How it Works
Eset
Loading...
N
P
R
S
Loading...
Loading...
SMART SECURITY 4
Datasheet
4 pgs284.29 Kb0
Datasheet
2 pgs51.77 Kb0
DATASHEET [de]
2 pgs518.85 Kb0
GuÍa RÁpida De InstalaciÓn [es]
16 pgs1.54 Mb0
Manual De L'utilisateur [fr]
50 pgs3.52 Mb0
Quick installation guide [es]
16 pgs1.56 Mb0
Quick start guide
11 pgs488.43 Kb0
Quick start guide [uk]
9 pgs269.66 Kb0
Quick Start Manual
16 pgs2.67 Mb0
User Manual
16 pgs3.36 Mb0
User Manual
40 pgs4.32 Mb0
User Manual
46 pgs3.68 Mb0
User Manual
48 pgs2.92 Mb0
User Manual
44 pgs3.34 Mb0
User Manual [bg]
46 pgs4.66 Mb0
User Manual [bg]
50 pgs3.6 Mb0
User Manual [bs]
43 pgs3.15 Mb0
User Manual [da]
45 pgs6.13 Mb0
User Manual [da]
48 pgs3.01 Mb0
User Manual [de]
50 pgs3.56 Mb0
User Manual [es]
50 pgs3.58 Mb0
User Manual [et]
47 pgs3.25 Mb0
User Manual [et]
45 pgs3.18 Mb0
User Manual [fi]
48 pgs3.1 Mb0
User Manual [fi]
45 pgs6.08 Mb0
User Manual [fr]
50 pgs3.49 Mb0
User Manual [he]
134 pgs7.36 Mb0
User Manual [hr]
45 pgs3.4 Mb0
User Manual [ko]
45 pgs3.23 Mb0
User Manual [ko]
43 pgs3.09 Mb0
User Manual [nl]
49 pgs3.23 Mb0
User Manual [no]
44 pgs5.96 Mb0
User Manual [no]
49 pgs3.06 Mb0
User Manual [pl]
50 pgs3.36 Mb0
User Manual [pl]
24 pgs1.18 Mb0
User Manual [pl]
46 pgs6.59 Mb0
User Manual [pt]
46 pgs6.55 Mb0
User Manual [pt]
48 pgs3.15 Mb0
User Manual [ro]
49 pgs3.15 Mb0
User Manual [ro]
46 pgs6.5 Mb0
User Manual [ru]
47 pgs4.84 Mb0
User Manual [sk]
16 pgs2.74 Mb0
User Manual [sl]
16 pgs3.19 Mb0
User Manual [sl]
44 pgs3.45 Mb0
User Manual [sl]
47 pgs3.33 Mb0
User Manual [sv]
45 pgs6.05 Mb0
User Manual [sv]
48 pgs2.97 Mb0
User Manual [th]
46 pgs3.39 Mb0
User Manual [th]
44 pgs4.09 Mb0
User Manual [tr]
48 pgs3.11 Mb0
User Manual [tr]
44 pgs6.21 Mb0
User Manual [uk]
47 pgs3.26 Mb0
User Manual [zh]
45 pgs3.29 Mb0
User Manual [zh]
43 pgs4.09 Mb0

Eset SMART SECURITY 4 User Manual [pl]

Download
Page 1
Podręcznik użytkownika
(dotyczy programu w wersji 4.2 lub nowszej)
Microsoft® Windows® 7 / Vista / XP / 2000 / 2003 / 2008
Page 2
Copyright © 2010 ESET, spol. s r. o.
Program ESET Smart Security 4 został opracowany przez firmę ESET, spol. s r.o. Więcej informacji można uzyskać w witrynie www.eset.com. Wszelkie prawa zastrzeżone. Żadna część niniejszej dokumentacji nie może być powielana, przechowywana w systemie pobierania ani przesyłana w żadnej formie bądź przy użyciu jakichkolwiek środków elektronicznych, mechanicznych, przez fotokopiowanie, nagrywanie, skanowanie lub w inny sposób bez uzyskania pisemnego zezwolenia autora. Firma ESET, spol. s r.o. zastrzega sobie prawo do wprowadzania zmian w dowolnych elementach opisanego oprogramowania bez uprzedniego powiadomienia.
Dział obsługi klienta — cały świat: www.eset.eu/support Dział obsługi klienta — Ameryka Północna: www.eset.com/support
REV.20100407-016
Spis treści
1. ESET Smart Security 4 .............................4
1.1 Nowości ....................................................................... 4
1.2 Wymagania systemowe ................................................. 5
2. Instalacja ..............................................6
2.1 Instalacja typowa ......................................................... 6
2.2 Instalacja niestandardowa ............................................. 7
2.3 Korzystanie z oryginalnych ustawień .............................. 9
2.4 Wprowadzanie nazwy użytkownika i hasła ...................... 9
2.5 Skanowanie komputera na żądanie ................................ 9
3. Przewodnik dla początkujących ............. 10
3.1 Tryby interfejsu użytkownika — wprowadzenie ...............10
3.1.1 Sprawdzanie działania systemu ............................ 10
3.1.2 Postępowanie w przypadku, gdy program
3.2 Ustawienia aktualizacji ..................................................11
3.3 Ustawienia strefy zaufanej .............................................11
3.4 Ustawienia serwera proxy ............................................. 12
3.5 Ochrona ustawień ........................................................12
4. Praca z programem ESET Smart Security .13
4.1 Antywirus i antyspyware .............................................. 13
4.1.1.1.3 Dodatkowe aparatu ThreatSense dla nowo
4.1.1.1.4 Ustawienia zaawansowane ...................................13
4.1.1.4 Sprawdzanie skuteczności ochrony w czasie
4.1.1.5 Co zrobić, jeśli ochrona w czasie rzeczywistym
4.1.3 Ochrona programów poczty e-mail .......................14
4.1.3.1 Sprawdzanie protokołu POP3 ................................15
4.1.5.1.1 Skanowanie standardowe .....................................18
4.1.5.1.2 Skanowanie niestandardowe ................................18
Page 3
4.2 Zapora osobista ...........................................................22
4.2.5 Konfigurowanie i używanie reguł .......................... 23
4.2.8 Zapisywanie w dzienniku .....................................26
4.3 Ochrona przed spamem ................................................ 27
4.3.1 Uczący się ochrony przed spamem ........................ 27
4.3.1.1 Dodawanie adresów do białej listy ........................ 27
4.4 Aktualizowanie programu .............................................27
4.4.1.2.4.1 Aktualizowanie przy użyciu kopii dystrybucyjnej ..... 30
4.4.1.2.4.2 Rozwiązywanie problemów z aktualizacją przy
użyciu kopii dystrybucyjnej .................................... 31
4.4.2 Tworzenie zadań aktualizacji ................................. 31
4.5 Harmonogram .............................................................32
4.5.2 Tworzenie nowych zadań ..................................... 32
4.6 Kwarantanna ..............................................................33
4.6.1 Poddawanie plików kwarantannie ........................ 33
4.6.3 Przesyłanie pliku z kwarantanny ........................... 33
4.7 Pliki dziennika ..............................................................33
4.7.1 Administracja dziennikami ...................................34
4.8 Interfejs użytkownika ...................................................34
4.9 ThreatSense.Net ..........................................................35
4.10 Administracja zdalna .................................................... 37
4.11 Licencje .......................................................................37
5. Użytkownik zaawansowany .................. 38
5.1 Ustawienia serwera proxy .............................................38
5.2 Eksportowanie i importowanie ustawień .......................38
5.3 Wiersz poleceń.............................................................38
5.4 ESET SysInspector ........................................................39
5.4.1.4 SysInspector jako komponent programu
5.4.1.5.1 Generowanie skryptów usługi .............................. 42
5.4.1.5.3 Jak wykonywać skrypty usługi .............................. 43
5.5 ESET SysRescue ...........................................................43
5.5.3.1 Użycie programu ESET SysRescue .........................45
6. Słowniczek ..........................................46
6.1 Typy zagrożeń ............................................................. 46
6.2 Typy ataków zdalnych ..................................................47
6.2.1 Ataki typu „odmowa usługi“ (DoS) ......................... 47
6.2.2 Preparowanie pakietów DNS ................................ 47
6.2.5 Desynchronizacja protokołu TCP ...........................48
6.3 Pliki poczty ................................................................. 48
6.3.4.5 Kontrola po stronie serwera..................................50
Page 4
1. ESET Smart Security 4
Program ESET Smart Security 4 jest zaawansowanym technologicznie rozwiązaniem zapewniającym dokładną ochronę przed zagrożeniami. Oferuje on szybkość i precyzję narzędzia ESET NOD32 Antivirus, zapewniane przez najnowszą wersję technologii skanowania ThreatSense® oraz ściśle dostosowane funkcje zapory osobistej i ochrony przed spamem. W wyniku tego połączenia powstał inteligentny system, który w porę ostrzega przed atakami iszkodliwymi aplikacjami zagrażającymi komputerowi.
Program ESET Smart Security nie jest bezładnym zbiorem rozmaitych aplikacji zebranych w jednym pakiecie, tak jak ma to miejsce wprzypadku innych producentów. Powstał on w wyniku długotrwałych prac nad uzyskaniem maksymalnej ochrony przy jednoczesnym minimalnym obciążeniu zasobów systemowych. Zaawansowane techniki oparte na sztucznej inteligencji pozwalają zwyprzedzeniem eliminować przenikające do systemu wirusy, aplikacje szpiegujące, konie trojańskie, robaki, oprogramowanie reklamowe i programy typu rootkit oraz inne formy ataków zInternetu bez obniżania przy tym wydajności komputera lub zakłócania jego pracy.
1.1 Nowości
Wieloletnie doświadczenie naszych specjalistów pozwoliło opracować całkowicie nową architekturę programu ESET Smart Security, która gwarantuje maksymalną skuteczność wykrywania zagrożeń przy minimalnych wymaganiach systemowych. Nasze niezawodne rozwiązanie w dziedzinie bezpieczeństwa zawiera moduły wyposażone w wiele zaawansowanych opcji. Poniższe zestawienie zawiera skrócone opisy tych modułów.
Antywirus i antyspyware
Ten moduł działa w oparciu o technologię skanowania ThreatSense®, którą po raz pierwszy zastosowano w nagradzanym programie NOD32 Antivirus. W nowej architekturze ESET Smart Security mechanizm ThreatSense® został zoptymalizowany i udoskonalony.
Zapora osobista
Zapora osobista monitoruje całą komunikację między chronionym komputerem a innymi komputerami należącymi do sieci. Zapora osobista ESET jest wyposażona w zaawansowane funkcje opisane poniżej.
Funkcja Opis
Profile Profile umożliwiają sterowanie działaniem
zapory osobistej programu ESET Smart Security. Użytkownicy mogą łatwo modyfikować działanie zapory osobistej dzięki obsłudze wielu profili, z których każdy może zawierać inne reguły.
Uwierzytelnianie strefy
Skanowanie komunikacji sieciowej niskiego poziomu
Obsługa protokołu IPv6
Monitorowanie plików wykonywalnych
Umożliwia użytkownikom zidentyfikowanie strefy, z którą nawiązują połączenie, i(napodstawie tej informacji) zdefiniowanie działania, takiego jak przełączenie profilu zapory i zablokowanie komunikacji ze strefą.
Skanowanie komunikacji sieciowej w warstwie łącza danych umożliwia zaporze osobistej ESET zapobieganie wielu atakom, które w przeciwnym razie pozostałyby niezauważone.
Zapora osobista ESET wyświetla adresy IPv6 ipozwala użytkownikom tworzyć dla nich reguły.
Monitorowanie zmian w plikach wykonywalnych w celu zapobiegania infekcjom. Można zezwalać na modyfikowanie plików należących dopodpisanych (zaufanych) aplikacji.
Funkcja Opis
Udoskonalone leczenie
Tryb skanowania w tle
Mniejsze pliki aktualizacji
Ochrona popularnych klientów poczty e-mail
Inne dodatkowe usprawnienia
Teraz program antywirusowy w sposób inteligentny leczy i usuwa większość wykrytych infekcji bez konieczności działania ze strony użytkownika.
Skanowanie komputera może być przeprowadzane w tle, bez obniżania wydajności systemu.
Optymalizacja silnika skanowania pozwoliła na zmniejszenie rozmiarów plików aktualizacji w stosunku do wersji 2.7. Zwiększono również skuteczność ochrony plików aktualizacji przed uszkodzeniem.
Można obecnie skanować wiadomości przychodzące nie tylko w aplikacji MSOutlook, ale również w programach Outlook Express, Windows Mail, Windows Live Mail i Mozilla Thunderbird.
— Bezpośredni dostęp do systemów plików
w celu zwiększenia szybkości i wydajności działania.
— Blokowanie dostępu do zainfekowanych
plików.
— Optymalizacja pod kątem Centrum
zabezpieczeń systemu Windows, wtymsystemu Vista.
Skanowanie plików zintegrowane zprotokołami HTTP(S) i POP3(S)
System wykrywania włamań
Tryby: interaktywny, oparty na regułach, uczenia się, automatyczny oraz automatyczny zwyjątkami
Zastąpienie wbudowanej Zapory systemu Windows
Skanowanie plików zostało zintegrowane z protokołami aplikacji HTTP(S) i POP3(S). Dzięki temu użytkownicy mają zapewnioną ochronę podczas przeglądania zasobów Internetu i pobierania wiadomości e-mail.
Możliwość rozpoznawania charakteru komunikacji sieciowej i różnych rodzajów ataków z sieci wraz z opcją automatycznego blokowania takiej komunikacji.
Użytkownicy mogą wybrać, czy zapora osobista ma funkcjonować automatycznie, czy też będą interaktywnie ustalać dla niej reguły działania. Komunikacja w trybie opartym na regułach odbywa się zgodnie zregułami zdefiniowanymi przez użytkownika lub administratora sieci. W trybie uczenia się reguły są tworzone izapisywane automatycznie. Służy on do początkowej konfiguracji zapory osobistej.
Produkt zastępuje wbudowaną Zaporę systemu Windows i współdziała z Centrum zabezpieczeń systemu Windows w celu monitorowania stanu zabezpieczeń. Domyślnie instalacja programu ESET Smart Security powoduje wyłączenie Zapory systemu Windows.
4
Page 5
Ochrona przed spamem
1.2 Wymagania systemowe
Ochrona przed spamem odfiltrowuje niechciane wiadomości e-mail, wpływając w ten sposób na wzrost bezpieczeństwa i komfortu komunikacji elektronicznej.
Funkcja Opis
Ocenianie wiadomości przychodzących
Wszystkie wiadomości przychodzące otrzymują ocenę z zakresu od 0 (pożądana wiadomość) do 100 (wiadomość należy do spamu) i zgodnie z nią są przenoszone do folderu Spam lub do niestandardowego folderu utworzonego przez użytkownika. Możliwe jest równoległe skanowanie przychodzących wiadomości e-mail.
Obsługa rozmaitych technik skanowania
— Analiza Bayesa — Skanowanie oparte na regułach — Sprawdzanie w globalnej bazie sygnatur
Pełna integracja z programami pocztowymi
Ochrona przed spamem jest dostępna dla użytkowników programów Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail oraz Mozilla Thunderbird.
Możliwość ręcznego oznaczania spamu
Użytkownik może ręcznie oznaczać lub usuwać zaznaczenie wiadomości e-mail jako spam.
Inne
Funkcja Opis
Aby zapewnić płynne działanie programów ESET Smart Security iESET Smart Security Business Edition, komputer powinien spełniać następujące wymagania dotyczące sprzętu i oprogramowania:
ESET Smart Security:
Windows 2000, XP Procesor 32-bitowy (x86)/64-bitowy (x64)
oczęstotliwości taktowania 400 MHz 128 MB pamięci systemowej RAM 130 MB wolnego miejsca na dysku twardym Karta graficzna Super VGA (800 × 600)
Windows 7, Vista Procesor 32-bitowy (x86)/64-bitowy (x64)
oczęstotliwości taktowania 1 GHz 512 MB pamięci systemowej RAM 130 MB wolnego miejsca na dysku twardym Karta graficzna Super VGA (800 × 600)
ESET Smart Security Business Edition:
Windows 2000, 2000Server, XP,2003Server
Procesor 32-bitowy (x86)/64-bitowy (x64) oczęstotliwości taktowania 400 MHz 128 MB pamięci systemowej RAM 130 MB wolnego miejsca na dysku twardym Karta graficzna Super VGA (800 × 600)
Windows 7, Vista, Windows Server2008
Procesor 32-bitowy (x86)/64-bitowy (x64) oczęstotliwości taktowania 1 GHz 512 MB pamięci systemowej RAM 130 MB wolnego miejsca na dysku twardym Karta graficzna Super VGA (800 × 600)
ESET SysRescue Program ESET SysRescue umożliwia
tworzeniestartowego nośnika CD/DVD/USB zawierającego program ESET Smart Security, który działa niezależnie od systemu operacyjnego. Umożliwia on pozbycie się zsystemu trudnych do usunięcia zagrożeń.
ESET SysInspector Program ESET SysInspector jest teraz
zintegrowany bezpośrednio z programem ESETSmart Security i służy do dokładnego sprawdzania stanu komputera. W przypadku kontaktowania się z naszymi specjalistami przy użyciu formularza dostępnego z poziomu opcji Pomoc i obsługa > Skontaktuj się z pomocą techniczną można załączyć zapis bieżącego stanu z programu ESET SysInspector.
Ochrona dokumentów
Ochrona dokumentów służy do skanowania dokumentów pakietu Microsoft Oce przed ich otwarciem, jak również plików automatycznie pobieranych przez program Internet Explorer (np. elementów Microsoft ActiveX).
Technologia Self Defense
Nowa technologia Self Defense chroni składniki programu ESET Smart Security przed próbami dezaktywacji.
Interfejs użytkownika
Interfejs użytkownika umożliwia teraz pracę w trybie niegraficznym, co pozwala na obsługę programu ESET Smart Security za pomocą klawiatury.
Ulepszona zgodność z czytnikami ekranowymi umożliwia osobom niewidomym i niedowidzącym efektywniejszą obsługę programu.
5
Page 6
2. Instalacja
Po zakupie programu ESET Smart Security z witryny internetowej firmy ESET należy pobrać program instalacyjny. Jest on dostępny wpostaci pakietu ess_nt**_***.msi (ESET Smart Security) lub essbe_ nt**_***.msi (ESET Smart Security Business Edition). Następnie należy uruchomić program instalacyjny, a kreator instalacji poprowadzi użytkownika przez proces podstawowej konfiguracji. Dostępne są dwa typy instalacji o różnych poziomach szczegółowości ustawień:
1. Instalacja typowa
2. Instalacja niestandardowa
Kolejnym krokiem instalacji jest konfigurowanie systemu monitorowania zagrożeń ThreatSense.Net. System monitorowania zagrożeń ThreatSense.Net pomaga zapewnić natychmiastowe iciągłe informowanie firmy ESET o nowych infekcjach, tak aby mogła ona szybko reagować i chronić swoich klientów. System umożliwia zgłaszanie nowych zagrożeń do laboratorium firmy ESET, gdzie są one analizowane, przetwarzane i dodawane do bazy sygnatur wirusów.
2.1 Instalacja typowa
Instalacja typowa jest zalecana dla użytkowników, którzy chcą zainstalować program ESET Smart Security z ustawieniami domyślnymi. Ustawienia domyślne programu zapewniają maksymalny poziom ochrony, odpowiedni w przypadku użytkowników, którzy nie chcą konfigurować ustawień szczegółowych.
Pierwszym, bardzo ważnym krokiem jest wprowadzenie nazwy użytkownika i hasła w celu automatycznego aktualizowania programu. Odgrywa to istotną rolę w zapewnieniu ciągłej ochrony systemu.
Domyślnie zaznaczone jest pole wyboru Włącz system monitorowania zagrożeń ThreatSense.Net, co powoduje włączenie tej funkcji. Aby zmodyfikować szczegółowe ustawienia dotyczące przesyłania podejrzanych plików, kliknij przycisk Ustawienia zaawansowane.
Kolejnym krokiem procesu instalacji jest konfigurowanie wykrywania potencjalnie niepożądanych aplikacji. Potencjalnie niepożądane aplikacje nie muszą być tworzone w złych intencjach, ale mogą negatywnie wpływać na działanie systemu operacyjnego.
Te aplikacje często są dołączane do innych programów i mogą być trudne do zauważenia podczas procesu instalacji. W trakcie instalacji tych aplikacji zazwyczaj wyświetlane jest powiadomienie, jednak mogą one zostać łatwo zainstalowane bez zgody użytkownika.
Wprowadź w odpowiednich polach nazwę użytkownika i hasło, czyli dane uwierzytelniające otrzymane po zakupie lub rejestracji produktu. Jeśli w chwili obecnej nie posiadasz nazwy użytkownika i hasła, zaznacz opcję Wprowadź później nazwę użytkownika i hasło. Dane uwierzytelniające można później wprowadzić w dowolnym momencie bezpośrednio w programie.
6
Wybierz opcję Włącz wykrywanie potencjalnie niepożądanych aplikacji, aby zezwolić programowi ESET Smart Security na wykrywanie zagrożeń tego typu (zalecane).
Ostatnim krokiem instalacji typowej jest potwierdzenie instalacji poprzez kliknięcie przycisku Instaluj.
Page 7
2.2 Instalacja niestandardowa
Instalacja niestandardowa jest przeznaczona dla użytkowników zaawansowanych, którzy chcą modyfikować ustawienia zaawansowane podczas instalacji.
Pierwszym krokiem jest wybór docelowej lokalizacji instalacji. Domyślnie program jest instalowany w folderze C:\Program Files\ ESET\ESET Smart Security\. Kliknij przycisk Przeglądaj, aby zmienić tęlokalizację (niezalecane).
Jeśli używany jest serwer proxy, należy go prawidłowo skonfigurować w celu poprawnego działania funkcji aktualizacji sygnatur wirusów. Jeśli nie masz pewności, czy przy połączeniu internetowym używany jest serwer proxy, pozostaw ustawienie domyślne Nie wiem, czy
podczas łączenia z Internetem używany jest serwer proxy. Użyj ustawień z programu Internet Explorer. i kliknij przycisk Dalej. Jeśli
nie korzystasz z serwera proxy, wybierz odpowiednią opcję.
Następnie wprowadź nazwę użytkownika i hasło. Ten krok jest identyczny jak w przypadku instalacji typowej (patrz strona 6).
Po wprowadzeniu nazwy użytkownika i hasła kliknij przycisk Dalej, aby skonfigurować połączenie internetowe.
Aby skonfigurować ustawienia serwera proxy, wybierz opcję Korzystam z serwera proxy i kliknij przycisk Dalej. Wprowadź adres IP lub URL serwera proxy w polu Adres. W polu Port określ port, na którym serwer proxy akceptuje połączenia (domyślnie 3128). Wprzypadku gdy serwer proxy wymaga uwierzytelniania, należy podać poprawną nazwę użytkownika i hasło dostępu do tego serwera. Ustawienia serwera proxy można również skopiować z programu Internet Explorer. W tym celu kliknij przycisk Zastosuj i potwierdź wybór.
7
Page 8
Kliknij przycisk Dalej, aby przejść do okna Konfiguruj ustawienia automatycznej aktualizacji. Ten krok umożliwia określenie sposobu obsługi automatycznych aktualizacji komponentów programu wdanym systemie. Kliknij opcję Zmień, aby uzyskać dostęp do ustawień zaawansowanych.
Jeśli komponenty programu nie mają być aktualizowane, należy wybrać ustawienie Nigdy nie aktualizuj komponentów programu. Wybranie opcji Pytaj przed pobraniem komponentów programu powoduje wyświetlanie okna potwierdzenia przed pobraniem komponentów programu. Aby włączyć automatyczne uaktualnianie komponentów programu bez wyświetlania monitu, wybierz opcję Wykonaj uaktualnienie komponentu programu, jeśli jest dostępne.
Kolejnym krokiem instalacji jest wprowadzenie hasła chroniącego parametry programu. Wybierz hasło, które będzie chronić program. Wpisz hasło ponownie, aby je potwierdzić.
Kroki obejmujące konfigurację systemu monitorowania zagrożeń
ThreatSense.Net oraz wykrywanie potencjalnie niepożądanych aplikacji są takie same jak w przypadku instalacji typowej i nie zostały
przedstawione w tym miejscu (patrz strona 5).
Ostatnim krokiem instalacji zaawansowanej jest wybranie trybu filtrowania zapory osobistej ESET. Dostępnych jest pięć trybów:
Automatyczny
Automatyczny z wyjątkami (reguły zdefiniowane przez
użytkownika)
UWAGA: Po uaktualnieniu komponentu programu zazwyczaj wymagane jest ponowne uruchomienie komputera. Zalecanym ustawieniem jest W razie potrzeby uruchom ponownie komputer
bez powiadomienia.
8
Interaktywny
Oparty na regułach
Uczenia się
Dla większości użytkowników zalecany jest tryb automatyczny. Wszystkie standardowe połączenia wychodzące są włączone (analizowane automatycznie przy użyciu wstępnie zdefiniowanych ustawień), a niepożądane połączenia przychodzące są automatycznie blokowane.
Automatyczny z wyjątkami (reguły zdefiniowane przez użytkownika) — dodatkowo w tym trybie możliwe jest dodawanie
reguł niestandardowych.
Page 9
Tryb interaktywny jest odpowiedni dla użytkowników zaawansowanych. Komunikacja odbywa się zgodnie z regułami zdefiniowanymi przez użytkownika. Jeśli dla danego połączenia nie ma zdefiniowanej reguły, program wyświetla monit z pytaniem, czy zezwolić na komunikację czy jej odmówić.
W trybie opartym na zasadach komunikacja jest analizowana według wstępnie zdefiniowanych reguł utworzonych przez administratora. Jeśli nie ma dostępnej reguły, połączenie jest automatycznie blokowane i żadne ostrzeżenie nie jest wyświetlane. Zaleca się wybieranie trybu opartego na zasadach tylko przez administratorów, którzy zamierzają kontrolować komunikację sieciową.
Tryb uczenia się automatycznie tworzy oraz zapisuje reguły i służy do początkowej konfiguracji zapory. Interakcja ze strony użytkownika nie jest wymagana, ponieważ program ESET Smart Security zapisuje reguły zgodnie ze wstępnie zdefiniowanymi parametrami. Tryb uczenia się nie jest bezpieczny i powinien być używany tylko do momentu, gdy nie zostaną utworzone wszystkie reguły dla niezbędnych połączeń.
W ostatnim kroku wyświetlane jest okno, w którym użytkownik wyraża zgodę na instalację.
2.3 Korzystanie z oryginalnych ustawień
W przypadku ponownej instalacji programu ESET Smart Security wyświetlana jest opcja Użyj bieżących ustawień. Zaznacz tę opcję, aby przenieść parametry ustawień z oryginalnej instalacji do nowej.
2.4 Wprowadzanie nazwy użytkownika i hasła
Dla uzyskania optymalnej funkcjonalności ważne jest automatyczne aktualizowanie programu. Jest to możliwe tylko wtedy, gdy wustawieniach aktualizacji zostały prawidłowo wprowadzone nazwa użytkownika i hasło.
Jeśli nazwa użytkownika i hasło nie zostały wprowadzone podczas instalacji, można tego dokonać po jej zakończeniu. W oknie głównym programu kliknij opcję Aktualizacja, a następnie kliknij opcję Ustawienia nazwy użytkownika i hasła. W oknie Szczegóły licencji wprowadź dane otrzymane wraz z licencją produktu.
2.5 Skanowanie komputera na żądanie
Po zainstalowaniu programu ESET Smart Security należy wykonać skanowanie komputera w poszukiwaniu szkodliwego kodu. Aby szybko uruchomić skanowanie, wybierz w menu głównym opcję Skanowanie komputera, a następnie w oknie głównym programu wybierz opcję Skanowanie standardowe. Więcej informacji na temat funkcji skanowania komputera można znaleźć w rozdziale „Skanowanie komputera”.
9
Page 10
3. Przewodnik dla początkujących
Niniejszy rozdział zawiera ogólny opis programu ESET Smart Security ijego podstawowych ustawień.
3.1 Tryby interfejsu użytkownika — wprowadzenie
Główne okno programu ESET Smart Security jest podzielone na dwie główne sekcje. Znajdująca się po lewej stronie kolumna zapewnia dostęp do łatwego w obsłudze menu głównego. Znajdujące się po prawej stronie okno główne programu służy najczęściej do wyświetlania informacji dotyczących opcji wybranej w menu głównym.
Poniżej opisano opcje dostępne w menu głównym:
Stan ochrony — dostarcza informacji o stanie ochrony programu ESET Smart Security w formie przyjaznej dla użytkownika. Jeśli uruchomiony jest tryb zaawansowany, wyświetlany jest stan wszystkich funkcji ochrony. Kliknięcie funkcji powoduje wyświetlenie informacji o jej bieżącym stanie.
Skanowanie komputera — pozwala skonfigurować i uruchomić skanowanie komputera na żądanie.
Aktualizacja — zapewnia dostęp do funkcji aktualizacji, która umożliwia zarządzanie aktualizacjami bazy sygnatur wirusów.
Ustawienia — umożliwia dostosowanie poziomu zabezpieczeń komputera. Jeśli uruchomiony jest tryb zaawansowany, zostaną wyświetlone podmenu funkcji ochrony antywirusowej i antyspyware, zapory osobistej oraz ochrony przed spamem.
Narzędzia — jest dostępna tylko w trybie zaawansowanym. Zapewnia dostęp do plików dziennika, kwarantanny i harmonogramu.
Pomoc i obsługa — umożliwia uzyskanie dostępu do plików pomocy, bazy wiedzy firmy ESET, witryny internetowej firmy ESET oraz utworzenie zgłoszenia do działu obsługi klienta.
Interfejs użytkownika programu ESET Smart Security pozwala na przełączanie się pomiędzy trybem standardowym i zaawansowanym. Aby przełączyć między trybami, użyj łącza Wyświetlanie znajdującego się w lewym dolnym rogu okna głównego programu ESET Smart Security. Kliknij opcję, aby wybrać żądany tryb wyświetlania.
Przełączenie do trybu zaawansowanego powoduje dodanie do menu głównego opcji Narzędzia. Opcja Narzędzia umożliwia uzyskanie dostępu do harmonogramu i kwarantanny oraz przeglądanie plików dziennika programu ESET Smart Security.
UWAGA: Wszystkie pozostałe instrukcje w niniejszym podręczniku dotyczą trybu zaawansowanego.
3.1.1 Sprawdzanie działania systemu
Aby wyświetlić informacje o stanie ochrony, kliknij opcję Stan ochrony znajdującą się w górnej części menu głównego. W prawej
części okna wyświetlane jest podsumowanie stanu działania programu ESET Smart Security, a także dostępne jest podmenu zawierające trzy elementy: Antywirus i antyspyware, Zapora osobista i Ochrona przed spamem. Wybierz dowolną z tych opcji, aby wyświetlić bardziej szczegółowe informacje o danej funkcji ochrony.
Tryb standardowy zapewnia dostęp do funkcji wymaganych do wykonywania typowych operacji. Żadne zaawansowane opcje nie są wyświetlane.
10
Jeśli włączone funkcje ochrony działają poprawnie, są oznaczone zieloną ikoną znacznika wyboru. W przeciwnym razie wyświetlana jest czerwona ikona wykrzyknika lub żółta ikona powiadomienia, aw górnej części okna znajdują się dodatkowe informacje na temat funkcji. Wyświetlany jest również proponowany sposób naprawy funkcji. Aby zmienić stan poszczególnych funkcji, w menu głównym kliknij opcję Ustawienia i wybierz żądaną funkcję.
3.1.2 Postępowanie w przypadku, gdy program nie działa
poprawnie
Jeśli program ESET Smart Security wykryje problem dotyczący funkcji
ochrony, jest to zgłaszane w oknie Stan ochrony. Znajduje się tam również propozycja rozwiązania problemu.
Page 11
3.3 Ustawienia strefy zaufanej
Jeśli rozwiązanie danego problemu przy użyciu wyświetlonej listy znanych problemów i rozwiązań nie jest możliwe, kliknij opcję Pomociobsługa, aby uzyskać dostęp do plików pomocy lub przeszukać bazę wiedzy. Jeśli nadal nie można znaleźć rozwiązania, należy wysłać zgłoszenie do działu obsługi klienta firmy ESET. Na podstawie uzyskanych informacji zwrotnych specjaliści z firmy mogą szybko odpowiadać na pytania i udzielać skutecznych porad dotyczących problemu.
3.2 Ustawienia aktualizacji
Aktualizacja bazy sygnatur wirusów i aktualizacja komponentów programu są istotnymi elementami procesu zapewniania kompleksowej ochrony przed szkodliwym kodem. Należy zwracać szczególną uwagę na konfigurację i działanie funkcji aktualizacji. W menu głównym wybierz opcję Aktualizacja, a następnie woknie głównym programu kliknij opcję Aktualizuj bazę sygnatur wirusów, aby natychmiast sprawdzić dostępność nowej aktualizacji bazy sygnatur. Kliknięcie opcji Ustawienia nazwy użytkownika ihasła powoduje wyświetlenie okna dialogowego, w którym należy wprowadzić nazwę użytkownika i hasło otrzymane przy zakupie.
Jeśli nazwa użytkownika i hasło zostały wprowadzone podczas instalacji programu ESET Smart Security, program nie będzie monitować o te informacje na tym etapie.
Konfigurowanie strefy zaufanej jest ważnym etapem w zapewnianiu ochrony komputera w środowisku sieciowym. Konfigurując strefę zaufaną i umożliwiając współużytkowanie, można zezwolić innym użytkownikom na uzyskiwanie dostępu do komputera. Kliknij kolejno opcje Ustawienia > Zapora osobista > Zmień tryb ochrony komputera w sieci. Zostanie wyświetlone okno, w którym można skonfigurować ustawienia trybu ochrony komputera w bieżącej sieci lub strefie.
Wykrywanie strefy zaufanej jest przeprowadzane po zainstalowaniu programu ESET Smart Security bądź po podłączeniu komputera do nowej sieci lub strefy. Dlatego w większości przypadków nie ma potrzeby definiowania strefy zaufanej. Po wykryciu nowej strefy domyślnie wyświetlane jest okno dialogowe umożliwiające ustawienie poziomu ochrony dla tej strefy.
Okno Ustawienia zaawansowane (dostępne po naciśnięciu klawisza F5) zawiera szczegółowe opcje aktualizacji. W menu rozwijanym Serwer aktualizacji należy ustawić wartość Wybierz automatycznie. Aby skonfigurować zaawansowane opcje aktualizacji, takie jak tryb aktualizacji, dostęp do serwera proxy, dostęp do aktualizacji na serwerze lokalnym oraz możliwość tworzenia kopii sygnatur wirusów (w programie ESET Smart Security Business Edition), kliknij przyciskUstawienia.
11
Page 12
Ostrzeżenie! Nieprawidłowa konfiguracja strefy zaufanej może stwarzać zagrożenie dla bezpieczeństwa komputera.
UWAGA: Dla stacji roboczych ze strefy zaufanej domyślnie jest włączona przychodząca komunikacja RPC, dostępne są udostępniane pliki i drukarki oraz funkcja udostępniania pulpitu zdalnego.
3.4 Ustawienia serwera proxy
Jeśli połączenie internetowe jest uzyskiwane za pośrednictwem serwera proxy, należy to określić w oknie Ustawienia zaawansowane (klawisz F5). Aby uzyskać dostęp do okna konfiguracji Serwer proxy, w drzewie konfiguracji zaawansowanej kliknij opcję Inne > Serwer proxy. Zaznacz pole wyboru Użyj serwera proxy oraz wprowadź adres IP i port serwera proxy, a także dane uwierzytelniające.
3.5 Ochrona ustawień
Ustawienia programu ESET Smart Security mogą odgrywać bardzo ważną rolę z punktu widzenia zasad zabezpieczeń obowiązujących w organizacji użytkownika. Nieautoryzowane modyfikacje mogą stanowić potencjalne zagrożenie dla stabilności i ochrony systemu. Aby chronić parametry ustawień za pomocą hasła, rozpoczynając w menu głównym, kliknij kolejno opcje Ustawienia > Otwórz całe
drzewo ustawień zaawansowanych > Interfejs użytkownika > Ochrona ustawień, a następnie kliknij przycisk Wprowadź hasło.
Wprowadź hasło, potwierdź je, wpisując ponownie, a następnie kliknij przycisk OK. To hasło będzie wymagane w przypadku wszystkich przyszłych modyfikacji ustawień programu ESET Smart Security.
Jeśli te informacje nie są dostępne, w programie ESET Smart Security można podjąć próbę automatycznego wykrycia ustawień serwera proxy, klikając przycisk Wykryj serwer proxy.
UWAGA: Opcje serwera proxy dla poszczególnych profilów aktualizacji mogą być różne. W takim przypadku należy skonfigurować serwer proxy za pomocą ustawień zaawansowanych aktualizacji.
12
Page 13
4. Praca z programem ESET Smart Security
4.1 Antywirus i antyspyware
Ochrona antywirusowa zabezpiecza system przed szkodliwymi atakami, sprawdzając pliki, pocztę e-mail i komunikację internetową. W przypadku wykrycia zagrożenia zawierającego szkodliwy kod moduł antywirusowy może je wyeliminować przez zablokowanie, anastępnie usunięcie lub przeniesienie do kwarantanny.
4.1.1 Ochrona systemu plików w czasie rzeczywistym
Ochrona systemu plików w czasie rzeczywistym sprawdza wszystkie zdarzenia związane z ochroną antywirusową systemu. Wszystkie pliki w momencie otwarcia, utworzenia lub uruchomienia na komputerze są skanowane w poszukiwaniu szkodliwego kodu. Ochrona systemu plików w czasie rzeczywistym jest włączana przy uruchamianiu systemu.
4.1.1.1 Ustawienia sprawdzania
Funkcja ochrony systemu plików w czasie rzeczywistym sprawdza wszystkie typy nośników. Sprawdzanie jest wywoływane wystąpieniem różnych zdarzeń. Podczas sprawdzania stosowane są metody wykrywania udostępniane przez technologię ThreatSense (opisane w części Ustawienia parametrów technologii ThreatSense). Sposób sprawdzania nowo tworzonych plików może różnić się od sposobu sprawdzania istniejących plików. W przypadku nowo tworzonych plików można stosować głębszy poziom sprawdzania.
4.1.1.1.3 Dodatkowe aparatu ThreatSense dla nowo
utworzonych i zmodyfikowanych plików
Prawdopodobieństwo, że nowo utworzone pliki będą zainfekowane, jest stosunkowo wyższe niż w przypadku istniejących plików. Z tego powodu program sprawdza takie pliki, stosując dodatkowe parametry skanowania. Wraz z powszechnymi metodami skanowania przy użyciu sygnatur stosowana jest zaawansowana heurystyka, która znacznie zwiększa wykrywalność. Oprócz nowo utworzonych plików skanowane są również archiwa samorozpakowujące (SFX) i pliki spakowane (wewnętrznie skompresowane pliki wykonywalne). Domyślnie archiwa są skanowane do dziesiątego poziomu zagnieżdżenia i są sprawdzane niezależnie od ich rozmiaru. Usuń zaznaczenie opcji Domyślne ustawienia skanowania archiwów, aby zmodyfikować ustawienia skanowania archiwów.
4.1.1.1.4 Ustawienia zaawansowane
W celu zminimalizowania obciążenia systemu podczas działania ochrony w czasie rzeczywistym pliki, które zostały już przeskanowane, nie są skanowane ponownie (jeśli nie zostały zmodyfikowane). Pliki są natychmiast skanowane ponownie po każdej aktualizacji bazy sygnatur wirusów. Ten sposób działania można konfigurować przy użyciu opcji Skanowanie zoptymalizowane. Po jej wyłączeniu wszystkie pliki są skanowane podczas każdego dostępu.
Ochrona w czasie rzeczywistym jest domyślnie włączana przy uruchamianiu systemu operacyjnego i zapewnia nieprzerwane skanowanie. W szczególnych przypadkach (np. jeśli wystąpi konflikt z innym skanerem działającym w czasie rzeczywistym) ochronę wczasie rzeczywistym można wyłączyć, usuwając zaznaczenie opcji
Automatyczne uruchamianie ochrony systemu plików w czasie rzeczywistym.
4.1.1.1.1 Skanowane nośniki
Domyślnie wszystkie typy nośników są skanowane w poszukiwaniu potencjalnych zagrożeń.
Dyski lokalne sprawdzane są wszystkie dyski twarde w systemie.
Nośniki wymiennesprawdzane są dyskietki, urządzenia pamięci
masowej USB itp.
Dyski sieciowe skanowane są wszystkie dyski mapowane.
Zaleca się zachowanie ustawień domyślnych i modyfikowanie ich wyłącznie w szczególnych przypadkach, na przykład jeśli skanowanie pewnych nośników znacznie spowalnia przesyłanie danych.
4.1.1.1.2 Skanowanie po wystąpieniu zdarzenia
Domyślnie wszystkie pliki są skanowane podczas otwierania, wykonywania i tworzenia. Zaleca się zachowanie ustawień domyślnych, ponieważ zapewniają one maksymalny poziom ochrony komputera w czasie rzeczywistym.
Opcja skanowania podczas dostępu do dyskietki umożliwia sprawdzanie sektora startowego dyskietki przy uzyskiwaniu dostępu do napędu dyskietek. Opcja skanowania podczas wyłączania komputera umożliwia sprawdzanie sektorów startowych dysku twardego przy wyłączaniu komputera. Wirusy sektora startowego obecnie rzadko występują, jednak zaleca się pozostawienie tych opcji włączonych, ponieważ nadal istnieje ryzyko infekcji wirusami sektora startowego z innych źródeł.
Domyślnie zaawansowana heurystyka nie jest używana podczas wykonywania plików. Jednak w niektórych przypadkach włączenie tej opcji może być potrzebne (przez zaznaczenie opcji Zaawansowana heurystyka podczas wykonywania pliku). Należy pamiętać, że zaawansowana heurystyka może spowolnić wykonywanie niektórych programów z powodu zwiększonych wymagań systemowych.
4.1.1.2 Poziomy leczenia
Ochrona w czasie rzeczywistym udostępnia trzy poziomy leczenia (aby uzyskać do nich dostęp, kliknij przycisk Ustawienia w części Ochrona systemu plików w czasie rzeczywistym, a następnie kliknij część Leczenie).
Przy pierwszym poziomie dla każdego wykrytego zagrożenia
wyświetlane jest okno alertu z dostępnymi opcjami. Użytkownik musi osobno wybrać czynność w przypadku każdej infekcji. Ten poziom jest przeznaczony dla bardziej zaawansowanych użytkowników, którzy wiedzą, jakie działanie należy podjąć wprzypadku infekcji.
Przy domyślnym poziomie automatycznie wybierana
iwykonywana jest wstępnie zdefiniowana czynność (w zależności od typu infekcji). O wykryciu i usunięciu zainfekowanego pliku informuje komunikat wyświetlany w prawym dolnym rogu ekranu. Automatyczna czynność nie jest jednak wykonywana, jeśli infekcję wykryto w archiwum zawierającym także niezainfekowane pliki. Nie jest ona również wykonywana w przypadku obiektów, dla których brak jest wstępnie zdefiniowanej czynności.
Trzeci poziom charakteryzuje się najbardziej agresywnym
działaniem — wszystkie zainfekowane obiekty są leczone. Ponieważ stosowanie tego poziomu może spowodować utratę niezainfekowanych plików, zaleca się używanie go tylko wszczególnych sytuacjach.
13
Page 14
4.1.1.3 Zmienianie ustawień ochrony w czasie rzeczywistym
Ochrona w czasie rzeczywistym jest najbardziej istotnym elementem umożliwiającym zapewnienie bezpieczeństwa systemu. Dlatego należy zachować ostrożność podczas modyfikowania jej parametrów. Zaleca się modyfikowanie ustawień ochrony wyłącznie w szczególnych przypadkach. Na przykład w sytuacji, gdy występuje konflikt z określoną aplikacją lub skanerem działającym w czasie rzeczywistym, należącym do innego programu antywirusowego.
Jeśli ochrona w czasie rzeczywistym nie jest włączana przy uruchamianiu systemu, jest to prawdopodobnie spowodowane wyłączeniem opcji Automatyczne uruchamianie ochrony systemu
plików w czasie rzeczywistym. Aby włączyć tę opcję, otwórz okno Ustawienia zaawansowane (klawisz F5) i w drzewie Ustawienia zaawansowane kliknij część Ochrona systemu plików w czasie rzeczywistym. W obszarze Ustawienia zaawansowane znajdującym
się w dolnej części okna sprawdź, czy zaznaczone jest pole wyboru
Automatyczne uruchamianie ochrony systemu plików w czasie rzeczywistym.
Po zainstalowaniu programu ESET Smart Security wszystkie ustawienia są optymalizowane w celu zapewnienia użytkownikom maksymalnego poziomu bezpieczeństwa systemu. Aby przywrócić ustawienia domyślne, kliknij przycisk Domyślne znajdujący się w prawej dolnej części okna Ochrona systemu plików w czasie
rzeczywistym (Ustawienia zaawansowane > Antywirus iantyspyware > Ochrona systemu plików w czasie rzeczywistym).
4.1.1.4 Sprawdzanie skuteczności ochrony w czasie rzeczywistym
Aby sprawdzić, czy funkcja ochrony w czasie rzeczywistym działa i wykrywa wirusy, należy użyć pliku z witryny eicar.com. Jest to specjalnie przygotowany nieszkodliwy plik testowy wykrywany przez wszystkie programy antywirusowe. Został on utworzony przez firmę EICAR (European Institute for Computer Antivirus Research) w celu testowania działania programów antywirusowych. Plik eicar.com można pobrać pod adresem http://www.eicar.org/download/eicar.com
UWAGA: Przed przystąpieniem do sprawdzenia skuteczności ochrony w czasie rzeczywistym należy wyłączyć zaporę. Włączona zapora wykryje pliki testowe i uniemożliwi ich pobranie.
4.1.1.5 Co zrobić, jeśli ochrona w czasie rzeczywistym nie działa
W kolejnym rozdziale opisano problemy, które mogą wystąpić podczas korzystania z ochrony w czasie rzeczywistym, oraz sposoby ich rozwiązywania.
Ochrona w czasie rzeczywistym jest wyłączona
Jeśli ochrona w czasie rzeczywistym została przypadkowo wyłączona przez użytkownika, należy ją włączyć ponownie. Aby ponownie włączyć ochronę w czasie rzeczywistym, kliknij kolejno opcje
Ustawienia > Antywirus i antyspyware, a następnie kliknij opcję Włącz w sekcji Ochrona systemu plików w czasie rzeczywistym
głównego okna programu.
Ochrona w czasie rzeczywistym nie wykrywa ani nie leczy infekcji
Należy upewnić się, że na komputerze nie ma zainstalowanych innych programów antywirusowych. Jednoczesne włączenie dwóch funkcji ochrony w czasie rzeczywistym może powodować ich konflikt. Zaleca się odinstalowanie innych programów antywirusowych znajdujących się w systemie.
Ochrona w czasie rzeczywistym nie jest uruchamiana
Jeśli ochrona w czasie rzeczywistym nie jest włączana przy uruchamianiu systemu (opcja Automatyczne uruchamianie ochrony systemu plików w czasie rzeczywistym jest włączona), może to być spowodowane konfliktami z innymi programami. W takim przypadku należy skonsultować się z personelem działu pomocy technicznej firmy ESET.
4.1.2 Host Intrusion Prevention System (HIPS)
Host Intrusion Prevention System (HIPS) chroni system przed złośliwym oprogramowaniem oraz każdą niepożądaną aktywnością. Używa zaawansowanej analizy zachowań połączonej z aktywną analizą procesów systemowych, kluczy rejestru oraz zapory sieciowej. Dzięki temu jest w stanie przeciwdziałać wszelkim próbom niepowołanego dostępu do Twojego systemu.
4.1.3 Ochrona programów poczty e-mail
W ramach ochrony poczty e-mail sprawdzana jest komunikacja przychodząca za pośrednictwem protokołu POP3. Przy użyciu dodatku dla aplikacji Microsoft Outlook program ESET Smart Security zapewnia sprawdzanie całej komunikacji realizowanej przez program pocztowy (za pośrednictwem protokołów POP3, MAPI, IMAP i HTTP). Podczas analizowania wiadomości przychodzących program stosuje wszystkie zaawansowane metody skanowania udostępniane przez technologię skanowania ThreatSense. Dzięki temu szkodliwe programy są wykrywane, nawet zanim zostaną porównane z bazą danych sygnatur wirusów. Skanowanie komunikacji za pośrednictwem protokołu POP3 odbywa się niezależnie od używanego programu poczty e-mail.
14
Page 15
4.1.3.1 Sprawdzanie protokołu POP3
Protokół POP3 jest najbardziej rozpowszechnionym protokołem używanym do odbierania wiadomości w programach poczty e-mail. Program ESET Smart Security zapewnia ochronę tego protokołu niezależnie od używanego programu pocztowego.
Funkcja ta jest włączana automatycznie przy uruchamianiu systemu operacyjnego, a następnie działa w pamięci operacyjnej. Aby ochrona działała prawidłowo, należy upewnić się, że jest włączony — sprawdzanie protokołu POP3 odbywa się automatycznie bez konieczności zmiany konfiguracji programu poczty e-mail. Domyślnie skanowana jest cała komunikacja prowadzona przez port 110, ale w razie potrzeby skanowaniem można objąć również inne porty komunikacyjne. Numery portów muszą być oddzielone przecinkami.
Komunikacja szyfrowana nie jest sprawdzana.
4.1.3.2 Integracja z programami poczty e-mail
Integracja programu ESET Smart Security z programami poczty e-mail zwiększa poziom aktywnej ochrony przed szkodliwym kodem w wiadomościach e-mail. Jeśli dany program poczty e-mail jest obsługiwany, integrację można włączyć w programie ESET Smart Security. Po włączeniu integracji pasek narzędzi ochrony przed spamem programu ESET Smart Security jest bezpośrednio instalowany w programie pocztowym, umożliwiając skuteczniejszą ochronę poczty e-mail. Dostęp do ustawień integracji można uzyskać, klikając kolejno opcje Ustawienia > Otwórz całe drzewo ustawień zaawansowanych > Inne > Integracja z programami poczty e-mail. To okno dialogowe umożliwia włączenie integracji z obsługiwanymi programami poczty e-mail. Aktualnie obsługiwane programy poczty e-mail to Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail oraz Mozilla Thunderbird.
4.1.3.1.1 Zgodność
W przypadku niektórych programów poczty e-mail mogą wystąpić problemy z ochroną protokołu POP3 (np. z powodu sprawdzania odbieranych wiadomości przy wolnym połączeniu internetowym może upłynąć limit czasu). W takiej sytuacji należy spróbować zmodyfikować sposób wykonywania sprawdzania. Zmniejszenie poziomu sprawdzania może zwiększyć szybkość procesu leczenia. Aby dostosować poziom sprawdzania dla ochrony protokołu POP3, kliknij kolejno opcje
Antywirus i antyspyware > Ochrona poczty e-mail > Protokół POP3> Zgodność.
Po włączeniu opcji Maksymalna skuteczność infekcje są usuwane zwiadomości, a przed oryginalnym tematem wiadomości wstawiana jest informacja o infekcji (musi być wybrana opcja Usuń lub Wylecz bądź ustawiony poziom leczenia Dokładne lub Domyślne).
Ustawienie odpowiadające średniej zgodności powoduje zmianę sposobu odbierania wiadomości. Wiadomości są stopniowo przesyłane do programu poczty e-mail — po przekazaniu ostatniej części wiadomości jest ona skanowana w poszukiwaniu infekcji. Przy tym poziomie sprawdzania zwiększa się jednak ryzyko infekcji. Poziom leczenia i obsługa oznaczeń (alertów informacyjnych dodawanych do tematu i treści wiadomości) są identyczne, jak wprzypadku ustawienia Maksymalna skuteczność.
Po wybraniu poziomu Maksymalna zgodność użytkownik jest ostrzegany za pomocą okna alertu o odebraniu zainfekowanej wiadomości. Do tematu ani do treści dostarczanych wiadomości nie są dodawane żadne informacje o zainfekowanych plikach, a infekcje nie są automatycznie usuwane. Usunięcie zagrożeń musi wykonać użytkownik w programie poczty e-mail.
Zaznacz opcję Wyłącz sprawdzanie po zmianie zawartości skrzynki odbiorczej, jeśli podczas pracy z programem poczty e-mail system działa wolniej niż zwykle. Może to mieć miejsce podczas pobierania poczty z Kerio Outlook Connector Store.
Ochronę poczty e-mail można uruchomić, zaznaczając pole wyboru
Włącz ochronę poczty e-mail w części Ustawienia zaawansowane (klawisz F5) > Antywirus i antyspyware > Ochrona poczty e-mail.
4.1.3.2.1 Dołączanie notatki do treści wiadomości
Temat lub treść każdej wiadomości sprawdzanej przez program ESET Smart Security mogą zostać oznaczone. Ta funkcja zwiększa wiarygodność wiadomości dla adresata, a w przypadku wykrycia infekcji udostępnia ważne informacje na temat poziomu zagrożenia, jakie stanowi dana wiadomość lub nadawca.
15
Page 16
Dostęp do opcji tej funkcji można uzyskać, klikając kolejno opcje
Ustawienia zaawansowane > Antywirus i antyspyware > Ochrona poczty e-mail. W programie są dostępne ustawienia Oznacz otrzymaną i przeczytaną wiadomość e-mail oraz Oznacz wysyłaną wiadomość e-mail. Użytkownik może zdecydować, czy
oznaczane mają być wszystkie wiadomości, tylko zainfekowane wiadomości czy nie mają one być oznaczane wcale. Program ESET Smart Security umożliwia również oznaczanie oryginalnego tematu zainfekowanej wiadomości. Aby włączyć funkcję oznaczania tematu, zaznacz opcje Dołącz notatkę do tematu otrzymanej i przeczytanej
zainfekowanej wiadomości i Dołącz notatkę do tematu wysyłanej zainfekowanej wiadomości.
Treść dołączanych powiadomień można modyfikować w polu Szablon komunikatu dołączanego do tematu zainfekowanej wiadomości. Wymienione powyżej modyfikacje pomagają zautomatyzować proces filtrowania zainfekowanej poczty e-mail, ponieważ umożliwiają przenoszenie wiadomości z określonym tematem do osobnego folderu (jeśli używany program poczty e-mail obsługuje tę funkcję).
4.1.3.3 Usuwanie zagrożenia
Po odebraniu zainfekowanej wiadomości e-mail wyświetlane jest okno alertu. Zawiera ono nazwę nadawcy, wiadomość i nazwę infekcji. W dolnej części okna znajdują są opcje dostępne w przypadku wykrytego obiektu: Wylecz, Usuń i Pozostaw. W prawie wszystkich przypadkach zaleca się wybór opcji Wylecz lub Usuń. W szczególnych sytuacjach, gdy użytkownik chce odebrać zainfekowany plik, może wybrać opcję Pozostaw. Jeśli włączona jest opcja Leczenie dokładne, wyświetlane jest okno z informacjami, które nie zawiera żadnych opcji dostępnych w przypadku zainfekowanych obiektów.
Włącz sprawdzanie protokołu HTTP. Można także zdefiniować numery portów używane podczas komunikacji za pośrednictwem protokołu HTTP. Domyślnie wstępnie zdefiniowane są porty 80, 8080 i3128. Sprawdzanie protokołu HTTPS może być wykonywane wjednym znastępujących trybów:
Nie używaj funkcji sprawdzania protokołu HTTPS
Komunikacja szyfrowana nie będzie sprawdzana.
Używaj funkcji sprawdzania protokołu HTTPS dla wybranych portów
Funkcja sprawdzania protokołu HTTPS sprawdza tylko porty zdefiniowane w polu Porty, używanym przez protokół HTTPS.
Użyj funkcji sprawdzania protokołu HTTPS dla aplikacji oznaczonych jako przeglądarki internetowe, które używają wybranych portów
Sprawdzanie tylko aplikacji określonych w sekcji przeglądarki i używanie portów zdefiniowanych w polu Porty używane przez protokół HTTPS.
4.1.4 Ochrona dostępu do stron internetowych
Łączność z Internetem to standardowa funkcja komputera osobistego. Niestety stała się ona również głównym nośnikiem szkodliwego kodu. Z tego powodu bardzo ważne jest staranne rozważenie stosowanej ochrony dostępu do stron internetowych. Stanowczo zaleca się włączenie opcji Włącz ochronę dostępu do stron internetowych. To ustawienie jest dostępne po wybraniu kolejno opcji Ustawienia zaawansowane (klawisz F5) > Antywirus
iantyspyware > Ochrona dostępu do stron internetowych.
4.1.4.1 Protokoły HTTP, HTTPS
.
4.1.4.1.1 Zarządzanie adresami
W tej sekcji możliwe jest określenie adresów HTTP, które mają być blokowane, dozwolone lub wykluczone ze sprawdzania.
Przyciski Dodaj, Zmień, Usuń i Eksportuj służą do zarządzania listami adresów. Witryny internetowe znajdujące się na listach blokowanych adresów nie będą dostępne. Witryny internetowe na liście adresów wykluczonych ze skanowania są udostępniane bez skanowania wposzukiwaniu szkodliwego kodu. W przypadku włączenia opcji Zezwól na dostęp tylko do adresów HTTP z listy dozwolonych adresów dostępne będą tylko adresy znajdujące się na liście dozwolonych adresów, natomiast inne adresy HTTP będą blokowane.
W adresach na wszystkich listach można stosować symbole specjalne* (gwiazdka) i ? (znak zapytania). Gwiazdka zastępuje dowolny ciąg znaków, a znak zapytania — dowolny symbol. Należy zwrócić szczególną uwagę przy wprowadzaniu adresów wykluczonych, ponieważ lista powinna zawierać jedynie zaufane i bezpieczne adresy. Podobnie należy się upewnić, czy symbole * i ? są używane na tej liście w odpowiedni sposób. Aby uaktywnić listę, wybierz opcję Lista aktywna. Aby otrzymywać powiadomienia o wprowadzeniu adresu z bieżącej listy, wybierz opcję Powiadom
ozastosowaniu adresów z listy.
Podstawową funkcją ochrony dostępu do stron internetowych jest monitorowanie komunikacji przeglądarek internetowych zserwerami zdalnymi, zgodnie z regułami protokołów HTTP (Hypertext Transfer Protocol) i HTTPS (komunikacja szyfrowana). Program ESET Smart Security jest domyślnie skonfigurowany pod kątem używania standardowych protokołów obsługiwanych przez większość przeglądarek internetowych. Opcje ustawień skanera protokołu HTTP można jednak częściowo modyfikować w części Ochrona dostępu do stron internetowych > Protokoły HTTP i HTTPS. W głównym oknie filtra protokołu HTTP można zaznaczyć lub usunąć zaznaczenie opcji
16
Page 17
4.1.4.1.2 Przeglądarki internetowe
4.1.5 Skanowanie komputera
Program ESET Smart Security wyposażono również w funkcję Przeglądarki internetowe umożliwiającą określenie, czy dana aplikacja jest przeglądarką. Jeśli dana aplikacja zostanie przez użytkownika oznaczona jako przeglądarka, cała jej komunikacja jest monitorowana niezależnie od używanych portów.
Funkcja Przeglądarki internetowe uzupełnia funkcję sprawdzania protokołu HTTP, ponieważ sprawdzanie protokołu HTTP jest wykonywane tylko dla wstępnie zdefiniowanych portów. Wiele usług internetowych używa jednak dynamicznie zmienianych lub nieznanych numerów portów. W tej sytuacji funkcja Przeglądarki internetowe umożliwia sprawdzanie komunikacji prowadzonej przez porty niezależnie od parametrów połączenia.
Jeśli istnieje podejrzenie, że komputer jest zainfekowany (działa wsposób nieprawidłowy), należy uruchomić skanowanie komputera na żądanie w celu sprawdzenia go w poszukiwaniu infekcji. Zpunktu widzenia bezpieczeństwa jest ważne, aby skanowanie komputera było przeprowadzane nie tylko w przypadku podejrzenia infekcji, ale regularnie w ramach rutynowych działań związanych zbezpieczeństwem. Regularne skanowanie umożliwia wykrywanie infekcji, które nie zostały wykryte przez skaner działający w czasie rzeczywistym w momencie zapisywania zainfekowanego pliku na dysku komputera. Jest to możliwe, jeśli w momencie wystąpienia infekcji skaner działający w czasie rzeczywistym był wyłączony lub baza sygnatur wirusów była nieaktualna.
Zaleca się uruchamianie skanowania na żądanie co najmniej raz lub dwa razy w miesiącu. Skanowanie można skonfigurować jako zaplanowane zadanie po kliknięciu kolejno opcji Narzędzia >
Harmonogram.
4.1.5.1 Typ skanowania
Dostępne są dwa typy skanowania. Opcja Skanowanie standardowe umożliwia szybkie przeskanowanie systemu bez konieczności dodatkowego konfigurowania parametrów skanowania. Opcja Skanowanie niestandardowe umożliwia zastosowanie wstępnie zdefiniowanego profilu skanowania oraz wybór skanowanych obiektów ze struktury drzewa.
Lista aplikacji oznaczonych jako przeglądarki jest dostępna bezpośrednio w podmenu Przeglądarki internetowe w części
Protokół HTTP. W tej części znajduje się również podmenu Tryb aktywny umożliwiające definiowanie trybu sprawdzania
przeglądarek internetowych. Ustawienie Tryb aktywny jest przydatne, ponieważ pozwala analizować przesyłane dane jako całość. Jeśli nie jest ono włączone, komunikacja aplikacji jest stopniowo monitorowana w partiach. Zmniejsza to skuteczność procesu weryfikacji danych, ale jednocześnie zapewnia większą zgodność z wymienionymi na liście aplikacjami. Jeśli podczas używania aktywnego trybu sprawdzania nie występują problemy, zaleca się jego włączenie przez zaznaczenie pola wyboru obok odpowiedniej aplikacji.
17
Page 18
4.1.5.1.1 Skanowanie standardowe
Skanowanie standardowe to łatwa w obsłudze metoda, dzięki której użytkownik może szybko uruchomić skanowanie komputera i wyleczyć zainfekowane pliki bez konieczności podejmowania dodatkowych działań. Jej główną zaletą jest prostota obsługi i brak szczegółowej konfiguracji skanowania. W ramach skanowania standardowego sprawdzane są wszystkie pliki na dyskach lokalnych, a wykryte infekcje są automatycznie leczone lub usuwane. Jako poziom leczenia automatycznie ustawiana jest wartość domyślna. Szczegółowe informacje na temat typów leczenia można znaleźć wczęści Leczenie (patrz strona 18).
Standardowy profil skanowania jest przeznaczony dla użytkowników chcących szybko i łatwo przeskanować komputer. Stanowi on skuteczne rozwiązanie w zakresie skanowania i leczenia niewymagające skomplikowanego procesu konfiguracji.
4.1.5.1.2 Skanowanie niestandardowe
Skanowanie niestandardowe stanowi optymalne rozwiązanie, jeśli użytkownik chce określić parametry skanowania, takie jak skanowane obiekty i metody skanowania. Zaletą skanowania niestandardowego jest możliwość szczegółowej konfiguracji parametrów. Konfiguracje można zapisywać w zdefiniowanych przez użytkownika profilach skanowania, które mogą być przydatne, jeśli skanowanie jest wykonywane wielokrotnie z zastosowaniem tych samych parametrów.
Aby wybrać skanowane obiekty, użyj menu rozwijanego umożliwiającego szybki wybór obiektów lub wybierz je w strukturze drzewa zawierającej wszystkie urządzenia dostępne w komputerze. Ponadto można wybrać jeden z trzech poziomów leczenia, klikając opcję Ustawienia > Leczenie. Aby przeprowadzić tylko skanowanie systemu bez wykonywania dodatkowych czynności, zaznacz pole wyboru Skanuj bez leczenia.
Skanowanie komputera w trybie skanowania niestandardowego jest przeznaczone dla zaawansowanych użytkowników, którzy mają już doświadczenie w posługiwaniu się programami antywirusowymi.
4.1.5.2 Skanowane obiekty
Menu rozwijane Skanowane obiekty umożliwia wybór plików, folderów i urządzeń (dysków), które mają być skanowane wposzukiwaniu wirusów.
Przy użyciu opcji menu szybkiego wybierania skanowanych obiektów można wybrać następujące skanowane obiekty:
Według ustawień profilu — sprawdzane są obiekty ustawione wwybranym profilu skanowania.
Skanowany obiekt można również dokładniej określić, wprowadzając ścieżkę do folderu lub plików, które mają zostać objęte skanowaniem. Skanowane obiekty można wybrać w strukturze drzewa zawierającej wszystkie urządzenia dostępne w komputerze.
4.1.5.3 Profile skanowania
Preferowane parametry skanowania komputera można zapisać wpostaci profili. Zaletą tworzenia profilów skanowania jest możliwość ich regularnego stosowania podczas skanowania wprzyszłości. Zaleca się utworzenie tylu profilów (z ustawionymi różnymi skanowanymi obiektami, metodami skanowania i innymi parametrami), z ilu regularnie korzysta użytkownik.
Aby utworzyć nowy profil, który będzie wielokrotnie używany podczas skanowania w przyszłości, należy kliknąć kolejno opcje
Ustawienia zaawansowane (F5) > Skanowanie komputera na żądanie. Następnie kliknij przycisk Profile znajdujący się po prawej
stronie, aby wyświetlić listę istniejących profilów skanowania iopcję umożliwiającą utworzenie nowego profilu. W kolejnej części Ustawienia parametrów technologii ThreatSense opisano każdy parametr ustawień skanowania. Ten opis ułatwi utworzenie profilu skanowania spełniającego określone potrzeby.
Przykład:
Załóżmy, że celem jest utworzenie profilu skanowania, którego konfiguracja częściowo pokrywa się z konfiguracją profilu Skanowanie inteligentne. W nowym profilu pliki spakowane nie mają być jednak skanowane, a potencjalnie niebezpieczne aplikacje wykrywane. Ponadto ma być stosowany poziom Leczenie dokładne. Woknie Profile konfiguracji kliknij przycisk Dodaj. W polu Nazwa profilu wprowadź nazwę nowego profilu, a następnie w menu rozwijanym Kopiuj ustawienia z profilu wybierz opcję Skanowanie inteligentne. Następnie dostosuj do potrzeb pozostałe parametry profilu.
Nośniki wymienne sprawdzane są dyskietki, urządzenia pamięci masowej USB, płyty CD/DVD.
Dyski lokalne — sprawdzane są wszystkie dyski twarde w systemie.
Dyski sieciowe — sprawdzane są wszystkie dyski mapowane.
Brak wyboru — wybieranie obiektów jest anulowane.
18
Page 19
4.1.6 Ochrona protokołów
Za ochronę antywirusową protokołów POP3 i HTTP odpowiada technologia ThreatSense, która łączy w sobie wszystkie zaawansowane techniki wykrywania szkodliwego oprogramowania. Monitorowanie odbywa się automatycznie, niezależnie od przeglądarki internetowej i programu poczty e-mail. Dostępne są następujące opcje filtrowania protokołów (jeśli włączona jest opcja
Włącz filtrowanie protokołów aplikacji):
Portów HTTP i POP3 — ograniczenie skanowania komunikacji do
znanych portów HTTP i POP3.
Aplikacji oznaczonych jako przeglądarki internetowe lub programy poczty e-mail — włączenie tej opcji spowoduje filtrowanie
jedynie komunikacji aplikacji oznaczonych jako przeglądarki (Ochrona dostępu do stron internetowych > HTTP, HTTPS > Przeglądarki internetowe) oraz programów poczty e-mail (Ochrona programów poczty e-mail > POP3, POP3S > Programy poczty e-mail).
Portów i aplikacji oznaczonych jako przeglądarki internetowe lub programy poczty e-mail — pod kątem szkodliwego oprogramowania
sprawdzane są porty i przeglądarki.
Uwaga: Począwszy od systemów Windows Vista Service Pack 1 iWindows Server 2008, używana jest nowa funkcja filtrowania komunikacji. W rezultacie nie jest dostępna sekcja Filtrowanie protokołów.
4.1.6.1 Protokół SSL
Blokuj komunikację używającą certyfikatu — powoduje przerwanie połączenia z witryną używającą danego certyfikatu.
4.1.6.1.1 Zaufane certyfikaty
Oprócz zintegrowanego magazynu zaufanych głównych urzędów certyfikacji, w którym program ESET Smart Security 4 przechowuje zaufane certyfikaty, można utworzyć niestandardową listę zaufanych certyfikatów. W celu jej wyświetlenia należy użyć opcji Ustawienia (F5) > Filtrowanie protokołów > SSL > Zaufane certyfikaty.
4.1.6.1.2 Wykluczone certyfikaty
Sekcja Wykluczone certyfikaty zawiera certyfikaty, które są uważane za bezpieczne. Program nie będzie sprawdzać zawartości szyfrowanej komunikacji używającej certyfikatów z listy. Zaleca się instalowanie tylko certyfikatów sieciowych o gwarantowanym bezpieczeństwie, dla których nie jest wymagane filtrowanie zawartości.
4.1.7 Ustawienia parametrów technologii ThreatSense
ThreatSense to technologia obejmująca złożone metody wykrywania zagrożeń. Działa ona w sposób profilaktyczny, co oznacza, że zapewnia ochronę już od pierwszych godzin rozprzestrzeniania się nowego zagrożenia. Stosowana jest w niej kombinacja kilku metod (analizy kodu, emulacji kodu, sygnatur rodzajowych, sygnatur wirusów), które współdziałają w celu znacznego zwiększenia bezpieczeństwa systemu. Technologia skanowania umożliwia sprawdzanie kilku strumieni danych jednocześnie, maksymalizując skuteczność i wskaźnik wykrywalności. Technologia ThreatSense pomyślnie eliminuje również programy typu rootkit.
W programie ESET Smart Security 4 możliwe jest sprawdzanie protokołów enkapsulowanych w protokole SSL. Można korzystać z różnych trybów skanowania komunikacji chronionej za pomocą protokołu SSL, a używającej zaufanych lub nieznanych certyfikatów bądź certyfikatów wykluczonych ze sprawdzania takiej komunikacji.
Zawsze skanuj protokół SSL (wykluczone i zaufane certyfikaty pozostaną ważne) — zaznaczenie tej opcji spowoduje skanowanie
całej komunikacji chronionej za pomocą protokołu SSL z wyjątkiem komunikacji chronionej przy użyciu certyfikatów wykluczonych ze sprawdzania. Jeśli nawiązana zostanie komunikacja przy użyciu nieznanego, podpisanego certyfikatu, użytkownik nie zostanie o tym powiadomiony, a komunikacja będzie automatycznie filtrowana. Jeśli użytkownik nawiązuje połączenie z serwerem przy użyciu niezaufanego certyfikatu oznaczonego przez użytkownika jako zaufany (tj. dodanego do listy zaufanych certyfikatów), komunikacja z takim serwerem będzie dozwolona, a dane przesyłane kanałem komunikacyjnym będą filtrowane.
Pytaj o nieodwiedzane witryny (nieznane certyfikaty) — jeśli wprowadzona zostanie nowa witryna chroniona protokołem SSL (o nieznanym certyfikacie), wyświetlone zostanie okno dialogowe wyboru czynności. W tym trybie można utworzyć listę certyfikatów SSL, które zostaną wykluczone ze skanowania.
Nie skanuj protokołu SSL — jeśli ta opcja jest zaznaczona, program nie będzie skanował komunikacji SSL.
Jeśli certyfikat nie może zostać sprawdzony za pomocą magazynu zaufanych głównych urzędów certyfikacji:
Pytaj o ważność certyfikatu — użytkownik jest pytany o działanie, które należy podjąć.
Blokuj komunikację używającą certyfikatu — powoduje przerwanie połączenia z witryną używającą danego certyfikatu.
Opcje konfiguracyjne technologii ThreatSense pozwalają użytkownikowi na określenie kilku parametrów skanowania, takich jak:
typy i rozszerzenia plików, które mają być skanowane;
kombinacje różnych metod wykrywania;
poziomy leczenia itp.
Aby otworzyć okno konfiguracji, kliknij przycisk Ustawienia znajdujący się w oknie ustawień każdej funkcji korzystającej z technologii ThreatSense (patrz poniżej). Poszczególne scenariusze zabezpieczeń mogą wymagać różnych konfiguracji. Technologię ThreatSense można konfigurować indywidualnie dla następujących funkcji ochrony:
Ochrona systemu plików w czasie rzeczywistym
Sprawdzanie plików wykonywanych przy uruchamianiu systemu
Ochrona poczty e-mail
Ochrona dostępu do stron internetowych
Skanowanie komputera na żądanie
Parametry technologii ThreatSense są w wysokim stopniu zoptymalizowane dla poszczególnych modułów i ich modyfikacja może znacząco wpływać na działanie systemu. Na przykład ustawienie opcji skanowania plików spakowanych za każdym razem lub włączenie zaawansowanej heurystyki w funkcji ochrony systemu plików w czasie rzeczywistym może powodować spowolnienie działania systemu (normalnie tylko nowo utworzone pliki są skanowane przy użyciu tych metod). Dlatego zalecane jest pozostawienie niezmienionych parametrów domyślnych technologii ThreatSense dla wszystkich skanerów z wyjątkiem modułu Skanowanie komputera.
Jeśli certyfikat jest nieprawidłowy lub uszkodzony:
Pytaj o ważność certyfikatu — użytkownik jest pytany o działanie, które należy podjąć.
19
Page 20
4.1.7.1 Ustawienia obiektów
Część Obiekty umożliwia określenie składników komputera i plików skanowanych w poszukiwaniu zagrożeń.
Pamięć operacyjna — podczas skanowania poszukiwane są zagrożenia atakujące pamięć operacyjną systemu.
Sektory startowe skanowane są sektory startowe w poszukiwaniu wirusów atakujących główny rekord startowy.
Potencjalnie niebezpieczne aplikacje do aplikacji potencjalnie niebezpiecznych zaliczane są niektóre legalne programy komercyjne. Są to między innymi narzędzia do dostępu zdalnego, dlatego ta opcja jest domyślnie wyłączona.
Potencjalnie niepożądane aplikacje potencjalnie niepożądane aplikacje nie muszą być tworzone w złych intencjach, ale mogą negatywnie wpływać na wydajność komputera. Zainstalowanie takiej aplikacji zazwyczaj wymaga zgody użytkownika. Po zainstalowaniu programu z tej kategorii sposób działania systemu jest inny niż przed instalacją. Najbardziej widoczne zmiany to wyświetlanie wyskakujących okienek, aktywacja i uruchamianie ukrytych procesów, zwiększone użycie zasobów systemowych, zmiany w wynikach wyszukiwania oraz komunikowanie się z serwerami zdalnymi.
Pliki skanowane są najczęściej używane typy plików (programy, obrazy, pliki audio, wideo, bazy danych itd.).
Pliki poczty e-mail skanowane są specjalne pliki zawierające wiadomości e-mail.
Archiwa skanowane są pliki skompresowane w archiwach (.rar, .zip, .arj, .tar, etc.)
Archiwa samorozpakowujące skanowane są pliki znajdujące się warchiwach-samorozpakowujących, zazwyczaj o rozszerzeniu exe.
Pliki spakowane — oprócz standardowych statycznych spakowanych plików skanowane są pliki, które (inaczej niż w przypadku standardowych typów archiwów) są rozpakowywane w pamięci (UPX, yoda, ASPack, FGS itp.).
4.1.7.2 Opcje
W części zawierającej opcje można wybrać metody, które mają być stosowane podczas skanowania systemu w poszukiwaniu zagrożeń. Dostępne są następujące opcje:
Sygnatury — sygnatury umożliwiają dokładne i niezawodne wykrywanie i identyfikowanie infekcji według nazwy przy użyciu sygnatur wirusów.
Heurystyka — heurystyka to algorytm analizujący (szkodliwe) działania podejmowane przez programy. Główną zaletą heurystyki jest możliwość wykrywania nowego szkodliwego oprogramowania, które w momencie aktualizacji nie istniało lub nie zostało umieszczone na liście znanych wirusów (w bazie sygnatur wirusów).
Zaawansowana heurystyka zaawansowana heurystyka jest oparta na unikatowym algorytmie heurystycznym opracowanym przez firmę ESET. Został on zoptymalizowany pod kątem wykrywania robaków i koni trojańskich napisanych w językach programowania wysokiego poziomu. Zaawansowana heurystyka znacznie zwiększa możliwości programu w zakresie wykrywania zagrożeń.
Adware/Spyware/Riskware do tej kategorii zaliczane jest oprogramowanie gromadzące różne poufne informacje na temat użytkowników bez ich świadomej zgody. Obejmuje ona również oprogramowanie wyświetlające materiały reklamowe.
20
4.1.7.3 Leczenie
Ustawienia leczenia określają sposób działania skanera podczas leczenia zainfekowanych plików. Istnieją 3 poziomy leczenia:
Brak leczenia
Zainfekowane pliki nie są automatycznie leczone. Wyświetlane jest okno z ostrzeżeniem, a użytkownik ma możliwość wyboru czynności.
Poziom domyślny
Program próbuje automatycznie wyleczyć lub usunąć zainfekowany plik. Jeśli automatyczny wybór właściwej czynności nie jest możliwy, program umożliwia wybranie dostępnej czynności. Dostępne czynności są wyświetlane również wtedy, gdy wykonanie wstępnie zdefiniowanej czynności nie jest możliwe.
Leczenie dokładne
Program leczy lub usuwa wszystkie zainfekowane pliki (w tym archiwa). Jedyny wyjątek stanowią pliki systemowe. Jeśli ich wyleczenie nie jest możliwe, użytkownik ma możliwość wyboru działania w oknie z ostrzeżeniem.
Page 21
Ostrzeżenie:
W trybie domyślnym cały plik archiwum jest usuwany tylko wtedy, gdy wszystkie pliki w archiwum są zainfekowane. Archiwum nie jest usuwane, jeśli zawiera również niezainfekowane pliki. Jeśli zainfekowany plik archiwum zostanie wykryty w trybie leczenia dokładnego, jest on usuwany w całości, nawet jeśli zawiera również niezainfekowane pliki.
4.1.7.4 Rozszerzenia
Rozszerzenie jest częścią nazwy pliku oddzieloną kopką. Określa ono typ i zawartość pliku. Ta część ustawień parametrów technologii ThreatSense umożliwia definiowanie typów plików, które mają być skanowane.
Poziom zagnieżdżania archiwów
Określa maksymalną głębokość skanowania archiwów. Nie zaleca się zmieniania wartości domyślnej równej 10, ponieważ zazwyczaj nie ma po temu żadnego powodu. Jeśli skanowanie zostanie przedwcześnie zakończone z powodu liczby zagnieżdżonych archiwów, archiwum pozostanie niesprawdzone.
Maksymalny rozmiar pliku w archiwum (w bajtach)
Opcja ta pozwala określić maksymalny rozmiar plików, które mają być skanowane po rozpakowaniu archiwów. Jeśli skanowane archiwum zostanie z tego powodu przedwcześnie zakończone, archiwum pozostanie niesprawdzone.
4.1.7.6 Inne
Skanuj alternatywne strumienie danych (ADS)
Alternatywne strumienie danych (ADS) używane w systemie plików NTFS to skojarzenia plików i folderów, których nie można sprawdzić za pomocą standardowych technik skanowania. Wiele wirusów stara się uniknąć wykrycia, udając alternatywne strumienie danych.
Uruchom skanowanie w tle z niskim priorytetem
Każde skanowanie wymaga użycia pewnej ilości zasobów systemowych. W przypadku używania programów, które wymagają dużej ilości zasobów systemowych, można uruchomić skanowanie zniskim priorytetem w tle, oszczędzając zasoby dla innych aplikacji.
Zapisuj w dzienniku informacje o wszystkich obiektach
Zaznaczenie tej opcji powoduje, że w pliku dziennika zapisywane są informacje o wszystkich skanowanych plikach, nawet tych niezainfekowanych.
Domyślnie skanowane są wszystkie pliki niezależnie od rozszerzenia. Do listy plików wyłączonych ze skanowania można dodać dowolne rozszerzenie. Jeśli opcja Skanuj wszystkie pliki nie jest zaznaczona, na liście wyświetlone są wszystkie rozszerzenia aktualnie skanowanych plików. Przy użyciu przycisków Dodaj i Usuń można włączyć lub wyłączyć skanowanie określonych rozszerzeń.
Aby włączyć skanowanie plików bez rozszerzenia, zaznacz opcję Skanuj pliki bez rozszerzeń.
Wykluczenie plików ze skanowania jest uzasadnione, jeśli skanowanie pewnych typów plików uniemożliwia prawidłowe działanie programu, który ich używa. Na przykład podczas używania serwera programu MSExchange może być wskazane wykluczenie plików zrozszerzeniami edb, eml i tmp.
4.1.7.5 Limity
W sekcji Limity można określić maksymalny rozmiar obiektów i poziomy zagnieżdżonych archiwów, które mają zostać przeskanowane:
Maksymalny rozmiar obiektu (w bajtach)
Określa maksymalny rozmiar obiektów do przeskanowania. Dany moduł antywirusowy będzie wówczas skanować tylko obiekty orozmiarze mniejszym niż określony. Nie zaleca się zmieniania wartości domyślnej, ponieważ zazwyczaj nie ma po temu żadnego powodu. Opcja ta powinna być zmieniana tylko przez zaawansowanych użytkowników, którzy mają określone powody dowykluczenia większych obiektów ze skanowania.
Maksymalny czas skanowania dla obiektu (w sek.)
Określa maksymalny czas potrzebny na przeskanowanie obiektu. Jeśli użytkownik określi taką wartość, moduł antywirusowy zatrzyma skanowanie obiektu po upływie danego czasu niezależnie od tego, czy skanowanie zostało zakończone.
Zachowaj znacznik czasu ostatniego dostępu
Tę opcję należy zaznaczyć, aby zachować oryginalny czas dostępu do plików zamiast jego aktualizacji (do użytku z systemami wykonywania kopii zapasowych danych).
Inteligentna optymalizacja
Inteligentna optymalizacja przyspiesza skanowanie systemu w poszukiwaniu zagrożeń. Włączenie tej opcji nie wpływa negatywnie na bezpieczeństwo Twojego systemu.
Przewijaj dziennik
Ta opcja umożliwia włączenie lub wyłączenie przewijania dziennika. Gdy jest ona wybrana, informacje wyświetlane w oknie są przewijane do góry.
Wyświetl powiadomienie o zakończeniu skanowania w osobnym oknie
Powoduje otwarcie niezależnego okna z informacjami o wynikach skanowania.
4.1.8 Wykryto zagrożenie
Sposoby infekcji systemu mogą być różne, na przykład za pomocą stron internetowych, folderów udostępnionych, poczty e-mail lub wymiennych urządzeń komputerowych (USB, dysków zewnętrznych, dysków CD i DVD, dyskietek itd.).
Jeśli komputer wykazuje symptomy zainfekowania szkodliwym oprogramowaniem, np. działa wolniej lub często przestaje odpowiadać, zaleca się wykonanie następujących czynności:
Uruchom program ESET Smart Security i kliknij opcję Skanowanie
komputera.
Kliknij przycisk Skanowanie standardowe
(więcej informacji można znaleźć w części Skanowanie standardowe).
Po zakończeniu skanowania przejrzyj dziennik, aby sprawdzić
liczbę przeskanowanych, zainfekowanych i wyleczonych plików.
21
Page 22
Aby przeskanować tylko określoną część dysku, kliknij opcję Skanowanie niestandardowe i wybierz lokalizacje, które mają zostać przeskanowane w poszukiwaniu wirusów.
Ogólnym przykładem sposobu działania programu ESET Smart Security w momencie wystąpienia infekcji może być sytuacja, wktórej infekcja zostaje wykryta przez funkcję ochrony systemu plików wczasie rzeczywistym z ustawionym domyślnym poziomem leczenia. Następuje próba wyleczenia lub usunięcia pliku. W przypadku braku wstępnie zdefiniowanej czynności, którą ma wykonywać funkcja ochrony w czasie rzeczywistym, użytkownik jest monitowany owybranie opcji w oknie alertu. Zazwyczaj dostępne są opcje Wylecz, Usuń i Pozostaw. Nie zaleca się wybierania opcji Pozostaw, ponieważ powoduje to pozostawienie zainfekowanych plików bez zmian. Jedyny wyjątek stanowi sytuacja, w której użytkownik ma pewność, że plik jest nieszkodliwy i został wykryty omyłkowo.
Leczenie i usuwanie Leczenie należy stosować w przypadku zainfekowanego pliku, do którego wirus dołączył szkodliwy kod. W takiej sytuacji należy najpierw podjąć próbę wyleczenia zainfekowanego pliku w celu przywrócenia go do stanu pierwotnego. Jeśli plik zawiera wyłącznie szkodliwy kod, jest usuwany w całości.
4.2.1 Tryby filtrowania
Dostępnych jest pięć trybów filtrowania zapory osobistej programu ESET Smart Security. Zachowanie zapory zmienia się w zależności od wybranego trybu. Tryby filtrowania mają również wpływ na wymagany poziom interakcji użytkownika.
Filtrowanie może być wykonywane w jednym z pięciu trybów:
Tryb automatyczny — domyślny. Jest on odpowiedni dla użytkowników preferujących prostą i wygodną obsługę zapory bez konieczności definiowania reguł. Tryb automatyczny zezwala na cały ruch wychodzący w danym systemie i blokuje wszystkie nowe połączenia inicjowane ze strony sieci.
Tryb automatyczny z wyjątkami (reguły zdefiniowane przez użytkownika) — umożliwia rozszerzanie trybu automatycznego
oreguły niestandardowe.
Tryb interaktywny — umożliwia utworzenie indywidualnej konfiguracji zapory osobistej. W przypadku wykrycia połączenia, którego nie dotyczy żadna istniejąca reguła, zostanie wyświetlone okno dialogowe informujące o nieznanym połączeniu. Okno to umożliwia zezwolenie na komunikację lub jej odmowę, a podjęta decyzja może zostać zapamiętana jako nowa reguła zapory osobistej. Jeśli użytkownik zdecyduje się na utworzenie nowej reguły, wszystkie przyszłe połączenia danego typu będą dozwolone lub blokowane zgodnie z tą regułą.
Tryb oparty na regułach — blokuje wszystkie połączenia, które nie sąjawnie dozwolone przez odpowiednią regułę. Ten tryb pozwala zaawansowanym użytkownikom na definiowanie reguł, które zezwalają jedynie na pożądane i bezpieczne połączenia. Wszystkie inne nieokreślone połączenia są blokowane przez zaporę osobistą.
Jeśli zainfekowany plik jest zablokowany lub używany przez proces systemowy, jest zazwyczaj usuwany dopiero po odblokowaniu (zwykle po ponownym uruchomieniu systemu).
Usuwanie plików w archiwach
W domyślnym trybie leczenia całe archiwum jest usuwane tylko wtedy, gdy zawiera wyłącznie zainfekowane pliki i nie zawiera żadnych niezainfekowanych plików. Oznacza to, że archiwa nie są usuwane, jeśli zawierają również nieszkodliwe, niezainfekowane pliki. Podczas skanowania w trybie leczenia dokładnego należy jednak zachować ostrożność, ponieważ w tym trybie każde archiwum zawierające co najmniej jeden zainfekowany plik jest usuwane bez względu na stan pozostałych plików w nim zawartych.
4.2 Zapora osobista
Zapora osobista kontroluje cały przychodzący i wychodzący ruch sieciowy w systemie. Jej działanie polega na zezwalaniu na pojedyncze połączenia sieciowe lub ich odmawianiu w oparciu o określone reguły filtrowania. Zapora zapewnia ochronę przed atakami z komputerów zdalnych i umożliwia blokowanie niektórych usług. Oferuje również ochronę antywirusową protokołów HTTP i POP3. Funkcja ta stanowi bardzo istotny element zabezpieczeń komputera.
Tryb uczenia się — automatycznie tworzy i zapisuje reguły; służy dopoczątkowej konfiguracji zapory osobistej. Interakcja ze strony użytkownika nie jest wymagana, ponieważ program ESET Smart Security zapisuje reguły zgodnie ze wstępnie zdefiniowanymi parametrami. Tryb uczenia się nie jest bezpieczny i powinien być używany tylko do czasu utworzenia wszystkich reguł dla niezbędnych połączeń.
4.2.2 Profile
Profile umożliwiają sterowanie działaniem zapory osobistej programu ESET Smart Security. Podczas tworzenia lub edytowania reguły zapory osobistej można przypisać tę regułę do określonego profilu lub zastosować ją we wszystkich profilach. Po wybraniu profilu są stosowane tylko reguły globalne (dla których nie określono profilu) oraz reguły przypisane do wybranego profilu. W celu łatwego modyfikowania działania zapory osobistej można tworzyć wiele profili z różnymi przypisanymi regułami.
22
Page 23
4.2.2.1 Zarządzanie profilami
4.2.4 Wyłącz filtrowanie: zezwól na cały ruch
Kliknij przycisk Profile... (patrz rysunek w sekcji 4.2.1 „Tryby filtrowania”), aby otworzyć okno Profile zapory, w którym można wybrać następujące operacje na profilach: Dodaj..., Edytuj lub Usuń. Aby można było użyć opcji Edytuj lub Usuń, profil nie może być zaznaczony na liście rozwijanej Wybrany profil. Podczas dodawania lub edytowania profilu można także zdefiniować warunki jego wywołania. Dostępne są następujące możliwości:
Nie przełączaj automatycznie — wywoływanie automatyczne jest wyłączone (profil musi być aktywowany ręcznie).
Gdy profil automatyczny zostanie uznany za nieprawidłowy i żaden inny profil nie zostanie automatycznie aktywowany (profil domyślny)
zapora osobista włączy ten profil, gdy automatyczny profil zostanie uznany za nieprawidłowy (jeśli komputer jest połączony z niezaufaną siecią — patrz sekcja 4.2.6.1 „Uwierzytelnianie sieci”), a w jego miejsce nie zostanie aktywowany inny profil (komputer nie jest połączony zinną zaufaną siecią). Z tego wywołania może korzystać tylko jeden profil.
Jeśli ta strefa została uwierzytelniona — profil zostanie wywołany, jeśli określona strefa jest uwierzytelniona (patrz sekcja 4.2.6.1 „Uwierzytelnianie sieci”).
Opcja wyłączenia filtrowania jest odwrotnością blokowania całego ruchu w sieci. Po jej wybraniu wszystkie funkcje filtrowania zapory osobistej zostają wyłączone, a wszystkie połączenia przychodzące iwychodzące są dozwolone. Jest to równoważne brakowi zapory.
4.2.5 Konfigurowanie i używanie reguł
Reguły stanowią zestaw warunków używanych do odpowiedniego testowania wszystkich połączeń sieciowych i wszystkich działań przypisanych do tych warunków. W zaporze osobistej można określić czynność, która jest podejmowana w przypadku nawiązania połączenia zdefiniowanego przez regułę.
Aby uzyskać dostęp do ustawień filtrowania reguł, wybierz kolejno opcje Ustawienia zaawansowane (F5) > Zapora osobista > Reguły
istrefy. Aby wyświetlić bieżącą konfigurację, kliknij przycisk Ustawienia... w sekcji Edytor stref i reguł (jeśli zapora osobista
działa w trybie automatycznym, te ustawienia są niedostępne).
Kiedy zapora osobista zostanie przełączona do innego profilu, wprawym dolnym rogu ekranu, tuż obok zegara systemowego, zostanie wyświetlone powiadomienie.
4.2.3 Blokuj cały ruch sieciowy: odłącz sieć
Jedynym sposobem na zablokowanie całego ruchu sieciowego jestużycie opcji Blokuj cały ruch sieciowy: odłącz sieć. Wszystkie połączenia przychodzące i wychodzące będą blokowane przez zaporę osobistą bez wyświetlania ostrzeżenia. Tej opcji blokowania należy używać tylko wtedy, gdy zachodzi podejrzenie krytycznych zagrożeń bezpieczeństwa, które wymagają odłączenia systemu od sieci.
W oknie Ustawienia stref i reguł wyświetlany jest przegląd reguł lub stref (zależnie od aktualnie wybranej karty). Okno jest podzielone nadwie sekcje. W górnej sekcji znajduje się lista wszystkich reguł wwidoku skróconym. W dolnej sekcji są wyświetlone szczegóły dotyczące reguły aktualnie wybranej w górnej sekcji. Na samym doleznajdują się przyciski Nowa, Edytuj i Usuń, które umożliwiają konfigurowanie reguł.
Połączenia dzielą się na przychodzące i wychodzące. Połączenia przychodzące są inicjowane przez komputer zdalny, który stara się nawiązać połączenie z systemem lokalnym. Połączenia wychodzące działają w odwrotny sposób — strona lokalna kontaktuje się zkomputerem zdalnym.
W przypadku wykrycia nowego, nieznanego połączenia należy dokładnie rozważyć, czy zezwolić na to połączenie, czy odmówić. Niepożądane, niezabezpieczone lub nieznane połączenia stanowią zagrożenie dla bezpieczeństwa systemu. Gdy takie połączenie zostanie nawiązane, zaleca się zwrócenie szczególnej uwagi na stronę zdalną i aplikację, która próbuje połączyć się z komputerem użytkownika. Wiele ataków polega na próbie pozyskania i wysłania prywatnych danych lub pobraniu niebezpiecznych aplikacji na stacje robocze. Zapora osobista umożliwia użytkownikowi wykrycie i zakończenie takich połączeń.
23
Page 24
4.2.5.1 Tworzenie nowej reguły
Po zainstalowaniu nowej aplikacji, która uzyskuje dostęp do sieci, lubw przypadku modyfikacji istniejącego połączenia (strony zdalnej, numeru portu itp.) należy utworzyć nową regułę.
Na karcie Lokalne dodaj proces odpowiadający aplikacji przeglądarki
(dla programu Internet Explorer jest to plik iexplore.exe).
Na karcie Zdalne dodaj port numer 80, aby zezwolić tylko na
typowe przeglądanie stron internetowych.
4.2.5.2 Edytowanie reguł
Aby zmienić istniejącą regułę, kliknij przycisk Edytuj. Można modyfikować wszystkie dostępne parametry (opisane w sekcji 4.2.5.1 „Tworzenie nowej reguły”).
Modyfikacja jest wymagana wtedy, gdy jeden z monitorowanych parametrów ulegnie zmianie. W takim przypadku reguła nie spełnia już warunków i określone działanie nie może być wykonane. Efektem końcowym może być odrzucenie danego połączenia, co może powodować problemy w działaniu odpowiedniej aplikacji. Przykładem może być zmiana adresu sieciowego lub numeru portu strony zdalnej.
4.2.6 Konfigurowanie stref
W oknie Ustawienia strefy można określić nazwę strefy, opis i listę adresów sieciowych oraz podać informacje o uwierzytelnianiu strefy (patrz sekcja 4.2.6.1.1 „Uwierzytelnianie strefy — konfiguracja klienta”).
Aby dodać nową regułę, wybierz kartę Reguły. Następnie w oknie Ustawienia stref i reguł kliknij przycisk Nowa. Kliknięcie tego przycisku spowoduje otwarcie okna dialogowego, w którym można zdefiniować nową regułę. Górna część okna zawiera trzy karty:
Ogólne: umożliwia określenie nazwy reguły, kierunku połączenia,
czynności, protokołu i profilu, w którym reguła ma zastosowanie.
Zdalne: ta karta zawiera informacje o porcie zdalnym (zakresie portów).
Pozwala ona również definiować listy zdalnych adresów IP lub stref dla danej reguły.
Lokalne: zawiera informacje dotyczące strony lokalnej połączenia,
w tym numer portu lokalnego lub zakres portów oraz nazwę komunikującej się aplikacji.
Strefa stanowi kolekcję adresów sieciowych tworzących jedną grupę logiczną. Każdemu adresowi w danej grupie przypisywane są podobne reguły, zdefiniowane centralnie dla całej grupy. Jednym z przykładów takiej grupy jest strefa zaufana. Strefa zaufana reprezentuje grupę adresów sieciowych, które zostały uznane za bezpieczne i nie są wżaden sposób blokowane przez zaporę osobistą.
Strefy można konfigurować za pomocą karty Strefy w oknie Ustawienia stref i reguł, klikając przycisk Nowa. Wprowadź nazwę i opis strefy, anastępnie kliknij przycisk Dodaj adres IPv4, aby dodać zdalny adres IP.
4.2.6.1 Uwierzytelnianie sieci
Strefa zaufana jest identyfikowana na podstawie lokalnego adresu IP karty sieciowej. Adresy IP komputerów przenośnych przyłączających się do sieci są często podobne do adresu sieci zaufanej. Jeśli ustawienia strefy zaufanej nie zostaną ręcznie przełączone na opcję Dokładna
ochrona, zapora osobista będzie nadal korzystać z trybu Zezwól na udostępnianie.
Aby temu zapobiec, moduł uwierzytelniania strefy odszukuje określony serwer w sieci i dokonuje jego uwierzytelnienia z wykorzystaniem szyfrowania asymetrycznego (algorytm RSA). Proces uwierzytelniania jest powtarzany w przypadku każdej sieci, z którą łączy się komputer.
4.2.6.1.1 Uwierzytelnianie strefy — konfiguracja klienta
W oknie Ustawienia strefy kliknij kartę Strefy i utwórz nową strefę, korzystając z nazwy strefy uwierzytelnionej przez serwer. Następnie kliknij przycisk Dodaj adres IPv4 i wybierz opcję Podsieć, aby dodać maskę podsieci, w której znajduje się serwer uwierzytelniania.
Dobrym przykładem dodawania nowej reguły jest zezwolenie przeglądarce internetowej na dostęp do sieci. W tym przypadku należy wprowadzić następujące informacje:
Na karcie Ogólne włącz kierunek wychodzący dla protokołów TCP
i UDP.
24
Kliknij kartę Uwierzytelnianie strefy i wybierz opcję Adresy IP/
podsieci w strefie zostaną uznane za prawidłowe po pomyślnym uwierzytelnieniu serwera w sieci. W przypadku wybrania tej opcji
strefa zostanie uznana za nieprawidłową, jeśli uwierzytelnianie zakończy się niepowodzeniem. Aby wybrać profil zapory osobistej, który ma być aktywowany po pomyślnym uwierzytelnieniu strefy,
kliknij przycisk Profile.... Jeśli zostanie wybrana opcja Dodaj adresy/
podsieci strefy do strefy zaufanej, adresy i podsieci strefy zostaną dodane do strefy zaufanej w przypadku pomyślnego uwierzytelnienia (zalecane).
Page 25
Dostępne są trzy typy uwierzytelnienia:
1) Używanie serwera uwierzytelniania ESET
Kliknij przycisk Ustawienia... i podaj nazwę serwera, port nasłuchu serwera oraz klucz publiczny odpowiadający kluczowi prywatnemu na serwerze (patrz sekcja 4.2.6.1.2 „Uwierzytelnianie strefy — konfiguracja serwera”). Nazwa serwera może mieć formę adresu IP, nazwy DNS lub NetBios. Po nazwie serwera można umieścić ścieżkę wskazującą lokalizację klucza na serwerze (np. nazwa_serwera_/katalog1/katalog2/authentication). Można wprowadzić kilka serwerów (oddzielając ich adresy średnikami), które będą pełnić rolę serwerów alternatywnych używanych w przypadku niedostępności pierwszego serwera.
Uwierzytelnianie serwera nie powiodło się. Przekroczono maksymalny czas uwierzytelniania.
Serwer uwierzytelniania jest niedostępny. Sprawdź nazwę lub adres IP serwera i/lub sprawdź ustawienia zapory osobistej na kliencie oraz sekcję serwera.
Wystąpił błąd podczas komunikacji z serwerem.
Serwer uwierzytelniania nie jest uruchomiony. Uruchom usługę serwera uwierzytelniania (patrz sekcja 4.2.6.1.2 „Uwierzytelnianie strefy — konfiguracja serwera”).
Nazwa strefy uwierzytelniania nie zgadza się ze strefą serwera.
Nazwa skonfigurowanej strefy nie zgadza się ze strefą serwera uwierzytelniania. Sprawdź obie strefy i upewnij się, że ich nazwy są identyczne.
Uwierzytelnianie serwera nie powiodło się. Nie znaleziono adresu serwera na liście adresów danej strefy.
Adres IP komputera, na którym jest uruchomiony serwer uwierzytelniania, jest poza zakresem adresów IP bieżącej konfiguracji strefy.
Uwierzytelnianie serwera nie powiodło się. Prawdopodobnie wprowadzono nieprawidłowy klucz publiczny.
Upewnij się, że wskazany klucz publiczny odpowiada kluczowi prywatnemu na serwerze. Sprawdź także, czy plik klucza publicznego nie jest uszkodzony.
2) Za pomocą konfiguracji sieci lokalnej
Uwierzytelnianie jest przeprowadzane zgodnie z parametrami sieci lokalnej. Uwierzytelnianie zakończy się powodzeniem, jeśli wszystkie wybrane parametry aktywnego połączenia są prawidłowe.
Klucz publiczny może być dowolnym plikiem następującego typu:
Publiczny, szyfrowany klucz PEM (.pem) — jest to klucz generowany
przy użyciu serwera uwierzytelniania ESET (patrz sekcja 4.2.6.1.2 „Uwierzytelnianie strefy — konfiguracja serwera”).
Kodowany klucz publiczny
Certyfikat klucza publicznego (.crt)
4.2.6.1.2 Uwierzytelnianie strefy — konfiguracja serwera
Proces uwierzytelniania może zostać uruchomiony z dowolnego komputera lub serwera podłączonego do sieci, która ma zostać uwierzytelniona. Aplikacja serwera uwierzytelniania ESET musi być zainstalowana na komputerze lub serwerze, który będzie zawsze dostępny na potrzeby uwierzytelniania, gdy klient wykona próbę połączenia się z siecią. Plik instalacyjny aplikacji serwera uwierzytelniania ESET jest dostępny do pobrania w witrynie internetowej firmy ESET.
Aby przetestować ustawienia, kliknij przycisk Testuj. Jeśli uwierzytelnianie zakończy się pomyślnie, zostanie wyświetlony komunikat o pomyślnym uwierzytelnieniu serwera. Jeśli uwierzytelnianie nie jest poprawnie skonfigurowane, zostanie wyświetlony jeden z następujących komunikatów o błędzie:
Po zainstalowaniu aplikacji serwera uwierzytelniania ESET zostanie wyświetlone okno dialogowe (dostęp do aplikacji można uzyskać w każdej chwili, wybierając opcje Start > Programy > ESET > ESET Authentication Server > ESET Authentication Server).
25
Page 26
Aby skonfigurować serwer uwierzytelniania, wprowadź nazwę strefy uwierzytelniania, port nasłuchu serwera (domyślnie: 80) i położenie, w którym zostaną zapisane klucze publiczny i prywatny. Następnie wygeneruj klucze publiczny i prywatny, które będą używane w procesie uwierzytelniania. Klucz prywatny pozostanie ustawiony na serwerze, natomiast klucz publiczny należy zaimportować po stronie klienta podczas konfigurowania strefy wustawieniach zapory (sekcja Uwierzytelnianie strefy).
Przy tworzeniu nowych reguł należy zachować ostrożność i zezwalać tylko na bezpieczne połączenia. Jeśli wszystkie połączenia są dozwolone, zapora osobista nie spełnia swojego zadania. Oto ważne parametry połączeń:
Strona zdalna: należy zezwalać na połączenia tylko z zaufanymi
iznanymi adresami.
Aplikacja lokalna: nie zaleca się zezwalania na połączenia
znieznanymi aplikacjami i procesami.
Numer portu: połączenia korzystające z typowych portów
(np.Internet — port numer 80) powinny w zwykłych okolicznościach być dopuszczane.
4.2.7 Ustanawianie połączenia — wykrywanie
Zapora osobista wykrywa każde nowo utworzone połączenie sieciowe. Aktywny tryb zapory określa, jakie działania są realizowane dla nowej reguły. Jeśli włączony jest tryb automatyczny lub oparty na regułach, zapora osobista wykonuje wstępnie zdefiniowane działania bez interwencji użytkownika. W trybie interaktywnym wyświetlane jest okno informacyjne z powiadomieniem o wykryciu nowego połączenia sieciowego oraz szczegółowymi informacjami na temat połączenia. Użytkownik może zezwolić na połączenie lub je odrzucić (zablokować). Jeśli użytkownik wielokrotnie zezwala na to samo połączenie przy użyciu okna dialogowego, zaleca się utworzenie nowej reguły dla tego połączenia. W tym celu należy wybrać opcję Pamiętaj czynność (utwórz regułę) i zapisać działanie jako nową regułę zapory osobistej. Jeśli zapora wykryje wprzyszłości to samo połączenie, zostanie zastosowana istniejąca reguła.
Szkodliwe oprogramowanie często rozprzestrzenia się z wykorzystaniem ukrytych połączeń internetowych, co ułatwia infekowanie systemów zdalnych. Jeśli reguły są prawidłowo skonfigurowane, zapora osobista staje się użytecznym narzędziem ochrony przed wieloma atakami dokonywanymi przy użyciu szkodliwego kodu.
4.2.8 Zapisywanie w dzienniku
Zapora osobista programu ESET Smart Security zapisuje wszystkie ważne zdarzenia w pliku dziennika, który można wyświetlać bezpośrednio z poziomu menu głównego programu. Kliknij kolejno opcje Narzędzia > Pliki dziennika, a następnie wybierz opcję Dziennik zapory osobistej ESET w menu rozwijanym Dziennik.
Pliki dziennika są nieocenionym narzędziem do wykrywania błędów iujawniania włamań do systemu, dlatego należy im poświęcić szczególną uwagę. Dzienniki zapory osobistej ESET zawierają następujące dane:
data i godzina wystąpienia zdarzenia;
nazwa zdarzenia;
źródło zdarzenia;
docelowy adres sieciowy;
protokół komunikacji sieciowej;
zastosowana reguła lub nazwa robaka, jeśli został
zidentyfikowany;
aplikacja, której dotyczy zdarzenie;
użytkownik.
26
Page 27
Dokładna analiza tych danych może pomóc w wykryciu prób złamania zabezpieczeń systemu. Istnieje też wiele innych czynników, które sygnalizują potencjalne zagrożenia i pozwalają zminimalizować ich skutki: zbyt częste połączenia z nieznanych lokalizacji, wielokrotne próby nawiązania połączenia, połączenia nieznanych aplikacji lub używanie nietypowych numerów portów.
4.3 Ochrona przed spamem
Niepożądana poczta e-mail — spam — to jeden z najpoważniejszych problemów współczesnej komunikacji elektronicznej. Stanowi obecnie do 80% wszystkich wysyłanych wiadomości e-mail. Ochrona przed spamem jest rozwiązaniem zabezpieczającym przed tym problemem. Dzięki połączeniu kilku bardzo skutecznych metod funkcja ochrony przed spamem zapewnia wysoką wydajność filtrowania poczty.
4.3.1.1 Dodawanie adresów do białej listy
Adresy e-mail należące do osób, z którymi użytkownik często się komunikuje, można dodać do listy bezpiecznych adresów (białej listy). Dzięki temu uzyskuje się pewność, że żadna wiadomość pochodząca z adresu na białej liście nie zostanie nigdy sklasyfikowana jako spam. Aby dodać nowy adres do białej listy, klikni prawym przyciskiem myszy daną wiadomość e-mail i w menu kontekstowym programu ESET Smart Security wybierz opcję Dodaj do białej listy (lub na pasku narzędzi ochrony przed spamem programu ESET Smart Security znajdującym się w górnej części programu poczty e-mail kliknij przycisk Adres zaufany). Podobną procedurę stosuje się wprzypadku adresów kojarzonych ze spamem. Jeśli dany adres e-mail znajduje się na czarnej liście, każda przysłana z niego wiadomość jest klasyfikowana jako spam.
4.3.1.2 Oznaczanie wiadomości jako spam
Dowolną wiadomość wyświetloną w kliencie poczty e-mail można oznaczyć jako spam. W tym celu użyj menu kontekstowego (kliknij prawym przyciskiem myszy), a następnie kliknij kolejno opcje ESETSmart Security > Zmień klasyfikację wybranych wiadomości na spam lub na pasku narzędzi ochrony przed spamem programu ESET Smart Security znajdującym się w programie pocztowym kliknij przycisk Spam.
Ważną cechą mechanizmu wykrywania spamu jest możliwość identyfikacji niepożądanej poczty e-mail na podstawie wstępnie zdefiniowanych, zaufanych adresów (białej listy) i adresów kojarzonych ze spamem (czarnej listy). Wszystkie adresy z programu poczty e-mail są automatycznie dodawane do białej listy. Dodawane są również wszystkie inne adresy, które użytkownik oznaczył jako bezpieczne.
Główną metodą wykrywania spamu jest skanowanie właściwości wiadomości e-mail. Odebrane wiadomości są skanowane pod kątem podstawowych kryteriów ochrony przed spamem (definicji wiadomości, heurystyki statystycznej, rozpoznawania algorytmów i innych wyjątkowych metod), a następnie na podstawie uzyskanej wartości wskaźnika klasyfikowane jako będące lub niebędące spamem.
Jako metoda filtrowania stosowany jest również filtr Bayesa. Oznaczając wiadomości jako będące spamem lub pożądane, użytkownik tworzy bazę danych zawierającą słowa występujące wwiadomościach z każdej z tych kategorii. Im większa baza danych, tym bardziej dokładne są wyniki filtrowania.
Połączenie wymienionych powyżej metod zapewnia wysoki wskaźnik wykrywalności spamu.
Program ESET Smart Security obsługuje ochronę przed spamem wprzypadku programów Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail oraz Mozilla Thunderbird.
4.3.1 Uczący się ochrony przed spamem
Ucząca się funkcja ochrony przed spamem jest związana z wspomnianym powyżej filtrem Bayesa. W trakcie procesu uczenia się reguł oznaczania wiadomości jako będących spamem lub pożądanych waga poszczególnych słów ulega zmianie. Z tego powodu im więcej wiadomości zostanie sklasyfikowanych (oznaczonych jako będące lub nie będące spamem), tymbardziej dokładne będą wyniki uzyskiwane przy użyciu filtru Bayesa.
Wiadomości ze zmienioną klasyfikacją są automatycznie przenoszone do folderu ze spamem, ale adresy e-mail ich nadawców nie są dodawane do czarnej listy. W podobny sposób wiadomości można klasyfikować jako pożądane. Jeśli wiadomości z folderu Wiadomości-śmieci zostaną sklasyfikowane jako pożądane, są przenoszone do pierwotnego folderu. Oznaczenie wiadomości jako nie będącej spamem nie powoduje automatycznego dodania adresu jej nadawcy do białej listy.
4.4 Aktualizowanie programu
Regularne aktualizowanie systemu to podstawowy sposób osiągnięcia maksymalnego poziomu bezpieczeństwa zapewnianego przy użyciu programu ESET Smart Security. Funkcja aktualizacji gwarantuje, że program jest zawsze aktualny. Jest to realizowane na dwa sposoby: aktualizowanie bazy sygnatur wirusów oraz aktualizowanie wszystkich składników systemu.
Informacje na temat bieżącego stanu aktualizacji, w tym numer bieżącej wersji bazy sygnatur wirusów oraz informację o konieczności wykonania aktualizacji, są dostępne po kliknięciu opcji Aktualizacja. Ponadto dostępna jest opcja Aktualizuj bazę sygnatur wirusów, umożliwiająca natychmiastowe uruchomienie procesu aktualizacji oraz podstawowe opcje ustawień aktualizacji, takie jak nazwa użytkownika i hasło zapewniające dostęp do serwerów aktualizacji firmy ESET.
Okno informacji zawiera też szczegóły, takie jak data i godzina ostatniej pomyślnej aktualizacji oraz numer bazy danych sygnatur wirusów. To wskazanie liczbowe stanowi aktywne łącze do witryny internetowej firmy ESET zawierającej listę wszystkich sygnatur dodanych w ramach określonej aktualizacji.
Aby wyłączyć z procedury filtrowania wiadomości pochodzące ze znanych adresów, adresy należy dodać do białej listy.
27
Page 28
Łącze Rejestracja umożliwia otwarcie formularza rejestracji — przy założeniu, że nowa licencja jest zarejestrowana w firmie ESET, a dane uwierzytelniające zostały dostarczone na podany adres e-mail.
UWAGA: Nazwa użytkownika i hasło są udostępniane przez firmę ESET po zakupie programu ESET Smart Security.
4.4.1 Ustawienia aktualizacji
W sekcji ustawień aktualizacji są określane informacje o źródle aktualizacji, takie jak serwery aktualizacji i odpowiadające imdane uwierzytelniania. Domyślnie w polu Serwer aktualizacji ustawiona jest wartość Wybierz automatycznie. Zapewnia ona automatyczne pobranie plików aktualizacji z serwera firmy ESET przyjak najmniejszym obciążaniu sieci. Opcje ustawień aktualizacji sądostępne w części Aktualizacja, znajdującej się w oknie Ustawienia zaawansowane (klawisz F5).
4.4.1.1 Profile aktualizacji
W przypadku różnych konfiguracji funkcji aktualizacji można tworzyć zdefiniowane przez użytkownika profile aktualizacji stosowane przy określonych zadaniach aktualizacji. Tworzenie różnych profilów aktualizacji jest szczególnie przydatne w przypadku użytkowników mobilnych, ponieważ właściwości połączenia internetowego regularnie ulegają zmianie. Modyfikując zadanie aktualizacji, użytkownicy mobilni mogą określić, że jeśli zaktualizowanie programu przy użyciu konfiguracji zdefiniowanej w profilu Mój profil nie jest możliwe, operacja zostanie wykonana przy użyciu innego profilu.
W menu rozwijanym Wybrany profil wyświetlana jest informacja oaktualnie wybranym profilu. Domyślnie jest to opcja Mój profil. Aby utworzyć nowy profil, kliknij przycisk Profile, a następnie przycisk Dodaj i wprowadź nazwę w polu Nazwa profilu. Podczas tworzenia nowego profilu można skopiować ustawienia istniejącego profilu, wybierając go w menu rozwijanym Kopiuj ustawienia z profilu.
W ramach konfiguracji profilu można określić serwer aktualizacji, zktórym program będzie się łączyć w celu pobrania aktualizacji. Można użyć dowolnego serwera z listy dostępnych serwerów lub dodać nowy. Lista aktualnie istniejących serwerów aktualizacji jest dostępna w menu rozwijanym Serwer aktualizacji. Aby dodać nowy serwer aktualizacji, kliknij przycisk Edytuj w sekcji Ustawienia aktualizacji dla wybranego profilu, a następnie kliknij przycisk Dodaj.
Lista aktualnie istniejących serwerów aktualizacji jest dostępna wmenu rozwijanym Serwer aktualizacji. Aby dodać nowy serwer aktualizacji, kliknij przycisk Edytuj w części Ustawienia aktualizacji dla wybranego profilu, a następnie kliknij przycisk Dodaj.
Uwierzytelnianie na serwerach aktualizacji jest wykonywane na podstawie wartości pól Nazwa użytkownika i Hasło, które zostały wygenerowane iwysłane do użytkownika przez firmę ESET po nabyciu licencji produktu.
4.4.1.2 Zaawansowane ustawienia aktualizacji
Aby wyświetlić okno Zaawansowane ustawienia aktualizacji, kliknij przycisk Ustawienia. Opcje zaawansowanych ustawień aktualizacji obejmują konfigurację takich elementów, jak Tryb aktualizacji,
Serwer proxy, LAN oraz Kopia dystrybucyjna.
4.4.1.2.1 Tryb aktualizacji
Karta Tryb aktualizacji zawiera opcje związane z aktualizacją składników programu.
W sekcji Aktualizacja komponentu programu są dostępne trzy opcje:
Nigdy nie aktualizuj komponentów programu
Zawsze aktualizuj komponenty programu
Pytaj przed pobraniem aktualizacji komponentów programu
Wybranie opcji Nigdy nie aktualizuj komponentów programu powoduje, że po wydaniu przez firmę ESET nowej aktualizacji komponentu programu, nie zostanie ona pobrana i żadna aktualizacja komponentów nie zostanie wykonana na określonej stacji roboczej. Opcja Zawsze aktualizuj komponenty programu powoduje aktualizację komponentów programu za każdym razem, gdy na serwerach aktualizacji firmy ESET udostępniana jest nowa aktualizacja. Komponenty programu są uaktualniane do najnowszej wersji.
28
Page 29
Trzecią opcję, Pytaj przed pobraniem komponentów programu, należy zaznaczyć, aby użytkownik był pytany o potwierdzenie przed pobraniem aktualizacji, gdy staną się one dostępne. W takim przypadku zostanie wyświetlone okno dialogowe zawierające informacje o dostępnych aktualizacjach i umożliwiające potwierdzenie lub odrzucenie ich pobrania. Po potwierdzeniu aktualizacje są pobierane inowe komponenty programu są instalowane.
Opcją domyślną jest ustawienie Pytaj przed pobraniem aktualizacji
komponentów programu
Wybór opcji Użyj globalnych ustawień serwera proxy powoduje użycie wszystkich opcji konfiguracji serwera proxy określonych wczęści Inne > Serwer proxy drzewa Ustawienia zaawansowane.
.
Po zainstalowaniu aktualizacji komponentu programu konieczne jest ponowne uruchomienie systemu, aby dostępne były wszystkie funkcje modułów. W obszarze Uruchom ponownie po uaktualnieniu komponentu programu można wybrać jedną z trzech następujących opcji:
Nigdy nie uruchamiaj ponownie komputera
W razie potrzeby zaoferuj ponowne uruchomienie komputera
W razie potrzeby uruchom ponownie komputer bez
powiadomienia
Opcją domyślną jest ustawienie W razie potrzeby zaoferuj ponowne uruchomienie komputera. Wybór najbardziej odpowiednich opcji
aktualizacji komponentów programu na karcie Tryb aktualizacji zależy od stacji roboczej, na której ustawienia będą stosowane. Należy pamiętać o różnicach między stacjami roboczymi a serwerami. Na przykład automatyczne ponowne uruchomienie serwera po uaktualnieniu programu mogłoby spowodować poważne szkody.
4.4.1.2.2 Serwer proxy
Aby uzyskać dostęp do opcji ustawień serwera proxy dla danego profilu aktualizacji, wykonaj następujące czynności: Kliknij opcję Aktualizacja w drzewie Ustawienia zaawansowane (klawisz F5), anastępnie kliknij przycisk Ustawienia znajdujący się po prawej stronie opcji Zaawansowane ustawienia aktualizacji. Kliknij kartę Serwer proxy i wybierz jedną z trzech następujących opcji:
Aby wyraźnie określić, że podczas aktualizacji programu ESET Smart Security nie ma być używany żaden serwer proxy, należy zaznaczyć opcję Nie używaj serwera proxy.
Opcję Połączenie przez serwer proxy należy wybrać, jeśli podczas aktualizacji programu ESET Smart Security będzie używany serwer proxy i jest on inny niż serwer proxy określony w ustawieniach globalnych (Inne > Serwer proxy). W takiej sytuacji należy określić następujące ustawienia: adres serwera proxy, port komunikacyjny oraz nazwę użytkownika i hasło serwera proxy, jeśli są wymagane.
Tę opcję należy wybrać także w przypadku, gdy nie określono ustawień globalnych serwera proxy, ale w celu aktualizacji program ESET Smart Security będzie korzystać z połączenia przez serwer proxy.
Ustawieniem domyślnym jest Użyj ustawień globalnych serwera
proxy.
4.4.1.2.3 Połączenie z siecią LAN
W przypadku aktualizacji za pomocą serwera lokalnego z systemem operacyjnym opartym na systemie Windows NT domyślnie wymagane jest uwierzytelnianie każdego połączenia sieciowego. Wwiększości przypadków konto użytkownika w systemie lokalnym nie ma wystarczających praw do uzyskania dostępu do folderu kopii dystrybucyjnej (zawierającego kopie plików aktualizacji). Należy wówczas wprowadzić nazwę użytkownika i hasło w części zustawieniami aktualizacji lub określić istniejące konto, za pomocą którego program uzyska dostęp do serwera aktualizacji (kopii dystrybucyjnej).
Aby skonfigurować takie konto, kliknij kartę LAN. W obszarze Połącz
z serwerem aktualizacji jako dostępne są opcje Konto systemowe (domyślnie), Bieżący użytkownik i Określony użytkownik.
Użyj ustawień globalnych serwera proxy
Nie używaj serwera proxy
Połączenie przez serwer proxy (połączenie zdefiniowane przy
użyciu właściwości)
29
Page 30
Wybierz opcję Konto systemowe, aby w celu uwierzytelniania użyć konta systemowego. Zazwyczaj uwierzytelnianie nie jest wykonywane, jeśli główna część ustawień aktualizacji nie zawiera danych uwierzytelniających.
Aby mieć pewność, że program autoryzuje się za pomocą aktualnie zalogowanego konta użytkownika, należy wybrać opcję Bieżący użytkownik. Wadą tego rozwiązania jest to, że program nie może nawiązać połączenia z serwerem aktualizacji, jeśli aktualnie nie jest zalogowany żaden użytkownik.
Jeśli program ma używać przy uwierzytelnianiu określonego konta użytkownika, należy wybrać opcję Określony użytkownik.
Domyślną opcją połączenia LAN jest opcja Konto systemowe.
Ostrzeżenie:
Jeśli włączona jest opcja Bieżący użytkownik lub Określony użytkownik, podczas zmiany tożsamości i wyboru konta żądanego
użytkownika w programie może wystąpić błąd. Z tego powodu zaleca się wprowadzenie danych uwierzytelniających dla sieci LAN w głównej części ustawień aktualizacji. W tej części ustawień aktualizacji należy wprowadzić następujące dane uwierzytelniające: nazwa_domeny\ użytkownik (w przypadku grupy roboczej nazwa_grupy_roboczej\ nazwa) i hasło użytkownika. W przypadku aktualizacji z wersji HTTP serwera lokalnego uwierzytelnianie nie jest wymagane.
4.4.1.2.4 Tworzenie kopii aktualizacji — kopia dystrybucyjna
Program ESET Smart Security Business Edition umożliwia użytkownikowi utworzenie kopii plików aktualizacji, które mogą zostać użyte w celu aktualizacji innych stacji roboczych znajdujących się w sieci. Aktualizowanie klienckich stacji roboczych przy użyciu kopii dystrybucyjnej pozwala na zoptymalizowanie obciążenia sieci ioszczędne wykorzystanie przepustowości połączenia internetowego.
Opcje konfiguracji lokalnego serwera kopii dystrybucyjnej są dostępne (po dodaniu poprawnego klucza licencyjnego w części zarządzania licencjami w oknie Ustawienia zaawansowane programu ESET Smart Security Business Edition) w opcji Zaawansowane ustawienia aktualizacji: Aby uzyskać do niej dostęp, naciśnij klawisz F5 i kliknij część Aktualizacja w drzewie Ustawienia zaawansowane. Kliknij przycisk Ustawienia znajdujący się obok opcji Zaawansowane ustawienia aktualizacji i wybierz kartę Kopia dystrybucyjna.
Pierwszym krokiem konfiguracji kopii dystrybucyjnej jest zaznaczenie pola wyboru Utwórz kopię dystrybucyjną aktualizacji. Powoduje to uaktywnienie innych opcji konfiguracji kopii dystrybucyjnej, takich jak sposób uzyskiwania dostępu do plików aktualizacji oraz ścieżka aktualizacji do plików kopii dystrybucyjnej.
Metody aktywacji kopii dystrybucyjnej szczegółowo opisano wkolejnym rozdziale zatytułowanym „Sposoby uzyskiwania dostępu do kopii dystrybucyjnej“. Należy zwrócić uwagę na fakt, że dostępne są dwa podstawowe sposoby uzyskiwania dostępu do kopii dystrybucyjnej — folder zawierający pliki aktualizacji może być dostępny w postaci udostępnionego folderu sieciowego lub serwera HTTP.
Folder przeznaczony do przechowywania plików aktualizacji na potrzeby kopii dystrybucyjnej jest określany w sekcji Folder
przechowywania kopii dystrybucyjnej aktualizacji. Kliknij przycisk Folder, aby przejść do żądanego folderu na komputerze lokalnym lub
udostępnionego folderu sieciowego. Jeśli określony folder wymaga autoryzacji, należy podać dane uwierzytelniające w polach Nazwa użytkownika i Hasło. Nazwę użytkownika i hasło należy wprowadzić w formacie domena/użytkownik lub grupa_robocza/użytkownik. Należy pamiętać o podaniu odpowiednich haseł.
Podczas określania szczegółowej konfiguracji kopii dystrybucyjnej można również określić wersje językowe, dla których mają być pobierane kopie plików aktualizacji. Ustawienia wersji językowej są dostępne w polu Pliki — Dostępne wersje.
4.4.1.2.4.1 Aktualizowanie przy użyciu kopii dystrybucyjnej
Dostępne są dwie podstawowe metody konfigurowania kopii dystrybucyjnej — folder zawierający pliki aktualizacji może być dostępny w postaci udostępnionego folderu sieciowego lub serwera HTTP.
Uzyskiwanie dostępu do kopii dystrybucyjnej przy użyciu wewnętrznego serwera HTTP
Jest to konfiguracja domyślna, określona we wstępnie zdefiniowanej konfiguracji programu. Aby zezwolić na dostęp do kopii dystrybucyjnej przy użyciu serwera HTTP, przejdź do opcji Zaawansowane ustawienia
aktualizacji (karta Kopia dystrybucyjna) i zaznacz opcję Utwórz kopię dystrybucyjną aktualizacji.
W opcji Ustawienia zaawansowane na karcie Kopia dystrybucyjna można określić port serwera, na którym serwer HTTP będzie nasłuchiwać, oraz typ uwierzytelniania używany na tym serwerze. Domyślnie ustawienie Port serwera ma wartość 2221. Opcja Uwierzytelnianie służy do definiowana metody uwierzytelniania używanej podczas uzyskiwania dostępu do plików aktualizacji. Dostępne są następujące opcje: NONE, Basic i NTLM. Wybór opcji Basic powoduje stosowanie
30
Page 31
kodowania base64 i podstawowej metody uwierzytelniania za pomocą nazwy użytkownika i hasła. Opcja NTLM umożliwia uwierzytelnianie przy użyciu bezpiecznego kodowania. Na potrzeby uwierzytelniania używane jest konto użytkownika utworzone na stacji roboczej, na której udostępniane są pliki aktualizacji. Ustawieniem domyślnym jest NONE, które zapewnia dostęp do plików aktualizacji bez konieczności uwierzytelniania.
Ostrzeżenie:
Aby zezwolić na dostęp do plików aktualizacji za pośrednictwem serwera HTTP, folder kopii dystrybucyjnej musi znajdować się na tym samym komputerze co program ESET Smart Security, za pomocą którego został on utworzony.
Po zakończeniu konfigurowania kopii dystrybucyjnej na stacjach roboczych, jako serwer aktualizacji należy ustawić wartość \\UNC\ ŚCIEŻKA. W tym celu wykonaj następujące czynności:
Otwórz okno Ustawienia zaawansowane programu ESET Smart
Security i kliknij część Aktualizacja.
Kliknij przycisk Edytuj znajdujący się obok opcji Serwer aktualizacji
i dodaj nowy serwer, stosując format \\UNC\ŚCIEŻKA.
Wybierz nowo dodany serwer z listy serwerów aktualizacji.
UWAGA:
Aby zapewnić prawidłowe działanie, ścieżka do folderu kopii dystrybucyjnej musi być określona jako ścieżka UNC. Aktualizowanie przy użyciu dysków mapowanych może nie działać.
4.4.1.2.4.2 Rozwiązywanie problemów z aktualizacją przy użyciu
kopii dystrybucyjnej
W zależności od metody uzyskiwania dostępu do folderu kopii dystrybucyjnej mogą wystąpić problemy różnego typu. W większości przypadków przyczyny problemów występujących podczas aktualizacji przy użyciu serwera kopii dystrybucyjnej są następujące: nieprawidłowe określenie opcji folderu kopii dystrybucyjnej, nieprawidłowe dane uwierzytelniające dla folderu kopii dystrybucyjnej, nieprawidłowa konfiguracja na lokalnych stacjach roboczych próbujących pobrać pliki aktualizacji z kopii dystrybucyjnej. Przyczyny te mogą występować razem. Poniżej omówiono najczęściej występujące problemy:
Po zakończeniu konfigurowania kopii dystrybucyjnej dodaj na stacjach roboczych nowy serwer aktualizacji, stosując format http:// adres_IP_serwera:2221. W tym celu wykonaj następujące czynności:
Otwórz drzewo Ustawienia zaawansowane programu ESET
Smart Security i kliknij sekcję Aktualizacja.
Kliknij przycisk Edytuj znajdujący się po prawej stronie menu
rozwijanego Serwer aktualizacji i dodaj nowy serwer, stosując następujący format: http://adres_IP_serwera:2221
Wybierz nowo dodany serwer z listy serwerów aktualizacji.
Uzyskiwanie dostępu do kopii dystrybucyjnej za pośrednictwem udziałów systemowych
Najpierw na urządzeniu lokalnym lub sieciowym należy utworzyć folder współużytkowany. Podczas tworzenia folderu przeznaczonego na kopię dystrybucyjną konieczne jest zapewnienie dostępu do zapisu dla użytkownika, który będzie zapisywać pliki aktualizacji w folderze, oraz dostępu do odczytu dla wszystkich użytkowników, którzy będą aktualizować program ESET Smart Security przy użyciu tej metody.
Następnie skonfiguruj sposób dostępu do kopii dystrybucyjnej w opcji Zaawansowane ustawienia aktualizacji (karta Kopia
dystrybucyjna), wyłączając opcję Udostępnij pliki aktualizacji za pośrednictwem wewnętrznego serwera HTTP. Ta opcja jest
domyślnie włączona w pakiecie instalacyjnym programu.
Jeśli udostępniony folder znajduje się na innym komputerze w sieci, należy określić dane uwierzytelniające w celu uzyskania do niego dostępu. Aby określić dane uwierzytelniające, otwórz okno Ustawienia zaawansowane programu ESET Smart Security (klawisz F5) i kliknij część Aktualizacja. Kliknij przycisk Ustawienia, a następnie kliknij kartę LAN. To ustawienie jest tym samym, które używane jest podczas aktualizacji, i zostało opisane w rozdziale Połączenie z siecią LAN.
Program ESET Smart Security zgłasza wystąpienie błędu
podczas nawiązywania połączenia z serwerem kopii dystrybucyjnej — problem jest prawdopodobnie spowodowany
nieprawidłowym określeniem serwera aktualizacji (ścieżki sieciowej do folderu kopii dystrybucyjnej), z którego lokalne stacje robocze pobierają aktualizacje. Aby sprawdzić folder, kliknij wsystemie Windows menu Start, kliknij polecenie Uruchom, wpisz nazwę folderu i kliknij przycisk OK. Powinna zostać wyświetlona zawartość folderu.
Program ESET Smart Security wymaga nazwy użytkownika
i hasła — problem jest prawdopodobnie spowodowany
wprowadzeniem nieprawidłowych danych uwierzytelniających (nazwy użytkownika i hasła) w części dotyczącej aktualizacji. Nazwa użytkownika i hasło służą do uzyskiwania dostępu do serwera aktualizacji, który jest używany do aktualizowania programu. Upewnij się, że dane uwierzytelniające są prawidłowe i zostały wprowadzone we właściwym formacie, na przykład domena/nazwa_użytkownika lub grupa_robocza/nazwa_użytkownika, wraz z odpowiednimi hasłami. Jeśli serwer kopii dystrybucyjnej jest dostępny dla wszystkich, nie oznacza to, że każdy użytkownik uzyska dostęp. Nie oznacza to dostępności dla dowolnego nieautoryzowanego użytkownika, a jedynie dla wszystkich użytkowników domeny. Dlatego nawet w takiej sytuacji w części dotyczącej ustawień aktualizacji należy wprowadzić nazwę użytkownika domeny i hasło.
Program ESET Smart Security zgłasza błąd podczas
nawiązywania połączenia z serwerem kopii dystrybucyjnej—
komunikacja przez port zdefiniowany dla serwera HTTP zawierającego kopię dystrybucyjną jest zablokowana.
4.4.2 Tworzenie zadań aktualizacji
Aktualizację można uruchamiać ręcznie, klikając opcję Aktualizuj bazę sygnatur wirusów w oknie z informacjami wyświetlanym po
kliknięciu w menu głównym opcji Aktualizacja.
Aktualizację można także uruchamiać w ramach zaplanowanych zadań. Aby skonfigurować zaplanowane zadanie, kliknij kolejno opcje Narzędzia > Harmonogram. Domyślnie w programie ESET Smart Security są aktywne następujące zadania:
Regularna automatyczna aktualizacja
31
Page 32
Automatyczna aktualizacja po nawiązaniu połączenia
modemowego
Automatyczna aktualizacja po zalogowaniu użytkownika
Każde z tych zadań aktualizacji można zmodyfikować zgodnie zpotrzebami użytkownika. Oprócz domyślnych zadań aktualizacji można tworzyć nowe zadania z konfiguracją zdefiniowaną przez użytkownika. Więcej szczegółowych informacji na temat tworzenia i konfigurowania zadań aktualizacji można znaleźć w rozdziale „Harmonogram“.
4.5 Harmonogram
Harmonogram jest dostępny, jeśli w programie ESET Smart Security został włączony tryb zaawansowany. Opcja Harmonogram jest dostępna po wybraniu opcji Narzędzia w menu głównym programu ESET Smart Security. Harmonogram zawiera listę wszystkich zaplanowanych zadań oraz ich właściwości konfiguracyjne, takie jak wstępnie zdefiniowany dzień, godzina i używany profil skanowania.
4.5.2 Tworzenie nowych zadań
Aby utworzyć nowe zadanie w harmonogramie, kliknij przycisk Dodaj lub kliknij prawym przyciskiem myszy i w menu kontekstowym wybierz opcję Dodaj. Dostępnych jest pięć typów zaplanowanych zadań:
Uruchom aplikację zewnętrzną
Administracja dziennikami
Sprawdzanie plików wykonywanych przy uruchamianiu systemu
Skanowanie komputera na żądanie
Aktualizacja
Domyślnie w opcji Harmonogram wyświetlane są następujące zaplanowane zadania:
Regularna automatyczna aktualizacja
Automatyczna aktualizacja po nawiązaniu połączenia
modemowego
Automatyczna aktualizacja po zalogowaniu użytkownika
Automatyczne sprawdzanie plików przy uruchamianiu po
zalogowaniu użytkownika
Automatyczne sprawdzanie plików przy uruchamianiu po
pomyślnej aktualizacji bazy sygnatur wirusów
Aby zmodyfikować konfigurację istniejącego zaplanowanego zadania (zarówno domyślnego, jak i zdefiniowanego przez użytkownika) kliknij prawym przyciskiem myszy zadanie i wybierz opcję Edytuj lub wybierz zadanie, które ma zostać zmodyfikowane, i kliknij przycisk Edytuj.
4.5.1 Cel planowania zadań
Harmonogram służy do zarządzania zaplanowanymi zadaniami i uruchamiania ich ze wstępnie zdefiniowaną konfiguracją. Konfiguracja i właściwości zawierają informacje, na przykład datę i godzinę, jak również określone profile używane podczas wykonywania zadania.
Ponieważ najczęściej używanymi zaplanowanymi zadaniami są Skanowanie komputera na żądanie i Aktualizacja, zostanie przedstawiony sposób dodawania nowego zadania aktualizacji.
W menu rozwijanym Zaplanowane zadanie wybierz opcję Aktualizacja. Kliknij przycisk Dalej i wprowadź nazwę zadania wpolu Nazwa zadania . Wybierz częstotliwość zadania. Dostępne są następujące opcje: Jednorazowo, Wielokrotnie, Codziennie, Cotygodniowo i Po wystąpieniu zdarzenia. Na podstawie wybranej częstotliwości wyświetlane są monity zawierające różne parametry aktualizacji. Następnie zdefiniuj czynność podejmowaną w przypadku, gdy nie można wykonać lub zakończyć zadania wzaplanowanym czasie. Dostępne są następujące trzy opcje:
Czekaj do następnego zaplanowanego terminu
Uruchom zadanie jak najszybciej
Uruchom zadanie natychmiast, jeśli od ostatniego wykonania
upłynęło ponad (godziny) (czas można zdefiniować natychmiast
przy użyciu pola przewijania)
W kolejnym kroku wyświetlane jest okno z podsumowaniem informacji dotyczących aktualnie zaplanowanego zadania. Opcja Uruchom zadanie z określonymi parametrami powinna być włączona automatycznie. Kliknij przycisk Zakończ.
Zostanie wyświetlone okno dialogowe umożliwiające wybranie profilów używanych w zaplanowanym zadaniu. W tym miejscu można określić profil główny i alternatywny, który jest używany wprzypadku braku możliwości wykonania zadania przy użyciu profilu głównego. Potwierdź ustawienia, klikając przycisk OK w oknie Profile aktualizacji. Nowe zaplanowane zadanie zostanie dodane do listy aktualnie zaplanowanych zadań.
32
Page 33
4.6 Kwarantanna
Głównym zadaniem kwarantanny jest bezpieczne przechowywanie zainfekowanych plików. Pliki należy poddawać kwarantannie wprzypadku, gdy nie można ich wyleczyć, gdy ich usunięcie nie jest bezpieczne lub zalecane oraz gdy są one nieprawidłowo wykrywane przez program ESET Smart Security.
Użytkownik może poddawać kwarantannie dowolne pliki. Zaleca się podjęcie takiego działania, jeśli plik zachowuje się w podejrzany sposób, ale nie jest wykrywany przez skaner antywirusowy. Pliki poddane kwarantannie można przesyłać do analizy w laboratorium firmy ESET.
4.7 Pliki dziennika
Pliki dziennika zawierają informacje o wszystkich ważnych zdarzeniach, jakie miały miejsce w programie, a także przegląd wykrytych zagrożeń. Zapisywanie informacji w dzienniku pełni istotną rolę przy analizie systemu, wykrywaniu zagrożeń i rozwiązywaniu problemów. Dziennik jest aktywnie tworzony w tle i nie wymaga żadnych działań ze strony użytkownika. Informacje są zapisywane zgodnie z bieżącymi ustawieniami szczegółowości dziennika. Za pomocą programu ESET Smart Security można bezpośrednio wyświetlać wiadomości tekstowe oraz wyświetlać i archiwizować dzienniki.
Pliki przechowywane w folderze kwarantanny mogą być wyświetlane w tabeli zawierającej datę i godzinę przeniesienia do kwarantanny, ścieżkę do pierwotnej lokalizacji zainfekowanego pliku, rozmiar pliku w bajtach, powód (dodane przez użytkownika…) oraz liczbę zagrożeń (na przykład jeśli plik jest archiwum zawierającym wiele zagrożeń).
4.6.1 Poddawanie plików kwarantannie
Program automatycznie poddaje kwarantannie usunięte pliki (jeśli nie anulowano tej opcji w oknie alertu). W razie potrzeby można ręcznie poddać kwarantannie dowolny podejrzany plik, klikając przycisk Kwarantanna. W takim przypadku oryginalny plik nie jest usuwany z pierwotnej lokalizacji. W tym celu można również skorzystać zmenu kontekstowego, klikając prawym przyciskiem myszy w oknie kwarantanny i wybierając opcję Dodaj.
4.6.2 Przywracanie plików z kwarantanny
Pliki poddane kwarantannie można przywracać do ich pierwotnej lokalizacji. W tym celu należy użyć funkcji Przywróć, która jest dostępna w menu kontekstowym po kliknięciu prawym przyciskiem myszy danego pliku w oknie kwarantanny. Menu kontekstowe zawiera także opcję Przywróć do, umożliwiającą przywracanie plikówdo lokalizacji innej niż ta, z której zostały usunięte.
UWAGA:
Jeśli nieszkodliwy plik zostanie w programie błędnie poddany kwarantannie, po jego przywróceniu należy wyłączyć go ze skanowania i wysłać do działu obsługi klienta firmy ESET.
4.6.3 Przesyłanie pliku z kwarantanny
Jeśli poddano kwarantannie podejrzany plik, który nie został wykryty przez program, lub jeśli plik został błędnie oceniony jako zainfekowany (na przykład w drodze analizy heurystycznej kodu) i następnie poddany kwarantannie, należy przesłać plik do laboratorium firmy ESET. Aby przesłać plik z kwarantanny, kliknij go prawym przyciskiem yszy iwmenu kontekstowym wybierz opcję Prześlij do analizy.
Pliki dziennika są dostępne z poziomu okna głównego programu ESET Smart Security, po kliknięciu kolejno opcji Narzędzia > Pliki dziennika. Wybierz żądany typ dziennika przy użyciu menu rozwijanego Dziennik znajdującego się w górnej części okna. Dostępne są następujące dzienniki:
1. Wykryte zagrożenia wybierając tę opcję, można zapoznać się ze wszystkimi informacjami na temat zdarzeń związanych zpróbami ataku.
2. Zdarzenia ta opcja pozwala administratorom systemu iużytkownikom na rozwiązywanie problemów. Wszystkie ważne czynności podejmowane przez program ESET Smart Security są zapisywane w dziennikach zdarzeń.
3. Skanowanie komputera na żądanie — w tym oknie są wyświetlane rezultaty wszystkich ukończonych operacji skanowania. Dwukrotne kliknięcie dowolnego wpisu powoduje wyświetlenie szczegółowych formacji na temat danej operacji skanowania na żądanie.
33
Page 34
4. Dziennik zapory osobistej ESETzawiera rekordy wszystkich zdarzeń wykrytych przez zaporę osobistą. Analiza dziennika zapory może pomóc w wykryciu w porę prób włamania i zapobiec przed nieautoryzowanym dostępem do systemu.
Informacje wyświetlane w każdym obszarze okna można skopiować bezpośrednio do schowka, wybierając żądaną pozycję i klikając przycisk Kopiuj. Aby zaznaczyć wiele wpisów, można użyć kombinacji klawiszy CTRL i SHIFT.
4.7.1 Administracja dziennikami
Dostęp do konfiguracji dzienników programu ESET Smart Security można uzyskać z poziomu okna głównego programu. Kliknij kolejno opcje Ustawienia > Otwórz całe drzewo ustawień zaawansowanych > Narzędzia > Pliki dziennika. Można określić następujące opcje plików dziennika:
Usuwaj automatycznie rekordy — wpisy dziennika starsze niż
określona liczba dni są automatycznie usuwane.
Automatycznie optymalizuj pliki dzienników — umożliwia
automatyczną defragmentację plików dziennika w przypadku przekroczenia określonego procentu nieużywanych rekordów.
Minimalna szczegółowość zapisów w dzienniku — umożliwia
określenie poziomu szczegółowości zapisów w dzienniku. Dostępne opcje:
4.8 Interfejs użytkownika
Opcje konfiguracji interfejsu użytkownika w programie ESET Smart Security można modyfikować w celu dostosowywania środowiska pracy do potrzeb użytkownika. Dostęp do opcji konfiguracji można uzyskać w części Interfejs użytkownika drzewa Ustawienia zaawansowane programu ESET Smart Security.
Sekcja Elementy interfejsu użytkownika umożliwia w razie potrzeby przełączanie do trybu zaawansowanego. W trybie zaawansowanym wyświetlane są bardziej szczegółowe ustawienia i dodatkowe kontrolki programu ESET Smart Security.
Opcję Graficzny interfejs użytkownika należy wyłączyć, jeśli elementy graficzne obniżają wydajność komputera lub powodują inne problemy. Wyłączenie interfejsu graficznego może być także konieczne w przypadku użytkowników niedowidzących, ponieważ może on powodować konflikty ze specjalnymi aplikacjami służącymi do odczytywania tekstu wyświetlanego na ekranie.
Aby wyłączyć ekran powitalny programu ESET Smart Security, należy usunąć zaznaczenie opcji Pokaż ekran powitalny przy uruchamianiu.
W górnej części okna głównego programu ESET Smart Security znajduje się standardowe menu, które można włączać i wyłączać za pomocą opcji Użyj standardowego menu.
Błędy krytyczne — rejestrowane są tylko informacje obłędach
krytycznych (błąd podczas uruchamiania ochrony antywirusowej, zapory osobistej itp.).
Błędy — rejestrowane są tylko komunikaty „Błąd podczas
pobierania pliku“ oraz błędy krytyczne.
Ostrzeżenia — rejestrowane są wszystkie błędy krytyczne
ikomunikaty ostrzegawcze.
Rekordy informacyjne — rejestrowane są komunikaty
informacyjne, w tym powiadomienia o pomyślnych aktualizacjach, a także wszystkie rekordy wymienione powyżej.
Rekordy diagnostyczne — rejestrowane są informacje potrzebne
do dopracowania konfiguracji programu i wszystkie rekordy wymienione powyżej.
Jeśli opcja Pokaż etykiety narzędzi jest włączona, po umieszczeniu kursora nad dowolną opcją jest wyświetlany jej krótki opis. Opcja Zaznacz aktywny element menu powoduje podświetlenie przez system dowolnego elementu, który znajduje się aktualnie waktywnym obszarze kursora myszy. Podświetlony element jest aktywowany po kliknięciu myszą.
Aby zmniejszyć lub zwiększyć szybkość efektów animowanych, zaznacz opcję Użyj animowanych kontrolek i przesuń suwak Szybkość w lewo lub w prawo.
Aby włączyć wyświetlanie postępu różnych operacji przy użyciu animowanych ikon, zaznacz pole wyboru Użyj animowanych ikon. Aby program generował ostrzegawczy sygnał dźwiękowy wprzypadku wystąpienia ważnego zdarzenia, zaznacz opcję Użyj sygnałów dźwiękowych.
34
Page 35
Funkcje interfejsu użytkownika obejmują także możliwość ochrony parametrów ustawień programu ESET Smart Security za pomocą hasła. Ta opcja znajduje się w podmenu Ochrona ustawień wczęści Interfejs użytkownika. W celu zapewnienia maksymalnego bezpieczeństwa systemu ważne jest prawidłowe skonfigurowanie programu. Nieautoryzowane modyfikacje mogą powodować utratę ważnych danych. Aby ustawić hasło w celu ochrony parametrów ustawień, kliknij opcję Wprowadź hasło.
4.8.1 Alerty i powiadomienia
Sekcja Alerty i powiadomienia znajdująca się na karcie Interfejs użytkownika umożliwia konfigurowanie sposobu obsługi alertów
o zagrożeniu i powiadomień systemowych w programie ESET Smart Security 4.
Pierwszym elementem jest opcja Wyświetlaj alerty. Wyłączenie tej opcji powoduje anulowanie wyświetlania wszystkich okien alertów i należy ją stosować tylko w niektórych szczególnych sytuacjach. W przypadku większości użytkowników zaleca się pozostawienie ustawienia domyślnego tej opcji (włączona).
Aby wyskakujące okienka były automatycznie zamykane po upływie określonego czasu, zaznacz opcję Automatycznie zamykaj okna komunikatów po (sek). Jeśli użytkownik nie zamknie okna komunikatu, jest ono zamykane automatycznie po upływie określonego czasu.
Powiadomienia na pulpicie i porady w dymkach mają wyłącznie charakter informacyjny i nie wymagają ani nie umożliwiają podejmowania działań przez użytkownika. Są wyświetlane wobszarze powiadomień w prawym dolnym rogu ekranu. Aby włączyć wyświetlanie powiadomień na pulpicie, zaznacz opcję Wyświetlaj powiadomienia na pulpicie. Szczegółowe opcje, takie jak czas wyświetlania powiadomienia i przezroczystość okien, można modyfikować po kliknięciu przycisku Konfiguruj powiadomienia. Aby wyświetlić podgląd powiadomień, kliknij przycisk Podgląd. Dokonfigurowania czasu wyświetlania porad w dymkach służy opcjaWyświetlaj porady w dymkach na pasku zadań (sek.).
Kliknij przycisk Ustawienia zaawansowane w celu wprowadzenia dodatkowych opcji ustawień dotyczących alertów i powiadomień obejmujących opcję Wyświetlaj tylko powiadomienia wymagające interwencji użytkownika. Ta opcja pozwala włączyć lub wyłączyć wyświetlanie alertów i powiadomień, które nie wymagają interwencji użytkownika. Zaznacz opcję Wyświetlaj tylko powiadomienia wymagające interwencji użytkownika (podczas uruchamiania aplikacji w trybie pełnoekranowym), aby pomijać wszystkie powiadomienia niewymagające interwencji użytkownika. Z rozwijanego menu Minimalna szczegółowość zdarzeńdo wyświetlenia można wybrać początkowy poziom ważności wyświetlanych alertów i powiadomień.
Ostatnia funkcja w tej części dotyczy określania adresata powiadomień w środowisku z wieloma użytkownikami. Pole Wsystemach z wieloma
użytkownikami wyświetlaj powiadomienia na ekranie następującego użytkownika umożliwia definiowanie osób, które będą otrzymywać
ważne powiadomienia programu ESET Smart Security 4. Zazwyczaj taką osobą jest administrator systemu lub sieci. Ta opcja jest szczególnie przydatna w przypadku serwerów terminali, pod warunkiem, że wszystkie powiadomienia systemowe są wysyłane do administratora.
4.9 ThreatSense.Net
System monitorowania zagrożeń ThreatSense.Net jest narzędziem, dzięki któremu firma ESET otrzymuje natychmiastowe, ciągłe informacje o nowych zagrożeniach. Dwukierunkowy system monitorowania zagrożeń ThreatSense.Net ma jeden cel — poprawę oferowanej ochrony. Najlepszą gwarancją wykrycia nowych zagrożeń natychmiast po ich pojawieniu się jest współpraca z jak największą liczbą klientów i korzystanie z ich pomocy w tropieniu zagrożeń. Istnieją dwie możliwości:
1. Można nie włączać systemu monitorowania zagrożeń ThreatSense.Net. Funkcjonalność oprogramowania nie ulegnie zmniejszeniu, a użytkownik nadal będzie otrzymywać najlepszą ochronę.
2. Można skonfigurować system monitorowania zagrożeń w taki sposób, aby anonimowe informacje o nowych zagrożeniach i lokalizacji nowego niebezpiecznego kodu były przesyłane wpostaci pojedynczego pliku. Ten plik można przesłać do firmy ESET w celu wykonania szczegółowej analizy. Badanie zagrożeń pomaga firmie ESET udoskonalać metody wykrywania zagrożeń. System monitorowania zagrożeń ThreatSense.Net gromadzi informacje o komputerze użytkownika, dotyczące nowo wykrytych zagrożeń. Te informacje mogą zawierać próbkę lub kopię pliku, w którym wystąpiło zagrożenie, ścieżkę do tego pliku, nazwę pliku, informacje o dacie i godzinie, proces, za pośrednictwem którego zagrożenie pojawiło się na komputerze, oraz informacje o systemie operacyjnym komputera. Niektóre z tych informacji mogą zawierać dane osobiste użytkownika komputera, takie jak nazwa użytkownika w ścieżce katalogu itp.
Chociaż istnieje możliwość, że w wyniku tego specjaliści firmy ESET mogą mieć dostęp do niektórych informacji dotyczących użytkownika lub jego komputera, nie będą one używane w ŻADNYM innym celu niż ulepszanie systemu monitorowania zagrożeń.
Domyślna konfiguracja programu ESET Smart Security ma zdefiniowaną opcję pytania użytkownika przed przesłaniem podejrzanych plików do szczegółowej analizy w laboratorium firmy ESET. Należy zauważyć, że pliki z określonymi rozszerzeniami, na przykład doc lub xls, są zawsze wyłączone z przesyłania. Można również dodać inne rozszerzenia, jeśli istnieją pliki, które użytkownik lub jego organizacja chce wyłączyć zprzesyłania.
Konfiguracja systemu ThreatSense.Net jest dostępna w części Narzędzia > ThreatSense.Net w drzewie Ustawienia zaawansowane. Zaznacz pole wyboru Włącz system monitorowania zagrożeń
ThreatSense.Net. Umożliwia to aktywację i kliknięcie przycisku Ustawienia zaawansowane.
35
Page 36
Kontaktowy adres e-mail
Kontaktowy adres e-mail jest wysyłany wraz z podejrzanymi plikami do firmy ESET i może zostać użyty do skontaktowania się z użytkownikiem w sytuacji, gdy wykonanie analizy wymaga dodatkowych informacji na temat przesłanych plików. Specjaliści z firmy ESET kontaktują się z użytkownikiem tylko w szczególnych przypadkach.
4.9.2 Statystyka
System monitorowania zagrożeń ThreatSense.Net gromadzi anonimowe informacje dotyczące nowo wykrytych zagrożeń. Mogą one obejmować nazwę infekcji, datę i godzinę jej wykrycia, numer wersji programu ESET Smart Security, numer wersji systemu operacyjnego i ustawienia regionalne. Zazwyczaj statystyka jest wysyłana do serwerów firmy ESET raz lub dwa razy dziennie.
Oto przykładowy pakiet statystyczny:
4.9.1 Podejrzane pliki
Karta Podejrzane pliki pozwala konfigurować sposób, w jaki zagrożenia są przesyłane do laboratorium firmy ESET w celu wykonania analizy.
Jeśli na komputerze wykryto podejrzany plik, można go przesłać doanalizy w laboratorium firmy. Jeśli okaże się, że jest to szkodliwa aplikacja, informacje potrzebne do jej wykrywania zostaną dodane dokolejnej aktualizacji sygnatur wirusów.
Można ustawić automatyczne przesyłanie plików bez pytania. Po wybraniu tej opcji operacja wysyłania podejrzanych plików odbywa się w tle. Aby otrzymywać informacje o plikach wysyłanych do analizy i potwierdzać przesłanie, wybierz opcję Pytaj przed przesłaniem.
# utc_time=2005‑04‑14 07:21:28 # country=“Slovakia“ # language=“ENGLISH“ # osver=5.1.2600 NT # engine=5417 # components=2.50.2 # moduleid=0x4e4f4d41 # lesize=28368 # lename=C:\Documents and Settings\Administrator\ Local Settings\Temporary Internet Files\Content.IE5\ C14J8NS7\rdgFR1463[1].exe
Kiedy przesłać
W części Kiedy przesłać można zdefiniować czas przesyłania informacji statystycznych. Po wybraniu opcji Natychmiast informacje statystyczne są wysyłane natychmiast po ich utworzeniu. To ustawienie jest odpowiednie w przypadku korzystania ze stałego łącza internetowego. Po wybraniu opcji Podczas aktualizacji informacje statystyczne są przechowywane i przesyłane zbiorczo podczas kolejnej aktualizacji.
Aby żadne pliki nie były przesyłane, wybierz opcję Nie przesyłaj do analizy. Należy pamiętać, że rezygnacja z przesyłania plików do analizy nie ma wpływu na przesyłanie informacji statystycznych do firmy ESET. Przesyłanie informacji statystycznych jest konfigurowane w osobnej części ustawień opisanej w kolejnym rozdziale.
Kiedy przesłać
Podejrzane pliki są jak najszybciej przesyłane do laboratorium firmy ESET. Jest to zalecane w przypadku korzystania ze stałego łącza internetowego, dzięki czemu podejrzane pliki mogą być dostarczane bez opóźnienia. Inną możliwością jest przesyłanie podejrzanych plików podczas aktualizacji. Po wybraniu tej opcji podejrzane pliki są gromadzone i przekazywane do serwerów systemu monitorowania zagrożeń podczas aktualizacji.
Filtr wykluczeń
Nie wszystkie pliki muszą być przesyłane do analizy. Filtr wykluczeń umożliwia wykluczenie pewnych plików i folderów z przesyłania. Warto na przykład wykluczyć pliki, które mogą zawierać poufne informacje, takie jak dokumenty lub arkusze kalkulacyjne. Najbardziej popularne typy plików są wykluczone domyślnie (pliki oprogramowania Microsoft Oce i OpenOce). Listę wykluczonych plików można wrazie potrzeby rozszerzyć.
36
4.9.3 Przesyłanie
Na tej karcie można zdefiniować, czy pliki i informacje statystyczne będą przesyłane przy użyciu zdalnej administracji, czy też bezpośrednio do firmy ESET. Aby mieć pewność, że podejrzane pliki iinformacje statystyczne są dostarczane do firmy ESET, wybierz opcję
Przy użyciu zdalnej administracji (Remote Administrator) lub bezpośrednio do firmy ESET. Po wybraniu tej opcji pliki i statystyka
są przesyłane przy użyciu wszystkich dostępnych metod. Przesyłanie podejrzanych plików przy użyciu administracji zdalnej powoduje dostarczenie plików i statystyki do serwera administracji zdalnej, co zapewnia ich dalsze przesłanie do laboratorium firmy ESET. Po wybraniu opcji Bezpośrednio do firmy ESET wszystkie podejrzane pliki i informacje statystyczne są wysyłane z programu bezpośrednio do laboratorium firmy ESET.
Page 37
Jeżeli istnieją pliki oczekujące na przesłanie, przycisk Prześlij teraz jest aktywny. Kliknij ten przycisk, aby natychmiast przesłać pliki iinformacje statystyczne.
Zaznacz pole wyboru Włącz zapisywanie w dzienniku, aby włączyć rejestrowanie przesyłania plików i informacji statystycznych. Po każdym przesłaniu podejrzanego pliku lub informacji statystycznych w dzienniku zdarzeń jest tworzony wpis.
4.10 Administracja zdalna
Odstęp czasu pomiędzy połączeniami z serwerem (min.)
taopcja służy do określania częstotliwości, z którą program ESET Smart Security nawiązuje połączenie z serwerem administracji zdalnej w celu przesłania danych. Inaczej mówiąc, informacje są wysyłane w zdefiniowanych w tym miejscu odstępach czasu. Poustawieniu wartości 0 informacje są przesyłane co 5 sekund.
Serwer zdalnej administracji (Remote Administrator) wymaga
uwierzytelniania ta opcja umożliwia wprowadzenie hasła do
serwera administracji zdalnej, jeśli jest ono wymagane.
Kliknij przycisk OK, aby potwierdzić zmiany i zastosować ustawienia. Program ESET Smart Security używa tych ustawień do nawiązania połączenia z serwerem zdalnym.
4.11 Licencje
Część Licencje umożliwia zarządzanie kluczami licencyjnymi programu ESET Smart Security i innych produktów firmy ESET, takich jak ESET Remote Administrator, ESET NOD32 for Microsoft Exchange itd. Po dokonaniu zakupu klucze licencyjne są dostarczane wraz znazwą użytkownika i hasłem. Aby dodać lub usunąć klucz licencyjny, kliknij odpowiedni przycisk w oknie zarządzania licencjami. Opcje zarządzania licencjami są dostępne w części Inne > Licencje wdrzewie Ustawienia zaawansowane.
Administracja zdalna jest potężnym narzędziem, które służy do obsługi zasad zabezpieczeń i pozwala uzyskać całościowy obraz zarządzania zabezpieczeniami w sieci. Jest ona szczególnie użyteczna w dużych sieciach. Administracja zdalna nie tylko powoduje zwiększenie poziomu zabezpieczeń, ale również umożliwia łatwe administrowanie programem ESET Smart Security na klienckich stacjach roboczych.
Opcje ustawień administracji zdalnej są dostępne z poziomu okna głównego programu ESET Smart Security. Kliknij kolejno opcje
Ustawienia > Otwórz całe drzewo ustawień zaawansowanych > Inne > Administracja zdalna.
Klucz licencyjny jest plikiem tekstowym zawierającym informacje na temat zakupionego produktu, takie jak właściciel, liczba licencji i data wygaśnięcia.
Okno zarządzania licencjami umożliwia przekazywanie i wyświetlanie zawartości klucza licencyjnego przy użyciu przycisku Dodaj — informacje zawarte w kluczu są wyświetlane w oknie. Aby usunąć pliki licencyjne z listy, kliknij przycisk Usuń.
Aby zakupić odnowienie licencji po wygaśnięciu ważności klucza licencyjnego, kliknij przycisk Zamów, co spowoduje przejście do sklepu internetowego.
Okno Ustawienia umożliwia włączenie trybu administracji zdalnej. W tym celu zaznacz pole wyboru Połącz z serwerem zdalnej administracji (Remote Administrator). Następnie można uzyskać dostęp do poniższych opcji:
Adres serwera — adres sieciowy serwera, na którym jest
zainstalowany serwer administracji zdalnej.
Port — to pole zawiera wstępnie zdefiniowany port serwera
używany do nawiązywania połączenia. Zaleca się pozostawienie wstępnie zdefiniowanego ustawienia portu (2222).
37
Page 38
5. Użytkownik zaawansowany
W niniejszym rozdziale opisano funkcje programu ESET Smart Security przeznaczone dla bardziej zaawansowanych użytkowników. Opcje ustawień tych funkcji są dostępne wyłącznie w trybie zaawansowanym. Aby przełączyć do trybu zaawansowanego, kliknij opcję Włącz tryb zaawansowany znajdującą się w lewym dolnym rogu okna głównego programu lub naciśnij kombinację klawiszy CTRL+M na klawiaturze.
5.1 Ustawienia serwera proxy
W programie ESET Smart Security ustawienia serwera proxy są dostępne w dwóch różnych częściach struktury drzewa Ustawienia zaawansowane.
Ustawienia serwera proxy można przede wszystkim konfigurować w części Inne > Serwer proxy. Określenie serwera proxy na tym poziomie powoduje zdefiniowanie globalnych ustawień serwera proxy dla całego programu ESET Smart Security. Określone w tym miejscu parametry są używane przez wszystkie funkcje, które wymagają połączenia internetowego.
Aby określić ustawienia serwera proxy na tym poziomie, zaznacz pole wyboru Użyj serwera proxy, a następnie wprowadź adres serwera wpolu Serwer proxy oraz numer portu.
Jeśli komunikacja z serwerem proxy wymaga uwierzytelniania, zaznacz pole wyboru Serwer proxy wymaga uwierzytelniania iw odpowiednich polach wprowadź nazwę użytkownika i hasło. Kliknij przycisk Wykryj serwer proxy, aby automatyczne wykryć i wprowadzić ustawienia serwera proxy. Zostaną skopiowane parametry określone w programie Internet Explorer. Należy pamiętać, że ta funkcja nie pobiera danych uwierzytelniających (nazwy użytkownika i hasła), muszą one zostać podane przez użytkownika.
Ustawienia serwera proxy można również wprowadzić w opcji Zaawansowane ustawienia aktualizacji (część Aktualizacja drzewa Ustawienia zaawansowane). Te ustawienia dotyczą danego profilu aktualizacji i są zalecane w przypadku komputerów przenośnych, które często pobierają aktualizacje sygnatur wirusów z różnych lokalizacji. Więcej informacji na temat tego ustawienia można znaleźć wczęści 4.4 zatytułowanej „Aktualizowanie systemu“.
5.2 Eksportowanie i importowanie ustawień
Funkcja eksportu i importu bieżącej konfiguracji programu ESET Smart Security jest dostępna w opcji Ustawienia w trybie zaawansowanym.
Zarówno podczas eksportu, jak i importu używane są pliki typu xml. Funkcja eksportu i importu jest użyteczna, gdy konieczne jest utworzenie kopii zapasowej bieżącej konfiguracji programu ESET Smart Security w celu użycia jej w późniejszym czasie (z dowolnego powodu). Opcja eksportu ustawień jest również przydatna dla użytkowników, którzy chcą używać ulubionej konfiguracji programu ESET Smart Security w wielu systemach — w tym celu wystarczy zaimportować odpowiedni plik xml.
5.2.1 Eksportuj ustawienia
Eksportowanie konfiguracji jest bardzo łatwe. Aby zapisać bieżącą konfigurację programu ESET Smart Security, kliknij kolejno opcje
Ustawienia > Importuj i eksportuj ustawienia. Wybierz opcję Eksportuj ustawienia i wprowadź nazwę pliku konfiguracyjnego.
Wyszukaj i wybierz lokalizację na komputerze, w której ma zostać zapisany plik konfiguracyjny.
5.2.2 Importuj ustawienia
Czynności wykonywane podczas importu konfiguracji są bardzo podobne. Ponownie wybierz opcję Importuj i eksportuj ustawienia, a następnie opcję Importuj ustawienia. Kliknij przycisk ... i przejdź do pliku konfiguracyjnego, który ma zostać zaimportowany.
5.3 Wiersz poleceń
Funkcję antywirusową programu ESET Smart Security można uruchomić z poziomu wiersza poleceń — ręcznie (polecenie „ecls”) lubza pomocą pliku wsadowego (bat).
38
Page 39
Przy uruchamianiu skanera na żądanie z poziomu wiersza poleceń można używać następujących parametrów i przełączników:
Opcje ogólne:
— help wyświetlenie pomocy i zakończenie
pracy
— version wyświetlenie informacji o wersji
i zakończenie pracy
— base-dir = FOLDER ładowanie modułów z FOLDERU — quar-dir = FOLDER FOLDER kwarantanny — aind wyświetlanie wskaźnika działania
Obiekty:
— files skanowanie plików (wartość domyślna) — no-files bez skanowania plików — boots skanowanie sektorów rozruchowych
(wartość domyślna)
— no-boots bez skanowania sektorów
rozruchowych
— arch skanowanie archiwów
(wartośćdomyślna)
— no-arch bez skanowania archiwów — max-archive-level = POZIOM maksymalny POZIOM
zagnieżdżaniaarchiwów
— scan-timeout = LIMIT skanowanie archiwów z maksymalnym
LIMITEM sekund. Przekroczenie limitu czasu skanowania spowoduje przerwanie skanowania archiwum i przejście do skanowania następnego pliku.
— max-arch-size=ROZMIAR skanowanie tylko pierwszych ROZMIAR
bajtów w archiwach (wartość domyślna: 0 = brak ograniczenia)
— mail skanowanie plików poczty elektronicznej — no-mail bez skanowania plików poczty
elektronicznej
— sfx skanowanie archiwów
samorozpakowujących
— no-sfx bez skanowania archiwów
samorozpakowujących
— rtp skanowanie programów spakowanych — no-rtp bez skanowania programów
spakowanych
— exclude = FOLDER wyłączenie FOLDERU ze skanowania — subdir skanowanie podfolderów (wartość
domyślna)
— no-subdir bez skanowania podfolderów — max-subdir-level = POZIOM maksymalny POZIOM zagnieżdżania
podfolderów (wartość domyślna: 0 = brak ograniczenia)
— symlink śledzenie łączy symbolicznych
(wartość domyślna)
— no-symlink pomijanie łączy symbolicznych — ext-remove = ROZSZERZENIA — ext-exclude = ROZSZERZENIA wyłączenie ze skanowania ROZSZERZEŃ
oddzielanych dwukropkami
Metody:
— adware skanowanie w poszukiwaniu
oprogramowania Adware/Spyware/ Riskware
— no-adware bez skanowania w poszukiwaniu
oprogramowania Adware/Spyware/ Riskware
— unsafe skanowanie w poszukiwaniu potencjalnie
niebezpiecznych aplikacji
— no-unsafe bez skanowania w poszukiwaniu
potencjalnie niebezpiecznych aplikacji
— unwanted skanowanie w poszukiwaniu
potencjalnie niepożądanych aplikacji
— no-unwanted bez skanowania w poszukiwaniu
potencjalnie niepożądanych aplikacji
— pattern używanie sygnatur — no-pattern bez używania sygnatur — heur włączenie heurystyki
— no-heur wyłączenie heurystyki — adv-heur włączenie zaawansowanej heurystyki — no-adv-heur wyłączenie zaawansowanej heurystyki
Leczenie:
— action = DZIAŁANIE wykonaj DZIAŁANIE dla zainfekowanych
obiektów. Dostępne działania: none, clean, prompt (brak, wylecz, monituj)
— quarantine kopiowanie zainfekowanych plików
do kwarantanny (uzupełnienie DZIAŁANIA)
— no-quarantine bez kopiowania zainfekowanych
plików do kwarantanny
Dzienniki:
— log-file=PLIK rejestrowanie wyników w PLIKU — log-rewrite zastępowanie pliku wyników
(wartość domyślna — dopisywanie)
— log-all rejestrowanie również plików
niezainfekowanych
— no-log-all bez rejestrowania plików
niezainfekowanych
(wartość domyślna)
Możliwe kody zakończenia skanowania:
0 — nie znaleziono zagrożenia 1 — znaleziono zagrożenie, ale go nie usunięto 10 — niektóre zainfekowane pliki nie zostały wyleczone 101 — błąd archiwum 102 — błąd dostępu 103 — błąd wewnętrzny
UWAGA: Kody zakończenia o wartości większej niż 100 oznaczają, żeplik nie został przeskanowany i może być zainfekowany.
5.4 ESET SysInspector
ESET SysInspector to aplikacja dokładnie sprawdzająca komputer iprezentująca zgromadzone dane w zrozumiały sposób. Informacje ozainstalowanych sterownikach i aplikacjach, połączeniach sieciowych lub ważnych wpisach w rejestrze ułatwiają śledzenie podejrzanego zachowania systemu, które może wynikać zniezgodności programowej lub sprzętowej bądź zainfekowania szkodliwym oprogramowaniem.
W portfelu produktów firmy ESET można znaleźć dwa warianty programu SysInspector. Aplikację na urządzenia przenośne (SysInspector.exe) można pobrać bezpłatnie z witryny internetowej firmy ESET. Wariant zintegrowany jest dostępny w programie ESET Smart Security 4. Aby otworzyć sekcję programu SysInspector, należy uaktywnić zaawansowany tryb wyświetlania (w dolnym lewym rogu) i kliknąć opcję Narzędzia > SysInspector. Obydwa warianty działają identycznie i mają takie same formanty programu. Jedyną różnicę stanowi sposób zarządzania danymi wynikowymi. W przypadku aplikacji na urządzenia przenośne zapis bieżącego stanu systemu można wyeksportować do pliku XML i zapisać na dysku. Jest to także możliwe w zintegrowanym wariancie programu SysInspector. Dodatkowo można w wygodny sposób przechowywać zapisy bieżącego stanu systemu bezpośrednio w programie ESET Smart Security 4 > Narzędzia > SysInspector (więcej informacji znajduje się w części 5.4.1.4 SysInspector jako komponent programu
ESET Smart Security).
Skanowanie komputera przez program ESET SysInspector może chwilę potrwać. W zależności od konfiguracji sprzętu, systemu operacyjnego i liczby aplikacji zainstalowanych na komputerze, wykonanie tej operacji może potrwać od 10 sekund do kilku minut.
5.4.1 Interfejs użytkownika i użycie aplikacji
W celu ułatwienia korzystania z okna głównego zostało ono podzielone na cztery sekcje — Formanty programu (u góry), okno nawigacji (z lewej strony), okno opisu (z prawej strony pośrodku) oraz okno szczegółów (z prawej strony u dołu).
39
Page 40
Z każdym elementem o poziomie ryzyka z przedziału od 6 do 9 może wiązać się zagrożenie bezpieczeństwa. Jeśli nie są używane niektóre rozwiązania firmy ESET w dziedzinie bezpieczeństwa, zalecamy skanowanie systemu przy użyciu programu ESET Online Scanner po każdorazowym wykryciu takiego elementu. ESET Online Scanner to darmowy program dostępny pod adresem http://www.eset.eu/
online-scanner.
Uwaga: Poziom ryzyka elementu można łatwo ustalić, porównując jego kolor z kolorem na suwaku Poziom ryzyka.
Wyszukiwanie
Umożliwia szybkie wyszukanie określonego elementu na podstawie nazwy lub jej części. Wyniki żądania wyszukiwania są wyświetlane woknie opisu.
Powrót
Klikając strzałki wstecz i w przód można wrócić do informacji wyświetlanych wcześniej w oknie opisu.
5.4.1.1 Sterowanie programem
W tej części znajduje się opis wszystkich formantów dostępnych wprogramie ESET SysInspector.
Plik
Kliknięcie w tym miejscu umożliwia zapisanie bieżącego stanu raportu w celu przeprowadzenia późniejszego badania lub otwarcie wcześniej zapisanego raportu. Aby opublikować raport, zalecane jest wygenerowanie go w formie przeznaczonej do wysłania. W takim raporcie nie zostaną uwzględnione informacje poufne.
Uwaga: Aby otworzyć wcześniej zapisane raporty programu ESET SysInspector, wystarczy przeciągnąć je i upuścić w oknie głównym.
Drzewo
Umożliwia rozwinięcie lub zwinięcie wszystkich węzłów.
Lista
Zawiera funkcje ułatwiające nawigację w programie oraz różne inne funkcje, jak na przykład funkcja wyszukiwania informacji w trybie online.
Ważne: Elementy zaznaczone na czerwono są nieznane, dlatego są traktowane przez program jako potencjalnie niebezpieczne. Wystąpienie elementu zaznaczonego kolorem czerwonym nie oznacza automatycznie, że można usunąć plik. Przed usunięciem należy upewnić się, że pliki są faktycznie niebezpieczne lub niepotrzebne.
Pomoc
Zawiera informacje na temat aplikacji i jej funkcji.
Szczegóły
Mają wpływ na informacje wyświetlane w oknie głównym, ale jednocześnie ułatwiają korzystanie z programu. W trybie Podstawowe użytkownik ma dostęp do informacji używanych podczas wyszukiwania rozwiązań standardowych problemów dotyczących systemu. W trybie Średnie program ESET SysInspector wyświetla rzadziej używane szczegóły, natomiast w trybie Pełne — wszystkie informacje potrzebne do rozwiązania bardzo specyficznych problemów.
Sekcja stanu
Służy do wyświetlania bieżącego węzła w oknie nawigacji.
5.4.1.2 Nawigowanie w programie ESET SysInspector
Program ESET SysInspector dzieli różne rodzaje informacji na kilka podstawowych sekcji zwanych węzłami. Niekiedy dodatkowe szczegóły można znaleźć po rozwinięciu węzła w jego podwęzły. Aby otworzyć lub zwinąć węzeł, wystarczy dwukrotnie kliknąć jego nazwę (bądź kliknąć symbole
lub umieszczone obok nazwy węzła). Podczas przeglądania struktury drzewa węzłów i podwęzłów w oknie nawigacji można znaleźć różne szczegóły każdego węzła (wyświetlane w oknie opisu). W przypadku przeglądania elementów w oknie opisu, w oknie szczegółów mogą zostać wyświetlone ich dodatkowe szczegóły.
Poniżej znajdują się opisy głównych węzłów w oknie nawigacji, wraz zpowiązanymi informacjami z okien opisu i szczegółów.
Uruchomione procesy
Ten węzeł zawiera informacje o aplikacjach i procesach działających w momencie generowania raportu. W oknie opisu można znaleźć dodatkowe szczegóły poszczególnych procesów, takie jak biblioteki dynamiczne używane przez proces oraz ich lokalizacja w systemie, nazwa dostawcy aplikacji, poziom ryzyka pliku itd.
Okno szczegółów zawiera dodatkowe informacje o elementach wybranych w oknie opisu, takie jak rozmiar pliku lub jego skrót (hash).
Uwaga: W skład systemu operacyjnego wchodzi wiele ważnych komponentów jądra, które działają cały czas oraz zapewniają podstawowe i istotne funkcje dla innych aplikacji użytkownika. W pewnych przypadkach takie procesy są wyświetlane w narzędziu ESET SysInspector ze ścieżką do pliku rozpoczynającą się od \??\. Dzięki tym symbolom możliwa jest optymalizacja tych procesów przed ich uruchomieniem (są one poprawne ibezpieczne dla systemu).
Połączenia sieciowe
Okno opisu zawiera listę procesów i aplikacji komunikujących się wsieci za pomocą protokołu wybranego w oknie nawigacji (TCP lub UDP), wraz z adresem zdalnym, z którym połączona jest dana aplikacja. Można także sprawdzić adres DNS przypisany danemu adresowi IP.
Filtrowanie elementów
Służy przede wszystkim do wyszukiwania podejrzanych plików lub wpisów w rejestrze systemu. Korygując ustawienie suwaka można filtrować elementy według ich poziomu ryzyka. Jeśli suwak znajdzie się w skrajnym lewym położeniu (poziom ryzyka 1), wyświetlone zostaną wszystkie elementy. Przesunięcie suwaka w prawo spowoduje, że program odfiltruje wszystkie elementy o poziomie ryzyka niższym niż bieżący (czyli wyświetli tylko te elementy, które są bardziej podejrzane niż wynika to z bieżącego poziomu). Wprzypadku ustawienia suwaka w skrajnym prawym położeniu wyświetlone zostaną tylko znane niebezpieczne elementy.
40
Okno szczegółów zawiera dodatkowe informacje o elementach wybranych w oknie opisu, takie jak rozmiar pliku lub jego skrót (hash).
Ważne wpisy w rejestrze
Zawiera listę wybranych wpisów w rejestrze, które często wiążą się zróżnymi problemami z systemem (wpisy dotyczące uruchamianych programów, obiektów Pomocnika przeglądarki itd.).
W oknie opisu można sprawdzić, jakie pliki są powiązane zokreślonymi wpisami w rejestrze. W oknie szczegółów znajdują siędodatkowe szczegóły.
Page 41
Usługi
Okno opisu zawiera listę plików zarejestrowanych jako usługi systemu Windows. Można sprawdzić ustawiony sposób uruchamiania danej usługi, jak również przejrzeć szczegóły pliku w oknie szczegółów.
Sterowniki
Lista sterowników zainstalowanych w systemie.
Pliki krytyczne
W oknie opisu wyświetlana jest zawartość plików krytycznych powiązanych z systemem operacyjnym Microsoft Windows.
Informacje o systemie
Zawiera szczegółowe informacje o sprzęcie i oprogramowaniu, wraz z informacjami na temat ustawionych zmiennych środowiskowych iuprawnień użytkownika.
Szczegóły pliku
Lista ważnych plików systemowych oraz plików z folderu Program Files. Dodatkowe informacje dotyczące plików można znaleźć woknach opisu i szczegółów.
Informacje
Informacje o programie ESET SysInspector.
5.4.1.3 Porównanie
Funkcja porównania umożliwia porównywanie dwóch istniejących dzienników. W wyniku działania tej funkcji powstaje zestaw wpisów różniących się między dziennikami. Jest to przydatne w przypadku śledzenia zmian w systemie — można na przykład wykryć działanie szkodliwego kodu.
Po uruchomieniu aplikacji tworzony jest nowy dziennik, który jest wyświetlany w nowym oknie. W celu zapisania dziennika do pliku należy przejść do opcji Plik -> Zapisz dziennik. Pliki dziennika można później otwierać i przeglądać. W celu otwarcia istniejącego dziennika należy użyć opcji Plik -> Otwórz dziennik. W głównym oknie programu ESET SysInspector wyświetlany jest jednorazowo tylko jeden dziennik.
Główna zasada porównywania dwóch dzienników sprowadza się do tego, że aktualnie aktywny dziennik jest porównywany z dziennikiem zapisanym w pliku. W celu porównania dzienników należy użyć opcji Plik -> Porównaj dziennik, a następnie wybrać opcję Wybierz plik. Wybrany dziennik zostanie porównany z dziennikiem aktywnym w głównym oknie programu. W rezultacie. w tzw. dzienniku porównawczym wyświetlone zostaną jedynie różnice między tymi dwoma dziennikami.
Uwaga: Aby porównać dwa pliki dziennika, należy wybrać opcję Plik -> Zapisz dziennik, a następnie zapisać obydwa pliki jako archiwum ZIP. Przy późniejszym otwarciu takiego pliku znajdujące się w nim dzienniki są porównywane automatycznie.
Obok wyświetlanych wpisów program SysInspector umieszcza symbole identyfikujące różnice między porównanymi dziennikami. Wpisy oznaczone symbolem
można znaleźć jedynie w aktywnym dzienniku (nie występują w otwartym dzienniku porównawczym). Z drugiej strony, wpisy oznaczone symbolem znajdują się tylko wotwartym dzienniku (brakuje ich w aktywnym dzienniku).
Opis wszystkich symboli wyświetlanych obok wpisów:
nowa wartość, niewystępująca w poprzednim dzienniku
sekcja struktury drzewa zawiera nowe wartości
usunięta wartość, występująca tylko w poprzednim dzienniku
sekcja struktury drzewa zawiera usunięte wartości
zmieniona wartość/zmieniony plik
sekcja struktury drzewa zawiera zmodyfikowane wartości/pliki
zmniejszył się poziom ryzyka (był wyższy w poprzednim dzienniku)
zwiększył się poziom ryzyka (był niższy w poprzednim dzienniku)
W sekcji wyjaśnień (wyświetlanej w lewym dolnym rogu) znajduje się opis wszystkich symboli wraz z nazwami porównywanych dzienników.
Dziennik porównawczy można zapisać do pliku i otworzyć wpóźniejszym terminie.
Przykład:
Wygenerowano dziennik zawierający pierwotne informacje o systemie i zapisano go do pliku o nazwie previous.xml. Po wprowadzeniu zmian w systemie otwarto program SysInspector wcelu wygenerowania nowego dziennika. Należy go zapisać do plikuonazwie current.xml.
W celu śledzenia różnic między tymi dwoma dziennikami należy przejść do opcji Plik -> Porównaj dziennik. Program utworzy dziennik porównawczy zawierający różnice między dziennikami.
Ten sam rezultat można osiągnąć za pomocą następującej opcji wiersza poleceń:
SysIsnpector.exe current.xml previous.xml
5.4.1.4 SysInspector jako komponent programu ESET Smart Security 4
Aby otworzyć sekcję programu SysInspector w programie ESET Smart Security 4, należy kliknąć opcję Narzędzia > SysInspector. System zarządzania w oknie programu SysInspector jest podobny do systemu zarządzania dziennikami skanowania komputera lub zaplanowanymi zadaniami. Wszystkie operacje dotyczące zapisów bieżącego stanu systemu (tworzenie, wyświetlanie, porównywanie, usuwanie ieksportowanie) są dostępne po jednym lub dwóch kliknięciach.
W oknie programu SysInspector znajdują się podstawowe informacje o utworzonych zapisach stanu bieżącego, takie jak godzina utworzenia, krótki komentarz, nazwa użytkownika, który utworzył zapis stanu bieżącego oraz stan takiego zapisu.
W celu porównania, dodania lub usunięcia zapisów stanu bieżącego należy skorzystać z odpowiednich przycisków znajdujących się poniżej listy zapisów stanu bieżącego w oknie programu SysInspector. Te opcje są także dostępne w menu kontekstowym. Aby wyświetlić wybrany zapis bieżącego stanu systemu, w menu kontekstowym należy kliknąć opcję Wyświetl. Aby wyeksportować wybrany zapis stanu bieżącego do pliku, należy kliknąć go prawym przyciskiem myszy i wybrać opcję Eksportuj. Poniżej znajdują się szczegółowe opisy dostępnych opcji:
Porównaj — umożliwia porównanie dwóch istniejących dzienników (opcja przydatna do śledzenia zmian między bieżącą i starszą wersją dziennika). W celu skorzystania z tej opcji należy wybrać dwa zapisy stanu bieżącego do porównania.
41
Page 42
Dodaj — umożliwia dodanie nowego rekordu. Najpierw należy wprowadzić krótki komentarz dotyczący rekordu. Informacje opostępie tworzenia zapisu stanu bieżącego (aktualnie generowanym zapisie stanu bieżącego) można znaleźć w kolumnie Stan. Wszystkie zakończone zapisy stanu bieżącego mają stan Utworzone.
02) Loaded modules (Załadowane moduły)
Ta sekcja przedstawia listę aktualnie używanych modułów systemowych.
Example:
Usuń — umożliwia usunięcie wpisów z listy.
Pokaż — umożliwia wyświetlenie wybranego zapisu stanu bieżącego
(inną możliwością jest dwukrotne kliknięcie wybranego wpisu).
Eksportuj — umożliwia zapisanie wybranego wpisu w pliku XML (także w wersji spakowanej).
5.4.1.5 Skrypt usługi
Skrypt usługi to narzędzie, które bezpośrednio wpływa na działanie systemu operacyjnego i zainstalowanych aplikacji. Dzięki temu użytkownicy mogą wykonywać skrypty, które usuwają problematyczne składniki systemu, takie jak wirusy, pozostałości po wirusach, zablokowane pliki, wpisy rejestru pozostawione przez wirusy itp. Skrypt jest zapisywany w pliku tekstowym wygenerowanym na podstawie istniejącego pliku .xml. Dane w pliku .txt skryptu są ułożone w sposób prosty i czytelny, aby ułatwić obsługę. Nowo utworzony skrypt jest początkowo neutralny w działaniu. Innymi słowy, w oryginalnej postaci skrypt nie wprowadzi żadnych zmian w systemie. Wprowadzanie zmian wymaga zmodyfikowania pliku przez użytkownika.
Ostrzeżenie:
Jest to narzędzie przeznaczone wyłącznie dla zaawansowanych użytkowników. Jego nieprawidłowe użycie może spowodować uszkodzenie programów lub systemu operacyjnego.
5.4.1.5.1 Generowanie skryptów usługi
Aby wygenerować skrypt, kliknij prawym przyciskiem myszy dowolny element drzewa menu w lewym panelu głównego okna programu SysInspector. Z menu kontekstowego wybierz opcję Eksportuj
wszystkie sekcje do skryptu usługi lub Eksportuj wybrane sekcje do skryptu usługi.
02) Loaded modules:
‑ c:\windows\system32\svchost.exe ‑ c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll ‑ c:\windows\system32\advapi32.dll [...]
In this example the module khbekhb.dll was marked by a “+”. When the script runs, it will recognize the processes using that specific module and end them.
03) TCP connections
Ta sekcja zawiera informacje o istniejących połączeniach TCP.
Przykład:
03) TCP connections:
‑ Active connection: 127.0.0.1:30606 ‑>
127.0.0.1:55320, owner: ekrn.exe
‑ Active connection: 127.0.0.1:50007 ‑>
127.0.0.1:50006,
‑ Active connection: 127.0.0.1:55320 ‑>
127.0.0.1:30606, owner: OUTLOOK.EXE
‑ Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft‑ds), owner: System [...]
Uruchomiony skrypt będzie lokalizować właścicieli gniazd odpowiadających zaznaczonym połączeniom TCP i zamykać takie gniazda, zwalniając tym samym zasoby systemowe.
04) UDP endpoints (Punkty końcowe UDP)
5.4.1.5.2 Struktura skryptu usługi
Pierwszy wiersz nagłówka skryptu zawiera informację o wersji mechanizmu (ev), wersji interfejsu graficznego (gv) i wersji dziennika (lv). Na podstawie tych danych można śledzić zmiany w pliku .xml używanym do wygenerowania skryptu, aby zapobiec ewentualnym niespójnościom podczas wykonywania. Tej części skryptu nie należy zmieniać.
Pozostała część pliku jest podzielona na sekcje zawierające pozycje dostępne do edycji. Modyfikowanie pliku polega na wskazaniu elementów, które mają być przetwarzane przez skrypt. Wskazanie wybranego elementu do przetwarzania wymaga zastąpienia poprzedzającego go znaku „-” znakiem „+”. Kolejne sekcje skryptu sąoddzielane pustymi wierszami. Każda sekcja ma numer i tytuł.
01) Running processes (Uruchomione procesy)
Ta sekcja zawiera listę wszystkich procesów uruchomionych w systemie. Każdy proces jest identyfikowany przez ścieżkę UNC, po której następuje odpowiadający mu skrót CRC16 ujęty w znaki gwiazdki (*).
Przykład:
01) Running processes: ‑ \SystemRoot\System32\smss.exe *4725* ‑ C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...]
Ta sekcja zawiera informacje o istniejących punktach końcowych UDP.
Przykład:
04) UDP endpoints:
‑ 0.0.0.0, port 123 (ntp) + 0.0.0.0, port 3702 ‑ 0.0.0.0, port 4500 (ipsec‑msft) ‑ 0.0.0.0, port 500 (isakmp) [...]
Uruchomiony skrypt będzie lokalizować właścicieli gniazd odpowiadających zaznaczonym punktom końcowym UDP i zamykać takie gniazda.
05) DNS server entries (Wpisy serwera DNS)
Ta sekcja zawiera informacje o aktualnej konfiguracji serwera DNS.
Przykład:
05) DNS server entries:
+ 204.74.105.85 ‑ 172.16.152.2 [...]
Po uruchomieniu skryptu zaznaczone wpisy serwera DNS zostaną usunięte.
06) Important registry entries (Ważne wpisy rejestru)
W tym przykładzie proces module32.exe został wybrany (zaznaczony znakiem „+”), co spowoduje jego zakończenie podczas wykonywania skryptu.
42
Ta sekcja zawiera informacje o ważnych wpisach rejestru.
Page 43
Przykład:
06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
* File: system.ini ‑ [386Enh] ‑ woafont=dosapp.fon ‑ EGA80WOA.FON=EGA80WOA.FON […]
‑ HotKeysCmds = C:\Windows\system32\hkcmd.exe ‑ IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ‑ Google Update = “C:\Users\antoniak\AppData\Local\ Google\Update\GoogleUpdate.exe” /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = http://thatcrack.com/ [...]
Po uruchomieniu skryptu zaznaczone wpisy zostaną usunięte, nadpisane bajtami zerowymi lub przywrócone do wartości domyślnych. Działanie podejmowane dla danego wpisu rejestru zależy od jego kategorii iodpowiadającej mu wartości klucza.
07) Services (Usługi)
Ta sekcja zawiera listę usług zarejestrowanych w systemie.
Przykład:
07) Services: ‑ Name: Andrea ADI Filters Service, exe path: c:\ windows\system32\aeadisrv.exe, state: Running, startup: Automatic ‑ Name: Application Experience Service, exe path: c:\ windows\system32\aelupsvc.dll, state: Running, startup: Automatic ‑ Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual [...]
Po wykonaniu skryptu zaznaczone usługi wraz z usługami od nich zależnymi zostaną zatrzymane i odinstalowane.
* File: hosts ‑ 127.0.0.1 localhost ‑ ::1 localhost […]
Zaznaczone elementy zostaną albo usunięte, albo przywrócone do wartości domyślnych.
5.4.1.5.3 Jak wykonywać skrypty usługi
Zaznacz wszystkie żądane pozycje, a następnie zapisz i zamknij skrypt. Zmodyfikowany skrypt uruchom bezpośrednio z okna głównego programu SysInspector, wybierając z menu Plik opcję Uruchom skrypt usługi. Po otwarciu skryptu w programie zostanie wyświetlone okno z następującym komunikatem: Czy na pewno uruchomić skrypt usługi „%nazwa_skryptu%”? Po potwierdzeniu może się pojawić kolejne ostrzeżenie z informacją, że uruchamiany skrypt usługi nie został podpisany. Kliknij przycisk Uruchom, aby uruchomić skrypt.
Pomyślne wykonanie skryptu zostanie zasygnalizowane w oknie dialogowym.
Jeśli skrypt udało się przetworzyć tylko częściowo, zostanie wyświetlone okno dialogowe z następującym komunikatem: Skrypt usługi został częściowo uruchomiony. Czy wyświetlić raport o błędach? Kliknij przycisk Tak, aby wyświetlić szczegółowy raport o błędach zawierający listę niewykonanych operacji.
Jeśli skrypt nie został rozpoznany jako poprawny plik skryptu i nie będzie wykonywany, zostanie wyświetlony następujący komunikat:
Czy wystąpiły problemy ze spójnością skryptu (uszkodzony nagłówek, uszkodzony tytuł sekcji, brak pustego wiersza między sekcjami itp.)? Możesz ponownie otworzyć plik skryptu, aby poprawić błędy,
bądź utworzyć nowy plik skryptu.
08) Drivers (Sterowniki)
Ta sekcja zawiera listę zainstalowanych sterowników.
Przykład:
08) Drivers: ‑ Name: Microsoft ACPI Driver, exe path: c:\windows\ system32\drivers\acpi.sys, state: Running, startup: Boot ‑ Name: ADI UAA Function Driver for High Denition Audio Service, exe path: c:\windows\system32\drivers\ adihdaud.sys, state: Running, startup: Manual [...]
Po wykonaniu skryptu zaznaczone sterowniki zostaną wyrejestrowane z systemu i usunięte.
09) Critical files (Pliki krytyczne)
Ta sekcja zawiera informacje o plikach krytycznych dla prawidłowego funkcjonowania systemu operacyjnego.
Przykład:
09) Critical les: * File: win.ini ‑ [fonts] ‑ [extensions] ‑ [les] ‑ MAPI=1 […]
5.5 ESET SysRescue
ESET Recovery CD (ERCD) to narzędzie umożliwiające tworzenie dysku startowego zawierającego program ESET Smart Security4 (ESS). Program ESET Recovery CD ma tę główną przewagę, że program ESS działa niezależnie od systemu operacyjnego, mając jednocześnie bezpośredni dostęp do dysku i całego systemu plików. Dzięki temu możliwe jest usunięcie tych infiltracji, których zwykle nie można usunąć (np. podczas działania systemu operacyjnego itd.).
5.5.1 Minimalne wymagania
Program ESET SysRescue (ESR) działa w środowisku preinstalacyjnym systemu Windows (Windows PE) w wersji 2.x, które bazuje na systemie operacyjnym Windows Vista. Środowisko Windows PE wchodzi w skład darmowego zestawu zautomatyzowanej instalacji systemu Windows (Windows AIK), co oznacza, że zestaw ten musi zostać zainstalowany przed utworzeniem płyty CD przy użyciu programu ESET SysRescue. Ze względu na obsługę 32-bitowej wersji środowiska Windows PE, kompilacja ESR może być tworzona tylko w 32-bitowej wersji programów ESS/ENA. Program ESR obsługuje zestaw Windows AIK 1.1 oraz jego nowsze wersje. Program ESR jest dostępny w programach ESS/ENA 4.0 oraz ich nowszych wersjach.
5.5.2 W jaki sposób utworzyć ratunkową płytę CD
Jeśli spełnione są minimalne wymagania dotyczące tworzenia płyty CD programu ESET SysRescue (ESR), można łatwo wykonać to zadanie. Aby uruchomić kreatora programu ESET SysRescue, należy kliknąć opcję Start > Programy > ESET > ESET Smart Security 4 > ESET SysRescue.
43
Page 44
Najpierw kreator sprawdzi, czy zainstalowany jest zestaw Windows AIK oraz odpowiednie urządzenie do utworzenia nośnika rozruchowego.
W następnym kroku należy wybrać nośnik docelowy, na którym zostanie umieszczona kompilacja ESR. Oprócz nośników CD/DVD/ USB można wybrać zapisanie kompilacji ESR w pliku ISO. Następnie można nagrać obraz ISO na płycie CD/DVD lub użyć go w inny sposób (np. w środowisku wirtualnym VmWare lub Virtualbox).
Po określeniu wszystkich parametrów w ostatnim kroku kreatora programu ESET SysRescue wyświetlony zostanie podgląd kompilacji. Należy sprawdzić parametry i rozpocząć tworzenie kompilacji. Dostępne opcje:
Foldery ESET Antivirus Zaawansowane Startowe urządzenie USB Nagrywanie
5.5.2.1 Foldery
Folder tymczasowy to roboczy katalog plików potrzebnych podczas
tworzenia kompilacji ESET SysRescue.
Folder pliku ISO to folder, w którym po zakończeniu kompilacji zapisywany jest wynikowy plik ISO.
Lista znajdująca się na tej karcie zawiera wszystkie lokalne i mapowane dyski sieciowe (wraz z dostępnym na nich wolnym miejscem). Jeśli jakieś foldery znajdują się na dysku zniewystarczającym wolnym miejscem, zalecamy wybranie innego dysku zawierającego więcej dostępnego miejsca. W przeciwnym razietworzenie kompilacji może zakończyć się przedwcześnie zpowodu niewystarczającego wolnego miejsca na dysku.
Aplikacje zewnętrzne
Możliwe jest określenie dodatkowych programów, które będą uruchamiane lub instalowane po przeprowadzeniu rozruchu znośnika SysRescue.
Uwzględnij aplikacje zewnętrzne — umożliwia dodanie programu zewnętrznego do kompilacji SysRescue.
Wybrany folder — folder, w którym znajdują się programy dodawane do kompilacji SysRescue.
5.5.2.2 ESET Antivirus
Podczas tworzenia płyty CD za pomocą programu ESET SysRescue można wybrać dwa źródła plików ESET do użycia przez kompilator.
Folder ESS — pliki znajdują się już w folderze, w którym zainstalowano produkt firmy ESET.
5.5.2.3 Zaawansowane
Na karcie Zaawansowane można zoptymalizować płytę CD programu ESET SysRescue pod kątem rozmiaru pamięci komputera. Wybierz wartość 512 MB lub więcej w celu zapisania zawartości płytyCD w pamięci operacyjnej (RAM). W przypadku wybrania wartości mniej niż 512 MB ratunkowa płyta CD będzie dostępna przez cały czasdziałania środowiska WinPE.
Sterowniki zewnętrzne — w tej sekcji można wstawić sterowniki sprzętowe (zazwyczaj sterownik adaptera sieciowego). Chociaż środowisko WinPE bazuje na systemie Windows Vista SP1 obsługującym wiele urządzeń, niekiedy dane urządzenie nie jest rozpoznawane, dlatego może być konieczne ręczne dodanie jego sterownika. Istnieją dwa sposoby uwzględnienia sterownika wkompilacji programu ESET SysRescue — ręczny (za pomocą przycisku Dodaj) i automatyczny (za pomocą przycisku Automatyczne wyszukiwanie). W przypadku ręcznego uwzględniania sterownika należy wybrać ścieżkę do właściwego pliku .inf (w tym folderze musi się także znajdować odpowiedni plik *. sys). W przypadku metody automatycznej sterownik jest wyszukiwany automatycznie wsystemie operacyjnym danego komputera. Korzystanie z metody automatycznej jest zalecane tylko wtedy, gdy program SysRescue jest używany na komputerze zadapterem sieciowym identycznym z używanym na komputerze, na którym tworzona jest kompilacja programu SysRescue. Sterownik jest umieszczany wkompilacji podczas jej tworzenia za pomocą programu ESET SysRescue, dlategonie jest konieczne jego późniejsze wyszukiwanie.
5.5.2.4 Startowe urządzenie USB
Jeśli urządzenie USB zostało wybrane jako nośnik docelowy, na karcie Startowe urządzenie USB można wybrać jeden z dostępnych nośników USB (jeśli jest ich kilka).
Ostrzeżenie: Wybrane urządzenie USB zostanie sformatowane w procesie tworzenia kompilacji ESET SysRescue, co oznacza, że wszystkie dane zapisane w urządzeniu zostaną usunięte.
5.5.2.5 Nagrywanie
Jeśli jako nośnik docelowy wybrana została płyta CD/DVD, na karcie Nagrywanie można określić dodatkowe parametry nagrywania.
Usuń plik ISO — należy zaznaczyć tę opcję w celu usunięcia plików ISO po utworzeniu płyty ESET Rescue CD.
Włączone usuwanie — umożliwia wybranie wymazywania szybkiego i pełnego.
Urządzenie nagrywające — należy wybrać napęd używany podczas nagrywania.
Ostrzeżenie: Jest to opcja domyślna. Jeśli używana jest płyta CD/DVD wielokrotnego zapisu, wszystkie znajdujące się na niej dane zostaną wymazane.
Plik MSI — użyte zostaną pliki instalatora MSI.
Profil — można użyć jednego z dwóch następujących źródeł nazwy
użytkownika i hasła:
Zainstalowany program ESS — nazwa użytkownika i hasło są kopiowane z aktualnie zainstalowanego programu ESET Smart Security 4 lub ESET NOD32.
Od użytkownika — używana jest nazwa użytkownika i hasło wprowadzone w odpowiednich poniższych polach tekstowych.
Uwaga: Program ESET Smart Security 4 lub ESET NOD32 Antivirus znajdujący się na płycie CD programu ESET SysRescue jest aktualizowany zInternetu lub przy użyciu rozwiązania firmy ESET w dziedzinie bezpieczeństwa (zainstalowanego na komputerze, na którym uruchomiona jest płyta CD programu ESET SysRescue).
44
W sekcji Nośnik znajdują się informacje o nośniku włożonym aktualnie do urządzenia CD/DVD.
Szybkość nagrywania — z menu rozwijanego należy wybrać żądaną szybkość. Przy wybieraniu szybkości nagrywania należy wziąć pod uwagę możliwości urządzenia nagrywającego oraz typ używanej płytyCD/DVD.
5.5.3 Praca z programem ESET SysRescue
Aby efektywnie korzystać z ratunkowych nośników CD/DVD/USB, należy zapewnić, aby komputer był uruchamiany z rozruchowego nośnika ESET SysRescue. Priorytet uruchamiania można zmodyfikować w systemie BIOS. Innym rozwiązaniem jest wywołanie menu startowego podczas uruchamiania komputera (zazwyczaj służy do tego jeden zklawiszy F9–F12, w zależności od wersji płyty głównej/systemu BIOS).
Page 45
Po uruchomieniu systemu zostanie uruchomiony program ESS/ ENA. Ponieważ program ESET SysRescue jest używany jedynie wokreślonych sytuacjach, niektóre moduły ochrony oraz funkcje dostępne w zwykłej wersji programu ESS/ENA nie są potrzebne — ich lista jest ograniczona do skanowania komputera, aktualizacji oraz niektórych sekcji ustawień. Możliwość zaktualizowania bazy sygnatur wirusów jest najważniejszą funkcją programu ESET SysRescue. Zaleca się zaktualizowanie programu przed uruchomieniem skanowania komputera.
5.5.3.1 Użycie programu ESET SysRescue
Załóżmy, że komputery w sieci zostały zainfekowane wirusem modyfikującym pliki wykonywalne (EXE). Programy ESS/ENA mogą wyleczyć wszystkie zainfekowane pliki z wyjątkiem pliku explorer.exe, którego nie można wyleczyć nawet w trybie awaryjnym.
Wynika to z faktu, że plik explorer.exe jako jeden z podstawowych procesów systemu Windows jest także uruchamiany w trybie awaryjnym. Programy ESS/ENA nie mogą podjąć żadnego działania dotyczącego tego pliku, co oznacza, że nadal pozostanie on zainfekowany.
W tym scenariuszu można użyć programu ESET SysRescue do rozwiązania problemu. Program ESET SysRescue nie wymaga żadnego komponentu zainfekowanego systemu operacyjnego. Dzięki temu może przetworzyć (wyleczyć lub usunąć) każdy plik znajdujący się na dysku.
45
Page 46
6. Słowniczek
6.1 Typy zagrożeń
Infekcja oznacza atak szkodliwego oprogramowania, które usiłuje uzyskać dostęp do komputera użytkownika lub uszkodzić jego zawartość.
6.1.1 Wirusy
Wirus komputerowy to program, który przenika do systemu iuszkadza pliki znajdujące się na komputerze. Nazwa tego typu programów pochodzi od wirusów biologicznych, ponieważ stosują one podobne metody przenoszenia się z jednego komputera na drugi.
Wirusy komputerowe atakują głównie pliki wykonywalne idokumenty. W celu powielenia się wirus dołącza swój kod na końcu zaatakowanego pliku. Tak w skrócie przedstawia się działanie wirusa komputerowego: po uruchomieniu zainfekowanego pliku wirus się uaktywnia (przed aplikacją, do której jest dołączony) i wykonuje zadanie określone przez jego twórcę. Dopiero wtedy następuje uruchomienie zaatakowanej aplikacji. Wirus nie może zainfekować komputera, dopóki użytkownik (przypadkowo lub rozmyślnie) nie uruchomi lub nie otworzy szkodliwego programu.
Wirusy komputerowe bardzo różnią się między sobą pod względem sposobu działania i stopnia stwarzanego zagrożenia. Niektóre z nich są bardzo niebezpieczne, ponieważ mogą celowo usuwać pliki z dysku twardego. Część wirusów nie powoduje natomiast właściwie żadnych szkód — celem ich działania jest tylko zirytowanie użytkownika izademonstrowanie umiejętności programistycznych ich twórców.
Należy zauważyć, że wirusy stają się stopniowo coraz rzadsze (wporównaniu z końmi trojańskimi czy oprogramowaniem szpiegującym), ponieważ nie przynoszą one żadnych dochodów autorom szkodliwego oprogramowania. Ponadto termin „wirus“ jest często błędnie używany w odniesieniu do wszystkich typów programów powodujących infekcje. Obecnie to zjawisko powoli zanika i stosowany jest nowy, dokładniejszy termin „szkodliwe oprogramowanie“.
Jeśli komputer został zaatakowany przez wirusa, konieczne jest przywrócenie zainfekowanych plików do pierwotnego stanu, czyli wyleczenie ich przy użyciu programu antywirusowego.
Przykłady wirusów to OneHalf, Tenga i Yankee Doodle.
6.1.2 Robaki
Robak komputerowy jest programem zawierającym szkodliwy kod, który atakuje komputery-hosty. Robaki rozprzestrzeniają się za pośrednictwem sieci. Podstawowa różnica między wirusem arobakiem polega na tym, że ten ostatni potrafi samodzielnie powielać się i przenosić. Nie musi on w tym celu korzystać z plików nosicieli ani sektorów rozruchowych dysku.
Robaki rozprzestrzeniają się za pośrednictwem wiadomości e-mail lub pakietów sieciowych. W związku z tym można je podzielić na dwie kategorie:
pocztowe — wysyłające swoje kopie na adresy e-mail znalezione
na liście kontaktów użytkownika;
sieciowe- — wykorzystujące luki w zabezpieczeniach różnych aplikacji.
Robaki są przez to znacznie bardziej żywotne niż wirusy komputerowe. Ze względu na powszechność dostępu do Internetu mogą one rozprzestrzenić się na całym świecie w ciągu kilku godzin po opublikowaniu — a w niektórych przypadkach nawet w ciągu kilku minut. Możliwość szybkiego i niezależnego powielania się powoduje, że są one znacznie groźniejsze niż inne rodzaje szkodliwego oprogramowania, np. wirusy.
Robak uaktywniony w systemie może być przyczyną wielu niedogodności: może usuwać pliki, obniżać wydajność komputera, a nawet blokować działanie niektórych programów. Natura robaka komputerowego predestynuje go do stosowania w charakterze „środka transportu“ dla innych typów szkodliwego oprogramowania.
46
Jeśli komputer został zainfekowany przez robaka, zaleca się usunięcie zainfekowanych plików, ponieważ prawdopodobnie zawierają one szkodliwy kod.
Przykłady popularnych robaków to Lovsan/Blaster, Stration/ Warezov, Bagle i Netsky.
6.1.3 Konie trojańskie
Komputerowe konie trojańskie uznawano dotychczas za klasę wirusów, które udają pożyteczne programy, aby skłonić użytkownika do ich uruchomienia. Należy jednak koniecznie zauważyć, że było to prawdziwe w odniesieniu do koni trojańskich starej daty — obecnie nie muszą już one ukrywać swojej prawdziwej natury. Ich jedynym celem jest jak najłatwiejsze zainfekowanie systemu i wyrządzenie w nim szkód. Określenie „koń trojański“ stało się bardzo ogólnym terminem używanym w odniesieniu do każdego wirusa, którego niemożna zaliczyć do innej klasy tego rodzaju programów.
W związku z tym, że jest to bardzo pojemna kategoria, dzieli się ją często na wiele podkategorii. Najpopularniejsze z nich to:
program pobierający (ang. downloader) — szkodliwy program,
który może pobierać inne szkodliwe programy z Internetu;
program zakażający (ang. dropper) — typ konia trojańskiego,
którego działanie polega na umieszczaniu na zaatakowanych komputerach innych typów szkodliwego oprogramowania;
program furtki (ang. backdoor) — aplikacja, która komunikuje
się ze zdalnymi intruzami, umożliwiając im uzyskanie dostępu dosystemu i przejęcie nad nim kontroli;
program rejestrujący znaki wprowadzane na klawiaturze (ang.
keylogger, keystroke logger) — program, który rejestruje znaki wprowadzane przez użytkownika i wysyła informacje o nich zdalnym intruzom;
program nawiązujący połączenia modemowe (ang. dialer) —
program mający na celu nawiązywanie połączeń z kosztownymi numerami telefonicznymi. Zauważenie przez użytkownika nowego połączenia jest prawie niemożliwe. Programy takie mogą przynosić straty tylko użytkownikom modemów telefonicznych, które jednak nie są już obecnie regularnie stosowane.
Konie trojańskie występują zwykle w postaci plików wykonywalnych z rozszerzeniem EXE. Jeśli na komputerze zostanie wykryty plik rozpoznany jako koń trojański, zaleca się jego usunięcie, ponieważ najprawdopodobniej zawiera szkodliwy kod.
Przykłady popularnych koni trojańskich to: NetBus, Trojandownloader.Small.ZL i Slapper.
6.1.4 Programy typu rootkit
Programy typu rootkit są szkodliwymi aplikacjami, które przyznają internetowym intruzom nieograniczony dostęp do systemu operacyjnego, ukrywając zarazem ich obecność. Po uzyskaniu dostępu do komputera (zazwyczaj z wykorzystaniem luki w jego zabezpieczeniach) programy typu rootkit używają funkcji systemu operacyjnego, aby uniknąć wykrycia przez oprogramowanie antywirusowe: ukrywają procesy, pliki i dane w rejestrze systemu Windows. Z tego powodu wykrycie ich przy użyciu zwykłych technik testowania jest prawie niemożliwe.
W przypadku zapobiegania atakom przy użyciu programów typu rootkit należy pamiętać, że istnieją dwa poziomy ich wykrywania:
1. Podczas próby uzyskania dostępu do systemu. Nie są one jeszcze w nim obecne, a zatem są nieaktywne. Większość aplikacji antywirusowych potrafi wyeliminować programy typu rootkit na tym poziomie (przy założeniu, że rozpoznają takie pliki jako zainfekowane).
Page 47
2. Gdy są niewidoczne dla zwykłych narzędzi testowych. Użytkownicy programu antywirusowego firmy ESET korzystają ztechnologii Anti-Stealth, która umożliwia wykrywanie iusuwanie także aktywnych programów typu rootkit.
6.1.5 Adware
Oprogramowanie reklamowe jest to oprogramowanie utrzymywane z reklam. Do tej kategorii zaliczane są programy wyświetlające treści reklamowe. Aplikacje reklamowe często powodują automatyczne otwieranie wyskakujących okienek zawierających reklamy lub zmianę strony głównej w przeglądarce internetowej. Oprogramowanie reklamowe jest często dołączane do bezpłatnych programów, umożliwiając ich autorom pokrycie kosztów tworzenia tych (zazwyczaj użytecznych) aplikacji.
Oprogramowanie reklamowe samo w sobie nie jest niebezpieczne — użytkowników mogą niepokoić jedynie wyświetlane reklamy. Niebezpieczeństwo związane z oprogramowaniem reklamowym polega jednak na tym, że może ono zawierać funkcje śledzące (podobnie jak oprogramowanie szpiegujące).
Jeśli użytkownik zdecyduje się użyć bezpłatnego oprogramowania, powinien zwrócić szczególną uwagę na jego program instalacyjny. W programie instalacyjnym prawdopodobnie znajduje się powiadomienie o instalowaniu dodatkowych programów reklamowych. Często dostępna jest opcja umożliwiająca anulowanie instalacji oprogramowania reklamowego i zainstalowanie tylko programu głównego. W niektórych przypadkach zainstalowanie programu bez dołączonego oprogramowania reklamowego jest jednak niemożliwe lub powoduje ograniczenie jego funkcjonalności. Dzięki temu oprogramowanie reklamowe może zostać zainstalowane w systemie w sposób legalny, ponieważ użytkownik wyraża na to zgodę. W takim przypadku należy kierować się względami bezpieczeństwa i nie ponosić konsekwencji błędnej decyzji.
Jeśli na komputerze zostanie wykryty plik rozpoznany jako oprogramowanie szpiegujące, zaleca się jego usunięcie, ponieważ najprawdopodobniej zawiera on szkodliwy kod.
6.1.7 Potencjalnie niebezpieczne aplikacje
Istnieje wiele legalnych programów, które ułatwiają administrowanie komputerami połączonymi w sieć. W niewłaściwych rękach mogą one jednak posłużyć do wyrządzenia szkód. Właśnie dlatego firma ESET stworzyła tę specjalną kategorię oprogramowania. Klienci firmy mogą teraz zdecydować, czy program antywirusowy ma wykrywać zagrożenia tego typu.
Do „aplikacji potencjalnie niebezpiecznych“ zaliczają się niektóre legalne programy komercyjne. Są to m.in. narzędzia do dostępu zdalnego, programy do łamania haseł i programy rejestrujące znaki wprowadzane na klawiaturze.
W przypadku wykrycia działającej na komputerze potencjalnie niebezpiecznej aplikacji, która nie została zainstalowana świadomie przez użytkownika, należy skonsultować się z administratorem sieci lub ją usunąć.
6.1.8 Potencjalnie niepożądane aplikacje
Aplikacje potencjalnie niepożądane nie musiały być świadomie projektowane w złych intencjach, ale ich stosowanie może w jakimś stopniu obniżać wydajność komputera. Zainstalowanie takiej aplikacji zazwyczaj wymaga zgody użytkownika. Po zainstalowaniu programu z tej kategorii sposób działania systemu jest inny niż przed instalacją. Najbardziej mogą się rzucać w oczy następujące zmiany:
otwieranie nowych, nieznanych okien;
aktywacja i uruchamianie ukrytych procesów;
Jeśli na komputerze zostanie wykryty plik rozpoznany jako oprogramowanie reklamowe, zaleca się jego usunięcie, ponieważ najprawdopodobniej zawiera on szkodliwy kod.
6.1.6 Spyware
Do tej kategorii należą wszystkie aplikacje, które wysyłają prywatne informacje bez zgody i wiedzy użytkownika. Korzystają one zfunkcji śledzących do wysyłania różnych danych statystycznych, np. listy odwiedzonych witryn internetowych, adresów e-mail zlisty kontaktów użytkownika lub listy znaków wprowadzanych na klawiaturze.
Twórcy oprogramowania szpiegującego twierdzą, że te techniki pomagają w uzyskiwaniu pełniejszych informacji o potrzebach izainteresowaniach użytkowników oraz umożliwiają trafniejsze kierowanie reklam do odbiorców. Problem polega jednak na tym, że nie ma wyraźnego rozróżnienia między pożytecznymi a szkodliwymi aplikacjami i nikt nie może mieć pewności, czy uzyskiwane informacje nie zostaną wykorzystane w niedozwolony sposób. Dane gromadzone przez aplikacje szpiegujące mogą zawierać kody bezpieczeństwa, numery PIN, numery kont bankowych itd. Oprogramowanie szpiegujące jest często dołączane do bezpłatnej wersji programu przez jego autora w celu uzyskania dochodów lub zachęcenia użytkowników do zakupu wersji komercyjnej. Nierzadko użytkownicy są podczas instalacji programu informowani o obecności oprogramowania szpiegującego, co ma ich skłonić do zakupu pozbawionej go wersji płatnej.
Przykładami popularnych bezpłatnych produktów, do których dołączone jest oprogramowanie szpiegujące, są aplikacje klienckie sieci P2P (ang. peer-to-peer). Programy Spyfalcon i Spy Sheri (oraz wiele innych) należą do szczególnej podkategorii oprogramowania szpiegującego. Wydają się zapewniać przed nim ochronę, ale wrzeczywistości same są programami szpiegującymi.
zwiększone użycie zasobów systemowych;
zmiany w wynikach wyszukiwania;
aplikacje komunikujące się z serwerami zdalnymi.
6.2 Typy ataków zdalnych
Istnieje wiele specjalnych technik, które pozwalają napastnikom na stworzenie zagrożenia dla bezpieczeństwa komputerów zdalnych. Techniki te można podzielić na kilka kategorii.
6.2.1 Ataki typu „odmowa usługi“ (DoS)
Odmowa usługi, czyli DoS (Denial of Service), to próba polegająca na uniemożliwieniu użytkownikom korzystania z komputera lub sieci. Komunikacja między użytkownikami, którzy padli ofiara ataku tego typu, jest utrudniona i nie odbywa się w sposób prawidłowy. Komputery będące celem ataku typu „odmowa usługi“ zazwyczaj muszą być ponownie uruchomione w celu przywrócenia ich prawidłowego działania.
W większości przypadków takie ataki są wymierzone w serwery internetowe. W ich wyniku serwery są przez pewien czas niedostępne dla użytkowników.
6.2.2 Preparowanie pakietów DNS
Za pomocą metody preparowania pakietów DNS (Domain Name Server — serwer nazw domeny) hakerzy mogą oszukać serwer DNS dowolnego komputera w taki sposób, aby klasyfikował on fałszywe dane jako autentyczne i poprawne. Fałszywe informacje są następnie przechowywane przez pewien czas w pamięci podręcznej, co umożliwia atakującym fałszowanie odpowiedzi serwera DNS dotyczących adresów IP. W wyniku tego użytkownicy próbujący uzyskać dostęp do witryn internetowych zamiast ich oryginalnej zawartości pobierają wirusy komputerowe lub robaki.
47
Page 48
6.2.3 Ataki robaków
Robak komputerowy jest programem zawierającym szkodliwy kod, który atakuje komputery-hosty. Robaki rozprzestrzeniają się za pośrednictwem sieci. Robaki sieciowe wykorzystują luki wzabezpieczeniach różnych aplikacji. Ze względu na powszechność dostępu do Internetu mogą one rozprzestrzenić się na całym świecie w ciągu kilku godzin po opublikowaniu. W niektórych przypadkach — nawet w ciągu kilku minut.
Większości ataków robaków (Sasser, SqlSlammer) można uniknąć poprzez stosowanie w zaporze domyślnych ustawień ochrony lub poprzez blokowanie niezabezpieczonych i nieużywanych portów. Ważne jest również aktualizowanie systemu operacyjnego za pomocą najnowszych poprawek zabezpieczeń.
6.2.4 Skanowanie portów
Skanowanie portów polega na kontrolowaniu, czy na hoście sieciowym są otwarte porty. Oprogramowanie przeznaczone do znajdowania takich portów to skaner portów.
Port komputerowy jest wirtualnym punktem, przez który przepływają dane przychodzące i wychodzące. Ma on niezwykle istotne znaczenie z punktu widzenia bezpieczeństwa. W dużej sieci informacje zbierane przez skanery portów mogą pomagać w identyfikowaniu potencjalnych luk w zabezpieczeniach. Takie korzystanie ze skanerów jest jak najbardziej dozwolone.
Skanowanie portów jest jednak często wykorzystywane przez hakerów próbujących naruszyć bezpieczeństwo systemów. Ich pierwszym działaniem jest wysyłanie pakietów do każdego portu. Wzależności od typu uzyskanej odpowiedzi można określić, które porty są używane. Samo skanowanie nie powoduje żadnych uszkodzeń, ale należy pamiętać, że może ono prowadzić do ujawnienia potencjalnych luk w zabezpieczeniach i pozwolić intruzomna przejęcie kontroli nad komputerami zdalnymi.
Administratorom sieci zaleca się blokowanie wszystkich nieużywanych portów i ochronę używanych portów przed nieupoważnionym dostępem.
6.2.5 Desynchronizacja protokołu TCP
Podczas komunikacji w sieci lokalnej następuje wymiana skrótów haseł. Program SMBRelay łączy się na portach UDP 139 i 445, przekazuje pakiety wymienione między klientem a serwerem i modyfikuje je. Po nawiązaniu połączenia i uwierzytelnieniu klient jest rozłączany. Program SMBRelay tworzy nowy wirtualny adres IP. Dostęp do nowego adresu można uzyskać za pomocą polecenia „net use \\192.168.1.1“. Adres ten może być następnie używany przez wszystkie funkcje sieciowe systemu Windows. Program SMBRelay przekazuje całą komunikację opartą na protokole SMB z wyjątkiem operacji negocjacji połączenia i uwierzytelniania. Zdalni intruzi mogą korzystać z utworzonego adresu IP, dopóki jest podłączony komputer kliencki.
Program SMBRelay2 działa w sposób analogiczny jak SMBRelay, ale zamiast adresów IP używa nazw NetBIOS. Oba programy mogą służyć do przeprowadzania ataków typu „man-in-the-middle“. Umożliwiają one zdalnym intruzom odczytywanie, wstawianie i modyfikowanie w sposób niezauważony danych wymienianych przez komunikujące się urządzenia. Komputery zaatakowane w ten sposób bardzo często przestają reagować na polecenia użytkownika lub nieoczekiwanie uruchamiają się ponownie.
W celu uniknięcia ataków zaleca się stosowanie haseł lub kluczy uwierzytelniających.
6.2.7 Ataki ICMP
Protokół ICMP (Internet Control Message Protocol) jest popularnym i szeroko stosowanym protokołem internetowym. Jest używany głównie przez komputery podłączone do sieci w celu wysyłania komunikatów o błędach.
Osoby przeprowadzające ataki zdalne próbują wykorzystać słabości tego protokołu. Protokół ICMP został opracowany na potrzeby komunikacji jednokierunkowej, która nie wymaga uwierzytelniania. Umożliwia to przeprowadzanie tzw. ataków typu DoS (Denial of Service, odmowa dostępu do usługi) lub ataków umożliwiających uzyskanie przez osoby nieupoważnione dostępu do pakietów przychodzących i wychodzących.
Do typowych przykładów ataku ICMP należą ataki typu „ICMP_ECHO flood“ oraz ataki typu „smurf “. Komputery narażone na ataki ICMP są wyraźnie wolniejsze (dotyczy to wszystkich aplikacji korzystających zInternetu) i mają problemy z nawiązaniem połączenia z Internetem.
Desynchronizacja protokołu TCP jest techniką stosowaną przy atakach typu „TCP Hijacking“ (przejmowanie kontroli nad protokołem TCP). Jest ona wywoływana sytuacją, w której kolejne numery wprzychodzących pakietach różnią się od oczekiwanych. Pakiety znieoczekiwanym kolejnym numerem są odrzucane (lub zapisywane wbuforze, jeśli znajdują się w bieżącym oknie komunikacyjnym).
W stanie desynchronizacji oba końcowe urządzenia komunikacyjne odrzucają otrzymywane pakiety. Właśnie w tym momencie mogą zaatakować zdalni intruzi i dostarczyć pakiety o prawidłowym kolejnym numerze. Intruzi mogą nawet manipulować komunikacją zgodnie ze swoją wolą lub modyfikować ją w inny sposób.
Ataki polegające na przejmowaniu kontroli nad protokołem TCP mają na celu zakłócenie komunikacji między klientem a serwerem lub komunikacji równorzędnej (peer-to-peer). Wielu ataków można uniknąć, stosując uwierzytelnianie każdego segmentu TCP. Zaleca się również skonfigurowanie urządzeń sieciowych w zalecany sposób.
6.2.6 Metoda SMB Relay
SMBRelay i SMBRelay2 to specjalne programy do przeprowadzania ataków na komputery zdalne. Oba wykorzystują protokół udostępniania plików Server Message Block, który jest składnikiem zestawu protokołów NetBIOS. Jeśli użytkownik udostępnia dany folder lub katalog znajdujący się w sieci lokalnej, korzysta najczęściej zprotokołu udostępniania plików.
6.3 Pliki poczty
Poczta e-mail, czyli poczta elektroniczna, to nowoczesna forma komunikacji oferująca wiele korzyści. Umożliwia elastyczną, szybką i bezpośrednią komunikację. Odegrała kluczową rolę wrozpowszechnianiu Internetu we wczesnych latach 90. ubiegłegowieku.
Niestety wysoki poziom anonimowości podczas korzystania z poczty e-mail i Internetu pozostawia obszar dla nielegalnych działań, takich jak rozsyłanie spamu. Ogólnie spam można podzielić na niepożądane reklamy, fałszywe alarmy i wiadomości rozpowszechniające szkodliwe oprogramowanie. Niewygoda i zagrożenie są dla użytkownika tym większe, że koszty wysyłania wiadomości są znikome, a autorzy spamu mają dostęp do wielu narzędzi i źródeł udostępniających nowe adresy e-mail. Ponadto objętość i różnorodność spamu bardzo utrudnia jego regulowanie. Im dłużej jest używany adres e-mail, tym większe prawdopodobieństwo, że znajdzie się on w bazie danych mechanizmu wysyłającego spam. Oto kilka wskazówek zapobiegawczych:
W miarę możliwości nie publikuj swojego adresu e-mail wInternecie. Informuj o swoim adresie e-mail tylko zaufane osoby.
W miarę możliwości nie używaj popularnych aliasów — bardziej
skomplikowane aliasy zmniejszają prawdopodobieństwo śledzenia.
Nie odpowiadaj na spam, który znalazł się w skrzynce odbiorczej.
48
Page 49
Zachowaj ostrożność podczas wypełniania formularzy
internetowych. Zwróć szczególną uwagę na pola wyboru typu „Tak, chcę otrzymywać informacje na temat...“.
Używaj wyspecjalizowanych adresów e-mail, np. jednego w pracy,
innego do komunikacji ze znajomymi itd.
Od czasu do czasu zmieniaj adres e-mail.
Używaj rozwiązania do ochrony przed spamem.
6.3.1 Reklamy
Reklama internetowa jest jedną z najszybciej rozwijających się form działalności reklamowej. W przypadku reklamy elektronicznej sposobem dotarcia do klienta są wiadomości e-mail. Główne zalety marketingowe reklamy tego typu to zerowe koszty, wysoka skuteczność oraz bezpośrednie i niemal natychmiastowe przekazywanie wiadomości. Wiele firm stosuje narzędzia marketingowe związane z pocztą e-mail w celu skutecznej komunikacji z obecnymi i potencjalnymi klientami.
Ten sposób reklamy jest pożądany, ponieważ użytkownicy mogą być zainteresowani otrzymywaniem informacji handlowych na temat określonych produktów. Wiele firm przesyła jednak dużą liczbę niepożądanych wiadomości o treści handlowej. W takich przypadkach reklama pocztą e-mail wykracza poza dopuszczalne granice i staje się spamem.
Niepożądane wiadomości e-mail o treści handlowej stanowią rzeczywisty problem, ponieważ nie przewiduje się zmniejszenia ich liczby. Autorzy niepożądanych wiadomości e-mail próbują oczywiście stworzyć pozory, że przesyłany przez nich spam jest pożądany. Zdrugiej strony ogromna liczba legalnie przesyłanych reklam również może wywoływać negatywne reakcje.
6.3.2 Fałszywe alarmy
Fałszywy alarm to wiadomość przesyłana przez Internet. Zazwyczaj jest przesyłana za pośrednictwem poczty elektronicznej lub narzędzi komunikacyjnych, takich jak ICQ i Skype. Sama wiadomość to często żart lub plotka.
Fałszywe alarmy dotyczące wirusów komputerowych mają na celu wzbudzanie w odbiorcach strachu, niepewności i wątpliwości. Mają oni wierzyć, że istnieje „niewykrywalny wirus“ usuwający pliki ipobierający hasła lub wykonujący w ich systemie jakieś inne szkodliwe działania.
Niektóre fałszywe alarmy mają na celu wywołanie u innych osób zażenowania. Odbiorcy są na ogół proszeni o dalsze przekazywanie takich wiadomości do wszystkich znajomych, co podtrzymuje cykl istnienia fałszywego alarmu. Istnieją fałszywe alarmy na telefony komórkowe, prośby o pomoc, informacje o ludziach oferujących wysłanie pieniędzy z zagranicy itd. W większości przypadków poznanie intencji twórcy jest niemożliwe.
Z zasady wiadomość z prośbą o przekazanie jej do wszystkich znajomych jest prawdopodobnie fałszywym alarmem. W Internecie znajduje się wiele wyspecjalizowanych witryn, które mogą zweryfikować prawdziwość wiadomości e-mail. Przed przekazaniem dalej dowolnej wiadomości, która może okazać się fałszywym alarmem, należy poszukać w Internecie informacji na jej temat.
6.3.3 Ataki typu „phishing“
Terminem „phishing“ określa się działania przestępcze, obejmujące stosowanie socjotechnik (manipulowanie użytkownikami w celu uzyskania poufnych informacji). Działania takie są podejmowane zmyślą o uzyskaniu dostępu do prywatnych danych, np. numerów kont bankowych, kodów PIN itp.
Dostęp jest zwykle uzyskiwany poprzez wysłanie wiadomości e-mail i podszycie się w niej pod osobę lub firmę godną zaufania (instytucję finansową, towarzystwo ubezpieczeniowe). Wiadomość taka jest łudząco podobna do oryginalnej, ponieważ zawiera materiały graficzne i tekstowe mogące pochodzić ze źródła, pod które podszywa się nadawca. Użytkownik jest proszony o wprowadzenie (pod dowolnym pretekstem, np. weryfikacji danych, operacji finansowych) pewnych danych osobistych — numerów kont bankowych lub nazw użytkownika i haseł. Wszystkie dane tego typu mogą zostać po wysłaniu bez trudu przechwycone i wykorzystane do działań na szkodę użytkownika.
Należy zauważyć, że banki, towarzystwa ubezpieczeniowe i inne wiarygodne firmy nigdy nie proszą o podanie nazwy użytkownika ihasła w wiadomościach e-mail przesyłanych bez uprzedzenia.
6.3.4 Rozpoznawanie spamu
Istnieje kilka elementów, które mogą pomóc w identyfikacji spamu (niepożądanych wiadomości e-mail) w skrzynce pocztowej. Jeśli wiadomość spełnia przynajmniej niektóre z następujących kryteriów, jest to najprawdopodobniej spam.
Adres nadawcy nie należy do nikogo z listy kontaktów.
Wiadomość zawiera ofertę uzyskania dużej sumy pieniędzy pod
warunkiem wpłacenia najpierw małej kwoty.
Wiadomość zawiera prośbę o wprowadzenie (pod dowolnym
pretekstem, np. weryfikacji danych, operacji finansowych) pewnych danych osobistych — numerów kont bankowych, nazwużytkownika, haseł itp.
Wiadomość jest napisana w obcym języku.
Wiadomość zawiera prośbę o zakup produktu, którym użytkownik
nie jest zainteresowany. W przypadku podjęcia decyzji o kupnie należy sprawdzić, czy nadawca wiadomości jest wiarygodnym dostawcą (należy skonsultować się z oryginalnym producentem produktu).
Niektóre słowa są napisane niepoprawnie, aby oszukać filtr
antyspamowy. Na przykład „vaigra“ zamiast „viagra“ itp.
6.3.4.1 Reguły
W przypadku ochrony przed spamem i programów poczty e-mail reguł używa się do konfigurowania funkcji poczty elektronicznej. Reguły składają się z dwóch składników logicznych:
1. warunku (np. wiadomość przychodząca z określonego adresu);
2. działania (np. usunięcie wiadomości, przeniesienie jej do określonego folderu).
Liczba i możliwe kombinacje reguł są różne w zależności od rozwiązania do ochrony przed spamem. Reguły służą przeciwdziałaniu spamowi (niepożądanym wiadomościom). Typowe przykłady:
1. warunek: przychodząca wiadomość e-mail zawiera pewne
słowa występujące zwykle w spamie;
2. działanie: usunięcie wiadomości
1. warunek: przychodząca wiadomość e-mail zawiera załącznik
zrozszerzeniem exe;
2. działanie: usunięcie załącznika i dostarczenie wiadomości do skrzynki odbiorczej
1. warunek: przychodząca wiadomość pochodzi od pracodawcy;
2. działanie: przeniesienie wiadomości do folderu „Praca“
Zaleca się stosowanie w programach do ochrony przed spamem różnych kombinacji reguł w celu ułatwienia administracji oraz zwiększenia skuteczności filtrowania spamu (niepożądanych wiadomości).
49
Page 50
6.3.4.2 Filtr Bayesa
6.3.4.4 Czarna lista
Filtrowanie spamu metodą Bayesa jest bardzo skuteczną formą filtrowania poczty e-mail, stosowaną prawie we wszystkich rozwiązaniach antyspamowych. Metoda ta umożliwia identyfikację niepożądanych wiadomości e-mail z dużym stopniem dokładności. Filtr Bayesa może działać osobno dla każdego użytkownika.
Jego działanie opiera się na następującej zasadzie: W pierwszej fazie odbywa się proces uczenia. Użytkownik ręcznie oznacza wystarczającą liczbę wiadomości e-mail jako pożądane lub jako spam (zazwyczaj 200/200 wiadomości). Filtr analizuje obie kategorie iuczy się. Na przykład spam zazwyczaj zawiera takie słowa, jak „rolex“ czy „viagra“, natomiast pożądane wiadomości są wysyłane przez członków rodziny lub z adresów znajdujących się na liście kontaktów użytkownika. Po przetworzeniu większej liczby wiadomości filtr Bayesa może przypisywać poszczególnym wiadomościom „wskaźnik spamu“, który określa, czy wiadomość jest spamem.
Główną zaletą takiego rozwiązania jest jego elastyczność. Jeśli na przykład użytkownik jest biologiem, wszystkim przychodzącym wiadomościom e-mail dotyczącym biologii lub dziedzin pokrewnych ogólnie nadawany jest niższy wskaźnik prawdopodobieństwa, że są spamem. Jeśli wiadomość zawiera słowa, które w zwykłych okolicznościach kwalifikują ją jako niepożądaną, ale została wysłana przez osobę z listy kontaktów, jest ona oznaczana jako wiarygodna, ponieważ fakt wysłania przez osobę z listy kontaktów ogólnie zmniejsza prawdopodobieństwo, że jest ona spamem.
6.3.4.3 Biała lista
Biała lista to wykaz obiektów lub osób, które uzyskały akceptację lub którym zostało przyznane zezwolenie dostępu. Termin „biała lista poczty e-mail“ oznacza listę kontaktów, od których użytkownik chce otrzymywać wiadomości. Białe listy powstają z uwzględnieniem słów kluczowych wyszukiwanych w adresach e-mail, nazwach domen lub adresach IP.
Jeśli biała lista działa w trybie wyłączności, korespondencja pochodząca z adresów e-mail, domen i adresów IP, które na niej nie figurują, nie jest odbierana. Z drugiej strony, jeśli nie jest stosowana wyłączność, takie wiadomości nie będą usuwane tylko odfiltrowywane w jakiś inny sposób.
W znaczeniu ogólnym czarna lista jest listą nieakceptowanych osób i zabronionych obiektów. W świecie wirtualnym jest to technika umożliwiająca odrzucanie wiadomości od wszystkich użytkowników, którzy nie znajdują się na takiej liście.
Istnieją dwa typy czarnych list. Użytkownik może utworzyć własną czarną listę w programie do ochrony przed spamem. Z drugiej strony w Internecie można znaleźć wiele regularnie aktualizowanych czarnych list tworzonych przez wyspecjalizowane instytucje.
Działanie czarnej listy opiera się na odwrotnych zasadach niż w przypadku białej listy. Stosowanie czarnych list jest ważnym elementem skutecznego filtrowania spamu, jednak są one bardzo trudne w zarządzaniu, ponieważ codziennie pojawiają się nowe obiekty, które należy blokować. Zaleca się korzystanie zarówno zbiałej, jak i z czarnej listy, w celu skuteczniejszego filtrowania spamu.
6.3.4.5 Kontrola po stronie serwera
Kontrola po stronie serwera to technika umożliwiająca identyfikację masowo rozsyłanej poczty e-mail będącej spamem na podstawie liczby otrzymanych wiadomości i reakcji użytkowników. Każda wiadomość pozostawia na serwerze niepowtarzalny cyfrowy ślad, który zależy od jej zawartości. W rzeczywistości jest to niepowtarzalny numer identyfikacyjny, który nie zawiera żadnych informacji na temat zawartości wiadomości e-mail. Dwie identyczne wiadomości mają identyczne oznaczenia „footprint“, natomiast różne wiadomości mają różne oznaczenia „footprint".
Jeśli wiadomość zostaje oznaczona jako spam, jej „footprint“ jest wysyłany do serwera. Jeśli serwer otrzyma więcej identycznych śladów (odpowiadających określonym wiadomościom będącym spamem), ślad jest umieszczany w bazie danych spamu. Podczas skanowania wiadomości przychodzących program wysyła ich ślady do serwera. Serwer zwraca informacje o „śladach“ (footprint) odpowiadających wiadomościom już oznaczonym przez użytkowników jako spam.s
Działanie białej listy opiera się na odwrotnych zasadach niż wprzypadku czarnej listy. Białe listy są względnie łatwe wzarządzaniu, zwłaszcza w porównaniu z czarnymi listami. Zalecamy korzystanie zarówno z białej, jak i z czarnej listy wcelu skuteczniejszego odfiltrowywania spamu.
50
Loading...
Buy Points How it Works FAQ Contact Us Questions and Suggestions Privacy Policy Cookie Policy Terms of Use