło. W przypadku aktualizacji z wersji HTTP serwera lokalnego uwierzytelnianie nie jest wymagane. 104

105 Jeśli połączenie z serwerem pozostaje aktywne nawet po pobraniu aktualizacji, należy włączyć opcję Przerwij połączenie z serwerem po zakończeniu aktualizacji, by wymusić jego przerwanie Kopia dystrybucyjna Program ESET File Security umożliwia tworzenie kopii plików aktualizacji, których można używać do aktualizowania innych stacji roboczych w sieci. Korzystanie z kopii dystrybucyj nej, czyli kopii plików aktualizacji, w środowisku sieci LAN jest wygodne, ponieważ eliminuje potrzebę pobierania tych plików przez każdą stację roboczą bezpośrednio z serwera aktualizacji dostawcy. Aktualizacje są pobierane na lokalny serwer kopii dystrybucyjnych, a następnie dystrybuowane do wszystkich stacji roboczych, by uniknąć ryzyka generowania nadmiernego ruchu sieciowego. Aktualizowanie klienckich stacji roboczych przy użyciu kopii dystrybucyjnej pozwala na oszczędne korzystanie z przepustowości połączenia internetowego. Opcje konfiguracji lokalnego serwera kopii dystrybucyjnych znajdują się w ustawieniach zaawansowanych w pozycji Aktualizacja. Aby uzyskać do nich dostęp, należy nacisnąć klawisz F5 w celu otwarcia Ustawień zaawansowanych, kliknąć pozycję Aktualizacja i wybrać kartę Kopia dystrybucyjna. Aby utworzyć kopię dystrybucyjną na klienckiej stacji roboczej, należy wybrać opcję Utwórz kopię dystrybucyjną aktualizacji. Powoduje to uaktywnienie innych opcji konfiguracji kopii dystrybucyjnej, na przykład sposobu udostępniania plików aktualizacji oraz ścieżki dostępu do plików kopii dystrybucyjnej aktualizacji. Dostęp do plików aktualizacji Udostępnij pliki aktualizacji za pośrednictwem wewnętrznego serwera HTTP włączenie tej opcji powoduje, że dostęp do plików aktualizacji można uzyskać za pośrednictwem protokołu HTTP. Podawanie danych uwierzytelniających nie jest wymagane. UWAGA: W systemie Windows XP musi być zainstalowany dodatek Service Pack 2 lub nowszy, aby możliwe było korzystanie z serwera HTTP. Metody uzyskiwania dostępu do serwera kopii dystrybucyjnych opisano szczegółowo w sekcji Aktualizowanie przy 105

106 użyciu kopii dystrybucyjnej. Istnieją dwie podstawowe metody uzyskiwania dostępu do kopii dystrybucyjnej: folder z plikami aktualizacji może być udostępniany jako folder sieciowy lub klienty mogą uzyskiwać dostęp do kopii dystrybucyjnej umieszczonej na serwerze HTTP. Folder przeznaczony do przechowywania plików aktualizacji na potrzeby kopii dystrybucyjnej należy podać w sekcji Folder zapisu kopii dystrybucyjnej plików. Należy kliknąć przycisk Folder, aby przejść do folderu na komputerze lokalnym lub do udostępnionego folderu sieciowego. Jeśli dany folder wymaga autoryzacji, należy wprowadzić dane uwierzytelniające w polach Nazwa użytkownika i Hasło. Jeśli wybrany folder docelowy znajduje się na dysku sieciowym w systemie operacyjnym Windows NT, 2000 lub XP, należy wprowadzić nazwę użytkownika, któremu przyznano uprawnienia zapisu do tego folderu, oraz skojarzone z nią hasło. Nazwę użytkownika i hasło należy wprowadzić w formacie domena/użytkownik lub grupa_robocza/użytkownik. Należy pamiętać o podaniu odpowiednich haseł. Pliki podczas konfigurowania kopii dystrybucyjnej można wybrać wersje językowe plików aktualizacji, które mają zostać pobrane. Wybrane języki muszą być obsługiwane przez serwer kopii dystrybucyjnych skonfigurowany przez użytkownika. Serwer HTTP Port serwera domyślnie dla portu serwera ustawiona jest wartość Uwierzytelnianie określenie metody uwierzytelniania dostępu do plików aktualizacji. Dostępne są następujące opcje: Brak, Podstawowe i NTLM. Wybór opcji Podstawowe spowoduje stosowanie kodowania base64 i podstawowej metody uwierzytelniania opartej na nazwie użytkownika i haśle. Opcja NTLM umożliwia uwierzytelnianie przy użyciu bezpiecznego kodowania. Na potrzeby uwierzytelniania używane jest konto użytkownika utworzone na stacji roboczej udostępniającej pliki aktualizacji. Ustawienie domyślne BRAK zapewnia dostęp do plików aktualizacji bez konieczności uwierzytelniania. Jeśli ma zostać uruchomiony serwer HTTP z obsługą HTTPS (SSL), należy dołączyć plik łańcucha certyfikatu lub wygenerować certyfikat podpisany samodzielnie. Dostępne są następujące typy certyfikatów: ASN, PEM oraz PFX. Aby dodatkowo zwiększyć bezpieczeństwo, przy pobieraniu plików aktualizacji można użyć protokołu HTTPS. Przy zastosowaniu tego protokołu śledzenie transferu danych i poświadczeń podczas logowania jest niemal niemożliwe. Domyślne ustawienie opcji Typ klucza prywatnego to Zintegrowany (w związku z tym opcja Plik klucza prywatnego jest domyślnie wyłączona). Oznacza to, że klucz prywatny stanowi część wybranego pliku łańcucha certyfikatu. Połącz z siecią LAN jako Typ użytkownika lokalnego ustawienia Konto systemowe (domyślnie), Bieżący użytkownik oraz Określony użytkownik będą wyświetlane w odpowiednich menu rozwijanych. Ustawienia Nazwa użytkownika i Hasło są opcjonalne. Zobacz również Połącz z siecią LAN jako. Jeśli połączenie z serwerem pozostaje aktywne nawet po pobraniu aktualizacji, należy wybrać opcję Przerwij połączenie z serwerem po zakończeniu aktualizacji, by wymusić jego przerwanie. Aktualizacja komponentu programu Automatycznie aktualizuj komponenty umożliwia instalację nowych funkcji i aktualizacji funkcji istniejących. Aktualizacja może być wykonywana automatycznie, bez interwencji użytkownika. Istnieje też możliwość powiadamiania użytkownika o aktualizacjach. Po zainstalowaniu aktualizacji komponentu programu konieczne może być ponowne uruchomienie komputera. Zaktualizuj teraz komponenty aktualizuje komponenty programu do najnowszej wersji. 106

107 Aktualizowanie przy użyciu kopii dystrybucyjnej Istnieją dwie podstawowe metody konfigurowania kopii dystrybucyjnej, będącej repozytorium, z którego klienty mogą pobierać pliki aktualizacji. Folder z plikami aktualizacji może być udostępniany jako folder sieciowy lub jako serwer HTTP. Uzyskiwanie dostępu do kopii dystrybucyjnej przy użyciu wewnętrznego serwera HTTP Jest to ustawienie domyślne, wybrane we wstępnie zdefiniowanej konfiguracji programu. Aby zezwolić na dostęp do kopii dystrybucyjnej przy użyciu serwera HTTP, należy przejść do sekcji Ustawienia zaawansowane > Aktualizacja > Kopia dystrybucyjna i wybrać opcję Utwórz kopię dystrybucyjną aktualizacji. W sekcji Serwer HTTP na karcie Kopia dystrybucyjna można podać Port serwera, na którym będzie nasłuchiwać serwer HTTP, oraz typ uwierzytelniania stosowanego na serwerze HTTP (w polu Uwierzytelnianie). Domyślnie ustawiony jest port serwera numer W ramach opcji Uwierzytelnianie można określić metodę uwierzytelniania dostępu do plików aktualizacji. Dostępne są następujące opcje: Brak, Podstawowe i NTLM. Wybór opcji Podstawowe spowoduje stosowanie kodowania base64 i podstawowej metody uwierzytelniania opartej na nazwie użytkownika i haśle. Opcja NTLM umożliwia uwierzytelnianie przy użyciu bezpiecznego kodowania. Na potrzeby uwierzytelniania używane jest konto użytkownika utworzone na stacji roboczej udostępniającej pliki aktualizacji. Ustawienie domyślne Brak zapewnia dostęp do plików aktualizacji bez konieczności uwierzytelniania. Ostrzeżenie: Aby dostęp do plików aktualizacji był możliwy za pośrednictwem serwera HTTP, folder kopii dystrybucyjnej musi znajdować się na tym samym komputerze co instancja programu ESET File Security, w której ten folder został utworzony. 107

108 SSL dla serwera HTTP Jeśli ma zostać uruchomiony serwer HTTP z obsługą HTTPS (SSL), należy dołączyć plik łańcucha certyfikatu lub wygenerować certyfikat podpisany samodzielnie. Dostępne są następujące typy certyfikatów: PEM, PFX i ASN. Aby dodatkowo zwiększyć bezpieczeństwo, przy pobieraniu plików aktualizacji można użyć protokołu HTTPS. Przy zastosowaniu tego protokołu śledzenie transferu danych i poświadczeń podczas logowania jest niemal niemożliwe. Domyślne ustawienie opcji Typ klucza prywatnego to Zintegrowany, co oznacza, że klucz prywatny jest częścią wybranego pliku łańcucha certyfikatu. UWAGA: Po kilku nieudanych próbach zaktualizowania bazy sygnatur wirusów przy użyciu kopii dystrybucyjnej w okienku Aktualizacja w menu głównym zostanie wyświetlony błąd Nieprawidłowa nazwa użytkownika i/lub hasło. Zalecamy przejście do obszaru Ustawienia zaawansowane > Aktualizacja > Kopia dystrybucyjna i sprawdzenie nazwy użytkownika oraz hasła. Najczęstszym powodem wystąpienia tego błędu jest wprowadzenie nieprawidłowych danych uwierzytelniających. Po skonfigurowaniu serwera kopii dystrybucyjnych należy dodać nowy serwer aktualizacji na klienckich stacjach roboczych. W tym celu: Otwórz okno Ustawienia zaawansowane (klawisz F5) i kliknij kolejno opcje Aktualizacja > Podstawowe. Wyłącz opcję Wybierz automatycznie i w polu Serwer aktualizacji dodaj nowy serwer w jednym z następujących formatów: (jeśli używany jest protokół SSL) Uzyskiwanie dostępu do kopii dystrybucyjnej za pośrednictwem udziałów systemowych Najpierw na urządzeniu lokalnym lub sieciowym należy utworzyć folder udostępniony. Podczas tworzenia folderu przeznaczonego do przechowywania kopii dystrybucyjnych konieczne jest zapewnienie dostępu z uprawnieniami do zapisu dla użytkownika, który będzie zapisywać pliki aktualizacyjne w folderze, oraz dostępu z uprawnieniami do odczytu dla wszystkich użytkowników, którzy będą aktualizować program ESET File Security, korzystając z tego folderu kopii dystrybucyjnej. 108

109 Następnie należy skonfigurować dostęp do kopii dystrybucyjnej w sekcji Ustawienia zaawansowane > Aktualizacja > na karcie Kopia dystrybucyjna, wyłączając opcję Udostępnij pliki aktualizacji za pośrednictwem wewnętrznego serwera HTTP. Ta opcja jest domyślnie włączona w pakiecie instalacyjnym programu. Jeśli folder udostępniony znajduje się na innym komputerze w sieci, należy wprowadzić dane uwierzytelniające niezbędne do uzyskania dostępu do tego komputera. Aby wprowadzić dane uwierzytelniające, należy w programie ESET File Security otworzyć okno Ustawienia zaawansowane (klawisz F5) i kliknąć kolejno opcje Aktualizacja > Połącz z siecią LAN jako. Jest to ustawienie identyczne z ustawieniem używanym na potrzeby aktualizacji, które zostało ono opisane w sekcji Połącz z siecią LAN jako. Po skonfigurowaniu kopii dystrybucyjnej należy podać na klienckich stacjach roboczych lokalizację serwera aktualizacji w formacie \\ŚCIEŻKA_UNC\ŚCIEŻKA w opisany poniżej sposób: 1. W programie ESET File Security otwórz okno Ustawienia zaawansowane i kliknij kolejno opcje Aktualizacja > Podstawowe. 2. Kliknij pole Serwer aktualizacji i dodaj nowy serwer, stosując format \\ŚCIEŻKA_UNC\ŚCIEŻKA. UWAGA: Aby zapewnić prawidłowe działanie aktualizacji, ścieżkę do folderu kopii dystrybucyjnej należy podać w formacie UNC. Pobieranie aktualizacji ze zmapowanych dysków może nie działać. Ostatnia sekcja kontroluje komponenty programu (PCU). Domyślnie pobrane komponenty programu są przygotowane do skopiowania do lokalnej kopii dystrybucyjnej. Jeśli opcja Aktualizacja komponentu programu jest włączona, nie trzeba klikać opcji Uaktualnij, ponieważ pliki zostaną automatycznie skopiowane do lokalnej kopii dystrybucyjnej po ich udostępnieniu. Więcej informacji na temat aktualizacji komponentów programu można znaleźć w sekcji Tryb aktualizacji Pliki kopii dystrybucyjnej Lista dostępnych i zlokalizowanych plików komponentów programu Rozwiązywanie problemów z aktualizacją przy użyciu kopii dystrybucyjnej W większości przypadków problemy występujące podczas aktualizacji przy użyciu serwera kopii dystrybucyjnych są powodowane przez jedną z następujących przyczyn: nieprawidłowe skonfigurowanie opcji folderu kopii dystrybucyjnej, nieprawidłowe dane uwierzytelniające w folderze kopii dystrybucyjnej, nieprawidłowa konfiguracja na lokalnych stacjach roboczych próbujących pobrać pliki aktualizacji z kopii dystrybucyjnej. Przyczyny te mogą występować razem. Poniżej omówiono najczęstsze problemy dotyczące aktualizacji przy użyciu kopii dystrybucyjnej: Program ESET File Security zgłasza wystąpienie błędu podczas łączenia się z serwerem kopii dystrybucyjnej ten problem jest prawdopodobnie spowodowany nieprawidłowym skonfigurowaniem serwera aktualizacji (ścieżki sieciowej do folderu kopii dystrybucyjnej), z którego lokalne stacje robocze pobierają aktualizacje. Aby sprawdzić folder, należy kliknąć przycisk Start systemu Windows, kliknąć polecenie Uruchom, wpisać nazwę folderu i kliknąć przycisk OK. Wyświetlona powinna zostać zawartość folderu. Program ESET File Security wymaga nazwy użytkownika i hasła ten problem jest prawdopodobnie spowodowany nieprawidłowymi danymi uwierzytelniającymi (nazwa użytkownika i hasło) w sekcji aktualizacji. Nazwa użytkownika i hasło umożliwiają uzyskanie dostępu do serwera aktualizacji, który zostanie użyty do zaktualizowania programu. Należy się upewnić, że dane uwierzytelniające są prawidłowe i zostały wprowadzone we właściwym formacie, na przykład domena/nazwa_użytkownika lub grupa_robocza/nazwa_użytkownika wraz z odpowiednim hasłem. Jeśli serwer kopii dystrybucyjnej jest dostępny dla wszystkich, należy mieć świadomość, że nie oznacza to, iż każdy użytkownik otrzyma dostęp. Wszyscy nie oznacza dowolnego nieautoryzowanego użytkownika. Oznacza to jedynie, że folder jest dostępny dla wszystkich użytkowników w ramach domeny. Dlatego nawet w takim przypadku należy wprowadzić w sekcji ustawień aktualizacji nazwę użytkownika domeny i hasło. Program ESET File Security zgłasza wystąpienie błędu podczas łączenia się z serwerem kopii dystrybucyjnej komunikacja za pośrednictwem portu określonego dla serwera HTTP udostępniającego kopię dystrybucyjną jest zablokowana. 109

110 Tworzenie zadań aktualizacji Aktualizacje można uruchamiać ręcznie, klikając przycisk Aktualizuj bazę sygnatur wirusów w oknie głównym, które pojawia się po kliknięciu w menu głównym przycisku Aktualizacja. Inną możliwością jest wykonywanie aktualizacji jako zaplanowanych zadań. Aby skonfigurować zaplanowanie zadanie, kliknij kolejno opcje Narzędzia > Harmonogram. Domyślnie w programie ESET File Security są aktywne następujące zadania: Regularne aktualizacje automatyczne Aktualizacja automatyczna po nawiązaniu połączenia modemowego Aktualizacja automatyczna po zalogowaniu użytkownika Każde z zadań aktualizacji można zmodyfikować zgodnie z potrzebami użytkownika. Oprócz domyślnych zadań aktualizacji można tworzyć nowe zadania z konfiguracją zdefiniowaną przez użytkownika. Więcej szczegółowych informacji na temat tworzenia i konfigurowania zadań aktualizacji można znaleźć w sekcji Harmonogram w niniejszym podręczniku Strony internetowe i poczta W sekcji Strony internetowe i poczta można konfigurować ochronę programów poczty , zabezpieczyć komunikację internetową przy użyciu funkcji ochrony dostępu do stron internetowych oraz kontrolować protokoły internetowe, wprowadzając ustawienia filtrowania protokołów. Te funkcje mają istotne znaczenie dla ochrony komputera komunikującego się za pośrednictwem Internetu. Moduł Ochrona programów poczty kontroluje całą wymianę wiadomości , chroni przed szkodliwym kodem i pozwala wybrać działanie podejmowane po wykryciu infekcji. Moduł Ochrona dostępu do stron internetowych monitoruje komunikację między przeglądarkami internetowymi a zdalnymi serwerami oraz zapewnia zgodność z regułami protokołów HTTP i HTTPS. Ta funkcja umożliwia ponadto blokowanie lub wyłączanie określonych adresów URL, bądź oznaczanie ich jako dozwolonych. Moduł Filtrowanie protokołów zapewnia zaawansowaną ochronę protokołów aplikacji opartą na technologii skanowania ThreatSense. Ta funkcja działa automatycznie, gdy użytkownik korzysta z przeglądarki internetowej lub programu poczty . Obsługuje ona również połączenia szyfrowane (SSL) Filtrowanie protokołów Filtrowanie protokołów Ochrona antywirusowa protokołów aplikacji jest realizowana z wykorzystaniem technologii ThreatSense, w której połączono wszystkie zaawansowane metody wykrywania szkodliwego oprogramowania. Filtrowanie protokołów odbywa się automatycznie, niezależnie od przeglądarki internetowej i programu pocztowego. Aby zmodyfikować ustawienia komunikacji szyfrowanej (SSL), należy przejść kolejno do pozycji Strony internetowe i poczta > Sprawdzanie protokołu SSL. Włącz ochronę zawartości protokołów aplikacji przy użyciu tej opcji można wyłączyć filtrowanie protokołów. Należy pamiętać, że opcja ta ma wpływ na wiele komponentów programu ESET File Security (ochrona dostępu do stron internetowych, ochrona protokołów poczty , ochrona przed atakami typu phishing, kontrola dostępu do stron internetowych), które po jej wyłączeniu nie będą działać. Wyłączone aplikacje przy użyciu tej opcji można wyłączyć z filtrowania protokołów określone adresy zdalne. Jest przydatna, gdy filtrowanie protokołów powoduje problemy ze zgodnością. Wyłączone adresy IP przy użyciu tej opcji można wyłączyć z filtrowania protokołów określone aplikacje. Jest przydatna, gdy filtrowanie protokołów powoduje problemy ze zgodnością. Przeglądarki internetowe i programy poczty opcja używana wyłącznie w systemach operacyjnych Windows XP. Umożliwia wybranie aplikacji, w których cały ruch sieciowy będzie filtrowany w ramach filtrowania protokołów, bez względu na używane porty. Rejestruj informacje niezbędne do diagnozowania problemów z filtrowaniem protokołów przez dział obsługi firmy 110

111 ESET włączenie zaawansowanych funkcji dziennika w celu pozyskania danych diagnostycznych. Z opcji tej należy korzystać wyłącznie na prośbę pracownika działu obsługi firmy ESET Aplikacje wyłączone Aby wyłączyć z filtrowania zawartości komunikację prowadzoną przez określone aplikacje korzystające z sieci, należy zaznaczyć je na liście. Komunikacja prowadzona przez te aplikacje za pośrednictwem protokołów HTTP i POP3 nie będzie sprawdzana pod kątem obecności zagrożeń. Stosowanie tej opcji jest zalecane tylko w przypadku aplikacji, które działają nieprawidłowo, gdy ich komunikacja jest sprawdzana. Aplikacje i usługi objęte już wpływem filtrowania protokołów zostaną automatycznie wyświetlone po kliknięciu opcji Dodaj. Edytuj umożliwia edytowanie wybranych pozycji na liście. Usuń umożliwia usunięcie z listy wybranych pozycji. 111

112 Wyłączone adresy IP Adresy IP z tej listy zostaną wyłączone z filtrowania zawartości protokołów. Komunikacja z tymi adresami prowadzona za pośrednictwem protokołów HTTP, POP3 oraz IMAP nie będzie sprawdzana pod kątem obecności zagrożeń. Zalecamy użycie tej opcji tylko w przypadku adresów, o których wiadomo, że są godne zaufania. Dodaj ta opcja pozwala na dodanie adresu IP/zakresu adresów/podsieci, do których ma zostać zastosowana dana reguła. Edytuj umożliwia edytowanie wybranych pozycji na liście. Usuń umożliwia usunięcie z listy wybranych pozycji Przeglądarki internetowe i programy poczty UWAGA: Począwszy od poprawki Windows Vista Service Pack 1 i systemu Windows Server 2008, do sprawdzania komunikacji sieciowej używana jest nowa architektura Windows Filtering Platform (WFP). W związku z tym, że w technologii WFP używane są specjalne techniki monitorowania, sekcja Przeglądarki internetowe i programy poczty jest niedostępna. Ponieważ po Internecie krąży ogromna ilość szkodliwego kodu, bardzo ważny aspekt ochrony komputera stanowi zadbanie o bezpieczne przeglądanie stron internetowych. Potajemne przenikanie szkodliwego oprogramowania do systemu ułatwiają luki w zabezpieczeniach przeglądarek internetowych i spreparowane łącza. Dlatego głównym zadaniem programu ESET File Security jest zabezpieczenie przeglądarek internetowych. Jako przeglądarkę internetową można oznaczyć każdą aplikację korzystającą z sieci. Aplikacje, które używają już protokołów do komunikacji, lub aplikacje z wybranych ścieżek można dodać do listy Przeglądarki internetowe i programy poczty

113 Sprawdzanie protokołu SSL Program ESET File Security umożliwia sprawdzanie komunikacji z zastosowaniem protokołu SSL pod kątem zagrożeń. W przypadku sprawdzania komunikacji chronionej protokołem SSL można stosować różne tryby skanowania z użyciem certyfikatów zaufanych, nieznanych lub takich, które zostały wyłączone ze sprawdzania komunikacji chronionej przez protokół SSL. Włącz filtrowanie protokołu SSL gdy filtrowanie protokołu jest wyłączone, program nie skanuje komunikacji odbywającej się za pośrednictwem protokołu SSL. Tryb filtrowania protokołu SSL jest dostępny w następujących opcjach: Tryb automatyczny wybranie tej opcji powoduje skanowanie całej komunikacji chronionej protokołem SSL oprócz komunikacji chronionej za pomocą certyfikatów wyłączonych ze sprawdzania. W przypadku nawiązania nowego połączenia z użyciem nieznanego, podpisanego certyfikatu użytkownik nie zostanie powiadomiony, a połączenie będzie automatycznie filtrowane. Gdy dostęp do serwera uzyskiwany jest przy użyciu certyfikatu niezaufanego oznaczonego jako zaufany (znajdującego się na liście zaufanych certyfikatów), komunikacja z serwerem nie zostanie zablokowana, a jej treść będzie filtrowana. Tryb interaktywny po wprowadzeniu przez użytkownika nowej witryny chronionej protokołem SSL (przy użyciu nieznanego certyfikatu) wyświetlane jest okno dialogowe umożliwiające wybranie czynności. W tym trybie można utworzyć listę certyfikatów SSL, które zostaną wyłączone ze skanowania. Blokuj szyfrowaną komunikację z wykorzystaniem nieaktualnego protokołu SSL v2 komunikacja używająca wcześniejszej wersji protokołu SSL będzie automatycznie blokowana. Certyfikat główny Certyfikat główny aby w przeglądarkach internetowych lub programach poczty komunikacja przy użyciu protokołu SSL przebiegała prawidłowo, konieczne jest dodanie certyfikatu głównego firmy ESET do listy znanych certyfikatów głównych (wydawców). Opcja Dodaj certyfikat główny do znanych przeglądarek powinna być włączona. Należy wybrać tę opcję w celu automatycznego dodania certyfikatu głównego firmy ESET do znanych przeglądarek (np. Opera i Firefox). Certyfikat jest dodawany automatycznie do przeglądarek korzystających z systemowego magazynu certyfikacji (np. Internet Explorer). Aby zastosować certyfikat w przypadku nieobsługiwanych przeglądarek, należy kliknąć opcję Wyświetl certyfikat > Szczegóły > Kopiuj do pliku, a następnie ręcznie zaimportować go do przeglądarki. Ważność certyfikatu Brak możliwości zweryfikowania certyfikatu w magazynie zaufanych głównych urzędów certyfikacji w niektórych przypadkach certyfikat strony internetowej nie może być zweryfikowany przy użyciu magazynu zaufanych głównych urzędów certyfikacji. Oznacza to, że został on podpisany przez jakąś osobę (np. przez administratora serwera internetowego lub małej firmy) i uznanie go za zaufany certyfikat niekoniecznie wiąże się z ryzykiem. Większość dużych przedsiębiorstw (np. banki) korzysta z certyfikatów podpisanych przez jeden z zaufanych głównych urzędów certyfikacji. Jeśli pole wyboru Pytaj o ważność certyfikatu jest zaznaczone (ustawienie domyślne), zostanie wyświetlony monit o wybranie czynności, która ma zostać podjęta przy nawiązywaniu szyfrowanego połączenia. Można wybrać opcję Blokuj komunikację używającą certyfikatu, aby zawsze przerywać szyfrowane połączenia z witrynami, na których używane są niezweryfikowane certyfikaty. Jeśli dany certyfikat jest nieważny lub uszkodzony, oznacza to, że wygasła jego ważność lub został nieprawidłowo podpisany. W takim przypadku zalecamy pozostawienie zaznaczenia opcji Blokuj komunikację używającą certyfikatu. Lista znanych certyfikatów umożliwia dostosowanie sposobu działania programu ESET File Security w odniesieniu do poszczególnych certyfikatów SSL. 113

114 Szyfrowana komunikacja SSL Jeśli system jest skonfigurowany tak, by korzystać ze skanowania protokołu SSL, okno dialogowe z monitem o wybranie działania wyświetlane jest w dwóch sytuacjach: Pierwsza z nich to sytuacja, gdy na stronie internetowej używany jest nieweryfikowalny lub nieprawidłowy certyfikat, a program ESET File Security skonfigurowany jest tak, by pytać użytkownika w takich przypadkach (domyślne ustawienia to tak dla certyfikatów nieweryfikowalnych i nie dla nieprawidłowych). W oknie dialogowym wyświetlane jest wówczas pytanie, czy zezwolić na połączenie, czy je zablokować. Druga z nich to sytuacja, gdy w obszarze Tryb ochrony protokołu SSL ustawiony jest tryb interaktywny. Wówczas dla każdej strony internetowej wyświetlane jest okno dialogowe z pytaniem, czy skanować ruch sieciowy, czy go ignorować. Niektóre aplikacje sprawdzają, czy ich ruch SSL nie jest przez kogoś modyfikowany lub sprawdzany. W takich sytuacjach program ESET File Security musi ignorować ruch sieciowy, by umożliwić dalsze działanie aplikacji. W obu przypadkach użytkownik może zaznaczyć opcję zapamiętania wybranych działań. Zapisane działania są przechowywane na Liście znanych certyfikatów. 114

115 Lista znanych certyfikatów Lista znanych certyfikatów może posłużyć do dostosowania zachowań programu ESET File Security do określonych certyfikatów SSL, a także do zapamiętania czynności wybieranych w przypadku, gdy w trybie filtrowania protokołu SSL wybrany jest tryb Interaktywny. Listę można wyświetlać i edytować w obszarze Ustawienia zaawansowane (F5) > Strony internetowe i poczta > Sprawdzanie protokołu SSL > Lista znanych certyfikatów. Okno Lista znanych certyfikatów obejmuje następujące elementy: Kolumny Nazwa nazwa certyfikatu. Wystawca certyfikatu nazwa podmiotu, który utworzył certyfikat. Podmiot certyfikatu pole podmiotu służy do identyfikacji podmiotu związanego z kluczem publicznym przechowywanym w polu podmiotu klucza publicznego. Dostęp w celu zezwolenia/zablokowania komunikacji zabezpieczanej przez ten certyfikat bez względu na to, czy jest zaufana należy użyć opcji Zezwól lub Blokuj w pozycji Czynność dostępu. Aby zezwolić na stosowanie zaufanych certyfikatów i aby pytać o niezaufane, należy wybrać opcję Automatycznie. Aby program zawsze pytał o czynności użytkownika, należy wybrać opcję Pytaj. Skanuj w celu skanowania lub ignorowania komunikacji zabezpieczanej przez ten certyfikat należy użyć opcji Skanuj lub Ignoruj w obszarze Czynność skanowania. Wybranie opcji Automatycznie umożliwia skanowanie w trybie automatycznym oraz pytanie w trybie interaktywnym. Aby program zawsze pytał o czynności użytkownika, należy wybrać opcję Pytaj. Elementy sterujące Edytuj należy wybrać certyfikat do skonfigurowania i kliknąć opcję Edytuj. Usuń należy wybrać certyfikat do usunięcia i kliknąć opcję Usuń. OK/Anuluj opcję OK należy kliknąć w celu zapisania zmian, a opcję Anuluj w celu zamknięcia okna bez zapisywania Ochrona programów poczty Integracja programu ESET File Security z programami pocztowymi zwiększa poziom aktywnej ochrony przed szkodliwym kodem rozsyłanym w wiadomościach . Jeśli dany program pocztowy jest obsługiwany, można włączyć funkcję integracji w programie ESET File Security. Po jej aktywowaniu pasek narzędzi programu ESET File Security jest wstawiany bezpośrednio do programu poczty (w nowszych wersjach programu Windows Live Mail pasek nie jest wstawiany), umożliwiając skuteczniejszą ochronę poczty. Ustawienia integracji można znaleźć w obszarze Ustawienia > Ustawienia zaawansowane > Strony internetowe i poczta > Ochrona programów poczty > Programy poczty . Integracja z programami poczty Do obsługiwanych obecnie programów poczty należą: Microsoft Outlook, Outlook Express, Windows Mail oraz Windows Live Mail. Ochrona poczty działa na zasadzie wtyczki do tych programów. Główną zaletą wtyczki jest fakt, że jej działanie jest niezależne od używanego protokołu. Gdy program poczty odbierze zaszyfrowaną wiadomość, następuje jej odszyfrowanie i przesłanie do skanera antywirusowego. Pełna lista obsługiwanych programów poczty i ich wersji znajduje się w następującym artykule w bazie wiedzy firmy ESET. Nawet gdy integracja nie jest włączona, komunikacja za pośrednictwem poczty jest chroniona przez moduł ochrony programów poczty (POP3, IMAP). Jeśli podczas pracy z programem poczty system działa wolniej niż zwykle, można włączyć opcję Wyłącz sprawdzanie po zmianie zawartości skrzynki odbiorczej. Taka sytuacja może mieć miejsce podczas pobierania poczty z pliku Kerio Outlook Connector Store. 115

116 Skanowane wiadomości Wiadomości odbierane umożliwia włączanie i wyłączanie sprawdzania odbieranych wiadomości. Wiadomości wysyłane umożliwia włączanie i wyłączanie sprawdzania wysyłanych wiadomości. Wiadomości przeczytane umożliwia włączanie i wyłączanie sprawdzania przeczytanych wiadomości. Czynność wykonywana dla zainfekowanej wiadomości Brak czynności zaznaczenie tej opcji powoduje, że program będzie wykrywał zainfekowane załączniki, ale nie będzie podejmował żadnych działań. Usuń wiadomość program powiadomi użytkownika o infekcji i usunie wiadomość. Przenieś wiadomość do folderu Elementy usunięte zainfekowane wiadomości będą automatycznie przenoszone do folderu Elementy usunięte. Przenieś wiadomość do folderu zainfekowane wiadomości będą automatycznie przenoszone do wskazanego folderu. Folder możliwość wskazania niestandardowego folderu, do którego mają trafiać po wykryciu zainfekowane wiadomości . Powtórz skanowanie po aktualizacji umożliwia włączanie i wyłączanie ponownego skanowania wiadomości po przeprowadzeniu aktualizacji bazy sygnatur wirusów. Akceptuj wyniki skanowania z innych modułów zaznaczenie tej opcji powoduje, że moduł ochrony poczty uwzględnia wyniki skanowania przeprowadzonego przez inne moduły ochrony (skanowanie za pośrednictwem protokołów POP3 oraz IMAP) Protokoły poczty Protokoły IMAP i POP3 to najbardziej rozpowszechnione protokoły komunikacji przychodzącej w aplikacjach klienckich do obsługi poczty . Program ESET File Security zapewnia ochronę w ramach tych protokołów, niezależnie od tego, jaki program poczty jest w użyciu i nie jest wymagane przeprowadzenie ponownej konfiguracji programu poczty . Sprawdzanie protokołów IMAP/IMAPS oraz POP3/POP3S można skonfigurować w obszarze Ustawienia zaawansowane. Dostęp do tego ustawienia można uzyskać po rozwinięciu pozycji Strony internetowe i poczta > Ochrona programów poczty > Protokoły poczty . W systemie Windows Vista oraz nowszych protokoły IMAP i POP3 są automatycznie wykrywane i skanowane na wszystkich portach. W systemie Windows XP dla wszystkich aplikacji skanowane są tylko porty skonfigurowane w obszarze Porty używane przez protokół IMAP/POP3, natomiast w przypadku aplikacji oznaczonych jako Przeglądarki internetowe i programy poczty skanowane są wszystkie porty. Program ESET File Security obsługuje również skanowanie protokołów IMAPS i POP3S, korzystających z szyfrowanego kanału przy przesyłaniu danych pomiędzy serwerem a klientem. Program ESET File Security sprawdza komunikację przy użyciu protokołów SSL (Secure Socket Layer) oraz TLS (Transport Layer Security). W programie skanowany jest wyłącznie ruch w portach zdefiniowanych w obszarze Porty używane przez protokół IMAPS/POP3S, niezależnie od wersji systemu operacyjnego. Komunikacja szyfrowana nie podlega skanowaniu, gdy stosowane są ustawienia domyślne. Aby włączyć skanowanie komunikacji szyfrowanej, należy przejść do opcji Sprawdzanie protokołu SSL w obszarze Ustawienia zaawansowane, kliknąć pozycje Strony internetowe i poczta > Sprawdzanie protokołu SSL, a następnie wybrać opcję Włącz filtrowanie protokołu SSL. 116

117 Alerty i powiadomienia W ramach ochrony poczty sprawdzana jest komunikacja przychodząca za pośrednictwem protokołów POP3 oraz IMAP. Przy użyciu wtyczki do programu Microsoft Outlook i innych programów poczty oprogramowanie ESET File Security sprawdza całą komunikację realizowaną przez dany program pocztowy (za pośrednictwem protokołów POP3, MAPI, IMAP oraz HTTP). Podczas analizowania wiadomości przychodzących program stosuje wszystkie zaawansowane metody skanowania dostępne w ramach technologii ThreatSense. Dzięki temu szkodliwe programy są wykrywane nawet zanim zostaną porównane z bazą danych sygnatur wirusów. Skanowanie komunikacji za pośrednictwem protokołów POP3 oraz IMAP odbywa się niezależnie od użytkowanego klienta poczty . Ustawienia tej funkcji są dostępne w obszarze Ustawienia zaawansowane po wybraniu kolejno pozycji Strony internetowe i poczta > Ochrona programów poczty > Alerty i powiadomienia. Parametry technologii ThreatSense zaawansowane ustawienia skanera antywirusowego pozwalające określić skanowane elementy, metody wykrywania zagrożeń itd. Kliknięcie tej opcji umożliwia wyświetlenie okna ze szczegółowymi ustawieniami skanera antywirusowego. Po sprawdzeniu wiadomości może do niej zostać dołączone powiadomienie o wynikach skanowania. Można wybrać spośród opcji Oznacz otrzymaną i przeczytaną wiadomość , Dołącz notatkę do tematu otrzymanej i przeczytanej zainfekowanej wiadomości oraz Oznacz wysyłaną wiadomość . Należy pamiętać, że w rzadkich przypadkach, takie powiadomienia mogą być pomijane w przypadku kłopotliwych wiadomości w formacie HTML lub wiadomości fałszowanych przez szkodliwe oprogramowanie. Powiadomienia mogą być dodawane do wszystkich odebranych i przeczytanych wiadomości oraz do wysyłanych wiadomości. Dostępne opcje: Nigdy powiadomienia w ogóle nie będą dodawane. Tylko zainfekowane wiadomości oznaczane będą tylko wiadomości zawierające szkodliwe oprogramowanie (ustawienie domyślne). Cała poczta program będzie dołączać powiadomienia do wszystkich przeskanowanych wiadomości . Dołącz notatkę do tematu wysyłanej zainfekowanej wiadomości należy wyłączyć tę opcję, aby funkcja ochrony poczty nie umieszczała w temacie zainfekowanej wiadomości ostrzeżenia o wirusie. Ta opcja umożliwia później proste odfiltrowanie zainfekowanych wiadomości na podstawie analizy ich tematów (o ile program pocztowy udostępnia taką funkcję). Zwiększa ona też wiarygodność wiadomości dla odbiorcy, a w przypadku wykrycia zagrożenia udostępnia cenne informacje na temat poziomu zagrożenia, jakie stanowi dana wiadomość lub jej nadawca. Szablon komunikatu dołączanego do tematu zainfekowanej wiadomości edytowanie tego szablonu pozwala zmodyfikować format przedrostka tematu zainfekowanej wiadomości . Korzystając z tej funkcji można zastąpić temat wiadomości Witaj podanym przedrostkiem [wirus] w następującym formacie: [wirus] Witaj. Zmienna %NAZWA_WIRUSA% zawiera nazwę wykrytego zagrożenia Pasek narzędzi do programu MS Outlook Ochrona programu Microsoft Outlook działa na zasadzie wtyczki. Po zainstalowaniu programu ESET File Security do programu Microsoft Outlook dodawany jest pasek narzędzi z opcjami ochrony antywirusowej. ESET File Security kliknięcie ikony powoduje otwarcie głównego okna programu ESET File Security. Ponowne skanowanie wiadomości umożliwia ręczne rozpoczęcie sprawdzania poczty . Można określać wiadomości do sprawdzenia oraz włączać ponowne skanowanie odebranej poczty . Więcej informacji można znaleźć w części Ochrona programów poczty . Ustawienia skanera umożliwia wyświetlenie opcji ustawień funkcji Ochrona programów poczty

118 Pasek narzędzi do programów Outlook Express i Poczta systemu Windows Moduł ochrony przed spamem w programach Outlook Express i Windows Mail działa jako wtyczka. Po zainstalowaniu programu ESET File Security do aplikacji Outlook Express lub Windows Mail dodawany jest pasek narzędzi z opcjami ochrony antywirusowej. ESET File Security kliknięcie ikony powoduje otwarcie głównego okna programu ESET File Security. Ponowne skanowanie wiadomości umożliwia ręczne rozpoczęcie sprawdzania poczty . Można określać wiadomości do sprawdzenia oraz włączać ponowne skanowanie odebranej poczty . Więcej informacji można znaleźć w części Ochrona programów poczty . Ustawienia skanera umożliwia wyświetlenie opcji ustawień funkcji Ochrona programów poczty . Interfejs użytkownika Dostosuj wygląd wygląd paska narzędzi może być modyfikowany dla danego klienta poczty . Aby dostosować wygląd niezależnie od parametrów programu pocztowego, należy usunąć zaznaczenie tej opcji. Pokaż tekst powoduje wyświetlanie opisów ikon. Tekst po prawej stronie powoduje przesunięcie opisów opcji spod ikon na ich prawą stronę. Duże ikony powoduje wyświetlanie dużych ikon opcji menu Okno dialogowe potwierdzenia Wyświetlanie tego powiadomienia ma na celu sprawdzenie, czy użytkownik faktycznie chce wykonać daną czynność, co powinno wyeliminować możliwość pomyłki. W tym oknie dialogowym można również wyłączać potwierdzenia Ponowne skanowanie wiadomości Za pośrednictwem zintegrowanego z programami poczty paska narzędzi programu ESET File Security można skonfigurować wiele opcji sprawdzania wiadomości . Opcja Ponowne skanowanie wiadomości oferuje dwa tryby skanowania: Wszystkie wiadomości w bieżącym folderze skanowane są wszystkie wiadomości w obecnie wyświetlanym folderze. Tylko wybrane wiadomości skanowane są tylko wiadomości zaznaczone przez użytkownika. Zaznaczenie pola wyboru Przeskanuj ponownie już skanowane wiadomości umożliwia przeprowadzenie ponownego skanowania wiadomości, które zostały już przeskanowane Ochrona dostępu do stron internetowych Obsługa komunikacji przez Internet jest standardową funkcją w większości komputerów osobistych. Niestety komunikacja internetowa stała się głównym sposobem przenoszenia szkodliwego kodu. Ochrona dostępu do stron internetowych polega na monitorowaniu realizowanej między przeglądarkami internetowymi i zdalnymi serwerami komunikacji zgodnej z regułami protokołów HTTP (ang. Hypertext Transfer Protocol) i HTTPS (komunikacja szyfrowana). Dostęp do stron internetowych, o których wiadomo, że zawierają szkodliwe treści jest blokowany zanim zawartość zostanie pobrana. Wszystkie pozostałe strony internetowe są skanowane przy użyciu technologii skanowania ThreatSense podczas ładowania i zostają zablokowane w przypadku wykrycia szkodliwej zawartości. Funkcja Ochrona dostępu do stron internetowych obejmuje dwa poziomy ochrony blokowanie na podstawie czarnej listy oraz blokowanie na podstawie zawartości. Stanowczo zalecane jest, aby ochrona dostępu do stron internetowych była włączona. Dostęp do tej opcji można uzyskać w głównym oknie programu ESET File Security, po wybraniu kolejno pozycji Ustawienia > Strony internetowe i poczta > Ochrona dostępu do stron internetowych. 118

119 W obszarze Ustawienia zaawansowane (F5) > Strony internetowe i poczta > Ochrona dostępu do stron internetowych dostępne są następujące opcje: Protokoły sieciowe możliwość skonfigurowania monitorowania w odniesieniu do protokołów standardowych, które są używane w większości przeglądarek internetowych. Zarządzanie adresami URL możliwość wskazania adresów HTTP, które mają być blokowane, dozwolone lub wyłączone ze sprawdzania. Ustawienia parametrów technologii ThreatSense zaawansowane ustawienia skanera antywirusowego umożliwiające skonfigurowanie takich ustawień, jak typy skanowanych obiektów (np. wiadomości , archiwa), metody wykrywania zagrożeń związanych z dostępem do stron internetowych itp Zarządzanie adresami URL W sekcji Zarządzanie adresami URL możliwe jest wskazanie adresów HTTP, które mają być blokowane, dozwolone lub wyłączone ze sprawdzania. Strony internetowe wyszczególnione na Liście zablokowanych adresów nie będą dostępne, chyba że zostaną również uwzględnione na Liście dozwolonych adresów. Strony internetowe z Listy adresów wyłączonych ze sprawdzania nie są poddawane skanowaniu w poszukiwaniu szkodliwego kodu w momencie uzyskiwania do nich dostępu. Jeśli oprócz filtrowania stron internetowych HTTP mają być również filtrowane adresy HTTPS, należy wybrać opcję Włącz filtrowanie protokołu SSL. W przeciwnym razie dodane zostaną tylko domeny HTTPS, które już były odwiedzane, a nie pełny adres URL. Na wszystkich listach można używać symboli specjalnych: * (gwiazdka) i? (znak zapytania). Gwiazdka zastępuje dowolną liczbę znaków, natomiast znak zapytania oznacza jeden znak. Szczególną ostrożność należy zachować podczas określania adresów wyłączonych, ponieważ ta lista powinna zawierać jedynie adresy zaufane i bezpieczne. Ponadto należy sprawdzić, czy symbole * oraz? są na tej liście stosowane prawidłowo. Jeśli blokowane mają być wszystkie adresy HTTP z wyjątkiem adresów wyszczególnionych na aktywnej Liście dozwolonych adresów, należy dodać symbol * do aktywnej Listy zablokowanych adresów. 119

120 Dodaj utworzenie nowej listy, stanowiącej dodatek do list wstępnie zdefiniowanych. Ta opcja może okazać się przydatna, gdy użytkownik chce w sposób logiczny podzielić różne grupy adresów. Na przykład jedna lista zablokowanych adresów może zawierać adresy z zewnętrznej czarnej listy publicznej, natomiast druga lista może obejmować własną czarną listę użytkownika, co ułatwi uaktualnianie listy zewnętrznej bez ingerowania w listę użytkownika. Edytuj modyfikowanie istniejących list. Ta opcja umożliwia dodawanie adresów oraz usuwanie ich z list. Usuń usunięcie istniejącej listy. Opcja dostępna wyłącznie w przypadku list utworzonych przy użyciu przycisku Dodaj niedostępna dla list domyślnych Tworzenie nowej listy W tej sekcji można określić listę adresów/masek URL, które będą blokowane, dozwolone lub wyłączone ze sprawdzania. Podczas tworzenia nowej listy można skonfigurować następujące opcje: Typ listy adresów dostępne są trzy typy listy adresów: Lista adresów wyłączonych ze sprawdzania dla żadnego z adresów dodanych do tej listy nie będzie wykonywane sprawdzanie w poszukiwaniu szkodliwego kodu. Lista zablokowanych adresów użytkownik nie będzie miał dostępu do adresów określonych na tej liście. Dotyczy to wyłącznie protokołu HTTP. Protokoły inne niż HTTP nie będą blokowane. Lista dozwolonych adresów jeśli włączona jest opcja Zezwól na dostęp tylko do adresów HTTP z listy dozwolonych adresów, a lista zablokowanych adresów zawiera wpis * (wszystko), użytkownik będzie mógł uzyskać dostęp tylko do adresów zawartych na tej pierwszej liście. Adresy na tej liście są dozwolone nawet wówczas, gdy odpowiadają również wpisowi na liście zablokowanych adresów. Nazwa listy umożliwia nadanie nazwy liście. To pole będzie nieaktywne podczas edytowania jednej z trzech wstępnie zdefiniowanych list. Opis listy umożliwia podanie krótkiego opisu listy (opcjonalnie). To pole będzie nieaktywne podczas edytowania jednej z trzech wstępnie zdefiniowanych list. Aby uaktywnić listę, należy wybrać opcję Lista aktywna obok tej listy. Aby otrzymywać powiadomienia o każdym użyciu danej listy przy ocenie odwiedzanej strony HTTP, należy wybrać opcję Powiadom o zastosowaniu. Powiadomienie zostanie na przykład wysłane w przypadku zablokowania lub udostępnienia strony internetowej figurującej na liście zablokowanych lub dozwolonych adresów. W powiadomieniu znajdzie się nazwa listy, na której wyszczególniona jest dana strona internetowa. Dodaj możliwość dodania do listy nowego adresu URL (można wprowadzić wiele wartości oddzielonych separatorem). Edytuj modyfikowanie adresów figurujących na liście. Jest to możliwe wyłącznie w przypadku adresów utworzonych przy użyciu opcji Dodaj. Usuń usuwanie adresów figurujących na liście. Jest to możliwe wyłącznie w przypadku adresów utworzonych przy użyciu opcji Dodaj. Importuj importowanie pliku zawierającego adresy URL (wartości muszą być oddzielone podziałami wiersza, na przykład w formacie *.txt z kodowaniem UTF-8). 120

121 Adresy HTTP W tej sekcji można określić listę adresów HTTP, które będą blokowane, dozwolone lub wyłączone ze sprawdzania. Domyślnie dostępne są następujące trzy listy: Lista adresów wyłączonych ze sprawdzania dla żadnego z adresów dodanych do tej listy nie będzie wykonywane sprawdzanie w poszukiwaniu szkodliwego kodu. Lista dozwolonych adresów jeśli włączona jest opcja Zezwól na dostęp tylko do adresów HTTP z listy dozwolonych adresów, a lista zablokowanych adresów zawiera wpis * (wszystko), użytkownik będzie mógł uzyskać dostęp tylko do adresów zawartych na tej pierwszej liście. Adresy na tej liście są dozwolone nawet wówczas, gdy zawarte są również na liście zablokowanych adresów. Lista zablokowanych adresów użytkownik nie będzie miał dostępu do adresów określonych na tej liście, chyba że występują one również na liście dozwolonych adresów. Aby utworzyć nową listę, należy kliknąć przycisk Dodaj. Aby usunąć wybrane listy, należy kliknąć przycisk Usuń Ochrona przed atakami typu phishing Terminem phishing określa się działania przestępcze, w których są stosowane socjotechniki (manipulowanie użytkownikami w celu uzyskania poufnych informacji). Działania takie są podejmowane z myślą o uzyskaniu dostępu do prywatnych danych, np. numerów kont bankowych, kodów PIN itp. Więcej informacji o tych działaniach znajduje się w słowniczku. Program ESET File Security chroni komputer przed atakami typu phishing, blokując strony internetowe znane z rozpowszechniania takich treści. Zdecydowanie zalecamy włączenie ochrony przed atakami typu phishing w programie ESET File Security. W tym celu należy otworzyć Ustawienia zaawansowane (klawisz F5) i przejść do opcji Strony internetowe i poczta > Ochrona przed atakami typu phishing. Więcej informacji na temat dostępnej w programie ESET File Security ochrony przed atakami typu phishing można znaleźć w tym artykule bazy wiedzy. Wyświetlanie strony wykorzystywanej w atakach typu phishing Po przejściu do strony znanej z ataków typu phishing w przeglądarce internetowej zostanie wyświetlone następujące okno dialogowe. Aby mimo to otworzyć tę stronę internetową, można kliknąć opcję Przejdź do strony (niezalecane). UWAGA: Dodane do białej listy strony, które potencjalnie mogą być wykorzystywane do ataków typu phishing, domyślnie zostaną usunięte z listy po kilku godzinach. Aby zezwolić na dostęp do strony na stałe, należy użyć narzędzia Zarządzanie adresami URL. W obszarze Ustawienia zaawansowane (F5) należy kliknąć kolejno opcje Strony internetowe i poczta > Ochrona dostępu do stron internetowych > Zarządzanie adresami URL > Lista adresów, a następnie kliknąć przycisk Edytuj i dodać do listy stronę internetową, która ma być edytowana. Zgłaszanie stron wykorzystywanych do ataków typu phishing Łącze Zgłoś umożliwia zgłaszanie witryn wykorzystywanych do ataków typu phishing oraz szkodliwych witryn do analizy przez firmę ESET. UWAGA: Przed przesłaniem strony do firmy ESET należy się upewnić, że spełnia ona co najmniej jedno z następujących kryteriów: strona nie jest w ogóle wykrywana, strona jest błędnie wykrywana jako zagrożenie. W takim przypadku można zgłosić błędną klasyfikację strony jako phishing. Stronę można również przesłać pocztą . Należy wysłać wiadomość na adres samples@eset.com. Należy pamiętać o podaniu opisowego tematu wiadomości oraz wszystkich możliwych informacji na temat podejrzanej strony (może to być adres strony internetowej, na której znajduje się adres/łącze do podejrzanej strony, sposób uzyskania informacji o stronie itp.). 121

122 8.2.4 Kontrola dostępu do urządzeń Program ESET File Security udostępnia funkcje automatycznej kontroli korzystania z urządzeń (CD, DVD, USB itd.). Przy użyciu tego modułu można skanować, blokować i dostosowywać rozszerzone filtry i uprawnienia oraz określać uprawnienia dostępu użytkowników do danego urządzenia i pracy z nim. Może to być przydatne w sytuacji, gdy administrator komputera zamierza uniemożliwić korzystanie z urządzeń z niepożądaną zawartością. Obsługiwane urządzenia zewnętrzne: Pamięć masowa (dysk twardy, dysk wymienny USB) Płyta CD/DVD Drukarka USB Pamięć masowa FireWire Urządzenie Bluetooth Czytnik kart inteligentnych Urządzenie do tworzenia obrazów Modem Port LPT/COM Urządzenie przenośne Urządzenia dowolnego typu Opcje ustawień kontroli dostępu do urządzeń można zmienić w obszarze Ustawienia zaawansowane (F5) > Kontrola dostępu do urządzeń. Włączenie przełącznika obok opcji Zintegruj z systemem aktywuje funkcję kontroli dostępu do urządzeń w programie ESET File Security. Aby zmiana została zastosowana, należy uruchomić komputer ponownie. Po włączeniu kontroli urządzeń, opcja Edytor reguł włączy się, pozwalając na otwarcie okna Edytor reguł. W przypadku podłączenia urządzenia blokowanego przez istniejącą regułę zostanie wyświetlone okno powiadomienia i dostęp do urządzenia nie będzie możliwy Reguły kontroli dostępu do urządzeń W oknie Edytor reguł kontroli dostępu do urządzeń są wyświetlane istniejące reguły. Umożliwia ono również dokładną kontrolę urządzeń zewnętrznych podłączanych przez użytkowników do komputera. 122

123 Można dopuszczać lub blokować określone urządzenia na podstawie użytkowników, grup użytkowników lub kilku dodatkowych parametrów, które można określić w konfiguracji reguł. Lista reguł zawiera pewne informacje o regułach, takie jak nazwa, typ urządzenia zewnętrznego, czynność wykonywana po jego podłączeniu do komputera i stopień ważności w dzienniku. Kliknięcie przycisku Dodaj lub Edytuj umożliwia zarządzanie regułą. Jeśli wybrana reguła ma zostać usunięta, należy kliknąć przycisk Usuń, natomiast usunięcie zaznaczenia pola wyboru Włączona obok danej reguły powoduje jej wyłączenie. Może to być przydatne w sytuacjach, gdy użytkownik nie chce usuwać reguły na stałe, co umożliwia skorzystanie z niej w przyszłości. Kopiuj utworzenie nowej reguły na podstawie parametrów wybranej reguły. Kliknięcie przycisku Wypełnij umożliwia automatyczne wprowadzenie parametrów nośników wymiennych dla urządzeń podłączonych do komputera. Reguły są wymienione według priorytetów, przy czym reguły o wyższych priorytetach znajdują się wyżej na liście. Można zaznaczać wiele reguł i wykonywać działania, takie jak usuwanie lub przenoszenie ich w górę lub w dół listy za pomocą opcji Na początek/w górę/w dół/na koniec (przyciski strzałek). Wpisy dziennika można wyświetlać w oknie głównym programu ESET File Security w obszarze Narzędzia > Pliki dziennika Dodawanie reguł kontroli dostępu do urządzeń Reguła kontroli dostępu do urządzeń definiuje czynność podejmowaną w chwili, gdy urządzenie spełniające kryteria reguły zostanie podłączone do komputera. W celu łatwiejszego rozpoznawania reguł należy wprowadzać ich krótkie opisy w polu Nazwa. Kliknięcie przełącznika obok pozycji Reguła włączona pozwala wyłączać i włączać regułę. Jest to przydatne, gdy użytkownik nie chce trwale usuwać danej reguły. Typ urządzenia Typ urządzenia zewnętrznego (Pamięć masowa, Urządzenie przenośne, Bluetooth, FireWire itd.) można wybrać z menu rozwijanego. Typy urządzeń są dziedziczone z systemu operacyjnego i jeśli urządzenie jest podłączone do 123

124 komputera, można je zobaczyć w systemowym Menedżerze urządzeń. Do urządzeń pamięci masowej zalicza się dyski zewnętrzne oraz konwencjonalne czytniki kart pamięci podłączone za pomocą złącza USB lub FireWire. Czytniki kart inteligentnych obejmują wszystkie czytniki kart z wbudowanym układem scalonym, takich jak karty SIM lub karty uwierzytelniające. Przykładami urządzeń do tworzenia obrazów są skanery i aparaty fotograficzne. Te urządzenia nie dostarczają informacji na temat użytkowników, tylko informacji na temat wykonywanych przez nich czynności. Oznacza to, że urządzenia do tworzenia obrazów można tylko zablokować globalnie. Czynność Można zezwalać na dostęp do urządzeń innych niż urządzenia pamięci masowej lub go blokować. Reguły dotyczące urządzeń pamięci masowej umożliwiają natomiast wybranie jednego z poniższych ustawień: Odczyt/zapis dozwolony będzie pełny dostęp do urządzenia. Blokuj dostęp do urządzenia zostanie zablokowany. Tylko do odczytu dozwolony będzie wyłącznie dostęp do urządzenia w trybie do odczytu. Ostrzeżenie za każdym razem po podłączeniu urządzenia użytkownik zostanie powiadomiony, czy jest ono dozwolone czy zablokowane i zostanie wygenerowany wpis dziennika. Urządzenia nie są zapamiętywane, a powiadomienie będzie wyświetlane przy każdym następnym połączeniu z tym samym urządzeniem. Należy pamiętać, że nie dla każdego typu urządzenia dostępne są wszystkie uprawnienia (czynności). Jeśli urządzenie jest wyposażone w przestrzeń do magazynowania, dostępne są wszystkie cztery czynności. W przypadku urządzeń innych niż magazynujące, istnieją tylko dwie możliwości (np. opcja Tylko do odczytu jest niedostępna dla urządzeń Bluetooth, dlatego można tylko zezwolić na dostęp do tych urządzeń lub go zablokować). Poniżej przedstawiono dodatkowe parametry, które można wykorzystać do uszczegółowienia reguł i dopasowania ich do urządzeń. W parametrach nie jest rozróżniana wielkość liter: Dostawca filtrowanie według nazwy lub identyfikatora dostawcy. Model podana nazwa urządzenia. Numer seryjny urządzenia zewnętrzne mają zwykle numery seryjne. W przypadku dysków CD i DVD jest to numer seryjny danego nośnika, a nie napędu. UWAGA: Jeśli powyższe trzy parametry są puste, podczas sprawdzania zgodności te pola zostaną przez regułę zignorowane. W odniesieniu do parametrów filtrowania we wszystkich polach testowych rozróżniana jest wielkość liter i nie są obsługiwane symbole wieloznaczne (*,?). Wskazówka: Aby ustalić, jakie są parametry urządzenia, należy utworzyć regułę zezwalającą dla danego typu urządzenia, podłączyć urządzenie do komputera, a następnie sprawdzić szczegóły urządzenia w dzienniku kontroli dostępu do urządzeń. Stopień szczegółowości Zawsze rejestrowanie wszystkich zdarzeń. Diagnostyczne rejestrowanie informacji potrzebnych do ulepszenia konfiguracji programu. Informacyjne rejestrowanie komunikatów informacyjnych, w tym powiadomień o pomyślnych aktualizacjach, oraz wszystkich rekordów wyższych kategorii. Ostrzeżenia rejestrowanie błędów krytycznych oraz komunikatów ostrzegawczych. Brak nie są rejestrowane żadne dzienniki. Reguły mogą być ograniczane do pewnych użytkowników lub grup użytkowników znajdujących się na liście Lista użytkowników: Dodaj umożliwia otwarcie okna dialogowego Typy obiektów: Użytkownicy lub grupy, w którym można wybrać pożądanych użytkowników. Usuń umożliwia usunięcie wybranego użytkownika z filtru. UWAGA: Przy użyciu reguł użytkownika można filtrować wszystkie urządzenia (np. urządzenia do tworzenia obrazów nie dostarczają informacji na temat użytkowników, tylko na temat wykonywanych czynności). 124

125 Wykryte urządzenia Użycie przycisku Wypełnij umożliwia przegląd wszystkich podłączonych obecnie urządzeń oraz następujących informacji: typ urządzenia, producent urządzenia, model i numer seryjny (jeśli są dostępne). Po wybraniu urządzenia (z listy Wykryte urządzenia) i kliknięciu opcji OK wyświetlone zostaje okno edytora reguł ze wstępnie zdefiniowanymi informacjami (można modyfikować w nim wszystkie ustawienia) Grupy urządzeń Urządzenie podłączone do komputera może stanowić zagrożenie bezpieczeństwa. Okno Grupy urządzeń jest podzielone na dwie części. W prawej części okna znajduje się lista urządzeń należących do danej grupy, a w części lewej znajduje się lista istniejących grup. Należy wybrać grupę zawierającą urządzenia, które mają zostać wyświetlone w prawym okienku. Po otwarciu okna Grupy urządzeń i wybraniu grupy można dodawać lub usuwać urządzenia z listy. Innym sposobem dodawania urządzeń do grup jest zaimportowanie ich z pliku. Można również kliknąć przycisk Wypełnij, co umożliwi wyświetlenie listy wszystkich podłączonych do komputera urządzeń w oknie Wykryte urządzenia. Należy wybrać urządzenia z wyświetlonej listy i dodać je do grupy, klikając przycisk OK. Elementy sterujące Dodaj można dodać grupę, wprowadzając jej nazwę lub można dodać urządzenie do istniejącej grupy. W zależności od tego, w której części okna znajdował się kliknięty przycisk, można również podać dane szczegółowe, takie jak nazwa dostawcy, model oraz numer seryjny. Edytuj ta opcja umożliwia zmianę nazwy wybranej grupy lub zmianę parametrów urządzeń w tej grupie (dostawcy, modelu, numeru seryjnego). Usuń powoduje usunięcie wybranej grupy lub urządzenia, w zależności od tego, w której części okna znajdował się kliknięty element. Importuj umożliwia zaimportowanie listy urządzeń z pliku. Użycie przycisku Wypełnij umożliwia przegląd wszystkich podłączonych obecnie urządzeń oraz następujących informacji: typ urządzenia, producent urządzenia, model i numer seryjny (jeśli są dostępne). Po zakończeniu dostosowywania należy kliknąć przycisk OK. Opuszczenie okna Grupy urządzeń bez zapisywania zmian umożliwia przycisk Anuluj. PORADA: Możliwe jest tworzenie wielu grup urządzeń, w odniesieniu do których obowiązują różne reguły. Można również utworzyć tylko jedną grupę urządzeń, do której stosowana będzie reguła związana z czynnością Odczyt/Zapis lub Tylko do odczytu. Zapewnia to blokowanie podłączanych do komputera nierozpoznanych urządzeń przy użyciu funkcji Kontrola dostępu do urządzeń. Należy pamiętać, że nie dla każdego typu urządzenia dostępne są wszystkie czynności (uprawnienia). W przypadku urządzeń pamięci masowej dostępne są wszystkie cztery czynności. W przypadku urządzeń innych niż urządzenia pamięci masowej dostępne są tylko trzy czynności (np. opcja Tylko do odczytu jest niedostępna dla urządzeń Bluetooth, dlatego można tylko zezwolić na dostęp do tych urządzeń, blokować dostęp lub wyświetlać ostrzeżenie) Narzędzia W dalszej części przedstawiono zaawansowane ustawienia poszczególnych narzędzi dostępnych w programie ESET File Security na karcie Narzędzia w oknie głównym graficznego interfejsu użytkownika. 125

126 ESET Live Grid ESET Live Grid to zaawansowany system wczesnego ostrzegania wykorzystujący kilka opartych na chmurze technologii. Pomaga wykrywać nowe zagrożenia na podstawie reputacji i poprawia skuteczność skanowania dzięki białym listom. Informacje o nowych zagrożeniach są przesyłane strumieniowo w czasie rzeczywistym do chmury, dzięki czemu laboratorium antywirusowe firmy ESET jest w stanie szybko reagować i zapewnić stały poziom ochrony. Użytkownik może sprawdzić reputację działających procesów i plików bezpośrednio z poziomu interfejsu programu lub menu kontekstowego, korzystając z dodatkowych informacji dostępnych dzięki technologii ESET Live Grid. Podczas instalacji produktu ESET File Security należy wybrać jedną z następujących opcji: 1. Użytkownik może nie włączać technologii ESET Live Grid. Nie spowoduje to utraty żadnych funkcji oprogramowania, jednak w niektórych przypadkach program ESET File Security może reagować na nowe zagrożenia wolniej niż w ramach aktualizacji bazy sygnatur wirusów. 2. W systemie ESET Live Grid można skonfigurować przesyłanie anonimowych informacji o nowych zagrożeniach i lokalizacjach nowego niebezpiecznego kodu, który został wykryty. Ten plik może być przesyłany do firmy ESET w celu szczegółowej analizy. Zbadanie zagrożeń pomoże firmie ESET ulepszać metody ich wykrywania. System ESET Live Grid zgromadzi informacje o komputerze użytkownika powiązane z nowo wykrytymi zagrożeniami. Te informacje mogą zawierać próbkę lub kopię pliku, w którym wystąpiło zagrożenie, ścieżkę dostępu do tego pliku, nazwę pliku, datę i godzinę, proces, za którego pośrednictwem zagrożenie pojawiło się na komputerze, oraz informacje o systemie operacyjnym komputera. Domyślnie w programie ESET File Security skonfigurowane jest przesyłanie podejrzanych plików do szczegółowej analizy w laboratorium firmy ESET. Pliki z określonymi rozszerzeniami, takimi jak doc lub xls, są zawsze wyłączane z procesu przesyłania. Można również dodać inne rozszerzenia, jeśli istnieją pliki, które użytkownik lub jego firma życzy sobie wyłączyć z procesu przesyłania. System reputacji ESET Live Grid obejmuje działającą w chmurze białą listę i czarną listę. Dostęp do ustawień technologii ESET Live Grid można uzyskać po naciśnięciu klawisza F5 w celu przejścia do obszaru Ustawienia zaawansowane, po czym należy przejść do pozycji Narzędzia > ESET Live Grid. Włącz usługę ESET Live Grid (zalecane) system reputacji ESET Live Grid poprawia wydajność rozwiązań firmy ESET do ochrony przed szkodliwym oprogramowaniem, porównując skanowane pliki z białą i czarną listą obiektów w chmurze. Przesyłaj anonimowe statystyki umożliwia firmie ESET gromadzenie informacji o nowo wykrytych zagrożeniach, takich jak nazwa zagrożenia, data i godzina jego wykrycia, metoda wykrycia i skojarzone metadane, wersja i konfiguracja produktu, w tym informacje o systemie. Prześlij pliki podejrzane pliki przypominające zagrożenia lub pliki, których zawartość lub działanie jest nietypowe, są przesyłane do firmy ESET w celu wykonania analizy. Wybranie opcji Włącz zapisywanie w dzienniku powoduje utworzenie dziennika zdarzeń, w którym będą rejestrowane wysyłane pliki i informacje statystyczne. Umożliwia to dodawanie zapisów w dzienniku zdarzeń podczas wysyłania plików lub danych statystycznych. Kontaktowy adres (opcjonalnie) wraz z podejrzanymi plikami można wysyłać adres , który będzie używany do kontaktowania się z użytkownikiem, gdy przeprowadzenie analizy będzie wymagało dodatkowych informacji. Należy pamiętać, że specjaliści z firmy ESET kontaktują się z użytkownikiem tylko w szczególnych przypadkach, gdy wymagane są dodatkowe informacje. Wyłączenia filtr wyłączeń umożliwia wyłączenie określonych plików lub folderów z przesyłania (może na przykład posłużyć do wyłączenia plików zawierających dane poufne, takich jak dokumenty lub arkusze kalkulacyjne). Wymienione pliki nigdy nie będą wysyłane do analizy w firmie ESET, nawet jeśli będą zawierały podejrzany kod. Najpopularniejsze typy plików należących do tej kategorii (np. DOC) są domyślnie wyłączone. Do listy wyłączonych plików można dodawać inne typy plików. Jeśli system ESET Live Grid był używany wcześniej i został wyłączony, mogą jeszcze pozostawać pakiety do wysłania. Takie pakiety zostaną wysłane do firmy ESET nawet po dezaktywacji. Po przesłaniu wszystkich bieżących informacji nie będą już tworzone nowe pakiety. 126

127 Filtr wyłączeń Opcja Edytuj obok obszaru Wyłączenia w usłudze ESET Live Grid umożliwia skonfigurowanie sposobu przesyłania zagrożeń do laboratorium firmy ESET w celu przeprowadzenia analizy. Po wykryciu podejrzanego pliku na komputerze można go przesłać do analizy w laboratorium firmy. Jeśli plik okaże się szkodliwą aplikacją, informacje potrzebne do jej wykrywania zostaną dodane do kolejnej aktualizacji bazy sygnatur wirusów Kwarantanna Zainfekowane oraz podejrzane pliki są przechowywane w postaci niegroźnej w folderze kwarantanny. Działający w czasie rzeczywistym moduł ochrony systemu domyślnie poddaje kwarantannie wszystkie nowo utworzone podejrzane pliki, aby zapobiec infekcji. Skanuj ponownie pliki poddane kwarantannie po każdej aktualizacji wszystkie poddane kwarantannie obiekty będą skanowane po każdej aktualizacji bazy sygnatur wirusów. Jest to szczególnie przydatne w sytuacji, gdy plik został przeniesiony do kwarantanny w wyniku fałszywego alarmu. Gdy ta opcja jest włączona, niektóre rodzaje plików mogą być automatycznie przywracane w swoich pierwotnych lokalizacjach. 127

128 Microsoft Windows Update Aktualizacje systemu Windows obejmują ważne rozwiązania potencjalnie niebezpiecznych luk w zabezpieczeniach oraz podnoszą ogólny poziom bezpieczeństwa komputera. Z tego powodu konieczne jest instalowanie aktualizacji systemu Microsoft Windows, gdy tylko stają się dostępne. Program ESET File Security powiadamia o brakujących aktualizacjach zgodnie z poziomem określonym przez użytkownika. Dostępne są następujące poziomy: Brak aktualizacji żadne aktualizacje systemu nie będą proponowane do pobrania. Aktualizacje opcjonalne proponowane będzie pobranie aktualizacji o priorytecie niskim lub wyższym. Aktualizacje zalecane proponowane będzie pobranie aktualizacji o priorytecie zwykłym lub wyższym. Ważne aktualizacje proponowane będzie pobranie aktualizacji o priorytecie ważne lub wyższym. Aktualizacje krytyczne proponowane będzie tylko pobranie aktualizacji krytycznych. Aby zapisać zmiany, należy kliknąć przycisk OK. Po sprawdzeniu stanu serwera aktualizacji pojawi się okno Aktualizacje systemu. Informacje o aktualizacjach systemu mogą nie być dostępne natychmiast po zapisaniu zmian Microsoft NAP Network Access Protection (NAP) to technologia firmy Microsoft, która służy do kontrolowania dostępu hostów do sieci na podstawie kondycji systemu hosta. Administratorzy systemu sieci komputerowej w organizacji mogą przy użyciu technologii NAP definiować zasady dla wymagań dotyczących kondycji systemu. Technologia NAP ma za zadanie wspomagać administratorów w utrzymywaniu komputerów w sieci w dobrej kondycji, co z kolei ułatwia utrzymywanie ogólnej integralności sieci. Zabezpieczanie sieci przed szkodliwymi działaniami użytkowników nie należy do jej zadań. Jeśli na przykład komputer dysponuje całością oprogramowania i konfiguracji wymaganych przez politykę dostępu do sieci, komputer uznawany jest za prawidłowy, czy też zgodny i uzyskuje odpowiedni dostęp do zasobów sieciowych. Technologia NAP nie uniemożliwia upoważnionym użytkownikom korzystającym ze zgodnych komputerów przesyłania do sieci szkodliwych programów ani prowadzenia innych nieodpowiednich działań. Technologia NAP umożliwia administratorom tworzenie i egzekwowanie zasad wpływających na kondycję komputerów łączących się z siecią firmową. Zasady są obowiązujące zarówno w odniesieniu do instalowanych komponentów oprogramowania, jak i konfiguracji systemu. Komputery połączone z siecią, na przykład laptopy, stacje robocze i inne tego rodzaju urządzenia, są poddawane ocenie na podstawie skonfigurowanych wymagań dotyczących kondycji. Wymagania dotyczące kondycji są następujące: Włączona zapora Zainstalowany program antywirusowy Aktualność programu antywirusowego Włączone automatyczne aktualizacje systemu Windows itd Dostawca WMI Informacje na temat usługi WMI Windows Management Instrumentation (WMI) to stosowane przez firmę Microsoft wdrożenie technologii WebBased Enterprise Management (WBEM), która jest inicjatywą branżową mającą na celu opracowanie standardowej technologii uzyskiwania dostępu do informacji związanych z zarządzaniem w środowisku korporacyjnym. Więcej informacji na temat usługi WMI można znaleźć pod adresem windows/desktop/aa384642(v=vs.85).aspx. Dostawca WMI ESET Celem dostawcy WMI ESET jest umożliwienie zdalnego monitorowania produktów firmy ESET w środowisku korporacyjnym bez konieczności stosowania specjalnego oprogramowania lub narzędzi firmy ESET. Udostępniając podstawowe informacje na temat produktu i jego stanu oraz dane statystyczne za pośrednictwem usługi WMI, znacząco zwiększamy możliwości administratorów korporacyjnych w zakresie monitorowania produktów firmy ESET. Administratorzy mogą monitorować stan produktów firmy ESET, korzystając z różnych metod uzyskiwania dostępu za pośrednictwem usługi WMI (wiersz polecenia, skrypty i narzędzia firm trzecich do monitorowania środowisk 128

129 korporacyjnych). Bieżąca implementacja umożliwia uzyskiwanie dostępu w trybie tylko do odczytu do podstawowych informacji dotyczących produktu, zainstalowanych funkcji oraz ich stanu ochrony, a także statystyk poszczególnych skanerów i plików dzienników produktu. Dostawca WMI umożliwia korzystanie ze standardowej infrastruktury WMI w systemie Windows oraz z narzędzi do odczytywania stanu produktu oraz dzienników produktu Udostępnione dane Wszystkie klasy WMI związane z produktem ESET znajdują się w przestrzeni nazw root\eset. Obecnie wdrożone są następujące klasy, które opisano bardziej szczegółowo poniżej: Ogólne: ESET_Product ESET_Features ESET_Statistics Dzienniki: ESET_ThreatLog ESET_EventLog ESET_ODFileScanLogs ESET_ODFileScanLogRecords ESET_ODServerScanLogs ESET_ODServerScanLogRecords ESET_GreylistLog ESET_SpamLog 129

130 Klasa ESET_Product Istnieć może tylko jedna instancja klasy ESET_Product. Właściwości tej klasy odnoszą się do informacji podstawowych dotyczących zainstalowanego produktu ESET: ID identyfikator typu produktu, np. essbe. Name nazwa produktu, np. ESET Security. Edition edycja produktu, np. Microsoft SharePoint Server. Version wersja produktu, np VirusDBVersion wersja bazy danych wirusów, np ( ). VirusDBLastUpdate znacznik czasowy ostatniej aktualizacji bazy danych wirusów. Ciąg obejmuje znacznik czasowy w formacie daty i godziny WMI, np LicenseExpiration termin ważności licencji. Ciąg obejmuje znacznik czasowy w formacie daty i godziny WMI, np KernelRunning wartość operatora logicznego wskazująca, czy na komputerze uruchomiona jest usługa ekrn, np. TRUE. StatusCode cyfra oznaczająca stan ochrony produktu: 0 zielony (OK), 1 żółty (ostrzeżenie), 2 czerwony (błąd). StatusText komunikat z opisem powodu niezerowego kodu stanu. Jeśli stan jest zerowy, właściwość ma wartość zerową. Klasa ESET_Features Klasa ESET_Features występuje w wielu instancjach, w zależności od liczby funkcji produktu. Każda z instancji obejmuje następujące elementy: Name nazwa funkcji (listę nazw podano poniżej). Status stan funkcji: 0 nieaktywna, 1 wyłączona, 2 włączona. Lista ciągów oznaczających rozpoznawane obecnie funkcje produktu: CLIENT_FILE_AV ochrona antywirusowa systemu plików w czasie rzeczywistym. CLIENT_WEB_AV ochrona antywirusowa sieci klienta. CLIENT_DOC_AV ochrona antywirusowa dokumentów na kliencie. CLIENT_NET_FW zapora osobista klienta. CLIENT_ _AV ochrona antywirusowa poczty na kliencie. CLIENT_ _AS ochrona antyspamowa poczty na kliencie. SERVER_FILE_AV ochrona antywirusowa plików w czasie rzeczywistym na objętym ochroną serwerze plików, np. ochrona plików zawartości bazy danych serwera SharePoint w przypadku produktu ESET File Security. SERVER_ _AV ochrona antywirusowa wiadomości na objętym ochroną produkcie serwerowym, np. ochrona wiadomości w programie MS Exchange lub IBM Lotus Domino. SERVER_ _AS ochrona antyspamowa wiadomości na objętym ochroną produkcie serwerowym, np. ochrona wiadomości w programie MS Exchange lub IBM Lotus Domino. SERVER_GATEWAY_AV ochrona antywirusowa objętych ochroną protokołów sieciowych bramy. SERVER_GATEWAY_AS ochrona antyspamowa objętych ochroną protokołów sieciowych bramy. 130

131 Klasa ESET_Statistics Klasa ESET_Statistics występuje w wielu instancjach, w zależności od liczby skanerów w ramach produktu. Każda z instancji obejmuje następujące elementy: Scanner ciąg z kodem danego skanera, np. CLIENT_FILE. Total łączna liczba przeskanowanych plików. Infected liczba wykrytych zainfekowanych plików. Cleaned liczba wyleczonych plików. Timestamp znacznik czasowy ostatniej zmiany w tych statystykach. W formacie daty i godziny WMI, np ResetTime znacznik czasowy ostatniego zerowania licznika statystyk. W formacie daty i godziny WMI, np Lista ciągów oznaczających skanery, które są obecnie rozpoznawane: CLIENT_FILE CLIENT_ CLIENT_WEB SERVER_FILE SERVER_ SERVER_WEB Klasa ESET_ThreatLog Klasa ESET_ThreatLog występuje w wielu instancjach, z których każda związana jest z rekordem z dziennika Wykryte zagrożenia. Każda z instancji obejmuje następujące elementy: ID unikatowy identyfikator danego rekordu dziennika. Timestamp znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI). LogLevel stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0 8]. Wartości odpowiadają następującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, ErrorCritical, SecurityWarning-Critical (debugowanie, informacje-stopka, informacje, informacje-ważne, ostrzeżenie, błąd, ostrzeżenie dot. zabezpieczeń, błąd krytyczny, krytyczne ostrzeżenie dot. zabezpieczeń). Scanner nazwa skanera, który utworzył dane zdarzenie dziennika. ObjectType typ obiektu, który spowodował utworzenie danego zdarzenia dziennika. ObjectName nazwa obiektu, który spowodował utworzenie danego zdarzenia dziennika. Threat nazwa zagrożenia znalezionego w obiekcie opisanym właściwościami ObjectName oraz ObjectType. Action czynność wykonana po zidentyfikowaniu zagrożenia. User konto użytkownika, który spowodował wygenerowanie danego zdarzenia dziennika. Information dodatkowy opis zdarzenia. Klasa ESET_EventLog Klasa ESET_EventLog występuje w wielu instancjach, z których każda związana jest z rekordem z dziennika Zdarzenia. Każda z instancji obejmuje następujące elementy: ID unikatowy identyfikator danego rekordu dziennika. Timestamp znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI). LogLevel stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0 8]. Wartości odpowiadają następującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, ErrorCritical, SecurityWarning-Critical (debugowanie, informacje-stopka, informacje, informacje-ważne, ostrzeżenie, błąd, ostrzeżenie dot. zabezpieczeń, błąd krytyczny, krytyczne ostrzeżenie dot. zabezpieczeń). Module nazwa modułu, który utworzył dane zdarzenie dziennika. Event opis zdarzenia. User konto użytkownika, który spowodował wygenerowanie danego zdarzenia dziennika. 131

132 Klasa ESET_ODFileScanLogs Klasa ESET_ODFileScanLogs występuje w wielu instancjach, z których każda związana jest z rekordem skanowania plików na żądanie. Jest to odpowiednik listy dzienników Skanowanie komputera na żądanie dostępnej w graficznym interfejsie użytkownika. Każda z instancji obejmuje następujące elementy: ID unikatowy identyfikator danego dziennika na żądanie. Timestamp znacznik czasowy utworzenia dziennika (w formacie daty i godziny WMI). Targets foldery lub obiekty docelowe skanowania. TotalScanned ogólna liczba przeskanowanych obiektów. Infected liczba wykrytych zainfekowanych obiektów. Cleaned liczba wyleczonych obiektów. Status stan procesu skanowania. Klasa ESET_ODFileScanLogRecords Klasa ESET_ODFileScanLogRecords występuje w wielu instancjach, z których każda związana jest z rekordem z jednego z dzienników skanowania, do których odnoszą się poszczególne instancje klasy ESET_ODFileScanLogs. W instancjach tej klasy zawarte są rekordy dzienników wszystkich skanów lub dzienników na żądanie. Gdy wymagana jest tylko instancja określonego dziennika skanowania, należy przeprowadzić filtrowanie instancji według właściwości LogID. Każda z instancji klasy obejmuje następujące elementy: LogID identyfikator dziennika skanowania, do którego należy dany rekord (identyfikator jednej z instancji klasy ESET_ODFileScanLogs). ID unikatowy identyfikator danego rekordu dziennika skanowania. Timestamp znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI). LogLevel stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0 8]. Wartości odpowiadają następującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, ErrorCritical, SecurityWarning-Critical (debugowanie, informacje-stopka, informacje, informacje-ważne, ostrzeżenie, błąd, ostrzeżenie dot. zabezpieczeń, błąd krytyczny, krytyczne ostrzeżenie dot. zabezpieczeń). Log rzeczywisty komunikat dziennika. Klasa ESET_ODServerScanLogs Klasa ESET_ODServerScanLogs występuje w wielu instancjach, z których każda związana jest z uruchomieniem skanowania serwera na żądanie. Każda z instancji obejmuje następujące elementy: ID unikatowy identyfikator danego dziennika na żądanie. Timestamp znacznik czasowy utworzenia dziennika (w formacie daty i godziny WMI). Targets foldery lub obiekty docelowe skanowania. TotalScanned ogólna liczba przeskanowanych obiektów. Infected liczba wykrytych zainfekowanych obiektów. Cleaned liczba wyleczonych obiektów. RuleHits ogólna liczba zastosowań reguł. Status stan procesu skanowania. 132

133 Klasa ESET_ODServerScanLogRecords Klasa ESET_ODServerScanLogRecords występuje w wielu instancjach, z których każda związana jest z rekordem z jednego z dzienników skanowania, do których odnoszą się poszczególne instancje klasy ESET_ODServerScanLogs. W instancjach tej klasy zawarte są rekordy dzienników wszystkich skanów lub dzienników na żądanie. Gdy wymagana jest tylko instancja określonego dziennika skanowania, należy przeprowadzić filtrowanie instancji według właściwości LogID. Każda z instancji klasy obejmuje następujące elementy: LogID identyfikator dziennika skanowania, do którego należy dany rekord (identyfikator jednej z instancji klasy ESET_ODServerScanLogs). ID unikatowy identyfikator danego rekordu dziennika skanowania. Timestamp znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI). LogLevel stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0 8]. Wartości odpowiadają następującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, ErrorCritical, SecurityWarning-Critical (debugowanie, informacje-stopka, informacje, informacje-ważne, ostrzeżenie, błąd, ostrzeżenie dot. zabezpieczeń, błąd krytyczny, krytyczne ostrzeżenie dot. zabezpieczeń). Log rzeczywisty komunikat dziennika. Klasa ESET_GreylistLog Klasa ESET_GreylistLog występuje w wielu instancjach, z których każda związana jest z rekordem z dziennika Szara lista. Każda z instancji obejmuje następujące elementy: ID unikatowy identyfikator danego rekordu dziennika. Timestamp znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI). LogLevel stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0 8]. Wartości odpowiadają następującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, ErrorCritical, SecurityWarning-Critical (debugowanie, informacje-stopka, informacje, informacje-ważne, ostrzeżenie, błąd, ostrzeżenie dot. zabezpieczeń, błąd krytyczny, krytyczne ostrzeżenie dot. zabezpieczeń). HELODomain nazwa domeny HELO. IP źródłowy adres IP. Sender nadawca wiadomości . Recipient odbiorca wiadomości . Action wykonana czynność. TimeToAccept liczba minut, po której wiadomość zostanie zaakceptowana. Klasa ESET_SpamLog Klasa ESET_SpamLog występuje w wielu instancjach, z których każda związana jest z rekordem z dziennika Dziennik spamu. Każda z instancji obejmuje następujące elementy: ID unikatowy identyfikator danego rekordu dziennika. Timestamp znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI). LogLevel stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0 8]. Wartości odpowiadają następującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, ErrorCritical, SecurityWarning-Critical (debugowanie, informacje-stopka, informacje, informacje-ważne, ostrzeżenie, błąd, ostrzeżenie dot. zabezpieczeń, błąd krytyczny, krytyczne ostrzeżenie dot. zabezpieczeń). Sender nadawca wiadomości . Recipient odbiorcy wiadomości . Subject temat wiadomości . Received data i godzina odbioru. Score wynik spamu podawany jako wartość procentowa z zakresu [0 100]. Reason powód oznaczenia wiadomości jako spamu. Action wykonana czynność. DiagInfo dodatkowe informacje diagnostyczne. 133

134 Uzyskiwanie dostępu do przekazanych danych Oto kilka przykładów sposobów uzyskiwania dostępu do danych WMI ESET przy użyciu wiersza polecenia systemu Windows oraz środowiska PowerShell, co można zrealizować w dowolnym z obecnie dostępnych systemów Windows. Dostęp do danych można jednak uzyskiwać na wiele różnych sposobów przy użyciu innych języków skryptowych i narzędzi. Wiersz polecenia bez skryptów Przy użyciu dostępnego w wierszu polecenia narzędzia wmic można uzyskać dostęp do różnych wstępnie zdefiniowanych lub niestandardowych klas WMI. Wyświetlenie pełnych informacji na temat produktu na komputerze lokalnym: wmic /namespace:\\root\eset Path ESET_Product Wyświetlenie numeru wersji produktu tylko w przypadku produktu na komputerze lokalnym: wmic /namespace:\\root\eset Path ESET_Product Get Version Wyświetlenie pełnych informacji na temat produktu na komputerze zdalnym o numerze IP : wmic /namespace:\\root\eset /node: /user:administrator Path ESET_Product Środowisko PowerShell Pobranie i wyświetlenie pełnych informacji na temat produktu na komputerze lokalnym: Get-WmiObject ESET_Product -namespace 'root\eset' Pobranie i wyświetlenie pełnych informacji na temat produktu na komputerze zdalnym o numerze IP : $cred = Get-Credential # wyświetlenie monitu o poświadczenia użytkownika i zachowanie ich w posta Get-WmiObject ESET_Product -namespace 'root\eset' -computername ' ' -cred $cred Pliki dziennika Dostęp do konfiguracji dzienników programu ESET File Security można uzyskać z poziomu jego okna głównego. Należy kliknąć kolejno Ustawienia > Ustawienia zaawansowane > Narzędzia > Pliki dziennika. W sekcji dzienników można określić sposób zarządzania nimi. W celu oszczędzania miejsca na dysku twardym program automatycznie usuwa starsze wpisy z dzienników. Można określić następujące opcje plików dziennika: Minimalna szczegółowość zapisów w dzienniku umożliwia określenie minimalnego poziomu szczegółowości zdarzeń rejestrowanych w dzienniku. Diagnostyczne rejestrowanie informacji potrzebnych do ulepszenia konfiguracji programu, a także wszystkich rekordów wyższych kategorii. Informacyjne rejestrowanie komunikatów informacyjnych, w tym powiadomień o pomyślnych aktualizacjach, oraz wszystkich rekordów wyższych kategorii. Ostrzeżenia rejestrowanie błędów krytycznych oraz komunikatów ostrzegawczych. Błędy rejestrowanie błędów typu Błąd podczas pobierania pliku oraz błędów krytycznych. Krytyczne rejestrowanie tylko błędów krytycznych (np. błąd uruchomienia ochrony antywirusowej). Wpisy dziennika starsze niż liczba dni podana w polu Automatycznie usuwaj rekordy starsze niż (dni) będą usuwane automatycznie. Automatycznie usuwaj stare rekordy po przekroczeniu rozmiaru dziennika gdy rozmiar dziennika przekroczy rozmiar podany w pozycji Maksymalny rozmiar dziennika [MB], starsze rekordy dziennika będą usuwane aż do osiągnięcia rozmiaru podanego w pozycji Pomniejszony rozmiar dziennika [MB]. Twórz kopie zapasowe automatycznie usuwanych rekordów kopie zapasowe automatycznie usuwanych rekordów dzienników i plików będą tworzone w wybranym katalogu i opcjonalnie kompresowane w postaci plików ZIP. Twórz kopie zapasowe dzienników diagnostycznych tworzone będą kopie automatycznie usuwanych dzienników diagnostycznych. Gdy ta opcja nie jest włączona, nie są tworzone kopie zapasowe rekordów dzienników diagnostycznych. Folder kopii zapasowych Folder, w którym zapisywane będą kopie zapasowe dzienników. Można włączyć kompresowanie kopii zapasowych dzienników jako plików ZIP. Automatycznie optymalizuj pliki dzienników włączenie tej opcji powoduje automatyczną defragmentację plików 134

135 dziennika po przekroczeniu stopnia fragmentacji określonego w polu Jeśli liczba nieużywanych rekordów przekracza (%). Kliknij przycisk Optymalizuj, aby rozpocząć defragmentację plików dziennika. Wszystkie puste wpisy dzienników są usuwane w celu zwiększenia wydajności i szybkości przetwarzania dzienników. Poprawę można zaobserwować zwłaszcza w przypadku dzienników zawierających dużą liczbę wpisów. Włączenie opcji Włącz protokół tekstowy umożliwia zapisywanie dzienników w plikach innego formatu osobno od plików dziennika: Katalog docelowy katalog, w którym zapisywane są pliki dzienników (dotyczy wyłącznie plików tekstowych/ CSV). Każdej sekcji odpowiada osobny plik o wstępnie zdefiniowanej nazwie (np. virlog.txt to plik odpowiadający sekcji plików dziennika Wykryte zagrożenia, jeśli wybrany format zapisu dzienników to zwykły tekst). Typ po wybraniu formatu Tekst dzienniki będą zapisywane w postaci pliku tekstowego, a dane będą rozdzielane tabulatorami. To samo dotyczy formatu CSV wartości rozdzielanych przecinkami. W przypadku wybrania opcji Zdarzenie, zamiast w pliku, dzienniki będą zapisywane w dzienniku zdarzeń systemu Windows (można go wyświetlić w obszarze Podgląd zdarzeń w Panelu sterowania). Opcja Usuń umożliwia usunięcie wszystkich zapisanych dzienników aktualnie wybranych w menu rozwijanym Typ. UWAGA: W celu uzyskania pomocy przy usprawnianiu rozwiązywania problemów dział obsługi klienta firmy ESET może czasem prosić użytkowników o przekazanie dzienników zapisanych na ich komputerach. Kolektor dzienników ESET ułatwia użytkownikom gromadzenie niezbędnych informacji. Więcej informacji na temat Kolektora dzienników ESET można znaleźć w artykule bazy wiedzy firmy ESET Filtrowanie dziennika W dziennikach są przechowywane informacje o ważnych zdarzeniach systemowych. Funkcja filtrowania dziennika umożliwia wyświetlenie rekordów dotyczących określonego typu zdarzenia. Podaj szukane słowo kluczowe w polu Znajdź tekst. Przy użyciu menu rozwijanego Wyszukaj w kolumnach można zawęzić wyszukiwanie. Typy rekordów wybierz jeden lub więcej typów rekordów dziennika na liście rozwijanej: Diagnostyczne rejestrowanie informacji potrzebnych do ulepszenia konfiguracji programu, a także wszystkich rekordów wyższych kategorii. Informacyjne rejestrowanie komunikatów informacyjnych, w tym powiadomień o pomyślnych aktualizacjach, oraz wszystkich rekordów wyższych kategorii. Ostrzeżenia rejestrowanie błędów krytycznych oraz komunikatów ostrzegawczych. Błędy rejestrowanie błędów typu Błąd podczas pobierania pliku oraz błędów krytycznych. Krytyczne rejestrowanie tylko błędów krytycznych (np. błąd uruchomienia ochrony antywirusowej). Okres podaj okres, z którego mają pochodzić rekordy wyświetlane w wynikach wyszukiwania. Tylko całe wyrazy zaznacz to pole wyboru, aby wyszukać określone całe wyrazy w celu zawężenia wyników. Uwzględniaj wielkość liter włącz tę opcję, jeśli istotne jest, czy litery tekstu są wielkie, czy małe Znajdowanie w dzienniku Uzupełnieniem opcji filtrowania dziennika jest funkcja wyszukiwania w plikach dziennika, z której można też korzystać niezależnie od filtrowania. Jest ona przydatna w razie potrzeby znalezienia określonych rekordów w dziennikach. Analogicznie do filtrowania, wyszukiwanie ułatwia dotarcie do potrzebnych informacji, zwłaszcza gdy zarejestrowanych jest zbyt wiele rekordów. Podczas wyszukiwania w dzienniku można skorzystać z pola Znajdź tekst, wpisując w nim wyszukiwany ciąg, przy użyciu menu rozwijanego Wyszukaj w kolumnach można przeprowadzić filtrowanie według kolumn, a w celu wyszukania wyłącznie rekordów z danego okresu można wybrać typy rekordów i podać okres. Po skonfigurowaniu określonych opcji wyszukiwania w oknie Pliki dziennika będą widoczne tylko odpowiadające im rekordy. Znajdź tekst: należy tu wpisać ciąg znaków (wyraz lub część wyrazu). Zostaną znalezione tylko rekordy zawierające 135

136 dany ciąg. Inne rekordy będą pomijane. Wyszukaj w kolumnach: należy wybrać kolumny, które mają być brane pod uwagę podczas wyszukiwania. Na potrzeby wyszukiwania można zaznaczyć jedną lub więcej kolumn. Domyślnie zaznaczone są wszystkie kolumny: Godzina Skanowany folder Zdarzenie Użytkownik Typy rekordów: należy wybrać co najmniej jeden typ rekordów dziennika z listy rozwijanej: Diagnostyczne rejestrowanie informacji potrzebnych do ulepszenia konfiguracji programu, a także wszystkich rekordów wyższych kategorii. Informacyjne rejestrowanie komunikatów informacyjnych, w tym powiadomień o pomyślnych aktualizacjach, oraz wszystkich rekordów wyższych kategorii. Ostrzeżenia rejestrowanie błędów krytycznych oraz komunikatów ostrzegawczych. Błędy rejestrowanie błędów typu Błąd podczas pobierania pliku oraz błędów krytycznych. Krytyczne rejestrowanie tylko błędów krytycznych (np. błąd uruchomienia ochrony antywirusowej). Okres: należy podać okres, z którego mają pochodzić rekordy wyświetlane w wynikach wyszukiwania. Nie określono (domyślnie) kryterium okresu jest wyłączone i przeszukiwany jest cały dziennik. Ostatni dzień Ostatni tydzień Ostatni miesiąc Okres można podać dokładny okres (daty i godziny), aby wyszukiwać tylko rekordy z danego okresu. Tylko całe wyrazy wyszukiwane są tylko rekordy, które odpowiadają z dokładnością do całych wyrazów ciągowi wprowadzonemu w polu tekstowym Co. Uwzględniaj wielkość liter wyszukiwane są tylko rekordy, które odpowiadają z dokładnością do wielkości liter ciągowi wprowadzonemu w polu tekstowym Co. Szukaj w górę umożliwia wyszukiwanie od bieżącej pozycji w górę. Po skonfigurowaniu opcji wyszukiwania należy kliknąć przycisk Znajdź, aby rozpocząć przeszukiwanie. Wyszukiwanie zostaje zatrzymane po znalezieniu pierwszego rekordu spełniającego kryteria. W celu wyświetlenia dodatkowych rekordów należy ponownie kliknąć przycisk Znajdź. Pliki dziennika są przeszukiwane od góry do dołu, począwszy do bieżącej pozycji (od zaznaczonego rekordu) Administrowanie dziennikami Dostęp do konfiguracji dzienników programu ESET File Security można uzyskać z poziomu jego okna głównego. Należy kliknąć kolejno Ustawienia > Ustawienia zaawansowane > Narzędzia > Pliki dziennika. W sekcji dzienników można określić sposób zarządzania nimi. W celu oszczędzania miejsca na dysku twardym program automatycznie usuwa starsze wpisy z dzienników. Można określić następujące opcje plików dziennika: Minimalna szczegółowość zapisów w dzienniku umożliwia określenie minimalnego poziomu szczegółowości zdarzeń rejestrowanych w dzienniku. Diagnostyczne rejestrowanie informacji potrzebnych do ulepszenia konfiguracji programu, a także wszystkich rekordów wyższych kategorii. Informacyjne rejestrowanie komunikatów informacyjnych, w tym powiadomień o pomyślnych aktualizacjach, oraz wszystkich rekordów wyższych kategorii. Ostrzeżenia rejestrowanie błędów krytycznych oraz komunikatów ostrzegawczych. Błędy rejestrowanie błędów typu Błąd podczas pobierania pliku oraz błędów krytycznych. Krytyczne rejestrowanie tylko błędów krytycznych (np. błąd uruchomienia ochrony antywirusowej). Wpisy dziennika starsze niż liczba dni podana w polu Automatycznie usuwaj rekordy starsze niż (dni) będą usuwane automatycznie. Automatycznie usuwaj stare rekordy po przekroczeniu rozmiaru dziennika gdy rozmiar dziennika przekroczy 136

137 rozmiar podany w pozycji Maksymalny rozmiar dziennika [MB], starsze rekordy dziennika będą usuwane aż do osiągnięcia rozmiaru podanego w pozycji Pomniejszony rozmiar dziennika [MB]. Twórz kopie zapasowe automatycznie usuwanych rekordów kopie zapasowe automatycznie usuwanych rekordów dzienników i plików będą tworzone w wybranym katalogu i opcjonalnie kompresowane w postaci plików ZIP. Twórz kopie zapasowe dzienników diagnostycznych tworzone będą kopie automatycznie usuwanych dzienników diagnostycznych. Gdy ta opcja nie jest włączona, nie są tworzone kopie zapasowe rekordów dzienników diagnostycznych. Folder kopii zapasowych Folder, w którym zapisywane będą kopie zapasowe dzienników. Można włączyć kompresowanie kopii zapasowych dzienników jako plików ZIP. Automatycznie optymalizuj pliki dzienników włączenie tej opcji powoduje automatyczną defragmentację plików dziennika po przekroczeniu stopnia fragmentacji określonego w polu Jeśli liczba nieużywanych rekordów przekracza (%). Kliknij przycisk Optymalizuj, aby rozpocząć defragmentację plików dziennika. Wszystkie puste wpisy dzienników są usuwane w celu zwiększenia wydajności i szybkości przetwarzania dzienników. Poprawę można zaobserwować zwłaszcza w przypadku dzienników zawierających dużą liczbę wpisów. Włączenie opcji Włącz protokół tekstowy umożliwia zapisywanie dzienników w plikach innego formatu osobno od plików dziennika: Katalog docelowy katalog, w którym zapisywane są pliki dzienników (dotyczy wyłącznie plików tekstowych/ CSV). Każdej sekcji odpowiada osobny plik o wstępnie zdefiniowanej nazwie (np. virlog.txt to plik odpowiadający sekcji plików dziennika Wykryte zagrożenia, jeśli wybrany format zapisu dzienników to zwykły tekst). Typ po wybraniu formatu Tekst dzienniki będą zapisywane w postaci pliku tekstowego, a dane będą rozdzielane tabulatorami. To samo dotyczy formatu CSV wartości rozdzielanych przecinkami. W przypadku wybrania opcji Zdarzenie, zamiast w pliku, dzienniki będą zapisywane w dzienniku zdarzeń systemu Windows (można go wyświetlić w obszarze Podgląd zdarzeń w Panelu sterowania). Opcja Usuń umożliwia usunięcie wszystkich zapisanych dzienników aktualnie wybranych w menu rozwijanym Typ. UWAGA: W celu uzyskania pomocy przy usprawnianiu rozwiązywania problemów dział obsługi klienta firmy ESET może czasem prosić użytkowników o przekazanie dzienników zapisanych na ich komputerach. Kolektor dzienników ESET ułatwia użytkownikom gromadzenie niezbędnych informacji. Więcej informacji na temat Kolektora dzienników ESET można znaleźć w artykule bazy wiedzy firmy ESET. Usuwaj automatycznie rekordy: wpisy dziennika starsze niż podana liczba dni będą automatycznie usuwane. Automatycznie optymalizuj pliki dzienników: umożliwia automatyczną defragmentację plików dziennika w przypadku przekroczenia określonego procentu nieużywanych rekordów. Minimalna szczegółowość zapisów w dzienniku: umożliwia określenie poziomu szczegółowości zapisów w dzienniku. Dostępne ustawienia: o Rekordy diagnostyczne powoduje rejestrowanie w dzienniku informacji niezbędnych do ulepszenia konfiguracji programu i wszystkich rekordów powyżej. o Rekordy informacyjne powoduje rejestrowanie wszystkich komunikatów informacyjnych, w tym powiadomień o pomyślnych aktualizacjach, oraz wszystkich rekordów powyżej. o Ostrzeżenia rejestrowanie błędów krytycznych oraz komunikatów ostrzegawczych. o Błędy powoduje rejestrowanie tylko komunikatów o błędach Błąd pobierania pliku oraz błędów krytycznych. o Ostrzeżenia krytyczne powoduje rejestrowanie tylko błędów krytycznych (np. błąd uruchomienia ochrony antywirusowej). 137

138 Serwer proxy W dużych sieciach lokalnych komputery mogą być połączone z Internetem za pośrednictwem serwera proxy. W takim przypadku trzeba skonfigurować opisane tu ustawienia. W przeciwnym razie program nie będzie mógł być automatycznie aktualizowany. W programie ESET File Security ustawienia serwera proxy są dostępne w dwóch sekcjach drzewa ustawień zaawansowanych. Po pierwsze ustawienia serwera proxy można skonfigurować w oknie Ustawienia zaawansowane, klikając kolejno opcje Narzędzia > Serwer proxy. Określenie serwera proxy na tym poziomie powoduje zdefiniowanie globalnych ustawień serwera proxy dla całego programu ESET File Security. Wprowadzone w tym miejscu parametry będą używane przez wszystkie moduły, które wymagają połączenia internetowego. Aby określić ustawienia serwera proxy na tym poziomie, należy włączyć przełącznik Użyj serwera proxy, a następnie wprowadzić adres serwera proxy w polu Serwer proxy oraz jego numer portu w polu Port. Jeśli komunikacja z serwerem proxy wymaga uwierzytelniania, konieczne jest włączenie przełącznika Serwer proxy wymaga uwierzytelniania oraz wprowadzenie w odpowiednich polach nazwy użytkownika i hasła. Kliknięcie przycisku Wykryj spowoduje automatyczne wykrycie i wprowadzenie ustawień serwera proxy. Zostaną skopiowane parametry określone w programie Internet Explorer. UWAGA: Dane uwierzytelniające (nazwa użytkownika i hasło) nie są automatycznie pobierane, trzeba je wprowadzić ręcznie. Ustawienia serwera proxy można również skonfigurować w obszarze Ustawienia zaawansowane (Ustawienia zaawansowane > Aktualizacja > Serwer proxy HTTP, wybierając opcję Połączenie przez serwer proxy z menu rozwijanego Tryb proxy). Te ustawienia mają zastosowanie do danego profilu aktualizacji i są zalecane w przypadku komputerów przenośnych, ponieważ w ich przypadku aktualizacje sygnatur wirusów są często pobierane w różnych lokalizacjach. Więcej informacji na temat tego ustawienia znajduje się w sekcji Zaawansowane ustawienia aktualizacji. 138

139 Powiadomienia Program ESET File Security może automatycznie wysyłać powiadomienia po wystąpieniu zdarzenia o wybranym poziomie szczegółowości. Aby aktywować powiadomienia , należy włączyć opcję Wysyłaj powiadomienia o zdarzeniach pocztą . UWAGA: Serwery SMTP z szyfrowaniem TLS są obsługiwane przez program ESET File Security. Serwer SMTP serwer SMTP używany do wysyłania powiadomień. Nazwa użytkownika i Hasło jeśli serwer SMTP wymaga uwierzytelniania, należy wypełnić te pola, podając prawidłową nazwę użytkownika i hasło dostępu do tego serwera SMTP. Adres nadawcy w tym polu można wpisać adres nadawcy, który będzie wyświetlany w nagłówkach wiadomości z powiadomieniami. Adres odbiorcy w tym polu można podać adres odbiorcy, który będzie wyświetlany w nagłówkach wiadomości z powiadomieniami. Minimalna szczegółowość powiadomień umożliwia określenie minimalnego poziomu szczegółowości wysyłanych powiadomień. Uruchom TLS umożliwia wysyłanie alertów i powiadomień z obsługą szyfrowania TLS. Interwał, po jakim będą wysyłane nowe powiadomienia (min) podany w minutach czas, po upływie którego nowe powiadomienia zostaną wysłane w wiadomości . Jeśli powiadomienia mają być wysyłane bezzwłocznie, ustaw tę wartość na 0. Wysyłaj każe powiadomienie w osobnej wiadomości po włączeniu tej opcji odbiorca będzie otrzymywał osobną wiadomość z każdym powiadomieniem. Może to zaskutkować znaczną liczbą wiadomości odebranych w krótkim czasie. Format wiadomości 139

140 Format wiadomości o zdarzeniu format wiadomości o zdarzeniach wyświetlanych na komputerach zdalnych. Patrz również: Edytowanie formatu. Format wiadomości z ostrzeżeniem o zagrożeniu alerty o zagrożeniach oraz powiadomienia mają wstępnie zdefiniowany format domyślny. Zaleca się nie zmieniać tego formatu. W pewnych okolicznościach (takich jak korzystanie z automatycznego systemu przetwarzania poczty) zmiana formatu może być jednak konieczna. Patrz również: Edytowanie formatu. Użyj alfabetu lokalnego konwertuje wiadomość z użyciem kodowania znaków ANSI na podstawie ustawień regionalnych systemu Windows (np. windows-1250). W przypadku pozostawienia tej opcji bez zaznaczenia, wiadomość zostanie przekształcona i zakodowana w postaci 7-bitowych znaków ASCII (na przykład ą zostanie zamienione na a, a nieznane symbole na? ). Użyj lokalnego kodowania znaków źródło wiadomości zostanie zakodowane w formacie Quotedprintable (QP), w którym wykorzystywane są znaki ASCII oraz prawidłowo przekazywane w wiadomościach specjalne znaki narodowe w formacie 8-bitowym (ąćęłńóśźż) Format wiadomości Komunikacja między programem a zdalnym użytkownikiem lub administratorem systemu odbywa się za pomocą wiadomości lub powiadomień rozsyłanych w sieci LAN (za pośrednictwem usługi wiadomości błyskawicznych systemu Windows ). Domyślny format alertów i powiadomień będzie w większości przypadków optymalny. Może się jednak zdarzyć, że konieczna będzie zmiana formatu wiadomości o zdarzeniu. W treści powiadomień słowa kluczowe (ciągi oddzielone znakiem %) są zastępowane konkretnymi informacjami w określony sposób. Dostępne są następujące słowa kluczowe: %TimeStamp% data i godzina wystąpienia zdarzenia %Scanner% moduł, którego dotyczy zdarzenie %ComputerName% nazwa komputera, na którym wystąpił alert %ProgramName% program, który wygenerował alert %InfectedObject% nazwa zainfekowanego pliku, wiadomości itp. %VirusName% identyfikacja zarażenia %ErrorDescription% opis zdarzenia niezwiązanego z wirusem Słowa kluczowe %InfectedObject% i %VirusName% są używane tylko w wiadomościach ostrzegających o zagrożeniach, a słowo kluczowe %ErrorDescription% tylko w wiadomościach o zdarzeniach Tryb prezentacji Tryb prezentacji to funkcja przeznaczona dla użytkowników, którzy wymagają niczym niezakłócanego dostępu do swojego oprogramowania, chcą zablokować wszelkie wyskakujące okna i zależy im na zmniejszeniu obciążenia procesora. Tryb prezentacji może być również wykorzystywany podczas prezentacji, które nie mogą być przerywane działaniem programu antywirusowego. Po włączeniu tego trybu wyłączane są wszystkie wyskakujące okna i nie są uruchamiane zaplanowane zadania. Ochrona systemu pozostaje aktywna w tle, ale nie wymaga interwencji użytkownika. Kliknięcie kolejno opcji Ustawienia > Komputer, a następnie użycie przełącznika obok opcji Tryb prezentacji umożliwia ręczne włączenie trybu prezentacji. W obszarze Ustawienia zaawansowane (klawisz F5) należy kliknąć kolejno opcje Narzędzia > Tryb prezentacji, a następnie użyć przełącznika obok opcji Automatycznie włączaj tryb prezentacji przy uruchamianiu aplikacji w trybie pełnoekranowym, aby program ESET File Security automatycznie uruchamiał tryb prezentacji w momencie uruchamiania aplikacji w trybie pełnoekranowym. Włączenie trybu prezentacji stanowi potencjalne zagrożenie bezpieczeństwa, dlatego ikona stanu ochrony na pasku zadań zmieni kolor na pomarańczowy, sygnalizując ostrzeżenie. W głównym oknie programu również widoczne będzie ostrzeżenie w postaci komunikatu Tryb prezentacji włączony wyświetlanego na pomarańczowo. Po włączeniu opcji Automatycznie włączaj tryb prezentacji przy uruchamianiu aplikacji w trybie pełnoekranowym tryb prezentacji będzie włączany po uruchomieniu aplikacji w trybie pełnego ekranu i automatycznie wyłączany po zakończeniu jej działania. Ta opcja jest szczególnie przydatna, gdy tryb prezentacji ma być uaktywniany natychmiast po uruchomieniu gry lub aplikacji pełnoekranowej, albo po rozpoczęciu prezentacji. Można również wybrać opcję Automatycznie wyłączaj tryb prezentacji po w celu określenia liczby minut, po upływie 140

141 której tryb prezentacji będzie automatycznie wyłączany Diagnostyka Diagnostyka umożliwia wykonywanie zrzutów pamięci w przypadku awarii aplikacji związanych z procesami oprogramowania firmy ESET (na przykład ekrn). Jeśli aplikacja ulega awarii, generowany jest zrzut pamięci. Może to pomóc programistom w usuwaniu błędów i eliminowaniu rozmaitych problemów związanych z programem ESET File Security. Należy kliknąć menu rozwijane dostępne obok pozycji Typ zrzutu i wybrać jedną z trzech dostępnych opcji: Wyłącz (domyślna) wybranie tej opcji powoduje wyłączenie tej funkcji. Mini umożliwia zarejestrowanie najmniejszego zbioru użytecznych informacji, które mogą być pomocne w wykryciu przyczyny nieoczekiwanej awarii aplikacji. Ten rodzaj pliku zrzutu jest przydatny, gdy ilość wolnego miejsca na dysku jest ograniczona. Jednak ze względu na niewielką ilość zawartych w nim informacji analiza jego zawartości może nie wystarczyć do wykrycia błędów, które nie były bezpośrednio spowodowane przez wątek działający w chwili wystąpienia problemu. Pełny umożliwia zarejestrowanie całej zawartości pamięci systemu, gdy aplikacja nieoczekiwanie przestanie działać. Pełny zrzut pamięci może zawierać dane z procesów, które były uruchomione w trakcie jego tworzenia. Katalog docelowy katalog, w którym po wystąpieniu awarii zostanie zapisany zrzut pamięci. Otwórz folder diagnostyki aby otworzyć ten katalog w nowym oknie Eksploratora Windows, należy kliknąć opcję Otwórz Dział obsługi klienta Przesyłanie danych konfiguracji systemu z menu rozwijanego należy wybrać opcję Zawsze przesyłaj lub opcję Pytaj przed przesłaniem, aby przed wysłaniem danych wyświetlany był odpowiedni monit. 141

142 Klaster Opcja Włącz klaster jest włączana automatycznie, gdy klaster ESET zostanie skonfigurowany. Można ją wyłączyć ręcznie w oknie Ustawienia zaawansowane, klikając ikonę przełącznika (jest to wygodne, gdy istnieje potrzeba zmiany konfiguracji bez wprowadzania zmian na pozostałych węzłach klastra ESET). Przełącznik tylko włącza lub wyłącza działanie klastra ESET. Aby prawidłowo skonfigurować lub zniszczyć klaster, należy użyć opcji Kreator konfiguracji klastrów lub zniszczyć klaster, korzystając z sekcji Narzędzia > Klaster, znajdującej się w głównym oknie programu. Klaster ESET nieskonfigurowany i wyłączony: 142

143 Klaster ESET prawidłowo skonfigurowany wraz ze swoimi szczegółami i opcjami: Aby uzyskać więcej informacji dotyczących klastra ESET, kliknij tutaj Interfejs użytkownika W sekcji Interfejs użytkownika można skonfigurować działanie graficznego interfejsu użytkownika programu. Można dostosować wygląd programu i stosowane w nim efekty wizualne. Aby zapewnić maksymalne bezpieczeństwo oprogramowania zabezpieczającego, można zapobiec wprowadzaniu w nim wszelkich nieupoważnionych zmian przy użyciu narzędzia Ustawienia dostępu. Konfigurując ustawienia sekcji Alerty i powiadomienia, można zmienić zachowanie powiadomień systemowych i alertów dotyczących wykrytych zagrożeń. Pozwala to dostosować je do swoich potrzeb. Jeśli wyświetlanie niektórych powiadomień zostanie wyłączone, będą się one pojawiać w obszarze Wyłączone komunikaty i stany. Można tam sprawdzać stan powiadomień, wyświetlać dodatkowe informacje na ich temat oraz usuwać je z tego okna. Integracja z menu kontekstowym jest wyświetlana po kliknięciu wybranego obiektu prawym przyciskiem myszy. Przy użyciu tego narzędzia można zintegrować elementy sterujące programu ESET File Security w menu kontekstowym. Tryb prezentacji jest przydatny dla użytkowników, którzy chcą korzystać z aplikacji bez zakłóceń powodowanych przez wyskakujące okna, zaplanowane zadania czy komponenty potencjalnie obciążające zasoby systemowe. Elementy interfejsu użytkownika Opcje konfiguracji interfejsu użytkownika w programie ESET File Security umożliwiają dostosowanie środowiska pracy do potrzeb użytkownika. Te opcje konfiguracji są dostępne w gałęzi Interfejs użytkownika > Elementy interfejsu użytkownika drzewa ustawień zaawansowanych programu ESET File Security. W sekcji Elementy interfejsu użytkownika można dostosować środowisko pracy. Jeśli elementy graficzne wpływają 143

144 na obniżenie wydajności komputera lub powodują inne problemy, w interfejsie użytkownika należy ustawić tryb Cichy. W menu rozwijanym Tryb uruchamiania interfejsu GUI do wyboru są następujące tryby uruchamiania graficznego interfejsu użytkownika: Pełny umożliwia wyświetlanie pełnego interfejsu GUI. Minimalny graficzny interfejs użytkownika jest uruchomiony, ale wyświetlane są tylko powiadomienia dla użytkownika. Ręczny nie są wyświetlane powiadomienia ani alerty. Ten tryb może uruchomić każdy z użytkowników. Cichy nie są wyświetlane powiadomienia ani alerty. Ten tryb może uruchomić wyłącznie administrator. Aby wyłączyć ekran powitalny programu ESET File Security, należy usunąć zaznaczenie opcji Pokaż ekran powitalny przy uruchamianiu. Aby program ESET File Security emitował sygnał dźwiękowy po wystąpieniu ważnego zdarzenia podczas skanowania, np. po wykryciu zagrożenia lub po zakończeniu skanowania, należy zaznaczyć opcję Użyj sygnałów dźwiękowych. Zintegruj z menu kontekstowym włącza integrację elementów sterujących programu ESET File Security z menu kontekstowym. Stany kliknięcie opcji Edytuj umożliwia zarządzanie stanami wyświetlanymi na panelu Monitorowanie w menu głównym (ich włączanie lub wyłączanie). Stany aplikacji umożliwia włączanie i wyłączanie wyświetlania stanu na panelu Stan ochrony w menu głównym. 144

145 Alerty i powiadomienia Sekcja Alerty i powiadomienia w obszarze Interfejs użytkownika umożliwia skonfigurowanie sposobu obsługi alertów o zagrożeniach i powiadomień systemowych (np. powiadomień o pomyślnych aktualizacjach) w programie ESET File Security. Można tu też ustawić czas wyświetlania i przezroczystość powiadomień wyświetlanych na pasku zadań (ta opcja dotyczy tylko systemów operacyjnych obsługujących takie powiadomienia). Okna alertów Wyłączenie opcji Wyświetlaj alerty spowoduje anulowanie wszystkich okien alertów i jest zalecane jedynie w specyficznych sytuacjach. W przypadku większości użytkowników zaleca się pozostawienie ustawienia domyślnego tej opcji (włączona). Powiadomienia na pulpicie Powiadomienia na pulpicie i porady w dymkach mają charakter informacyjny i nie wymagają działań ze strony użytkownika. Są one wyświetlane w obszarze powiadomień w prawym dolnym rogu ekranu. Aby włączyć wyświetlanie powiadomień na pulpicie, należy zaznaczyć opcję Wyświetlaj powiadomienia na pulpicie. Szczegółowe opcje, takie jak czas wyświetlania powiadomienia i przezroczystość okien, można zmodyfikować poniżej. Włączenie opcji Nie wyświetlaj powiadomień przy uruchamianiu aplikacji w trybie pełnoekranowym umożliwia blokowanie wszystkich powiadomień, które nie są interaktywne. Okna komunikatów Aby wyskakujące okna były automatycznie zamykane po upływie określonego czasu, należy zaznaczyć opcję Automatycznie zamykaj okna komunikatów. Jeśli użytkownik nie zamknie okna alertu ręcznie, zostanie ono zamknięte automatycznie po upływie określonego czasu. Z menu rozwijanego Minimalna szczegółowość zdarzeń do wyświetlenia można wybrać stopień ważności alertów i 145

146 powiadomień, które będą wyświetlane. Dostępne są następujące opcje: Diagnostyczne rejestrowanie informacji potrzebnych do ulepszenia konfiguracji programu, a także wszystkich rekordów wyższych kategorii. Informacyjne rejestrowanie komunikatów informacyjnych, w tym powiadomień o pomyślnych aktualizacjach, oraz wszystkich rekordów wyższych kategorii. Ostrzeżenia rejestrowanie błędów krytycznych oraz komunikatów ostrzegawczych. Błędy rejestrowanie błędów typu Błąd podczas pobierania pliku oraz błędów krytycznych. Krytyczne rejestrowanie tylko błędów krytycznych (np. błąd uruchomienia ochrony antywirusowej). Ostatnia funkcja w tej sekcji umożliwia określenie miejsca docelowego powiadomień w środowisku wielu użytkowników. W polu W systemach z wieloma użytkownikami wyświetlaj powiadomienia na ekranie tego użytkownika można wskazać użytkownika, który będzie otrzymywać powiadomienia dotyczące systemu i innych kwestii w środowisku umożliwiającym równoczesne połączenie wielu użytkownikom. Zazwyczaj taką osobą jest administrator systemu lub administrator sieci. Ta opcja jest szczególnie przydatna w przypadku serwerów terminali, pod warunkiem, że wszystkie powiadomienia systemowe są wysyłane do administratora Ustawienia dostępu Aby zapewnić maksymalny poziom ochrony systemu, program ESET File Security musi być prawidłowo skonfigurowany. Wszelkie niefachowe zmiany mogą spowodować utratę cennych danych. Aby zapobiec nieautoryzowanemu wprowadzaniu zmian, parametry konfiguracji programu ESET File Security można chronić za pomocą hasła. Ustawienia konfiguracyjne dotyczące ochrony hasłem znajdują się w podmenu Ustawienia dostępu w menu Interfejs użytkownika w drzewie ustawień zaawansowanych. Chroń ustawienia hasłem umożliwia zablokowanie lub odblokowanie ustawień programu. Kliknięcie umożliwia otwarcie okna Ustawienie hasła. Aby określić lub zmienić hasło służące do ochrony ustawień, należy kliknąć opcję Ustaw hasło. Wymagaj pełnych uprawnień administratora w przypadku kont administratora z ograniczonymi uprawnieniami tę 146

147 opcję należy zaznaczyć, aby użytkownik bez uprawnień administratora musiał podać nazwę użytkownika i hasło administratora w przypadku modyfikowania określonych ustawień systemowych (opcja podobna do funkcji Kontrola konta użytkownika w systemie Windows Vista). Modyfikacje te obejmują wyłączenie modułów ochrony Hasło Aby zapobiec nieautoryzowanemu wprowadzaniu zmian, ustawienia programu ESET File Security można chronić za pomocą hasła Ustawienie hasła Aby zabezpieczyć parametry ustawień programu ESET File Security przed nieautoryzowaną modyfikacją, należy ustalić nowe hasło. Aby zmienić istniejące hasło, stare hasło należy wpisać w polu Stare hasło, w polach Nowe hasło i Potwierdź hasło należy wprowadzić nowe hasło, a następnie kliknąć przycisk OK. Podanie hasła będzie wymagane w przypadku jakichkolwiek przyszłych modyfikacji ustawień programu ESET File Security Pomoc Naciśnięcie klawisza F1 lub kliknięcie przycisku? powoduje wyświetlenie okna pomocy online. Jest to podstawowe źródło treści pomocy. Dostęp do materiałów pomocy zainstalowanych wraz z programem można jednak również uzyskać w trybie offline. Pomoc w trybie offline jest otwierana wówczas, gdy użytkownik nie ma połączenia z Internetem. Po nawiązaniu połączenia z Internetem automatycznie zostanie wyświetlona najnowsza wersja Pomocy online ESET Shell Istnieje możliwość skonfigurowania uprawnień dostępu do ustawień i funkcji produktu oraz danych przy użyciu poleceń eshell. W tym celu należy zmienić ustawienie Zasady wykonywania powłoki ESET Shell. Ustawienie domyślne to Ograniczona obsługa skryptów, ale w razie potrzeby można je zmienić, wprowadzając ustawienie Wyłączone, Tylko do odczytu lub Pełny dostęp. Wyłączone brak możliwości używania interfejsu eshell. Możliwa jest jedynie konfiguracja samego interfejsu eshell w kontekście ui eshell. Można dostosować wygląd interfejsu eshell, ale nie można uzyskać dostępu do żadnych ustawień produktów zabezpieczających ani danych. Tylko do odczytu interfejs eshell może być używany jako narzędzie do monitorowania. Możliwe jest wyświetlanie wszystkich ustawień, zarówno w trybie interaktywnym, jak i wsadowym, ale nie można modyfikować żadnych ustawień, funkcji ani danych. Ograniczona obsługa skryptów w trybie interaktywnym można wyświetlać i modyfikować wszystkie ustawienia, funkcje i dane. W trybie wsadowym interfejs jest w trybie tylko do odczytu nie można modyfikować ustawień ani danych. Ustawienia i dane można jednak modyfikować przy użyciu podpisanych plików wsadowych. Pełny dostęp dostęp do wszystkich ustawień jest nieograniczony, zarówno w trybie interaktywnym, jak i w trybie wsadowym. Można wyświetlać i modyfikować dowolne ustawienia. Aby korzystać z tego trybu, należy używać konta administratora, a jeśli włączona jest obsługa UAC, wymagane jest również podwyższenie poziomu uprawnień. 147

148 Wyłączanie interfejsu GUI na serwerze terminali W tym rozdziale omówiono wyłączanie graficznego interfejsu użytkownika (GUI) w programie ESET File Security działającym na serwerze terminali systemu Windows dla sesji użytkownika. Graficzny interfejs użytkownika programu ESET File Security jest zwykle uruchamiany po zalogowaniu się zdalnego użytkownika na serwerze i po utworzeniu przez niego sesji terminalu. To działanie jest przeważnie niepożądane w przypadku serwerów terminali. Aby wyłączyć interfejs GUI dla sesji terminali, należy wykonać poniższe kroki: 1. Wprowadź polecenie regedit.exe 2. Przejdź do węzła HKEY_LOCAL_MACHINE\SOFTWARE\Microsof t\windows\currentversion\run 3. Kliknij prawym przyciskiem myszy wartość egui i wybierz opcję Modyf ikuj 4. Dodaj parametr /terminal na końcu istniejącego wyrażenia. Poniżej przedstawiono przykład wartości elementu egui: Aby cofnąć tę zmianę i włączyć automatyczne uruchamianie interfejsu GUI programu ESET File Security, należy usunąć parametr /terminal z wartości rejestru. Aby przejść do wartości egui w rejestrze, należy powtórzyć kroki od 1 do Wyłączone komunikaty i stany Komunikaty wymagające potwierdzeń wyświetlenie listy komunikatów potwierdzeń, gdzie można wybrać, które elementy mają być wyświetlane, a które nie. Komunikaty o stanie aplikacji umożliwia włączanie i wyłączanie wyświetlania stanu na panelu Stan ochrony w menu głównym Komunikaty wymagające potwierdzeń To okno dialogowe wyświetla komunikaty wymagające potwierdzeń, które program ESET File Security wyświetla przed wykonaniem każdego działania. Zaznacz lub odznacz pole wyboru obok każdego z komunikatów potwierdzeń, by go włączyć lub wyłączyć Komunikaty o stanie aplikacji W tym oknie dialogowym użytkownik może zaznaczyć lub odznaczyć, które stany aplikacji będą lub nie będą wyświetlane. Na przykład podczas wstrzymania ochrony antywirusowej i antyspyware lub gdy włączony jest Tryb prezentacji. Stan aplikacji będzie również wyświetlany, jeśli produkt nie został aktywowany lub wygasła jego licencja. 148

149 Ikona na pasku zadań Dostęp do części najważniejszych opcji konfiguracji oraz funkcji można uzyskać po kliknięciu prawym przyciskiem myszy ikony na pasku zadań. Wstrzymaj ochronę powoduje wyświetlenie okna dialogowego potwierdzenia, które służy do wyłączenia ochrony antywirusowej i antyspyware zabezpieczającej przed atakami przez kontrolowanie komunikacji w zakresie plików, stron internetowych i poczty . Menu rozwijane Przedział czasowy przedstawia okres, przez który ochrona antywirusowa i antyspyware będzie wyłączona. Ustawienia zaawansowane wybranie tej opcji powoduje wyświetlenie drzewa Ustawienia zaawansowane. Dostęp do ustawień zaawansowanych można również uzyskać poprzez naciśnięcie klawisza F5 lub wybranie kolejno opcji Ustawienia > Ustawienia zaawansowane. Pliki dziennika pliki dziennika zawierają informacje o wszystkich ważnych zdarzeniach, jakie miały miejsce w programie, oraz udostępniają zestawienie wykrytych zagrożeń. Ukryj ESET File Security umożliwia ukrycie na ekranie okna programu ESET File Security. Resetuj układ okna umożliwia przywrócenie domyślnych wymiarów i położenia okna programu ESET File Security. Aktualizacja bazy sygnatur wirusów umożliwia uruchomienie aktualizacji bazy sygnatur wirusów w celu zapewnienia odpowiedniego poziomu ochrony przed szkodliwym kodem. Informacje zapewnia dostęp do informacji o systemie, szczegółowych informacji o zainstalowanej wersji programu ESET File Security i zainstalowanych modułach programu, a także o dacie ważności. Informacje dotyczące 149

150 systemu operacyjnego oraz zasobów systemowych można znaleźć u dołu strony Wstrzymanie ochrony Zawsze w przypadku tymczasowego wstrzymania ochrony antywirusowej i antyspyware przy użyciu ikony systemu na pasku zadań pojawi się okno dialogowe Tymczasowe wstrzymanie ochrony. Spowoduje to wyłączenie ochrony przed szkodliwym oprogramowaniem na wybrany czas (aby wyłączyć tę ochronę na stałe, należy to zrobić w obszarze Ustawienia zaawansowane). Należy zachować ostrożność, ponieważ wyłączenie ochrony może spowodować narażenie komputera na zagrożenia Menu kontekstowe Menu kontekstowe jest wyświetlane po kliknięciu obiektu (pliku) prawym przyciskiem myszy. W menu wyszczególnione są wszystkie czynności, które można wykonać w odniesieniu do obiektu. Elementy sterujące programu ESET File Security można zintegrować z menu kontekstowym. Ustawienia tej funkcji są dostępne w drzewie ustawień zaawansowanych po wybraniu opcji Interfejs użytkownika > Elementy interfejsu użytkownika. Zintegruj z menu kontekstowym włącza integrację elementów sterujących programu ESET File Security z menu kontekstowym. 150

151 8.2.7 Przywracanie wszystkich ustawień w sekcji Możliwość przywrócenia w module domyślnych ustawień skonfigurowanych przez firmę ESET. Należy pamiętać, że wszelkie wprowadzone zmiany zostaną utracone w przypadku kliknięcia opcji Przywróć domyślne. Przywróć zawartość tabel po włączeniu tej opcji reguły, zadania oraz profile, które zostały dodane ręcznie lub automatycznie zostaną utracone Przywracanie ustawień domyślnych Wszystkie ustawienia programu w każdym z jego modułów zostaną przywrócone do stanu, w którym były bezpośrednio po instalacji. 8.3 Import i eksport ustawień Opcje importowania i eksportowania konfiguracji programu ESET File Security są dostępne w obszarze Ustawienia po kliknięciu opcji Importuj/eksportuj ustawienia. Importowanie i eksportowanie ustawień odbywa się z użyciem plików XML. Opcje importowania i eksportowania są przydatne, gdy konieczne jest utworzenie kopii zapasowej bieżącej konfiguracji programu ESET File Security. Można wykorzystać ją później w celu zastosowania tych samych ustawień na innych komputerach. 151

152 8.4 Harmonogram Opcja Harmonogram znajduje się w menu głównym programu ESET File Security w kategorii Narzędzia. Okno Harmonogram zawiera listę wszystkich zaplanowanych zadań oraz ich właściwości konfiguracyjne, takie jak wstępnie zdefiniowany dzień, godzina i używany profil skanowania. Domyślnie w oknie Harmonogram są wyświetlane następujące zaplanowane zadania: Administrowanie dziennikami Regularne aktualizacje automatyczne Aktualizacja automatyczna po nawiązaniu połączenia modemowego Aktualizacja automatyczna po zalogowaniu użytkownika Automatyczne sprawdzanie plików przy uruchamianiu (po zalogowaniu użytkownika) Automatyczne sprawdzanie plików przy uruchamianiu (po pomyślnej aktualizacji bazy sygnatur wirusów) Automatyczne pierwsze skanowanie Aby zmodyfikować konfigurację istniejącego zaplanowanego zadania (zarówno domyślnego, jak i zdefiniowanego przez użytkownika), należy kliknąć prawym przyciskiem myszy zadanie i wybrać opcję Edytuj lub wybrać zadanie, które ma zostać zmodyfikowane, i kliknąć przycisk Edytuj. 152

153 8.4.1 Szczegóły zadania Należy wpisać nazwę zadania i wybrać jedną spośród opcji Typ zadania, a następnie kliknąć przycisk Dalej: Uruchom aplikację zewnętrzną Administrowanie dziennikami Sprawdzanie plików przy uruchamianiu systemu Tworzenie zapisu bieżącego stanu komputera Skanowanie komputera na żądanie Pierwsze skanowanie Aktualizacja Wykonanie zadania zadanie zostanie uruchomione tylko raz, w określonym dniu i o określonej godzinie. Zadanie może zostać pominięte, gdy komputer działa na zasilaniu akumulatorowym lub gdy jest wyłączony. Spośród poniższych opcji należy wybrać termin uruchomienia zadania, a następnie kliknąć Dalej: W następnym zaplanowanym terminie Jak najwcześniej Natychmiast, gdy czas od ostatniego uruchomienia przekroczy określoną wartość (godz.) Częstotliwość wykonywania zadania jednorazowo Wykonanie zadania zadanie zostanie uruchomione tylko raz, w określonym dniu i o określonej godzinie Częstotliwość wykonywania zadania wielokrotnie Zadanie będzie wykonywane wielokrotnie, co określony czas. Należy wybrać jedną z dostępnych opcji częstotliwości: Jednorazowo zadanie zostanie wykonane tylko raz, w wybranym dniu o wybranej godzinie. Wielokrotnie zadanie będzie wykonywane w określonych odstępach (podawanych w godzinach). Codziennie zadanie będzie uruchamiane codziennie o określonej godzinie. Cotygodniowo zadanie będzie uruchamiane raz lub kilka razy w tygodniu, w wybranych dniach i o ustalonych godzinach. Po wystąpieniu zdarzenia zadanie będzie wykonywane po wystąpieniu określonego zdarzenia. Pomiń zadanie, gdy komputer jest zasilany z baterii zadanie nie zostanie uruchomione, gdy w momencie jego planowego uruchomienia komputer będzie działać na zasilaniu akumulatorowym. Dotyczy to również komputerów pracujących przy zasilaniu awaryjnym (UPS) Częstotliwość wykonywania zadania codziennie Zadanie będzie wykonywane codziennie o określonej godzinie Częstotliwość wykonywania zadania cotygodniowo Zadanie będzie wykonywane w wybranym dniu tygodnia o wybranej godzinie Częstotliwość wykonywania zadania po wystąpieniu zdarzenia Zadanie może zostać uruchomione po wystąpieniu dowolnego z następujących zdarzeń: Każde uruchomienie komputera Pierwsze uruchomienie komputera każdego dnia Nawiązanie połączenia modemowego z Internetem/wirtualną siecią prywatną Pomyślna aktualizacja bazy sygnatur wirusów Pomyślna aktualizacja komponentów programu Zalogowanie użytkownika Wykrycie zagrożenia 153

154 Tworząc harmonogram zadań wykonywanych po wystąpieniu określonego zdarzenia, można określić minimalny odstęp czasu między dwoma kolejnymi wykonaniami danego zadania. Na przykład, jeśli użytkownik loguje się na komputerze kilka razy dziennie, może wybrać odstęp 24-godzinny, aby dane zadanie było wykonywane tylko po pierwszym zalogowaniu danego dnia, a potem dopiero w następnym dniu Szczegóły zadania uruchamianie aplikacji Na tej karcie można zaplanować uruchomienie aplikacji zewnętrznej. Plik wykonywalny wybierz plik wykonywalny z drzewa katalogów, kliknij opcję... albo wpisz ścieżkę ręcznie. Folder roboczy podaj folder roboczy aplikacji. Wszystkie pliki tymczasowe tworzone przez aplikację wskazaną w polu Plik wykonywalny będą zapisywane w tym katalogu. Parametry podaj parametry wiersza polecenia dla aplikacji (opcjonalnie). Aby zatwierdzić zadanie, kliknij przycisk Zakończ Pominięte zadanie Jeśli zadanie nie mogło zostać wykonane o ustalonej porze, można określić, kiedy ma to nastąpić: W następnym zaplanowanym terminie zadanie zostanie wykonane o zaplanowanej godzinie (na przykład po upływie 24 godzin). Jak najwcześniej zadanie zostanie uruchomione jak najwcześniej po ustąpieniu przyczyn uniemożliwiających jego wykonanie. Natychmiast, gdy czas od ostatniego uruchomienia przekroczy określoną wartość Czas od ostatniego uruchomienia (godz.) po wybraniu tej opcji uruchomienie zadania będzie zawsze powtarzane po upływie podanego czasu (w godzinach) Szczegóły zaplanowanego zadania To okno dialogowe przedstawia szczegółowe informacje dotyczące wybranego zaplanowanego zadania. Aby je otworzyć, należy dwukrotnie kliknąć niestandardowe zadanie lub kliknąć prawym przyciskiem myszy niestandardowe zaplanowane zadanie, a następnie kliknąć pozycję Pokaż szczegóły zadania Profile aktualizacji Aby można było aktualizować program przy użyciu dwóch serwerów aktualizacji, konieczne jest utworzenie dwóch różnych profili aktualizacji. Jeśli nie powiedzie się pobieranie plików aktualizacji w ramach pierwszego profilu, program automatycznie przełączy się na drugi. Takie rozwiązanie jest odpowiednie na przykład dla notebooków, które zwykle korzystają z serwera aktualizacji w sieci lokalnej, ale ich właściciele często łączą się z Internetem poprzez inne sieci. Jeśli w takiej sytuacji próba aktualizacji przy użyciu pierwszego profilu nie powiedzie się, automatycznie zostanie użyty drugi profil w celu pobrania plików aktualizacji z serwerów aktualizacji firmy ESET. Więcej informacji na temat profili aktualizacji można znaleźć w rozdziale Aktualizacja. 154

155 Tworzenie nowych zadań Aby utworzyć nowe zadanie w Harmonogramie, należy kliknąć przycisk Dodaj zadanie lub kliknąć prawym przyciskiem myszy i z menu kontekstowego wybrać opcję Dodaj. Dostępnych jest pięć typów zaplanowanych zadań: Uruchom aplikację zewnętrzną umożliwia zaplanowanie uruchomienia aplikacji zewnętrznej. Administrowanie dziennikami pliki dziennika zawierają także pozostałości usuniętych rekordów. To zadanie regularnie przeprowadza optymalizację rekordów w plikach dzienników w celu usprawnienia działania. Sprawdzanie plików przy uruchamianiu systemu umożliwia sprawdzenie plików, które mogą być wykonywane podczas uruchamiania systemu lub logowania. Tworzenie migawki stanu komputera tworzy migawkę stanu komputera w narzędziu ESET SysInspector jest to szczegółowa analiza komponentów systemu (na przykład sterowników i aplikacji) oraz ocena poziomu ryzyka dotyczącego każdego komponentu. Skanowanie komputera na żądanie umożliwia skanowanie plików i folderów na komputerze. Pierwsze skanowanie domyślnie 20 minut po zakończeniu instalacji lub ponownym uruchomieniu zostanie przeprowadzone skanowanie komputera jako zadanie o niskim priorytecie. Aktualizacja umożliwia zaplanowanie zadania polegającego na aktualizowaniu bazy sygnatur wirusów i aktualizowaniu modułów programu. Ponieważ jednym z najczęściej używanych zadań planowanych jest Aktualizacja, zostanie przedstawiony sposób dodawania nowego zadania aktualizacji. W polu Nazwa zadania należy wprowadzić nazwę zadania. Z menu rozwijanego Typ zadania należy wybrać opcję Aktualizacja, a następnie należy kliknąć przycisk Dalej. W celu aktywowania zadania należy użyć przełącznika Włączono (można to zrobić później poprzez zaznaczenie lub odznaczenie pola wyboru na liście zaplanowanych zadań), kliknąć Dalej i wybrać jedną z opcji określających częstotliwość jego wykonywania: Jednorazowo, Wielokrotnie, Codziennie, Cotygodniowo i Po wystąpieniu zdarzenia. Na podstawie wybranej częstotliwości wyświetlane są monity o różne parametry aktualizacji. Następnie zdefiniuj czynność podejmowaną w przypadku, gdy nie można wykonać lub zakończyć zadania w zaplanowanym czasie. Dostępne są następujące trzy opcje: Czekaj do następnego zaplanowanego terminu Jak najwcześniej Natychmiast, gdy czas od ostatniego uruchomienia przekroczy określoną wartość (interwał można określić za pomocą pola przewijania Czas od ostatniego uruchomienia) W następnym kroku zostanie wyświetlone okno podsumowania z informacjami na temat bieżącego zaplanowanego zadania. Kliknij Zakończ, gdy zakończysz wprowadzanie zmian. Zostanie wyświetlone okno dialogowe umożliwiające wybranie profili używanych z zaplanowanym zadaniem. Można tam ustawić profil główny i alternatywny. Profil alternatywny jest używany, gdy zadanie nie może być wykonane przy użyciu profilu głównego. Po potwierdzeniu za pomocą przycisku Zakończ nowe zaplanowane zadanie zostanie dodane do listy zaplanowanych zadań. 155

156 8.5 Kwarantanna Główną funkcją kwarantanny jest bezpieczne przechowywanie zainfekowanych plików. Pliki należy poddawać kwarantannie w przypadku, gdy nie można ich wyleczyć, gdy ich usunięcie nie jest bezpieczne lub zalecane oraz gdy są one nieprawidłowo wykrywane przez program ESET File Security. Kwarantanną można objąć dowolny plik. Takie działanie jest zalecane, jeśli plik zachowuje się w podejrzany sposób, ale nie jest wykrywany przez skaner antywirusowy. Pliki poddane kwarantannie można przesłać do analizy w laboratorium firmy ESET. Pliki przechowywane w folderze kwarantanny mogą być wyświetlane w tabeli zawierającej datę i godzinę poddania kwarantannie, ścieżkę do pierwotnej lokalizacji zainfekowanego pliku, rozmiar pliku w bajtach, powód (np. obiekt dodany przez użytkownika) oraz liczbę zagrożeń (np. jeśli plik jest archiwum zawierającym wiele infekcji). Poddawanie plików kwarantannie Program ESET File Security automatycznie poddaje kwarantannie usunięte pliki (jeśli nie wyłączono tej opcji w oknie alertu). W razie potrzeby można ręcznie poddać kwarantannie dowolny podejrzany plik, klikając przycisk Kwarantanna. Pliki poddane kwarantannie zostaną usunięte z ich pierwotnej lokalizacji. Tę samą czynność można również wykonać z poziomu menu kontekstowego. Należy kliknąć prawym przyciskiem myszy w oknie Kwarantanna i wybrać polecenie Kwarantanna. Przywracanie plików z kwarantanny Pliki poddane kwarantannie można przywrócić do ich pierwotnej lokalizacji. Służy do tego funkcja Przywróć, która jest dostępna w oknie Kwarantanna w menu kontekstowym po kliknięciu danego pliku prawym przyciskiem myszy. Jeśli plik został oznaczony jako potencjalnie niepożądana aplikacja, dostępna będzie również opcja Przywróć i wyłącz ze skanowania. Więcej informacji na temat aplikacji tego typu można znaleźć w słowniczku. Menu kontekstowe zawiera także opcję Przywróć do..., umożliwiającą przywrócenie pliku do lokalizacji innej niż ta, z której został usunięty. 156