3. Använda enbart ESET Endpoint Security

Transcription

3. Använda enbart ESET Endpoint Security
ESET ENDPOINT SECURITY 6
Användarhandbok
Microsoft® Windows® 10/8.1/8/7/Vista/XP x86 SP3/XP x64 SP2
Klicka här för att hämta den senaste versionen av detta dokument
ESET ENDPOINT SECURITY 6
Copyright ©2015 av ESET, spol. s r. o.
ESET Endpoi nt Securi ty utveckl a des a v ESET, s pol . s r. o.
Bes ök www.es et.com för ytterl i ga re i nforma ti on.
Al l a rä tti gheter förbehå l l s . Ingen del a v denna dokumenta ti on få r reproducera s , l a gra s i ett
hä mtni ngs s ys tem el l er överföra s i nå gon form, el ektroni s kt, meka ni s kt, fotokopi era s , s pel a s i n,
s ka nna s el l er på a nna t s ä tt uta n s kri ftl i gt ti l l s tå nd frå n förfa tta ren.
ESET, s pol . s r. o. förbehå l l er s i g rä tten a tt ä ndra den bes kri vna progra mva ra n uta n ti di ga re
meddel a nde.
Kunds upport i vä rl den: www.es et.com/s upport
REV. 9/3/2015
Innehåll
........................................................................38
om realtidsskyddet inte fungerar?
3.8.1.3.5 Vad gör jag
1. PRODUCTNAME
.......................................................5
3.8.1.4
1.1 Nyheter
....................................................................................................5
........................................................................40
genomsökning
3.8.1.4.1 Starta anpassad
1.2 Systemkrav
....................................................................................................6
1.3 Skydd
....................................................................................................6
2. Dokumentation för användare anslutna via
.......................................................8
ESET Remote
Administrator
2.1 ESET-fjärradministratörserver
....................................................................................................8
2.2 Webbkonsol
....................................................................................................9
Genomsökning
..................................................................................39
av datorn på begäran
........................................................................41
3.8.1.4.2 Genomsökningsförlopp
3.8.1.5
Enhetskontroll
..................................................................................42
........................................................................43
för enhetskontroll
3.8.1.5.1 Regelredigerare
regler för enhetskontroll
3.8.1.5.2 Lägga till........................................................................44
3.8.1.6
Flyttbara
..................................................................................45
medier
3.8.1.7
Genomsökning
..................................................................................46
vid inaktivitet
3.8.1.8
Självskyddet
..................................................................................46
HIPS (Host Intrusion Prevention System)
........................................................................48
inställningar
3.8.1.8.1 Avancerade
2.3 Proxy
....................................................................................................9
........................................................................49
fönster
3.8.1.8.2 HIPS interaktivt
2.4 Agent
....................................................................................................10
3.8.1.9
Presentationsläge
..................................................................................49
2.5 RD-sensor
....................................................................................................10
3.8.1.10
Startskanner
..................................................................................50
3. Använda
.......................................................11
enbart ESET Endpoint Security
........................................................................50
filer som startas automatiskt
3.8.1.10.1 Kontroll av
3.8.1.11
Dokumentskydd
..................................................................................51
3.1 Installation
....................................................................................................11
med ESET AV Remover
3.8.1.12
Exkluderade
..................................................................................51
objekt
3.1.1
ESET AV
..............................................................................12
Remover
3.8.1.13
ThreatSense-motorns
..................................................................................52
parameterinställningar
3.1.2
Ett fel uppstod under avinstallationen med ESET AV
Remover
..............................................................................15
3.8.1.13.1 Undantag........................................................................57
3.2 Installation
....................................................................................................15
3.2.1
Avancerad
..............................................................................17
installation
3.8.2
Nätverk
..............................................................................57
3.8.2.1
Personlig
..................................................................................58
brandvägg
........................................................................60
3.8.2.1.1 Inlärningsläge
3.3 Produktaktivering
....................................................................................................20
3.8.2.2
3.4 Genomsökning
....................................................................................................21
av datorn
........................................................................61
tilldelats till nätverkskort
3.8.2.2.1 Profiler som
3.5 Uppgradering
....................................................................................................21
till en nyare version
3.8.2.3
3.6 Nybörjarguide
....................................................................................................22
brandvägg
3.8.2.3.1 Regler för........................................................................62
3.6.1
Användargränssnitt
..............................................................................22
........................................................................63
regler
3.8.2.3.2 Arbeta med
3.6.2
Inställning
..............................................................................24
av uppdateringar
3.8.2.4
Tillförlitliga
..................................................................................64
platser
3.6.3
Platsinställningar
..............................................................................26
3.8.2.5
Konfigurera
..................................................................................64
zoner
3.6.4
Webbkontrollverktyg
..............................................................................26
3.8.2.6
Kända
..................................................................................64
nätverk
Brandväggsprofiler
..................................................................................61
Konfigurera
..................................................................................61
och använda regler
3.7 Vanliga
....................................................................................................27
frågor
........................................................................65
för kända nätverk
3.8.2.6.1 Redigerare
3.7.1
Uppdatera
..............................................................................27
ESET Endpoint Security
........................................................................68
- serverkonfiguration
3.8.2.6.2 Nätverksautentisering
3.7.2
Aktivera
..............................................................................27
ESET Endpoint Security
3.8.2.7
Loggning
..................................................................................68
3.7.3
Så använder du aktuella uppgifter för att aktivera en
ny produkt
..............................................................................28
3.8.2.8
Etablera
..................................................................................68
en anslutning - identifiering
3.8.2.9
Lösa
..................................................................................69
problem med ESET Personlig brandvägg
3.7.4
Ta bort
..............................................................................28
ett virus från datorn
........................................................................69
3.8.2.9.1 Felsökningsguide
3.7.5
Tillåta
..............................................................................29
kommunikation för ett visst program
skapa regler eller undantag från logg
3.8.2.9.2 Logga och........................................................................70
3.7.6
Skapa..............................................................................29
en ny aktivitet i Schemaläggare
........................................................................70
från logg
3.8.2.9.2.1 Skapa regel
3.7.7
Schemalägga en genomsökningsaktivitet (var 24:e
timme)
..............................................................................30
........................................................................70
från brandväggsmeddelanden
3.8.2.9.3 Skapa undantag
3.7.8
Så ansluter du ESET Endpoint Security till ESET Remote
Administrator
..............................................................................30
........................................................................71
med protokollfiltrering
3.8.2.9.5 Lösa problem
3.7.9
Så konfigurerar
..............................................................................31
du en spegling
3.8 Arbeta
....................................................................................................31
med ESET Endpoint Security
........................................................................70
PCAP-loggning
3.8.2.9.4 Avancerad
3.8.3
Webb
..............................................................................72
och e-post
3.8.3.1
Protokollfiltrering
..................................................................................73
3.8.1
Dator..............................................................................32
........................................................................73
och e-postklienter
3.8.3.1.1 Webbläsare
3.8.1.1
Antivirus
..................................................................................33
........................................................................74
program
3.8.3.1.2 Undantagna
3.8.1.1.1
En infiltration
........................................................................34
identifieras
........................................................................75
IP-adresser
3.8.3.1.3 Undantagna
3.8.1.2
Delad
..................................................................................36
lokal cache
3.8.3.1.4 SSL
3.8.1.3
Skydd
..................................................................................36
av filsystemet i realtid
SSL-kommunikation
3.8.3.1.4.1 Krypterad........................................................................76
3.8.1.3.1
Ytterligare
........................................................................37
ThreatSense-parametrar
kända certifikat
3.8.3.1.4.2 Lista över........................................................................76
3.8.1.3.2
Rensningsnivåer
........................................................................37
3.8.3.2
3.8.1.3.3
Kontroll av
........................................................................38
realtidsskyddet
........................................................................77
3.8.3.2.1 E-postklienter
3.8.1.3.4
Ändring av
........................................................................38
konfiguration för realtidsskydd
........................................................................78
3.8.3.2.2 E-postprotokoll
........................................................................75
Skydd
..................................................................................77
av e-postklient
3.8.3.2.3
Varningar
........................................................................79
och meddelanden
3.8.3.2.4
Spamskydd
........................................................................80
3.9.6
ESET..............................................................................125
SysInspector
3.9.6.1
Introduktion
..................................................................................125
till ESET SysInspector
........................................................................81
3.8.3.2.4.1 Svartlista/vitlista/undantagslista
........................................................................125
SysInspector
3.9.6.1.1 Starta ESET
adresser i vitlistor och svartlistor
3.8.3.2.4.2 Lägga till........................................................................82
3.9.6.2
meddelanden som spam eller inte spam
3.8.3.2.4.3 Markera ........................................................................82
........................................................................126
3.9.6.2.1 Programkontroller
3.8.3.3
Webbåtkomstskydd
..................................................................................82
........................................................................127
i ESET SysInspector
3.9.6.2.2 Navigera
3.8.3.3.1
Webbprotokoll
........................................................................83
........................................................................129
3.9.6.2.2.1 Tangentbordsgenvägar
3.8.3.3.2
URL-adressbehandling
........................................................................83
3.9.6.2.3 Jämför ........................................................................130
3.8.3.4
Skydd
..................................................................................84
mot nätfiske
3.9.6.3
Kommandoradsparametrar
..................................................................................131
3.8.4
Webbkontroll
..............................................................................85
3.9.6.4
Tjänsteskript
..................................................................................131
3.8.4.1
Regler
..................................................................................86
........................................................................132
tjänsteskript
3.9.6.4.1 Generera
3.8.4.1.1
Lägga till........................................................................87
webbkontrollregler
........................................................................132
struktur
3.9.6.4.2 Tjänsteskriptets
3.8.4.2
Kategorigrupper
..................................................................................88
........................................................................134
3.9.6.4.3 Köra tjänsteskript
3.8.4.3
URL-grupper
..................................................................................89
3.9.6.5
FAQ
..................................................................................135
3.8.5
Uppdatera
..............................................................................89
programmet
3.9.6.6
3.8.5.1
Inställning
..................................................................................93
av uppdateringar
ESET SysInspector som en del av ESET Endpoint
Security
..................................................................................136
3.8.5.1.1
Uppdateringsprofiler
........................................................................95
3.8.5.1.2
Ångra uppdatering
........................................................................95
3.10.1
Hottyper
..............................................................................136
3.8.5.1.3
Uppdateringsläge
........................................................................96
3.10.1.1
Virus
..................................................................................136
3.8.5.1.4
HTTP-proxy
........................................................................96
3.10.1.2
Maskar
..................................................................................137
3.8.5.1.5
Anslut till........................................................................97
LAN som
3.10.1.3
Trojaner
..................................................................................137
3.8.5.1.6
Spegling ........................................................................97
3.10.1.4
Rootkit
..................................................................................137
........................................................................100
från speglingen
3.8.5.1.6.1 Uppdatera
3.10.1.5
Reklamprogram
..................................................................................138
problem med uppdatering via spegling
3.8.5.1.6.2 Felsöka........................................................................102
3.10.1.6
Spionprogram
..................................................................................138
Skapa
..................................................................................102
uppdateringsaktiviteter
3.10.1.7
Komprimeringsprogram
..................................................................................138
3.8.6
Verktyg
..............................................................................103
3.10.1.8
Potentiellt
..................................................................................138
farliga program
3.8.6.1
Loggfiler
..................................................................................104
3.10.1.9
Potentiellt
..................................................................................139
oönskade program
3.8.6.1.1
Sök i logg
........................................................................105
..................................................................................141
3.10.1.10 Botnet
3.8.6.2
Inställning
..................................................................................105
av proxyserver
3.10.2
Typer
..............................................................................141
av fjärrangrepp
3.8.5.2
Användargränssnitt
..................................................................................126
och programanvändning
3.10 Ordlista
....................................................................................................136
3.8.6.3
Schemaläggare
..................................................................................106
3.10.2.1
Maskattacker
..................................................................................142
3.8.6.4
Skyddsstatistik
..................................................................................108
3.10.2.2
DOS-attacker
..................................................................................142
3.8.6.5
Se
..................................................................................108
aktivitet
3.10.2.3
Portgenomsökning
..................................................................................142
3.8.6.6
ESET
..................................................................................109
SysInspector
3.10.2.4
DNS-förgiftning
..................................................................................142
3.8.6.7
ESET
..................................................................................109
Live Grid
3.10.3
E-post
..............................................................................143
3.8.6.8
Processer
..................................................................................110
som körs
3.10.3.1
Annonser
..................................................................................143
3.8.6.9
Nätverksanslutningar
..................................................................................112
3.10.3.2
Bluffar
..................................................................................143
3.8.6.10
Sändning
..................................................................................113
av prover till analys
3.10.3.3
Nätfiske
..................................................................................144
3.8.6.11
Meddela
..................................................................................114
via e-post
3.10.3.4
Känna
..................................................................................144
igen spambedrägerier
3.8.6.12
Karantän
..................................................................................115
3.10.3.4.1 Regler ........................................................................144
3.8.6.13
Microsoft
..................................................................................116
Windows-uppdatering
3.10.3.4.2 Vitlista ........................................................................145
3.8.7
Användargränssnitt
..............................................................................116
........................................................................145
3.10.3.4.3 Svartlista
3.8.7.1
Element
..................................................................................117
i användargränssnitt
........................................................................145
3.10.3.4.4 Undantagslista
3.8.7.2
Inställningar
..................................................................................118
för åtkomst
på serversidan
3.10.3.4.5 Kontroll........................................................................145
3.8.7.3
Varningar
..................................................................................119
och meddelanden
3.10.4
ESET..............................................................................145
Technology
3.8.7.4
Systemfältsikonen
..................................................................................120
3.10.4.1
Kryphålsblockering
..................................................................................145
3.8.7.5
Kontextmeny
..................................................................................121
3.10.4.2
Avancerad
..................................................................................146
minnesskanner
3.10.4.3
ESET
..................................................................................146
Live Grid
Profilhanteraren
..............................................................................121
3.10.4.4
Botnätsskydd
..................................................................................146
3.9.2
Diagnostik
..............................................................................122
3.10.4.5
Java-kryphålsblockering
..................................................................................146
3.9.3
Importera
..............................................................................122
och exportera inställningar
3.9.4
Kommandorad
..............................................................................123
3.9.5
Detektering
..............................................................................125
av inaktivt tillstånd
3.9 Avancerade
....................................................................................................121
användare
3.9.1
1. PRODUCTNAME
ESET Endpoint Security 6 representerar ett nytt förhållningssätt till integrerad datasäkerhet. Den senaste versionen
av ThreatSense® genomsökningsmotor, kombinerat med våra skräddarsydda moduler Personlig brandvägg och
Antispam använder snabbhet och noggrannhet för att skydda datorn. Resultatet är ett intelligent system som är
oupphörligen vaksamt mot attacker och skadlig programvara som utgör en fara för din dator.
ESET Endpoint Security 6 är en fullständig säkerhetslösning framtagen med vår långa erfarenhet av att kombinera
maximalt skydd och minimal systembelastning. Den avancerade tekniken som bygger på artificiell intelligens kan
proaktivt eliminera infiltration av virus, spionprogram, trojaner, maskar, reklamprogram, rootkit och andra attacker
från Internet utan att minska systemets prestanda eller störa din dator.
ESET Endpoint Security 6 är framför allt utformad för användning på arbetsstationer i småföretags-/företagsmiljö.
Den går att använda med ESET Remote Administrator och gör det enkelt att hantera olika antal klientarbetsstationer,
tillämpa principer och regler, övervaka detekteringar och fjärrkonfigurera från alla datorer anslutna till nätverket.
1.1 Nyheter
Det grafiska användargränssnittet för ESET Endpoint Security har fått en helt ny utformning som ger bättre översikt
och en mer intuitiv användarupplevelse. Några av de många förbättringarna i ESET Endpoint Security version 6
inkluderar:
Bättre funktionalitet och användbarhet
Webbkontroll - definiera en enskild regel för flera URL-adresser, eller definiera olika principer för olika
nätverksplatser. "Mjuka" blockeringsprinciper är nya för version 6, tillsammans med möjligheten att delvis
anpassa blockerings- och varningssidan.
Personlig brandvägg - Nu kan du skapa brandväggsregler direkt från loggen eller IDS-meddelandefönstret och
tilldela profiler till nätverksgränssnitt.
Ett nytt botnätsskydd – som hjälper till att upptäcka skadlig programvara genom att analysera nätverkets
kommunikationsmönster och -protokoll.
Enhetskontroll - Inkluderar nu möjligheten att fastställa enhetstyp och serienummer samt att definiera enskilda
regler för flera enheter.
Ett nytt smart läge för HIPS – som befinner sig mellan automatiskt och interaktivt läge, med möjlighet att
identifiera misstänkta aktiviteter och skadliga processer i systemet.
Uppdaterings- och speglingsförbättringar - Nu kan du återuppta misslyckade nedladdningar av
virussignaturdatabasen och/eller produktmoduler.
Ny metod för fjärrhantering av datorer med ESET Remote Administrator - Skicka loggar igen vid ERAåterinstallation eller vid testning, fjärrinstallera ESET-säkerhetslösningar, få en översikt över säkerhetstillståndet
för nätverksmiljön och ordna olika data för senare användning.
Förbättringar av användargränssnittet - Nu kan virussignaturdatabasen och moduler uppdateras manuellt från
Windows systemfältsområde med en klickning. Stöd för pekskärmar och högupplösta displayer.
Bättre identifiering och borttagning av säkerhetslösningar från tredje part.
Nya funktioner
Skydd mot nätfiske - skyddar mot försök att hämta lösenord och annan känslig information genom att begränsa
åtkomsten till skadliga webbplatser som utger sig för att vara tillförlitliga.
Snabbare genomsökning - med hjälp av delat lokalt cache-minne i virtualiserade miljöer.
5
Identifierings- och skyddsteknik
Snabbare och tillförlitligare installation.
Avancerad minnesgenomsökning - övervakar processbeteenden och genomsöker skadliga processer när de
avslöjas i minnet.
Utökad kryphålsblockering – som är utformad för att förstärka ofta exploaterade programtyper, såsom
webbläsare, PDF-läsare, e-postklienter och MS Office-komponenter. Nu har kryphålsblockeringen stöd för Java
och hjälper till att förbättra detekteringen av och skyddet mot dessa typer av sårbarheter.
Bättre identifiering och borttagning av rootkits.
Säkerhetssköld - mer avancerade filtreringsalternativ för att identifiera olika typer av attacker och sårbarheter.
Genomsökning vid inaktivitet - utför en tyst genomsökning av alla lokala enheter när datorn är inaktiv.
1.2 Systemkrav
Om ESET Endpoint Security ska fungera problemfritt bör systemet uppfylla följande krav på maskinvara och
programvara:
Processorer som stöds: Intel® eller AMD x86-x64
Operativsystem: Microsoft® Windows® 8.1/8/7/Vista/XP SP3 32-bitars/XP SP2 64-bitars
1.3 Skydd
När du använder datorn, särskilt när du surfar på Internet, bör du komma ihåg att inget antivirussystem i världen
fullständigt kan eliminera risken för infiltreringar och attacker. För att uppnå maximalt skydd och bekvämlighet är
det viktigt att använda antiviruslösningen på ett korrekt sätt och följa några praktiska regler:
Uppdatera regelbundet
Enligt statistik från ESET Live Grid skapas tusentals nya unika infiltreringar varje dag. De kan ta sig förbi befintliga
säkerhetsåtgärder och berika sina författare, allt på andra användares bekostnad. Specialisterna i ESET:s viruslabb
analyserar dagligen dessa hot. De utvecklar och släpper uppdateringar så att användarnas skyddsnivå hela tiden
höjs. För att säkerställa att uppdateringarna för maximal effekt är det viktigt att uppdateringarna är korrekt inställda
på systemet. Ytterligare information om konfigurering av uppdateringar finns i kapitlet Uppdateringsinställningar.
Hämta säkerhetskorrigeringsfiler
Författarna till skadlig programvara utnyttjar ofta olika sårbarheter i systemet så att spridningen av skadlig kod blir
effektivare. Med detta i åtanke letar programvaruföretag noga efter nya sårbarheter i sina program så att de kan
släppa säkerhetsuppdateringar som regelbundet eliminerar potentiella hot så snart en sårbarhet har påvisats. Det är
viktigt att hämta dessa säkerhetsuppdateringar så snart de släpps. Microsoft Windows och webbläsare som Internet
Explorer är två exempel på program för vilka säkerhetsuppdateringar släpps regelbundet.
Säkerhetskopiera viktiga data
Författare till skadlig programvara bryr sig vanligtvis inte om användarnas behov och skadliga program leder ofta till
att operativsystemet helt slutar fungera och att viktiga data går förlorade. Det är viktigt att regelbundet
säkerhetskopiera viktiga och känsliga data till en extern källa som en DVD-skiva eller en extern hårddisk. Detta gör
det mycket snabbare och enklare att återställa data om datorn eller systemet slutar fungera.
Genomsök regelbundet datorn efter virus
Identifiering av fler kända och okända virus, maskar, trojaner och rootkit hanteras av skyddsmodulen för
realtidsövervakning av filsystemet. Detta innebär att varje gång du öppnar en fil, genomsöks den efter skadlig kod.
Vi rekommenderar att du kör en fullständig genomsökning av datorn åtminstone en gång per månad, eftersom
skadlig kod ändras och virussignaturdatabasen uppdateras varje dag.
Följ grundläggande säkerhetsregler
Detta är den viktigaste och mest effektiva regeln av alla - var alltid försiktig! Idag kräver många infiltreringar att
6
användaren reagerar innan de körs och sprids. Om du är försiktig innan du öppnar nya filer sparar du mycket tid och
kraft som annars skulle gå åt till att rensa bort infiltreringar. Här är några praktiska riktlinjer:
Besök inte misstänkta webbplatser med flera popup-fönster och blinkande annonser.
Var försiktig när du installerar gratisprogram, codec-paket o.s.v. Använd endast säkra program och besök endast
säkra webbplatser.
Var försiktig när du öppnar bifogade filer i e-postmeddelanden, särskilt om meddelandet har skickats till många
mottagare eller kommer från en okänd avsändare.
Använd inte ett administratörskonto för dagligt arbete med datorn.
7
2. Dokumentation för användare anslutna via ESET Remote
Administrator
ESET Remote Administrator (ERA) är ett program som möjliggör hantering av ESET-produkter i en nätverksmiljö från
en central plats. Med åtgärdshanteringssystemet ESET Remote Administrator kan du installera ESETsäkerhetslösningar på fjärrdatorer och snabbt bemöta nya problem och hot. ESET Remote Administrator ger inget
skydd mot skadlig kod i sig självt, utan förlitar sig till en ESET-säkerhetslösning i varje klient.
ESET-säkerhetslösningarna har stöd för nätverk med flera plattformstyper. Nätverket kan innehålla en kombination
av aktuella Microsoft-, Linux-baserade eller Mac OS-operativsystem som körs i mobila enheter (mobiltelefoner och
surfplattor).
I bilden nedan visas en exempelarkitektur för ett nätverk skyddat av ESET-säkerhetslösningar som hanteras av ERA:
OBS! Ytterligare information finns i ESET Remote Administrator-användarhandboken.
2.1 ESET-fjärradministratörserver
ESET-fjärradministratörservern är en huvudkomponent i ESET Remote Administrator. Det är ett verkställande
program som behandlar all data som tas emot från klienter anslutna till servern (genom ERA Agent). ERA Agent
underlättar kommunikationen mellan klienten och servern. Data (klientloggar, konfiguration, agentreplikationer
och så vidare) lagras i en databas. För att data ska behandlas korrekt måste ERA-servern ha en stabil anslutning till
en databasserver. ERA Server och databasen bör installeras på separata servrar för bästa prestanda. Maskinen som
ERA-servern installeras på måste vara konfigurerad att ta emot alla agent-, proxy- och RD-sensoranslutningar, vilka
verifieras med certifikat. När den installerats kan du öppna ERA-webbkonsolen som ansluter till ERA-servern (se
diagrammet). Alla ERA-serveråtgärder utförs från webbkonsolen när du hanterar ESET-säkerhetslösningar inom
nätverket.
8
2.2 Webbkonsol
ERA-webbkonsolen är ett webbaserat användargränssnit som presenterar data från ERA-servern och möjliggör
hantering av ESET-säkerhetslösningar i nätverket. Webbkonsolen kan kommas åt via en webbläsare. Den visar en
översikt över statusen för klienterna i nätverket och kan användas för att fjärrdistribuera ESET-lösningar till
ohanterade datorer. Du kan välja att göra webbservern åtkomlig via Internet för att möjliggöra användning av ESET
Remote Administrator från praktiskt taget alla platser eller enheter.
Detta är webbkonsolens anslagstavla:
Överst i webbkonsolen finns verktyget Snabbsökning. Välj Datornamn, IPv4/IPv6-adress eller Hotets namn i
listrutan, ange söksträngen i textrutan och klicka sedan på förstoringsglaset eller tryck på Retur för att söka. Du
omdirigeras till avsnittet Grupper, där sökresultatet visas.
OBS! Ytterligare information finns i ESET Remote Administrator-användarhandboken.
2.3 Proxy
ERA Proxy är en annan komponent i ESET Remote Administrator och fyller två syften. I ett medelstort nätverk eller
företagsnätverk med många klienter (exempelvis 10 000 klienter eller mer) kan du använda ERA Proxy för att fördela
belastning mellan flera ERA-proxies så att ERA-servern avlastas. Den andra fördelen med ERA Proxy är att den kan
användas vid anslutning till ett fjärrfilialkontor med en svag länk. Det innebär att ERA Agent i varje klient inte
ansluter till ERA-huvudservern direkt via ERA Proxy, som befinner sig i samma lokala nätverk som filialkontoret.
Med den här konfigurationen frigörs länken till filialkontoret. ERA-proxyn accepterar anslutningar från alla lokala
ERA-agenter, kompilerar data från dem och överför dem till ERA-servern (eller en annan ERA-proxy). På så vis kan
nätverket omfatta fler klienter utan att det inverkar på databasfrågornas och nätverkets prestanda.
Beroende på nätverkskonfiguration kan en ERA-proxy ansluta till en annan ERA-proxy och sedan ansluta till ERAhuvudservern.
För att ERA-proxyn ska fungera korrekt måste värddatorn där den installeras ha en ESET-agent installerad och den
måste vara ansluten till nätverkets övre nivå (antingen ERA-server eller övre ERA-proxy, om sådan finns).
9
2.4 Agent
ERA Agent utgör ett viktigt verktyg i ESET Remote Administrator-produkten. ESET-säkerhetslösningar i
klientmaskiner (exempelvis ESET Endpoint security) kommunicerar med ERA-servern via agenten. Den här
kommunikation möjliggör hantering av ESET-säkerhetslösningar i alla fjärrklienter från en central plats. Agenten
samlar in information från klienten och skickar den till servern. När servern skickar en aktivitet till klienten, så
skickas denna till agenten som i sin tur skickar den till klienten. All nätverkskommunikation sker mellan agenten och
den övre delen av ERA-nätverket: servern och proxyn.
ESET-agenten ansluter till servern på något av följande tre sätt:
1. Klientens agent är direktansluten till servern.
2. Klientens agent är ansluten genom en proxy som är ansluten till servern.
3. Klientens agent är ansluten till servern genom flera proxies.
ESET-agenten kommunicerar med ESET-lösningar installerade i en klient, samlar in information från program i
klienten och skickar konfigurationsinformation som tagits emot från servern till klienten.
OBS! ESET-proxyn har en egen agent som hanterar all kommunikation mellan klienter, andra proxies och servern.
2.5 RD-sensor
RD-sensorn (sensorn för Rogue-detektering) är en del av ESET Remote Administrator utformad för att söka efter
datorer i nätverket. Med den kan du smidigt lägga till nya datorer i ESET Remote Administrator utan att behöva söka
efter och lägga till dem manuellt. Varje dator som hittas i nätverket visas i webbkonsolen och läggs till i
standardgruppen Alla. Därifrån kan du vidta ytterligare åtgärder för enskilda klientdatorer.
RD-sensorn är en passiv lyssnare som detekterar datorer som finns i nätverket och skickar information om dem till
ERA-servern. ERA-servern bedömer om de datorer som påträffas i nätverket är okända eller redan hanterade.
10
3. Använda enbart ESET Endpoint Security
Detta avsnitt i denna användarhandbok är avsedd för användare som använder ESET Endpoint Security utan ESET
Remote Administrator. Alla funktioner i ESET Endpoint Security är helt åtkomliga beroende på en användares
kontobehörighet.
3.1 Installation med ESET AV Remover
Innan du fortsätter att installera är det viktigt att du avinstallerar alla befintliga säkerhetsprogram på datorn.
Markera kryssrutan intill Jag vill avinstallera oönskade antivirusprogram med ESET AV Remover för att låta ESET AV
Remover genomsöka systemet och ta bort de säkerhetsprogram som stöds. Lämna kryssrutan omarkerad och klicka
på Fortsätt för att installera ESET Endpoint Security utan att köra ESET AV Remover.
11
3.1.1 ESET AV Remover
Med ESET AV Remover-verktyget kan du ta bort nästan alla antivirusprogram som tidigare installerats i systemet.
Följ anvisningarna nedan för att ta bort ett befintligt antivirusprogram med hjälp av ESET AV Remover:
1. För att få en lista över antivirusprogram som ESET AV Remover kan ta bort, besök artikeln på ESET:s kunskapsbas.
2. Läs och klicka på Godkänn för att bekräfta att du godkänner licensavtalet för slutanvändare. Om du klickar på
Avböj kommer installationen av ESET Endpoint Security att fortsätta utan att befintliga säkerhetsprogram tas bort
från datorn.
12
3. ESET AV Remover kommer att börja söka igenom ditt system efter antivirusprogram.
4. Markera de antivirusprogram som anges i listan och klicka på Ta bort. Borttagningen kan ta en stund.
13
5. När är klar klickar du på Fortsätt.
6. Starta om din dator för att tillämpa ändringarna och fortsätt med installationen av ESET Endpoint Security. Om
avinstallationen inte lyckades, se avsnittet Ett fel uppstod under avinstallationen med ESET AV Remover i denna
handbok.
14
3.1.2 Ett fel uppstod under avinstallationen med ESET AV Remover
Om du inte kan ta bort ett antivirusprogram med ESET AV Remover, kommer du att få ett meddelande om att
programmet du försöker ta bort kanske inte stöds av ESET AV Remover. Se listan med produkter som stöds eller
avinstallationsverktyg för vanliga antivirusprogram på ESET:s kunskapsdatabas för att se om det här specifika
programmet kan tas bort.
Om avinstallationen av säkerhetsprodukten inte lyckas eller om några av dess komponenter avinstallerades delvis,
ombeds du att starta om och utföra genomsökning igen. Bekräfta UAC när datorn startat och fortsätt med
genomsökningen och avinstallationen.
Vid behov kan du kontakta ESET:s kundtjänst för att öppna en supportfråga och göra AppRemover.log-filen
tillgänglig för ESET:s tekniker. AppRemover.log-filen ligger i eset-mappen. Gå till %TEMP% i Windows Explorer för
att få tillgång till mappen. ESET:s kundtjänst kommer att svara så snart som möjligt och hjälpa dig lösa problemet.
3.2 Installation
När du har startat installationsprogrammet tar installationsguiden dig igenom installationen.
Viktigt: Kontrollera att inga andra antivirusprogram är installerade på datorn. Om två eller fler antiviruslösningar är
installera på en dator kan de komma i konflikt med varandra. Det rekommenderas att du avinstallerar alla andra
antivirusprogram på datorn. Se vår artikel i kunskapsbasen för en lista med avinstallationsverktyg för vanliga
antivirusprogram (finns på engelska och flera andra språk).
15
I nästa steg visas licensavtal för slutanvändare. Läs det och klicka på Godkänn för att bekräfta att du godkänner
licensavtalet för slutanvändare. Klicka på Nästa när du godkänt villkoren för att fortsätta med installationen.
När du valt "Jag godkänner..." och klickat på Nästa ombeds du att konfigurera ESET Live Grid. ESET Live Grid hjälper
till att säkerställa att ESET alltid har den senaste informationen om nya infiltreringar så att vi kan skydda våra kunder
bättre. Systemet tillåter att nyupptäckta hot skickas till ESET:s viruslaboratorium där de analyseras, bearbetas och
läggs till i virussignaturdatabasen.
16
Nästa steg i installationsprocessen är att konfigurera identifiering av potentiellt oönskade program som inte
nödvändigtvis är skadliga, men som ofta kan påverka operativsystemets prestanda negativt. Se kapitlet Potentiellt
oönskade program för ytterligare information. Du kan komma åt ytterligare inställningar genom att klicka på
Avancerade inställningar (exempelvis för att installera din ESET-produkt i en viss mapp eller aktivera automatisk
genomsökning efter installationen).
Det slutliga steget är att bekräfta installationen genom att klicka på Installera.
3.2.1 Avancerad installation
Med avancerad installation kan du anpassa ett antal installationsparametrar som inte är tillgängliga när du utför en
vanlig installation.
När du valt din preferens för identifiering av potentiellt oönskade program och klickar på Avancerade inställningar
ombeds du att välja en plats för installationens produktmapp. Som standard installeras programmet i följande
katalog:
C:\Program Files\ESET\ESET Endpoint Security\
Du kan ange en plats för programmoduler och -data. Som standard installeras de i följande respektive kataloger:
C:\Program Files\ESET\ESET Endpoint Security\
C:\ProgramData\ESET\ESET Endpoint Security\
Klicka på Bläddra... för att byta dessa platser (rekommenderas inte).
17
I nästa fönster kan du välja vilka produktkomponenter som ska installeras. Produktkomponenterna i avsnittet Dator
innefattar Skydd av filsystemet i realtid, Genomsökning av datorn, Dokumentskydd och Enhetskontroll. Observera
att de två första komponenterna är obligatoriska för att säkerhetslösningen ska fungera. I avsnittet Nätverk kan du
installera Personlig brandvägg, som övervakar all inkommande och utgående nätverkstrafik samt tillämpar regler för
enskilda nätverksanslutningar. Personlig brandvägg skyddar även mot attacker från fjärrdatorer. Komponenterna i
avsnittet Webb och e-post skyddar medan du surfar på webben och kommunicerar via e-post. Komponenten
Uppdateringsspegling kan användas för att uppdatera andra datorer i nätverket. I avsnittet för Microsoft NAPsupport tillhandahålls en agent från ESET som säkerställer fullständig kompatibilitet med NAP-arkitekturen.
Konfigurera proxyserverinställningarna genom att välja Jag använder en proxyserver och klicka på Nästa. Ange
proxyserverns IP- eller URL-adress i fältet Adress. Är du inte säker på om du använder en proxyserver för anslutning
till Internet, välj Använd samma inställningar som Internet Explorer (rekommenderas) och klicka på Nästa. Välj Jag
använder inte en proxyserver om du inte använder en proxyserver. För mer information, se Proxyserver.
18
Detta installationssteg gör det möjligt att bestämma hur automatiska programuppdateringar hanteras i systemet.
Klicka på Ändra... för att komma till Avancerade inställningar.
Markera Uppdatera aldrig programkomponenter om programkomponenterna inte ska uppdateras. Välj Fråga innan
programkomponenter hämtas för att visa ett bekräftelsefönster varje gång systemet försöker hämta
programkomponenter. Hämta uppgraderingar av programkomponenter automatiskt genom att välja Uppdatera
alltid programkomponenter.
Välj sedan ett filtreringsläge för ESET Personlig brandvägg. Det finns fyra filtreringslägen för ESET Endpoint Security
Personlig brandvägg. Brandväggens beteende ändras beroende på vilket läge som valts. Filtreringslägen påverkar
också hur mycket användaren behöver göra.
19
Nästa installationsfönster har alternativet att ställa in ett lösenord för att skydda programinställningarna. Välj
Skydda konfigurationsinställningar med ett lösenord och ange ditt lösenord i fälten Nytt lösenord och Bekräfta nytt
lösenord. Detta lösenord krävs för att ändra eller få åtkomst till inställningarna i ESET Endpoint Security. Klicka på
Nästa när båda lösenordsfälten överensstämmer.
Om du vill inaktivera första genomsökningen efter installation som normalt utförs när installationen slutförs
avmarkerar du kryssrutan intill Aktivera genomsökning efter installation.
Klicka på Installera för att börja installera.
3.3 Produktaktivering
När installationen är slutförd ombeds du aktivera produkten.
Välj någon av de tillgängliga metoderna för att aktivera ESET Endpoint Security. Se Hur man aktiverar ESET Endpoint
Security för mer information.
20
3.4 Genomsökning av datorn
Inom 15 minuter efter installationen (datorn kan behöva startas om) utförs en genomsökning automatiskt av ESET
Endpoint Security. Utöver den initiala genomsökningen rekommenderas att du genomför genomsökningar
regelbundet eller schemalägger en regelbunden genomsökning för att söka efter hot. Klicka på Genomsökning av
datorn i programmets huvudfönster och klicka sedan på Smart genomsökning. För mer information om
genomsökning av datorn, se Genomsökning av datorn.
3.5 Uppgradering till en nyare version
Nya versioner av ESET Endpoint Security kommer ut för att genomföra förbättringar eller lösa problem som inte går
att åtgärda med automatiska uppdateringar av programmodulerna. Det går att uppdatera till en nyare version på
flera sätt:
1. Automatiskt genom programuppdatering.
Eftersom programuppdateringen distribueras till alla användare och kan påverka vissa systemkonfigurationer,
släpps de efter en lång testperiod för problemfri uppgradering på alla tänkbara systemkonfigurationer. Använd
en av metoderna nedan om du måste uppgradera till en nyare version omedelbart när den kommer ut.
2. Manuellt genom att hämta och installera en nyare version över den föregående.
3. Manuellt med automatisk distribution i en nätverksmiljö med ESET Remote Administrator.
21
3.6 Nybörjarguide
Detta kapitel ger en inledande översikt över ESET Endpoint Security och grundinställningarna.
3.6.1 Användargränssnitt
ESET Endpoint Security huvudfönster är indelat i två huvuddelar. Det primära fönstret till höger visar information
som motsvarar alternativt som valts i huvudmenyn till vänster.
Här följer en beskrivning av alternativen på huvudmenyn:
Skyddsstatus - ger information om skyddsstatus för ESET Endpoint Security.
Genomsökning av datorn - detta alternativ konfigurerar och startar en Smart genomsökning, Anpassad
genomsökning eller Genomsökning av flyttbara medier. Du kan även upprepa den senaste genomsökningen.
Uppdatering - visar information om uppdateringar av virussignaturdatabasen.
Inställningar - välj det här alternativet om du vill justera säkerhetsinställningarna för Dator, Nätverk eller Webb- och
e-post.
Verktyg - ger åtkomst till loggfiler, skyddsstatistik, aktivitetsövervakning, processer som körs, schemaläggare,
karantän, nätverksanslutningar, ESET SysInspector och ESET SysRescue för att skapa en återställnings-CD. Du kan
även skicka ett prov för analys.
Hjälp och support - ger åtkomst till hjälpfiler, ESET:s kunskapsbas och ESET:s företagswebbplats. Dessutom finns
länkar för att öppna en kundsupportfråga, supportverktyg och information om produktaktivering.
Skyddsstatus-fönstret informerar om datorns säkerhet och dess aktuella skyddsnivå. Den gröna statusikonen
Maximalt skydd visar anger att maximalt skydd garanteras.
I statusfönstret finns även snabblänkar till vanliga funktioner i ESET Endpoint Security och information om den
senaste uppdateringen.
22
Vad gör jag om programmet inte fungerar?
Om de aktiverade modulerna fungerar är de markerade med en grön bock. Om inte, visas ett rött utropstecken eller
en orange meddelandeikon. Ytterligare information om modulen visas i fönstrets övre del. Ett förslag att korrigera
modulen visas även. Ändra status för en enskild modul genom att klicka på Inställningar på huvudmenyn och klicka
sedan på önskad modul.
Den röda ikonen med ett utropstecken anger att det finns kritiska problem och att maximalt skydd för
datorn inte går att garantera. Möjliga orsaker är:
Skydd mot virus och spionprogram inaktiverat - Du kan aktivera skyddet mot virus och spionprogram igen genom
att klicka på Aktivera realtidsskydd i fönstret Skyddsstatus eller Aktivera skydd mot virus och spionprogram i
fönstret Inställningar i programmets huvudfönster.
ESET Personlig brandvägg inaktiverad - Detta problem indikeras med en röd ikon och ett säkerhetsmeddelande
intill objektet Nätverk. Det går att återaktivera nätverksskyddet genom att klicka på Aktivera filtreringsläge.
Virussignaturdatabasen är inaktuell - Du använder en inaktuell version av virussignaturdatabasen.
Produkten inte aktiverad eller Licensen har upphört - Detta indikeras genom att ikonen Skyddsstatus blir röd.
Programmet kan inte uppdatera när licensen har gått ut. Vi rekommenderar att följa anvisningarna i
varningsfönstret för att förnya licensen.
Den orangea ikonen med ett "i" indikerar att ESET-produkten kräver uppmärksamhet för ett icke-kritiskt
problem. Möjliga orsaker är:
Webbåtkomstskydd är inaktiverat - Det går att återaktivera webbåtkomstskyddet genom att klicka på
säkerhetsmeddelandet och sedan klicka på Aktivera webbåtkomstskydd.
Licensen upphör snart att gälla - Detta indikeras genom att skyddsstatusikonen och visar ett utropstecken. När
licensen har gått ut kan programmet inte uppdatera och ikonen Skyddsstatus blir röd.
Om det inte går att lösa problemet med förslagen, klicka på Hjälp och support för att visa hjälpfilerna eller söka i
ESET:s kunskapsbas. Om du fortfarande behöver hjälp, skicka in en supportbegäran till ESET kundtjänst. ESET
23
kundtjänst svarar snabbt på dina frågor och hjälper dig att hitta en lösning.
3.6.2 Inställning av uppdateringar
Att uppdatera virussignaturdatabasen och programkomponenterna är avgörande för att bibehålla ett heltäckande
skydd mot skadlig kod. Var mycket noggrann vad gäller uppdatering av konfiguration och funktionalitet. På
huvudmenyn väljer du Uppdatera > Uppdatera nu för att söka efter en nyare databasuppdatering.
Om du inte angett din Licensnyckel än kommer du inte att kunna få nya uppdateringar och ombeds att aktivera
produkten.
24
Fönstret Avancerade inställningar (klicka på Inställningar > Avancerade inställningar på huvudmenyn eller tryck på
F5 på tangentbordet) innehåller ytterligare uppdateringsalternativ. Klicka på knappen Uppdatera i trädet
Avancerade inställningar för att konfigurera avancerade uppdateringsalternativ som uppdateringsläge,
proxyserveråtkomst, LAN-anslutningar och skapa virussignaturkopior. Har du problem med en uppdatering, klicka
på Rensa för att rensa det tillfälliga uppdateringscachet. Menyn Uppdateringsserver är som standard inställd till
AUTOSELECT. När en ESET-server används bör alternativet Välj automatiskt användas. Om du inte vill att
systemmeddelanden ska visas i nedre högra hörnet på skärmen väljer du Inaktivera meddelande om slutförd
uppdatering.
För bästa funktion bör programmet uppdateras automatiskt. Detta är endast möjligt om Licensnyckel angetts i Hjälp
och support > Aktivera produkt.
Om du inte angav licensnyckeln efter installationen kan du göra detta när du vill. För mer utförlig information om
aktivering, se Så aktiverar du ESET Endpoint Security och ange de uppgifter du fick med din ESET-säkerhetsprodukt i
fönstret Licensinformation.
25
3.6.3 Platsinställningar
Det är nödvändigt att konfigurera tillförlitliga platser för att skydda datorn i en nätverksmiljö. Det går att ge andra
användare åtkomst till din dator genom att konfigurera tillförlitliga platser samt tillåta delning. Klicka på Avancerade
inställningar (F5) > Personlig brandvägg > Zoner för åtkomst till inställningarna för tillförlitliga platser.
Detektering av tillförlitliga platser utförs efter installation av ESET Endpoint Security och när din dator ansluter till
ett nytt nätverk. Det finns vanligtvis inget behov av att definiera Tillförlitliga platser. Som standard visas en
dialogruta vid identifiering av en ny plats där det går att ange säkerhetsnivån för den platsen.
Varning: Att felaktigt konfigurera platser som tillförlitliga kan innebära en säkerhetsrisk för datorn.
OBS! Som standard får arbetsstationer på tillförlitliga platser åtkomst till delade filer och skrivare, inkommande
RPC-kommunikation aktiveras och delning av fjärrskrivbord blir tillgängligt.
3.6.4 Webbkontrollverktyg
Om du redan har aktiverat Webbkontroll i ESET Endpoint Security måste du även konfigurera Webbkontroll för
önskade användarkonton för att Webbkontrollfunktionen ska fungera som avsett. Se kapitlet Webbkontroll för
instruktioner kring hur du skapar specifika begränsningar för dina klientarbetsstationer för att skydda dem mot
potentiellt kränkande material.
26
3.7 Vanliga frågor
Det här kapitlet innehåller en del ofta förekommande frågor och problem som uppkommer. Klicka på en
ämnesrubrik om du vill få information om hur du kan lösa ett problem:
Hur man uppdaterar ESET Endpoint Security
Hur man aktiverar ESET Endpoint Security
Så använder du aktuella uppgifter för att aktivera en ny produkt
Ta bort ett virus från datorn
Tillåta kommunikation för ett visst program
Skapa en ny aktivitet i Schemaläggare
Schemalägga en genomsökningsaktivitet (var 24:e timme)
Så ansluter du din produkt till ESET Remote Administrator
Så konfigurerar du en spegling
Om ditt problem inte finns på listan med hjälpsidor ovan, försök att söka med nyckelord eller en fras som beskriver
ditt problem på hjälpsidorna för ESET Endpoint Security.
Om du inte hittar någon lösning på problemet på hjälpsidorna besöker du ESET kunskapsbas, där det finns svar på de
flesta vanliga frågor.
Så tar du bort trojanen Sirefef (ZeroAccess)
Kontrollista vid felsökning av spegling av uppdateringar
Vilka adresser och portar i min brandvägg från tredje part ska jag öppna för att min ESET-produkt ska fungera fullt ut?
Om det behövs kan du kontakta det tekniska supportcentret online med dina frågor eller problem. Länken till vårt
kontaktformulär på webben finns i fönstret Hjälp och support i huvudprogramfönstret.
3.7.1 Uppdatera ESET Endpoint Security
Det går att uppdatera ESET Endpoint Security manuellt eller automatiskt. Starta uppdateringen genom att klicka på
Uppdatera nu i avsnittet Uppdatera på huvudmenyn.
Standardinstallationens inställningar skapar en automatisk uppdateringsaktivitet som utförs en gång i timmen. Gå
till Verktyg > Schemaläggaren om du vill ändra intervallet (klicka här för ytterligare information om
Schemaläggaren).
3.7.2 Aktivera ESET Endpoint Security
När installationen är slutförd ombeds du aktivera produkten.
Det går att aktivera produkten på flera sätt. Tillgänglighet för ett visst aktiveringssätt i aktiveringsfönstret kan bero
på land och distributionssätt (CD/DVD, ESET webbsida osv.).
För att aktivera ditt exemplar av ESET Endpoint Security direkt från programmet klickar du på systemfältsikonen
och väljer Aktivera produktlicens på menyn. Du kan även aktivera produkten via huvudmenyn under Hjälp och
support > Aktivera produkt eller Skyddsstatus > Aktivera produkt.
ESET Endpoint Security kan aktiveras på något av följande sätt:
Licensnyckel - En unik sträng i formatet XXXX-XXXX-XXXX-XXXX-XXXX som används för att identifiera licensägaren
och aktivera licensen.
Säkerhetsadministratörskonto - Ett konto som skapas på ESET License Administrator-portalen med uppgifter (epostadress och lösenord). Med den här metoden kan du hantera flera licenser från en plats.
Offlinelicens - En automatiskt genererad fil som överförs till ESET-produkten för att tillhandahålla
licensinformation. Om en licens medger hämtning av en offlinelicensfil (.lf) kan den filen användas för
offlineaktivering. Antalet offlinelicenser dras från det totala antalet tillgängliga licenser. För mer information om
att skapa offlinelicensfiler, se ESET License Administrator-användarhandboken.
Klicka på Aktivera senare om datorn ingår i ett hanterat nätverk och administratören kommer att utföra
27
fjärraktivering via ESET Remote Administrator. Du kan även använda det här alternativet om du vill aktivera klienten
vid ett senare tillfälle.
Om du har ett användarnamn och lösenord och inte vet hur du ska aktivera ESET Endpoint Security klickar du på Jag
har ett användarnamn och lösenord, vad ska jag göra. Du omdirigeras då till ESET License Administrator, där du kan
konvertera dina uppgifter till en licensnyckel.
Du kan ändra produktlicensen när som helst. Om du vill göra det klickar du på Hjälp och support > Hantera licens i
programmets huvudfönster. Då visas det offentliga licens-ID som behövs för att identifiera licensen för ESET:s
support. Användarnamnet datorn är registrerad för finns i avsnittet Om, som du kan visa genom att högerklicka på
systemfältsikonen .
OBS! ESET Remote Administrator kan aktivera klientdatorer tyst med hjälp av licenser som gjorts tillgängliga av
administratören. Anvisningar för detta finns i ESET Remote Administrator-användarhandboken.
3.7.3 Så använder du aktuella uppgifter för att aktivera en ny produkt
Om du redan har ett användarnamn och lösenord och vill hämta en licensnyckel besöker du ESETlicensadministratörportalen, där du kan konvertera dina uppgifter till en ny licensnyckel.
3.7.4 Ta bort ett virus från datorn
Om datorn visar symptom på att ha blivit infekterad av skadlig programvara, t.ex. om den har blivit långsammare
eller ofta låser sig, rekommenderar vi att du gör följande:
1. Klicka på Genomsökning av datorn i programmets huvudfönster.
2. Klicka på Smart genomsökning för att genomsöka systemet.
3. När genomsökningen har slutförts visas antalet genomsökta, infekterade och rensade filer i loggen.
4. Vill du endast genomsöka en viss del av disken, klicka på Anpassad genomsökning och ange vad som ska
genomsökas efter virus.
För mer information, se vår ESET-kunskapsdatabas som uppdateras regelbundet.
28
3.7.5 Tillåta kommunikation för ett visst program
Om en ny anslutning identifieras i interaktivt läge och det inte finns någon regel för den, ombeds du att tillåta eller
avvisa anslutningen. Markera kryssrutan Kom ihåg åtgärd (skapa regel) om du vill utföra samma åtgärd varje gång
ESET Endpoint Security försöker upprätta anslutningen.
Det går att skapa nya regler i Personlig brandvägg för program innan de identifieras av ESET Endpoint Security i
inställningsfönstret för Personlig brandvägg som finns under Avancerade inställningar > Personlig brandvägg >
Grundläggande > Regler genom att klicka på Redigera.
Klicka på Lägg till om du vill lägga till regeln. Ange namn, riktning och kommunikationsprotokoll för regeln på fliken
Allmänt. Det går att ställa in vilken åtgärd som ska utföras när regeln används.
Ange sökvägen till programmets körbara fil och den lokala kommunikationsporten på fliken Lokal. Klicka på fliken
Fjärrpunkt för att ange fjärradress och -port (om tillämpligt). Den nya regeln används när programmet försöker
kommunicera igen.
3.7.6 Skapa en ny aktivitet i Schemaläggare
Skapa en ny aktivitet i Verktyg > Schemaläggaren genom att klicka på Lägg till aktivitet eller högerklicka på
kontextmenyn och välj Lägg till.... Det finns fem typer av schemalagda aktiviteter:
Kör externt program - schemalägger körning av ett extern program.
Underhåll av loggning - loggfiler innehåller även rester från borttagna poster. Denna aktivitet optimerar
regelbundet posterna i loggfiler för effektiv funktion.
Kontroll av filer som startas automatiskt - kontrollerar filer som tillåts köra vid systemstart eller inloggning.
Skapa en avbildning av datorns status – skapar en avbildning av datorn i ESET SysInspector – samlar detaljerad
information om systemkomponenter (t.ex. drivrutiner och program) och utvärderar risknivån för varje
komponent.
Genomsökning av datorn på begäran - utför genomsökning av filer och mappar på datorn.
Första genomsökningen – som standard utförs en genomsökning 20 minuter efter installation eller omstart av
datorn som en aktivitet med låg prioritet.
Uppdatering - schemalägger en uppdateringsaktivitet genom att uppdatera virussignaturdatabasen och
programmodulerna.
Eftersom Uppdatering är en av de schemalagda aktiviteter som används oftast förklarar vi hur du skapar en ny
uppdateringsaktivitet.
29
Välj Uppdatera från rullgardinsmenyn Schemalagd aktivitet. Ange aktivitetens namn i fältet Aktivitetsnamn och
klicka på Nästa. Välj hur ofta aktiviteten ska utföras. Följande alternativ finns tillgängliga: En gång, Flera gånger,
Dagligen, Varje vecka och Händelseutlöst. Välj Hoppa över aktivitet när datorn körs på batteri för att minimera
systemresurserna när datorns körs på batteri. Aktiviteten körs vid det datum och den tidpunkt som angetts i fältet
Utförande av aktivitet. Definiera sedan åtgärden som vidtas om aktiviteten inte kan genomföras eller slutföras den
schemalagda tiden. Följande alternativ finns tillgängliga:
Vid nästa schemalagda tid
Så snart som möjligt
Omedelbart om tiden sedan senaste körning överskrider angivet värde (intervallet kan anges i rullningsrutan Tid
sedan senaste körning)
I nästa steg visas ett översiktsfönster med information om den aktuella schemalagda aktiviteten. Klicka på Slutför
när du är klar med ändringarna.
En dialogruta öppnas där användaren kan välja vilka profiler som ska användas för den schemalagda aktiviteten. Här
kan du välja primär och alternativ profil. Den alternativa profilen används om aktiviteten inte kan slutföras med den
primära profilen. Den nya schemalagda aktiviteten läggs till i listan över aktuella schemalagda aktiviteter när du
klickar på Slutför.
3.7.7 Schemalägga en genomsökningsaktivitet (var 24:e timme)
Schemalägg en regelbunden aktivitet genom att öppna programmets huvudfönster och klicka på Verktyg >
Schemaläggare. Nedan finns en kort guide om att schemalägga en aktivitet som startar en genomsökning av lokala
diskar var 24:e timme.
Schemalägga en aktivitet:
1. Klicka på Lägg till i huvudskärmen i Schemaläggare.
2. Välj Genomsökning av datorn på begäran på rullgardinsmenyn.
3. Ange ett namn för aktiviteten och välj Flera gånger.
4. Välj att köra aktiviteten var 24:e timme.
5. Välj en åtgärd att utföra om den schemalagda aktiviteten misslyckas.
6. Granska sammanfattningen av den schemalagda aktiviteten och klicka på Slutför.
7. Välj Lokala enheter på rullgardinsmenyn Målobjekt.
8. Klicka på Slutför om du vill använda aktiviteten.
3.7.8 Så ansluter du ESET Endpoint Security till ESET Remote Administrator
När ESET Endpoint Security installerats på datorn och du vill ansluta via ESET Remote Administrator kontrollerar du
att även att ERA-agenten har installerats på klientarbetsstationen. ERA Agent krävs för alla klientlösningar som
kommunicerar med ERA-servern. ESET Remote Administrator använder RD-sensorverktyget för att söka efter
datorer i nätverket. Alla datorer i nätverket som detekteras av RD-sensorn visas i webbkonsolen.
När agenten distribuerats kan du fjärrinstallera ESET-säkerhetsprodukter på klientdatorn. De exakta stegen för
fjärrinstallation beskrivs i ESET Remote Administrator-användarhandboken.
30
3.7.9 Så konfigurerar du en spegling
ESET Endpoint Security kan konfigureras att lagra kopior av uppdateringsfiler med virussignaturer och distribuera
uppdateringar till andra arbetsstationer som kör ESET Endpoint Security eller ESET Endpoint Antivirus.
Konfigurera ESET Endpoint Security som en speglingsserver för att tillhandahålla uppdateringar via en intern HTTPserver
Tryck på F5 för att öppna Avancerade inställningar och expandera Uppdatera > Grundläggande. Kontrollera att
Uppdateringsserver är inställt till AUTOSELECT. Välj Skapa spegling av uppdateringar och Tillhandahåll
uppdateringsfiler via intern HTTP-server från Avancerade inställningar > Grundläggande > Spegling.
Konfigurera en spegling för att tillhandahålla uppdateringar via en delad nätverksmapp
Skapa en delad mapp på en lokal enhet eller nätverksenhet. Mappen måste vara läsbar av alla användare som kör
ESET-säkerhetslösningar och skrivbar från det lokala SYSTEM-kontot. Aktivera Skapa spegling av uppdateringar under
Avancerade inställningar > Grundläggande > Spegling. Bläddra efter och välj den skapade delade mappen.
OBS!: Om du inte vill uppdatera via intern HTTP-server inaktiverar du Tillhandahåll uppdateringsfiler via intern
HTTP-server.
3.8 Arbeta med ESET Endpoint Security
Med de olika inställningsalternativen för ESET Endpoint Security går det att ställa in skyddsnivån för dator, webb, epost och nätverk.
31
Menyn Inställningar innehåller följande avsnitt:
Dator
Nätverk
Webb och e-post
Inställning av skydd för Dator gör det möjligt att aktivera eller inaktivera följande komponenter:
Skydd av filsystemet i realtid - alla filer genomsöks efter skadlig kod när de öppnas, skapas eller körs på datorn.
Dokumentskydd - funktionen Dokumentskydd genomsöker Microsoft Office-dokument innan de öppnas, samt
filer som hämtats automatiskt av Internet Explorer, som t.ex. Microsoft ActiveX-kontroller.
HIPS - HIPS-systemet övervakar händelser inom operativsystemet och reagerar på dem enligt en uppsättning
anpassade regler.
Presentationsläge - en funktion för användare som kräver oavbruten användning av sina program och inte vill bli
störda av popup-fönster och vill minska belastningen på processorn. Du får ett varningsmeddelande (potentiell
säkerhetsrisk) och huvudmenyn blir orange när Presentationsläge aktiveras.
Anti-Stealth-skydd - ger detektering av farliga program, såsom rootkits som kan gömma sig för operativsystemet.
Det betyder att det inte är möjligt att identifiera dem med vanliga testtekniker.
I avsnittet Nätverk går det att aktivera eller inaktivera Personlig brandvägg.
Inställning av skydd för Webb och e-post gör det möjligt att aktivera eller inaktivera följande komponenter:
Webbkontroll - blockerar webbsidor med potentiellt stötande innehåll. Dessutom kan systemadministratörer
ange åtkomstpreferenser för 27 fördefinierade webbplatskategorier.
Webbåtkomstskydd - om aktiverat genomsöks all trafik genom HTTP eller HTTPS efter skadlig programvara.
Skydd av e-postklienter - övervakar e-postkommunikation med POP3- och IMAP-protokollen.
Spamskydd - genomsöker oönskad e-post eller spam.
Skydd mot nätfiske - skyddar mot försök att hämta lösenord, bankuppgifter och annan känslig information av
bedrägliga webbplatser som utger sig för att vara tillförlitliga.
Om du vill inaktivera enskilda moduler tillfälligt klickar du på det gröna reglaget
Observera att detta kan minska skyddsnivån för datorn.
vid den önskade modulen.
Om du vill aktivera skyddet för en inaktiverad säkerhetskomponent igen klickar du på det röda reglaget
återställa en komponent till aktiverat tillstånd.
för att
OBS! Alla skyddsåtgärder som inaktiveras på det här sättet aktiveras igen när datorn startas om.
Om du vill öppna detaljerade inställningar för en viss säkerhetskomponent klickar du på kugghjulet intill valfri
komponent.
Det finns ytterligare alternativ längst ned i inställningsfönstret. Om du vill läsa in inställningsparametrar med en
.xml-konfigurationsfil, eller om du vill spara de aktuella inställningsparametrarna till en konfigurationsfil, använder
du Importera/exportera inställningar. Se Importera/exportera inställningar för utförlig information.
Klicka på Avancerade inställningar eller tryck på F5 för mer utförliga alternativ.
3.8.1 Dator
Modulen Dator finns under Inställningar > Dator. Här visas en översikt över de skyddsmoduler som beskrivs i
föregående kapitel. I det här avsnittet finns följande inställningar:
Klicka på kugghjulet intill Skydd av filsystemet i realtid och klicka på Redigera exkluderingar för att öppna
inställningsfönstret Exkludering där du kan undanta filer och mappar från genomsökning.
OBS! Dokumentskyddsstatus kanske inte är tillgängligt förrän det aktiveras i Avancerade inställningar (F5) >
Antivirus > Dokumentskydd. Efter aktiveringen kan du behöva starta om datorn från fönstret Inställningar > Dator
genom att klicka på Starta om under Enhetskontroll eller så kan du göra det från fönstret Skyddsstatus genom att
klicka på Starta om datorn.
Pausa skydd mot virus och spionprogram - Du kan när som helst tillfälligt inaktivera skyddet mot virus och
32
spionprogram. Välj hur länge du vill att skyddet för den valda komponenten ska inaktiveras i listrutan och klicka
sedan på Verkställ för att inaktivera säkerhetskomponenten. När du vill aktivera skyddet igen klickar du på Aktivera
skydd mot virus och spionprogram.
Inställningar för genomsökning - klicka för att justera parametrarna för genomsökning av datorn (manuellt utförd
genomsökning).
3.8.1.1 Antivirus
Antirusskydd skyddar mot skadliga systemangrepp genom att filer, e-post och Internetkommunikation kontrolleras.
Om ett hot identifieras kan antivirusmodulen eliminera det genom att det först blockeras och därefter rensas, tas
bort eller flyttas till karantän.
Om du vill konfigurera inställningarna för antivirusmodulen i detalj klickar du på Avancerade inställningar eller
trycker på F5.
Skanneralternativ för alla skyddsmoduler (t.ex. Skydd av filsystemet i realtid, Webbåtkomstskydd osv.) gör det
möjligt att aktivera eller inaktivera identifiering av följande:
Potentiellt oönskade program (PUA) är inte nödvändigtvis avsedda att vara skadliga, men kan påverka datorns
prestanda negativt.
Läs mer om dessa programtyper i ordlistan.
Potentiellt farligt program är laglig, kommersiell programvara som kan missbrukas i skadliga syften. Exempel på
sådana osäkra program är verktyg för fjärråtkomst, program som spårar lösenord och keylogger-program (program
som registrerar varje tangent användaren trycker ned). Det här alternativet är inaktivt som standard.
Läs mer om dessa programtyper i ordlistan.
Misstänkta program inkluderar program som komprimerats med komprimeringsprogram eller skydd. Dessa typer
av skydd utnyttjas ofta av skadlig kod för att undvika upptäckt.
Anti-Stealth-tekniken är ett sofistikerat system som identifierar skadliga program som rootkits, som kan gömma sig
för operativsystemet. Det betyder att det inte är möjligt att identifiera dem med vanliga testtekniker.
Exkluderade objekt gör det möjligt att exkludera filer och mappar från genomsökning. För att säkerställa att alla
objekt genomsöks efter hot rekommenderar vi att du bara skapar exkluderingar när det är absolut nödvändigt.
Situationer där du kan behöva undanta ett objekt kan exempelvis vara genomsökning av stora databasposter som
skulle göra datorn långsam under en genomsökning eller programvara som står i konflikt med genomsökningen. För
att undanta ett objekt från genomsökning, se Exkluderade objekt.
33
3.8.1.1.1 En infiltration identifieras
Datorn kan infiltreras från många olika håll, som t.ex. från webbsidor, delade mappar, via e-post eller från flyttbara
lagringsenheter (USB-enheter, externa enheter, CD- och DVD-skivor, disketter osv.).
Standardbeteende
Som ett allmänt exempel på hur infiltrationer hanteras av ESET Endpoint Security går det att identifiera infiltrationer
med:
Skydd av filsystemet i realtid
Webbåtkomstskydd
Skydd av e-postklient
Genomsökning av datorn på begäran
Var och en använder standardrensningsnivån och försöker att rensa filer och flytta den till Karantän eller avbryta
anslutningen. Ett meddelandefönster visas i meddelandefältet längst ned till höger på skärmen. För mer
information om rensningsnivåer och beteende, se Rensning.
34
Rensa och ta bort
Om det inte finns någon fördefinierad åtgärd för skydd av filsystemet i realtid visas ett varningsfönster och du
uppmanas att ange ett alternativ. Vanligen är alternativen Rensa, Ta bort och Ingen åtgärd tillgängliga. Vi
rekommenderar inte att välja Ingen åtgärd eftersom detta lämnar infekterade filer orensade. Undantaget är när du
är säker på att en fil är ofarlig och identifierades av misstag.
Verkställ rensning om en fil har angripits av ett virus som har lagt till skadlig kod i filen. Om detta är fallet ska du
först försöka rensa den infekterade filen så att den återgår till ursprungsläget. Om filen endast består av skadlig kod
tas den bort.
Om en infekterad fil är "låst" eller används av en systemprocess tas den vanligtvis inte bort förrän den har släppts
(normalt efter det att systemet har startats om).
Flera hot
Om en del infekterade filer inte rensades under Genomsökning av datorn (eller Rensningsnivå ställdes in på Ingen
rensning) visas ett varningsfönster där du ombeds välja åtgärder för filerna. Välj åtgärder för filerna (åtgärderna
anges individuellt för varje fil i listan) och klicka sedan på Slutför.
Ta bort filer i arkiv
Ta bort filer i arkiv i standardläget tas hela arkivet endast bort om det bara innehåller infekterade filer och inga rena
filer. I standardläget tas arkiv inte bort om de även innehåller ofarliga, rena filer. Var försiktig när du utför en
genomsökning med Strikt rensning. Om Strikt rensning är aktiverat tas hela arkivet bort om det innehåller minst en
infekterad fil, oavsett status för de andra filerna i arkivet.
Om datorn visar tecken på att ha blivit infekterad av skadlig programvara, till exempel om den har blivit
långsammare eller ofta låser sig, rekommenderar vi att du gör följande:
Öppna ESET Endpoint Security och klicka på Genomsökning av datorn.
Klicka på Smart genomsökning (för mer information, se Genomsökning av datorn)
När genomsökningen har slutförts visas antalet genomsökta, infekterade och rensade filer i loggen.
Om du endast vill genomsöka en viss del av disken klickar du på Anpassad genomsökning och anger vad som ska
genomsökas efter virus.
35
3.8.1.2 Delad lokal cache
Delad lokal cache förbättrar prestanda i virtualiserade miljöer genom att eliminera dubblerad genomsökning i
nätverket. På så vis säkerställs att varje fil endast genomsöks en gång och lagras i det delade cacheminnet. Aktivera
Cache-alternativ om du vill spara information om genomsökningar av filer och mappar i nätverket till det lokala
cacheminnet. Om du gör en ny genomsökning söker ESET Endpoint Security efter genomsökta filer i cacheminnet.
Om filer matchar undantas de från genomsökningen.
Konfigurationen av Cache-server innehåller följande:
Värdnamn - Namn på eller IP-adress för den dator där cacheminnet finns.
Port - Numret på den port som används för kommunikation (samma som ställdes in i Delad lokal cache).
Lösenord - Ange lösenordet för ESET:s delade lokala cache om så behövs.
3.8.1.3 Skydd av filsystemet i realtid
Skydd av filsystemet i realtid kontrollerar alla antivirusrelaterade händelser i systemet. Alla filer genomsöks efter
skadlig kod när de öppnas, skapas eller körs på datorn. Skydd av filsystemet i realtid startas vid systemstart.
Som standard startar realtidsskyddet när systemet startar och ger oavbruten genomsökning. I särskilda fall (t.ex. om
det uppstår konflikt med ett annat genomsökningsprogram som arbetar i realtid) kan realtidsskyddet inaktiveras
genom att avmarkera alternativet Starta skydd av filsystemet i realtid automatiskt under Skydd av filsystemet i
realtid > Grundläggande i Avancerade inställningar.
Media som ska genomsökas
Som standard kontrolleras alla mediatyper efter potentiella hot:
Lokala enheter - kontrollerar alla hårddiskar i systemet.
Flyttbara medier - Styr CD/DVD, USB-enheter, Bluetooth-enheter osv.
Nätverksenheter - genomsöker alla mappade enheter.
Vi rekommenderar att du använder standardinställningarna och endast ändrar dem i speciella fall, till exempel om
kontroll av vissa media gör att dataöverföring går betydligt långsammare.
36
Genomsök vid
Som standard genomsöks alla filer när de öppnas, skapas eller körs. Vi rekommenderar att behålla
standardinställningarna eftersom de ger datorn ett maximalt realtidsskydd:
Öppning av fil - Aktiverar eller inaktiverar genomsökning när filer öppnas.
Skapande av fil - Aktiverar eller inaktiverar genomsökning när filer skapas.
Körning av fil - Aktiverar eller inaktiverar genomsökning när filer körs.
Åtkomst till flyttbara medier – aktiverar eller inaktiverar genomsökning som utlöses av åtkomst till vissa flyttbara
medier med lagringsutrymme.
Avstängning av datorn – aktiverar eller inaktiverar genomsökning som utlöses när datorn stängs av.
Skydd av filsystemet i realtid kontrollerar alla typer av media och utlöses av olika systemhändelser som t.ex.
åtkomst till en fil. Med ThreatSense-teknikens detekteringsmetoder (beskrivs i avsnittet Parameterinställningar för
ThreatSense-motorn) kan skydd av filsystemet i realtid konfigureras så att det hanterar nya filer på annat sätt än
befintliga filer. Det går till exempel att konfigurera skydd av filsystemet i realtid så att det övervakar nyskapade filer
mer noga.
För att använda så lite systemresurser som möjligt under realtidsskyddet kommer filer som redan genomsökts inte
att genomsökas igen (om de inte har modifierats). Filerna genomsöks omedelbart efter varje uppdatering av
virussignaturdatabasen. Detta beteende kontrolleras med Smart optimering. Om Smart optimering är inaktiverat
genomsöks filerna varje gång de används. Om du vill ändra inställningen trycker du på F5 för att öppna Avancerade
inställningar och klickar på Antivirus > Skydd av filsystemet i realtid. Klicka på ThreatSense-parameter > Annat och
markera eller avmarkera Aktivera Smart optimering.
3.8.1.3.1 Ytterligare ThreatSense-parametrar
Ytterligare ThreatSense-parametrar för filer som nyligen har skapats eller ändrats - sannolikheten för att filer som
nyligen skapats är infekterade är högre än för befintliga filer. Detta är orsaken till att programmet kontrollerar dessa
filer med ytterligare genomsökningsparametrar. Tillsammans med vanliga signaturbaserade
genomsökningsmetoder används även avancerad heuristik som kan upptäcka nya hot innan virussignaturdatabasens
uppdatering ges ut. Utöver nya skapade filer, utförs genomsökning i självuppackande filer (.sfx) och internt packade
filer (internt komprimerade exekverbara filer). I standardläget genomsöks arkiv upp till 10:e nästlingsnivån och
kontrolleras oavsett faktisk storlek. Ändra inställningarna för genomsökning av arkiv genom att inaktivera
Standardinställningar för genomsökning av arkiv.
Mer information om internt packade filer, självuppackande arkiv och avancerad heuristik finns i
Parameterinställningar för ThreatSense-motorn.
Ytterligare ThreatSense-parametrar för filer som har körts - Som standard används Avancerad heuristik när filer körs.
När det används bör Smart optimering och ESET Live Grid vara aktiverade så att systemets prestanda inte påverkas
lika mycket.
3.8.1.3.2 Rensningsnivåer
Realtidsskyddet har tre rensningsnivåer (öppna inställningarna för rensningsnivåer genom att klicka på
Parameterinställningar för ThreatSense-motorn i avsnittet Skydd av filsystemet i realtid och klicka sedan på
Rensning).
Ingen rensning - infekterade filer rensas inte automatiskt. Ett varningsfönster visas där användaren kan välja en
åtgärd. Denna nivå är avsedd för mer avancerade användare som vet vilka åtgärder att vidta i händelse av
infiltration.
Vanlig rensning - programmet försöker automatiskt rensa eller ta bort en infekterad fil baserat på en fördefinierad
åtgärd (beroende på infiltrationstyp). När en infekterad fil identifieras och tas bort anges det i ett meddelande
längst ned till höger på skärmen. Om det inte är möjligt att välja rätt åtgärd automatiskt ger programmet flera olika
uppföljningsåtgärder. Samma sak händer om det inte går att utföra en fördefinierad åtgärd.
Strikt rensning - programmet rensar eller tar bort alla infekterade filer. Det enda undantaget är systemfiler. Om det
inte är möjligt att rensa dem ombeds användaren att välja ett alternativ i ett varningsfönster.
37
Varning: Om ett arkiv innehåller en eller flera filer som är infekterade finns det två sätt att hantera arkivet. I
standardläget (Standardrensning) tas hela arkivet bort om alla filer i arkivet är infekterade. I läget Strikt rensning tas
arkivet bort om det innehåller minst en infekterad fil, oavsett status för andra filer i arkivet.
3.8.1.3.3 Kontroll av realtidsskyddet
Du kan kontrollera att realtidsskyddet fungerar och identifierar virus med hjälp av en testfil från eicar.com. Den här
testfilen är en ofarlig fil som identifieras av alla antivirusprogram. Filen skapades av företaget EICAR (European
Institute for Computer Antivirus Research) för test av funktionaliteten i antivirusprogram. Det går att hämta filen
från http://www.eicar.org/download/eicar.com
OBS! Innan kontroll av realtidsskyddet utförs måste brandväggen inaktiveras. Om brandväggen är aktiv identifieras
filen och det går inte att hämta testfilerna. Var noga med att aktivera brandväggen igen omedelbart efter att
filsystemets realtidsskydd kontrollerats.
3.8.1.3.4 Ändring av konfiguration för realtidsskydd
Realtidsskyddet av filsystemet är den viktigaste komponenten för att upprätthålla ett säkert system. Var alltid
försiktig när dessa parametrar ändras. Vi rekommenderar att endast ändra dessa inställningar under vissa
förutsättningar.
Efter installation av ESET Endpoint Security optimeras alla inställningar så att användarna får ett maximalt
systemskydd. Om du vill återställa standardinställningarna klickar du på intill varje flik i fönstret (Avancerade
inställningar > Antivirus > Skydd av filsystemet i realtid).
3.8.1.3.5 Vad gör jag om realtidsskyddet inte fungerar?
I detta kapitel beskrivs problem som kan uppstå när realtidsskyddet används och hur de felsöks.
Realtidsskyddet har inaktiverats
Om en användare har inaktiverat realtidsskyddet av misstag måste det aktiveras på nytt. Aktivera realtidsskyddet
genom att navigera till Inställningar i programmets huvudfönster och klicka på avsnittet Skydd av filsystemet i
realtid.
Om realtidsskyddet inte startas samtidigt som datorn startas beror det troligen på att Starta skydd av filsystemet i
realtid automatiskt har avmarkerats. Om du vill aktivera det här alternativet går du till Avancerade inställningar (F5)
och klickar på Antivirus > Skydd av filsystemet i realtid > Grundläggande. Se till att Starta skydd av filsystemet i
realtid automatiskt är aktiverat.
Infiltreringar identifieras och rensas inte av realtidsskyddet
Kontrollera att inga andra antivirusprogram är installerade på datorn. Om två realtidsskydd har aktiverats samtidigt
kan de hamna i konflikt med varandra. Det rekommenderas att du avinstallerar alla andra antivirusprogram på
datorn innan du installerar ESET.
Realtidsskyddet startar inte
Om realtidsskyddet inte startas när datorn startas (och Starta skydd av filsystemet i realtid automatiskt har
aktiverats) kan det bero på konflikter med andra program. Kontakta ESET Kundsupport om du vill ha hjälp med att
lösa detta problem.
38
3.8.1.4 Genomsökning av datorn på begäran
Skannern utgör en viktig del av ESET Endpoint Security. Den används för att göra genomsökningar av filer och
mappar på datorn. Av säkerhetsskäl är det mycket viktigt att genomsökningar av datorn inte endast utförs när en
infektion misstänks, utan att de utförs regelbundet som en del av rutinåtgärder för säkerhet. Vi rekommenderar att
göra regelbundna genomsökningar av systemet (exempelvis en gång i månaden) för att identifiera virus som inte
upptäcks av Skydd av filsystemet i realtid. Detta kan inträffa om skydd av filsystemet i realtid är inaktiverat vid det
tillfället, om virussignaturdatabasen är inaktuell eller om filen inte identifieras som ett virus när den sparas till disk.
Det finns två typer av genomsökning av datorn. Smart genomsökning genomsöker datorn snabbt utan ytterligare
konfiguration av genomsökningsparametrarna. Anpassad genomsökning gör det möjligt att välja en fördefinierad
genomsökningsprofil och ange genomsökningsobjekt.
Se Genomsökningsförlopp för mer information om genomsökningprocessen.
Smart genomsökning
Smart genomsökning startar snabbt en genomsökning av datorn och rensa infekterade filer utan användaråtgärder.
Fördelen med smart genomsökning är att den är enkel att använda och inte kräver en noggrann konfiguration av
genomsökningen. Smart genomsökning kontrollerar alla filer på alla lokala enheter och rensar eller tar bort
identifierade infiltrationer. Rensningsnivån får automatiskt standardvärdet. Se Rensning om du vill ha mer
information om olika typer av rensning.
Anpassad genomsökning
Anpassad genomsökning är en optimal lösning om du vill ange genomsökningsparametrar som
genomsökningsobjekt och genomsökningsmetoder. Fördelen med Anpassad genomsökning är möjligheten att
konfigurera parametrarna i detalj. Konfigurationerna går att spara som användardefinierade genomsökningsprofiler
som kan vara användbara om en genomsökning upprepas med samma parametrar.
Välj genomsökningsobjekt genom att välja Genomsökning av datorn > Anpassad genomsökning och välja
rullgardinsmenyn Genomsökningsobjekt eller markera specifika mål i trädstrukturen. Ett genomsökningsobjekt går
att ange genom att skriva in sökvägen till mappen eller filerna som ska inkluderas. Är du endast intresserad av att
söka igenom systemet utan ytterligare rensningsåtgärder väljer du Genomsök utan rensning. När du utför en
genomsökning kan du välja mellan tre rensningsnivåer genom att klicka på Inställningar... > ThreatSense-parametrar
> Rensning.
Genomsökning av datorn med Anpassad genomsökning rekommenderas för avancerade användare med tidigare
erfarenhet av antivirusprogram.
Genomsökning av flyttbara medier
Liknar Smart genomsökning - starta snabbt en genomsökning av flyttbara medier (som t.ex. CD/DVD/USB) som för
tillfället är anslutna till datorn. Detta kan vara praktiskt när du ansluter en USB-flashenhet till en dator och vill
genomsöka dess innehåll efter potentiell hot.
Denna typ av genomsökning går även att starta genom att klicka på Anpassad genomsökning och sedan välja
Flyttbara medier på rullgardinsmenyn Genomsökningsobjekt och klicka på Genomsök.
Du kan använda Åtgärd efter genomsökning-listrutemenyn för att välja vilken åtgärd (ingen åtgärd, avstängning,
omstart eller försätt i viloläge) som ska utföras efter genomsökningen.
Aktivera avstängning efter genomsökning - aktiverar en schemalagd avstängning när genomsökning av datorn
slutförts. Ett bekräftelsefönster öppnas och en nedräkning från 60 sekunder visas. Om du klickar på Avbryt
inaktiveras den begärda avstängningen.
OBS! Vi rekommenderar att utföra en genomsökning av datorn minst en gång i månaden. Det går att konfigurera
genomsökning som en schemalagd aktivitet i Verktyg > Schemaläggaren.
39
3.8.1.4.1 Starta anpassad genomsökning
Om du bara vill genomsöka ett visst målobjekt går det att använda Anpassad genomsökning genom att klicka på
Genomsökning av datorn > Anpassad genomsökning och välja ett alternativ på rullgardinsmenyn
Genomsökningsobjekt eller välja specifika målobjekt i trädstrukturen.
Fönstret med genomsökningsobjekt gör det möjligt att definiera vilka objekt (minne, enheter, sektorer, filer och
mappar) som ska genomsökas efter infiltrationer. Markera målobjekt i trädstrukturen som visar alla tillgängliga
enheter på datorn. I rullgardinsmenyn Genomsökningsobjekt kan du välja fördefinierade genomsökningsobjekt.
Med profilinställningar - väljer mål inställda i den valda genomsökningsprofilen.
Flyttbara media - väljer disketter, USB-enheter, CD/DVD.
Lokala enheter - kontrollerar alla hårddiskar i systemet.
Nätverksenheter - genomsöker alla mappade enheter.
Ingen markering - avbryter alla val.
Ange ett mål i det tomma fältet under mapplistan om du snabbt vill navigera till ett målobjekt (mapp eller fil(er))
eller direkt lägga till ett önskat målobjekt. Detta är endast möjligt om inga mål markerades i trädstrukturen och
menyn Genomsökningsobjekt är inställd på Ingen markering.
Infekterade objekt rensas inte automatiskt. En genomsökning utan rensning ger dig en översikt över aktuell
skyddsstatus. Är du endast intresserad av att söka igenom systemet utan ytterligare rensningsåtgärder väljer du
Genomsök utan rensning. Det går dessutom att ange en av tre rensningsnivåer genom att klicka på Inställningar... >
ThreatSense-parametrar > Rensning. Information om genomsökningen sparas i en genomsökningslogg.
Det går att välja en profil på rullgardinsmenyn Genomsökningsprofil som används till genomsökning av valda
målobjekt. Standardprofilen är Smart genomsökning. Det finns ytterligare två fördefinierade
genomsökningsprofiler kallade Genomsökning och Genomsökning med kontextmeny. Dessa
genomsökningsprofiler använder olika parametrar för ThreatSense-motorn. Klicka på Inställningar... för att ställa in
den valda genomsökningsprofilen i detalj på menyn Genomsökningsprofil. De tillgängliga alternativen beskrivs i
avsnittet Annat i Parameterinställningar för ThreatSense-motorn.
Klicka på Spara för att spara ändringar utförda bland markerade objekt, inklusive markeringar gjorda inom
mappträdstrukturen.
Klicka på Genomsökning för att köra genomsökningen med inställda anpassade parametrar.
Genomsök som administratör gör det möjligt att utföra genomsökningen med administratörskontot. Klicka här om
den aktuella användaren inte har tillräcklig behörighet till filerna som ska genomsökas. Observera att den här
knappen inte är tillgänglig om den aktuella användaren inte kan anropa UAC-åtgärder som administratör.
40
3.8.1.4.2 Genomsökningsförlopp
Fönstret genomsökningsförlopp visar aktuell status för genomsökningen och information om antalet filer som
innehåller skadlig kod.
OBS! Det är normalt att en del filer, som lösenordsskyddade filer eller filer som endast används av systemet
(typiskt pagefile.sys och vissa loggfiler) inte går att genomsöka.
Genomsökningsförlopp - förloppsindikatorn visar statusen för genomsökta objekt i förhållande till det totala antal
objekt som väntar på genomsökning. Genomsökningsförloppets status hämtas från det totala antalet objekt i
genomsökningen.
Mål - namn på det objekt som skannas just nu och dess plats.
Upptäckta hot - visar det totala antalet hot som hittats under en genomsökning.
Pausa - pausar genomsökningen.
Fortsätt - detta alternativ visas när genomsökningen pausas. Klicka på Fortsätt för att fortsätta genomsökningen.
Stopp - avbryter genomsökningen.
Bläddra i genomsökningsloggen - om aktiverad bläddrar genomsökningsloggen ned automatiskt när nya poster läggs
till så att de senaste är synliga.
41
3.8.1.5 Enhetskontroll
ESET Endpoint Security ger kontroll över automatiska enheter (CD/DVD/USB/...). Denna modul gör det möjligt att
genomsöka, blockera eller justera utökade filter/behörigheter och välja hur användaren får åtkomst till och arbetar
med en viss enhet. Detta kan vara användbart om administratören vill förhindra användning av enheter med
oönskat innehåll.
Externa enheter som stöds:
Disklagring (HDD, USB-minne)
CD/DVD
USB-skrivare
FireWire-lagring
Bluetooth-enhet
Smartkortläsare
Bildenhet
Modem
LPT/COM-port
Flyttbar enhet
Alla enhetstyper
Inställningarna för enhetskontroll går att ändra i Avancerade inställningar (F5) > Enhetskontroll.
Om du aktiverar alternativet intill Integrering med systemet aktiveras funktionen Enhetskontroll i ESET Endpoint
Security. Du måste starta om datorn för att denna ändring ska träda i kraft. När Enhetskontroll aktiverats blir
Reglerna aktiva och du kan öppna fönstret Regelredigerare.
Om en enhet som blockeras av en befintlig regel ansluts öppnas ett meddelandefönster och åtkomst till enheten
tillåts inte.
42
3.8.1.5.1 Regelredigerare för enhetskontroll
Fönstret Regelredigerare för enhetskontroll visar befintliga regler för externa enheter och gör det möjligt att exakt
styra externa enheter som användare ansluter till datorn.
Det går att tillåta eller blockera specifika enheter efter användare, användargrupp eller någon annan av flera
ytterligare parametrar som kan ställas in i regelkonfigurationen. Listan med regler innehåller flera beskrivningar av
en regel, såsom namn, typ, åtgärd att utföra efter att en extern enhet anslutits till datorn och logga allvarlighet.
Klicka på Lägg till eller Redigera för att hantera en regel. Avmarkera kryssrytan Aktiverad vid en regel om du vill
inaktivera den tills du vill använda den i framtiden. Markera en eller flera regler och klicka på Ta bort om du vill ta
bort den eller de reglerna permanent.
Kopiera - Skapar en ny regel med förinställda alternativ som används av en annan vald regel.
Klicka på alternativet Fyll i för att automatiskt populera parametrar för flyttbara mediaenheter anslutna till din
dator.
Regler listas i prioritetsordning, med högsta prioritet högst upp. Regler kan flyttas genom att du klickar på Överst/
Upp/Ned/Underst och kan flyttas enskilt eller i grupper.
I enhetsstyrningsloggen registreras alla händelser där enhetsstyrning utlösts. Loggposter går att visa i
huvudprogramfönstret för ESET Endpoint Security under Verktyg > Loggfiler.
43
3.8.1.5.2 Lägga till regler för enhetskontroll
En regel för enhetskontroll definierar åtgärden som vidtas när en enhet som motsvarar villkoren ansluts till datorn.
Ange en beskrivning av regeln i fältet Namn för enklare identifiering. Kryssrutan intill Regel aktiverad inaktiverar
eller aktiverar denna regel. Detta är praktiskt om du inte vill ta bort regeln permanent.
Enhetstyp
Välj extern enhetstyp på rullgardinsmenyn (Disklagring/Bärbar enhet/Bluetooth/FireWire/...). Informationen om
enhetstyp hämtas från operativsystemet och visas i Enhetshanteraren om en enhet är ansluten till datorn.
Lagringsenheter inkluderar externa diskar eller vanliga minneskortläsare anslutna med USB eller FireWire.
Smartkortläsare inkluderar alla läsare för smarta kort med en inbyggd krets, såsom SIM-kort eller autentiseringskort.
Exempel på bildenheter är skannrar eller kameror. Eftersom dessa enheter endast tillhandahåller information om
sina åtgärder och inte om användare kan de endast blockeras globalt.
Åtgärd
Åtkomst till icke-lagringsenheter går antingen att tillåta eller blockera. I motsats till det tillåter regler för
lagringsenheter val av en av följande inställningar:
Läs/skriv – fullständig åtkomst till enheten tillåten.
Blockera – åtkomst till enheten blockeras.
Skrivskyddad – endast läsning från enheten är tillåten.
Varna - Varje gång en enhet ansluts meddelas användaren om den är tillåten/blockerad och en post skrivs i
loggen. Enheter koms inte ihåg, utan ett meddelande visas varje gång samma enhet ansluts igen.
Observera att inte alla åtgärder (rättigheter) är tillgängliga för alla enhetstyper. Om det är en enhet av lagringstyp är
alla fyra åtgärder tillgängliga. För icke-lagringsenheter finns det endast tre åtgärder tillgängliga (t.ex. är
Skrivskyddad inte tillgänglig för Bluetooth, vilket innebär att det endast går att tillåta, blockera eller varna för
Bluetooth-enheter).
Kriterietyp - Välj Enhetsgrupp eller Enhet.
Det går att finjustera de ytterligare parametrar som visas nedan och anpassa dem för enheter. Alla parametrar är
skiftlägesokänsliga:
44
Leverantör – Filtrera enligt leverantörsnamn eller ID.
Modell – enhetens namn.
Serienummer – externa enheter har vanligen sina egna serienummer. För CD/DVD har skivan ett serienummer,
inte CD-enheten.
OBS! Om dessa parametrar inte definierats ignorerar regeln dessa fält vid matchning. Filtreringsparametrar i alla
textfält är ej skiftlägeskänsliga och stöder inte jokertecken (*, ?).
TIPS: Om du vill visa information om en enhet skapar du en regel för enhetstypen, ansluter enheten till datorn och
kontrollerar enhetsinformationen i enhetsstyrningsloggen.
Allvarlighet
Alltid - Alla händelser loggas.
Diagnostik - Loggar information som behövs för att fininställa programmet.
Informativ - Loggar alla informationsmeddelanden, inklusive framgångsrika uppdateringar och alla poster ovan.
Varning - Registrerar kritiska fel och varningsmeddelanden.
Inga - Inga loggar registreras.
Det går att begränsa regler till vissa användare eller användargrupper genom att lägga till dem i Användarlista:
Lägg till - Öppnar dialogfönstret Objekttyper: användare eller grupper som gör det möjligt att välja önskade
användare.
Ta bort - tar bort markerad användare från filtret.
OBS! Alla enheter kan filtreras med användarregler (exempelvis bildenheter lämnar ingen information om
användare, endast om åtgärder).
3.8.1.6 Flyttbara medier
ESET Endpoint Security ger automatisk genomsökning av flyttbara medier (CD/DVD/USB/...). Den här modulen gör
det möjligt att genomsöka isatta media. Detta kan vara användbart om administratören vill förhindra användning av
flyttbara medier med oönskat innehåll.
Åtgärd att vidta efter isättning av flyttbara medier - Välj standardåtgärd att vidta när en flyttbar medieenhet sätts in
i datorn (CD/DVD/USB). Om Visa genomsökningsalternativ väljs visas ett meddelande som låter dig välja en åtgärd:
Genomsök inte - ingen åtgärd vidtas och fönstret Ny enhet identifierad stängs.
Automatisk genomsökning av enhet - en genomsökning av den isatta flyttbara medieenheten utförs.
Visa genomsökningsalternativ - öppnar avsnittet Inställning av flyttbara medier.
När ett flyttbart medium sätts in visas följande dialogruta:
Genomsök nu - Med det här alternativet utlöses en genomsökning av flyttbara medier.
Genomsök senare - Genomsökning av flyttbara medier senareläggs.
Inställningar - Öppnar Avancerade inställningar.
Använd alltid valt alternativ - När det här alternativet väljs utförs samma åtgärd när ett flyttbart medium sätts in en
igen.
ESET Endpoint Security har dessutom funktionen Enhetskontroll som gör det möjligt att definiera regler för
användning av externa enheter på en viss dator. Ytterligare information om Enhetskontroll finns i avsnittet
45
Enhetskontroll.
3.8.1.7 Genomsökning vid inaktivitet
Du kan aktivera genomsökning vid inaktivitet i Avancerade inställningar under Antivirus > Genomsökning vid
inaktivitet > Grundläggande. Välj alternativet På för Aktivera genomsökning vid inaktivitet för att aktivera
funktionen. När datorn är i inaktivt läge utförs en genomsökning av datorn på alla lokala enheter. I Utlösare för
detektering av inaktivt tillständ finns en fullständig lista över de villkor som måste uppfyllas för att genomsökning
vid inaktivt tillstånd ska utlösas.
Som standard körs inte genomsökningen när en (bärbar) dator går på batteri. Du kan åsidosätta denna inställning
genom att aktivera alternativet intill Kör även om datorn är batteridriven i Avancerade inställningar.
Välj Aktivera loggning i Avancerade inställningar för att registrera resultatet av genomsökning av datorn i avsnittet
Loggfiler (klicka på Verktyg > Loggfiler i programmets huvudfönster och välj Genomsökning av datorn i listrutan
Logg.
Detektering av inaktivt tillstånd körs när datorn befinner sig i följande tillstånd:
Skärmsläckare
Datorlås
Användarutloggning
Klicka på Parameterinställningar för ThreatSense-motorn om du vill ändra genomsökningsparametrarna (t.ex.
detekteringsmetoder) för genomsökning vid inaktivitet.
3.8.1.8 Självskyddet HIPS (Host Intrusion Prevention System)
Endast en erfaren användare bör ändra inställningarna för HIPS. Felaktig konfiguration av HIPS-inställningar
kan leda till systeminstabilitet.
Host-based Intrusion Prevention System (HIPS) skyddar systemet mot skadlig kod och oönskad aktivitet oönskad
aktivitet som försöker att påverka datorn negativt. HIPS använder avancerad beteendeanalys tillsammans med
detekteringsfunktioner i nätverksfilter för att övervaka aktiva processer, filer och registernycklar. HIPS är åtskilt från
skydd av filsystemet i realtid och är inte en brandvägg. Den övervakar endast processer som körs i operativsystemet.
HIPS finns i Avancerade inställningar (F5) > Antivirus > HIPS > Grundläggande. HIPS läge (aktiverat/inaktiverat) visas i
huvudprogramfönstret för ESET Endpoint Security under Inställningar > Dator.
46
ESET Endpoint Security använder inbyggd teknik för Självskydd för att förhindra att skadlig programvara skadar eller
inaktiverar skyddet mot virus och spionprogram, så att du kan vara säker på att systemet skyddas kontinuerligt. För
att inaktivera HIPS eller Självskydd måste Windows startas om.
Avancerad minnesskanner fungerar i kombination med Kryphålsblockering för att stärka skyddet mot skadlig
programvara som har utformats för att kringgå detekteringen genom skadlig programvara vid användning av
förvridning eller kryptering. Avancerad minnesskanner är aktiverad som standard. Läs mer om den här skyddstypen
i ordlistan.
Kryphålsskyddet är utformat för att förstärka ofta exploaterade programtyper, såsom webbläsare, PDF-läsare, epostklienter och MS Office-komponenter. Kryphålsskyddet är aktiverat som standard. Läs mer om den här
skyddstypen i ordlistan.
Filtrering utförs med ett av fyra lägen:
Automatiskt läge - åtgärder aktiverade, utom sådana som blockeras av fördefinierade regler som skyddar systemet.
Interaktivt läge - användaren ombeds bekräfta åtgärder.
Policybaserat läge - åtgärder blockeras.
Inlärningsläge - åtgärder aktiverade och en regel skapas efter varje åtgärd. Regler skapade i detta läge går att visa i
Regelredigeraren, men deras prioritet är lägre än för regler som skapas manuellt eller i automatiskt läge. När du
väljer Inlärningsläge i listrutan HIPS-filtreringsläge blir inställningen Inlärningsläget kommer att avslutas den
tillgänglig. Välj hur länge du vill att inlärningsläget ska pågå (högst 14 dagar). När den angivna tiden gått ut ombeds
du att redigera de regler som skapats av HIPS medan det befann sig i inlärningsläget. Du kan även välja ett annat
filtreringsläge eller senareläge beslutet och fortsätta använda inlärningsläget.
Smart läge – användaren meddelas endast om misstänkta händelser.
HIPS-systemet övervakar händelser inne i operativsystemet och reagerar enligt reglerna som liknar reglerna för den
personliga brandväggen. Klicka på Redigera för att öppna HIPS regelhanteringsfönster. Här går det att välja, skapa,
redigera och ta bort regler.
I följande exempel visar vi hur oönskat beteende i program begränsas:
47
1. Namnge regeln och välj Blockera från rullgardinsmenyn Åtgärd.
2. Aktivera alternativet Meddela användare för att visa ett meddelande när regeln tillämpas.
3. Välj minst en åtgärd som regeln ska tillämpas på. I fönstret Källprogram väljer du Alla program i listrutan om du
vill tillämpa den nya regeln på alla program som försöker utföra någon av de valda programåtgärderna på de
program du angett.
4. Välj Ändra läge för annat program (alla åtgärder beskrivs i produktens hjälp som öppnas genom att trycka på
tangenten F1).
5. Välj Specifika program i listrutan och Lägg till ett eller flera program du vill skydda.
6. Klicka på Slutför för att spara den nya regeln.
3.8.1.8.1 Avancerade inställningar
Följande alternativ är användbara för felsökning och analys av ett programs beteende:
Drivrutiner får alltid läsas in - Valda drivrutiner får alltid läsas in oavsett konfigurerat filtreringsläge om inte detta
uttryckligen blockeras av en användarregel.
Logga alla blockerade åtgärder - alla blockerade åtgärder skrivs till HIPS-loggen.
Meddela när ändringar äger rum i startprogram – visar ett meddelande på skrivbordet varje gång ett program läggs
till eller tas bort från systemstart.
I vår kunskapsbas kan du läsa en uppdaterad version av denna hjälpsida.
48
3.8.1.8.2 HIPS interaktivt fönster
Om en standardåtgärd för en regel ställs in till Fråga visas en dialogruta varje gång regeln utlöses. Du kan välja att
Neka eller Tillåta åtgärden. Om du inte väljer en åtgärd inom angiven tid, väljs en ny åtgärd baserad på reglerna.
Dialogrutan gör det möjligt att skapa en regel baserad på en ny åtgärd som HIPS identifierar och sedan definiera
villkoren under vilka åtgärden tillåts eller avvisas. Inställningarna för de exakta parametrarna går att öppna genom
att klicka på Mer info. Regler som skapas på detta sätt är likvärdiga med regler som skapas manuellt, vilket innebär
att regeln som skapas i ett dialogfönster kan vara mindre specifik är regeln som utlöste dialogfönstret. Detta
betyder att när en sådan regel skapas, utlöser samma åtgärd samma fönster.
Kom ihåg åtgärd för denna process temporärt orsakar att åtgärden (Tillåt/Neka) används tills regler eller
filtreringslägen ändras, HIPS-modulen uppdateras eller systemet startas om. Efter någon av dessa tre åtgärder tas
temporära regler bort.
3.8.1.9 Presentationsläge
Presentationsläge är en funktion för användare som kräver oavbruten användning av sina program och inte vill bli
störda av popup-fönster och vill minska belastningen på processorn. Presentationsläge går även att använda under
presentationer som inte får störas av antivirusaktiviteter. När läget väljs inaktiveras alla popup-fönster och
schemalagda aktiviteter körs inte. Systemskyddet körs fortfarande i bakgrunden men kräver inte användaråtgärder.
Klicka på Inställningar > Dator och välj Presentationsläge för att aktivera presentationsläget manuellt. I Avancerade
inställningar (F5) klickar du på Verktyg > Presentationsläge och väljer Aktivera presentationsläge automatiskt vid
körning av program i helskärmsläge för att försätta ESET Endpoint Security i presentationsläge automatiskt när
program körs i helskärmsläge. Aktivering av presentationsläget är en potentiell säkerhetsrisk och
skyddsstatusikonen i aktivitetsfältet blir orange och visar en varning. Du ser även denna varning i programmets
huvudfönster där Presentationsläge aktiverat visas i orange.
När Aktivera presentationsläge automatiskt när program körs i helskärmsläge väljs startar presentationsläget när du
startar ett program i helskärm och avslutas automatiskt när du stänger programmet. Detta är användbart för att
starta presentationsläget direkt efter att ett spel startar, ett program i helskärm öppnas eller när en presentation
startar.
Du kan även välja Inaktivera presentationsläge automatiskt efter för att ange efter hur lång tid i minuter som
49
presentationsläget ska inaktiveras automatiskt.
OBS! Om Personlig brandvägg är i interaktivt läge och presentationsläget aktiveras kan du få problem att ansluta till
Internet. Detta kan vara ett problem om du startar ett spel som ansluter till Internet. Normalt ombeds du att
bekräfta en sådan åtgärd (om inga kommunikationsregler eller undantag har definierats), men användarinteraktion
är inaktiverat i presentationsläget. Lösningen är att definiera en kommunikationsregel för varje program som kan
komma i konflikt med detta eller att använda ett annat filtreringsläge i Personlig brandvägg. Kom ihåg att om
presentationsläge är aktiverat och du går till en webbsida eller ett program som kan vara en säkerhetsrisk kanske
den blockeras, men du ser ingen förklaring eller varning eftersom användarinteraktion är inaktiverad.
3.8.1.10 Startskanner
Automatisk kontroll av filer som startas utförs som standard när systemet startar eller vid uppdatering av
virussignaturdatabasen. Denna genomsökning beror på Schemaläggarens konfiguration och aktiviteter.
Genomsökningsalternativen vid start är en del av den schemalagda aktiviteten Kontroll av filer som startas
automatiskt. Ändra inställningarna för startskannern genom att navigera till Verktyg > Schemaläggaren, klicka på
Kontroll av filer som startas automatiskt och sedan på Redigera. I det sista steget öppnas fönstret Kontroll av filer
som startas automatiskt (se följande kapitel för ytterligare information).
Ytterligare information om att skapa och hantera schemalagda aktiviteter finns i Skapa nya aktiviteter.
3.8.1.10.1 Kontroll av filer som startas automatiskt
När du skapar den schemalagda aktiviteten Kontroll av filer som startas automatiskt, finns flera alternativ att justera
följande parametrar:
Rullgardinsmenyn Filer som används relativt ofta anger genomsökningsdjupet för filer som körs vid systemstart
baserat på en hemlig sofistikerad algoritm. Filer ordnas i fallande ordning enligt följande villkor:
Alla registrerade filer (flest genomsökta filer)
Filer som används sällan
Filer som används relativt ofta
Filer som används ofta
Endast de mest använda filerna (minst antal genomsökta filer)
Även två specifika grupper inkluderas:
Filer som körs innan användaren loggar in - innehåller filer från platser som tillåter åtkomst utan att användaren
är inloggad (inkluderar nästan alla startplatser som tjänster, webbläsartillägg, winlogon-meddelande, Windows
schemaläggarposter, kända dll-filer osv.)
Filer som körs när användaren har loggat in - innehåller filer från platser som endast tillåter åtkomst när
användaren är inloggad (inkluderar filer som endast körs för en viss användare, typiskt filer i
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)
Lista med filer som genomsöks är fast för varje tidigare nämnd grupp.
Genomsökningsprioritet - prioritetsnivå som avgör när en genomsökning startar:
Vid inaktivitet - aktiviteten utförs endast när systemet är inaktivt,
Lägst - när systemets belastning är den lägsta möjliga,
Lägre - vid en låg systembelastning,
Normal – vid genomsnittlig systembelastning.
50
3.8.1.11 Dokumentskydd
Dokumentskyddsfunktionen genomsöker Microsoft Office-dokument innan de öppnas, samt filer som hämtats
automatiskt av Internet Explorer, som t.ex. Microsoft ActiveX-kontroller. Dokumentskydd tillhandahåller ett
skyddslager utöver skydd av filsystemet i realtid och går att inaktivera för att förbättra prestanda på system som inte
hanterar stora mängder Microsoft Office-dokument.
Integrering med systemet aktiverar skyddet. Ändra detta alternativ genom att trycka på F5 för att öppna fönstret
Avancerade inställningar och klicka på Antivirus > Dokumentskydd i trädet Avancerade inställningar.
Funktionen aktiveras av program som använder Microsoft Antivirus API (t.ex. Microsoft Office 2000 och senare eller
Microsoft Internet Explorer 5.0 och senare).
3.8.1.12 Exkluderade objekt
Det här avsnittet undantar filer och mappar från genomsökning. För att säkerställa att alla objekt genomsöks efter
hot rekommenderar vi att du bara skapar undantag när det är absolut nödvändigt. Situationer där du kan behöva
undanta ett objekt kan exempelvis vara genomsökning av stora databasposter som skulle göra datorn långsam
under en genomsökning eller programvara som står i konflikt med genomsökningen (exempelvis
säkerhetskopieringsprogram).
Undanta ett objekt från genomsökning:
1. Klicka på Lägg till,
2. Ange sökvägen till ett objekt eller välj det i trädstrukturen.
Använd jokertecken för att undanta en grupp filer. Ett frågetecken (?) motsvarar ett tecken med en variabel, medan
en asterisk (*) motsvarar en variabelsträng på noll eller fler tecken.
Exempel
Vill du utesluta alla filer i en mapp anger du sökvägen till mappen och använder masken "*.*".
Uteslut en hel enhet med alla filer och undermappar med masken D:\*.
Vill du endast vill doc-filer använder du masken *.doc.
Om namnet på en körbar fil har ett visst antal tecken (och tecknen varierar), och du endast är säker på det första
(D, till exempel) använder du följande format: D????.exe. Frågetecken ersätter de tecken som saknas.
OBS! Ett hot inom en fil detekteras inte av realtidsskyddsmodulen eller datorgenomsökningsmodulen om en fil
51
uppfyller kriterierna för uteslutande från genomsökning.
Kolumner
Sökväg - sökväg till undantagna filer och mappar.
Hot - Om namnet på ett hot visas bredvid en undantagen fil betyder detta att filen endast är undantagen för det
angivna hotet. Om den filen infekteras med annan skadlig kod vid ett senare tillfälle kommer denna skadliga kod
att detekteras av antivirusmodulen. Den här typen av undantag kan endast användas för vissa typer av
infiltrationer och kan skapas antingen i varningsfönstret som visar hotet/infiltrationen (klicka på Visa avancerade
alternativ och välj sedan Undanta från detektering), eller genom att klicka på Verktyg > Karantän, högerklicka på
filen i karantän och sedan välja Återställ och exkludera från genomsökning som finns i kontextmenyn.
Kontrollelement
Lägg till - Undantar objekt från genomsökning.
Redigera - Redigerar valda poster.
Ta bort - Tar bort valda poster.
3.8.1.13 ThreatSense-motorns parameterinställningar
ThreatSense är en teknik som består av många avancerade hotidentifieringsmetoder. ThreatSense är en proaktiv
metod vilket innebär att den kan skydda datorn mot tidig spridning av ett nytt hot. Genom att kombinera kodanalys,
kodemulering, generiska signaturer, virussignaturer och använda dem tillsammans ökas systemsäkerheten avsevärt.
Genomsökningsmotorn kan kontrollera flera dataströmmar samtidigt vilket maximerar effektiviteten och
upptäcktsfrekvensen. ThreatSense-tekniken eliminerar även framgångsrikt rootkits.
Med alternativen för inställning av ThreatSense-motorn går det att ange ett antal olika genomsökningsparametrar:
Filtyper och tillägg som genomsöks,
En kombination av olika identifieringsmetoder,
Rensningsnivåer, osv.
Öppna inställningsfönstret genom att klicka på Parameterinställningar för ThreatSense-motorn i fönstret
Avancerade inställningar för de moduler som använder ThreatSense-teknik (se nedan). Olika säkerhetsscenarier kan
kräva olika konfigurationer. Det går därmed att individuellt konfigurera följande skyddsmoduler i ThreatSense:
Skydd av filsystemet i realtid,
Genomsökning vid inaktivitet,
Startskanner,
Dokumentskydd,
Skydd av e-postklient,
Webbåtkomstskydd,
Genomsökning av datorn.
ThreatSense-parametrarna är starkt optimerade för varje modul och ändringar av dem kan märkbart påverka
systemets funktion. Att till exempel ändra parametrarna så att internt packade filer alltid söks igenom eller att
aktivera avancerad heuristik i modulen för skydd av filsystemet i realtid kan resultera i att systemet blir
långsammare (normalt används dessa metoder endast för genomsökning av nyskapade filer). Vi rekommenderar att
lämna ThreatSense standardparametrar oförändrade för alla moduler utom för genomsökningsmodulen.
Objekt som ska genomsökas
I det här avsnittet går det att definiera vilka komponenter och filer på datorn som genomsöks efter infiltrationer.
Arbetsminne - söker efter hot som angriper systemets arbetsminne.
Startsektorer - genomsöker startsektorerna efter virus i MBR (master boot record).
E-postfiler - programmet stöder följande filnamnstillägg: DBX (Outlook Express) och EML.
Arkiv - programmet stöder följande filnamnstillägg: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME,
52
NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE samt många fler.
Självuppackande arkiv - självuppackande arkiv (SFX) är arkiv som inte behöver några särskilda program – arkiv – för
att dekomprimeras.
Internt packad fil - när internt packade filer (till skillnad från standardarkivtyper) körs dekomprimeras de i minnet.
Förutom statiska arkiverare av standardtyp (UPX, yoda, ASPack, FSG osv.) känner skannern igen många fler typer
av arkiverare genom kodemulering.
Genomsökningsalternativ
Välj vilka metoder som ska användas för att söka efter infiltrationer i systemet. Följande alternativ finns
tillgängliga:
Heuristik - heuristik är en algoritm som analyserar (skadliga) aktiviteter i program. Huvudfördelen med tekniken
är möjligheten att identifiera skadlig programvara som inte fanns eller som inte var känd av den tidigare
virussignaturdatabasen. Nackdelen är (en mycket liten) risk för falska larm.
Avancerad heuristik/DNA/Smarta signaturer - avancerad heuristik består av en unik heuristikalgoritm som
utvecklats av ESET och som optimerats för att upptäcka datormaskar och trojanska hästar som skrivits på
programmeringsspråk på hög nivå. Genom att använda avancerad heuristik blir ESET-produkterna bättre på att
detektera hot. Signaturer används för att pålitligt detektera och identifiera virus. Med det automatiska
uppdateringssystemet är nya signaturer tillgängliga inom några timmar efter att ett hot identifierades. Nackdelen
med signaturer är att de bara detekterar virus de känner till (eller lätt ändrade versioner av dessa virus).
Ett potentiellt oönskat program är ett program som innehåller reklamprogram, installerar verktygsfält eller har
andra oklara mål. Det finns vissa situationer där en användare kan anse att fördelarna med ett potentiellt oönskat
program väger tyngre än riskerna. Därför tilldelar ESET sådana program en lägre riskkategori jämfört med andra typer
av skadliga program, som trojaner eller maskar.
Varning – potentiellt hot hittades
När ett potentiellt oönskat program upptäcks får du välja vilken åtgärd som ska vidtas:
1. Rensa/Koppla från: Med det här alternativet avslutas åtgärden och det potentiella hotet hindras från att ta sig in i
systemet.
2. Ingen åtgärd: Detta alternativ tillåter att ett potentiellt hot kommer in i ditt system.
3. Om du vill tillåta att programmet körs obehindrat på datorn i fortsättningen klickar du på Mer info/Visa
avancerade alternativ och markerar sedan kryssrutan intill Undanta från detektering.
När ett potentiellt oönskat program upptäcks och inte kan rensas visas meddelandefönstret Adressen har blockerats
53
i skärmens nedre högra hörn. För mer information om den här händelsen går du till Verktyg > Loggfiler > Filtrerade
webbplatser från huvudmenyn.
Potentiellt oönskade program – inställningar
När ESET-produkten installeras kan du välja om du vill aktivera detektering av potentiellt oönskade program enligt
nedan:
Potentiellt oönskade program kan installera reklamprogram, verktygsfält eller andra oönskade och osäkra
programfunktioner.
Dessa inställningar kan ändras i programinställningarna när som helst. Om du vill aktivera eller inaktivera
detekteringen av potentiellt oönskade, osäkra eller misstänkta program följer du dessa anvisningar:
1. Öppna ESET-produkten. Hur öppnar jag min ESET-produkt?
2. Tryck på F5 för att komma åt Avancerade inställningar.
3. Klicka på Antivirus och aktivera eller inaktivera alternativen Aktivera detektering av potentiellt oönskade
program, Aktivera detektering av potentiellt osäkra program och Aktivera detektering av misstänkta program
enligt dina preferenser. Bekräfta genom att klicka på OK.
54
Potentiellt oönskade program – software wrappers
En software wrapper är en särskilt typ av programmodifiering som används av vissa fildelningsplatser. Det är ett
verktyg från tredje part som installerar programmet du avsåg att hämta, men även ytterligare programvara som
verktygsfält eller reklamprogram. Den ytterligare programvaran kan även ändra webbläsarens startsida och
sökinställningar. Dessutom meddelar fildelningsplatser ofta inte programleverantören eller den som hämtar
programmet om att modifieringar gjorts och gör det svårt att välja bort modifieringen. Därför klassificerar ESET
software wrappers som en typ av potentiellt oönskat program, så att användare kan välja om hämtningen ska
godkännas eller inte.
Läs följande artikel i ESET kunskapsbas för en uppdaterad version av denna hjälpsida.
Potentiellt farliga program - Potentiellt farliga program är den klassificering som används för kommersiella,
legitima program, som exempelvis verktyg för fjärråtkomst, program som spårar lösenord och keylogger-program
(program som registrerar varje tangent användaren trycker ned). Det här alternativet är inaktivt som standard.
Rensning
Inställningarna för rensning anger hur skannern fungerar under rensning av infekterade filer. Det finns tre
rensningsnivåer:
Ingen rensning - infekterade filer rensas inte automatiskt. Ett varningsfönster visas där användaren kan välja en
åtgärd. Denna nivå är avsedd för mer avancerade användare som vet vilka åtgärder att vidta i händelse av
infiltration.
Vanlig rensning - programmet försöker automatiskt rensa eller ta bort en infekterad fil baserat på en fördefinierad
åtgärd (beroende på infiltrationstyp). När en infekterad fil identifieras och tas bort anges det i ett meddelande
längst ned till höger på skärmen. Om det inte är möjligt att välja rätt åtgärd automatiskt ger programmet flera olika
uppföljningsåtgärder. Samma sak händer om det inte går att utföra en fördefinierad åtgärd.
Strikt rensning - programmet rensar eller tar bort alla infekterade filer. Det enda undantaget är systemfiler. Om det
inte är möjligt att rensa dem ombeds användaren att välja ett alternativ i ett varningsfönster.
Varning: Om ett arkiv innehåller en eller flera filer som är infekterade finns det två sätt att hantera arkivet. I
standardläget (Standardrensning) tas hela arkivet bort om alla filer i arkivet är infekterade. I läget Strikt rensning tas
55
arkivet bort om det innehåller minst en infekterad fil, oavsett status för andra filer i arkivet.
Undantag
En filändelse är den del av filnamnet som kommer efter punkten. Ett filändelse definierar filens typ och innehåll. I
avsnittet för ThreatSense-parameterinställningar går det att definiera vilken typ av filer som ska genomsökas.
Annat
Vid konfigurering av parameterinställningarna för ThreatSense-motorn för genomsökning av datorn på begäran är
följande alternativ i avsnittet Annat också tillgängliga:
Genomsök alternativa dataströmmar (ADS) – de alternativa dataströmmarna som används av filsystemet NTFS
består av fil- och mappassociationer som inte är synliga för vanliga genomsökningsmetoder. Många
infiltrationsförsök maskerar sig som alternativa dataströmmar för att undvika upptäckt.
Kör genomsökningar i bakgrunden med låg prioritet - varje genomsökningssekvens kräver en viss mängd
systemresurser. Om du arbetar med program som kräver mycket systemresurser kan du aktivera genomsökning i
bakgrunden med låg prioritet och spara resurser till dina program.
Logga alla objekt - om detta alternativ är markerat visar loggfilen alla genomsökta filer, även sådana som inte är
infekterade. Om en infiltration till exempel hittas i ett arkiv, visar loggen även rena filer i arkivet.
Aktivera Smart optimering - med aktiverad smart optimering används de optimala inställningarna för effektivast
genomsökning och bibehåller samtidigt den högsta genomsökningshastigheten. De olika skyddsmodulerna
genomsöker intelligent och använder olika genomsökningsmetoder och tillämpar dem på vissa filtyper. Om smart
optimering är inaktiverad tillämpas endast de användardefinierade inställningarna i ThreatSense-kärnan när en
genomsökning utförs.
Bevara tidsstämpeln för senaste åtkomst – markera det här alternativet om du vill behålla den ursprungliga
åtkomsttiden för genomsökta filer i stället för att uppdatera dem (t.ex. för användning med system för
säkerhetskopiering av data).
Begränsningar
Under Begränsningar kan du ange en maximal storlek på objekt och nivåer på de nästlade arkiv som ska
genomsökas:
Objektinställningar
Maximal objektstorlek - anger maximal storlek på objekt som ska genomsökas. Den angivna antivirusmodulen
kommer endast att genomsöka objekt som är mindre än den angivna storleken. Alternativet ska endast ändras av
avancerade användare som kan ha särskilda anledningar till att undanta större objekt från genomsökning.
Standardvärde: obegränsat
Maximal tid för genomsökning av objekt (sek.) - definierar maximal tid som tilldelas för genomsökning av ett
objekt. Om användaren har angett ett värde här kommer antivirusmodulen att sluta genomsöka ett objekt när den
angivna tiden förflutit, oavsett om genomsökningen avslutats eller inte. Standardvärde: obegränsat
Inställningar för genomsökning av arkiv
Antal nästlade arkiv - anger maximalt djup vid arkivgenomsökningen. Standardvärde: 10.
Maximal filstorlek i arkivet - ange maximal filstorlek för filer i arkiven (efter att de extraherats) som genomsöks.
Standardvärde: obegränsat
OBS! Vi rekommenderar inte att ändra standardvärdena, eftersom det i regel inte finns någon anledning att ändra
dem.
56
3.8.1.13.1 Undantag
En filändelse är den del av filnamnet som kommer efter punkten. Ett tillägg definierar filens typ och innehåll. I
avsnittet ThreatSense parameterinställningar går det att definiera vilken typ av filer som ska genomsökas.
Som standard genomsöks alla filer. Det går att lägga till vilket tillägg som helst i listan över filer som undantas för
genomsökning.
Det är ibland nödvändigt att undanta vissa filtyper från genomsökning om detta förhindrar att programmet som
använder vissa filnamnstillägg fungerar normalt. Det kan till exempel vara lämpligt att undanta filer med tilläggen
.edb, .eml och .tmp när MS Exchange server används.
Med hjälp av knapparna Lägg till och Ta bort kan du tillåta eller förhindra genomsökning av filer med specifika
filändelser. Om du vill lägga till en ny filändelse i listan klickar du på Lägg till, skriver filändelsen i det tomma fältet
och klickar på OK. När du väljer Ange flera värden kan du lägga till flera filändelser avgränsade med rader,
kommatecken eller semikolon. När flerval aktiveras visas filändelserna i listan. Välj en filändelse i listan och klicka
sedan på Ta bort om du vill ta bort den från listan. Om du vill redigera en vald filändelse klickar du på Redigera.
Specialtecknen * (asterisk) och ? (frågetecken) går att använda. Asterisken motsvarar alla teckensträngar och
frågetecknet motsvarar alla tecken.
3.8.2 Nätverk
Personlig brandvägg kontrollerar all nätverkstrafik till och från systemet. Detta åstadkoms genom att olika
nätverksanslutningar tillåts eller nekas beroende på dina filtreringsregler. Brandväggen skyddar mot attacker från
fjärrdatorer och blockerar vissa potentiellt farliga tjänster. Den personliga brandväggen tillhandahåller dessutom
IDS/IPS-funktionalitet genom att inspektera innehållet i tillåten nätverkstrafik och blockera trafik som anses
potentiellt skadlig.
Konfiguration av Personlig brandvägg finns i fönstret Inställningar under Nätverk. Här kan du justera filtreringsläget
för ESET Personlig brandvägg. Du kan även komma åt mer detaljerade inställningar genom att klicka på kugghjulet
> Konfigurera intill Personlig brandvägg, eller genom att trycka på F5 för att komma åt Avancerade inställningar.
Skydd mot nätverksangrepp (IDS) – Analyserar innehållet i nätverkstrafik och skyddar mot nätverksangrepp.
Eventuell trafik som anses skadlig blockeras. Skyddet mot nätverksangrepp kan inaktiveras en viss tidsperiod genom
att du klickar på
.
Botnätsskydd – upptäcker snabbt och tillförlitligt skadlig programvara i systemet. Botnätsskyddet kan inaktiveras en
viss tidsperiod genom att du klickar på
.
Anslutna nätverk - Visar vilka nätverk nätverksadaptrar är anslutna till. När du har klickat på kugghjulet ombeds du
att välja en skyddstyp för nätverket du är ansluten till via nätverksadaptern.
Nätverksadaptrar - Här kan du se varje nätverksadapter och dess tilldelade brandväggsprofil och tillförlitliga plats.
För mer utförlig information, se Nätverksadaptrar.
Tillfälligt svartlistade IP-adresser - Visa en lista över IP-adresser som har identifierats som källor till attacker och
lagts till i svartlistan för att blockera anslutning under en viss tidsperiod. Klicka på detta alternativ om du vill ha mer
information och tryck på F1.
Felsökningsguide - Hjälper dig att lösa anslutningsproblem orsakade av ESET Personlig brandvägg. För mer utförlig
information, se Felsökningsguide.
57
Klicka på kugghjulet
intill Personlig brandvägg för att komma åt följande inställningar:
Konfigurera... - Öppnar fönstret Personlig brandvägg i Avancerade inställningar där det går att definiera hur
brandväggen hanterar nätverkskommunikation.
Blockera all trafik - All inkommande och utgående kommunikation blockeras av Personlig brandvägg. Använd detta
alternativ endast om du misstänker att en kritisk säkerhetsrisk kräver att hela systemet kopplas bort från nätverket.
När Filtrering av nätverkstrafik befinner sig i läget Blockera all trafik klickar du på Sluta blockera all trafik för att
återställa brandväggen till normal drift.
Pausa brandvägg (tillåt all trafik) - Motsatsen till att blockera all nätverkstrafik. Om det här alternativet markeras
stängs alla filtreringsalternativ för Personlig brandvägg av och alla inkommande och utgående anslutningar tillåts.
När Filtrering av nätverkstrafik befinner sig i det här läget kan du klicka på Aktivera brandvägg för att aktivera
brandväggen igen.
Automatiskt läge - (när ett annat filtreringsläge är aktiverat) - Klicka för att ändra filtreringsläget till automatiskt
filtreringsläge (med användardefinierade regler).
Interaktivt läge - (när ett annat filtreringsläge är aktiverat) - Klicka för att ändra filtreringsläget till interaktivt
filtreringsläge.
3.8.2.1 Personlig brandvägg
Personlig brandvägg kontrollerar all nätverkstrafik till och från systemet. Detta åstadkoms genom att olika
nätverksanslutningar tillåts eller nekas beroende på angivna filtreringsregler. Den ger även skydd mot attacker från
fjärrdatorer och aktiverar blockering av en del tjänster. Den tillhandahåller också antivirusskydd för protokollen
HTTP, POP3 och IMAP. Den här funktionen utgör en mycket viktig del av datorsäkerheten.
Aktivera skydd mot nätverksangrepp (IDS) – Analyserar innehållet i nätverkstrafik och skyddar mot nätverksangrepp.
Eventuell trafik som anses skadlig blockeras.
Aktivera Botnet-skydd – Detekterar och blockerar kommunikation med skadliga kommando- och kontrollservrar
baserat på olika mönster för när datorn är infekterad och en bot försöker kommunicera.
58
Det finns fyra filtreringslägen för ESET Endpoint Security Personlig brandvägg. Inställningarna för filtreringslägen
finns i Avancerade inställningar (F5) genom att klicka på Personlig brandvägg. Brandväggens beteende ändras
beroende på filtreringsläget. Filtreringsläget påverkar också hur mycket användaren behöver göra.
Filtrering utförs med ett av fyra lägen:
Automatiskt läge - standardläge. Detta läge lämpar sig för användare som föredrar en enkel och bekväm användning
av brandväggen utan att behöva definiera regler. Egna, användardefinierade regler kan också skapas, men krävs inte
i automatiskt läge. Det automatiska läget tillåter all utgående trafik för det givna systemet och blockerar den mesta
inkommande trafiken (utom viss trafik från Tillförlitliga platser enligt inställningarna i IDS och avancerade
alternativ/Tillåtna tjänster samt inkommande trafik som svarar på nyligen skickad utgående kommunikation till
samma fjärrplats).
Interaktivt läge - gör det möjligt att anpassa en konfiguration för den personliga brandväggen. När kommunikation
identifieras och det inte finns en regler som gäller denna kommunikation, öppnas en dialogruta som rapporterar en
okänd anslutning. Du kan sedan välja att tillåta eller neka kommunikation och beslutet att tillåta eller neka kan
sparas som en ny regel för den personliga brandväggen. Om du väljer att skapa en ny regel, kommer alla framtida
anslutningar av den här typen att tillåtas eller blockeras enligt regeln.
Policybaserat läge - blockerar alla anslutningar som inte definierats i en regel som tillåter dem. I det här läget kan
avancerade användare definiera regler som endast tillåter önskade och säkra anslutningar. Alla övriga
ospecificerade anslutningar blockeras av Personlig brandvägg.
Inlärningsläge - skapar och sparar regler automatiskt och detta läge bör användas första gången den personliga
brandväggen konfigureras. Ingen användarinteraktion krävs eftersom ESET Endpoint Security sparar regler enligt
fördefinierade parametrar. Inlärningsläget är inte säkert och bör bara användas tills alla nödvändiga
kommunikationsregler skapats.
Profiler kan användas för att anpassa ESET Endpoint Security Personlig brandväggs beteende genom att olika
uppsättningar med regler för olika situationer anges.
Utvärdera även regler från Windows-brandväggen - I automatiskt läge, tillåt inkommande trafik som tillåts av regler
från Windows-brandväggen, om denna inte blockerats av den personliga brandväggen.
59
Regler - Här kan du lägga till regler och definiera hur nätverkstrafik ska hanteras av den personliga brandväggen.
Zoner - Här kan du skapa zoner som består av flera IP-adresser.
IDS och avancerade alternativ - Gör att du kan konfigurera avancerade filtreringsalternativ och IDS-funktionalitet
(används för att identifiera flera typer av attacker och exploateringar.
IDS-undantag - Gör att du kan lägga till IDS-undantag och anpassa reaktioner på skadliga aktiviteter.
3.8.2.1.1 Inlärningsläge
I inlärningsläget skapas och sparas automatiskt en regel för varje kommunikation som upprättats i systemet. Ingen
användarinteraktion krävs eftersom ESET Endpoint Security sparar regler enligt fördefinierade parametrar.
Läget kan utsätta systemet för risker och rekommenderas endast för initial konfiguration av den personliga
brandväggen.
Aktivera inlärningsläge i Avancerade inställningar (F5) > Personlig brandvägg > Inställningar för inlärningsläge för att
visa inlärningslägets alternativ. Den här avdelningen innefattar följande delar:
Varning: I Inlärningsläge utför den personliga brandväggen ingen filtrering av kommunikationen. All utgående och
inkommande kommunikation tillåts. I det här läget är datorn inte helt skyddad av den personliga brandväggen.
Kommunikationstyp - Välj specifika parametrar för att skapa regler för alla typer av kommunikation. Det finns fyra
typer av kommunikation:
Inkommande trafik från tillförlitliga platser - ett exempel på en inkommande anslutning inom Tillförlitliga
platser är en fjärrdator som inom den tillförlitliga platsen försöker upprätta kommunikation med ett lokalt program
som körs på din dator.
Utgående trafik till tillförlitliga platser - ett lokalt program försöker upprätta en anslutning med en annan dator
inom det lokala nätverket, eller inom nätverken i Tillförlitliga platser.
Inkommande Internettrafik - en fjärrdator försöker kommunicera med ett program som körs på datorn.
Utgående Internettrafik - ett lokalt program försöker upprätta en anslutning med en annan dator.
I varje avsnitt kan du ange parametrar som ska läggas till i nyligen skapade regler:
Lägg till lokal port - innefattar lokalt portnummer för nätverkskommunikationen. För utgående kommunikation
genereras i regel slumpmässiga nummer. Därför rekommenderar vi att det här alternativet endast aktiveras för
inkommande kommunikation.
Lägg till program - innefattar namnet på det lokala programmet. Alternativet är lämpligt för framtida regler på
programnivå (regler som definierar kommunikationen för ett helt program). Du kan till exempel aktivera
kommunikation för en viss webbläsare eller e-postklient.
Lägg till fjärrport - innefattar fjärrportnummer för nätverkskommunikationen. Du kan till exempel tillåta eller neka
en specifik tjänst som associerats med ett standardportnummer (HTTP - 80, POP3 - 110, osv.).
Lägg till fjärr-IP-adress / Tillförlitliga platser - en fjärr-IP-adress eller zon kan användas som en parameter för nya
regler som definierar alla nätverksanslutningar mellan det lokala systemet och fjärradressen/zonen. Det här
alternativet är lämpligt om du vill definiera åtgärder för en viss dator eller en grupp av nätverksanslutna datorer.
Maximalt antal olika regler för ett program – om ett program kommunicerar genom olika portar, till olika IPadresser, etc., kommer brandväggen i inlärningsläget att skapa ett lämpligt antal regler för det aktuella programmet.
Med det här alternativet kan du begränsa antalet regler som kan skapas för ett visst program.
60
3.8.2.2 Brandväggsprofiler
Profiler är verktyg som styr hur ESET Endpoint Security Personlig brandvägg fungerar. När du skapar eller redigerar
en regel för den personliga brandväggen kan du tilldela en specifik profil regeln eller tillämpa den på alla profiler.
När en profil är aktiv i ett nätverksgränssnitt tillämpas endast de globala reglerna (regler utan angiven profil) och de
regler som har tilldelats den valda profilen. Du kan skapa flera profiler med olika regler tilldelade till
nätverksadaptrar eller tilldelade till nätverk så att du enkelt kan ändra den personliga brandväggens beteende.
Klicka på Redigera intill Lista över profiler för att öppna fönstret Brandväggsprofiler där du kan redigera profiler.
En nätverksadapter kan ställas in att använda en profil konfigurerad för ett visst nätverk när den ansluts till det
nätverket. Du kan även tilldela en viss profil som ska användas för ett visst nätverk i Avancerade inställningar (F5) >
Personlig brandvägg > Kända nätverk. Välj ett nätverk i listan över Kända nätverk och klicka på Redigera för att
tilldela en brandväggsprofil till ett visst nätverk i listrutan Brandväggsprofil. Om nätverket inte tilldelats någon
profil används adapterns standardprofil. Om adaptern är inställd att inte använda nätverkets profil används dess
standardprofil oavsett vilket nätverk den ansluts till. Om det inte finns någon profil för ett nätverk eller för
adapterkonfiguration används den globala standardprofilen. Om du vill tilldela en profil till en nätverksadapter
väljer du nätverksadaptern, klickar på Redigera intill Profiler som tilldelats till nätverkskort, väljer profilen i
listrutan Standardbrandväggsprofil och klickar sedan på Spara.
När den personliga brandväggen växlar till en annan profil visas ett meddelande längst ned i högra hörnet vid
systemklockan.
3.8.2.2.1 Profiler som tilldelats till nätverkskort
Genom att växla profiler kan du snabbt göra flera ändringar av brandväggens beteende. Egna regler kan ställas in och
tillämpas för vissa profiler. Nätverksposter för alla maskinens adaptrar läggs till i listan över Nätverksadaptrar
automatiskt.
Kolumner
Namn - Nätverksadapterns namn.
Standardbrandväggsprofil - Standardprofilen används när det nätverk du är ansluten till inte har någon
konfigurerad profil eller om nätverksadaptern ställts in att inte använda någon nätverksprofil.
Föredra nätverks profil - När Föredra anslutet nätverks brandväggsprofil aktiveras använder nätverksadaptern den
brandväggsprofil som tilldelats ett anslutet nätverk närhelst möjligt.
Kontrollelement
Lägg till - Lägger till en ny nätverksadapter.
Redigera - Gör så att du kanredigera en befintlig nätverksadapter.
Ta bort - Välj en nätverksadapter och klicka på Ta bort om du vill ta bort en nätverksadapter från listan.
OK/Avbryt - Klicka på OK om du vill spara ändringarna eller på Avbryt om du vill avsluta utan att spara några
ändringar.
3.8.2.3 Konfigurera och använda regler
Regler består av en uppsättning villkor som används för kontroll av nätverksanslutningar, samt de åtgärder som är
tilldelade dessa villkor. Genom att använda reglerna för den personliga brandväggen kan du definiera åtgärden som
vidtas när olika typer av nätverksanslutningar är upprättade. Öppna filtreringsinställningarna för regler genom att gå
till Avancerade inställningar (F5) > Personlig brandvägg > Grundläggande. Vissa av de fördefinierade reglerna är
bundna till kryssrutorna från tillåtna tjänster (IDS och avancerade alternativ) och kan inte stängas av direkt. Använd
istället kryssrutorna för att göra detta.
Till skillnad från föregående version av ESET Endpoint Security, så utvärderas regler uppifrån och ned. Åtgärden för
den första matchande regeln används för varje nätverksanslutning som utvärderas. Detta är en viktig
beteendeförändring från föregående version, i vilken reglernas prioritering var automatisk och mer specifika regler
hade högre prioritet än de mer allmänna.
61
Anslutningar går att dela upp i inkommande och utgående anslutningar. Inkommande anslutningar initieras av en
fjärrdator som försöker upprätta en anslutning med det lokala systemet. Utgående anslutningar fungerar på motsatt
sätt - det lokala systemet kontaktar en fjärrdator.
Om ett nytt, okänt kommunikationsförsök upptäcks måste du noga överväga om du ska tillåta eller neka det.
Oönskade, oskyddade eller okända anslutningar utgör en säkerhetsrisk för systemet. Om en sådan anslutning
upprättas rekommenderar vi arr du noggrant granskar fjärrdatorn och det program som försöker ansluta till din
dator. Många infiltreringar försöker ofta att söka upp och skicka privat information eller läsa in andra skadliga
program till värddatorerna. Med hjälp av den personliga brandväggen går det att identifiera och avsluta sådana
anslutningar.
3.8.2.3.1 Regler för brandvägg
Klicka på Redigera intill Regler i flikavsnittet Grundläggande för att öppna fönstret Brandväggsregler, där en lista
med samtliga regler visas. Med Lägg till, Redigera och Ta bort kan du lägga till, konfigurera eller ta bort regler. Du
kan justera prioritetsnivån för en regel (eller regler) genom att klicka på Överst/Upp/Ned/Underst.
TIPS: Du kan använda fältet Sök för att söka efter en regel eller regler efter namn, protokoll eller port.
Kolumner
Namn - Regelns namn.
Aktiverad - Visar om regler är aktiverade eller inaktiverade. Motsvarande kryssruta måste markeras för att en
regel ska aktiveras.
Protokoll - Protokollet regeln gäller för.
Profil - Visar vilken brandväggsprofil regeln gäller för.
Åtgärd - Visar kommunikationsstatusen (blockera/tillåt/fråga).
Riktning - Kommunikationsriktning (inkommande/utgående/båda).
Lokal - IP-adress och port för lokal dator.
Fjärr - IP-adress och port för fjärrdator.
Program - Det program för vilket regeln gäller.
62
Kontrollelement
Lägg till - Skapar en ny regel.
Redigera - Gör att du kan redigera befintliga regler.
Ta bort - Tar bort befintliga regler.
Visa inbyggda (fördefinierade) regler - Regler fördefinierade av ESET Endpoint Security som tillåter eller nekar
specifik kommunikation. Du kan inaktivera dessa regler, men det går inte att ta bort en fördefinierad regel.
Överst/Upp/Ned/Underst - Gör så att du kan justera prioritetsnivån för regler (regler körs uppifrån och ned).
3.8.2.3.2 Arbeta med regler
Ändring av reglerna krävs varje gång de övervakade parametrarna ändras. Om ändringar görs så att en regel inte kan
uppfylla villkoren och den angivna åtgärden inte kan tillämpas kan den givna anslutningen nekas. Det kan leda till
problem med programmet som påverkas av regeln. Ett exempel kan vara ett byte av nätverksadress eller
portnummer på fjärrsidan.
I fönstrets övre del finns tre flikar:
Allmänt - Ange ett regelnamn, anslutningsriktning, åtgärd (Tillåt, Neka, Fråga), protokoll och profilen på vilken
regeln tillämpas.
Lokal - visar information om anslutningens lokala sida, inklusive numret på den lokala porten eller portintervallet
samt namnet på det program som kommunicerar. Du kan dessutom lägga till en fördefinierad eller skapad zon
med ett IP-adressintervall här genom att klicka på Lägg till.
Fjärr - den här fliken innehåller information om fjärrporten (portintervallet). Här kan du definiera en lista med
fjärr-IP-adresser eller fjärrzoner för den angivna regeln. Du kan dessutom lägga till en fördefinierad eller skapad
zon med ett IP-adressintervall här genom att klicka på Lägg till.
När en ny regel skapas måste du ange ett namn på regeln i fältet Namn. Välj vilken riktning regeln ska gälla för i
listrutan Riktning och vilken åtgärd som ska utföras när en kommunikation uppfyller kraven för regeln i listrutan
Åtgärd.
Protokoll representerar regelns överföringsprotokoll. Välj vilket protokoll som ska användas för en viss regel i
listrutan.
ICMP-typ/kod representerar ett ICMP-meddelande som identifieras med ett nummer (till exempel representeras
ekosvar av 0).
Alla regler aktiveras som standard för Alla profiler. Det går även att välja en anpassad brandväggsprofil i listrutan
Profiler.
Om du aktiverar Logg, registreras regelns aktivitet i en logg. Meddela användare visar ett meddelande när regeln
tillämpas.
Nedan ges ett exempel där vi skapar en ny regel som ger webbläsaren åtkomst till nätverket. I detta exempel måste
följande konfigureras:
Aktivera utgående kommunikation med protokollen TCP och UDP på fliken Allmän.
Lägg till webbläsaren (iexplore.exe för Internet Explorer) på fliken Lokal.
Aktivera port 80 på fliken Fjärr om du vill tillåta vanliga Internetaktiviteter.
OBS!: Tänk på att fördefinierade regler kan modifieras på ett begränsat sätt.
63
3.8.2.4 Tillförlitliga platser
De tillförlitliga platserna representerar en grupp nätverksadresser från vilka den personliga brandväggen tillåter viss
inkommande trafik med hjälp av standardinställningar. Inställningar för funktioner som fildelning och fjärrskrivbord
inom de tillförlitliga platserna fastställs i IDS och avancerade alternativ.
De faktiska tillförlitliga platserna beräknas dynamiskt och separat för varje nätverksadapter baserat på vilket nätverk
datorn för tillfället är ansluten till. Adresser definierade som inom de tillförlitliga platserna i zonredigeraren
betraktas alltid som tillförlitliga. Om en nätverksadapter är ansluten till ett känt nätverk läggs Ytterligare tillförlitliga
adresser konfigurerade för det nätverket till i adapterns tillförlitliga platser. Om ett nätverk har skyddstypen Hem/
arbete inkluderas alla direktanslutna undernät i de tillförlitliga platserna. De faktiska tillförlitliga platserna för varje
nätverksadapter kan visas i fönstret Inställningar under Nätverk > Nätverksadaptrar.
OBS! Tillförlitliga platser per gränssnitt stöds inte i Windows XP-operativsystem. För dessa operativsystem har
samtliga adaptrar samma tillförlitliga platser, vilket även visas på sidan Nätverksadaptrar.
3.8.2.5 Konfigurera zoner
Zoner är grupper med IP-adresser som är användbara när du behöver återanvända samma adresser i flera regler.
Dessa zoner kan konfigureras i Avancerade inställningar > Personlig brandvägg > Grundläggande, när du klickar på
knappen Redigera intill Zoner. Om du vill lägga till en ny zon klickar du på Lägg till anger ett Namn på zonen, en
Beskrivning, och lägger till en fjärr-IP-adress i fältet Fjärrdatoradress (IPv4, IPv6, intervall, mask).
I konfigurationsfönstret Brandväggszoner kan du ange ett zonnamn, en beskrivning och en nätverksadresslista (se
även Redigerare för kända nätverk).
3.8.2.6 Kända nätverk
När du använder en dator som ofta ansluter till offentliga nätverk eller nätverk utanför ditt vanliga arbetsnätverk
rekommenderas att du verifierar tillförlitligheten hos nya nätverk du ansluter till. När nätverk definierats kan ESET
Endpoint Security känna igen tillförlitliga nätverk (Hem/arbete) med hjälp av olika nätverksparametrar
konfigurerade i Identifiering av nätverk. Datorer anger ofta nätverk med IP-adresser som påminner om det
tillförlitliga nätverket. I sådana fall kan ESET Endpoint Security bedöma att ett okänt nätverk är tillförlitligt (Hem/
arbete). För att undvika detta bör Nätverksautentisering användas.
När en nätverksadapter ansluts till ett nätverk eller dess nätverksinställningar ändras söker ESET Endpoint Security i
listan över kända nätverk för att se om någon post matchar det nya nätverket. Om Identifiering av nätverk och
Nätverksautentisering (valfritt) matchar markeras nätverket som anslutet i gränssnittet. När inget känt nätverk
hittas skapas ett nytt med konfigurationen för identifiering av nätverk inställd på att identifiera nätverket nästa
gång du ansluter till det. Som standard används skyddstypen Offentligt för den nya nätverksanslutningen. I
dialogrutan En ny nätverksanslutning upptäckt ombeds du att välja mellan Hem/arbete eller Offentligt som
skyddstyp. Om en nätverksadapter ansluter till ett känt nätverk och nätverket markeras som Hem/arbete läggs
adapterns lokala undernät till i den tillförlitliga platsen.
OBS!: Om du väljer Markera automatiskt nya nätverk som offentliga visas inte dialogrutan En ny nätverksanslutning
upptäckt, utan nätverket du ansluter till markeras automatiskt som offentligt. Det innebär att vissa funktioner
(exempelvis fildelning och fjärrskrivbord) blir oåtkomliga från nya nätverk.
Kända nätverk kan konfigureras manuellt i fönstret Redigerare för kända nätverk.
64
3.8.2.6.1 Redigerare för kända nätverk
Kända nätverk kan konfigureras manuellt i Avancerade inställningar > Personlig brandvägg > Kända nätverk genom
att du klickar på Redigera.
Kolumner
Namn - Det kända nätverkets namn.
Skyddstyp - Visar om nätverket är inställt till Hem/arbete eller Offentligt.
Brandväggsprofil - Välj en profil i listrutan Visningsregler som används i profilen för att visa profilens regelfilter.
Kontrollelement
Lägg till - Skapar ett nytt känt nätverk.
Redigera - Klicka för att redigera ett befintligt känt nätverk.
Ta bort - Välj ett nätverk och klicka på Ta bort om du vill ta bort det från listan över kända nätverk.
Överst/Upp/Ned/Underst - Gör så att du kan justera prioritetsnivån för kända nätverk (nätverk utvärderas
uppifrån och ned).
Inställningarna för nätverkskonfiguration är indelade i följande flikar:
Nätverk
Här kan du ange nätverkets namn och välja skyddstyp (Offentligt eller Hem/arbete) för nätverket. Använd listrutan
Brandväggsprofil för att välja nätverkets profil. Om nätverket har skyddstypen Hem/arbete anses alla direktanslutna
undernät vara tillförlitliga. Om exempelvis en nätverksadapter är ansluten till nätverket med IP-adressen
192.168.1.5 och undernätsmasken 255.255.255.0 läggs undernätet 192.168.1.0/24 till i adapterns tillförlitliga plats.
Om adaptern har fler adresser/undernät anses samtliga vara tillförlitliga, oavsett det kända nätverkets Identifiering
av nätverk-konfiguration.
Dessutom läggs adresser tillagda i Ytterligare tillförlitliga adresser alltid till i den tillförlitliga platsen för adaptrar
anslutna till nätverket (oavsett nätverkets skyddstyp).
Följande villkor måste uppfyllas för att ett nätverk ska markeras som anslutet i listan över anslutna nätverk:
Identifiering av nätverk - Alla ifyllda parametrar måste matcha parametrarna för aktiv anslutning.
Nätverksautentisering - Om autentiseringsserver väljs måste en autentisering med ESET Authentication Server
göras.
Nätverksbegränsningar (endast Windows XP) - Alla valda globala restriktioner måste uppfyllas.
Identifiering av nätverk
Identifiering av nätverk utförs enligt det lokala nätverkskortets parametrar. Alla valda parametrar jämförs med de
faktiska parametrarna för aktiva nätverksanslutningar. IPv4- och IPv6-adresser är tillåtna.
65
Nätverksautentisering
Nätverksautentiseringen söker efter en specifik server i nätverket och använder asymmetrisk kryptering (RSA) för
att autentisera servern. Namnet på nätverket som autentiseras måste matcha det zonnamn som ställts in i
inställningarna för autentiseringsserver. Namnet är skiftlägeskänsligt. Ange ett servernamn, serverns lyssningsport
och en offentlig nyckel som motsvarar den privata servernyckeln (se Nätverksautentisering - serverkonfiguration).
Servernamnet kan anges i form av en IP-adress eller ett DNS- eller NetBios-namn och kan följas av en sökväg till
nyckelns plats på servern (exempelvis server_name_/directory1/directory2/authentication). Du kan ange
alternativa servrar att använda genom att lägga till dem i sökvägen, avgränsade med semikolon.
Den offentliga nyckeln kan importeras genom att använda någon av följande filtyper:
PEM-krypterad offentlig nyckel (.pem). Denna nyckel går att generera med ESET Authentication Server (se
Nätverksautentisering - serverkonfiguration).
Krypterad offentlig nyckel
Certifikat för offentlig nyckel (.crt)
66
Klicka på Test för att testa inställningarna. Om autentiseringen lyckades visas meddelandet Servern har
autentiserats. Om autentiseringen inte är rätt konfigurerad visas ett av följande felmeddelanden:
Det gick inte att autentisera servern. Ogiltig eller felaktig signatur.
Serversignaturen matchar inte den angivna offentliga nyckeln.
Det gick inte att autentisera servern. Nätverkets namn matchar inte.
Namnet på det konfigurerade nätverket stämmer inte överens med autentiseringsserverns zon. Kontrollera båda
namnen och säkerställ att de är identiska.
Det gick inte att autentisera servern. Ogiltigt eller inget svar från servern.
Inget svar tas emot om servern inte körs eller inte är åtkomlig. Ett ogiltigt svar kan tas emot om en annan HTTPserver körs på den angivna adressen.
Ogiltig offentlig nyckel har angivits.
Kontrollera att den angivna filen för offentlig nyckel inte är skadad.
Nätverksbegränsningar (endast Windows XP)
I moderna operativsystem (Windows Vista och senare) har varje nätverksadapter en egen tillförlitlig zon och aktiv
brandväggsprofil. Tyvärr stöds inte detta i Windows XP, utan alla nätverksadaptrar delar alltid samma tillförlitliga
zon och aktiva brandväggsprofil. Det utgör en potentiell säkerhetsrisk när maskinen är ansluten till flera nätverk
samtidigt. I så fall kan trafik från ett ej betrott nätverk utvärderas med den tillförlitliga zon och aktiva
brandväggsprofil som konfigurerats för det andra anslutna nätverket. För att öka säkerheten kan du använda
följande begränsningar för att undvika att använda en nätverkskonfiguration globalt när ett annat (potentiellt ej
betrott) nätverk är anslutet.
I Windows XP används inställningarna för anslutna nätverk (tillförlitlig zon och aktiv brandväggsprofil) globalt om
inte minst en av dessa begränsningar är aktiverade och inte uppfylls:
a. Endast en anslutning är aktiv
b. Ingen trådlös anslutning har upprättats
c. Ingen osäker trådlös anslutning har upprättats
67
3.8.2.6.2 Nätverksautentisering - serverkonfiguration
Autentiseringen kan utföras av valfri dator/server som är ansluten till det nätverk som ska autentiseras.
Programmet för ESET-autentiseringsservern måste installeras på en dator/server som alltid är tillgänglig för
autentisering när en klient försöker ansluta till nätverket. Du kan hämta installationsfilen till programmet för ESETautentiseringsservern på ESET:s webbplats.
När du installerat ESET Authentication Server öppnas en dialogruta (du kan när som helst nå programmet genom att
klicka på Start > Program > ESET > ESET-autentiseringsserver).
Konfigurera autentiseringsservern genom att ange autentiseringsnätverkets namn, serverns lyssningsport (standard
är 80), samt platsen att spara den offentliga och privata nyckeln. Generera sedan den offentliga och privata nyckeln
som använd i autentiseringen. Den privata nyckeln finns kvar på servern, men den offentliga nyckeln måste
importeras på klientsidan i avsnittet Nätverksautentisering när ett nätverk ställs in i brandväggen.
3.8.2.7 Loggning
ESET Endpoint Security Personlig brandvägg sparar viktiga händelser i en loggfil som kan visas direkt från
huvudmenyn. Klicka på Verktyg > Loggfiler och välj sedan Personlig brandvägg i rullgardinsmenyn Logg. Om du vill
aktivera loggning för den personliga brandväggen går du till Avancerade inställningar > Verktyg > Loggfiler och
ställer in det minimala omfånget för loggning till Diagnosik. Då registreras alla nekade anslutningar.
Loggfilerna går att använda till att identifiera fel och avslöja intrång i systemet. Logg för ESET Personlig brandvägg
innehåller följande information:
Tid - Datum och tid för händelsen.
Händelse - Händelsens namn.
Källa - Källnätverksadress.
Mål - Målnätverksadress.
Protokoll - Nätverkets kommunikationsprotokoll.
Regel/masknamn - Regel som tillämpas, eller namnet på masken, om en sådan identifierats.
Program - Berört program.
Användare - Namnet på den användare som var inloggad när infiltreringen identifierades.
En grundlig analys av den här informationen kan hjälpa till att avslöja eventuella intrångsförsök. Flera andra faktorer
kan indikera potentiella säkerhetsrisker och hjälper dig att minska riskerna. Några exempel på indikatorer på
potentiella hot är regelbundna anslutningar från okända platser, upprepade försök att upprätta anslutningar,
kommunikation av okända program och användande av ovanliga portnummer.
3.8.2.8 Etablera en anslutning - identifiering
Den personliga brandväggen identifierar varje ny nätverksanslutning. Det aktuella brandväggsläget avgör vilka
åtgärder som ska utföras för den nya anslutningen. Om Automatiskt läge eller Policybaserat läge aktiverats, utför
Personlig brandvägg fördefinierade åtgärder utan användarinteraktion.
I det interaktiva läget visas ett informationsfönster där identifiering av nya nätverksanslutningar rapporteras
tillsammans med detaljerad information om anslutningen. Du kan sedan själv välja om anslutningen ska tillåtas eller
blockeras. Om samma anslutning tillåts upprepade gånger i den här dialogrutan, rekommenderar vi att du skapar en
ny regel för anslutningen. Detta gör du genom att välja Kom ihåg åtgärd (skapa regel) och spara åtgärden som en ny
regel för den personliga brandväggen. Om samma anslutning identifieras av brandväggen i framtiden, kommer den
nya regeln att användas utan användaråtgärder.
Kom ihåg åtgärd för denna process temporärt orsakar att åtgärden (Tillåt/Neka) används tills programmet startas
om, regler eller filtreringslägen ändras, en brandväggsmodul uppdateras eller systemet startas om. Efter någon av
dessa tre åtgärder tas temporära regler bort.
68
Var försiktig när du skapar nya regler och tillåt endast anslutningar som du vet är säkra. Om alla anslutningar är
tillåtna fungerar inte Personlig brandvägg som avsett. Följande viktiga parametrar finns tillgängliga för anslutningar:
Fjärrsida - tillåt endast anslutningar till betrodda och kända adresser.
Lokalt program - Vi rekommenderar att inte tillåta anslutningar för okända program och processer.
Portnummer – kommunikation på vanliga portar (t.ex. webbtrafik – port 80) bör tillåtas under normala
omständigheter.
Datorinfiltreringar använder ofta Internet och dolda anslutningar för att infektera fjärrsystem. Är reglerna korrekt
konfigureras blir en personlig brandvägg ett användbart verktyg mot attacker med olika typer av skadlig kod.
3.8.2.9 Lösa problem med ESET Personlig brandvägg
Om det uppstår anslutningsproblem med ESET Endpoint Security installerat finns det flera metoder för att fastställa
om det är ESET Personlig brandvägg som orsakar problemet. ESET Personlig brandvägg kan dessutom hjälpa dig att
skapa nya regler eller undantag för att lösa anslutningsproblem.
Se följande ämnen för hjälp med att lösa problem med ESET Personlig brandvägg:
Felsökningsguide
Logga och skapa regler eller undantag från logg
Skapa undantag från brandväggsmeddelanden
Avancerad PCAP-loggning
Lösa problem med protokollfiltrering
3.8.2.9.1 Felsökningsguide
Felsökningsguiden övervakar alla blockerade anslutningar tyst och vägleder dig genom felsökningsprocessen för att
åtgärda brandväggsproblem med specifika program eller enheter. Därefter föreslås en ny uppsättning regler att
tillämpa om du godkänner dem. Felsökningsguiden finns på huvudmenyn under Inställningar > Nätverk.
69
3.8.2.9.2 Logga och skapa regler eller undantag från logg
Som standard loggas inte alla blockerade anslutningar av ESET Personlig brandvägg. Om du vill se vad som blockerats
av den personliga brandväggen aktiverar du loggning i avsnittet Felsökning i Avancerade inställningar under
Personlig brandvägg > IDS och avancerade alternativ. Om du ser något i loggen som du inte vill att den personliga
brandväggen ska blockera kan du skapa en regel eller ett IDS-undantag för detta genom att högerklicka på objektet
och välja Blockera inte liknande händelser i framtiden. Observera att loggen över alla blockerade anslutningar kan
innehålla tusentals objekt och att det kan vara svårt att hitta en specifik anslutning i den. När problemet lösts kan du
stänga av loggningen.
För mer information om loggen, se Loggfiler.
Obs! Använd loggning för att se i vilken ordning den personliga brandväggen blockerat specifika anslutningar.
Genom att skapa regler från loggen kan du dessutom skapa regler som gör exakt det du vill.
3.8.2.9.2.1 Skapa regel från logg
I den nya versionen av ESET Endpoint Security kan du skapa en regel från loggen. På huvudmenyn klickar du på
Verktyg > Loggfiler. Välj Personlig brandvägg i listrutan, högerklicka på önskad loggpost och välj Blockera inte
liknande händelser i framtiden på kontextmenyn. Den nya regeln visas i ett meddelandefönster.
För att det ska gå att skapa nya regler från loggen måste ESET Endpoint Security ha följande inställningar:
Ställ in det minimala omfånget för loggning till Diagnostik i Avancerade inställningar (F5) > Verktyg > Loggfiler,
aktivera Visa meddelanden även för inkommande attacker mot säkerhetshål i Avancerade inställningar (F5) >
Personlig brandvägg > IDS och avancerade alternativ > Intrångsdetektering.
3.8.2.9.3 Skapa undantag från brandväggsmeddelanden
När ESET Personlig brandvägg identifierar skadlig nätverksaktivitet visas ett meddelandefönster där händelsen
beskrivs. Meddelandet innehåller en länk så att du kan lära dig mer om händelsen och skapa ett undantag för den
om du vill.
OBS! Om ett nätverksprogram eller -enhet inte implementerar nätverksstandarder korrekt kan upprepade
brandväggs-IDS-meddelanden utlösas. Du kan skapa ett undantag direkt från meddelandet om du inte vill att ESET
Personlig brandvägg ska identifiera programmet eller enheten.
3.8.2.9.4 Avancerad PCAP-loggning
Med den här funktionen kan du förse ESET:s kundsupport med mer komplexa loggfiler. Funktionen ska endast
användas på begäran av ESET:s kundsupport eftersom loggfilen som skapas kan bli mycket stor och göra datorn
långsammare.
1. Gå till Avancerade inställningar > Personlig brandvägg > IDS och avancerade alternativ > Felsökning och aktivera
Aktivera avancerad PCAP-loggning.
2. Försök att återskapa det aktuella problemet.
3. Inaktivera avancerad PCAP-loggning.
4. PCAP-loggfilen skapas i samma katalog som diagnostiska minnesdumpar genereras i:
Microsoft Windows Vista eller senare
C:\ProgramData\ESET\ESET Endpoint Security\Diagnostics\
Microsoft Windows XP
C:\Documents and Settings\All Users\...
70
3.8.2.9.5 Lösa problem med protokollfiltrering
Om det uppstår problem med webbläsaren eller e-postklienten är det första steget att fastställa om det beror på
protokollfiltrering. För att göra detta provar du att tillfälligt inaktivera protokollfiltrering för program i de
avancerade inställningarna (glöm inte att aktivera det igen när du är klar, annars förblir webbläsaren och epostklienten oskyddade). Om problemet upphör när du stänger av det använder du dig av den här listan över vanliga
problem och hur du löser dem:
Problem med uppdateringar eller säker kommunikation
Om programmet meddelar att det inte går att uppdatera eller att en kommunikationskanal inte är säker:
Om SSL-protokollfiltrering används provar du att stänga av det tillfälligt. Om det hjälper kan du fortsätta använda
SSL-filtrering och få uppdateringen att fungera genom att exkludera den problematiska kommunikationen:
Ändra SSL-protokollfiltreringsläget till interaktivt. Kör uppdateringen igen. En dialogruta om krypterad
nätverkstrafik ska visas. Kontrollera att programmet matchar det du felsöker och att certifikatet verkar komma
från den server uppdateringen kommer från. Välj sedan att komma ihåg åtgärden för certifikatet och klicka på
Ignorera. Om inga flera relevanta dialogrutor visas kan du ändra tillbaka till automatiskt filtreringsläge, och
problemet bör vara löst.
Om det aktuella programmet inte är en webbläsare eller e-postklient kan du helt exkludera det från
protokollfiltrering (att göra detta för webbläsare eller e-postklienter är dock riskabelt). Ett program vars
kommunikation filtrerats tidigare ska redan finnas i den tillhandahållna listan när du lägger till undantaget, så det
ska inte vara nödvändigt att lägga till det manuellt.
Problem med att komma åt en enhet i nätverket
Om du inte kan använda några funktioner i en enhet i nätverket (det kan vara att öppna en webbsida i
webbkameran eller spela upp video i en mediespelare) kan du prova att lägga till dess IPv4- eller IPv6-adresser i
listan över undantagna adresser.
Problem med en viss webbplats
Du kan undanta specifika webbplatser från protokollfiltrering med hjälp av URL-adresshantering. Om du exempelvis
inte kan öppna https://www.gmail.com/intl/en/mail/help/about.html provar du att lägga till *gmail.com* i listan
över undantagna adresser.
Felet "Vissa program kapabla att importera rotcertifikatet körs fortfarande"
När du aktiverar SSL-protokollfiltrering ser ESET Endpoint Security till att installerade program litar på hur det
filtrerar SSL-protokoll genom att importera ett certifikat till deras certifikatarkiv. För vissa program är det inte
möjligt medan de körs, exempelvis Firefox och Opera. Säkerställ att inget av dem körs (det bästa sättet att göra det
på är att öppna Aktivitetshanteraren och kontrollera att det inte firefox.exe eller opera.exe finns på fliken
Processer) och försök sedan igen.
Fel gällande ej betrodda utfärdare eller ogiltiga signaturer
Detta beror oftast på att importen som beskrivs ovan misslyckats. Säkerställ först att inget av de nämnda
programmen körs. Inaktivera sedan SSL-protokollfiltrering och aktivera det igen, så att importen görs om.
71
3.8.3 Webb och e-post
Webb- och e-postkonfigurationen finns under Inställningar > Webb och e-post. Här finns även programmets
detaljerade inställningar.
Med modulen Webbkontroll kan du göra inställningar som ger administratörer automatiska verktyg för att skydda
deras arbetsstationer och ange begränsningar för surfande på webben. Systemet med webbkontrollfunktionerna är
att förhindra åtkomst till sidor med olämpligt eller skadligt innehåll. Se Webbkontroll för mer information.
Möjligheten att ansluta till Internet är en standardfunktion i datorer. Det är tyvärr även huvudvägen för att överföra
skadlig kod. På grund av detta är det viktigt att du tänker på ditt Webbåtkomstskydd.
Skydd av e-postklient kontrollerar e-postkommunikation som sker med POP3- och IMAP-protokollet. Med pluginprogrammet för e-postklienter ger ESET Endpoint Security användaren kontroll över alla typer av kommunikation
från e-postklienten (POP3, IMAP, HTTP, MAPI).
Spamskydd filtrerar bort oönskade e-postmeddelanden.
När du klickar på kugghjulet intill Spamskydd visas följande alternativ:
Konfigurera... - öppnar de avancerade inställningarna för e-postklientens spamskydd.
Användarens vitlista/svartlista/undantagslista - öppnar en dialogruta där du kan lägga till, redigera eller ta bort
e-postadresser som anses säkra. Utifrån de regler som anges här genomsöks inte e-post från dessa adresser
eller behandlas som spam. Om du klickar på Användarens undantagslista öppnas en dialogruta där du kan lägga
till, redigera eller ta bort e-postadresser som kan vara bedrägliga och användas till spam. E-postmeddelanden
med avsändarens adress i undantagsistan genomsöks alltid efter spam.
Skydd mot nätfiske är ännu ett skyddslager som ger bättre försvar mot bedrägliga webbplatser som försöker hämta
lösenord eller annan känslig information. Skydd mot nätfiske finns i fönstret Inställningar under Webb och e-post.
Se Skydd mot nätfiske för mer information.
Inaktivera - om du väljer det här alternativet inaktiveras webb-/e-post-//spamskydd för webbläsare och epostklienter
.
72
3.8.3.1 Protokollfiltrering
Antivirusskydd för programprotokollen tillhandahålls av ThreatSense genomsökningsmotor som sömlöst integrerar
alla avancerade genomsökningsmetoder för skadlig programvara. Protokollfiltreringen sker automatiskt oavsett
vilken webbläsare eller e-postklient som används. För att redigera krypterade inställningar (SSL) går du till Webb
och e-post > SSL.
Aktivera innehållsfiltrering av programprotokoll - Kan användas för att inaktivera protokollfiltrering. Observera att
många ESET Endpoint Security-komponenter (webbåtkomstskydd, e-postprotokollskydd, skydd mot nätfiske,
webbkontroll) är beroende av detta och kanske inte fungerar utan det.
Undantagna program – Gör så att du kan undanta specifika program från protokollfiltrering. Användbart när
protokollfiltrering orsakar kompatibilitetsproblem.
Undantagna IP-adresser – Gör så att du kan undanta specifika fjärradresser från protokollfiltrering. Användbart när
protokollfiltrering orsakar kompatibilitetsproblem.
Webbläsare och e-postklienter - Används endast i Windows XP-operativsystem och gör så att du kan välja program
för vilka trafik ska filtreras genom protokollfiltrering, oavsett vilka portar som används.
Postinformation krävs för ESET-stöd för att diagnostisera problem med protokollfiltrering - Möjliggör avancerad
loggning av diagnostikdata. Använd endast detta på begäran av ESET:s support.
3.8.3.1.1 Webbläsare och e-postklienter
OBS! Den nya WFP-arkitekturen (Windows Filtering Platform) börjar med Windows Vista Service Pack 1 och
Windows Server 2008 och används för att kontrollera nätverkskommunikationen. Eftersom WFP-teknik använder
särskild övervakningsteknik är avsnittet Webbläsare och e-postklienter inte tillgängligt.
Eftersom enorma mängder skadlig kod cirkulerar på webben är säkert surfande på Internet en väldigt viktig del av
datorskydd. Sårbarheter hos webbläsare och försåtliga länkar gör att skadlig kod kan komma in i systemet utan att
märkas, vilket är skälet till att ESET Endpoint Security fokuserar på webbläsarsäkerhet. Varje program som har
åtkomst till nätverket kan markeras som en webbläsare. Program som redan använt protokoll för kommunikation
eller program från den valda sökvägen kan läggas till i listan över webbläsare och e-postklienter.
73
3.8.3.1.2 Undantagna program
Lägg till i den här listan vilka nätverksmedvetna program vars kommunikation ska undantas från protokollfiltrering.
De valda programmens HTTP/POP3/IMAP-kommunikation kontrolleras inte. Den här tekniken bör endast användas
om program inte fungerar korrekt med protokollfiltrering aktiverat.
Program och tjänster som redan var påverkade av protokollfiltrering visas automatiskt när du klickar på Lägg till.
Redigera - Redigera valda poster i listan.
Ta bort - tar bort valda poster från listan.
74
3.8.3.1.3 Undantagna IP-adresser
IP-adresser i den här listan undantas från innehållsfiltrering av protokoll. HTTP/POP3/IMAP-kommunikation från/till
de valda adresserna kontrolleras inte. Vi rekommenderar att du endast använder detta alternativ för adresser som
är kända som trovärdiga.
Lägg till – Klicka på detta för att lägga till en IP-adress/adressintervall/undernät till en fjärrpunkt på vilken du vill
använda regeln.
Redigera - Redigera valda poster i listan.
Ta bort - tar bort valda poster från listan.
3.8.3.1.4 SSL
ESET Endpoint Security kan söka efter hot i kommunikation som använder SSL-protokollet. Det går att använda olika
genomsökningslägen för att undersöka SSL-skyddad kommunikation med betrodda certifikat, okända certifikat eller
certifikat som är undantagna från kontroll av SSL-skyddad kommunikation.
Aktivera SSL-protokollfiltrering - Om protokollfiltrering inaktiveras genomsöks inte kommunikation över SSL.
Filtreringsläge för SSL-protokoll finns i följande alternativ:
Automatiskt läge - Välj detta alternativ för att genomsöka all SSL-skyddad kommunikation utom kommunikation
skyddad av certifikat undantagna från kontroll. Om ny kommunikation upprättas som använder ett okänt, signerat
certifikat, meddelas du inte om detta och kommunikationen filtreras automatiskt. När du öppnar en server med ett
obetrott certifikat som markerats som betrott (det finns i listan betrodda certifikat), tillåts kommunikation med
servern och innehållet i kommunikationskanalen filtreras.
Interaktivt läge - Om du anger en ny SSL-skyddad plats (med ett okänt certifikat) visas en dialogruta med
åtgärdsalternativ. Detta läge gör det möjligt att skapa en lista med SSL-certifikat som undantas från genomsökning.
Blockera krypterad kommunikation med hjälp av det föråldrade SSL v2-protokollet – kommunikation som använder
en tidigare version av SSL-protokollet kommer automatiskt att blockeras.
Rotcertifikat
Rotcertifikat - För att SSL-kommunikation ska fungera korrekt i webbläsare/e-postklienter är det viktigt att
rotcertifikatet för ESET läggs till i listan över kända rotcertifikat (utgivare). Lägg till rotcertifikatet till kända
webbläsare ska vara aktiverat. Markera det här alternativet för att automatiskt lägga till rotcertifikatet för ESET
75
till kända webbläsare (t.ex. Opera, Firefox). För webbläsare som lagrar uppgifter om systemcertifiering läggs
certifikatet automatiskt till (t.ex. Internet Explorer).
Om du vill lägga till certifikatet i webbläsare som inte stöds klickar du på Visa certifikat > Information > Kopiera
till fil... och importerar det manuellt till webbläsaren.
Certifikatets giltighet
Om certifikatet inte kan verifieras med hjälp av lagringen av betrodda rotcertifikatutgivare - I vissa fall kan inte
ett webbplatscertifikat verifieras med hjälp av lagringen av betrodda rotcertifikatutgivare (TRCA). Detta innebär
att certifikatet är signerat av någon (t.ex. administratören för en webbserver eller ett mindre företag) och att
anse sådana certifikat som betrodda är inte alltid en risk. De flesta stora företag (t.ex. banker) använder
certifikat signerade av TRCA. Om Fråga om certifikatets giltighet markerats (standard) ombeds användaren att
välja en åtgärd att vidta när krypterad kommunikation upprättas. Du kan välja Blockera kommunikation som
använder certifikatet för att alltid avsluta krypterade anslutningar till platser som använder overifierade
certifikat.
Om certifikatet är ogiltigt eller skadat - Det innebär att certifikatet har utgått eller är felaktigt signerat. I så fall
rekommenderar vi att du lämnar Blockera kommunikation som använder certifikatet valt.
Lista över kända certifikat används för att anpassa hur ESET Endpoint Security ska bete sig för specifika SSLcertifikat.
3.8.3.1.4.1 Krypterad SSL-kommunikation
Om systemet är konfigurerat att använda genomsökning av SSL-protokoll visas en dialogruta där du ombeds att välja
en åtgärd i två situationer:
För det första, om en webbplats använder ett certifikat som inte kan verifieras eller är ogiltigt, och om ESET
Endpoint Security är konfigurerat att fråga användaren i sådana fall (som standard ja för certifikat som inte kan
verifieras, nej för ogiltiga certifikat), så visas en dialogruta där du får välja att Tillåta eller Blockera anslutningen.
För det andra, om Filtreringsläge för SSL-protokoll är inställt till Interaktivt läge. I så fall visas en dialogruta för varje
webbplats där du får välja om du vill Genomsöka eller Ignorera trafiken. Vissa program kontrollerar att deras SSLtrafik inte ändras eller inspekteras av någon, och i sådana fall måste ESET Endpoint Security Ignorera den trafiken för
att programmet ska fortsätta fungera.
I båda fallen kan användaren välja att den valda åtgärden ska kommas ihåg. Sparade åtgärder lagras i Lista över
kända certifikat.
3.8.3.1.4.2 Lista över kända certifikat
Listan över kända certifikat kan användas för att anpassa hur ESET Endpoint Security ska bete sig för specifika SSLcertifikat samt för att komma ihåg åtgärder som valts om Interaktivt läge valts i Filtreringsläge för SSL-protokoll.
Listan kan visas och redigeras i Avancerade inställningar (F5) > Webb och e-post > SSL > Lista över kända certifikat.
Fönstret Lista över kända certifikat innehåller:
Kolumner
Namn - Certifikatets namn.
Certifikatutgivare - Namnet på den som skapat certifikatet.
Certifikatämne - Ämnesfältet identifierar den enhet som är associerad med den offentliga nyckel som lagras i
fältet för ämnets offentliga nyckel.
Åtkomst - Välj Tillåt eller Blockera som Åtkomståtgärd för att tillåta/blockera kommunikation som säkrats av
certifikatet oavsett dess tillförlitlighet. Välj Auto för att tillåta betrodda certifikat och fråga om obetrodda. Välj
Fråga för att alltid fråga användaren om vad som ska göras.
Genomsök - välj Genomsök eller Ignorera som Genomsökningsåtgärd för att genomsöka eller ignorera
kommunikation som säkrats av certifikatet. Välj Auto för att genomsöka i automatiskt läge och fråga i interaktivt
76
läge. Välj Fråga för att alltid fråga användaren om vad som ska göras.
Kontrollelement
Lägg till - Ett certifikat kan läsas in manuellt som en fil med ändelsen .cer, .crt eller .pem. Klicka på Fil för att
överföra ett lokalt certifikat eller klicka på URL om du vill ange platsen för ett certifikat online.
Redigera - Välj det certifikat du vill konfigurera och klicka på Redigera.
Ta bort - Välj det certifikat du vill ta bort och klicka på Ta bort.
OK/Avbryt - Klicka på OK om du vill spara ändringarna eller på Avbryt om du vill avsluta utan att spara dem.
3.8.3.2 Skydd av e-postklient
3.8.3.2.1 E-postklienter
Integrering av ESET Endpoint Security med e-postklienter förbättrar nivån av aktivt skydd mot skadlig kod i epostmeddelanden. Om din e-postklient stöds går integreringen att aktivera i ESET Endpoint Security. När
integreringen är aktiverad infogas ESET Endpoint Security-verktygfältet direkt i e-postklienten (verktygsfält för
nyare versioner av Windows Live Mail infogas inte) och ger mer effektivt e-postskydd. Integreringsinställningarna
finns under Inställningar > Avancerade inställningar > Webb och e-post > Skydd av e-postklient > E-postklienter.
Integrering med e-postklienter
E-postklienter som för närvarande stöds inkluderar Microsoft Outlook, Outlook Express, Windows Mail och
Windows Live Mail. Skydd av e-post fungerar som ett plugin-program för dessa e-postklienter. Den största fördelen
med plugin-program är att det inte spelar någon roll vilket protokoll som används. När e-postklienten tar emot ett
krypterat meddelande dekrypteras det och skickas till virusgenomsökaren. En fullständig lista med epostklienterversioner som stöds finns i följande artikel i ESET kunskapsbas.
Även om integrering inte aktiverats, skyddas e-postkommunikationen av modulen Skydd av e-postklienter (POP3,
IMAP).
Aktivera Inaktivera kontroll när inkorgens innehåll ändras om du upptäcker att systemet går långsammare när du
arbetar med e-postklienten (endast MS Outlook). Detta kan inträffa vid hämtning av e-post från Kerio Outlook
Connector Store.
E-post som ska genomsökas
Mottagen e-post - växlar kontroll av mottagna meddelanden.
Skickad e-post - växlar kontroll av skickade meddelanden.
Läst e-post - växlar kontroll av lästa meddelanden.
Åtgärd att utföra på infekterad e-post
Ingen åtgärd - om aktiverat identifieras infekterade bilagor, men ingen åtgärd vidtas för e-postmeddelanden.
Ta bort e-post - användaren får ett meddelande om infiltration(er) och e-postmeddelandet tas bort.
Flytta e-postmeddelande till mappen Borttaget - infekterade e-postmeddelanden flyttas automatiskt till
mappen Borttaget.
Flytta e-postmeddelande till mappen - infekterade e-postmeddelanden flyttas automatiskt till den angivna
mappen.
Mapp - Ange den anpassade mapp dit du vill flytta infekterad e-post när de upptäckts.
Upprepa genomsökningen efter uppdatering - växlar upprepning av genomsökning efter uppdatering av
virussignaturdatabasen.
Acceptera genomsökningsresultat från andra moduler – om det här alternativet är markerat kommer modulen
för skydd av e-post att acceptera genomsökningsresultat från andra skyddsmoduler (genomsökning av POP3och IMAP-protokoll).
77
3.8.3.2.2 E-postprotokoll
IMAP och POP3 är de vanligaste protokollen som används för att ta emot e-postkommunikation i en e-postklient.
ESET Endpoint Security ger skydd för dessa protokoll oavsett vilken e-postklient som används och utan att epostklienten behöver omkonfigureras.
Du kan konfigurera IMAP/IMAPS- och POP3/POP3S-protokollkontrollen i Avancerade inställningar. Du kommer åt
inställningen genom att välja Webb och e-post > Skydd av e-postklient > E-postprotokoll.
Aktivera skydd för e-postprotokoll - Möjliggör kontroll av e-postprotokoll.
I Windows Vista och senare identifieras och genomsöks IMAP- och POP3-protokoll automatiskt i alla portar. I
Windows XP/2003 genomsöks endast konfigurerade Portar som används av IMAP/POP3-protokollet för alla
program, och alla portar genomsöks för program märkta som Webbläsare och e-postklienter.
ESET Endpoint Security har även stöd för genomsökning av IMAPS- och POP3S-protokoll, som använder en krypterad
kanal för att överföra information mellan server och klient. ESET Endpoint Security kontrollerar kommunikationen
med SSL-kryptering (Secure Socket Layer) och TLS-kryptering (Transport Layer Security). Programmet genomsöker
endast trafik i portar som angetts i Portar som används av IMAPS/POP3S-protokollet, oavsett operativsystem.
Krypterad kommunikation genomsöks inte när standardinställningarna används. Om du vill aktivera genomsökning
av krypterad kommunikation går du till SSL i Avancerade inställningar, klickar på Webb och e-post > SSL och väljer
Aktivera filtrering av SSL-protokoll.
78
3.8.3.2.3 Varningar och meddelanden
Skydd av e-post gör det möjligt att kontrollera e-postkommunikation som sker med POP3- och IMAP-protokollen.
Med plugin-programmet för Microsoft Outlook och andra e-postklienter ger ESET Endpoint Security användaren
kontroll över alla typer av kommunikation från e-postklienten (POP3, MAPI, IMAP, HTTP). När inkommande
meddelanden undersöks använder programmet alla avancerade genomsökningsmetoder i genomsökningsmotorn
ThreatSense. Det innebär att identifiering av skadliga program sker till och med innan de matchas mot
virussignaturdatabasen. Genomsökning av kommunikation med POP3- och IMAP-protokollen är oberoende av
vilken e-postklient som används.
Alternativen för denna funktion finns i Avancerade inställningar under Webb och e-post > Skydd av e-postklient >
Varningar och meddelanden.
Parameterinställningar för ThreatSense-motorn - De avancerade inställningarna för virusskannern gör det möjligt att
konfigurera genomsökningsobjekt, detekteringsmetoder osv. Klicka för att öppna inställningsfönstret för detaljerad
virusgenomsökning.
Efter att ett e-postmeddelande har kontrollerats bifogas ett meddelande med genomsökningsresultatet till epostmeddelandet. Välj att Lägg till meddelanden till mottagen och läst e-post, Lägg till meddelande till ämnesraden
i mottagen och läst infekterad e-post eller Lägg till meddelanden till skickad e-post. Tänk på att meddelandena i
sällsynta fall kan undantas i problematiska HTML-meddelanden eller om meddelanden förfalskas av skadlig kod.
Meddelanden kan läggas till i mottagen och läst e-post, i skickad e-post eller i båda. Följande alternativ finns
tillgängliga:
Aldrig - inga meddelanden läggs till.
Endast till infekterad e-post - endast meddelanden som innehåller skadlig programvara märks som kontrollerad
(standard).
Till all genomsökt e-post - programmet lägger till meddelanden till all genomsökt e-post.
Lägg till meddelande till ämnesraden i skickad infekterad e-post - Inaktivera detta om du inte vill att e-postskyddet
inkluderar en virusvarning i det infekterade e-postmeddelandets ämnesrad. Den här funktionen möjliggör enkel,
ämnesbaserad filtrering av infekterad e-post (om ditt e-postprogram stöder funktionen). Den ökar också
tillförlitligheten för mottagaren och om en infiltration identifieras ger den värdefull information om hotnivån för
ett visst meddelande eller för en viss avsändare.
Mall som läggs till ämnesraden för infekterad e-post - redigera mallen om du vill ändra ämnesradens format i ett
infekterat e-postmeddelande. Denna funktion ersätter ämnesraden "Hej" med ett visst prefixvärde "[virus]" till
följande format: "[virus] Hej". Variabeln %VIRUSNAME% representerar det upptäckta hotet.
79
3.8.3.2.4 Spamskydd
Oönskad e-post, även kallat spam, är ett av de största problemen inom elektronisk kommunikation. Spam utgör upp
till 80 procent av all e-postkommunikation. Spamskydd skyddar mot detta problem. Spamskyddsmodulen
kombinerar flera e-postsäkerhetsprinciper vilket ger en överlägsen filtrering och håller din inkorg ren.
En viktig princip inom spamidentifiering är förmågan att identifiera oönskade e-postmeddelanden baserat på
fördefinierade betrodda adresser (vitlistor) och spamadresser (svartlistor). Alla adresser från din e-postklient läggs
automatiskt till i vitlistan, tillsammans med alla andra adresser som du markerar som säkra.
Den huvudsakliga metoden som används för identifiering av spam är genomsökning av egenskaper i epostmeddelanden. Mottagna meddelanden genomsöks med avseende på grundläggande spamskyddskriterier
(meddelandedefinitioner, statistisk heuristik, identifieringsalgoritmer och andra unika metoder) och det
resulterande indexvärdet anger om ett meddelande är spam.
Starta spamskyddet för e-postklienten automatiskt –- aktivera detta för att starta spamskyddet vid systemstart.
Tillåt avancerad antispam-genomsökning – ytterligare antispamdata hämtas regelbundet, vilket ökar spamskyddet
och ger bättre resultat.
Spamskyddet i ESET Endpoint Security går att ställa in med olika parametrar för arbete med distributionslistor.
Alternativen är följande:
Behandling av meddelande
Lägg till text till ämne i e-postmeddelande - gör det möjligt att lägga till en anpassad textsträng till ämnesraden i
meddelanden som har klassificerats som spam. Standard är [SPAM].
Flytta meddelanden till spammappen - När det här alternativet valts flyttas spammeddelanden till
standardmappen för spam och dessutom flyttas meddelanden som omklassificerats till inte spam till inkorgen.
När du högerklickar på ett e-postmeddelande och väljer ESET Endpoint Security i kontextmenyn kan du välja bland
tillämpliga alternativ.
Använd mappen – detta alternativ används för att flytta spam till en användardefinierad mapp.
80
Markera spammeddelanden som lästa – aktivera detta om du vill markera spammeddelanden som lästa
automatiskt. Det gör det lättare att fokusera på "rena" meddelanden.
Markera omklassificerade meddelanden som olästa - meddelanden som först klassificerades som spam men som
senare markerats som "rena" visas som olästa.
Spampoängloggning - ESET Endpoint Security antispammotor tilldelar en spampoäng till varje genomsökt
meddelande. Meddelandet registreras i antispamloggen (ESET Endpoint Security > Verktyg > Loggfiler >
Spamskydd).
Ingen – poängen från antispamgenomsökningen loggas inte.
Omklassificerat och märkt som spam - markera detta om du vill registrera spampoäng för meddelanden
markerade som spam.
Alla - alla meddelanden registreras i loggen med en spampoäng.
OBS!: När du klickar på ett meddelande i mappen för spam kan du välja Klassificera om markerade meddelanden
som inte spam om du vill flytta meddelandet till inkorgen. När du klickar på ett meddelande du anser vara spam i
inkorgen kan du välja Klassificera om meddelanden som spam om du vill flytta meddelandet till mappen för spam.
Du kan markera flera meddelanden och utföra åtgärden för dem alla samtidigt.
OBS! ESET Endpoint Security stöder spamskydd för Microsoft Outlook, Outlook Express, Windows Mail och Windows
Live Mail.
3.8.3.2.4.1 Svartlista/vitlista/undantagslista
ESET Endpoint Security gör det möjligt att klassificera e-postadresser i speciella listor för att tillhandahålla skydd
mot oönskad e-post. Vitlistan innehåller e-postadresser som du anser vara säkra. Meddelanden från användare som
finns i vitlistan finns alltid tillgängliga i mappen för inkommande e-post. Svartlistan innehåller e-postadresser som
har klassificerats som spam och alla meddelanden som kommer från avsändare på svartlistan markeras också som
spam. Undantagslistan innehåller e-postadresser som alltid kontrolleras efter spam men kan även innehålla
adresser från oönskade e-postmeddelanden som maskerats som inte spam.
Alla listor kan redigeras från ESET Endpoint Security-programmets huvudfönster i Avancerade inställningar > Webb
och e-post > Skydd av e-postklient > Antispamadressböcker genom att använda knapparna Lägg till, Redigera och Ta
bort i varje listas dialogruta, eller från Inställningar > Webb och e-post efter att du klickat på kugghjulet intill
Spamskydd.
Alla adresser i adressboken för de e-postklienter som stöds läggs som standard till i vitlistan av ESET Endpoint
81
Security. Svartlistan är som standard tom. Undantagslistan innehåller som standard endast användarens egna epostadresser.
3.8.3.2.4.2 Lägga till adresser i vitlistor och svartlistor
E-postadresser som tillhör personer du ofta kommunicerar med går att lägga till vitlista och säkerställa att
meddelanden från adresser på vitlistan aldrig klassificeras som spam. Kända spamadresser går att lägga till
svartlistan och klassificeras alltid som spam. Lägg till en ny adress på vitlistan eller svartlistan genom att högerklicka
på e-postmeddelandet och välja ESET Endpoint Security > Lägg till i vitlistan eller Lägg till i svartlistan eller klicka på
knappen Betrodd adress eller Spamadress i verktygsfältet ESET Endpoint Security Antispam i din e-postklient.
Den här processen kan även utföras för spamadresser. Om en e-postadress finns med i svartlistan klassificeras alla
e-postmeddelanden som anländer från den adressen som spam.
3.8.3.2.4.3 Markera meddelanden som spam eller inte spam
Alla meddelanden som visas i e-postklienten kan markeras som spam. Gör detta genom att högerklicka på
meddelandet och klicka på ESET Endpoint Security > Klassificera om valda meddelanden som spam eller klicka på
Spam i verktygsfältet ESET Endpoint Security Antispam i den övre delen av din e-postklient.
Omklassificerade meddelanden flyttas automatiskt till mappen SPAM, men avsändarens e-postadress läggs inte till
i svartlistan. På samma sätt kan meddelanden klassificeras som "inte spam" genom att klicka på ESET Endpoint
Security > Klassificera om markerade meddelanden som inte spam eller klicka på Inte spam i verktygsfältet ESET
Endpoint Security Antispam i den övre delen av din e-postklient. Om meddelanden i mappen Skräppost klassificeras
som inte spam flyttas de till mappen Inkorg. Om ett meddelande markeras som inte spam innebär det inte att
avsändarens adress automatiskt läggs till i vitlistan.
3.8.3.3 Webbåtkomstskydd
Möjligheten att ansluta till Internet är en standardfunktion i de flesta datorer. Det är tyvärr även huvudvägen för att
överföra skadlig kod. Webbåtkomstskyddet övervakar kommunikationen mellan webbläsare och fjärrservrar och
uppfyller reglerna för HTTP (Hypertext Transfer Protocol) och HTTPS (krypterad kommunikation).
Åtkomst till kända webbsidor med skadligt innehåll blockeras innan innehåll hinner hämtas. Alla andra webbsidor
genomsöks av ThreatSense-genomsökningsmotorn när de läses in och blockeras om skadligt innehåll detekteras.
Webbåtkomstskydd ger två nivåer av skydd: blockering efter svartlista och blockering efter innehåll.
82
Vi rekommenderar starkt att låta Webbåtkomstskydd vara aktiverat. Detta alternativ finns på huvudmenyn för ESET
Endpoint Security under Inställningar > Webb och e-post > Webbåtkomstskydd.
Följande alternativ är tillgängliga i Avancerade inställningar (F5) > Webb och e-post > Webbåtkomstskydd:
Webbprotokoll - gör det möjligt att konfigurera övervakning för de standardprotokoll som används av de flesta
webbläsare.
URL-adressbehandling - gör det möjligt att ange HTTP-adresser att blockera, tillåta eller undanta från kontroll.
Parameterinställningar för ThreatSense-motorn - de avancerade inställningarna för virusskannern gör det möjligt
att konfigurera inställningar som genomsökningsmål (e-post, arkiv osv.), detektionsmetoder för
Webbåtkomstskydd osv.
3.8.3.3.1 Webbprotokoll
Som standard är ESET Endpoint Security konfigurerat att övervaka de HTTP-protokoll som används av de flesta
webbläsare.
I Windows Vista och senare övervakas alltid HTTP-trafiken i alla portar för alla program. In Windows XP kan du ändra
Portar som används av HTTP-protokollet i Avancerade inställningar (F5) > Webb och e-post > Webbåtkomstskydd >
Webbprotokoll > Inställning av HTTP-skanner. HTTP-trafiken övervakas i de angivna portarna för alla program och i
alla portar för program märkta som Webbläsare och e-postklienter.
ESET Endpoint Security stöder även kontroll av HTTPS-protokoll. HTTPS-kommunikation använder en krypterad kanal
för att överföra information mellan server och klient. ESET Endpoint Security kontrollerar kommunikationen med
SSL-protokoll (Secure Socket Layer) och TLS-protokoll (Transport Layer Security). Programmet genomsöker endast
trafik i portar som angetts i Portar som används av HTTPS-protokollet, oavsett operativsystem.
Krypterad kommunikation genomsöks inte när standardinställningarna används. Om du vill aktivera genomsökning
av krypterad kommunikation går du till SSL i Avancerade inställningar, klickar på Webb och e-post > SSL och väljer
Aktivera filtrering av SSL-protokoll.
3.8.3.3.2 URL-adressbehandling
Avsnittet URL-adressbehandling gör det möjligt att ange HTTP-adresser att blockera, tillåta eller undanta från
kontroll.
Webbplatser i Lista över blockerade adresser är inte åtkomliga såvida de inte också finns i Lista över tillåtna
adresser. Webbplatser i Lista över adresser undantagna från kontroll genomsöks inte efter skadlig kod när de
besöks.
Aktivera SSL-protokollfiltrering måste vara valt om du vill filtrera HTTP-adresser utöver HTTP-webbsidor. Annars
läggs endast domänerna för besökta HTTPS-platser till – inte hela URL-adressen.
I alla listor går det att använda symbolerna * (asterisk) och ? (frågetecken). Asterisken motsvarar alla siffror eller
tecken, medan frågetecknet motsvarar alla tecken. Du bör vara mycket försiktig när du anger undantagna adresser,
eftersom den listan endast bör innehålla betrodda och säkra adresser. På samma sätt är det nödvändigt att
kontrollera att symbolerna * och ? används på ett korrekt sätt i den listan. Se Lägg till HTTP-adress / domänmask för
information om hur en domän inklusive alla underdomäner kan matchas säkert. Aktivera en lista genom att välja
alternativet Visa aktiva. Vill du ha ett meddelande när du anger en adress från den aktuella listan aktiverar du
Meddela vid tillämpning.
Om du vill blockera alla HTTP-adresser utom adresserna i aktiv Lista över tillåtna adresser lägger du till * till aktiv
Lista över blockerade adresser.
83
Lägg till - Skapar en ny lista utöver de fördefinierade. Det kan vara användbart om du vill dela olika adressgrupper
logiskt. Till exempel kan en lista över blockerade adresser innehålla adresser från någon extern offentlig svartlista,
och en annan kan innehålla din egen svartlista, vilket gör det enklare att uppdatera den externa listan medan din
egen hålls intakt.
Redigera - Ändrar befintliga listor. Använd det här alternativet för att lägga till eller ta bort adresser från listorna.
Ta bort - Tar bort befintlig lista. Endast möjligt för listor skapade med Lägg till, inte för standardlistorna.
3.8.3.4 Skydd mot nätfiske
Termen nätfiske (phishing) definierar en kriminell teknik där användare manipuleras att lämna ifrån sig
konfidentiell information. Nätfiske används ofta för att få tillgång till känsliga data som bankkontonummer, PINkoder och annat. Läs mer om denna aktivitet i ordlistan. ESET Endpoint Security inkluderar skydd mot nätfiske, som
blockerar webbsidor kända för att distribuera sådant.
Vi rekommenderar starkt att du aktiverar Skydd mot nätfiske i ESET Endpoint Security. För att göra det öppnar du
Avancerade inställningar (F5) och går till Webb och e-post > Skydd mot nätfiske.
Besök vår kunskapsbas för mer information om skydd mot nätfiske i ESET Endpoint Security.
Öppna en webbplats med nätfiske
När du besöker en webbplats med nätfiske visas följande dialogfönster i din webbläsare. Om du vill besöka
webbplatsen ändå klickar du på Fortsätt till webbplatsen (rekommenderas inte).
84
OBS! Potentiella nätfiskewebbplatser som har vitlistats upphör som standard efter flera timmar. Tillåt en webbplats
permanent genom att använda verktyget URL-adressbehandling. I Avancerade inställningar (F5) expanderar du
Webb och e-post > Webbåtkomstskydd > URL-adressbehandling > Adresslista och klickar på Redigera och lägger till
webbplatsen du vill redigera i listan.
Rapportera nätfiske
Länken Rapportera gör det möjligt att rapportera en webbplats med nätfiske/skadlig kod till ESET för analys.
OBS! Innan du skickar en webbplats till ESET, kontrollera att den uppfyller ett eller flera av följande villkor:
webbplatsen är inte alls identifierad,
webbplatsen är felaktigt identifierad som ett hot. I så fall kan du rapportera en nätfiskewebbplats som falskt
positiv.
Det går även att skicka webbplatsen med e-post. Skicka e-postmeddelandet till samples@eset.com. Kom ihåg att
använda en beskrivande ämnesrad och ta med så mycket information som möjligt om filen (t.ex. webbplatsen du
hänvisades dit från, hur du hörde talas om webbplatsen osv.).
3.8.4 Webbkontroll
Avsnittet Webbkontroll gör det möjligt att konfigurera inställningar som skyddar mot risk för företagsansvar.
Webbkontroll kan reglera åtkomsten till webbplatser som bryter mot upphovsrätt. Målet är att förhindra att
anställda får tillgång till sidor med olämpligt eller skadligt innehåll eller sidor som har en negativ inverkan på
arbetets produktivitet.
Webbkontroll gör det möjligt att blockera webbsidor med potentiellt stötande innehåll. Arbetsgivare och
systemadministratörer kan dessutom blockera åtkomst till mer än 27 fördefinierade webbplatskategorier och över
140 underkategorier.
Webbkontroll är som standard inaktiverat. Om du vill aktivera webbkontroll trycker du på F5 för att gå till
Avancerade inställningar och öppnar Webb och e-post > Webbkontroll. Välj Integrera med systemet för att aktivera
webbkontrollen i ESET Endpoint Security. Klicka på Redigera intill Regler för att öppna fönstret Regelredigerare för
webbkontroll.
I fälten Meddelande om blockerad webbsida och Grafik för blockerad webbsida kan du enkelt anpassa meddeladet
som visas när en webbplats blockeras.
85
TIPS: Ett meddelande om blockerad webbsida kan exempelvis lyda Webbsidan har blockerats eftersom den anses
olämplig eller innehåller skadligt innehåll. Kontakta administratören för mer information, och det går att ange en
webbadress eller nätverkssökväg med en anpassad bild, exempelvis http://test.com/test.jpg. Storleken på en
anpassad bild är automatiskt inställd på 90 x 30; bilderna kommer automatiskt att skalas till denna storlek om de inte
redan är det.
3.8.4.1 Regler
I redigeringsfönstret för Regler visas befintliga webbadress- eller kategoribaserade regler.
Listan med regler innehåller flera beskrivningar av regler, såsom namn, blockeringstyp, åtgärd att utföra efter
matchning av en webbkontrollregel och logga allvarlighet.
Klicka på Lägg till eller Redigera för att hantera en regel. Klicka på Kopiera för att skapa en ny regel med förinställda
alternativ som används av en annan vald regel. Genom att trycka på Ctrl och klicka kan du välja flera regler och ta
bort alla valda regler. Kryssrutan Aktiverad inaktiverar och aktiverar en regel. Detta kan vara användbart när du inte
vill ta bort en regel permanent om du vill använda den i framtiden.
Regler sorteras i prioriteringsordning, med högre prioriterade regler överst. Utvärdering av regler baserat på URL har
alltid högre prioritet än utvärdering baserat på kategori. Om exempelvis en regel baserad på en URL-adress befinner
sig under en regel baserad på kategori i regellistan har den URL-baserade regeln högre prioritet och utvärderas först.
86
3.8.4.1.1 Lägga till webbkontrollregler
Fönstret Webbkontrollregler gör det möjligt att manuellt skapa eller ändra en befintlig filtreringsregel för
webbkontroll.
Ange en beskrivning av regeln i fältet Namn för enklare identifiering. Kryssrutan intill Aktiverad inaktiverar eller
aktiverar regeln. Detta är praktiskt om du inte vill ta bort regeln permanent.
Åtgärdstyp
Webbadressbaserad åtgärd - För regler som styr åtkomsten till en viss webbplats anger du webbadressen i
fältet URL.
Kategoribaserad åtgärd - När detta valts anger du kategorin för åtgärden med hjälp av listrutan.
Specialtecknen * (asterisk) och ? (frågetecken) kan inte användas i webbadresslistan. När du skapar en
webbadressgrupp som innehåller en webbplats med flera toppnivådomäner (TLD:er) måste varje TLD läggas till
separat. Om du lägger till en domän i gruppen blockeras eller tillåts allt innehåll på denna domän och alla
underdomäner (t.ex. sub.examplepage.com) baserat på ditt val av URL-baserad åtgärd.
Åtkomstbehörighet
Tillåt - åtkomst till URL-adressen/kategorin är tillåten.
Varna - Varnar användaren om URL-adressen/kategorin.
Blockera - Blockerar URL-adressen/kategorin.
URL eller Använd URL-grupp - Använder URL-länken eller gruppen med länkar för att tillåta, blockera eller varna
användaren om någon av dessa URL-adresser detekteras.
Logga allvarlighet:
Alltid - All kommunikation online loggas.
Diagnostik - Loggar information som behövs för att fininställa programmet.
Informativ - Loggar alla informationsmeddelanden, inklusive framgångsrika uppdateringar och alla poster ovan.
Varning - Registrerar kritiska fel och varningsmeddelanden.
Inga - Inga loggar skapas.
Användarlista
Lägg till - Öppnar dialogrutan Välj användare eller grupper, där du kan välja önskade användare. Om ingen
användare anges tillämpas regeln för alla användare.
Ta bort - Tar bort markerad användare från filtret.
87
3.8.4.2 Kategorigrupper
Fönstret Kategorigrupper är indelat i två delar. Fönstrets högra del innehåller en lista med kategorier och
underkategorier. Välj en kategori i listan Kategori för att visa dess underkategorier.
Varje grupp innehåller barnförbjudet och/eller allmänt olämpliga underkategorier såväl som kategorier som i
allmänhet anses vara acceptabla. När du öppnar fönstret Kategorigrupper och klickar på den första gruppen kan du
lägga till eller ta bort kategorier/underkategorier i listan över lämpliga grupper (exempelvis Våld eller Vapen).
Webbsidor med olämpligt innehåll kan blockeras, eller så kan användare informeras efter att en regel med
fördefinierade åtgärder skapats.
Markera kryssrutan för att lägga till eller ta bort en underkategori i en viss grupp.
Här är några exempel på kategorier som användarna kanske inte är bekanta med:
Övrigt - Vanliga privata (lokala) IP-adresser såsom intranät, 192.168.0.0/16 osv. Visas felkoden 403 eller 404 matchar
webbplatsen även denna kategori.
Inte matchad - Denna kategori inkluderar webbsidor som inte matchar på grund av ett fel vid anslutning till
webbkontrollens databasmotor.
Utan kategori - Okända webbsidor som ännu inte finns i webbkontrollens databas.
Proxyservrar - Offentliga proxyservrar eller webbsidor som anonymiserar eller omdirigerar kan användas för att få
åtkomst till webbsidor som vanligen inte tillåts av filtret i Webbkontroll.
Fildelning - Dessa webbsidor innehåller stora mängder data såsom bilder, videor eller böcker. Det finns risk för att
dessa webbplatser innehåller potentiellt stötande eller barnförbjudet innehåll.
OBS!: En underkategori kan tillhöra vilken grupp som helst. Det finns en del underkategorier som inte inkluderats i
fördefinierade grupper (till exempel Spel). Matcha en önskad underkategori med Webbkontrollfilter genom att
lägga till den till en önskad grupp.
88
3.8.4.3 URL-grupper
Med URL-grupper kan du skapa en grupp som innefattar flera URL-länkar som du sedan kan skapa en regel för
(tillåta/inte tillåta en viss webbplats).
Om du vill skapa en ny URL-grupp klickar du på Lägg till. Välj en URL-grupp och klicka på Lägg till i fönstrets nedre
högre hörn om du vill lägga till en ny URL-adress i listan, eller klicka på Importera om du vill importera en lista med
URL-adresser (avgränsa värden med en radbrytning, exempelvis *.txt med UTF-8-kodning). Om du vill ställa in en
åtgärd som ska utföras för en viss URL-grupp öppnar du Regelredigerare för webbkontroll, väljer URL-gruppen i
listrutan, justerar övriga parametrar och klickar sedan på OK.
OBS!: Blockera eller tillåta en viss webbsida kan vara noggrannare än att blockera eller tillåta en hel kategori
webbsidor. Var försiktig när du ändrar dessa inställningar och när du lägger till en kategori/webbsida på listan.
3.8.5 Uppdatera programmet
Regelbunden uppdatering av ESET Endpoint Security är det bästa sättet att få maximal säkerhetsnivå på datorn. Med
hjälp av modulen Uppdatering hålls programmet aktuellt på två sätt: genom att virussignaturdatabasen uppdateras
och genom att systemkomponenterna uppdateras.
Genom att klicka på Uppdatering i programmets huvudfönster går det att hitta aktuell uppdateringsstatus, inklusive
datum och tid för den senaste uppdateringen och om en uppdatering behövs. Huvudfönstret innehåller även
virussignaturdatabasens version. Denna numeriska indikator är en aktiv länk till ESET:s webbplats och visar alla
signaturer som lagts till en viss uppdatering.
Dessutom är alternativet manuell start av uppdateringen, Uppdatera virussignaturdatabasen, tillgängligt. Att
uppdatera virussignaturdatabasen och programkomponenterna är avgörande för att få ett heltäckande skydd mot
skadlig kod. Var noggrann vad gäller inställning och genomförande av uppdateringarna. Om du inte angav
licensuppgifterna under installationen går det att ange licensnyckeln genom att klicka på Aktivera produkt under
uppdateringen för att få åtkomst till ESET:s uppdateringsservrar.
Om ESET Endpoint Security aktiveras med en offlinelicensfil utan användarnamn och lösenord, och du försöker att
uppdatera, så indikerar den röda informationen Uppdatering av virussignaturdatabas slutade med ett fel att
uppdateringar endast kan hämtas från speglingen.
OBS!: Licensnyckeln tillhandahålls av ESET efter köpet av ESET Endpoint Security.
89
Senaste uppdatering - datum för den senaste uppdateringen. Säkerställ att det refererar till ett aktuellt datum,
vilket betyder att virussignaturdatabasen är uppdaterad.
Virussignaturdatabasens version - virussignaturdatabasens nummer som även är en aktiv länk till ESET:s webbplats.
Klicka på den för att visa en lista med alla signaturer som har lagts till i den uppdateringen.
90
Uppdateringsprocessen
När du har klickat på Uppdatera virussignaturdatabasen startas hämtningsprocessen. En förloppsindikator och den
kvarvarande hämtningstiden visas. Klicka på Avbryt om du vill avbryta uppdateringen.
Viktigt: I normala fall visas meddelandet Ingen uppdatering nödvändig - virussignaturdatabasen är aktuell i fönstret
Uppdatering om uppdateringar hämtas normalt. Om så inte är fallet är programmet inaktuellt och mer sårbar för
infektion. Uppdatera virussignaturdatabasen så snart som möjligt. I annat fall visas ett av följande fel:
Virussignaturdatabasen är inaktuell - detta fel visas efter flera misslyckade försök att uppdatera
virussignaturdatabasen. Vi rekommenderar att kontrollera uppdateringsinställningarna. Den vanligaste orsaken till
detta fel är felaktigt angivna autentiseringsdata eller felaktigt konfigurerade anslutningsinställningar.
91
Föregående meddelande avser följande två meddelanden (Det gick inte att uppdatera virussignaturdatabasen) om
misslyckade uppdateringar:
1. Ogiltig licens - Licensnyckeln har angetts felaktigt i uppdateringskonfigurationen. Vi rekommenderar att du
kontrollerar dina autentiseringsuppgifter. Fönstret Avancerade inställningar (klicka på Inställningar på
huvudmenyn och klicka sedan på Avancerade inställningar eller tryck på F5 på tangentbordet) innehåller
ytterligare uppdateringsalternativ. Klicka på Hjälp och support > Hantera licens på huvudmenyn för att ange en ny
licensnyckel.
92
2. Ett fel uppstod när uppdateringsfiler skulle hämtas - en möjlig orsak till felet är felaktiga inställningar för
Internetanslutningen. Vi rekommenderar att du kontrollerar Internetanslutningen genom att öppna en helt
annan webbsida i webbläsaren. Om webbplatsen inte öppnar är det troligt att en Internetanslutning inte
upprättats eller att din dator har anslutningsproblem. Kontrollera med din Internetleverantör om du har en aktiv
Internetanslutning.
OBS! Läs mer i den här artikeln i ESET kunskapsbas.
3.8.5.1 Inställning av uppdateringar
Inställningsalternativen för uppdatering är tillgängliga i trädet Avancerade inställningar (F5) under Uppdatera >
Grundläggande. Detta avsnittet anger information om uppdateringskällan, t.ex. uppdateringsservrar och deras
autentiseringsuppgifter.
Allmänt
Den uppdateringsprofil som används för närvarande visas i listrutan Vald profil. Skapa en ny profil genom att klicka
på Redigera intill Lista över profiler, ange ett eget Profilnamn och klicka sedan på Lägg till.
Om det uppstår problem vid hämtning av uppdateringar av virussignaturdatabasen klickar du på Rensa för att ta bort
temporära uppdateringsfiler/cache.
Varningar om inaktuell virussignaturdatabas
Ange maximal databasålder automatiskt - Gör det möjligt att ställa in den maximala tiden (i dagar) varefter
virussignaturdatabasen rapporteras som inaktuell. Standardvärdet är 7.
Återställning
Misstänker du att en ny uppdatering av virusdatabasen och/eller programmodulerna är instabila eller skadade, går
det att återställa till den föregående versionen och inaktivera uppdateringar under en viss tidsperiod. Det går även
att aktivera tidigare inaktiverade uppdateringar och du sköt upp dem på obestämd tid.
ESET Endpoint Security tar avbildningar av virussignaturdatabasen och programmodulerna för användning med
93
återställningsfunktionen. Skapa avbildningar av virusdatabasen genom att låta Skapa avbildningar av
uppdateringsfiler vara aktiverat. Fältet Antal lokalt lagrade avbildningar anger antalet tidigare lagrade avbildningar
av virusdatabasen.
Klickar du på Återställ (Avancerade inställningar (F5) > Uppdatera > Allmänt), måste du välja ett tidsintervall i
rullgardinsmenyn som representerar en tidsperiod under vilken uppdateringen av virussignaturdatabasen och
moduluppdateringarna pausas.
Det är mycket viktigt att du fyller i alla uppdateringsparametrar korrekt för att uppdateringarna ska hämtas korrekt.
Om du använder en brandvägg, kontrollera att ESET-programmet kan kommunicera med Internet (t.ex. HTTPkommunikation).
Grundläggande
Som standard är Uppdateringstypen inställd på Vanlig uppdatering för att säkerställa att uppdateringsfiler hämtas
automatiskt från ESET-servern med minst nätverkstrafik. Testlägesuppdateringar (alternativet Testläge) är
uppdateringar som har genomgått grundlig intern testning och snart är allmänt tillgängliga. Du kan dra fördel av att
ha tillgång till de senaste identifieringsmetoderna och korrigeringarna genom att aktivera testläge. Testläget är inte
alltid stabilt och FÅR INTE användas på produktionsservrar och arbetsstationer där maximal åtkomst och stabilitet
krävs. Fördröjd uppdatering gör att du kan uppdatera från särskilda uppdateringsservrar som tillhandahåller nya
versioner av virusdatabaser med en fördröjning på minst X timmar (dvs. databaser testade i en verklig miljö och
därför ansedda som stabila).
Inaktivera meddelande om slutförd uppdatering - stänger av systemmeddelanden som visas i nedre högra hörnet på
skärmen. Det kan vara bra att använda det här alternativet om du använder ett fullskärmsprogram eller ett spel.
Observera att presentationsläget stänger av alla meddelanden.
Menyn Uppdateringsserver är som standard inställd till AUTOSELECT. Uppdateringsservrar är platsen där
uppdateringar lagras. Om en ESET-server används bör standardalternativet användas.
När du använder en lokal HTTP-server, även känd som spegel, bör uppdateringsservern vara inställd så här:
http://datornamn_eller_dess_IP-adress:2221
94
När du använder en lokal HTTP-server med SSL ska uppdateringsservern vara inställd så här:
https://datornamn_eller_dess_IP-adress:2221
När du använder en lokal delad mapp ska uppdateringsservern vara inställd så här:
\\datorns_namn_eller_dess_IP-adress\delad_mapp
Uppdaterar från spegel
Autentisering för uppdateringsservrar baseras på den Licensnyckel som skapades och skickades till dig efter köpet.
När en lokal speglingsserver används kan du definiera inloggningsuppgifter för klienter så att de kan logga in på
speglingsservern innan de får uppdateringar. Som standard krävs ingen verifiering och fälten Användarnamn och
Lösenord är tomma.
3.8.5.1.1 Uppdateringsprofiler
Uppdateringsprofiler skapas för olika uppdateringskonfigurationer och -aktiviteter. Att skapa uppdateringsprofiler
är särskilt användbart för mobila användare som behöver skapa en alternativ profil för anslutningsegenskaper till
internet som regelbundet ändras.
Rullgardinsmenyn Vald profil visar den aktuella profilen och är inställd på Min profil som standard. Skapa en ny
profil genom att klicka på Redigera intill Lista över profiler, ange ett eget Profilnamn och klicka sedan på Lägg till.
3.8.5.1.2 Ångra uppdatering
Klickar du på Återställ (Avancerade inställningar (F5) > Uppdatera > Profil), måste du välja ett tidsintervall i
rullgardinsmenyn som representerar en tidsperiod under vilken uppdateringen av virussignaturdatabasen och
moduluppdateringarna pausas.
Markera Tills återkallad för att skjuta upp regelbundna uppdateringar på obestämd tid till du återställer
uppdateringsfunktionen manuellt. Vi rekommenderar inte detta alternativ eftersom det är en potentiell
säkerhetsrisk.
Virussignaturdatabasens version nedgraderas till den äldsta tillgängliga och lagras som en avbildning i den lokala
datorns filsystem.
Exempel: Anta att nummer 10646 är den virussignaturdatabasens senaste version. 10645 och 10643 lagras som
virussignaturdatabasavbildningar. Observera att till exempel 10644 inte är tillgänglig eftersom datorn stängdes av
och en senare uppdatering gjordes tillgänglig innan 10644 hämtades. Om fältet Antal lokalt lagrade avbildningar är
inställt på 2 och du klickar på Återställ, återställs virussignaturdatabasen (inklusive programmoduler) till
versionsnummer 10643. Detta kan ta en stund. Kontrollera om virussignaturdatabasens version har nedgraderats i
avsnittet Uppdatera i huvudfönstret för ESET Endpoint Security.
95
3.8.5.1.3 Uppdateringsläge
Fliken Uppdateringsläge innehåller alternativ för programkomponentuppdateringen. Det går att ange hur
programmet reagerar när en ny uppgradering av en programkomponent finns tillgänglig.
Genom uppgraderingen av programkomponenter tillkommer nya funktioner eller ändringar i funktioner som fanns
redan i tidigare versioner. Den kan utföras automatiskt utan att du behöver göra något, eller så kan du välja att få ett
meddelande. När en programkomponentuppdatering har installerats kan du behöva starta om datorn. I avsnittet
Uppdatering av programkomponenter visas tre alternativ:
Fråga innan programkomponenter hämtas - standardalternativet. Du ombeds att bekräfta eller avvisa uppdatering
av programkomponenter när de är tillgängliga.
Uppdatera alltid programkomponenter - En uppdatering av programkomponenter hämtas och installeras
automatiskt. Kom ihåg att en omstart av datorn kan bli nödvändig.
Uppdatera aldrig programkomponenter - Uppdatering av programkomponenter utförs inte. Det här alternativet är
lämpligt för serverinstallationer, eftersom servrar vanligtvis bara kan startas om vid underhåll.
OBS! Val av det lämpligaste alternativet beror på arbetsstationen där inställningarna tillämpas. Lägg märke till att
det finns skillnader mellan arbetsstationer och servrar. Om du startar om servern automatiskt efter en
programuppgradering kan du orsaka allvarliga skador.
Om alternativet Fråga innan uppdatering hämtas är aktivt visas ett meddelande när en ny uppdatering är tillgänglig.
Om uppdateringsfilens storlek är större än angivet i Fråga om en uppdateringsfil är större än (kB) visas ett
meddelande.
3.8.5.1.4 HTTP-proxy
Öppna proxyserverns inställningsalternativ för en given uppdateringsprofil genom att klicka på Uppdatera i trädet
Avancerade inställningar (F5) och klicka sedan på HTTP-proxy. Klicka på listrutan Proxyläge och välj ett följande tre
alternativ:
Använd inte proxyserver
Anslutning via en proxyserver
Använd globala inställningar för proxyserver
Välj alternativet Använd globala inställningar för proxyserver för att använda proxyserverns konfigurationsalternativ
som redan angivits på grenen Verktyg > Proxyserver i trädet Avancerade inställningar.
Välj Använd inte proxyserver för att ange att ingen proxyserver ska användas för att uppdatera ESET Endpoint
Security.
Alternativet Anslutning via en proxyserver ska väljas om:
En annan proxyserver ska användas för att uppdatera ESET Endpoint Security än den proxyserver som anges i de
globala inställningarna (Verktyg > Proxyserver). I så fall måste inställningarna anges här: Proxyserveradress, Port
(3128 som standard), plus Användarnamn och Lösenord till proxyserver om detta krävs.
Proxyserverns inställningar ställdes inte in globalt, utan ESET Endpoint Security ansluter till en proxyserver för
uppdateringar.
Datorn är ansluten till Internet via en proxyserver. Inställningarna tas från Internet Explorer under
programinstallationen, men om de ändras senare (till exempel om du ändrar din leverantör), kontrollera att HTTPproxyinställningarna som visas i det här fönstret är korrekta. Annars kan inte programmet ansluta till
uppdateringsservern.
Standardalternativet för proxyservern är Använd globala inställningar för proxyserver.
OBS! Autentiseringsuppgifter som Användarnamn och Lösenord är avsedda för åtkomst till proxyservern. Fyll endast
i dessa fält om användarnamn och lösenord krävs. Observera att du inte ska ange användarnamn/lösenord för ESET
Endpoint Security i dessa fält. De ska dessutom bara fyllas i om du vet att du behöver ett lösenord för att få åtkomst
till internet via en proxyserver.
96
3.8.5.1.5 Anslut till LAN som
Vid uppdatering från en lokal server med en version av Windows NT-operativsystemet krävs som standard
autentisering för varje nätverksanslutning.
Om du vill konfigurera ett sådant konto väljer du i listrutan Lokal användartyp:
Systemkonto (standard),
Aktuell användare,
Angiven användare.
Markera alternativet Systemkonto (standard) så att systemkontot används för autentisering. I vanliga fall utförs
ingen autentisering om autentiseringsuppgifter inte har angetts i uppdateringsinställningarnas huvudavsnitt.
Kontrollera att programmet autentiserar sig med det aktuella användarkontot genom att välja Aktuell användare.
Denna lösning innebär att programmet inte kan ansluta till uppdateringsservern om ingen användare är inloggad.
Välj Angiven användare om du vill att programmet ska använda ett visst användarkonto för autentisering. Använd
den här metoden när standardanslutningen till systemkonto misslyckas. Tänk på att det angivna användarkontot
måste ha åtkomst till katalogen med uppdateringsfiler på den lokala servern. Annars kan inte programmet upprätta
en anslutning och hämta uppdateringar.
Varning: När alternativet Aktuell användare eller Angiven användare har markerats kan ett fel uppstå om
programidentiteten ändras till önskad användare. Därför rekommenderar vi att uppgifterna om LAN-autentisering
förs in i uppdateringsinställningarnas huvudavsnitt. I avsnittet för uppdateringsinställningar anges
autentiseringsuppgifterna på följande sätt: domän_namn\användare (om det är en arbetsgrupp, ange
arbetsgrupp_namn\namn) och användarens lösenord. Då krävs ingen autentisering vid uppdatering från HTTPversionen av den lokala servern.
Välj Koppla från servern efter uppdatering för att tvinga fram en frånkoppling om anslutningen till servern förblir
aktiv när uppdateringarna har hämtats.
3.8.5.1.6 Spegling
Med ESET Endpoint Security går det att skapa kopior av uppdateringsfiler, som kan användas för att uppdatera andra
arbetsstationer i nätverket. Användning av en "spegling" - en kopia av uppdateringsfilerna i LAN-miljön är praktiskt
eftersom uppdateringsfilerna inte behöver hämtas från leverantörens uppdateringsserver flera gånger och av varje
arbetsstation. Uppdateringarna hämtas centralt till den lokala speglingsservern och distribueras sedan till alla
arbetsstationer och undviker därmed risken för överbelastning av nätverkstrafiken. Genom att uppdatera
klientarbetsstationer från en spegling kan man optimera nätverksbelastningen och spara Internetbandbredd.
Konfigurationsalternativen för den lokala speglingsservern finns i Avancerade inställningar under Uppdatering. För
att komma åt avsnittet trycker du på F5 för att öppna Avancerade inställningar, klickar på Uppdatering och väljer
fliken Spegling.
97
Om du vill skapa en spegling på en klientarbetsstation aktiverar du Skapa spegling av uppdateringar. När
alternativet väljs, aktiveras andra speglingsalternativ, som t.ex. åtkomst till uppdateringsfiler och sökvägen till de
speglade filerna.
Åtkomst till uppdateringsfiler
Tillhandahåll uppdateringsfiler via intern HTTP-server - om det här alternativet är aktiverat kan du få åtkomst till
uppdateringsfilerna via HTTP, inga inloggningsuppgifter krävs.
OBS! För Windows XP krävs Service Pack 2 eller senare för att använda HTTP-servern.
Metoderna för att komma åt speglingsservern beskrivs utförligt i Uppdatera från speglingen. Det finns två
grundläggande metoder för att komma åt speglingen - mappen med uppdateringsfiler kan visas som en delad
nätverksmapp eller så kan klienter komma åt speglingen på en HTTP-server.
Du anger i vilken mapp uppdateringsfilerna för speglingen ska sparas i Mapp där speglade filer lagras. Klicka på
Mapp och bläddra till en mapp på den lokala datorn eller till en delad nätverksmapp. Om det krävs autentisering för
mappen måste du ange autentiseringsuppgifter i fälten Användarnamn och Lösenord. Om den valda målmappen
finns på en nätverksdisk som kör operativsystemet Windows NT/2000/XP måste det användarnamn och lösenord
som anges ha skrivbehörighet till den valda mappen. Användarnamn och lösenord ska anges i formatet Domän/
Användare eller Arbetsgrupp/Användare. Kom ihåg att ange motsvarande lösenord.
Filer - När speglingen konfigureras kan du ange språkversionerna för uppdateringar du vill hämta. Det måste finnas
stöd för de valda språken i den speglingsserver som konfigurerats av användaren.
HTTP-server
Serverport - Som standard är serverporten inställd till 2221.
Autentisering - Definierar autentiseringsmetoden för åtkomst till uppdateringsfilerna. Följande alternativ finns
tillgängliga: None, Basic och NTLM. Välj Basic för att använda base64-kodning med grundläggande autentisering av
användarnamn och lösenord. Med alternativet NTLM tillämpas en säker kodningsmetod. Användaren som skapats
för arbetsstationen där uppdateringsfilerna lagras används för autentisering. Standardinställningen är None, vilket
innebär att det inte krävs någon autentisering för att få tillgång till uppdateringsfilerna.
98
Lägg till din Certifikatkedjefil eller skapa ett självsignerat certifikat om du vill köra HTTP-servern med stöd för HTTPS
(SSL). Följande certifikattyper finns tillgängliga: ASN, PEM och PFX. För ytterligare säkerhet kan du använda HTTPSprotokollet för att hämta uppdateringsfiler. Det är nästan omöjligt att spåra dataöverföringar och
inloggningsinformation med detta protokoll. Alternativet Privat nyckeltyp är som standard inställt på Integrerad
(och därför är alternativet Privat nyckeltyp inaktiverat som standard), vilket innebär att den privata nyckeln är en del
av den valda certifikatkedjefilen.
Anslut till LAN som
Lokal användartyp - Inställningarna Systemkonto (standard), Aktuell användare och Angiven användare visas i
motsvarande listrutor. Inställningarna Användarnamn och Lösenord är valfria. Se Anslut till LAN som.
Välj Koppla från servern efter uppdatering för att tvinga fram en frånkoppling om anslutningen till servern förblir
aktiv när uppdateringarna har hämtats.
Uppdatera programkomponenter
Uppdatera komponenter automatiskt - Används för installation av nya funktioner och uppdateringar av befintliga
funktioner. En uppdatering kan utföras automatiskt utan att du behöver göra något, eller så kan du välja att få ett
meddelande. När en programkomponentuppdatering har installerats kan du behöva starta om datorn.
Uppdatera komponenter nu - Uppdaterar programkomponenterna till den senaste versionen.
99
3.8.5.1.6.1 Uppdatera från speglingen
Det finns två grundläggande metoder för att konfigurera en spegling, som i grund och botten är en databas klienter
kan hämta uppdateringsfiler från. Mappen med uppdateringsfiler går att visa som en delad nätverksmapp eller som
en HTTP-server.
Åtkomst till speglingen via en intern HTTP-server
Denna konfiguration är standard och anges i den fördefinierade programkonfigurationen. För att tillåta åtkomst till
speglingen med HTTP-servern öppnar du Avancerade inställningar > Uppdatering > Spegling och väljer Skapa
spegling av uppdateringar.
I avsnittet HTTP-server på fliken Spegling går det att ange den Serverport där HTTP-servern lyssnar och vilken typ av
Autentisering som används av HTTP-servern. Som standard är serverporten inställd på 2221. Alternativet
Autentisering definierar autentiseringsmetoden för åtkomst till uppdateringsfilerna. Följande alternativ finns
tillgängliga: None, Basic och NTLM. Välj Basic för att använda base64-kodning med grundläggande autentisering av
användarnamn och lösenord. Med alternativet NTLM tillämpas en säker kodningsmetod. Användaren som skapats
för arbetsstationen där uppdateringsfilerna lagras används för autentisering. Standardinställningen är None, vilket
innebär att det inte krävs någon autentisering för att få tillgång till uppdateringsfilerna.
Varning: Vill du att uppdateringsfilerna ska vara tillgängliga via HTTP-servern måste speglingsmappen finnas på
samma dator som den instans av ESET Endpoint Security som skapade mappen.
SSL för HTTP-server
Lägg till din Certifikatkedjefil eller skapa ett självsignerat certifikat om du vill köra HTTP-servern med stöd för HTTPS
(SSL). Följande certifikattyper finns tillgängliga: PEM, PFX och ASN. För ytterligare säkerhet kan du använda HTTPSprotokollet för att hämta uppdateringsfiler. Det är nästan omöjligt att spåra dataöverföringar och
inloggningsinformation med detta protokoll. Privat nyckeltyp är som standard inställt till Integrerad, vilket innebär
att den privata nyckeln är en del av den valda certifikatkedjefilen.
OBS!: Felet Användarnamnet och/eller lösenordet är ogiltigt visas i uppdateringsfönstret från huvudmenyn efter
flera misslyckade försök att uppdatera virussignaturdatabasen från speglingen. Vi rekommenderar att du navigerar
till Avancerade inställningar > Updatering > Spegling och kontrollerar användarnamnet och lösenordet. Den
vanligaste orsaken till att problemet uppstår är att fel autentiseringsuppgifter angetts.
100
När speglingsservern konfigurerats måste du lägga till den nya uppdateringsservern i klientarbetsstationerna. Följ
stegen nedan:
Öppna Avancerade inställningar (F5) och klicka på Uppdatering > Grundläggande.
Inaktivera Välj automatiskt och lägg till en ny server i fältet Uppdateringsserver med något av följande format:
http://IP_adress_till_din_server:2221
https://IP_adress_till_din_server:2221 (om SSL används)
Åtkomst till speglingen via systemdelningar
Först måste en delad mapp skapas på en lokal enhet eller nätverksenhet. Användaren som sparar filer i mappen
måste tilldelas skrivbehörighet till speglingsmappen och användarna som använder mappen till att uppdatera ESET
Endpoint Security måste tilldelas läsbehörighet till den.
Konfigurera sedan åtkomst till speglingen i avsnittet Avancerade inställningar > Uppdatering> fliken Spegling
genom att inaktivera Tillhandahåll uppdateringsfiler via intern HTTP-server. Alternativet är markerat som standard i
programmets installationspaket.
Om den delade mappen finns på en annan dator i nätverket måste du ange autentisering för åtkomst till den andra
datorn. Ange autentiseringsuppgifter genom att öppna ESET Endpoint Security Avancerade inställningar (F5) och
klicka på Uppdatering > Anslut till LAN som. Inställningen är densamma som för uppdatering, beskrivet i
avsnittetAnsluta till LAN som.
När speglingen har konfigurerats ska du ange \\UNC\SÖKVÄG som uppdateringsserver på arbetsstationerna enligt
stegen nedan:
1. Öppna Avancerade inställningar för ESET Endpoint Security och klicka på Uppdatering > Grundläggande.
2. Klicka på fältet Uppdateringsserver och lägg till en ny server i formatet \\UNC\SÖKVÄG.
OBS!: Sökvägen till mappen med speglingen måste anges som en UNC-sökväg för att fungera. Uppdateringar från
mappade enheter fungerar kanske inte.
Det sista avsnittet styr programkomponenter (PCU). Som standard förbereds kopiering av de hämtade
101
programkomponenterna till den lokala speglingen. Om Uppdatera programkomponenter aktiveras är det inte
nödvändigt att klicka på Uppdatera eftersom filerna automatiskt kopieras till den lokala speglingen när de är
tillgängliga. Se Uppdateringsläge för mer information om uppdatering av programkomponenter.
3.8.5.1.6.2 Felsöka problem med uppdatering via spegling
Vanligen orsakas problem med en uppdatering från en spegling av något av följande: felaktig inställning av
alternativen för speglingsmappen, felaktiga autentiseringsuppgifter för speglingsmappen, felaktig inställning på
lokala arbetsstationer som försöker hämta uppdateringsfiler från speglingen eller en kombination av orsakerna
ovan. Nedan följer en översikt över de vanligaste problemen som kan inträffa vid en uppdatering från speglingen:
ESET Endpoint Security rapporterar om ett fel vid anslutningen till speglingsservern - troligen orsakad av felaktig
inställning av uppdateringsservern (nätverkssökvägen till speglingsmappen) varifrån lokala arbetsstationer hämtar
uppdateringar. Verifiera mappen genom att klicka på Windows Start-meny, klicka på Kör, ange mappnamnet och
klicka på OK. Mappinnehållet visas.
ESET Endpoint Security kräver användarnamn och lösenord - troligen orsakat av felaktiga autentiseringsuppgifter
(användarnamn och lösenord) i uppdateringsavsnittet. Användarnamnet och lösenordet ger åtkomst till
uppdateringsservern som programmet utnyttjar för uppdateringar. Kontrollera att autentiseringsuppgifterna är
korrekta och i rätt format. Till exempel Domän/användarnamn eller Arbetsgrupp/användarnamn plus motsvarande
lösenord. Att speglingsservern är tillgänglig för Alla innebär inte att alla användare har åtkomst till den. Alla
omfattar alla domänanvändare, men inte obehöriga användare. Även om mappen är tillgänglig för Alla måste du
ange ett användarnamn och lösenord för domänen i avsnittet för uppdateringsinställningar.
ESET Endpoint Security rapporterar om fel vid anslutningen till speglingsservern - kommunikationen på porten som
definierats för åtkomst till HTTP-versionen av speglingen har blockerats.
3.8.5.2 Skapa uppdateringsaktiviteter
Uppdateringar utlöses manuellt genom att klicka på Uppdatera virussignaturdatabasen i fönstret som öppnas när du
klickat på Uppdatera på huvudmenyn.
Det går även att köra uppdateringar som schemalagda aktiviteter. Konfigurera en schemalagd aktivitet genom att
klicka på Verktyg > Schemaläggaren. Som standard är följande aktiviteter aktiverade i ESET Endpoint Security:
Vanlig automatisk uppdatering
Automatisk uppdatering efter modemuppkoppling
Automatisk uppdatering efter inloggning
Varje uppdateringsaktivitet går att ändra för att uppfylla dina behov. Förutom standardaktiviteterna går det även att
skapa nya uppdateringsaktiviteter med en användardefinierad konfiguration. Mer information om att skapa och
konfigurera uppdateringsaktiviteter finns i Schemaläggaren.
102
3.8.6 Verktyg
I menyn Verktyg finns moduler som förenklar programadministration och innehåller ytterligare alternativ för
avancerade användare.
Denna meny innefattar följande verktyg:
Loggfiler
Skyddsstatistik
Se aktivitet
Processer som körs (om ESET Live Grid aktiverats i ESET Endpoint Security)
Schemaläggare
Karantän
Nätverksanslutningar (om är aktiverad i ESET Endpoint Security)
ESET SysInspector
Skicka in prov för analys – gör det möjligt att skicka in en misstänkt fil till ESET:s forskningslabb för analys.
Dialogrutan som visas när det här alternativet väljs beskrivs i avsnittet Sändning av prover till analys.
ESET SysRescue - Omdirigerar dig till ESET SysRescue Live-sidan där du kan hämta ESET SysRescue Live Image eller
Live CD/USB Creator för Microsoft Windows-operativsystem.
103
3.8.6.1 Loggfiler
Loggfiler innehåller information om viktiga programhändelser som har inträffat och ger en översikt över upptäckta
hot. Loggar utgör ett viktigt verktyg vid systemanalys, detektering av hot och vid felsökning. Loggning sker aktivt i
bakgrunden utan att användaren behöver göra något. Informationen som sparas baseras på loggens aktuella
utförlighetsinställningar. Det går att visa textmeddelanden och loggar direkt i ESET Endpoint Security-miljön. Det går
även att arkivera loggfiler.
Loggfilerna finns tillgängliga från huvudmenyn genom att klicka på Verktyg > Loggfiler. Välj önskad loggtyp i
rullgardinsmenyn Logg. Följande loggar finns tillgängliga:
Upptäckta hot - i hotloggen sparas detaljerad information om de infiltreringar som upptäckts av ESET Endpoint
Security-modulerna. Bland informationen finns tiden för upptäckt, infiltreringens namn, plats, utförd åtgärd och
namnet på den användare som var inloggad vid den tidpunkt då infiltreringen upptäcktes. Dubbelklicka på
loggposten för att visa detaljerna i ett separat fönster.
Händelser - alla viktiga åtgärder som utförs av ESET Endpoint Security sparas i händelseloggen. I händelseloggen
finns information om händelser och fel som uppstått i programmet. Det är utformat för att hjälpa
systemadministratörer och användare lösa problem. Informationen i loggfiler hjälper ofta till att hitta en lösning
på ett problem i programmet.
Genomsökning av datorn - Alla genomsökningsresultat visas i det här fönstret. Varje rad motsvarar en enskild
kontrollåtgärd. Dubbelklicka på en post för att visa information om respektive genomsökning av datorn.
HIPS - innehåller poster för vissa regler som markerades för registrering. Protokollet visar programmet som
anropade åtgärden, resultatet (om regeln tilläts eller var förbjuden) och den skapade regelns namn.
Personlig brandvägg - brandväggsloggen visar alla fjärrattacker som upptäckts av den personliga brandväggen. Här
finns information om alla attacker mot datorn. Kolumnen Händelse visar det identifierade attackerna. Kolumnen
Källa berättar mer om angriparen. Kolumnen Protokoll avslöjar attackens kommunikationsprotokoll. Analys av
brandväggsloggen kan hjälpa till att identifiera systeminfiltrationsförsök i tid för att förhindra obehörig åtkomst
till systemet. För mer information om särskilda nätverksattacker, se IDS och avancerade alternativ.
Filtrerade webbplatser - Denna lista är praktisk om du vill visa en lista med alla webbplatser som blockerades av
Webbåtkomstskydd eller Webbkontroll. I dessa loggar visas tid, webbadress, användare och program som
öppnade en anslutning till en viss webbplats.
Spamskydd - innehåller poster relaterade till e-postmeddelanden märkta som spam.
Webbkontroll - visar blockerade eller tillåtna URL-adresser och detaljer om hur de kategoriserats. Kolumnen
Utförd åtgärd visar hur filtreringsreglerna tillämpades.
Enhetskontroll – innehåller poster med flyttbara medier eller enheter som anslutits till datorn. Endast enheter
med en enhetskontrollregel registreras i loggfilen. Om regeln inte motsvarar en ansluten enhet skapas inte en
loggpost för en ansluten enhet. Här går det även att visa information såsom enhetstyp, serienummer,
leverantörsnamn och mediastorlek (om tillgängligt).
Den visade informationen i varje avsnitt går att kopiera till Urklipp (tangentbordsgenväg Ctrl + C) genom att välja
posten och klicka på Kopiera. Välj flera poster med tangenterna Ctrl och Shift.
Klicka på
104
Filtrering för att öppna fönstret Loggfiltrering där filtreringskriterierna kan anges.
Visa en kontextmeny genom att högerklicka på en post. Följande alternativ är tillgängliga i kontextmenyn:
Visa - Visar mer utförlig information om den valda loggen i ett nytt fönster.
Filtrera samma poster - aktivera detta filter för att endast visa poster av samma typ (diagnostik, varningar...).
Filter.../Sök... - När du klickar på det här alternativet kan du ange filtreringskriterier för specifika loggposter i
fönstret Sök i logg.
Aktivera filter - Aktiverar filterinställningarna.
Inaktivera filter - rensar alla inställningar i filtret (enligt beskrivning ovan).
Kopiera/Kopiera alla - kopierar information om alla posterna i fönstret.
Ta bort/Ta bort alla - tar bort vald(a) post(er) eller alla visade poster - denna åtgärd kräver
administratörsbehörighet.
Exportera... - Exporterar information om posterna i XML-format.
Exportera alla... - Exportera information om posterna i XML-format.
Bläddra i loggen - låt alternativet vara aktiverat för att bläddra automatiskt och visa aktiva loggar i fönstret
Loggfiler.
3.8.6.1.1 Sök i logg
I loggfilerna lagras information om viktiga systemhändelser. Funktionen för loggfiltrering gör det möjligt att visa
poster om en viss typ av händelse.
Ange sökordet i fältet Sök text. Om du vill söka efter nyckelordet i vissa kolumner, ändra filtret i rullgardinsmenyn
Sök i kolumner.
Posttyper - välj en eller flera posttyper i rullgardinsmenyn:
Diagnostik - loggar information som behövs för att fininställa programmet och alla poster ovan.
Informativ - Loggar alla informationsmeddelanden, inklusive framgångsrika uppdateringar och alla poster ovan.
Varningar - Registrerar kritiska fel och varningsmeddelanden.
Fel - Fel som "Fel när filen hämtades" och kritiska fel registreras.
Kritiska - Loggar endast kritiska fel (fel vid start av antivirusskyddet, den inbyggda brandväggen, osv.).
Tidsperiod - definiera tidsperioden för vilken du vill visa resultat.
Matcha endast hela ord - välj denna kryssruta om du vill söka efter vissa hela ord för mer exakta resultat.
Skiftlägeskänslig - aktivera detta alternativ om det är viktigt att använda stora eller små bokstäver i filtret.
Sök uppåt - Sökresultat som förekommer högre i dokumentet visas först.
3.8.6.2 Inställning av proxyserver
I stora LAN-nätverk kan kommunikationen mellan datorn och Internet gå via en proxyserver. När den här
konfigurationen används behöver följande inställningar göras. Annars går det inte att uppdatera programmet
automatiskt. Inställningar för proxyserver i ESET Endpoint Security är tillgängliga i två olika avsnitt i trädet
Avancerade inställningar.
Först går det att konfigurera inställningarna för proxyserver i Avancerade inställningar under Verktyg > Proxyserver.
Anges proxyservern på denna nivå definieras de globala proxyserverinställningarna för hela ESET Endpoint Security.
Dessa parametrar används av alla moduler som kräver anslutning till Internet.
Ange proxyserverinställningarna för denna nivå genom att välja Använd proxyserver och ange adressen till
proxyservern i fältet Proxyserver tillsammans med proxyserverns portnummer.
Om kommunikationen med proxyservern kräver autentisering, välj Proxyservern kräver autentisering och ange ett
giltigt Användarnamn och Lösenord i respektive fält. Klicka på Identifiera för att automatiskt identifiera och fylla i
inställningarna för proxyservern. Det inställda parametrarna i Internet Explorer kopieras.
OBS! Användarnamnet och lösenordet måste fyllas i manuellt i Proxyserver-inställningarna.
Proxyserverns inställningar går även att ställa in i Avancerade uppdateringsinställningar (Avancerade inställningar >
Uppdatera > HTTP-proxy genom att välja Anslutning via en proxyserver i listrutan Proxyläge). Dessa inställningar
gäller den aktuella uppdateringsprofilen och rekommenderas för bärbara datorer, som ofta tar emot uppdateringar
105
av virussignaturer från fjärrplatser. Ytterligare information om denna inställning finns i avsnittet Avancerade
uppdateringsinställningar.
3.8.6.3 Schemaläggare
Schemaläggaren hanterar och startar schemalagda aktiviteter med fördefinierade inställningar och egenskaper.
Det går att hitta Schemaläggare i ESET Endpoint Security huvudmeny genom att klicka på Verktyg. Schemaläggaren
innehåller en lista med alla schemalagda aktiviteter och konfigurationsegenskaper som t.ex. förinställt datum, tid
och använd genomsökningsprofil.
Schemaläggaren används för att schemalägga följande aktiviteter: uppdatering av virussignaturdatabasen,
genomsökning, kontroll av systemstartfiler och underhåll av loggfiler. Det går att lägga till eller ta bort aktiviteter
direkt i Schemaläggarens huvudfönster (klicka på Lägg till aktivitet eller Ta bort längst ned). Du kan utföra följande
åtgärder genom att högerklicka var som helst i Schemaläggarens fönster: visa detaljerad information, utföra
aktiviteten omedelbart, lägga till en ny aktivitet eller ta bort en befintlig aktivitet. Aktivera/inaktivera aktiviteterna
med hjälp av kryssrutorna i början av varje post.
Som standard visas följande schemalagda aktiviteter i Schemaläggaren:
Loggunderhåll
Vanlig automatisk uppdatering
Automatisk uppdatering efter modemuppkoppling
Automatisk uppdatering efter inloggning
Kontroll av filer som startas automatiskt (när användaren loggat in)
Kontroll av filer som startas automatiskt (efter uppdatering av virussignaturdatabasen)
Första automatiska genomsökning
Redigera konfigurationen för en befintlig schemalagd aktivitet (både standard och användardefinierad), genom att
högerklicka på aktiviteten och klicka på Redigera... eller markera den aktivitet du vill ändra och klicka på knappen
Redigera.
Lägg till ny aktivitet
1. Klicka på Lägg till aktivitet längst ned i fönstret.
2. Namnge aktiviteten.
106
3. Välj önskad aktivitet på rullgardinsmenyn:
Kör externt program - schemalägger körning av ett extern program.
Underhåll av loggning - loggfiler innehåller även rester från borttagna poster. Denna aktivitet optimerar
regelbundet posterna i loggfiler för effektiv funktion.
Kontroll av filer som startas automatiskt - kontrollerar filer som tillåts köra vid systemstart eller inloggning.
Skapa en genomsökning av datorn - skapar en avbildning av datorn i ESET SysInspector - samlar in detaljerad
information om systemkomponenter (t.ex. drivrutiner och program) och utvärderar risknivån för varje
komponent.
Genomsökning av datorn på begäran - utför genomsökning av filer och mappar på datorn.
Första genomsökningen - som standard utförs en genomsökning 20 minuter efter installation eller omstart av
datorn som en aktivitet med låg prioritet.
Uppdatering - schemalägger en uppdateringsaktivitet genom att uppdatera virussignaturdatabasen och
programmodulerna.
4. Välj Aktiverad om du vill aktivera åtgärden (du kan göra detta senare genom att markera/avmarkera kryssrutan i
listan över schemalagda aktiviteter), klicka på Nästa och välj något av tidsalternativen:
En gång - aktiviteten utförs vid det datum och den tidpunkt som angetts.
Flera gånger - aktiviteten utförs regelbundet med angivet tidsintervall.
Dagligen - aktiviteten körs varje dag vid den angivna tidpunkten.
Varje vecka - aktiviteten körs angiven dag och tidpunkt.
När en händelse utlöser den - aktiviteten utförs efter en angiven händelse.
5. Välj Hoppa över aktivitet när datorn körs på batteri för att minimera systemresurserna när datorn körs på batteri.
Aktiviteten körs vid det datum och den tidpunkt som angetts i fältet Utförande av aktivitet. Om aktiviteten inte
kunde köras vid den förutbestämda tidpunkten, ange när den ska utföras igen:
Vid nästa schemalagda tid
Så snart som möjligt
Omedelbart om tiden sedan senaste körning överskrider angivet värde (intervallet kan anges i rullningsrutan Tid
sedan senaste körning)
Du kan granska den schemalagda aktiviteten genom att högerklicka och klicka på Visa aktivitetsinformation.
107
3.8.6.4 Skyddsstatistik
Visa en graf över statistiska data från skyddsmodulerna i ESET Endpoint Security genom att klicka på Verktyg >
Skyddsstatistik. Välj önskad skyddsmodul i rullgardinsmenyn Statistik för att se motsvarande graf och förklaring. Om
du håller muspekaren över ett objekt i förklaringen visas endast data för det objektet i grafen.
Följande statistikgrafer finns tillgängliga:
Skydd mot virus och spionprogram - visar antalet infekterade och rensade objekt.
Skydd av filsystemet i realtid - visar endast objekt som lästes eller skrevs till filsystemet.
Skydd av e-postklienter - visar endast objekt som skickades eller mottogs av e-postklienter.
Webbåtkomstskydd och skydd mot nätfiske - visar endast objekt som har hämtats av webbläsare.
Inställning av spamskydd för e-postklient - visar historiken över antispamstatistik sedan tjänsten startades senast.
Intill statistikgraferna visas antal genomsökta objekt, antal infekterade objekt, antal rensade objekt och antal rena
objekt. Klicka på Återställ om du vill rensa statistikinformationen eller klicka på Återställ alla om du vill rensa och ta
bort all befintlig data.
3.8.6.5 Se aktivitet
Visa graf för aktuell Filsystemsaktivitet genom att klicka på Verktyg > Se aktivitet. Längst ned i grafen finns en
tidslinje där filsystemsaktiviteten registreras i realtid baserat på det angivna tidsintervallet. Om du vill ändra
tidsintervallet väljer du från listrutan Uppdateringshastighet.
Följande alternativ finns tillgängliga:
Stega: 1 sekund - grafen uppdateras varje sekund och tidslinjen täcker de senaste 10 minuterna.
Stega: 1 minut (senaste 24 timmarna) - grafen uppdateras varje minut och tidslinjen täcker de senaste 24
timmarna.
Stega: 1 timme (senaste månaden) - grafen uppdateras varje timme och tidslinjen täcker den senaste månaden.
Stega: 1 timme (vald månad) - grafen uppdateras varje timme och tidslinjen täcker de X valda månaderna.
108
Den lodräta axeln i grafen Filsystemsaktivitet representerar mängden lästa data (blå) och mängden skrivna data
(röd). Båda värdena anges i kB (kilobyte)/MB/GB. Om du håller muspekaren över förklaringen för antingen lästa data
eller skrivna data under grafen, visas endast data för den aktivitetstypen i grafen.
Det går även att välja Nätverksaktivitet i rullgardinsmenyn. Grafens visning och alternativ är desamma för
Filsystemsaktivitet och Nätverksaktivitet förutom att den senare visar mängden mottagna data (blå) och mängden
skickade data (röd).
3.8.6.6 ESET SysInspector
ESET SysInspector är ett program som grundligt undersöker din dator, samlar detaljerad information om
systemkomponenter, som t.ex. drivrutiner och program, nätverksanslutningar eller viktiga registerposter och
utvärderar risknivån för varje komponent. Informationen kan hjälpa till att fastställa orsaken till misstänkta
systemfunktioner som kan ha uppstått på grund av inkompatibla program- eller maskinvaror eller infektion av
skadlig programvara.
SysInspector-fönstret visar följande information om skapade loggar:
Tid - tiden då loggen skapades.
Kommentar - en kort kommentar.
Användare - namnet på användaren som skapade loggen.
Status - status för skapad logg.
Följande åtgärder finns tillgängliga:
Öppna - Öppnar den skapade loggen. Du kan även högerklicka på en viss loggfil och välja Visa på kontextmenyn.
Jämför - jämför två befintliga loggar.
Skapa... - skapar en ny logg. Vänta tills ESET SysInspector är klart (loggstatusen visas som Skapad) innan du
försöker komma åt loggen.
Ta bort - tar bort vald eller valda loggar från listan.
Följande objekt är tillgängliga på kontextmenyn när en eller flera loggfiler väljs:
Visa - öppnar markerad logg i ESET SysInspector (samma funktion som att dubbelklicka på en logg).
Jämför - jämför två befintliga loggar.
Skapa... - skapar en ny logg. Vänta tills ESET SysInspector är klart (loggstatusen visas som Skapad) innan du
försöker komma åt loggen.
Ta bort alla - tar bort alla loggar.
Exportera... - Exporterar loggen till en .xml-fil eller zippad .xml.
3.8.6.7 ESET Live Grid
är ett avancerat system för tidig varning bestående av flera molnbaserade tekniker. Det hjälper till att upptäcka nya
hot baserat på rykte och förbättrar genomsökningsprestanda med hjälp av vitlistning. Ny hotinformation strömmas i
realtid till molnet, vilket gör det möjligt för ESET:s viruslabb att hålla skyddet aktuellt för en konstant skyddsnivå.
Användare kontrollerar ryktet för filer och processer som körs direkt från programmets gränssnitt eller kontextmeny
med ytterligare information från ESET Live Grid. Välj ett av följande alternativ när ESET Endpoint Security installeras:
1. Du kan besluta att inte aktivera ESET Live Grid. Du missar inga programfunktioner, men i vissa fall kan ESET
Endpoint Security reagera långsammare på nya hot än uppdateringen av virussignaturdatabasen.
2. Det går att konfigurera ESET Live Grid så att det skickar anonym information om nya hot och om var den nya
hotfulla koden upptäcktes. Filen kan skickas till ESET för detaljerad analys. Genom att studera hoten kan ESET
förbättra förmågan att upptäcka hot.
ESET Live Grid samlar in anonym information om din dator som är kopplad till nyupptäckta hot. Informationen kan
bestå av ett exempel eller en kopia av filen som innehåller hotet, sökvägen till filen, filnamnet, datum och tid,
sättet på vilket hotet uppträdde på datorn samt information om datorns operativsystem.
ESET Endpoint Security är som standard konfigurerat så att misstänkta filer skickas för detaljerad analys till ESET:s
viruslaboratorium. Filer med särskilda tillägg som .doc eller .xls är alltid undantagna. Det går att lägga till ytterligare
filtillägg om du eller din organisation vill att andra filer inte heller skickas.
109
Med ESET Live Grid-ryktessystemet får du molnbaserad vitlistning och svartlistning. Om du vill komma åt
inställningarna för ESET Live Grid trycker du på F5 för att öppna Avancerade inställningar och expanderar Verktyg >
ESET Live Grid.
Aktivera ESET Live Grid-ryktessystemet (rekommenderas) - ESET Live Grid-ryktessystemet förbättrar effektiviteten
för ESET-lösningar mot skadlig programvara genom att genomsökta filer jämförs mot en databas med vit- och
svartlistade objekt i molnet.
Skicka anonym statistik - Tillåt att ESET samlar in information om nyligen upptäckta hot, såsom hotets namn, datum
och tid då det upptäcktes, detekteringsmetod och associerade metadata, produktversion och -konfiguration,
inklusive information om ditt system.
Skicka in filer - Misstänkta filer som liknar hot och/eller filer med ovanliga egenskaper skickas till ESET för analys.
Välj alternativet Aktivera loggning för att skapa en händelselogg med filer som skickas och statistik. Det aktiverar
loggning till Händelseloggen när filer eller statistik skickas.
E-postadress (valfritt) - din e-postadress skickas med de misstänkta filerna och används för att kontakta dig om
ytterligare information är nödvändig för analysen. Observera att du endast får ett svar från ESET om ytterligare
information är nödvändig.
Exkludering - Med exkluderingsfiltret går det att exkludera vissa filer/mappar från att skickas in (det kan till
exempel vara lämpligt att exkludera filer som kan innehålla konfidentiell information, som till exempel dokument
eller kalkylblad). De filer som finns listade skickas inte till ESET:s labb för analys, även om de innehåller misstänkt
kod. De vanligaste filtyperna är undantagna som standard (.doc osv.). Det går att lägga till filtyper till listan.
Om du har använt ESET Live Grid tidigare och inaktiverat det, finns det kanske datapaket att skicka. Sådana paket
skickas till ESET även efter inaktivering. När all aktuell information skickats skapas inte fler paket.
3.8.6.8 Processer som körs
Processer som körs visar program eller processer som körs på datorn och håller ESET omedelbart och kontinuerligt
informerad om nya infiltrationer. ESET Endpoint Security ger detaljerad information om processer som körs för att
skydda användare med ESET Live Grid-teknik aktiverad.
110
Risknivå - i de flesta fall tilldelar ESET Endpoint Security med hjälp av ESET Live Grid-teknik risknivåer till objekt
(filer, processer, registernycklar osv.) med hjälp av ett antal heuristiska regler så att egenskaperna för varje objekt
granskas och risken för skadlig aktivitet utvärderas. Baserat på heuristiken kan objekt tilldelas en risknivå från 1 Okej (grönt) till 9 - Riskfyllt (rött).
Process - avbildningsnamn för programmet eller processen som för närvarande körs på datorn. Det går även att
använda Windows Aktivitetshanterare för att visa alla processer som körs i datorn. Det går att öppna
Aktivitetshanteraren genom att högerklicka på ett tomt utrymme på aktivitetsfältet och sedan klicka på
Aktivitetshanteraren eller genom att trycka på Ctrl+Skift+Esc på tangentbordet.
PID - är ett ID för processer som körs i Windows-operativsystem.
OBS! Kända program märkta som Okej (grön) är säkert rena (vitlistade) och undantas från genomsökning då detta
ökar genomsökningshastigheten för genomsökning av datorn eller skydd av filsystemet i realtid på datorn.
Antal användare - antalet användare som använder ett visst program. Denna information samlas in med ESET Live
Grid-teknik.
Identifieringstid - tiden sedan programmet identifierades av ESET Live Grid-tekniken.
Obs! När ett program tilldelats säkerhetsnivån Okänd (orange), är det inte säkert att det är skadlig programvara. Det
är ofta ett nytt program. Om du inte är säker på filen kan du skicka in filen för analys till ESET:s viruslaboratorium.
Om filen visar sig vara ett skadligt program läggs den till i någon av de kommande uppdateringarna av
virussignaturdatabasen.
Programnamn - namnet på ett visst program eller viss process.
Genom att klicka på ett program längst ned visas följande information längst ned i fönstret:
Sökväg - platsen för programmet på din dator.
Storlek - filstorlek i antingen kB (kilobyte) eller MB (megabyte).
Beskrivning- filens egenskaper som de beskrivs av operativsystemet.
Företag - namnet på försäljaren eller programprocessen.
Version - information från programmets utgivare.
Produkt - programmets namn och/eller affärsnamn.
Skapad den - datum och tid då ett program skapades.
Ändrad den - datum och tid då ett program ändrades senast.
OBS! Rykte går även att kontrolleras på filer som inte är program/processer som körs - markera filer som ska
kontrolleras, högerklicka på dem och välj Avancerade alternativ > Kontrollera filrykte med ESET Live Grid på
kontextmenyn.
111
3.8.6.9 Nätverksanslutningar
I Nätverksanslutningar visas en lista över aktiva och väntande anslutningar. Detta hjälper dig att kontrollera alla
program som upprättar utgående anslutningar.
Den första raden visar namnet på programmet och dataöverföringshastigheten. Visa en lista över anslutningar
gjorda av programmet (samt mer detaljerad information) genom att klicka på +.
Kolumner
Program/lokalt IP - namnet på programmet, lokala IP-adresser och kommunikationsportar.
Fjärr-IP - IP-adress och portnummer för en viss fjärrdator.
Protokoll - använt överföringsprotokoll.
Hastighet upp/Hastighet ned - aktuell hastighet på utgående och inkommande data.
Skickat/mottaget - mängd data som överförts inom anslutningen.
Visa detaljerad information - välj det här alternativet om du vill visa detaljerad information om vald anslutning.
Välj ett program eller en IP-adress på skärmen Nätverksanslutningar och högerklicka för att öppna en kontextmeny
med följande struktur:
Matcha värdnamn - om möjligt visas alla nätverksadresser i DNS-format, inte i IP-adressformat med siffror.
Visa endast TCP-anslutningar - Listan visar endast anslutningar som tillhör protokollsviten TCP.
Visa anslutningar som lyssnar - Markera det här alternativet för att enbart visa anslutningar där ingen
kommunikation har upprättats men där systemet har öppnat en port och inväntar anslutning.
Visa anslutningar inom datorn - Markera det här alternativet om du endast vill visa anslutningar där fjärrsidan är
ett lokalt system, så kallad lokala värd-anslutningar.
112
Högerklicka på en anslutning för att se ytterligare alternativ som innefattar:
Neka kommunikation för anslutningen - avslutar den upprättade kommunikationen. Detta alternativ är endast
tillgängligt när du klickar på en aktiv anslutning.
Uppdateringshastighet - välj frekvensen för uppdatering av de aktiva anslutningarna.
Uppdatera nu - uppdaterar fönstret Nätverksanslutningar.
Följande alternativ är endast tillgängliga om du klickar på ett program eller en process, inte på en aktiv anslutning:
Neka temporärt kommunikation för processen - avvisar aktuella anslutningar för det angivna programmet. Om en
ny anslutning upprättas använder brandväggen en fördefinierad regel. En beskrivning av inställningarna hittar du i
avsnittet Regler och zoner.
Tillåt temporärt kommunikation för processen - tillåter aktuella anslutningar för det angivna programmet. Om en
ny anslutning upprättas använder brandväggen en fördefinierad regel. En beskrivning av inställningarna hittar du i
avsnittet Regler och zoner.
3.8.6.10 Sändning av prover till analys
Denna dialogruta gör det möjligt att skicka en fil eller plats till ESET för analys och finns i Verktyg > Skicka in prov för
analys. Om du hittar en fil som beter sig misstänkt på datorn eller en misstänkt webbplats på internet kan du skicka
den till ESET:s viruslaboratorium för analys. Om filen visar sig vara ett skadligt program eller en skadlig webbplats
läggs den till i en kommande uppdatering.
Det går även att skicka filen med e-post. Om du föredrar detta alternativ, arkivera filerna med WinRAR/ZIP, skydda
arkivet med lösenordet "infected" och skicka det till samples@eset.com. Kom i håg att skriva tydligt i ämnesraden
vad det rör sig om och ta med så mycket information som möjligt om filen (t.ex. webbplatsen där du hämtade filen).
OBS! Innan du skickar ett prov till ESET, kontrollera att det uppfyller ett eller flera av följande villkor:
filen eller webbplatsen är inte alls detekterad,
filen eller webbplatsen är felaktigt detekterad som ett hot.
Du får inget svar om inte närmare information krävs för en analys.
Välj beskrivningen på rullgardinsmenyn Orsak att skicka in provet som bäst motsvarar meddelandet:
Misstänkt fil
Misstänkt webbplats (en webbplats som är infekterad av skadlig kod),
Falsk positiv fil (fil som detekterats som infekterad men inte är infekterad),
Falsk positiv webbplats
Annat
Fil/webbplats – sökväg till filen eller webbplatsen som du tänker skicka in.
E-postadress - e-postadressen skickas tillsammans med misstänkta filer till ESET och används för att kontakta dig om
det krävs ytterligare information för analysen. Att ange en e-postadress är valfritt. Du kommer inte att få något svar
från ESET såvida det inte behövs mer information. Våra servrar tar varje dag emot tiotusentals filer vilket gör det
omöjligt att svara på alla bidrag.
113
3.8.6.11 Meddela via e-post
ESET Endpoint Security kan skicka meddelanden via e-post automatiskt om en händelse med vald detaljnivå
inträffar. Välj Skicka meddelanden via e-post om du vill aktivera meddelanden via e-post.
SMTP-server
SMTP-server - SMTP-servern används för att skicka meddelanden (t.ex. smtp.provider.com:587, fördefinierad port
är 25).
OBS! SMTP-servrar med TLS-kryptering stöds av ESET Endpoint Security.
Användarnamn och lösenord - Om autentisering krävs för SMTP-servern ska dessa fält fyllas i med ett giltigt
användarnamn och lösenord som ger åtkomst till SMTP-servern.
Avsändarens adress - Detta fält anger avsändaradressen som visas i huvudet på meddelanden som går via e-post.
Mottagarens adress - Detta fält anger mottagaradressen som visas i huvudet på meddelanden som går via e-post.
I listrutan Minimalt omfång för meddelanden kan du välja från vilken allvarlighetsnivå meddelanden ska skickas.
Diagnostik - loggar information som behövs för att fininställa programmet och alla poster ovan.
Information - Loggar alla informationsmeddelanden, exempelvis ovanliga nätverkshändelser, inklusive
framgångsrika uppdateringar och alla poster ovan.
Varningar - Registrerar kritiska fel och varningsmeddelanden (Antistealth körs inte korrekt eller uppdateringen
misslyckades).
Fel - Fel (dokumentskyddet startades inte) och kritiska fel registreras.
Kritiska - Loggar endast kritiska fel vid start av antivirusskyddet eller infekterat system.
Aktivera TLS - Aktivera skickande av varningar och meddelanden med stöd av TLS-kryptering.
Intervall efter vilket nya e-postmeddelanden skickas (min) - Intervall i minuter efter vilket nya meddelanden
skickas till e-postadressen. Om värdet ställs in till 0 skickas meddelandena omedelbart.
114
Skicka varje meddelande i ett separat e-postmeddelande – När det här alternativet aktiveras får mottagaren ett
nytt e-postmeddelande för varje enskilt meddelande. Det kan resultera i att ett stort antal e-postmeddelanden
tas emot på kort tid.
Meddelandeformat
Format för händelsemeddelanden - Format för händelsemeddelanden som visas på fjärrdatorer.
Format för meddelanden med varning om hot - Varningar och meddelanden om hot har ett fördefinierat
standardformat. Vi rekommenderar inte att du ändrar detta format. Under vissa omständigheter (om du
exempelvis har ett automatiskt e-postbehandlingssystem) kan du dock behöva ändra meddelandeformatet.
Använd lokala alfanumeriska tecken - konverterar ett e-postmeddelande till ANSI-teckenuppsättning baserat på
Windows nationella inställningar (t.ex windows-1250). Lämnas detta alternativ omarkerat, konverteras och kodas
meddelanden med ACSII 7-bitar (t.ex. ändras ett á till a och okända symboler till ?).
Använd lokal teckenuppsättning - E-postmeddelandets källa kodas till formatet QP (Quoted printable) som
använder ASCII-tecken och överför särskilda tecken med e-post i 8-bitars format (áéíóú) korrekt.
3.8.6.12 Karantän
Karantänens huvudsakliga uppgift är att säkert lagra infekterade filer. Filer som inte kan rensas, inte är säkra eller
lämpliga att ta bort eller om de är felaktigt identifierade av antivirusskyddet bör sättas i karantän i ESET Endpoint
Security.
Det går att sätta alla filer i karantän. Det rekommenderas om en fil uppträder misstänkt men inte upptäcks av
antivirusskannern. Det går att skicka filer i karantän till ESET:s viruslaboratorium för analys.
Filer som lagras i karantänmappen går att visa i en tabell med uppgifter om datum och tid för karantänen, sökvägen
till den infekterade filens ursprungliga plats, storleken i byte, orsak (till exempel objekt tillagt av användaren) och
antalet hot (till exempel om det är ett arkiv med flera infiltreringar).
115
Sätta filer i karantän
ESET Endpoint Security sätter automatiskt borttagna filer i karantän (om alternativet inte inaktiverades i
varningsfönstret). Det går att manuellt sätta en misstänkt fil i karantän genom att klicka på Karantän. Originalfilen
tas då bort från ursprungsplatsen. Kontextmenyn kan även användas för detta ändamål: högerklicka i fönstret
Karantän och välj Karantän.
Återställa från karantän
Det går att återställa filer i karantän till sina ursprungliga platser. Om du vill återställa en fil i karantän högerklickar
du i fönstret Karantän och väljer Återställ i kontextmenyn. Om en fil är markerad som potentiellt oönskat program är
även Återställ och exkludera från genomsökning tillgängligt. På kontextmenyn finns även alternativet Återställ till...
som återställer en fil till en annan plats från vilken filen togs bort.
Ta bort från karantän - högerklicka på önskat objekt och välj Ta bort från karantän eller markera objektet du vill ta
bort och tryck på Delete på tangentbordet. Det går även att markera flera objekt och ta bort dem samtidigt.
OBS!: Om programmet av misstag satt en ofarlig fil i karantän ber vi dig undanta den filen från genomsökning efter
att du har återställt den, samt skicka filen till ESET:s kundtjänst.
Skicka in en fil från Karantän
Om du sätter en misstänkt fil som inte har upptäckts av programmet i karantän eller om en fil felaktigt bedöms vara
ett hot och därför sätts i karantän, ber vi dig skicka filen till ESET:s viruslaboratorium. Skicka en fil från karantänen
genom att högerklicka på den och välja Skicka in för analys på kontextmenyn.
3.8.6.13 Microsoft Windows-uppdatering
Windows-uppdateringar är en viktig komponent som skyddar användarna från skadlig programvara. Därför är det
viktigt att installera alla uppdateringar för Microsoft Windows så snart de blir tillgängliga. ESET Endpoint Security
meddelar dig om saknade uppdateringar enligt den säkerhetsnivå du angett. Följande nivåer finns tillgängliga:
Inga uppdateringar - inga systemuppdateringar erbjuds för hämtning.
Valfria uppdateringar - uppdateringar markerade med låg och högre prioritet erbjuds för hämtning.
Rekommenderade uppdateringar - uppdateringar markerade med vanlig och högre prioritet erbjuds för hämtning.
Viktiga uppdateringar - uppdateringar markerade med viktig och högre prioritet erbjuds för hämtning.
Kritiska uppdateringar - endast kritiska uppdateringar erbjuds för hämtning.
Klicka på OK för att spara ändringarna. Fönstret Systemuppdateringar visas efter statusverifiering mot
uppdateringsservern. Informationen om systemuppdatering kanske inte finns tillgänglig omedelbart efter att
ändringarna sparats.
3.8.7 Användargränssnitt
Avsnittet Användargränssnitt gör det möjligt att konfigurera hur programmets GUI (grafiskt användargränssnitt)
beter sig.
Använd verktyget Element i användargränssnitt för att justera programmets utseende och effekterna som används.
För att tillhandahålla maximal säkerhet för säkerhetsprogrammet går det att förhindra obehöriga ändringar med
hjälp av verktyget Inställningar för åtkomst.
Genom att konfigurera Varningar och meddelanden går det att ändra beteendet vid varningar om upptäckta hot och
systemmeddelanden. Det går att anpassa dessa till dina behov.
Väljer du att inte visa vissa meddelanden, så visas de i Element i användargränssnitt > Programstatusar. Här kan du
kontrollera deras status eller förhindra att dessa meddelanden visas.
Integrering med kontextmeny visas när du högerklickar på det markerade objektet. Använd detta verktyg för att
integrera kontrollelementen i ESET Endpoint Security i kontextmenyn.
Presentationsläget är användbart för användare som vill arbeta med ett program utan att störas av popup-fönster,
schemalagda aktiviteter och komponenter som belastar processorn och RAM-minnet.
116
3.8.7.1 Element i användargränssnitt
Konfigurationsalternativen för användargränssnittet i ESET Endpoint Security justerar programmet så att det passar
dina behov. Dessa konfigurationsalternativ finns i grenen Användargränssnitt > Element i användargränssnitt i
trädet Avancerade inställningar för ESET Endpoint Security.
I avsnittet Element i användargränssnitt kan du justera arbetsmiljön. Använd listrutan GUI-startläge för att välja
bland följande GUI-startlägen:
Fullständigt - Hela det grafiska gränssnittet visas.
Minimalt - GUI är tillgängligt, men endast meddelanden visas för användaren.
Manuellt - Inga meddelanden eller varningar visas.
Tyst - Varken GUI, meddelanden eller varningar visas. Det här läget kan vara användbart i situationer då
systemresurser behöver bevaras. Tyst läge kan endast startas av administratören.
OBS!: När minimalt GUI-startläge väljs och datorn startas om visas meddelanden, men inte det grafiska gränssnittet.
Om du vill återgå till läget för fullständigt grafiskt gränssnitt kör du GUI från startmenyn under Alla program > ESET >
ESET Endpoint Security som administratör, eller så kan detta göras via ESET Remote Administrator med hjälp av en
policy.
Inaktivera ESET Endpoint Security startbild genom att avmarkera alternativet Visa startbild vid start.
Om du vill att ESET Endpoint Security ska spela ett ljud när en viktig händelse inträffar, till exempel när ett hot har
upptäckts eller när genomsökningen har slutförts, väljer du Använd ljudsignal.
Integrera i kontextmenyn - integrera kontrollelementen i ESET Endpoint Security i kontextmenyn.
Statusar
Programstatusar - Klicka på knappen Redigera för att hantera (inaktivera) statusar som visas i fönstret Skyddsstatus
på huvudmenyn.
117
3.8.7.2 Inställningar för åtkomst
För att ge maximalt skydd för systemet är det mycket viktigt att ESET Endpoint Security är korrekt konfigurerat.
Okvalificerade ändringar kan leda till att du förlorar viktig information. Om du vill undvika obehöriga ändringar går
det att lösenordsskydda inställningsparametrarna för ESET Endpoint Security. Konfigurationsinställningarna för
lösenordsskydd finns i Avancerade inställningar (F5) under Inställningar för åtkomst > Användargränssnitt.
Lösenordsskydda inställningar - Ange lösenordsinställningar. Klicka för att öppna inställningsfönstret Lösenord.
Klicka på Ange för att ange eller ändra lösenordet som skyddar inställningsparametrarna.
Kräv fullständig administratörsbehörighet för begränsade administratörskonton - Lämna det här alternativet aktivt
för att uppmana den aktuella användaren (om användaren inte har administratörsbehörighet) att ange
användarnamn och lösenord på administratörsnivå vid ändring av vissa systemparametrar (liknande UAC i Windows
Vista). Ändringarna innefattar att inaktivera skyddsmoduler eller att stänga av brandväggen.
Endast för Windows XP:
Kräv administratörsbehörighet (system utan UAC-stöd) - Aktivera det här alternativet om du vill att ESET Endpoint
Security ska fråga efter administratörsuppgifter.
118
3.8.7.3 Varningar och meddelanden
Avsnittet Varningar och meddelanden under Användargränssnitt gör det möjligt att konfigurera hur varningar om
hot och systemmeddelanden (t.ex. meddelanden om utförd uppdatering) hanteras av ESET Endpoint Security. Det
går även att ange visningstid samt genomskinlighet för systemmeddelanden (gäller endast system som stöder
systemmeddelanden).
Varningsfönster
Om du avmarkerar Visa varningar visas inga varningar och är endast lämpligt för ett mycket begränsat antal
situationer. Vi rekommenderar att detta alternativ ställs in på standardinställningen (aktiverat).
Meddelanden i produkten
Visa marknadsföringsmeddelanden - Meddelandena i produkten har utformats för att informera användare om
ESET-nyheter och annan kommunikation. Inaktivera alternativet om du inte vill ha marknadsföringsmeddelanden.
Meddelanden på skrivbordet
Meddelanden på skrivbordet och tipsbubblor är bara informativa och kräver ingen åtgärd från användaren. De visas i
meddelandefältet längst ned till höger på skärmen. Aktivera visning av Meddelanden på skrivbordet genom att
välja Visa meddelanden på skrivbordet. Aktivera Visa inte meddelanden när program körs i helskärmsläge om du vill
dölja alla meddelanden som inte kräver interaktion. Mer detaljerade alternativ, som t.ex. hur länge meddelandena
ska visas och fönstrens genomskinlighet, kan du ändra nedan.
I listrutan Minsta omfång för händelser som ska visas kan du välja allvarlighetsnivå för visade varningar och
meddelanden. Följande alternativ finns tillgängliga:
Diagnostik - Loggar information som behövs för att fininställa programmet och alla poster ovan.
Informativ - Loggar alla informationsmeddelanden, inklusive framgångsrika uppdateringar och alla poster ovan.
Varningar - Registrerar kritiska fel och varningsmeddelanden.
Fel - Fel som "Fel när filen hämtades" och kritiska fel registreras.
Kritiska - Loggar endast kritiska fel (fel vid start av antivirusskyddet , den inbyggda brandväggen, osv.).
119
Den sista funktionen i detta avsnitt konfigurerar mottagare av meddelanden i ett system med flera användare. I
fältet På system med flera användare ska meddelanden visas på följande användares skärm anges vilken användare
som får systemmeddelanden och andra meddelanden på system som tillåter att flera användare ansluter samtidigt.
I vanliga fall är detta system- eller nätverksadministratören. Alternativet är användbart på i synnerhet
terminalservrar, under förutsättning att alla systemmeddelanden skickas till administratören.
Meddelanderutor
Vill du att popup-fönster stängs automatiskt efter en viss tid, markera Stäng meddelanderutor automatiskt. Stänger
användaren inte själv varnings- och meddelandefönster, stängs de automatiskt efter den angivna tiden.
Bekräftelsemeddelande - Visar en lista med bekräftelsemeddelanden du kan välja att visa eller inte visa.
3.8.7.4 Systemfältsikonen
Vissa av de viktigaste inställningsalternativen och funktionerna är åtkomliga genom att du högerklickar på
systemfältsikonen .
Blockera nätverk - den personliga brandväggen blockerar all utgående / inkommande nätverks- och Internettrafik.
Pausa skydd - visar bekräftelsedialogrutan som inaktiverar Skydd mot virus och spionprogram som skyddar mot
angrepp genom att kontrollera filer och webb- och e-postkommunikation.
Rullgardinsmenyn Tidsintervall visar tidsperioden när skyddet mot virus och spionprogram är inaktiverat.
Pausa brandvägg (tillåt all trafik) - inaktiverar brandväggen. Se Nätverk för mer information.
Blockera all nätverkstrafik - blockerar all nätverkstrafik. Du kan aktivera den igen genom att klicka på Sluta blockera
all nätverkstrafik.
Avancerade inställningar - välj detta alternativ för att öppna trädet Avancerade inställningar. Du kan även komma åt
120
Avancerade inställningar genom att trycka på F5 eller öppna Inställningar > Avancerade inställningar.
Loggfiler - loggfilerna innehåller information om viktiga programhändelser som har inträffat och ger en översikt
över upptäckta hot.
Dölj ESET Endpoint Security - döljer ESET Endpoint Security-fönstret från skärmen.
Återställ fönsterlayout - återställer ESET Endpoint Security-fönsterlayouten till standardstorlek och
standardplacering på bildskärmen.
Uppdatering av virussignaturdatabas - börjar uppdatera virussignaturdatabasen för att säkerställa skyddsnivån mot
skadlig kod.
Om - ger systeminformation och visar den installerade versionen av ESET Endpoint Security och de installerade
programmodulerna samt licensens utgångsdatum. Nederst på sidan finns information om operativsystem och
systemresurser.
3.8.7.5 Kontextmeny
Kontextmenyn visas när du högerklickar på ett objekt (en fil). På menyn listas alla åtgärder som kan utföras på ett
objekt.
Det går att integrera kontrollelementen i ESET Endpoint Security i kontextmenyn. Inställningsalternativen för
funktionen finns i trädet Avancerade inställningar, under Användargränssnitt > Element i användargränssnitt.
Integrera i kontextmenyn - integrera kontrollelementen i ESET Endpoint Security i kontextmenyn.
3.9 Avancerade användare
3.9.1 Profilhanteraren
Profilhanteraren används på två platser i ESET Endpoint Security - i avsnittet Genomsökning av datorn på begäran
och i avsnittet Uppdatera.
Genomsökning av datorn på begäran
Det går att spara genomsökningsinställningarna för framtida genomsökning. Vi rekommenderar att skapar en
profiler (med olika genomsökningsobjekt, genomsökningsmetoder och andra parametrar) för varje regelbunden
genomsökning.
Skapa en ny profil genom att öppna fönstret Avancerade inställningar (F5) och klicka på Antivirus > Genomsökning
av datorn på begäran och sedan Redigera intill Lista över profiler. I listrutan Vald profil listas befintliga
genomsökningsprofiler. Skapa en genomsökningsprofil som motsvarar dina behov med hjälp av avsnittet
Parameterinställningar för ThreatSense-motorn som innehåller en beskrivning av varje parameter i
genomsökningsinställningen.
Exempel: Anta att du vill skapa en egen genomsökningsprofil och smart genomsökning är delvis lämplig, men du vill
inte genomsöka internt packade filer eller potentiellt farliga program och dessutom vill du använda Strikt rensning.
Ange namnet på den nya profilen i fönstret Profilhanteraren och klicka på Lägg till. Välj den nya profilen i listrutan
Vald profil och justera de återstående parametrarna så att de uppfyller dina krav och klicka på OK för att spara den
nya profilen.
121
Uppdatering
Med profilredigeraren i avsnittet för uppdateringsinställningar kan användaren skapa nya uppdateringsprofiler.
Skapa och använd dina egna anpassade profiler (dvs. andra profiler än standardprofilen Min profil) endast om
datorn har flera sätt att ansluta till uppdateringsservrar.
Två profiler kan exempelvis användas av en bärbar dator som normalt ansluts till en lokal server (spegel) i det lokala
nätverket, men som hämtar uppdateringar direkt från ESET:s uppdateringsservrar när den inte är ansluten till det
lokala nätverket (t.ex. på en affärsresa), den första för anslutning till den lokala servern och den andra för
anslutning till ESET:s servrar. När dessa profiler konfigurerats går du till Verktyg > Schemaläggaren och redigerar
parametrarna för uppdateringsaktiviteten. Ange att en av profilerna ska vara primär och den andra sekundär.
Vald profil - den uppdateringsprofil som för närvarande används. Om du vill ändra den anger du en annan profil i
rullgardinsmenyn.
Lista över profiler - skapa nya eller ta bort befintliga uppdateringsprofiler.
3.9.2 Diagnostik
Diagnostik tillhandahåller kraschdumpar från ESET-processer (t.ex. ekrn). Om ett program kraschar, skapas en
minnesdump. Detta kan hjälpa utvecklare att felsöka och korrigera olika problem i ESET Endpoint Security. Klicka på
listrutan intill Dumptyp och välj ett av de tre alternativen:
Välj Inaktivera (standard) om du vill inaktivera funktionen.
Mini - Sparar en liten uppsättning användbar information som kan hjälpa till att identifiera varför programmet
kraschade oväntat. Denna typ av dumpfil är användbar vid begränsat utrymme. På grund av den begränsade
mängden information går det dock kanske inte vid en analys av den här filen att upptäcka fel som inte direkt
orsakades av tråden som kördes vid tiden för problemet.
Fullständig - Sparar hela innehållet i systemminnet när programmet stannar oväntat. En fullständig minnesdump
kan innehålla data från processer som kördes när minnesdumpen samlades in.
Aktivera avancerad loggning av protokollfiltrering - Registrera all data som passerar genom
protokollfiltreringsmotorn PCAP-format för att hjälpa utvecklare att diagnostisera och åtgärda problem relaterade
till protokollfiltrering.
Loggfilerna finns i:
C:\ProgramData\ESET\ESET Smart Security\Diagnostics\ i Windows Vista och senare eller C:\Documents and Settings
\All Users\... i äldre Windows-versioner.
Målkatalog - katalogen där dumpen skapas vid kraschen.
Öppna diagnostikmappen - Klicka på Öppna för att öppna katalogen i ett nytt fönster i Utforskaren.
3.9.3 Importera och exportera inställningar
Det går att importera eller exportera dina anpassade ESET Endpoint Security .xml-konfigurationsfiler från menyn
Inställningar.
Import och export av konfigurationsfiler är praktisk om du vill säkerhetskopiera den aktuella konfigurationen av
ESET Endpoint Security för användning senare. Alternativet exportinställningar är också praktiskt för användare som
vill använda sin föredragna konfiguration på flera system – de kan enkelt importera en .xml-fil för att överföra dessa
inställningar.
Det är mycket enkelt att importera en konfiguration. Klicka på Inställningar > Importera/exportera inställningar på
huvudmenyn och välj sedan Importera inställningar. Ange konfigurationsfilens namn eller klicka på knappen ... för
att söka efter konfigurationsfilen du vill importera.
122
Stegen för att exportera en konfiguration är snarlika. Klicka på Inställningar > Importera/exportera inställningar på
huvudmenyn. Välj Exportera inställningar och ange konfigurationsfilens namn (dvs. export.xml ). Använd
webbläsaren för att välja en plats på din dator där konfigurationsfilen sparas.
OBS! Det kan uppstå ett fel vid export av inställningarna om du inte har tillräcklig behörighet att skriva den
exporterade filen till en viss katalog.
3.9.4 Kommandorad
Det går att starta antivirusmodulen i ESET Endpoint Security via kommandoraden, antingen manuellt (med
kommandot ecls) eller med en kommandofil (.bat). Användning av ESET kommandoradsskanner:
ecls [ALTERNATIV..] FILER...
Det går att använda följande parametrar och växlar när genomsökning körs från kommandoraden:
Alternativ
/base-dir=MAPP
/quar-dir=MAPP
/exclude=MASK
/subdir
/no-subdir
/max-subdir-level=NIVÅ
/symlink
/no-symlink
/ads
/no-ads
/log-file=FIL
/log-rewrite
/log-console
/no-log-console
/log-all
/no-log-all
/aind
/auto
läs in moduler från MAPP
karantän-MAPP
undanta filer från genomsökning som matchar MASK
genomsök undermappar (standard)
genomsök inte undermappar
maximal undernivå för mappar inom mappar som ska genomsökas
följ symboliska länkar (standard)
hoppa över symboliska länkar
genomsök ADS (standard)
genomsök inte ADS
logga utdata till FIL
skriv över utdatafilen (standard - lägg till)
logga utdata till konsol (standard)
logga inte utdata till konsol
logga även rena filer
logga inte rena filer (standard)
visa aktivitetsindikator
skanna och rensa alla lokala diskar automatiskt
Skanneralternativ
/files
/no-files
/memory
/boots
/no-boots
/arch
genomsök filer (standard)
genomsök inte filer
skanna minne
genomsök startsektorer
genomsök inte startsektorer (standard)
genomsök arkiv (standard)
123
/no-arch
/max-arch-size=STORLEK
/max-arch-level=NIVÅ
/scan-timeout=GRÄNS
/max-arch-size=STORLEK
/max-sfx-size=STORLEK
/mail
/no-mail
/mailbox
/no-mailbox
/sfx
/no-sfx
/rtp
/no-rtp
/unsafe
/no-unsafe
/unwanted
/no-unwanted
/suspicious
/no-suspicious
/pattern
/no-pattern
/heur
/no-heur
/adv-heur
/no-adv-heur
/ext=TILLÄGG
/ext-exclude=TILLÄGG
/clean-mode=LÄGE
/quarantine
/no-quarantine
genomsök inte arkiv
genomsök endast filer som är mindre än STORLEK megabyte (standard 0 =
obegränsad)
maximal undernivå för arkiv inom arkiv (kapslade arkiv) som ska genomsökas
genomsök arkiv i max GRÄNS sekunder
genomsök endast filerna i ett arkiv om de är mindre än STORLEK (standard 0 =
obegränsad)
genomsök endast filerna i ett självuppackande arkiv om de är mindre än STORLEK
megabyte (standard 0 = obegränsad)
genomsök e-postfiler (standard)
genomsök inte e-postfiler
genomsök brevlådor (standard)
genomsök inte brevlådor
genomsök självuppackande arkiv (standard)
genomsök inte självuppackande arkiv
genomsök internt packade filer (standard)
genomsök inte internt packade filer
sök efter potentiellt farliga program
sök inte efter potentiellt farliga program (standard)
sök efter potentiellt oönskade program
sök inte efter potentiellt oönskade program (standard)
genomsök efter misstänkta program (standard)
genomsök inte efter misstänkta program
använd signaturer (standard)
använd inte signaturer
aktivera heuristik (standard)
inaktivera heuristik
aktivera Avancerad heuristik (standard)
inaktivera Avancerad heuristik
genomsök endast TILLÄGG avgränsade med kolon
undanta TILLÄGG avgränsade med kolon från genomsökning
använd LÄGE för rensning av infekterade objekt
Följande alternativ finns tillgängliga:
ingen - Ingen automatisk rensning sker.
standard (standardinställningen) - ecls.exe försöker rensa eller ta bort infekterade
filer automatiskt.
strikt - ecls.exe försöker rensa eller ta bort infekterade filer automatiskt utan att du
behöver göra något (du meddelas inte innan filer tas bort).
utförlig - ecls.exe försöker ta bort filer utan att rensa dem oavsett vad det är för fil.
ta bort - ecls.exe försöker ta bort filer utan att rensa dem, men undviker att ta bort
känsliga filer som Windows-systemfiler.
kopiera infekterade filer (om rensade) till karantän
(kompletterar åtgärden som utförs vid rensning)
kopiera inte infekterade filer till karantän
Allmänna alternativ
/help
/version
/preserve-time
visa hjälp och avsluta
visa versionsinformation och avsluta
bevara tidsstämpeln för senaste åtkomst
Slutkoder
0
1
10
50
100
124
inga hot upptäcktes
hot upptäcktes och rensades
det gick inte att genomsöka en del filer (kan vara hot)
hot upptäckt
fel
OBS! Slutkoder som överskrider 100 betyder att filen inte har genomsökts och därför kan vara infekterad.
3.9.5 Detektering av inaktivt tillstånd
Det går att konfigurera inställningarna för detektering av inaktivt tillstånd i Avancerade inställningar under Antivirus
> Genomsökning vid inaktivitet > Detektering av inaktivt tillstånd. Dessa inställning att anger en utlösning av
Detektering av inaktivt tillstånd när:
skärmsläckaren är aktiv,
datorn är låst,
en användare loggar ut.
Använd reglagen för respektive status för att aktivera och inaktivera utlösarna för detektering av inaktivt tillstånd.
3.9.6 ESET SysInspector
3.9.6.1 Introduktion till ESET SysInspector
ESET SysInspector är ett program som inspekterar datorn noggrant och visar insamlade data på ett omfattande sätt.
Information om installerade drivrutiner och program, nätverksanslutningar eller viktiga registerposter kan hjälpa dig
utreda misstänkta beteenden i systemet på grund av problem med program eller maskinvara, eller infektion med
skadlig kod.
Det går att öppna ESET SysInspector på två sätt: Från den integrerade versionen i ESET Security-lösningar eller
genom att hämta den fristående versionen (SysInspector.exe) gratis på ESET:s webbplats. Båda versionerna har
identiska funktioner och har samma programkontroller. Den enda skillnaden är hanteringen av utdata. De fristående
och integrerade versionerna exporterar systemavbildningar till en .xml-fil och sparar dem på disken. Det
integrerade versionen gör det dock möjligt att lagra systemavbildningar direkt i Verktyg > ESET SysInspector (utom
ESET Remote Administrator). Se avsnittet ESET SysInspector som en del av ESET Endpoint Security.
Det tar en liten stund för ESET SysInspector att genomsöka datorn. Det kan ta från tio sekunder upp till ett par
minuter beroende på maskinvarukonfigurationen, operativsystemet och antalet program som installerats på datorn.
3.9.6.1.1 Starta ESET SysInspector
Starta ESET SysInspector genom att köra filen SysInspector.exe du hämtade från ESET:s webbplats. Om du redan har
installerat någon av ESET Security-lösningarna går det att köra ESET SysInspector direkt från Start-menyn (klicka på
Program > ESET > ESET Endpoint Security).
Vänta medan programmet undersöker ditt system, det kan ta upp till flera minuter.
125
3.9.6.2 Användargränssnitt och programanvändning
Huvudfönstret delas in i fyra huvudsektioner: Programkontroller längst upp, fönstret Navigering till vänster,
fönstret Beskrivning till höger i mitten och fönstret Detaljer längst ned till höger i programmets huvudfönster.
Avsnittet Loggstatus visar de grundläggande parametrarna i en logg (använt filter, filtertyp, är loggen en jämförelse
osv.).
3.9.6.2.1 Programkontroller
Detta avsnitt beskriver alla programkontroller i ESET SysInspector.
Arkiv
Klicka på Arkiv för att spara den aktuella rapporten och undersöka den vid ett senare tillfälle eller öppna en rapport
som har sparats vid ett tidigare tillfälle. I publiceringssyfte rekommenderar vi att skapa en logg Lämplig att skicka. I
denna form utelämnar loggen känslig information (aktuellt användarnamn, datornamn, domännamn, aktuella
användarprivilegier, miljövariabler osv.).
OBS! Det går att öppna tidigare sparade ESET SysInspector-rapporter genom att dra och släppa dem i huvudfönstret.
Träd
Gör det möjligt att visa eller dölja alla noder och exportera valda sektioner till Tjänsteskript.
Lista
Innehåller funktioner som underlättar navigering i programmet och andra funktioner som t.ex. att hitta information
online.
Hjälp
Innehåller information om programmet och dess funktioner.
126
Information
Denna inställning påverkar informationen som visas i huvudfönstret för att göra det enklare att arbeta med
informationen. Läget Grundläggande ger tillgång till information som används för att hitta lösningar till vanliga
problem i systemet. I läget Medel visar programmet färre uppgifter. I läget Fullständig visar ESET SysInspector all
information som krävs för att lösa mycket specifika problem.
Filtrering
Objektfiltrering används oftast för att hitta misstänkta filer eller registerposter i systemet. Justera reglaget för att
filtrera objekt efter risknivå. Om reglaget flyttas längst till vänster (Risknivå 1) visas alla objekt. Om du flyttar
reglaget till höger filtrerar programmet ut alla objekt som är mindre riskfyllda än den aktuella risknivån och objekt
som är mer misstänkta än den angivna nivån visas. Om reglaget flyttas längst till höger visas endast kända och
skadliga objekt i programmet.
Alla objekt märkta som risk 6 till 9 är potentiella säkerhetsrisker. Om du inte använder en ESET säkerhetslösning,
rekommenderar vi att du genomsöker systemet med ESET Online Scanner om ESET SysInspector har hittat ett sådant
objekt. ESET Online Scanner är en gratistjänst.
OBS! Du kan snabbt fastställa risknivån på ett objekt genom att jämföra färgen på objektet med färgen i reglaget för
risknivå.
Jämför
När du jämför två loggar kan du välja att visa alla objekt, endast tillagda objekt, endast borttagna objekt eller endast
ersatta objekt.
Sök
Sökfunktionen används för att snabbt hitta ett specifikt objekt genom att ange namnet eller en del av namnet.
Sökresultatet visas i fönstret Beskrivning.
Återgå
Återvänd till informationen som visades tidigare i fönstret Beskrivning genom att klicka på bakåt- eller framåtpilen.
Du kan även använda tangenterna för backsteg respektive blanksteg i stället för att klicka bakåt och framåt.
Statussektion
Visar aktuell nod i fönstret Navigering.
Viktigt: Objekt som markeras med rött är okända och har därför markerats som potentiellt farliga av programmet.
Om ett objekt visas i rött betyder det inte automatiskt att du kan ta bort filen. Innan du tar bort några filer bör du
kontrollera om de verkligen är farliga eller onödiga.
3.9.6.2.2 Navigera i ESET SysInspector
ESET SysInspector delar upp olika typer av information i flera grundläggande sektioner som kallas för noder. Om det
finns ytterligare information kan du se den genom att expandera varje nod och visa undernoderna. Visa eller dölj en
nod genom att dubbelklicka på nodens namn eller klicka på eller intill nodens namn. Om du bläddrar genom
trädstrukturen med noder och undernoder i navigeringsfönstret visas olika information i beskrivningsfönstret för
varje nod. Om du bläddrar genom objekt i beskrivningsfönstret visas eventuellt ytterligare information i
detaljfönstret för varje objekt.
Nedanstående beskrivningar gäller huvudnoderna i navigeringsfönstret och relaterad information i beskrivningsoch detaljfönstren.
Processer som körs
Denna nod innehåller information om program och processer som körs när rapporten skapas. Du kan hitta ytterligare
information för varje process i beskrivningsfönstret, som t.ex. de dynamiska bibliotek som används av processen
och var i systemet de finns, namnet på programmets leverantör och filens risknivå.
Detaljfönstret innehåller ytterligare information, som t.ex. filstorlek eller hash-värde, för objekt som markeras i
127
beskrivningsfönstret.
OBS! Ett operativsystem består av flera viktiga kernelkomponenter som körs oavbrutet och som tillhandahåller
grundläggande och nödvändiga funktioner för andra användarprogram. I vissa fall visas sådana processer i verktyget
ESET SysInspector med en filsökväg som börjar med \??\. Symbolerna betyder att optimering innan start
tillhandahålls för de processerna, de är säkra för systemet.
Nätverksanslutningar
I beskrivningsfönstret visas en lista över processer och program som kommunicerar över nätverket med hjälp av det
protokoll som har angetts i navigeringsfönstret (TCP eller UDP) tillsammans med fjärradressen som programmet är
anslutet till. Det går även att kontrollera IP-adresser för DNS-servrar.
Detaljfönstret innehåller ytterligare information, som t.ex. filstorlek eller hash-värde, för objekt som markeras i
beskrivningsfönstret.
Viktiga registerposter
Innehåller en lista över angivna registerposter som ofta rör olika problem med systemet som t.ex. poster som anger
startprogram, webbläsartillägg (BHO) osv.
I beskrivningsfönstret kan du hitta information om vilka filer som hör till olika registerposter. Ytterligare
information visas eventuellt i detaljfönstret.
Tjänster
I beskrivningsfönstret visas en lista över filer som har registrerats som Windows-tjänster. Du kan kontrollera på
vilket sätt tjänsten ska startas samt filens specifika detaljer i detaljfönstret.
Drivrutiner
En lista över drivrutiner som har installerats i systemet.
Kritiska filer
I beskrivningsfönstret visas kritiska filer som hör ihop med operativsystemet Microsoft Windows.
Aktiviteter för systemets schemaläggare
Innehåller en lista med aktiviteter utlösta av Windows Schemalagda aktiviteter vid en viss/visst intervall.
Systeminformation
Innehåller detaljerad information om maskinvara och programvara tillsammans med information om angivna
miljövariabler, användarbehörigheter och systemhändelseloggar.
Filinformation
En lista över viktiga systemfiler och filer i mappen Program. I beskrivnings- och detaljfönstren visas ytterligare
information som gäller filerna.
Om
Information om ESET SysInspector version och lista med programmoduler.
128
3.9.6.2.2.1 Tangentbordsgenvägar
Följande tangentgenvägar kan användas i ESET SysInspector:
Arkiv
Ctrl+O
Ctrl+S
öppnar befintlig logg
sparar skapade loggar
Generera
Ctrl+G
Ctrl+H
skapar en standardavbildning av datorns status
skapar en avbildning av datorns status som även kan innehålla känslig information
Objektfiltrering
1, O
2
3
4, U
5
6
7, B
8
9
+
Ctrl+9
Ctrl+0
okej, objekt från risknivån 1–9 visas
okej, objekt från risknivån 2–9 visas
okej, objekt från risknivån 3–9 visas
okänt, objekt från risknivån 4–9 visas
okänt, objekt från risknivån 5–9 visas
okänt, objekt från risknivån 6–9 visas
riskfyllt, objekt från risknivån 7–9 visas
riskfyllt, objekt från risknivån 8–9 visas
riskfyllt, objekt från risknivån 9 visas
minskar risknivån
ökar risknivån
filtreringsläge, samma nivå eller högre
filtreringsläge, endast samma nivå
Visa
Ctrl+5
Ctrl+6
Ctrl+7
Ctrl+3
Ctrl+2
Ctrl+1
Backsteg
Blanksteg
Ctrl+W
Ctrl+Q
visa enligt leverantör, alla leverantörer
visa enligt leverantör, endast Microsoft
visa enligt leverantör, alla övriga leverantörer
visar fullständig information
visar information på medelnivå
grundläggande visning
flyttar ett steg tillbaka
flyttar ett steg framåt
expanderar trädet
döljer undernoder i trädet
Andra kontroller
Ctrl+T
Ctrl+P
Ctrl+A
Ctrl+C
Ctrl+X
Ctrl+B
Ctrl+L
Ctrl+R
Ctrl+Z
Ctrl+F
Ctrl+D
Ctrl+E
går till objektets ursprungliga plats när det har markerats i sökresultaten
visar grundläggande information om ett objekt
visar fullständig information om ett objekt
kopierar det aktuella objektets träd
kopierar objekt
hittar information om markerade filer på Internet
öppnar mappen där den markerade filen finns
öppnar motsvarande post i Registereditorn
kopierar filens sökväg (om objektet hör till en fil)
växlar till sökfältet
stänger sökresultat
kör tjänsteskript
Jämförelse
Ctrl+Alt+O
öppnar ursprunglig logg/jämförelselogg
129
Ctrl+Alt+R
Ctrl+Alt+1
Ctrl+Alt+2
Ctrl+Alt+3
Ctrl+Alt+4
Ctrl+Alt+5
Ctrl+Alt+C
Ctrl+Alt+N
Ctrl+Alt+P
avbryter jämförelse
visar alla objekt
visar endast tillagda objekt, loggen visar objekt som finns i aktuell logg
visar endast borttagna objekt, loggen visar objekt som finns i föregående logg
visar endast ersatta objekt (inklusive filer)
visar endast skillnaderna mellan loggar
visar jämförelse
visar aktuell logg
öppnar föregående logg
Övrigt
F1
Alt+F4
Alt+Shift+F4
Ctrl+I
visa hjälp
stäng programmet
stäng programmet utan att fråga
loggstatistik
3.9.6.2.3 Jämför
Funktionen Jämför gör det möjligt för användaren att jämföra två befintliga loggar. Resultatet är en uppsättning
objekt som skiljer sig åt i loggarna. Det kan vara användbart om du vill spåra ändringar i systemet, ett användbart
verktyg för att söka efter skadlig kod.
När programmet startas skapas en ny logg som visas i ett nytt fönster. Gå till Arkiv > Spara logg för att spara loggen i
en fil. Loggfiler kan öppnas och visas vid ett senare tillfälle. Använd Arkiv > Öppna logg för att öppna en befintlig
logg. ESET SysInspector visar alltid en logg per gång i huvudfönstret.
Fördelen med att jämföra två loggar är att det går att visa en aktuell logg och en logg sparad i en fil. Välj Arkiv >
Jämför loggar och sedan Välj fil för att jämföra loggar. Den logg som du väljer jämförs med den aktiva loggen i
huvudfönstret. Jämförelseloggen visar endast skillnaderna mellan loggarna.
OBS! Om du jämför två loggfiler, klicka på Arkiv > Spara logg för att spara den som en ZIP-fil. Båda filerna sparas. Om
filen öppnas vid ett senare tillfälle jämförs loggarna i den automatiskt.
Bredvid objekten visar ESET SysInspector symboler som identifierar skillnaderna mellan de två jämförda loggarna.
Beskrivning av alla symboler som kan visas bredvid objekten:
nytt värde, finns inte i föregående logg
trädstrukturen innehåller nya värden
borttaget värde, finns endast i den föregående loggen
trädstrukturen innehåller borttagna värden
värde / fil ändrad
trädstrukturen innehåller ändrade värden / filer
risknivån har minskat / den var högre i föregående logg
risknivån har ökat / den var lägre i föregående logg
I avsnittet med förklaringarna som visas längst ned till vänster beskrivs alla symboler och namnen på de jämförda
loggarna visas.
Alla jämförelseloggar kan sparas i en fil och öppnas vid ett senare tillfälle.
130
Exempel
Skapa och spara en logg där ursprunglig information om systemet registreras i en fil som heter gammal.xml. När
ändringar har utförts i systemet kan du öppna ESET SysInspector och låta programmet skapa en ny logg. Spara den i
en fil som heter ny.xml.
Spåra ändringarna mellan dessa loggar genom att klicka på Arkiv > Jämför loggar. Programmet skapar då en
jämförelselogg som visar skillnaderna mellan loggarna.
Samma resultat kan uppnås om du använder följande kommandoradsalternativ:
SysIsnpector.exe ny.xml gammal.xml
3.9.6.3 Kommandoradsparametrar
ESET SysInspector stöder att rapporter genereras från kommandoraden med dessa parametrar:
/gen
/privacy
/zip
/silent
/blank
skapa logg direkt från kommandoraden utan att starta det grafiska användargränssnittet
skapa logg utan känslig information
spara resultatlogg i ett komprimerat ZIP-arkiv
blockera förloppsfönstret när en logg skapas från kommandoraden
starta ESET SysInspector utan att skapa/läsa in logg
Exempel
Användning:
SysInspector.exe [load.xml] [/gen=save.xml] [/privacy] [/zip] [compareto.xml]
Läs in angiven logg direkt i webbläsaren med: SysInspector.exe .\clientlog.xml
Skapa logg direkt från kommandoraden med: SysInspector.exe /gen=.\mynewlog.xml
Skapa logg utan känslig information direkt i en komprimerad fil med: SysInspector.exe /gen=.\mynewlog.zip /privacy
/zip
Jämför två loggfiler och visa skillnaderna med: SysInspector.exe new.xml old.xml
OBS! Om det finns ett mellanrum i namnet på filen/mappen ska det omges av citationstecken.
3.9.6.4 Tjänsteskript
Tjänsteskript är ett verktyg hjälper till kunder som använder ESET SysInspector genom att enkelt ta bort oönskade
objekt från systemet.
Tjänsteskriptet gör det möjligt för användaren att exportera hela ESET SysInspector-loggen eller markerade delar i
den. Efter export går det att markera oönskade objekt som ska tas bort. Kör sedan den ändrade loggen för att ta bort
markerade objekt.
Tjänsteskriptet är lämpligt för avancerade användare som har tidigare erfarenhet av att diagnostisera problem i
systemet. Icke-kvalificerade ändringar kan orsaka skada på operativsystemet.
Exempel
Följ anvisningarna nedan om du misstänker att datorn har infekterats av ett virus som inte har upptäckts av
antivirusprogrammet.
1. Kör ESET SysInspector för att skapa en ny avbildning av systemet.
2. Markera alla objekt genom att markera det första objektet i sektionen till vänster (i trädstrukturen), tryck på Shift
och markera sedan det sista objektet.
3. Högerklicka på de markerade objekten och välj Exportera markerade sektioner till tjänsteskript.
4. De markerade objekten exporteras till en ny logg.
5. Följande steg är det viktigaste i hela proceduren: öppna den nya loggen och ändra - attributet till + för alla objekt
som du vill ta bort. Kontrollera att inga viktiga filer/objekt i operativsystemet markeras.
6. Öppna ESET SysInspector, klicka på Arkiv > Kör tjänsteskript och ange sökvägen till skriptet.
7. Klicka på OK för att köra skriptet.
131
3.9.6.4.1 Generera tjänsteskript
Generera ett skript genom att högerklicka på ett objekt i menyträdet (i det vänstra fönstret) i ESET SysInspector
huvudfönster. Välj antingen Exportera alla sektioner till tjänsteskript eller Exportera markerade sektioner till
tjänsteskript.
OBS! Det går inte att exportera tjänsteskriptet när två loggar jämförs.
3.9.6.4.2 Tjänsteskriptets struktur
Den första raden i skriptets rubrik innehåller information om motorversion (ev), GUI-version (gv) och loggversion
(lv). Använd dessa uppgifter för att spåra eventuella ändringar i .xml-filen som genererar skriptet och förhindra
motsägelser under körning. Denna del av skriptet bör inte ändras.
Resten av filen delas in i sektioner i vilka det går att redigera objekt (ange dem som bearbetas av skriptet). Markera
objekt till bearbetning genom att byta tecknet - framför objektet med tecknet +. Sektionerna i skriptet avskiljs från
varandra med en tom rad. Varje sektion har ett nummer och en rubrik.
01) Processer som körs
Denna sektion innehåller en lista med alla processer som körs på systemet. Varje process identifieras av sin UNCsökväg och därefter sin CRC16-hashkod mellan asterisker (*).
Exempel:
01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]
I detta exempel valdes processen module32.exe (markerad med ett plustecken), processen avslutas när skriptet
körs.
02) Inlästa moduler
Denna sektion visar systemmoduler som används.
Exempel:
02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]
I detta exempel markerades modulen khbekhb.dll med ett +. När skriptet körs känner det igen processerna som
använder den modulen och avslutar dem.
03) TCP-anslutningar
Denna sektion innehåller information om befintliga TCP-anslutningar.
Exempel:
03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner:
System
[...]
När skriptet körs söker det efter ägaren till en socket i de markerade TCP-anslutningarna och stoppar denna socket
och frigör systemresurser.
132
04) UDP-slutpunkter
Denna sektion innehåller information om befintliga UDP-slutpunkter.
Exempel:
04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]
När skriptet körs söker det efter ägaren till en socket i de markerade TCP-anslutningarna och stoppar denna socket.
05) DNS-serverposter
Denna sektion innehåller information om den aktuella DNS-serverkonfigurationen.
Exempel:
05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]
Markerade DNS-serverposter tas bort när skriptet körs.
06) Viktiga registerposter
Denna sektion innehåller information om viktiga registerposter.
Exempel:
06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]
De markerade posterna tas bort, reducerade till 0-bytevärden eller återställda till sina standardvärden när skriptet
körs. Åtgärden som vidtas för en viss post beror på postens kategori och nyckelns värde i det specifika registret.
07) Tjänster
Denna sektion visar tjänster som registrerats i systemet.
Exempel:
07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running,
startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running,
startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped,
startup: Manual
[...]
De markerade tjänsterna och deras beroende tjänster stoppas och avinstalleras när skriptet körs.
08) Drivrutiner
Denna sektion visar installerade drivrutiner.
133
Exempel:
08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running,
startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32
\drivers\adihdaud.sys, state: Running, startup: Manual
[...]
När skriptet körs, stoppas de valda drivrutinerna. Observera att en del drivrutiner inte tillåter att de stoppas.
09) Kritiska filer
Detta avsnitt innehåller information om filer som är kritiska för operativsystemets funktion.
Exempel:
09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]
De valda objekten antingen tas bort eller återställs till sina ursprungliga värden.
3.9.6.4.3 Köra tjänsteskript
Markera alla önskade objekt, spara och stäng sedan skriptet. Kör det redigerade skriptet direkt i ESET SysInspector
huvudfönster genom att välja alternativet Kör tjänsteskript från Arkiv-menyn. När du öppnar ett skript, visar
programmet följande meddelande: Vill du köra tjänsteskriptet %Skriptnamn%? När valet bekräftats, visas kanske en
annan varning som talar om att tjänsteskriptet du försöker köra inte har signerats. Klicka på Kör för att starta
skriptet.
Ett dialogfönster bekräftar att skriptet kördes.
Om det endast gick att delvis bearbeta skriptet, visas ett dialogfönster med följande meddelande: Tjänsteskriptet
har delvis körts. Vill du visa felrapporten? Välj Ja för att visa en utförlig felrapport med åtgärderna som inte
utfördes.
Om skriptet inte kändes igen, visas ett dialogfönster med följande meddelande: Det markerade tjänsteskriptet är
inte signerat. Om du kör osignerade och okända skript kan datorns information skadas avsevärt. Vill du köra skriptet
och utföra åtgärderna? Detta kan orsakas av motsägelser i skriptet (skadad rubrik, skadad sektionsrubrik, saknad tom
rad mellan sektioner osv.). Det går att antingen öppna skriptfilen på nytt och rätta till felen eller skapa ett nytt
tjänsteskript.
134
3.9.6.5 FAQ
Behövs det administratörsbehörighet för att köra ESET SysInspector?
Även om det inte behövs administratörsbehörighet för att köra ESET SysInspector kan vissa av uppgifterna som
programmet samlar in bara hämtas med ett administratörskonto. Om programmet körs av en standardanvändare
eller en begränsad användare samlas färre uppgifter om operativsystemet in.
Skapar ESET SysInspector loggfil?
ESET SysInspector kan skapa en loggfil med datorns konfiguration. Välj Arkiv > Spara logg i programmets
huvudfönster om du vill spara en loggfil. Loggfilerna sparas i XML-format. Filerna sparas som standard i katalogen %
ANVÄNDARPROFIL%\Mina dokument\ med formatet SysInspector-%DATORNAMN%-ÅÅMMDD-TTMM.XML. Du kan
ändra platsen och namnet innan du sparar loggfilen om du föredrar det.
Hur kan jag visa ESET SysInspector-loggfilen?
Visa en loggfil som har skapats av ESET SysInspector genom att köra programmet och klicka på Arkiv > Öppna logg i
programmets huvudfönster. Du kan även dra och släppa loggfiler på ESET SysInspector-programmet. Om du ofta
behöver visa loggfiler i ESET SysInspector rekommenderar vi att du skapar en genväg till filen SYSINSPECTOR.EXE på
ditt skrivbord. Det går sedan dra och släppa loggfiler på genvägsikonen för att visa dem. Av säkerhetsskäl kanske
Windows Vista/7 inte tillåter att dra och släppa mellan fönster som har olika behörigheter.
Finns det någon specifikation tillgänglig för loggfilsformatet? Finns det ett SDK?
I det nuvarande läget finns det varken en specifikation för loggfilen eller ett SDK eftersom programmet fortfarande
är under utveckling. När programmet har släppts kan vi eventuellt tillhandahålla dessa beroende på feedback och
efterfrågan från kunder.
Hur utvärderar ESET SysInspector den risk som ett visst objekt utgör?
I de flesta fall tilldelar ESET SysInspector risknivåer till objekt (filer, processer, registernycklar osv.) med hjälp av
åtskilliga heuristiska regler så att egenskaperna i varje objekt kan granskas och risken för skadlig aktivitet kan
utvärderas. Baserat på heuristiken kan objekt tilldelas en risknivå från 1 - Okej (grönt) till 9 - Riskfyllt (rött). I det
vänstra navigeringsfönstret färgläggs sektionerna enligt den högsta risknivån som ett objekt i dem har tilldelats.
Betyder risknivån 6: Okänt (rött) att ett objekt är farligt?
Utvärderingarna som görs av ESET SysInspector betyder inte nödvändigtvis att ett objekt är skadligt. Den
bedömningen bör göras av en säkerhetsexpert. ESET SysInspector har utformats för att tillhandahålla en snabb
utvärdering för säkerhetsexperter så att de vet vilka objekt i ett system som de ska undersöka i mer detalj.
Varför ansluter ESET SysInspector till Internet när programmet körs?
Liksom många andra program signeras ESET SysInspector med ett digitalt signaturcertifikat för att underlätta
kontrollen om programvaran har utgetts av ESET och att det inte har ändrats. Operativsystemet kontaktar en
certifikatutfärdare för att kontrollera certifikatets giltighet och programvaruutgivarens identitet. Det här är en
normal funktion för alla program på Microsoft Windows som är digitalt signerade.
Vad är Anti-Stealth-teknik?
Anti-Stealth-tekniken innebär att rootkit identifieras på ett effektivt sätt.
Om systemet angrips av skadlig kod som fungerar som ett rootkit utsätts användaren för dataförlust eller -stöld. Om
inte ett speciellt verktyg mot rootkit används är det nästan omöjligt att identifiera rootkit.
Varför finns det ibland filer markerade Signerad av MS som samtidigt har en annan post i Företagsnamn?
När den körbara filens digital signatur identifieras, söker ESET SysInspector först efter en digital signatur som är
inbäddad i filen. Om en digital signatur hittas, valideras filen med denna information. Om en digital signatur inte
hittas, söker ESI efter motsvarande CAT-fil (säkerhetskatalog %systemroot%\system32\catroot) som innehåller
information om den körbara filen som bearbetas. Om den relevanta CAT-filen hittas, tillämpas den digitala
signaturen för denna CAT i valideringen av den körbara filen.
135
Detta är orsaken till att filer ibland markeras som Signerad av MS men har en annan post i Företagsnamn.
3.9.6.6 ESET SysInspector som en del av ESET Endpoint Security
Öppna avsnittet ESET SysInspector i ESET Endpoint Security genom att klicka på Verktyg > ESET SysInspector.
Hanteringssystemet i ESET SysInspector-fönstret liknar loggar för genomsökning av datorn eller schemalagda
aktiviteter. Alla åtgärder för systemavbildningar - skapa, visa, jämföra, ta bort och exportera - finns tillgängliga med
en eller två musklickningar.
ESET SysInspector-fönstret innehåller grundläggande information om de avbildningar som har skapats, som t.ex.
tiden då avbildningen skapades, kort kommentar, namnet på användaren som skapade avbildningen samt
avbildningsstatus.
Jämför, skapa eller ta bort avbildningar genom att använda motsvarande knappar under listan över avbildningar i
ESET SysInspector-fönstret. Dessa alternativ finns även tillgängliga i kontextmenyn. Välj Visa i kontextmenyn för att
visa den markerade systemavbildningen. Exportera den markerade avbildningen till en fil genom att högerklicka på
den och välja Exportera....
Nedan finns en detaljerad beskrivning av tillgängliga alternativ:
Jämför - jämför två befintliga loggar. Åtgärden är användbar om du vill spåra ändringar mellan nuvarande logg och
en äldre logg. Välj två avbildningar att jämföras för att använda det här alternativet.
Skapa... - skapar en ny post. Innan du skapar en ny post måste du ange en kort kommentar om den. Se förloppet
när avbildningen skapas (av aktuell avbildning) i kolumnen Status. Alla avbildningar som har slutförts markeras
med statusvärdet Skapad.
Ta bort/Ta bort alla - tar bort poster från listan.
Exportera... - sparar den markerade posten i en XML-fil (även i komprimerad version).
3.10 Ordlista
3.10.1 Hottyper
En infiltrering är ett skadligt program som försöker få tillgång till och/eller skada en användares dator.
3.10.1.1 Virus
Ett datorvirus är ett stycke skadlig kod som läggs till befintliga filer på din dator. Virus har fått sitt namn efter
biologiska virus, eftersom de sprider sig mellan olika datorer på ungefär samma sätt. Termen "virus" används ofta
felaktigt som namn på alla typer av hot. Denna användning försvinner gradvis och byts ut mot den mer korrekta
termen "skadlig kod" (skadlig programvara).
Datorvirus angriper huvudsakligen körbara filer och dokument. I korthet fungerar ett datorvirus så här: efter körning
av en infekterad fil, anropas den skadliga koden och körs innan det ursprungliga programmet körs. Ett virus kan
infektera alla filer som den aktuella användaren har skrivbehörighet till.
Hur aktiva och allvarliga datorvirus är varierar. Vissa av dem är extremt farliga eftersom de avsiktligt kan ta bort filer
från en hårddisk. Å andra sidan finns det virus som inte orsakar någon verklig skada. De är endast avsedda att irritera
användaren och demonstrera författarnas tekniska kunskaper.
Om datorn infekterats med ett virus och det inte går att rensa, skicka inte det till ESET:s laboratorium för
undersökning. I en del fall ändras infekterade filer i en sådan grad att rensning inte är möjlig och filerna måste bytas
ut mot rena kopior.
136
3.10.1.2 Maskar
En datormask är ett program som innehåller skadlig kod och som attackerar värddatorer och sprider sig via nätverk.
Den huvudsakliga skillnaden mellan ett virus och en mask är att maskar själva kan sprida sig - de är inte beroende av
värdfiler (eller startsektorer). Maskar sprids till e-postadresser i din kontaktlista eller utnyttjar sårbarheter i
säkerheten hos nätverksprogram.
Maskar är därför mer livskraftiga än datorvirus. På grund av Internets tillgänglighet kan de inom några timmar eller
till och med minuter från att de släpps spridas över hela världen. Denna förmåga att snabbt sprida sig själva gör
maskar farligare än andra typer av skadlig programvara.
En mask som har aktiverats på en dator kan orsaka ett antal olika problem: Den kan ta bort filer, försämra datorns
prestanda eller till och med inaktivera vissa program. Sättet på vilket maskar fungerar gör det möjligt för dem att bli
transportmedel för andra typer av infiltreringar.
Om datorn infekteras av en mask rekommenderar vi att ta bort de infekterade filerna, eftersom de troligen
innehåller skadlig kod.
3.10.1.3 Trojaner
Från början definierades trojaner (trojanska hästar) i datorsammanhang som en klass av hot som utger sig för att
vara användbara program och på så sätt lurar användare att köra dem.
Eftersom trojaner är en mycket omfattande kategori delas den ofta in i flera underkategorier:
Hämtare- Skadliga program som hämtar andra infiltreringar från Internet.
Spridare- Skadliga program som lägga in andra typer av skadlig kod på smittade datorer.
Bakdörr - Skadliga program som kommunicerar med fjärrangripare och låter dem få tillgång till datorn och ta
kontroll över den.
Keylogger-program - (registrerar tangenttryckningar) - ett program som registrerar varje tangent som användaren
trycker på och skickar denna information till fjärrangripare.
Uppringningsprogram - Skadliga program som får datorn att ringa upp dyra betalnummer. Det är nästan omöjligt
för en användare att upptäcka att en ny anslutning skapades. Uppringningsprogram kan endast orsaka skada
tillsammans med modem för uppringda anslutningar, vilket nästan inte används längre.
Om en fil på datorn har identifierats som en trojan, rekommenderar vi att du tar bort den, eftersom den troligen
innehåller skadlig kod.
3.10.1.4 Rootkit
Rootkit är skadliga program som ger Internetangripare obegränsad tillgång till ett system, samtidigt som deras
närvaro förblir dold. När ett rootkit har använts för att komma åt en dator (oftast genom att utnyttja en sårbarhet i
systemet) används funktioner i operativsystemet som gör att antivirusprogram inte upptäcker detta. Processer, filer
och data i Windowsregistret döljs. På grund av detta är det nästan omöjligt att upptäcka angreppet med vanliga
testtekniker.
Det finns två detekteringsnivåer för att förhindra rootkits:
1. Vid försök till åtkomst till ett system: Rootkiten finns fortfarande inte i datorn och är därför inaktiva. De flesta
antivirussystem kan eliminera rootkit på den här nivån (förutsatt att de verkligen detekterar att sådana filer
infekteras).
2. När de är dolda från vanlig genomsökning: ESET Endpoint Security-användare har fördelen av Anti-Stealthtekniken som även kan identifiera och eliminera aktiva rootkit.
137
3.10.1.5 Reklamprogram
Reklamprogram (även kallat adware) är reklamfinansierade program. Program som visar annonsmaterial hamnar
under den här kategorin. Reklamprogram öppnar ofta ett nytt fönster med annonser i en webbläsare eller ändrar
webbläsarens startsida. Reklamprogram levereras ofta tillsammans med gratisprogram, vilket gör att utvecklarna
kan täcka utvecklingskostnaderna för sina (ofta användbara) program.
Reklamprogram är inte farliga i sig själva - användarna störs bara av annonser. Faran ligger i att reklamprogrammen
även kan ha funktioner för spårning (som spionprogram).
Om du använder en gratisprodukt bör du vara uppmärksam under installationen. Installationsprogrammet meddelar
dig troligen om ett extra reklamprogram installeras. Ofta har du möjlighet att avbryta det och installera programmet
utan reklamprogram.
En del program går dock inte att installera utan reklamprogram eller så är funktionaliteten begränsad. Det innebär
att reklamprogram ofta kommer åt systemet på ett "lagligt" sätt, eftersom användaren har tillåtit det. I detta fall är
det bättre att ta det säkra före det osäkra. Om en fil på datorn har identifierats som reklamprogram rekommenderar
vi att du tar bort den, eftersom sannolikheten är hög att den innehåller skadlig kod.
3.10.1.6 Spionprogram
Den här kategorin innehåller alla program som skickar privat information utan att användaren är medveten om det
eller har gett sin tillåtelse. Spionprogram använder funktioner för spårning till att skicka olika typer av statistiska
data, till exempel en lista med besökta webbplatser, e-postadresser från användarens kontaktlista eller en lista
med registrerade tangenttryckningar.
Författarna till spionprogram hävdar att dessa tekniker har som mål att ta reda på mer om användarnas behov och
intressen för att på så sätt möjliggöra bättre riktade annonser. Problemet är att det inte finns någon tydlig gräns
mellan användbara och skadliga program och att det inte går att vara säker på att informationen inte kommer att
missbrukas. Data som hämtas med hjälp av spionprogram kan innehålla lösenord, PIN-koder, bankkontonummer
och så vidare. Skapare av program skickar ofta med spionprogram tillsammans med en gratisversion av programmet
för att tjäna pengar eller för att göra det önskvärt att betala för programmet. Ofta informeras användarna om
förekomsten av spionprogram under installationen så att de får en anledning att uppgradera till en betald version
utan spionprogrammet.
Exempel på välkända gratisprodukter som levereras tillsammans med spionprogram är klientprogram för P2Pnätverk (serverlösa nätverk). Spyfalcon och Spy Sheriff (och många andra) tillhör en specifik underkategori av
spionprogram - de utger sig för att vara antispionprogram men är själva spionprogram.
Om en fil identifieras som spionprogram på datorn rekommenderar vi att ta bort den, eftersom sannolikheten är
hög att den innehåller skadlig kod.
3.10.1.7 Komprimeringsprogram
Komprimeringsprogram är en självuppackande körbar fil som öppnar flera sorter skadlig kod i ett enda paket.
De vanligaste komprimeringsprogrammen är UPX, PE_Compact, PKLite och ASPack. Samma skadliga kod upptäcks på
lika sätt när den komprimeras med ett annat komprimeringsprogram. Komprimeringsprogram har även förmågan att
förändra sina "signaturer" över tid, vilket gör det svårare att identifiera och ta bort skadlig kod.
3.10.1.8 Potentiellt farliga program
Det finns många legitima program som förenklar administration av datorer i ett nätverk. I fel händer kan de dock
användas i skadliga syften. ESET Endpoint Security tillhandahåller alternativet att identifiera sådana hot.
Klassificeringen Potentiellt farliga program används för kommersiell, laglig programvara. Den innefattar program
som t.ex. verktyg för fjärråtkomst, program som spårar lösenord och keylogger-program (program som registrerar
varje tangent användaren trycker ned).
Om du upptäcker att ett potentiellt farligt program körs på datorn (och du inte har installerat det) bör du kontakta
nätverksadministratören eller ta bort programmet.
138
3.10.1.9 Potentiellt oönskade program
Ett potentiellt oönskat program är ett program som innehåller reklamprogram, installerar verktygsfält eller har
andra oklara mål. Det finns vissa situationer där en användare kan anse att fördelarna med ett potentiellt oönskat
program väger tyngre än riskerna. Därför tilldelar ESET sådana program en lägre riskkategori jämfört med andra typer
av skadliga program, som trojaner eller maskar.
Varning – potentiellt hot hittades
När ett potentiellt oönskat program upptäcks får du välja vilken åtgärd som ska vidtas:
1. Rensa/Koppla från: Med det här alternativet avslutas åtgärden och det potentiella hotet hindras från att ta sig in i
systemet.
2. Ingen åtgärd: Detta alternativ tillåter att ett potentiellt hot kommer in i ditt system.
3. Om du vill tillåta att programmet körs obehindrat på datorn i fortsättningen klickar du på Mer info/Visa
avancerade alternativ och markerar sedan kryssrutan intill Undanta från detektering.
När ett potentiellt oönskat program upptäcks och inte kan rensas visas meddelandefönstret Adressen har blockerats
i skärmens nedre högra hörn. För mer information om den här händelsen går du till Verktyg > Loggfiler > Filtrerade
webbplatser från huvudmenyn.
139
Potentiellt oönskade program – inställningar
När ESET-produkten installeras kan du välja om du vill aktivera detektering av potentiellt oönskade program enligt
nedan:
Potentiellt oönskade program kan installera reklamprogram, verktygsfält eller andra oönskade och osäkra
programfunktioner.
Dessa inställningar kan ändras i programinställningarna när som helst. Om du vill aktivera eller inaktivera
detekteringen av potentiellt oönskade, osäkra eller misstänkta program följer du dessa anvisningar:
1. Öppna ESET-produkten. Hur öppnar jag min ESET-produkt?
2. Tryck på F5 för att komma åt Avancerade inställningar.
3. Klicka på Antivirus och aktivera eller inaktivera alternativen Aktivera detektering av potentiellt oönskade
program, Aktivera detektering av potentiellt osäkra program och Aktivera detektering av misstänkta program
enligt dina preferenser. Bekräfta genom att klicka på OK.
140
Potentiellt oönskade program – software wrappers
En software wrapper är en särskilt typ av programmodifiering som används av vissa fildelningsplatser. Det är ett
verktyg från tredje part som installerar programmet du avsåg att hämta, men även ytterligare programvara som
verktygsfält eller reklamprogram. Den ytterligare programvaran kan även ändra webbläsarens startsida och
sökinställningar. Dessutom meddelar fildelningsplatser ofta inte programleverantören eller den som hämtar
programmet om att modifieringar gjorts och gör det svårt att välja bort modifieringen. Därför klassificerar ESET
software wrappers som en typ av potentiellt oönskat program, så att användare kan välja om hämtningen ska
godkännas eller inte.
Läs följande artikel i ESET kunskapsbas för en uppdaterad version av denna hjälpsida.
3.10.1.10 Botnet
En bot, eller webbrobot, är automatisk skadlig programvara som genomsöker block med nätverksadresser och
infekterar sårbara datorer. Med den här typen av program kan hackare ta kontrollen över flera datorer samtidigt och
göra dem till botar (även kallat zombier). Hackare använder vanligen botar för att infektera stora mängder datorer.
Den här stora gruppen infekterade datorer kallas ett botnet. Om din dator infekteras och blir medlem av ett botnet
kan den användas i DDoS-attacker och även för att utföra automatiska åtgärder på Internet utan din kännedom
(exempelvis för att skicka skräppost, sprida virus eller stjäla personlig och privat information som bankuppgifter
eller kreditkortsnummer).
3.10.2 Typer av fjärrangrepp
Det finns många olika tekniker som gör det möjligt för angripare att skada säkerheten för fjärrsystem. Dessa delas in
i flera kategorier.
141
3.10.2.1 Maskattacker
En datormask är ett program som innehåller skadlig kod och som attackerar värddatorer och sprider sig via ett
nätverk. Nätverksmaskar utnyttjar sårbarheter i säkerheten hos olika program. På grund av Internets tillgänglighet
kan de spridas över hela världen inom några timmar från det att de släpps.
De flesta maskattacker kan undvikas med standardsäkerhetsinställningarna i brandväggen. Det är även viktigt att
skyddstypen Offentligt nätverk väljs för offentliga nätverk och att operativsystem och program hålls uppdaterade
med de senaste säkerhetskorrigeringsfilerna.
3.10.2.2 DOS-attacker
DoS eller Denial of Service, är ett försök att göra en dator eller ett nätverk oåtkomligt för sina avsedda användare.
Kommunikationen mellan drabbade användare förhindras och går inte längre att upprätthålla. Datorer som utsätts
för DoS-attacker måste vanligtvis startas om för att fungera korrekt.
I de flesta fall är målen webbservrar och syftet är att göra dem otillgängliga för användare under en viss tid.
3.10.2.3 Portgenomsökning
Portgenomsökning används för att avgöra vilka datorportar som är öppna på en nätverksvärd. En portskanner är ett
program som hittar dessa portar.
En datorport är en virtuell punkt som hanterar inkommande och utgående data, vilket är mycket viktigt ur
säkerhetssynpunkt. I ett stort nätverk kan information som samlas in av portskannrar hjälpa till att identifiera
potentiella sårbarheter. Sådan användning är legitim.
Portgenomsökning används dock ofta av hackare som försöker skada säkerheten. Deras första steg är att skicka
paket till alla portar. Beroende på svarstypen går det att avgöra vilka portar som används. Själva genomsökningen
ger inte upphov till några skador, men du bör vara medveten om att denna aktivitet kan identifiera potentiella
sårbarheter och tillåta att angripare tar kontrollen över fjärrdatorer.
Det rekommenderas att nätverksadministratörer blockerar alla oanvända portar och skyddar de som används från
obehörig åtkomst.
3.10.2.4 DNS-förgiftning
Med DNS-förgiftning (Domain Name Server) lurar hackare DNS-servern till en dator att tro att den falska information
hackarna anger är korrekt och autentisk. Den falska informationen cachas en viss tidsperiod och gör det möjligt för
sabotörer att skriva om IP-adressers DNS-svar. Det innebär att användare som försöker komma åt webbplatser på
Internet hämtar datorvirus eller maskar i stället för det ursprungliga innehållet.
142
3.10.3 E-post
E-post eller elektronisk post, är ett modernt sätt att kommunicera med många fördelar. Det är flexibelt, snabbt och
direkt och spelade en avgörande roll för Internets popularitet i början av 1990-talet.
Dessvärre gör e-postens och Internets höga anonymitetsnivå att det finns utrymme för olagliga aktiviteter som
skräppost, s.k. spam. Spam innehåller oönskad reklam, bluffar och spridning av skadlig programvara. Det blir ännu
mer besvärligt och farligt för användaren genom att det kostar mycket lite att skicka spam och spammare har många
verktyg och källor för att hitta nya e-postadresser. Dessutom är spam mycket svårt att reglera eftersom det finns så
mycket och den är så mångskiftande. Ju längre du använder din e-postadress, desto högre sannolikhet att den
hamnar i en databas i ett spamprogram. Några tips för att förhindra spam:
Publicera om möjligt inte din e-postadress på Internet
Ge bara din e-postadress till personer du litar på
Använd om möjligt inte vanliga alias - med mer invecklade alias blir det mindre sannolikt att de hittar dig
Svara inte på spam som redan har kommit till inkorgen
Var försiktig när du fyller i formulär på Internet - var extra försiktig med kryssrutor som ”Ja, jag vill ha mer
information om... via e-post.”
Använd ”specialiserade” e-postadresser, t.ex. en till arbetet, en annan till att skriva till vänner osv.
Byt e-postadress då och då
Använd en antispamlösning
3.10.3.1 Annonser
Annonsering på Internet är en av de annonseringsformer som växer snabbast. De största fördelarna när det gäller
marknadsföring är minimala kostnader samt en hög riktningsnivå. Dessutom levereras annonserna nästan
omedelbart. Många företag använder marknadsföring via e-post för effektiv kommunikation med både befintliga
och potentiella kunder.
Denna annonseringsmetod är legitim, eftersom användaren kan vara intresserad av att få reklam om vissa
produkter. Men många företag skickar oönskad reklam via e-post. I sådana fall går e-postannonsering över gränsen
och blir spam.
Mängden oönskad e-post har blivit ett problem och visar inga tecken på att avta. Författare till oönskad e-post
försöker maskera spam som legitima meddelanden.
3.10.3.2 Bluffar
En bluff (hoax) är felinformation som sprids via Internet. Bluffar sprids vanligen med e-post och
kommunikationsverktyg som ICQ och Skype. Själva meddelandet är ofta ett skämt eller en vandringssägen.
Datorvirusbluffar försöker skrämma mottagarna och få dem att tro att det finns ett "oupptäckbart virus" som raderar
filer och stjäl lösenord eller skadar systemet på något annat sätt.
En del bluffar fungerar genom att mottagarna ombeds att vidarebefordra meddelandena till sina kontakter, vilket
håller bluffen levande. Det finns mobiltelefonbluffar, vädjanden om hjälp, folk som erbjuder sig att skicka dig
pengar från andra länder osv. I de flesta fall är det omöjligt att veta avsikten.
Om du får ett meddelande som ber dig vidarebefordra det till alla du känner kan det mycket väl vara en bluff. Det
finns många webbplatser på Internet som verifierar att ett e-postmeddelande är äkta. Sök på Internet om alla
meddelanden du misstänker kan vara bluffar innan du vidarebefordrar dem.
143
3.10.3.3 Nätfiske
Termen nätfiske (phishing) definierar en kriminell teknik där användare manipuleras att lämna ifrån sig
konfidentiell information. Målet är att få tillgång till känsliga data som bankkontonummer, PIN-koder och så vidare.
Detta sker oftast genom att någon skickar ett e-postmeddelande och utger sig för att vara en trovärdig person eller
företag (t.ex. en finansinstitution, ett försäkringsbolag eller liknande). E-postmeddelandet kan verka äkta och det
kan innehålla grafik och innehåll som ursprungligen kommer från källan som imiteras. Med olika förevändningar
(verifiering av data, finansiella aktiviteter, osv.) uppmanas du att lämna ifrån dig personliga data, till exempel
bankkontonummer, användarnamn eller lösenord. Alla sådana data kan lätt stjälas och missbrukas om de anges.
Tänk på att banker, försäkringsbolag och andra legitima företag aldrig begär användarnamn eller lösenord via
oönskad e-post.
3.10.3.4 Känna igen spambedrägerier
Det finns några allmänna kännetecken som kan hjälpa dig identifiera spam (oönskad e-post) i inkorgen. Om ett
meddelande uppfyller några av följande villkor är det troligen ett spammeddelande.
Avsändaradressen tillhör inte någon på din kontaktlista.
Du blir erbjuden en stor summa pengar men måste först skicka en mindre summa.
Med olika förevändningar (verifiering av data, finansiella aktiviteter, osv.) uppmanas du att ange personliga data,
till exempel bankkontonummer, användarnamn eller lösenord.
Meddelandet är skrivet på ett främmande språk.
Du ombeds köpa en produkt du inte är intresserad av. Om du bestämmer dig för att köpa den ändå bör du
kontrollera att meddelandets avsändare är en pålitlig försäljare (kontrollera detta med produktens tillverkare).
Vissa ord är felstavade i ett försök att lura spamfiltret. T.ex. ”v1agra” i stället för ”viagra” osv.
3.10.3.4.1 Regler
När det handlar om antispamlösningar och e-postklienter är regler verktyg för manipulering av e-postfunktioner. De
består av två logiska delar:
1. villkor (exempelvis ett inkommande meddelande från en viss adress)
2. åtgärd (exempelvis att ta bort meddelandet eller flytta det till en viss mapp).
Olika antispamlösningar har olika många regler och de kan kombineras på olika sätt. Dessa regler skyddar mot spam
(oönskad e-post). Typiska exempel:
1. Villkor: Ett inkommande e-postmeddelande innehåller vissa ord som normalt förekommer i spammeddelanden
2. Åtgärd: Ta bort meddelandet
1. Villkor: Ett inkommande e-postmeddelande innehåller en bifogad fil med tillägget .exe
2. Åtgärd: Ta bort den bifogade filen och leverera meddelandet
1. Villkor: Ett inkommande e-postmeddelande ankommer från din arbetsgivare
2. Åtgärd: Flytta meddelandet till mappen Arbete
Vi rekommenderar att använda en kombination av olika regler i antispamprogram så att administrationen blir
enklare och spam filtreras på ett effektivt sätt.
144
3.10.3.4.2 Vitlista
I allmänhet är en vitlista en lista med objekt eller personer som har accepterats, eller som har fått behörighet. En
"vitlista för e-post" anger en lista med kontakter som användaren vill ta emot meddelanden från. Sådana vitlistor
baseras på nyckelord som förekommer i e-postadresser, domännamn eller IP-adresser.
Om en vitlista fungerar i exklusivt läge går det inte att ta emot meddelanden från någon adress, domän eller IPadress som inte förekommer i listan. Om vitlistan inte är exklusiv tas sådana meddelanden inte bort, utan filtreras
på något annat sätt.
En vitlista baseras på en princip som är motsatt den för en svartlista. Vitlistor är relativt enkla att underhålla, särskilt
jämfört med svartlistor. Det rekommenderas att du använder både vitlistor och svartlistor så att spamfiltreringen
blir så effektiv som möjligt.
3.10.3.4.3 Svartlista
En svartlista är vanligtvis en lista med oacceptabla eller förbjudna objekt eller personer. I den virtuella världen är
det en teknik som gör att det går att acceptera meddelande från alla användare som inte finns med i en sådan lista.
Det finns två typer av svartlistor: Listor som skapas av användare i deras antispamprogram och professionella
svartlistor på Internet som skapas av specialiserade organisationer och uppdateras regelbundet.
Det är nödvändigt att använda svartlistor för framgångsrik spamfiltrering, men de är mycket svåra att underhålla
eftersom nya objekt som ska blockeras tillkommer varje dag. Vi rekommenderar att använda både vitlistor och
svartlistor så att spamfiltreringen blir så effektiv som möjligt.
3.10.3.4.4 Undantagslista
Undantagslistan innehåller vanligen e-postadresser som kan vara bedrägliga och användas till spam. Epostmeddelanden med avsändarens adress i undantagslistan genomsöks alltid efter spam. Som standard innehåller
undantagslistan dina e-postadresser från befintliga e-postklientkonton.
3.10.3.4.5 Kontroll på serversidan
Kontroll på serversidan är en teknik som gör det möjligt att identifiera massutskickad spam baserat på antalet
mottagna meddelanden och på användarnas reaktioner. Varje meddelande lämnar kvar ett unikt digitalt
”fingeravtryck” baserat på innehållet i meddelandet. Det unika ID-numret säger inget om e-postmeddelandets
innehåll. Två identiska meddelanden får identiska fingeravtryck, medan olika meddelanden får olika fingeravtryck.
Om ett meddelande markeras som spam skickas dess fingeravtryck till servern. Om servern tar emot fler identiska
fingeravtryck (som motsvarar ett visst spammeddelande) lagras fingeravtryck i databasen med spamavtryck. Vid
genomsökning av inkommande meddelanden skickar programmet meddelandenas fingeravtryck till servern.
Servern returnerar information om vilka fingeravtryck som motsvarar meddelanden som redan har markerats som
spam av användarna.
3.10.4 ESET Technology
3.10.4.1 Kryphålsblockering
Kryphålsblockeringen är utformad för att förstärka ofta exploaterade program, såsom webbläsare, PDF-läsare, epostklienter eller MS Office-komponenter. Den övervakar beteenden i processerna för misstänklig aktivitet som
kan indikera ett kryphål. Den tillför ännu ett skyddslager, ett steg närmare attackerarna, genom att använda helt
annan teknik är den som är inriktad på att detektera själva de skadliga filerna.
När kryphålsblockeringen identifierar en misstänklig process kan den stoppa processen omedelbart och registrera
data kring hotet, som nu skickas till ESET Live Grid cloud system. Dessa data bearbetas av ESET:s hotlaboratorium och
används för att bättre skydda alla användare mot okända hot och attacker (nyligen publicerad skadlig programvara
för vilken det inte finns någon förkonfigurerad åtgärd).
145
3.10.4.2 Avancerad minnesskanner
Avancerad minnesskanner fungerar i kombination med Kryphålsblockering för att ge bättre skydd mot skadlig
programvara som har utformats för att kringgå detekteringen genom skadlig programvara vid användning av
förvridning och/eller kryptering. I fall där standardmässig emulering eller heuristik kanske inte upptäcker ett hot
kan den avancerade minnesskannern identifiera misstänkligt beteende och skanna hot när de avslöjas i
systemminnet. Den här lösningen är effektiv även mot tungt mörklagd skadlig programvara. Till skillnad från hos
kryphålsskyddet är det här en metod för verkställande i efterhand, som innebär att det finns risk för att viss skadlig
aktivitet kan har inträffat före detekteringen av ett hot. I de fall där andra detekteringstekniker har misslyckats
erbjuds dock ett extra säkerhetslager.
3.10.4.3 ESET Live Grid
Bygger på ThreatSense.Net® avancerat varningssystem, ESET Live Grid använder data som ESET:s användare har
skickat jorden runt och skickat dem till ESET Virus Lab. Genom att erbjuda prov på misstänkt material och metadata
från verkligheten gör ESET Live Grid det möjligt för oss att reagera omedelbart på våra kunders behov och hålla ESET
uppmärksamma på de senaste hoten. ESET forskare inom skadlig kod använder informationen för att skapa en
korrekt ögonblicksbild av naturen och omfattningen av globala hot, som hjälper oss att fokusera på rätt mål. ESET
Live Grid-data spelar en viktig roll när det gäller inställningsprioriteringarna i vår automatiserade bearbetning.
Dessutom implementeras ett ryktessystem som bidrar till att förbättra den övergripande effektivitet för våra
lösningar när det gäller skadlig programvara. När en exe-fil eller arkiveringsfil undersöks i en användares system
jämförs dess hash tag först mot en databas med vit- och svartlistade objekt. Om den hittas i vitlistan betraktas den
inspekterade filen som ren och flaggas för att uteslutas från framtida genomsökningar. Om den är på svartlistan
vidtas lämpliga åtgärder baserat på hotets karaktär. Om ingen träff hittas skannas filen noggrant. Baserat på
resultaten i den här genomsökningen kategoriseras filerna som hot eller icke-hot. Den här inriktningen har en
signifikant positiv påverkan på genomsökningsprestandan.
Det här ryktessystemet möjliggör effektiv detektion av prov på skadlig programvara även innan deras signaturer
distribueras till användare via uppdateringar av virussignaturdatabasen flera gånger om dagen.
3.10.4.4 Botnätsskydd
Botnätsskyddet upptäcker skadlig programvara genom att analysera nätverkets kommunikationsprotokoll. Botnetprogramvara ändras frekvent till skillnad från nätverksprotokoll, som inte har ändrats de senaste åren. Den här nya
tekniken hjälper ESET att bekämpa skadlig programvara som försöker ansluta din dator till botnet-nätverk.
3.10.4.5 Java-kryphålsblockering
Java-kryphålsblockering är en utökning av den befintliga kryphålsblockeringen. Den övervakar Java och letar efter
misstänkta beteenden. Blockerade prov kan rapporteras till analytiker av skadlig programvara, så att de kan skapa
signaturer för att blockera Java-kryphål i olika lager (URL-blockering, filhämtning och så vidare).
146