ESET ENDPOINT ANTIVIRUS 6 Посібник користувача Microsoft® Windows® 10/8.1/8/7/Vista/XP x86 SP3/XP x64 SP2 Натисніть тут, щоб завантажити найновішу версію цього документа

ESET ENDPOINT ANTIVIRUS 6 © ESET, spol. s r. o., 2016 ESET Endpoint Antivirus розроблено компанією ESET, spol. s r. o. Докладніше див. на веб-сайті www.eset.ua. Усі права захищено. Забороняється відтворювати, зберігати в інформаційно-пошуковій системі або передавати в будь-якій формі та будь-якими засобами (електронними, механічними, шляхом фотокопіювання, запису, сканування чи іншим чином) будь-яку частину цієї документації без письмового дозволу автора. ESET, spol. s r. o. зберігає за собою право змінювати без попередження будь-яке описане програмне забезпечення. Служба підтримки користувачів у всьому світі: www.eset.com/support РЕД. 1/18/2016

Зміст ........................................................................37 захисту в режимі реального часу 3.9.1.3.3 Перевірка

1. ESET Endpoint .......................................................5 Antivirus

3.9.1.3.4 Можливі причини для змінення конфігурації захисту в режимі........................................................................37 реального часу

1.1 Нові ....................................................................................................5 функції та можливості

3.9.1.3.5 Необхідні дії , коли не працює захист у режимі реального ........................................................................37 часу

1.2 Системні ....................................................................................................6 вимоги 1.3 Запобігання ....................................................................................................6 зараженню комп’ютера

2. Документація для користувачів, підключених за допомогою ESET Remote .......................................................8 Administrator 2.1 ESET ....................................................................................................9 Remote Administrator Server 2.2 Веб-консоль ....................................................................................................9 2.3 Проксі-сервер ....................................................................................................10 2.4 Агент ....................................................................................................10 2.5 RD ....................................................................................................10 Sensor

3. Самостійне використання ESET Endpoint .......................................................11 Antivirus 3.1 Інсталяція ....................................................................................................11 з використанням ESET AV Remover

3.9.1.4

Сканування ..................................................................................38 комп’ютера за вимогою

........................................................................39 спеціальної перевірки 3.9.1.4.1 Модуль запуску ........................................................................40 3.9.1.4.2 Хід сканування

3.9.1.5

Контроль ..................................................................................41 пристрої в

правил контролю пристрої в 3.9.1.5.1 Редактор........................................................................42 ........................................................................43 правил контролю пристрої в 3.9.1.5.2 Додавання

3.9.1.6

Знімні ..................................................................................45 носії

3.9.1.7

Сканування ..................................................................................45 в неактивному стані

3.9.1.8

Система ..................................................................................46 виявлення вторгнень (HIPS)

........................................................................48 параметри 3.9.1.8.1 Додаткові ........................................................................49 вікно HIPS 3.9.1.8.2 Інтерактивне

3.9.1.9

Режим ..................................................................................49 презентації

3.9.1.10

Сканування ..................................................................................50 під час запуску

3.9.1.10.1 Автоматична перевірка файлів під час запуску системи ........................................................................50

3.1.1

ESET AV ..............................................................................12 Remover

3.9.1.11

Захист ..................................................................................50 від ботнетів

3.1.2

Помилка видалення програми за допомогою ESET AV Remover ..............................................................................15

3.9.1.12

Виключення ..................................................................................51

3.9.1.13

Налаштування ..................................................................................52 параметрів підсистеми ThreatSense

3.2 Інсталяція ....................................................................................................15 3.2.1

Розширена ..............................................................................17 інсталяція

........................................................................57 3.9.1.13.1 Виключення

3.9.2

Інтернет ..............................................................................58 і електронна пошта

3.3 Інсталяція ....................................................................................................20 продукту через ERA (командний рядок)

3.9.2.1

Фільтрація ..................................................................................58 протоколів

3.4 Активація ....................................................................................................22 продукту

........................................................................59 й поштові клієнти 3.9.2.1.1 Веб-клієнти

3.5 Сканування ....................................................................................................22 комп’ютера

........................................................................59 програми 3.9.2.1.2 Виключені

3.6 Оновлення ....................................................................................................22 до останньої версії

........................................................................60 IP-адреси 3.9.2.1.3 Виключені

3.7 Посібник ....................................................................................................23 для початківців

3.9.2.1.4 SSL/TLS ........................................................................60

3.7.1

Інтерфейс ..............................................................................23 користувача

........................................................................61 SSL-зв’язок 3.9.2.1.4.1 Зашифрований

3.7.2

Параметри ..............................................................................25 оновлення

........................................................................61 сертифікатів 3.9.2.1.4.2 Список відомих

3.8 Поширені ....................................................................................................26 запитання

3.9.2.2

Захист ..................................................................................62 поштового клієнта

3.8.1

Оновлення ..............................................................................27 ESET Endpoint Antivirus

клієнти 3.9.2.2.1 Поштові ........................................................................62

3.8.2

Активація ..............................................................................27 ESET Endpoint Antivirus

........................................................................63 електронної пошти 3.9.2.2.2 Протоколи

3.8.3

Використання поточних облікових даних для активації ..............................................................................28 нового продукту

........................................................................64 про загрози та сповіщення 3.9.2.2.3 Повідомлення

3.8.4

Видалення ..............................................................................28 вірусу з ПК

........................................................................66 3.9.2.3.1 Веб-протоколи

3.8.5

Створення ..............................................................................28 нового запланованого завдання

........................................................................66 URL-адресами 3.9.2.3.2 Управління

3.8.6

Додавання до розкладу завдання сканування (кожні 24 години) ..............................................................................29

3.9.2.4

Захист ..................................................................................67 від фішинг-атак Оновлення ..............................................................................68 програми

Підключення ESET Endpoint Antivirus до ESET Remote Administrator ..............................................................................29

3.9.3

3.8.7

3.9.3.1

Параметри ..................................................................................72 оновлення

3.8.8

Налаштування ..............................................................................29 дзеркала

3.8.9

Оновлення до ОС Windows 10 за допомогою ESET Endpoint ..............................................................................30 Antivirus

3.9.2.3

Захист ..................................................................................65 доступу до Інтернету

........................................................................74 3.9.3.1.1 Профілі оновлення ........................................................................74 оновлення 3.9.3.1.2 Відкочування ........................................................................75 3.9.3.1.3 Режим оновлення

3.9 Робота ....................................................................................................31 з ESET Endpoint Antivirus

........................................................................75 HTTP 3.9.3.1.4 Проксі-сервер

3.9.1

Комп’ютер ..............................................................................32

........................................................................76 до локальної мережі як 3.9.3.1.5 Підключатися

3.9.1.1

Антивірус ..................................................................................32

........................................................................76 3.9.3.1.6 Дзеркало

виявлення загрози 3.9.1.1.1 Дії в разі........................................................................33

........................................................................79 із дзеркала 3.9.3.1.6.1 Оновлення

3.9.1.2

Спільний ..................................................................................35 локальний кеш

3.9.1.3

Захист ..................................................................................35 файлової системи в режимі реального часу

........................................................................36 параметри ThreatSense 3.9.1.3.1 Додаткові

3.9.1.3.2

Рівні очистки ........................................................................37

3.9.3.1.6.2 Виправлення неполадок під час оновлення із дзеркала........................................................................81

3.9.3.2

Створення ..................................................................................81 завдань оновлення

3.9.4

Інструменти ..............................................................................82

3.9.4.1

Журнали ..................................................................................83

3.11.2.1

Реклама ..................................................................................123

3.9.4.1.1

Пошук у ........................................................................84 журналі

3.11.2.2

Містифікації ..................................................................................123

3.9.4.2

Параметри ..................................................................................84 проксі-сервера

3.11.2.3

Фішинг ..................................................................................124

3.9.4.3

Планувальник ..................................................................................85

3.11.2.4

Розпізнавання ..................................................................................124 спаму

3.9.4.4

Статистика ..................................................................................86 захисту

3.11.3

Технологія ..............................................................................124 ESET

3.9.4.5

Перегляд ..................................................................................87 активності

3.11.3.1

Захист ..................................................................................124 від експлойтів

3.9.4.6

ESET ..................................................................................88 SysInspector

3.11.3.2

Удосконалений ..................................................................................124 сканер пам’яті

3.9.4.7

ESET ..................................................................................88 Live Grid

3.11.3.3

ESET ..................................................................................125 Live Grid

3.9.4.8

Запущені ..................................................................................90 процеси

3.11.3.4

Захист ..................................................................................125 від експлойтів Java

3.9.4.9

Відправлення ..................................................................................91 зразків на аналіз

3.9.4.10

Сповіщення ..................................................................................92 електронною поштою

3.9.4.11

Карантин ..................................................................................94

3.9.4.12

Оновлення ..................................................................................95 Microsoft Windows

3.9.5

Інтерфейс ..............................................................................95 користувача

3.9.5.1

Елементи ..................................................................................96 інтерфейсу користувача

3.9.5.2

Параметри ..................................................................................98 доступу

3.9.5.3

Повідомлення ..................................................................................99 про загрози та сповіщення

3.9.5.4

Піктограма ..................................................................................100 в системному треї

3.9.5.5

Контекстне ..................................................................................101 меню

3.10 Для ....................................................................................................101 досвідчених користувачів 3.10.1

Менеджер ..............................................................................101 профілів

3.10.2

Діагностика ..............................................................................102

3.10.3

Імпорт ..............................................................................102 і експорт параметрів

3.10.4

Командний ..............................................................................103 рядок

3.10.5

Виявлення ..............................................................................105 неактивного стану

3.10.6

ESET..............................................................................105 SysInspector

3.10.6.1

Загальний ..................................................................................105 опис ESET SysInspector

ESET SysInspector 3.10.6.1.1 Запуск ........................................................................105

3.10.6.2

Інтерфейс ..................................................................................106 користувача та використання програми

........................................................................106 керування програми 3.10.6.2.1 Елементи ........................................................................107 в ESET SysInspector 3.10.6.2.2 Навігація ........................................................................109 клавіш 3.10.6.2.2.1Сполучення "Порівняти" 3.10.6.2.3 Функція........................................................................110

3.10.6.3

Параметри ..................................................................................111 командного рядка

3.10.6.4

Службовий ..................................................................................112 скрипт

........................................................................112 службового скрипту 3.10.6.4.1 Створення ........................................................................112 службового скрипту 3.10.6.4.2 Структура ........................................................................115 службових скриптів 3.10.6.4.3 Виконання

3.10.6.5

Запитання ..................................................................................115 й відповіді

3.10.6.6

ESET ..................................................................................116 SysInspector як частина ESET Endpoint Antivirus

3.11 Глосарій ....................................................................................................117 3.11.1

Типи ..............................................................................117 загроз

3.11.1.1

Віруси ..................................................................................117

3.11.1.2

Черв’яки ..................................................................................117

3.11.1.3

Троянські ..................................................................................118 програми

3.11.1.4

Руткіти ..................................................................................118

3.11.1.5

Нав’язлива ..................................................................................118 реклама

3.11.1.6

Шпигунські ..................................................................................119 програми

3.11.1.7

Пакувальники ..................................................................................119

3.11.1.8

Потенційно ..................................................................................119 небезпечні програми

3.11.1.9

Потенційно ..................................................................................120 небажані програми

3.11.2

Електронна ..............................................................................123 пошта

1. ESET Endpoint Antivirus ESET Endpoint Antivirus 6 – це новий підхід до розробки повністю інтегрованої системи безпеки комп’ютера. Остання версія підсистеми сканування ThreatSense® забезпечує швидку й точну роботу, а також надійний захист вашого комп’ютера. Таким чином, кожен користувач отримує інтелектуальну систему, яка гарантує постійний захист від атак і зловмисного програмного забезпечення, що загрожують комп’ютеру. ESET Endpoint Antivirus 6 – повноцінне рішення безпеки, яке стало результатом тривалої роботи, спрямованої на поєднання максимального захисту та використання мінімуму системних ресурсів. Передові технології на базі штучного інтелекту здатні проактивно блокувати проникнення вірусів, шпигунських і троянських програм, черв’яків, нав’язливої реклами, руткітів й інших атак з Інтернету, не зменшуючи продуктивність системи та не порушуючи роботу комп’ютера. ESET Endpoint Antivirus 6 насамперед призначено для робочих станцій у середовищі малих фірм і підприємств. Цей продукт може використовуватися з ESET Remote Administrator і дає змогу легко керувати необхідною кількістю робочих станцій клієнтів, застосовувати політику та правила, стежити за виявленнями й віддалено здійснювати налаштування з будь-якого комп’ютера в мережі.

1.1 Нові функції та можливості Графічний інтерфейс користувача ESET Endpoint Antivirus було повністю перекомпоновано для забезпечення кращого контролю й підвищення зручності. Нижче наведено деякі удосконалення ESET Endpoint Antivirus версії 6. Удосконалення функціональності й зручності для використання Контроль пристроїв – тепер включає можливість визначати тип і серійний номер пристрою, а також указувати єдині правила для кількох пристроїв. Новий інтелектуальний режим для HIPS – додано між автоматичним та інтерактивним режимами. Можливість виявлення підозрілої діяльності й зловмисних процесів у системі. Удосконалення засобу оновлення/дзеркала – дає змогу відновлювати перервані помилкою завантаження вірусної бази даних і/або модулів продукту. Новий підхід до віддаленого керування комп’ютерами за допомогою ESET Remote Administrator – повторне надсилання журналів у випадку переінсталяції ERA або з метою тестування, віддалена інсталяція рішень безпеки ESET, контроль стану безпеки мережевого середовища й сортування різноманітних даних для подальшого використання. Удосконалення інтерфейсу користувача – додано можливість запуску оновлення вірусної бази даних і модулів уручну за допомогою піктограми в системному треї Windows. Підтримка сенсорних екранів і дисплеїв із високою чіткістю зображення. Удосконалене виявлення й усунення сторонніх рішень безпеки. Нова функція Захист від фішинг-атак – захищає від спроб отримання паролів й іншої конфіденційної інформації, обмежуючи доступ до зловмисних веб-сайтів, замаскованих під надійні. Удосконалення швидкості сканування – використання спільного локального кеша у віртуалізованих середовищах.

5

Технології виявлення й захисту Підвищена швидкість і надійність інсталяції. Удосконалений сканер пам’яті – стежить за поведінкою процесів і сканує зловмисні процеси, коли вони розкривають себе в пам’яті. Покращений захист від експлойтів – слугує для захисту програм, які зазвичай використовуються для зараження системи, зокрема веб-браузерів, PDF-читачів, клієнтів електронної пошти й компонентів MS Office. Захист від експлойтів наразі підтримує Java й допомагає вдосконалити систему виявлення вразливостей цього типу, а також боротьби з ними. Удосконалене виявлення й видалення руткітів. Сканування в неактивному стані – перевірка локальних дисків без попередження, коли комп’ютер не використовується.

1.2 Системні вимоги Для нормальної роботи ESET Endpoint Antivirus система має відповідати наведеним нижче вимогам до апаратного та програмного забезпечення. Підтримувані процесори: Intel® або AMD x86–x64 Операційні системи: Microsoft® Windows® 10/8.1/8/7/Vista/XP SP3 (32-розрядна)/XP SP2 (64-розрядна)

1.3 Запобігання зараженню комп’ютера Коли ви працюєте за комп’ютером (а особливо переглядаєте веб-сторінки в Інтернеті), пам’ятайте, що жодна антивірусна система у світі не зможе повністю усунути ризик, який несуть проникнення й атаки. Щоб забезпечити максимальний захист і зручність під час роботи, важливо правильно користуватися рішеннями захисту від вірусів і дотримуватися кількох корисних правил. Регулярне оновлення Згідно зі статистичними даними від ESET Live Grid, тисячі нових унікальних шкідливих кодів створюються щодня. Ї хня мета – обійти наявні захисні бар’єри та принести прибуток їх авторам. І все це за рахунок інших користувачів. Щоб якомога краще захистити наших клієнтів, спеціалісти антивірусної лабораторії ESET щоденно аналізують ці загрози, а потім розробляють і випускають оновлення на основі отриманих даних. Максимальний рівень ефективності таких оновлень може гарантувати лише їхня належна конфігурація в системі. Щоб отримати додаткові відомості про спосіб налаштування оновлень, див. розділ Параметри оновлення. Завантаження оновлень для операційних систем та інших програм Як правило, автори шкідливих програм використовують уразливість різних систем для збільшення дієвості поширення шкідливого коду. Тому компанії, що випускають програмне забезпечення, пильно слідкують за появою нових слабких місць у своїх програмах і регулярно випускають оновлення безпеки, які усувають потенційні загрози. Важливо завантажувати ці оновлення одразу після їх випуску. Microsoft Windows і веббраузери, такі як Internet Explorer, – це дві програми, оновлення для яких випускаються на постійній основі. Резервне копіювання важливих даних Зловмисники, які створюють шкідливі програми, не переймаються потребами користувачів, а робота таких програм часто призводить до повної непрацездатності операційної системи та втрати важливих даних. Важливо регулярно створювати резервні копії важливих і конфіденційних даних на зовнішні носії, наприклад DVD- або зовнішній жорсткий диск. Так буде значно легше та швидше відновити дані у випадку збою системи. Регулярне сканування комп’ютера на наявність вірусів Модуль захисту файлової системи в режимі реального часу виявляє відомі й нові віруси, черв’яки, троянські програми та руткіти. Тож під час кожного відкриття або переходу до файлу виконується його перевірка на наявність шкідливого коду. Рекомендується виконувати повне сканування комп’ютера щонайменше раз на місяць, оскільки шкідливі програми постійно змінюються, а вірусна база даних оновлюється щодня.

6

Дотримання основних правил безпеки Будьте обережні – це найкорисніше й найефективніше з усіх правил. На сьогодні для виконання та поширення багатьох загроз потрібне втручання користувача. Будьте обережні, відкриваючи нові файли: це заощадить вам багато часу та зусиль, які інакше довелося б витратити на усунення проникнень. Нижче наведено деякі корисні правила: Не відвідуйте підозрілі веб-сайти з багатьма спливаючими вікнами та рекламою. Будьте обережні під час інсталяції безкоштовних програм, пакетів кодеків тощо. Користуйтеся тільки безпечними програмами й відвідуйте лише перевірені веб-сайти. Будьте обережні під час відкривання вкладених файлів електронних листів, зокрема в масово розісланих повідомленнях і повідомленнях від невідомих відправників. Не користуйтесь обліковим записом із правами адміністратора для повсякденної роботи на комп’ютері.

7

2. Документація для користувачів, підключених за допомогою ESET Remote Administrator ESET Remote Administrator (ERA) – це програма, за допомогою якої можна керувати продуктами ESET у мережевому середовищі з центрального розташування. Система керування завданнями ESET Remote Administrator дає змогу інсталювати рішення для захисту безпеки ESET на віддалених комп’ютерах і швидко реагувати на нові проблеми й загрози. ESET Remote Administrator не забезпечує захисту від зловмисного коду, оскільки передбачає, що продукт ESET є на кожному клієнті. Рішення для захисту безпеки ESET підтримують мережі, які об’єднують платформи різних типів. Ваша мережа може охоплювати комп’ютери під керуванням ОС Microsoft, Linux і Mac OS, а також мобільні пристрої (телефони й планшети), на яких інстальовано відповідні системи. На рисунку нижче зображено зразок архітектури мережі, захищеної за допомогою рішень ESET під керуванням ERA.

ПРИМІТКА. Докладніші відомості можна переглянути в посібнику користувача ESET Remote Administrator.

8

2.1 ESET Remote Administrator Server ESET Remote Administrator Server – головний компонент ESET Remote Administrator. Це виконувана програма, що обробляє всі дані, отримані від клієнтів, підключених до сервера (через агент ERA). Агент ERA забезпечує комунікацію між клієнтом і сервером. Дані (журнали клієнтів, конфігурація, копія агентів тощо) зберігаються в базі даних. Для належної обробки даних серверу ERA потрібен стійкий зв’язок із сервером бази даних. Щоб підвищити продуктивність, рекомендується інсталювати сервер ERA і базу даних на різних серверах. Комп’ютер, на якому інсталовано сервер ERA, потрібно налаштувати на прийом усіх підключень від агента, проксі-сервера чи модуля RD Sensor, які перевіряються за допомогою сертифікатів. Щоб підключитися до сервера ERA (як показано на діаграмі), після інсталяції відкрийте веб-консоль ERA. Через веб-консоль здійснюються всі операції із сервером ERA, пов’язані з керуванням рішеннями ESET для захисту безпеки у вашій мережі.

2.2 Веб-консоль Веб-консоль ERA – інтерфейс користувача на базі Інтернету, що відображає отримані із сервера ERA дані, і дає змогу керувати рішеннями ESET для захисту безпеки в мережі. Доступ до веб-консолі можна отримати за допомогою браузера. Ї ї можна використовувати, щоб переглядати зведені дані щодо статусу клієнтів у мережі, а також щоб віддалено розгортати рішення ESET на комп’ютерах, які ще не контролюються. Якщо надати інтернет-доступ до веб-сервера, то користуватись ESET Remote Administrator можна буде з будь-якого місця або пристрою. Приладна дошка веб-консолі виглядає таким чином:

Інструмент Швидкий пошук знаходиться вгорі. У розкривному меню виберіть елемент Ім’я комп’ютера, Адреса IPv4/IPv6 або Ім’я загрози, у текстовому полі введіть пошуковий запит, а потім натисніть символ лупи або клавішу Enter, щоб розпочати пошук. Вас буде переспрямовано до розділу Групи, де відображатимуться результати пошуку. ПРИМІТКА. Докладніші відомості можна переглянути в посібнику користувача ESET Remote Administrator.

9

2.3 Проксі-сервер Проксі-сервер ERA – іще один компонент ESET Remote Administrator із подвійним призначенням. У мережі середнього або корпоративного рівня з великою кількістю клієнтів (наприклад, 10 000 або більше) за допомогою проксі-серверів ERA можна розподіляти навантаження, що припадає на головний сервер ERA. Інша перевага ERA Proxy – можливість підключення до віддаленого офіса дочірнього відділення компанії зі слабким зв’язком. Це означає, що агент ERA на кожному клієнті не підключається безпосередньо до головного сервера ERA через проксі-сервер ERA, який належить до тієї ж локальної мережі, що й віддалений офіс. Подібна конфігурація дає змогу звільнити лінію зв’язку з віддаленим офісом. Проксі-сервер ERA приймає підключення від усіх локальних агентів ERA, об’єднує отримані дані й завантажує їх на головний сервер ERA (або інший проксі-сервер ERA). Це дає змогу накопичувати клієнти в мережі, зберігаючи продуктивність і якість обробки запитів бази даних. Залежно від конфігурації мережі, один проксі-сервер ERA можна підключати до іншого, а потім – і до головного сервера ERA. Для належного функціонування проксі-сервера ERA на головному комп’ютері також має бути інстальовано агент ESET. Крім того, головний комп’ютер потрібно підключити до сервера ERA або іншого проксі-сервера ERA, що займають найвищий рівень в ієрархії мережі.

2.4 Агент Агент ERA – ключова складова рішення ESET Remote Administrator. Комунікація рішень ESET для захисту безпеки на клієнтських комп’ютерах (наприклад, ESET Endpoint Security) із сервером ERA здійснюється через агент. Це дає змогу керувати рішеннями ESET для захисту безпеки на всіх віддалених клієнтах з одного центрального розташування. Агент отримує інформацію від клієнта й надсилає її на сервер. Завдання із сервера також надсилаються клієнту через агент. Уся мережева комунікація здійснюється між агентом й елементом мережі ERA найвищого рівня (сервером і проксі-сервером). Агент ESET використовує один із трьох наведених нижче способів підключення до сервера. 1. Агент клієнта безпосередньо підключається до сервера. 2. Агент клієнта підключається до сервера через проксі-сервер. 3. Агент клієнта підключається до сервера через кілька проксі-серверів. Агент ESET здійснює комунікацію з рішеннями ESET, інстальованими на клієнтських комп’ютерах, збирає на них інформацію від програм і надсилає клієнту дані конфігурації, отримані з сервера. ПРИМІТКА. Проксі-сервер ESET має власний агент, що здійснює комунікацію між клієнтами, іншими проксісерверами й головним сервером.

2.5 RD Sensor RD (Rogue Detection) Sensor – складова ESET Remote Administrator, призначена для пошуку комп’ютерів у мережі. При цьому пошук і додавання нових комп’ютерів до ESET Remote Administrator виконується автоматично. Кожен комп’ютер, знайдений у мережі, відображається у веб-консолі й за замовчуванням додається до групи Усі. Після цього з виявленими клієнтськими комп’ютерами можна виконувати додаткові дії. RD Sensor – пасивний засіб ведення обліку, що виявляє комп’ютери в мережі й надсилає інформацію про них серверу ERA. Сервер ERA оцінює статус виявлених ПК (невідомі чи під керуванням).

10

3. Самостійне використання ESET Endpoint Antivirus Цей розділ посібника користувача призначений для тих, хто застосовує ESET Endpoint Antivirus без ESET Remote Administrator. Усі функції ESET Endpoint Antivirus повністю доступні (залежно від прав облікового запису користувача).

3.1 Інсталяція з використанням ESET AV Remover Перш ніж продовжувати інсталяцію, видаліть на комп’ютері всі програми для захисту. Установіть прапорець Я хочу видалити непотрібні антивірусні програми за допомогою ESET AV Remover. Після цього ESET AV Remover просканує вашу систему й вилучить усі підтримувані програми для захисту. Щоб інсталювати ESET Endpoint Antivirus без запуску ESET AV Remover, натисніть Продовжити (прапорець має бути знято).

11

3.1.1 ESET AV Remover Інструмент ESET AV Remover допоможе видалити практично будь-яке антивірусне програмне забезпечення, інстальоване в системі. Щоб вилучити антивірусну програму за допомогою ESET AV Remover, дотримуйтесь інструкцій нижче. 1. Ознайомтеся зі статтею в базі знань ESET, щоб дізнатися, яке антивірусне програмне забезпечення можна видалити за допомогою ESET AV Remover.

2. Прочитайте Ліцензійну угоду з кінцевим користувачем і натисніть Прийняти, щоб засвідчити свою згоду з її умовами. Якщо натиснути Відхилити, інсталяцію ESET Endpoint Antivirus буде продовжено, однак програму для захисту на комп’ютері видалено не буде.

12

3. ESET AV Remover почне шукати у вашій системі антивірусне програмне забезпечення.

4. Виберіть будь-який знайдений варіант і натисніть "Видалити". На це може знадобитися певний час.

13

5. Після видалення програми натисніть Продовжити.

6. Перезавантажте комп’ютер, щоб застосувати зміни та продовжити інсталяцію ESET Endpoint Antivirus. Якщо видалити програму не вдалося, перегляньте в цьому посібнику розділ Помилка видалення програми за допомогою ESET AV Remover.

14

3.1.2 Помилка видалення програми за допомогою ESET AV Remover Якщо вам не вдається видалити антивірусну програму за допомогою ESET AV Remover, ви отримаєте сповіщення про те, що ця програма не підтримується ESET AV Remover. Щоб дізнатися, чи можна вилучити певну програму, перегляньте список підтримуваних продуктів або засобів для видалення поширених антивірусних програм Windows у базі знань ESET. Якщо видалити продукт для захисту не вдалося або деякі його компоненти було видалено лише частково, з’явиться запит Перезапустити та перевірити повторно. Після запуску підтвердьте UAC та продовжте процес сканування й видалення. За потреби зверніться до служби технічної підтримки ESET, щоб створити відповідний запит і відкрити доступ до файлу AppRemover.log для спеціалістів ESET. Файл AppRemover.log розташовано в папці eset. Щоб знайти її, відкрийте %TEMP% у Windows Explorer. Спеціалісти служби технічної підтримки ESET допоможуть вирішити проблему якнайшвидше.

3.2 Інсталяція Після запуску інсталятора майстер інсталяції надасть усі інструкції для виконання цього процесу. Важливо! Переконайтеся, що на комп’ютері не інстальовано іншої антивірусної програми. Якщо на комп’ютері інстальовано кілька антивірусних програм, вони можуть конфліктувати одна з одною. Рекомендується видалити із системи інші антивірусні програми. Див. статтю бази знань, у якій представлено список засобів видалення типового антивірусного ПЗ (доступно англійською та кількома іншими мовами).

15

Потім відобразиться текст ліцензійної угоди з кінцевим користувачем. Прочитайте його й натисніть Прийняти, щоб засвідчити свою згоду з умовами ліцензійної угоди. Після цього натисніть Далі, щоб продовжити інсталяцію.

Коли ви виберете "Я згоден…" і натиснете Далі, відобразиться запит на налаштування параметрів ESET Live Grid. За допомогою системи ESET Live Grid компанія ESET одразу отримує сповіщення про всі нові загрози, що допомагає нам захищати наших клієнтів. Система дає змогу надсилати нові підозрілі файли до антивірусної лабораторії ESET, де вони аналізуються, обробляються та додаються до вірусних баз даних.

16

Наступний етап процесу інсталяції – налаштування функції виявлення потенційно небажаних програм. Такі програми не обов’язково шкідливі, але часто вони негативно впливають на роботу операційної системи. Докладніші відомості див. у розділі Потенційно небажані програми. Натиснувши відповідне посилання, можна відкрити Додаткові параметри (наприклад, щоб інсталювати продукт ESET у спеціальну папку або активувати автоматичне сканування після інсталяції).

Останній крок – підтвердження інсталяції натисканням кнопки Інсталювати.

3.2.1 Розширена інсталяція Під час розширеної інсталяції можна налаштовувати певні параметри, не доступні під час типової інсталяції. Коли ви вкажете параметр для функції виявлення потенційно небажаних програм і натиснете Додаткові параметри, з’явиться запит на вибір папки для інсталяції продукту. За замовчуванням програма інсталюється в таку папку: C:\Program Files\ESET\ESET Endpoint Antivirus\ Можна вказати розташування для модулів і даних програми. За замовчуванням ці компоненти інсталюються в такі папки відповідно: C:\Program Files\ESET\ESET Endpoint Antivirus\ C:\ProgramData\ESET\ESET Endpoint Antivirus\ Натисніть Огляд..., щоб змінити розташування (не рекомендується).

17

Щоб змінити налаштування проксі-сервера, виберіть Я використовую проксі-сервер і натисніть кнопку Далі. Введіть IP- або URL-адресу свого проксі-сервера в полі Адреса. Якщо ви не впевнені, чи використовується проксі-сервер для підключення до Інтернету, виберіть Використовувати такі самі параметри, що й Internet Explorer (рекомендовано) і натисніть Далі. Якщо ви не використовуєте проксі-сервер, виберіть опцію Я не використовую проксі-сервер. Докладніше див. у розділі Проксі-сервер.

Вибіркова інсталяція дає змогу вказати, яким чином у системі виконуватиметься автоматичне оновлення програми. Натисніть Змінити..., щоб відкрити додаткові параметри.

18

Якщо ви не бажаєте оновлювати компоненти програми, виберіть параметр Ніколи не оновлювати компоненти програми. Якщо вибрати параметр Запитувати перед завантаженням компонентів програми, перед кожною спробою завантажити програмні компоненти відображатиметься запит на підтвердження. Щоб оновлення для програмних компонентів завантажувались автоматично, виберіть параметр Завжди оновлювати компоненти програми. У наступному вікні майстра інсталяції користувачу пропонується встановити пароль для захисту налаштувань програми. Виберіть Захист параметрів конфігурації паролем і введіть пароль у полях Новий пароль та Підтвердьте новий пароль. Цей пароль необхідно буде вводити щоразу, коли потрібно отримати доступ або внести зміни до параметрів ESET Endpoint Antivirus. Якщо обидва паролі збігаються, натисніть Далі, щоб продовжити.

Щоб скасувати стандартне перше сканування після інсталяції, яке зазвичай виконується після завершення інсталяції, зніміть прапорець Увімкнути сканування після інсталяції.

Натисніть Інсталювати, щоб розпочати інсталяцію.

19

3.3 Інсталяція продукту через ERA (командний рядок) Наведені нижче параметри слід застосовувати лише до таких рівнів інтерфейсу користувача, як скорочений, основний, відсутній. Відповідні перемикачі командного рядка можна переглянути в документації для версії msiexec. Підтримувані параметри: APPDIR= o path – дійсний шлях до каталогу. o Каталог для інсталяції програми. o Приклад: ees_nt64_ENU.msi /qn APPDIR=C:\ESET\

ADDLOCAL=DocumentProtection

APPDATADIR= o path – дійсний шлях до каталогу. o Каталог для інсталяції даних програми. MODULEDIR= o path – дійсний шлях до каталогу. o Каталог для інсталяції модуля. ADDLOCAL= o Інсталяція компонентів – список необов’язкових функцій, які потрібно інсталювати локально. o Використання з пакетами .msi ESET: ees_nt64_ENU.msi /qn ADDLOCAL= o Докладнішу інформацію про властивість ADDLOCAL можна переглянути на сторінці http:// msdn.microsoft.com/uk-ua/library/aa367536%28v=vs.85%29.aspx. Правила o Список ADDLOCAL – це список імен усіх функцій для інсталяції (імена розділено комами). o Вибираючи функцію, яку потрібно інсталювати, додайте у список увесь шлях (усі батьківські функції). o Щоб зробити все як слід, перегляньте додаткові правила. Тип функції o Обов’язкова: функцію буде інстальовано в будь-якому разі. o Необов’язкова: вибір функції можна скасувати й не інсталювати її. o Невидима: логічна функція, необхідна для належної роботи інших функцій. o Покажчик місця заповнення: функція, яка ніяк не впливає на продукт, однак її слід зазначити з підфункціями. Нижче наведено дерево функцій Endpoint 6.1. Дерево функцій

Ім’я функції

Тип функції

Комп’ютер Комп’ютер / Антивірус та антишпигун Комп’ютер / Антивірус та антишпигун > Захист файлової системи в режимі реального часу Комп’ютер / Антивірус та антишпигун > Сканування комп’ютера Комп’ютер / Антивірус та антишпигун > Захист документів Комп’ютер / Контроль пристроїв Мережа

Комп’ютер Антивірус Захист у режимі реального часу Сканування

Обов’язкова Обов’язкова Обов’язкова

Захист документів

Необов’язкова

Необов’язкова Покажчик місця заповнення Мережа / Персональний брандмауер Брандмауер Необов’язкова Інтернет і електронна пошта Інтернет і електронна пошта Покажчик місця заповнення Інтернет і електронна пошта / Фільтрація протоколів Фільтрація протоколів Невидима

20

Контроль пристроїв Мережа

Обов’язкова

Інтернет і електронна пошта / Захист доступу до Інтернету Інтернет і електронна пошта / Захист поштового клієнта Інтернет і електронна пошта / Захист поштового клієнта / Поштові плагіни Інтернет і електронна пошта / Захист поштового клієнта / Антиспам Інтернет і електронна пошта / Веб-контроль Дзеркало оновлень Підтримка Microsoft NAP

Захист доступу до Інтернету Необов’язкова Захист поштового клієнта

Необов’язкова

MailPlugins

Невидима

Антиспам

Необов’язкова

Веб-контроль Дзеркало оновлень Microsoft NAP

Необов’язкова Необов’язкова Необов’язкова

Додаткові правила o Якщо для інсталяції вибрано функцію Інтернет і електронна пошта, у список потрібно додати невидиму функцію Фільтрація протоколів. o Якщо для інсталяції вибрано підфункцію Захист поштового клієнта, у список слід включити невидиму функцію Поштові плагіни. Приклади ees_nt64_ENU.msi /qn ADDLOCAL=WebAndEmail,WebAccessProtection,ProtocolFiltering ees_nt64_ENU.msi /qn ADDLOCAL=WebAndEmail,EmailClientProtection,Antispam,MailPlugins

Список властивостей CFG_: CFG_POTENTIALLYUNWANTED_ENABLED=1/0 • 0 – вимкнуто, 1 – увімкнуто • PUA CFG_LIVEGRID_ENABLED=1/0 • 0 – вимкнуто, 1 – увімкнуто • LiveGrid FIRSTSCAN_ENABLE=1/0 • 0 – вимкнути, 1 – увімкнути • Запланувати нове перше сканування після інсталяції CFG_EPFW_MODE=0/1/2/3 • 0 – автоматично, 1 – інтерактивний режим, 2 – політика, 3 – навчання CFG_PROXY_ENABLED=0/1 • 0 – вимкнуто, 1 – увімкнуто CFG_PROXY_ADDRESS= • IP-адреса проксі-сервера CFG_PROXY_PORT= • Номер порту проксі-сервера CFG_PROXY_USERNAME= • Ім’я користувача для автентифікації CFG_PROXY_PASSWORD= • Пароль для автентифікації

21

3.4 Активація продукту Після завершення інсталяції з’явиться запит на активацію продукту. Виберіть один із доступних способів, щоб активувати ESET Endpoint Antivirus. Докладніше див. у розділі Активація ESET Endpoint Antivirus.

3.5 Сканування комп’ютера Не довше ніж через 15 хвилин після завершення інсталяції (може знадобитися перезавантаження) ESET Endpoint Antivirus автоматично виконає сканування комп’ютера. Додатково до початкового сканування рекомендується вручну виконувати регулярне сканування комп’ютера або запланувати регулярне сканування на наявність загроз. У головному меню програми натисніть Сканування комп’ютера, після чого натисніть Smartсканування. Докладніші відомості про сканування комп’ютера див. у розділі Сканування комп’ютера.

3.6 Оновлення до останньої версії Нові версії ESET Endpoint Antivirus містять програмні вдосконалення та виправлення помилок, які не можна усунути під час автоматичного оновлення програмних модулів. Оновити програму до новішої версії можна кількома способами: 1. Автоматично, за допомогою оновлення програми. Оскільки оновлення програми надсилаються всім без винятку користувачам і можуть впливати на певні системні конфігурації, оновлення стають доступними лише після тривалого тестування роботи з усіма можливими параметрами системи. Якщо ви хочете інсталювати новішу версію відразу після її випуску, скористайтесь одним із наведених нижче методів. 2. Уручну, завантаживши й інсталювавши новішу версію поверх попередньої. 3. Уручну, шляхом автоматичного розгортання в мережевому середовищі за допомогою модуля ESET Remote Administrator. 22

3.7 Посібник для початківців У цьому розділі наведено загальний опис продукту ESET Endpoint Antivirus та його основних параметрів.

3.7.1 Інтерфейс користувача Головне вікно ESET Endpoint Antivirus розділено на дві основні частини. В основному вікні, що праворуч, відображається інформація, яка відповідає вибраній у головному меню зліва опції. Нижче наведено опис опцій головного меню. Статус захисту – надає інформацію про стан захисту ESET Endpoint Antivirus. Сканування комп’ютера – за допомогою цього параметра можна налаштувати й запустити Smart-сканування, розширену перевірку або сканування знімних носіїв. Також можна повторити останнє сканування, що виконувалося. Оновлення – відображає інформацію про вірусну базу даних. Параметри – скористайтеся цією опцією, щоб налаштувати захист комп’ютера або доступу до Інтернету й електронної пошти. Інструменти – надає доступ до розділів "Файли журналу", "Статистика захисту", "Перегляд активності", "Запущені процеси", "Розклад", "Карантин", ESET SysInspector та ESET SysRescue для створення відновлювального компакт-диска. Також можна надіслати файл на аналіз. Довідка та підтримка – надає доступ до файлів довідки, бази знань ESET і веб-сайту компанії ESET. Також доступні посилання на створення запиту до служби технічної підтримки, інструменти підтримки й інформацію щодо активації продукту.

На сторінці Статус захисту міститься інформація про рівень безпеки та поточний захист комп’ютера. Зелений статус Максимальний захист указує на те, що система максимально захищена.

23

Вікно статусу також містить короткі посилання на часто використовувані функції програми ESET Endpoint Antivirus й інформацію про останнє оновлення. Якщо програма не працює належним чином Якщо активні модулі програми працюють належним чином, вони позначаються зеленою галочкою. В іншому разі відобразиться червоний знак оклику або оранжева піктограма сповіщення. Додаткову інформацію про модуль можна переглянути у верхній частині вікна. Також відображається рекомендоване рішення щодо виправлення неполадок у роботі модуля. Щоб змінити статус окремого модуля, натисніть Параметри в головному меню, після чого виберіть потрібний модуль.

Червона піктограма зі знаком оклику (!) вказує на критичні проблеми: максимальний захист вашого комп’ютера не гарантовано. Можливі причини: Антивiрус та антишпигун вимкнено – його можна повторно активувати, натиснувши Увімкнути захист у режимі реального часу на вкладці Статус захисту або Увімкнути антивірус та антишпигун на вкладці Параметри головного вікна програми. Вірусна база даних застаріла – використовується застаріла вірусна база даних. Продукт не активовано або Термін дії ліцензії минув – на цю проблему вказує червона піктограма статусу захисту. Після завершення терміну дії ліцензії програма не може оновлюватися. Рекомендується дотримуватися інструкцій, наведених у вікні тривоги щодо оновлення ліцензії. Оранжева піктограма з літерою "i" вказує на необхідність втручання користувача для вирішення некритичної проблеми. Можливі причини: Захист доступу до Інтернету вимкнено – його можна повторно активувати, натиснувши сповіщення безпеки й вибравши параметр Увімкнути захист доступу до Інтернету. Термін дії ліцензії скоро закінчиться – на цю проблему вказує піктограма статусу захисту, у якій відображається знак оклику. Після завершення терміну дії ліцензії програма не оновлюватиметься, а піктограма статусу захисту стане червоною. 24

Якщо вирішити проблему за допомогою наведених рекомендацій не вдається, натисніть Довідка та підтримка, щоб перейти до файлів довідки або здійснити пошук у базі знань ESET. Якщо вам потрібна допомога, можна звернутись із запитом до служби технічної підтримки ESET. Спеціалісти служби технічної підтримки ESET швидко нададуть відповідь на ваші запитання й допоможуть знайти спосіб вирішення проблеми.

3.7.2 Параметри оновлення Оновлення вірусної бази даних і компонентів програми є важливою складовою захисту від шкідливого коду. Особливу увагу слід приділити оновленню конфігурації та роботі цієї функції. У головному меню виберіть Оновлення > Оновити зараз, щоб перевірити наявність нових баз даних. Якщо Ліцензійний ключ ще не введено, ви не отримуватимете оновлення, доки не активуєте продукт за відповідним запитом.

25

У вікні додаткових параметрів (натисніть Параметри > Додаткові параметри в головному меню або F5 на клавіатурі, щоб відкрити його) можна знайти додаткові параметри оновлення. Щоб налаштувати їх (наприклад, режим оновлення, доступ до проксі-сервера, підключення до локальної мережі та створення копій вірусної бази даних), у дереві додаткових параметрів натисніть кнопку Оновити. Якщо виникнуть проблеми з оновленням, натисніть Очистити й видаліть усі тимчасові файли кеша оновлення. За замовчуванням у меню Сервер оновлення вибрано параметр АВТОМАТИЧНИЙ ВИБІР. У разі використання сервера ESET рекомендується залишити параметр Автоматичний вибір увімкненим. Щоб у системному треї в нижньому правому куті екрана не відображалися сповіщення, виберіть Не відображати сповіщення про успішне оновлення.

Для оптимальної роботи програми важливо, щоб вона автоматично оновлювалася. Це можливо, якщо ввести правильний Ліцензійний ключ у меню Довідка та підтримка > Активувати продукт. Ліцензійний ключ можна ввести відразу після інсталяції або пізніше. Докладнішу інформацію див. у розділі Активація ESET Endpoint Antivirus. Дані для активації, отримані із продуктом ESET, потрібно ввести у вікні Дані ліцензії.

3.8 Поширені запитання У цьому розділі розглядаються питання та проблеми, які виникають у користувачів найчастіше. Натисніть назву теми, щоб дізнатися, як вирішити проблему: Оновлення ESET Endpoint Antivirus Активація ESET Endpoint Antivirus Використання поточних облікових даних для активації нового продукту Видалення вірусу з ПК Створення нового запланованого завдання Додавання до розкладу завдання сканування (кожні 24 години) Підключення мого продукту до ESET Remote Administrator Налаштування дзеркала

26

Якщо ви не знайшли потрібного рішення на наведених вище сторінках довідки, спробуйте пошукати по всій довідці ESET Endpoint Antivirus за ключовим словом або фразою, що описує проблему. Якщо ви все одно не знайшли способу вирішення проблеми, відвідайте базу знань ESET, яка містить відповіді на більшість поширених запитань. Як видалити троянську програму Sirefef (ZeroAccess)? Діагностична анкета для виправлення неполадок під час оновлення із дзеркала Які адреси й порти у своєму брандмауері від стороннього постачальника потрібно відкрити, щоб забезпечити повноцінну функціональність продукту ESET? У разі необхідності можна зв’язатися з інтерактивним центром технічної підтримки та повідомити про свою проблему або поставити запитання. Посилання на нашу контактну онлайн-форму знаходиться на вкладці Довідка та підтримка головного вікна програми.

3.8.1 Оновлення ESET Endpoint Antivirus Оновлення ESET Endpoint Antivirus можна виконати вручну або автоматично. Щоб ініціювати оновлення, натисніть Оновити зараз у розділі Оновлення головного меню. Під час інсталяції програми за замовчуванням створюється завдання автоматичного оновлення, яке виконується щогодини. Для зміни інтервалу оновлення перейдіть до розділу Інструменти > Планувальник (щоб докладніше дізнатися про планувальник, натисніть тут).

3.8.2 Активація ESET Endpoint Antivirus Після завершення інсталяції з’явиться запит на активацію продукту. Існує кілька способів активації продукту. Доступність певного сценарію активації у вікні активації може різнитися залежно від країни вашого перебування, а також засобів поширення (CD-/DVD-диск, веб-сторінка ESET тощо). Щоб активувати свою копію ESET Endpoint Antivirus безпосередньо в інтерфейсі програми, клацніть піктограму в системному треї та виберіть у меню пункт Активація ліцензії на використання продукту. Активувати продукт також можна за допомогою головного меню в розділі Довідка та підтримка > Активувати продукт або Статус захисту > Активувати продукт. Щоб активувати ESET Endpoint Antivirus, можна скористатися одним із наведених нижче методів. Ліцензійний ключ – це унікальний рядок символів у форматі XXXX-XXXX-XXXX-XXXX-XXXX, який використовується для ідентифікації власника ліцензії та її активації. Адміністратор безпеки  – обліковий запис, створений на порталі ESET License Administrator із використанням облікових даних (адреса електронної пошти + пароль). У такий спосіб можна керувати кількома ліцензіями з єдиного центру. Автономна ліцензія – автоматично згенерований файл, який буде передано в продукт ESET для надання інформації про ліцензію. Якщо існує можливість завантаження файлу автономної ліцензії (.lf), його можна використовувати для активації без підключення до Інтернету. Кількість автономних ліцензій відніматиметься від загального числа доступних. Докладнішу інформацію про створення файлу автономної ліцензії наведено в посібнику користувача ESET License Administrator. Натисніть Активувати пізніше, якщо ваш комп’ютер входить до керованої мережі, адміністратор якої віддалено активує ліцензію за допомогою ESET Remote Administrator. Цей параметр також можна використовувати, якщо потрібно активувати клієнт пізніше. Якщо у вас є облікові дані, але ви не знаєте, як активувати ESET Endpoint Antivirus, виберіть У мене є ім’я користувача та пароль. Що робити далі? Вас буде переспрямовано на сторінку адміністратора ліцензій ESET, де ви зможете отримати ліцензійний ключ, указавши свої облікові дані. Ви завжди можете змінити інформацію про ліцензію на продукт. Для цього в головному меню натисніть Довідка та підтримка > Керування ліцензією. Відобразиться ідентифікатор відкритої ліцензії, який потрібно вказати у відповідь на запит служби підтримки ESET. Ім’я користувача, під яким зареєстровано ваш комп’ютер, 27

можна знайти в розділі Про програму. Щоб відкрити його, натисніть правою кнопкою миші піктограму в системному треї . ПРИМІТКА. ESET Remote Administrator може без попередження активувати клієнтські комп’ютери, використовуючи надані адміністратором ліцензії. Відповідні інструкції подано в посібнику користувача ESET Remote Administrator.

3.8.3 Використання поточних облікових даних для активації нового продукту Якщо ви вже маєте ім’я користувача й пароль і бажаєте отримати ліцензійний ключ, перейдіть на портал ESET License Administrator, де можна пов’язати поточні облікові дані з новим ліцензійним ключем.

3.8.4 Видалення вірусу з ПК Якщо комп’ютер виявляє ознаки зараження шкідливою програмою, наприклад, працює повільніше, часто "зависає" тощо, рекомендується виконати наведені нижче дії. 1. У головному вікні програми натисніть Перевірка комп’ютера. 2. Натисніть Smart-сканування, щоб розпочати сканування системи. 3. Після завершення сканування перегляньте журнал, де вказана кількість просканованих, заражених і очищених файлів. 4. Щоб просканувати лише певну частину диска, натисніть Вибіркова перевірка та виберіть об’єкти для перевірки на наявність вірусів. Додаткові відомості див. у цьому посібнику бази знань ESET, вміст якого регулярно оновлюється.

3.8.5 Створення нового запланованого завдання Щоб створити нове завдання, у меню Інструменти > Планувальник виберіть Додати завдання або натисніть праву кнопку миші для виклику контекстного меню й виберіть пункт Додати.... Запланувати можна завдання п’ятьох різних типів: Запуск зовнішньої програми – планування запуску зовнішньої програми. Обслуговування журналу – окрім усього іншого, у журналах також містяться залишки видалених записів. Це завдання регулярно оптимізовує записи в журналах для підвищення ефективності роботи. Перевірка файлів під час запуску системи – перевірка файлів, що запускаються автоматично під час завантаження системи або входу до облікового запису. Створити знімок стану системи – створення знімка системи засобом ESET SysInspector, який збирає докладну інформацію про системні компоненти (наприклад, драйвери, програми) й оцінює рівень ризику для кожного з них. Сканування комп’ютера за вимогою – сканування файлів і папок на комп’ютері. Перше сканування – за замовчуванням сканування комп’ютера виконується через 20 хвилин після інсталяції або перезавантаження (як завдання з низьким пріоритетом). Оновлення – планування завдання оновлення, у рамках якого оновлюються вірусна база даних і модулі програми. Оскільки найчастіше використовуються завдання Оновлення, нижче описано, як його додати. У розкривному меню Заплановане завдання виберіть пункт Оновлення. Заповніть поле Ім’я завдання й натисніть Далі. Виберіть періодичність виконання завдання. Можливі такі варіанти: Одноразово, Багаторазово, Щодня, Щотижня та За умови виникнення події. Виберіть Не запускати завдання, якщо комп’ютер працює від батареї, щоб зменшити використання системних ресурсів, коли портативний комп’ютер працює від батареї. Завдання буде виконуватись у вибраний день і час відповідно до параметрів розділу Запуск завдання. Далі слід визначити, яку дію виконувати, якщо завдання не може бути виконане або завершене в запланований час. Можна вибрати один із наведених нижче варіантів. Під час наступного запланованого виконання Якомога швидше Негайно, якщо час після останнього запуску перевищує зазначений інтервал (інтервал можна вибрати за 28

допомогою повзунка Минуло часу після останнього запуску) У наступному кроці буде показано загальні відомості про поточне заплановане завдання. Натисніть Готово, завершивши вносити зміни. Відкриється діалогове вікно, де користувач може вибрати профілі, які застосовуватимуться для запланованого завдання. Тут можна визначити основний й альтернативний профілі. Альтернативний профіль застосовується, якщо завдання неможливо виконати з використанням основного профілю. Підтвердьте зміни, натиснувши Готово. Нове завдання буде додано до списку поточних запланованих завдань.

3.8.6 Додавання до розкладу завдання сканування (кожні 24 години) Щоб запланувати завдання, яке має регулярно виконуватися, відкрийте головне вікно програми та натисніть Інструменти > Розклад. Нижче наведено короткі інструкції з додавання до розкладу завдання сканування локальних дисків комп’ютера кожні 24 години. Щоб додати до розкладу завдання сканування, виконайте наведені нижче дії. 1. Натисніть Додати на головному екрані розділу "Завдання за розкладом". 2. У розкривному меню виберіть елемент Сканування комп’ютера за вимогою. 3. Введіть назву завдання й виберіть опцію Багаторазово. 4. Виберіть опцію виконання завдання кожні 24 години. 5. Виберіть дію на той випадок, коли виконання завдання за розкладом неможливе через будь-яку причину. 6. Перегляньте загальні відомості про заплановане завдання й клацніть Готово. 7. У розкривному меню Об’єкти виберіть опцію Локальні диски. 8. Натисніть Готово, щоб застосувати завдання.

3.8.7 Підключення ESET Endpoint Antivirus до ESET Remote Administrator Якщо ESET Endpoint Antivirus інстальовано на комп’ютері, щоб налаштувати підключення через ESET Remote Administrator, на клієнтській робочій станції також потрібно інсталювати агент ERA. Цей агент – невід’ємна складова будь-якого клієнтського рішення, що здійснює комунікацію із сервером ERA. ESET Remote Administrator використовує інструмент RD Sensor для пошуку комп’ютерів у мережі. Кожен комп’ютер, виявлений у мережі інструментом RD Sensor, відображається у веб-консолі. Після розгортання агента можна виконати віддалену інсталяцію продуктів ESET для захисту безпеки на клієнтському комп’ютері. Детальні інструкції з віддаленої інсталяції наведено в посібнику користувача ESET Remote Administrator.

3.8.8 Налаштування дзеркала ESET Endpoint Antivirus можна налаштувати на зберігання копій файлів оновлень вірусних баз даних для їх подальшого розповсюдження на робочих станціях, на яких запущено ESET Endpoint Security або ESET Endpoint Antivirus. Налаштування ESET Endpoint Antivirus на виконання функцій дзеркала для поширення оновлень через внутрішній HTTP-сервер Натисніть F5, щоб отримати доступ до додаткових параметрів, і розгорніть гілку Оновлення > Базові. Переконайтеся, що для параметра Сервер оновлення вибрано значення AUTOSELECT. Виберіть Створити дзеркало оновлення й Оновлення файлів через внутрішній HTTP-сервер у меню Додаткові параметри > Базові > Дзеркало. Налаштування сервера дзеркала для поширення оновлень через спільну мережеву папку Створіть спільну папку на локальному або мережевому пристрої. Ця папка має бути доступною для читання 29

всім користувачам рішень ESET і для запису від імені локального СИСТЕМНОГО облікового запису. Активуйте опцію Створити дзеркало оновлення в розділі Додаткові параметри > Базові > Дзеркало. Знайдіть і виберіть створену спільну папку. ПРИМІТКА: Якщо ви не бажаєте оновлювати через внутрішній HTTP-сервер, зніміть прапорець Оновлення файлів через внутрішній HTTP-сервер.

3.8.9 Оновлення до ОС Windows 10 за допомогою ESET Endpoint Antivirus Перш ніж переходити на ОС Windows 10, наполегливо рекомендуємо оновити продукт ESET до останньої версії та завантажити найновішу вірусну базу даних. Це допоможе забезпечити максимальний захист і зберегти параметри програми й інформацію про ліцензію під час оновлення до ОС Windows 10. Версія 6.x або новіша Натисніть відповідне посилання нижче, щоб завантажити й інсталювати останню версію для підготовки до переходу на Microsoft Windows 10. Завантажити 32-розрядну версію ESET Endpoint Security 6 Завантажити 32-розрядну версію ESET Endpoint Antivirus 6 Завантажити 64-розрядну версію ESET Endpoint Security 6 Завантажити 64-розрядну версію ESET Endpoint Antivirus 6 Версія 5.x або давніша Натисніть відповідне посилання нижче, щоб завантажити й інсталювати останню версію для підготовки до переходу на Microsoft Windows 10. Завантажити 32-розрядну версію ESET Endpoint Security 5 Завантажити 32-розрядну версію ESET Endpoint Antivirus 5 Завантажити 64-розрядну версію ESET Endpoint Security 5 Завантажити 64-розрядну версію ESET Endpoint Antivirus 5 Інші мовні версії Щоб знайти іншу мовну версію кінцевого продукту ESET, перейдіть на сторінку завантаження. ПРИМІТКА: Докладніше про сумісність продуктів ESET з ОС Windows 10.

30

3.9 Робота з ESET Endpoint Antivirus Параметри ESET Endpoint Antivirus дають можливість відрегулювати рівень захисту комп’ютера, доступу до Інтернету й електронної пошти.

Меню Параметри містить такі опції: Комп’ютер Інтернет і електронна пошта За допомогою параметрів захисту в розділі Комп’ютер можна ввімкнути або вимкнути такі компоненти: Захист файлової системи в режимі реального часу – усі файли перевіряються на наявність шкідливого коду під час відкриття, створення або запуску на комп’ютері. Захист від ботнетів – модуль захисту документів сканує документи Microsoft Office перед їх відкриттям, а також файли, автоматично завантажені браузером Internet Explorer (наприклад, елементи Microsoft ActiveX). HIPS – модуль HIPS стежить за подіями в середовищі операційної системи й реагує на них відповідно до спеціально визначеного набору правил. Режим презентації – це функція для користувачів, які не хочуть переривати робочий процес, відволікатися на спливаючі вікна й надмірно навантажувати процесор. Після ввімкнення режиму презентації відобразиться попередження (потенційна загроза для безпеки), а колір головного вікна зміниться на оранжевий. Анттируткіт – виявляє небезпечні програми, зокрема руткіти, здатні приховувати свою присутність в операційній системі. Це означає, що їх неможливо виявити за допомогою звичайних методів перевірки. За допомогою параметрів захисту Інтернету й електронної пошти можна ввімкнути або вимкнути наведені нижче компоненти. Захист доступу до Інтернету – якщо ввімкнено, увесь трафік, який проходить через протокол HTTP або HTTPS, сканується на наявність шкідливого програмного забезпечення. Захист поштового клієнта – контролює обмін даними через протоколи POP3 та IMAP. Захист від фішинг-атак – захищає від спроб отримання паролів, банківських даних й іншої конфіденційної 31

інформації за допомогою зловмисних веб-сайтів, замаскованих під надійні. Щоб тимчасово вимкнути окремі модулі, натисніть поруч із ними зелений перемикач це може зменшити рівень захисту комп’ютера.

. Слід пам’ятати, що

Щоб повторно активувати вимкнений компонент системи безпеки, натисніть червоний перемикач

.

ПРИМІТКА. Усі захисні засоби, вимкнені в такий спосіб, будуть повторно активовані після перезавантаження комп’ютера. Щоб відкрити меню додаткових параметрів певного компонента системи безпеки, натисніть значок шестерні поруч із будь-яким компонентом. У нижній частині вікна параметрів доступні додаткові опції. Щоб завантажити параметри з файлу конфігурації .xml або зберегти поточні параметри в такий файл, використовуйте опцію Параметри імпорту/експорту. Докладніше див. у розділі Параметри імпорту/експорту. Розширені параметри доступні в меню Додаткові параметри (F5).

3.9.1 Комп’ютер Модуль Комп’ютер доступний у меню Параметри > Комп’ютер. У ньому відображаються короткі відомості про модулі захисту, описані в попередньому розділі. У цьому розділі доступні наведені нижче параметри. Натисніть значок шестерні поруч з елементом Захист файлової системи в режимі реального часу та виберіть Змінити виключення, щоб відкрити вікно параметрів виключень, у якому можна виключати файли й папки з перевірки. ПРИМІТКА. Статус захисту документів може бути недоступним, доки ви не ввімкнете його в меню Додаткові параметри (F5) > Антивірус > Захист документів. Після ввімкнення перезавантажте комп’ютер, відкривши вкладку "Параметри" > "Комп’ютер" і натиснувши Перезавантажити в розділі "Контроль пристроїв". Також це можна зробити на вкладці "Статус захисту" за допомогою опції Перезавантажити комп’ютер. Призупинити роботу антивіруса та антишпигуна на певний період часу – щоразу, коли ви тимчасово вимикаєте антивірус й антишпигун, можна вказати період часу, протягом якого вибраний компонент має бути неактивним. Для цього виберіть потрібний параметр у розкривному меню й натисніть кнопку Застосувати. Щоб повторно активувати захист, натисніть Увімкнути антивірус та антишпигун. Параметри сканування комп’ютера... – натисніть, щоб налаштувати параметри сканування комп’ютера (сканування, яке запускається вручну).

3.9.1.1 Антивірус Захист від вірусів протидіє зловмисним атакам на систему, контролюючи обмін файлами, електронною поштою й використання інтернет-ресурсів. Якщо виявлено загрозу, антивірусний модуль може ліквідувати її: спочатку заблокувати, а потім очистити, видалити чи перемістити до карантину. Щоб точніше налаштувати антивірусний модуль, натисніть Додаткові параметри або F5. У параметрах сканера всіх модулів захисту (наприклад, захист файлової системи в режимі реального часу, доступу до Інтернету тощо) активується або вимикається виявлення наведених нижче елементів. Потенційно небажані програми не обов’язково шкідливі, але вони можуть негативно впливати на продуктивність комп’ютера. Докладнішу інформацію про такі типи програм див. у глосарії. Потенційно небезпечні програми – комерційне легальне програмне забезпечення, що може використовуватися для зловмисних цілей. До потенційно небезпечних програм належать засоби віддаленого доступу, програми для зламу паролів і клавіатурні шпигуни (програми, які записують кожне натискання клавіш, зроблене користувачем). За замовчуванням цей параметр вимкнуто. Докладнішу інформацію про такі типи програм див. у глосарії. Підозрілі програми – це програми, стиснуті пакувальниками або протекторами. Зловмисники часто 32

використовують такі типи захисту, щоб запобігти виявленню шкідливого програмного забезпечення. Технологія Антируткіт – це найсучасніша система виявлення небезпечних програм, наприклад руткітів, здатних приховувати свою присутність у системі. Це означає, що їх неможливо виявити за допомогою звичайних методів перевірки. У розділі Виключення можна виключити файли та папки під час сканування. Щоб система сканувала всі об’єкти на наявність загроз, рекомендується створювати виключення лише за необхідності. Існують ситуації, коли може виникнути потреба виключити об’єкт. Це, наприклад, можуть бути елементи великих баз даних, сканування яких значно сповільнить роботу комп’ютера, або програмне забезпечення, що конфліктує зі сканером. Щоб виключити об’єкт під час сканування, виконайте дії, наведені в розділі Виключення.

3.9.1.1.1 Дії в разі виявлення загрози Загрози можуть проникати в систему через різні точки входу, наприклад веб-сторінки, спільні папки, електронну пошту або знімні пристрої (USB, зовнішні диски, CD-диски, DVD-диски, дискети тощо). Стандартна поведінка ESET Endpoint Antivirus захищає систему, виявляючи загрози за допомогою наведених нижче методів. Захист файлової системи в режимі реального часу Захист доступу до Інтернету Захист поштового клієнта Сканування комп’ютера за вимогою

33

Кожна з цих опцій використовує стандартний рівень очистки та намагається видалити файл і перемістити його до карантину або перервати підключення. В області сповіщень у нижньому правому куті екрана відобразиться відповідне вікно. Щоб отримати додаткові відомості про рівні очистки та поведінку, див. розділ Очистка.

Очистка та видалення Якщо попередньо визначеної дії для модуля захисту файлової системи в режимі реального часу немає, на екрані відобразиться вікно тривоги, у якому вам буде запропоновано вибрати дію самостійно. Зазвичай у цьому вікні доступні такі дії: Очистити, Видалити та Пропустити. Не рекомендується вибирати опцію Пропустити, оскільки в такому разі інфіковані файли залишатимуться неочищеними. Винятком є випадки, коли ви впевнені, що файл безпечний і його виявлено помилково.

Очистку слід виконувати, якщо файл атаковано вірусом, який додав до нього шкідливий код. У цьому разі спершу потрібно спробувати очистити файл, щоб повернути його до початкового стану. Якщо файл складається виключно зі шкідливого коду, файл видаляється. Якщо інфікований файл "заблоковано" або він використовується системним процесом, його буде видалено лише після розблокування (зазвичай після перезапуску системи). Кілька загроз Якщо певні інфіковані файли не вдалось очистити під час сканування комп’ютера (або для рівня очистки вибрано значення Без очистки), відкривається вікно тривоги із пропозицією вибрати для них дію. Видалення файлів з архівів У режимі очистки за замовчуванням архів буде видалятися повністю лише в тому випадку, якщо містить виключно інфіковані файли й жодного чистого. Іншими словами, якщо архів також містить безпечні файли, він не видалятиметься. Будьте обережні, запускаючи сканування з ретельною очисткою. У ході цієї процедури архів видалятиметься, якщо в ньому виявлено принаймні один інфікований файл, незалежно від стану інших.

34

Якщо на комп’ютері спостерігаються ознаки діяльності шкідливих програм (наприклад, система працює повільніше, ніж звичайно, часто зависає тощо), рекомендується виконати наведені нижче дії. Відкрийте ESET Endpoint Antivirus і натисніть "Перевірка комп’ютера". Натисніть Smart-сканування (докладніші відомості див. у розділі Перевірка комп’ютера). Після завершення сканування перегляньте в журналі кількість перевірених, інфікованих і очищених файлів. Якщо необхідно перевірити лише певну частину диска, натисніть Вибіркова перевірка та виберіть об’єкти для сканування на наявність вірусів.

3.9.1.2 Спільний локальний кеш Використання спільного локального кеша підвищить ефективність роботи у віртуалізованих середовищах шляхом усунення повторюваного сканування в мережі. Завдяки цій функції кожен файл скануватиметься лише раз, після чого інформація про нього зберігатиметься в спільному кеші. Увімкніть перемикач Опція кешування, щоб зберігати інформацію про відскановані в мережі файли й папки в локальному кеші. Під час нового сканування ESET Endpoint Antivirus перевірятиме дані про відскановані файли в кеші. У разі виявлення збігів відповідні файли не скануватимуться. Налаштувати Сервер кешування можна за допомогою таких параметрів: Ім’я комп’ютера – ім’я або IP-адреса комп’ютера, на якому зберігається кеш. Порт – номер порту для комунікації (той самий, що вказувався в розділі "Спільний локальний кеш"). Пароль – укажіть пароль для спільного локального кеша ESET (якщо потрібно).

3.9.1.3 Захист файлової системи в режимі реального часу Модуль захисту файлової системи в режимі реального часу контролює всі системні події, пов’язані з антивірусним захистом. Усі файли перевіряються на наявність шкідливого коду під час відкриття, створення або запуску на комп’ютері. Захист файлової системи в режимі реального часу запускається разом із системою.

За замовчування модуль захисту файлової системи в режимі реального часу запускається разом із системою й 35

виконує безперервне сканування. В деяких випадках (наприклад, якщо виникає конфлікт з іншим модулем сканування в режимі реального часу) цей модуль можна вимкнути, знявши прапорець Автоматично запускати захист файлової системи в режимі реального часу в розділі Захист файлової системи в режимі реального часу > Базові меню Додаткові параметри. Перевірка носіїв За замовчуванням усі типи носіїв скануються на наявність потенційних загроз: Локальні диски – контролювання всіх жорстких дисків системи. Знімні носії – компакт- або DVD-диски, пристрої USB для збереження даних, пристрої Bluetooth тощо. Мережеві диски – сканування всіх підключених мережних дисків. Рекомендується використовувати параметри за замовчуванням і змінювати їх лише у крайньому разі, наприклад, коли сканування певних носіїв значно сповільнює передачу даних. Період перевірки За замовчуванням усі файли скануються під час відкриття, створення або запуску. Рекомендується використовувати параметри за замовчуванням, оскільки вони забезпечують максимальний рівень захисту комп’ютера в режимі реального часу. Відкриття файлу – увімкнення або вимкнення сканування, коли файли відкриваються. Створення файлу – увімкнення або вимкнення сканування, коли файли створюються. Запуск файлу – увімкнення або вимкнення сканування, коли файли запускаються. Доступ до змінного носія – увімкнення або вимкнення сканування в разі звернення до певного змінного носія з вільним місцем для зберігання даних. Завершення роботи комп’ютера – увімкнення або вимкнення сканування під час завершення роботи комп’ютера. Модуль захисту файлової системи в режимі реального часу перевіряє всі типи носіїв. Його активують різноманітні системні події, наприклад відкриття файлу. Методи виявлення загроз, які використовуються в технології ThreatSense (див. розділ Налаштування параметрів підсистеми ThreatSense), дають змогу налаштувати модуль захисту файлової системи в режимі реального часу так, щоб він діяв по-різному відносно новостворених і вже наявних файлів. Наприклад, модуль може більш ретельно аналізувати новостворені файли. Щоб зменшити споживання системних ресурсів, уже проскановані файли повторно не перевіряються (якщо їх не було змінено). Файли скануються повторно відразу після кожного оновлення вірусної бази даних. Спосіб виконання цієї процедури контролюється за допомогою функції Smart-оптимізація. Якщо Smart-оптимізацію вимкнено, усі файли скануються щоразу, коли користувач до них звертається. Щоб змінити цей параметр, натисніть F5 і відкрийте вікно додаткових параметрів, потім розгорніть меню Антивірус > Захист файлової системи в режимі реального часу. Натисніть Параметр ThreatSense > Інше й установіть або зніміть прапорець Увімкнути Smart-оптимізацію.

3.9.1.3.1 Додаткові параметри ThreatSense Додаткові параметри ThreatSense для новостворених і змінених файлів – імовірність виявлення інфекції в новостворених або змінених файлах порівняно вища, ніж у наявних. Тому програма перевіряє ці файли з використанням додаткових параметрів сканування. Окрім традиційних методів сканування на основі сигнатур вірусів, також використовується розширена евристика, орієнтована на виявлення нових загроз до випуску оновленої вірусної бази даних. Окрім новостворених файлів, сканування поширюється також на саморозпакувальні файли (.sfx) та упаковані програми (запаковані виконувані файли). За замовчуванням архіви перевіряються до 10-ого рівня вкладення, причому сканування виконується незалежно від їх фактичного розміру. Щоб змінити параметри сканування архіву, зніміть прапорець Параметри сканування архівів за замовчуванням. Докладніше про упаковані програми, саморозпакувальні архіви й розширену евристику див. у розділі Налаштування параметрів підсистеми ThreatSense. Додаткові параметри ThreatSense для виконуваних файлів – за замовчуванням розширені евристики 36

використовуються в разі виконання файлів. Коли цей параметр увімкнено, наполегливо рекомендується також активувати Smart-оптимізацію й ESET Live Grid, щоб усунути вплив на продуктивність системи.

3.9.1.3.2 Рівні очистки Захист у режимі реального часу передбачає три рівні очистки. Щоб отримати доступ до відповідних параметрів, виберіть Налаштування параметрів підсистеми ThreatSense у розділі Захист файлової системи в режимі реального часу й натисніть Очистка). Без очистки – інфіковані файли не очищуються автоматично. Програма відкриє вікно попередження та дозволить користувачу вибрати дію. Цей рівень розрахований на досвідчених користувачів, які знають, як діяти у випадку виникнення загрози. Стандартне очищення – програма спробує автоматично очистити або видалити інфікований файл на основі попередньо визначеної дії (залежно від типу проникнення). Під час виявлення та видалення інфікованого файлу в правому нижньому кутку екрана з’являється сповіщення. Якщо неможливо вибрати правильну дію автоматично, програма пропонує низку дій на вибір. Програма поводиться так само, якщо неможливо виконати дію, указану в налаштуваннях. Ретельна очистка – програма очистить або видалить усі інфіковані файли. Єдині виключення – системні файли. Якщо їх неможливо очистити, користувачу пропонується вибрати дію, зазначену у вікні попередження. Попередження. Якщо архів містить інфіковані файли, можливі два варіанти його обробки. У стандартному режимі (Стандартна очистка) увесь архів видаляється, якщо всі файли в ньому інфіковані. У режимі Ретельна очистка архів видаляється, якщо містить хоча б один інфікований файл, незалежно від стану інших файлів у ньому.

3.9.1.3.3 Перевірка захисту в режимі реального часу Щоб переконатися, що захист у режимі реального часу працює та виявляє віруси, скористайтеся тестовим файлом із сайту eicar.com. Це безпечний файл, який виявляється всіма антивірусними програмами. Файл було створено Європейським інститутом комп’ютерних антивірусних досліджень (EICAR) для тестування функціональності антивірусних програм. Файл можна завантажити за адресою http://www.eicar.org/download/ eicar.com

3.9.1.3.4 Можливі причини для змінення конфігурації захисту в режимі реального часу Захист файлової системи в режимі реального часу – це найголовніший модуль, від якого залежить загальна безпека системи. Змінювати його параметри завжди слід дуже обережно. Зміни до параметрів рекомендується вносити лише у виключних випадках. Після інсталяції ESET Endpoint Antivirus налаштування всіх параметрів оптимізовано таким чином, щоб досягти максимального рівня безпеки користувацької системи. Щоб відновити параметри за замовчуванням, натисніть поруч із кожною вкладкою у вікні (Додаткові параметри > Антивірус > Захист файлової системи в режимі реального часу).

3.9.1.3.5 Необхідні дії, коли не працює захист у режимі реального часу У цьому розділі описуються проблеми, які можуть виникнути під час використання захисту в режимі реального часу, і способи їх усунення. Захист у режимі реального часу вимкнено Якщо захист у режимі реального часу випадково вимкнено користувачем, його необхідно знову ввімкнути. Щоб повторно активувати захист, перейдіть у меню Параметри в головному вікні програми й натисніть Захист файлової системи в режимі реального часу. Якщо модуль захисту в режимі реального часу не запускається під час завантаження системи, можливо, параметр Автоматично запускати захист файлової системи в режимі реального часу вимкнено. Щоб увімкнути цей параметр, відкрийте меню Додаткові параметри (F5) і натисніть Антивірус > Захист файлової системи в режимі реального часу> Базові. Переконайтеся, що перемикач Захист файлової системи в режимі реального 37

часу ввімкнено. Захист у режимі реального часу не виявляє й не усуває загрози Переконайтеся, що на комп’ютері не інстальовано іншої антивірусної програми. Якщо одночасно ввімкнено два модулі захисту в режимі реального часу, вони можуть конфліктувати між собою. Перш ніж установлювати ESET, рекомендується видалити із системи інші антивірусні програми. Модуль захисту в режимі реального часу не запускається Якщо захист у режимі реального часу не активується під час запуску системи, а параметр Автоматично запускати захист файлової системи в режимі реального часу ввімкнено, можливо, існує конфлікт з іншими програмами. Щоб отримати допомогу щодо вирішення цієї проблеми, зверніться до служби технічної підтримки ESET.

3.9.1.4 Сканування комп’ютера за вимогою Сканер за вимогою – це важлива частина програми ESET Endpoint Antivirus. Він використовується для сканування файлів і папок на комп’ютері. З точки зору безпеки важливо перевіряти комп’ютер не лише в разі підозри на наявність зараження, а й регулярно в рамках превентивних заходів захисту. Рекомендується регулярно (наприклад, раз на місяць) виконувати ретельне сканування системи, щоб виявити віруси, які могли бути пропущені модулем захисту файлової системи в режимі реального часу. Це могло статися, якщо в той час захист файлової системи в режимі реального часу було вимкнено, вірусна база даних застаріла або файл не було класифіковано як вірус під час збереження на диск. Доступні два типи Перевірка комп’ютера. Smart-сканування дозволяє швидко просканувати комп’ютер без додаткового налаштування параметрів. Розширена перевірка дає змогу вибрати один із попередньо заданих профілів сканування, а також конкретні об’єкти для сканування. Додаткову інформацію про процедуру сканування див. у розділі Хід сканування. Smart-сканування Smart-сканування дає можливість швидко запустити процес сканування комп’ютера й очистити інфіковані файли без втручання користувача. Перевага Smart-сканування – простота у використанні й відсутність необхідності визначати детальні параметри цього процесу. Під час Smart-сканування перевіряються всі файли на локальних дисках, а виявлені загрози автоматично очищаються чи видаляються. Для рівня очистки автоматично вибирається параметр за замовчуванням. Щоб отримати детальнішу інформацію про типи очистки, див. розділ Очистка. Розширена перевірка Розширена перевірка – оптимальне рішення, якщо потрібно вказати необхідні параметри сканування (наприклад, об’єкти та методи). Перевага розширеної перевірки полягає в тому, що користувач може детально настроїти всі параметри. Конфігурації можна зберегти в користувацьких профілях сканування. Такий метод ефективний, якщо сканування регулярно виконується з однаковими параметрами. Щоб вибрати об’єкти сканування, натисніть Перевірка комп’ютера > Розширена перевірка, після чого виберіть потрібний параметр у розкривному меню Об’єкти сканування або конкретні об’єкти в дереві. Об’єкт сканування можна визначити, ввівши шлях до папки чи файлу, які потрібно включити до списку сканування. Якщо потрібно лише просканувати систему, не виконуючи очистку, виберіть Сканувати без очищення. Під час сканування можна вибрати три рівні очистки, натиснувши Параметри... > Параметри ThreatSense > Очистка. Сканування комп’ютера з використанням розширеної перевірки розраховане на досвідчених користувачів, які мають практичні навички використання антивірусних програм. Сканування знімних носіїв Як і у випадку зі Smart-скануванням, виконується швидкий запуск перевірки знімних носіїв (наприклад, CD-/ DVD-диск/USB), наразі під’єднаних до комп’ютера. Таке сканування корисне під час підключення до комп’ютера запам’ятовуючого пристрою USB, коли потрібно підтвердити відсутність на ньому шкідливого ПЗ й інших загроз. 38

Цей тип сканування також можна запустити, якщо вибрати параметр Розширена перевірка, а потім пункт – Знімні носії в спадному меню Об’єкти сканування й натиснути Сканувати. У розкривному меню Дія після сканування можна вибрати дію, яку потрібно виконувати після завершення сканування ("Нічого не робити", "Завершити роботу", "Перезавантажити" або "Перевести в режим сну"). Активувати вимкнення після завершення сканування – цей параметр активує заплановане вимкнення комп’ютера після того, як буде завершено сканування за вимогою. Після завершення сканування впродовж 60 секунд відображається вікно підтвердження вимкнення. Натисніть Скасувати, щоб відмінити вимкнення за запитом. ПРИМІТКА. Сканування комп’ютера рекомендується виконувати принаймні раз на місяць. Сканування можна налаштувати як заплановане завдання в меню Інструменти > Планувальник.

3.9.1.4.1 Модуль запуску спеціальної перевірки Для сканування певних об’єктів скористайтесь інструментом розширеної перевірки, вибравши його в меню Сканування комп’ютера > Розширена перевірка. Далі в спадному меню Об’єкти сканування вкажіть потрібний параметр або окремі об’єкти в структурі папок (дерева). У вікні об’єктів сканування можна визначити об’єкти (пам’ять, диски, сектори, файли й папки), які необхідно перевірити на наявність проникнень. Виберіть об’єкти у структурі дерева папок, у якій наведено всі доступні на комп’ютері пристрої. У розкривному меню Об’єкти сканування можна вибрати попередньо визначені набори об’єктів. За параметрами профілю – вибір об’єктів, зазначених в активному профілі сканування. Змінний носій – вибір дискет, запам’ятовуючих пристроїв USB, CD-/DVD-дисків. Локальні диски – вибір усіх жорстких дисків системи. Мережеві диски – вибір усіх підключених мережевих дисків. Без вибору – скасування вибору об’єктів. Щоб швидко перейти до об’єкта сканування або безпосередньо додати необхідний об’єкт (папка або файли), введіть його в пусте поле під списком папок. Для цього у структурі дерева не має бути вибрано жодного об’єкта, а в меню Об’єкти сканування необхідно встановити параметр Без вибору.

Інфіковані елементи не очищаються автоматично. Сканування без очистки використовують для отримання інформації про поточний статус системи безпеки. Якщо потрібно лише просканувати систему, не виконуючи очистку, виберіть Сканувати без очищення. Окрім того, можна вибрати один із трьох рівнів очистки, натиснувши Параметри... > Параметри ThreatSense > Очистка. Інформація про сканування зберігається в журналі. У спадному меню Профіль сканування виберіть профіль, що використовуватиметься для перевірки вибраних об’єктів. Профіль за замовчуванням – Smart-сканування. Інші два попередньо визначені профілі сканування – це Детальне сканування та Сканування контекстного меню. Вони використовують різні параметри підсистеми 39

ThreatSense. Натисніть Параметри..., щоб налаштувати профіль, вибраний у меню "Профіль сканування". Доступні параметри описано в розділі Інше глави Налаштування параметрів підсистеми ThreatSense. Натисніть Зберегти, щоб зберегти зміни, внесені у виділені об’єкти (зокрема й елементи в структурі дерева папок). Натисніть Сканувати, щоб виконати перевірку на основі встановлених спеціальних параметрів. Кнопка Виконати сканування як адміністратор запускає сканування від імені облікового запису адміністратора. Натисніть цю кнопку, якщо в поточного користувача немає прав доступу до файлів, які потрібно просканувати. Примітка. Ця кнопка не доступна, якщо користувач, що наразі ввійшов у систему, не може виконувати дії UAC як адміністратор.

3.9.1.4.2 Хід сканування У вікні ходу сканування відображається поточний стан процесу сканування, а також інформація про те, скільки файлів містять шкідливий код.

ПРИМІТКА. Деякі файли, наприклад захищені паролем або ті, що ексклюзивно використовуються системою (зазвичай pagef ile.sys і певні журнали), просканувати неможливо. Це явище не є неполадкою. Хід сканування – індикатор стану виконання процедури відображає, скільки об’єктів уже проскановано та скільки ще потрібно просканувати. Цей показник вираховується на основі загальної кількості об’єктів, доданих до списку сканування. Ціль – ім’я об’єкта, який наразі сканується, а також шлях до нього. Знайдено загрози – загальна кількість загроз, виявлених у процесі сканування. Пауза – призупинення процедури сканування. Продовжити – цей параметр доступний у режимі паузи. Натисніть Продовжити, щоб відновити сканування. Зупинити – зупинення сканування. Прокручування журналу перевірки – якщо вибрано цей параметр, журнал перевірки буде прокручуватися автоматично під час додавання нових записів, щоб останні з них були постійно видимі.

40

3.9.1.5 Контроль пристроїв ESET Endpoint Antivirus дає змогу автоматично керувати носіями (CD/DVD/USB тощо). За допомогою цього модуля можна сканувати та блокувати пристрої, налаштовувати розширені фільтри/дозволи, а також контролювати доступ користувачів і роботу з ними. Такі функції можуть бути корисними, якщо адміністратор комп’ютера хоче запобігти використанню пристроїв із недозволеним вмістом. Підтримувані зовнішні пристрої: Дисковий накопичувач (жорсткий диск, змінний диск USB) Компакт-диск/DVD USB-принтер Сховище FireWire Пристрій Bluetooth Пристрій для читання смарт-карток Пристрій обробки зображень Модем Порт LPT/COM Портативний пристрій Усі типи пристроїв Параметри контролю пристроїв можна змінити в розділі Додаткові параметри (F5) > Контроль пристроїв. Увімкнення перемикача Додати до системи активує функцію контролю пристроїв у програмі ESET Endpoint Antivirus. Щоб зміни набули сили, комп’ютер потрібно перезавантажити. Після цього стане доступною опція Правила, за допомогою якої можна відкрити вікно Редактор правил. Якщо під’єднати пристрій, який блокується поточним правилом, на екрані відобразиться вікно сповіщення, а доступ до пристрою буде заборонено.

41

3.9.1.5.1 Редактор правил контролю пристроїв У вікні Редактор правил контролю пристроїв можна переглянути існуючі правила, а також налаштувати керування зовнішніми пристроями, які користувачі підключають до комп’ютера.

Можна дозволяти та блокувати певні пристрої за даними користувача (індивідуально чи для груп), а також на основі додаткових параметрів, які потрібно вказувати в конфігурації правила. У переліку правил зазначено кілька описів правила, зокрема ім’я, тип зовнішнього пристрою, дію, яку потрібно виконати після підключення наявного зовнішнього пристрою до комп’ютера, а також зареєстрований у журналі рівень суворості. Натисніть Додати або Змінити, щоб керувати правилом. Щоб вимкнути правило, зніміть прапорець Увімкнено поруч із правилом до того часу, коли воно знадобиться знову. Виберіть одне або кілька правил і натисніть Видалити, щоб видалити їх остаточно. Копіювати – дає змогу створити нове правило з попередньо визначеними параметрами, які вже використовуються для іншого вибраного правила. Натисніть Заповнити, щоб автоматично застосувати вибрані параметри для підключених до комп’ютера знімних носіїв. Правила розташовуються у списку за пріоритетом: правила з вищим пріоритетом розміщуються вгорі. Правила можна переміщувати окремо або групами за допомогою стрілок Угору/у самий верх/униз/у самий низ. У журналі контролю пристроїв фіксуються всі випадки застосування відповідної функції. Записи журналу можна переглянути в головному вікні програми ESET Endpoint Antivirus у розділі Інструменти > Журнали.

42

3.9.1.5.2 Додавання правил контролю пристроїв Правило контролю пристроїв визначає дію, що виконується після підключення до комп’ютера пристрою, який відповідає критеріям правила.

Введіть у поле Ім’я опис правила, щоб спростити його розпізнавання. Натисніть перемикач Правило ввімкнено, щоб увімкнути або вимкнути правило. Це може бути корисно, якщо ви не хочете видаляти правило остаточно. Тип пристрою Вибір типу зовнішнього пристрою в розкривному меню (дисковий накопичувач/портативний пристрій/ Bluetooth/FireWire тощо). Інформація про типи пристроїв надходить від операційної системи. Ї ї можна переглянути в диспетчері пристроїв системи, попередньо підключивши пристрій до комп’ютера. До пристроїв збереження даних належать зовнішні диски й традиційні пристрої для читання карток пам’яті, які підключаються через USB або FireWire. Пристрої для читання смарт-карток включають пристрої з підтримкою смарт-карток із вбудованою мікросхемою, зокрема SIM-картки або картки автентифікації. Прикладами пристроїв обробки зображень є сканери або фотокамери. Оскільки такі пристрої надають інформацію лише про свої дії, але не про користувачів, їх можна заблокувати лише цілком. Дія Можна дозволити або заборонити доступ до пристроїв, не призначених для зберігання даних. Натомість правила, які стосуються пристроїв для зберігання даних, дають змогу вибрати один із наведених нижче параметрів. Читання/запис – повний доступ до пристрою. Блокування – заборона доступу до пристрою. Лише читання – доступ лише для читання даних, збережених на пристрої. Попереджати – під час кожного підключення пристрою користувач отримуватиме сповіщення про виконану дію (дозволено/заблоковано), а в журналі фіксуватиметься відповідний запис. Пристрої не запам’ятовуються: сповіщення відображається щоразу, коли підключається навіть один і той самий пристрій. Зверніть увагу: для деяких типів пристроїв доступні не всі дії (дозволи). Для пристроїв збереження даних доступні всі чотири дії. Для пристроїв, не призначених для зберігання даних, доступні лише три дії (наприклад, 43

дія Лише читання не доступна для пристроїв Bluetooth, тому до них можна застосувати лише функції надання доступу, блокування чи попередження користувача). Тип критеріїв – виберіть Група пристроїв або Пристрій. Відповідно до використовуваних пристроїв можна налаштовувати правила за допомогою наведених нижче додаткових параметрів. (не залежать від регістру). Постачальник – фільтрація за іменем постачальника чи ідентифікатором. Модель – поточне ім’я пристрою. Серійний номер – номер, який має більшість зовнішніх носіїв. Якщо це компакт-/DVD-диск, серійний номер відповідає конкретному носію, а не пристрою для його читання. ПРИМІТКА. Якщо певні параметри не вказано, під час застосування правила система ігноруватиме відповідні поля. В усіх полях параметри фільтрації вводяться без урахування регістру. Символи узагальнення (*, ?) не підтримуються. ПОРАДА. Щоб переглянути інформацію про пристрій, створіть для нього спеціальне правило, підключіть пристрій до комп’ютера та відкрийте журнал контролю пристроїв. Рівень критичності Завжди – фіксуються всі події. Діагностика – фіксується інформація, необхідна для оптимізації програми. Інформація – фіксуються інформаційні повідомлення, включно зі сповіщеннями про успішне оновлення, і всі зазначені вище елементи. Попередження – фіксуються всі критичні помилки й попереджувальні повідомлення. Нічого – жодні дані не фіксуватимуться. Можна обмежувати правила для окремих користувачів або для груп, додаючи їх до Списку користувачів. Додати – відкриває діалогове вікно Типи об’єкта: користувачі або групи, де можна вибрати потрібних користувачів. Видалити – видаляє вибраного користувача зі списку фільтрації. ПРИМІТКА. За допомогою правил користувача можна фільтрувати всі необхідні пристрої (наприклад, пристрої обробки зображень не надають інформацію про користувачів, а лише повідомляють про дії).

44

3.9.1.6 Знімні носії ESET Endpoint Antivirus надає автоматичні засоби для перевірки знімних носіїв (CD/DVD/USB тощо). Цей модуль дає змогу виконати перевірку встановленого носія. Модуль може бути корисним, якщо адміністратору комп’ютера потрібно заборонити користувачам використовувати знімні носії з недозволеним вмістом. Дії, які потрібно виконувати після вставлення знімного носія – виберіть дію за замовчуванням, яка виконуватиметься в разі використання на комп’ютері знімного носія (компакт-диск/DVD/USB). Якщо прапорець Показати параметри сканування встановлено, на екрані відображатиметься сповіщення, яке даватиме змогу вибирати потрібну дію. Не сканувати – не виконуватиметься жодна дія, а вікно Виявлено новий пристрій буде закрито. Автоматичне сканування пристроїв – виконуватиметься сканування за вимогою використовуваного знімного носія. Показати параметри сканування – відкриває розділ "Параметри знімного носія". Після підключення змінного носія відображається таке діалогове вікно:

Сканувати зараз – ініціювати сканування змінного носія. Сканувати пізніше – відкласти сканування змінного носія. Параметри – відкрити меню додаткових параметрів. Завжди використовувати вибрані параметри – якщо цей прапорець установлено, у разі підключення змінного носія виконуватиметься одна й та сама дія. Окрім цього, ESET Endpoint Antivirus має функцію контролю пристроїв, яка дає змогу визначати правила для використання зовнішніх пристроїв на певному комп’ютері. Докладнішу інформацію про контроль пристроїв можна знайти в розділі Контроль пристроїв.

3.9.1.7 Сканування в неактивному стані Сканування в неактивному стані можна ввімкнути в меню Додаткові параметри в розділі Антивірус > Сканування в неактивному стані > Базові. Щоб увімкнути цю функцію, установіть перемикач Увімкнути сканування в неактивному стані в положення Увімк.. Коли комп’ютер не використовуватиметься, програмне забезпечення виконуватиме перевірку локальних жорстких дисків без виводу даних на екран. Повний перелік умов, обов’язкових для запуску сканування в неактивному стані, наведено в розділі Умови ініціювання виявлення неактивного стану. За замовчуванням сканування в неактивному стані не здійснюється, якщо комп’ютер (портативний комп’ютер) працює від батареї. Цей параметр можна змінити, активувавши перемикач біля пункту Запускати, навіть якщо комп’ютер живиться від батареї в розділі додаткових параметрів. Увімкніть перемикач Вести журнал у розділі додаткових параметрів, щоб вихідні дані перевірки комп’ютера реєструвалися в розділі Журнали (натисніть у головному вікні програми Інструменти > Журнали, після чого виберіть Сканування комп’ютера в розкривному меню Журнал). Виявлення неактивного стану здійснюватиметься в таких випадках: активація заставки; блокування комп’ютера; вихід користувача із системи. 45

Натисніть Налаштування параметрів підсистеми ThreatSense, щоб змінити параметри сканування (наприклад, методи виявлення) для неактивного стану.

3.9.1.8 Система виявлення вторгнень (HIPS) Лише досвідчений користувач може змінювати параметри HIPS. Оскільки помилка в налаштуваннях може призвести до нестабільності системи. Система виявлення вторгнень (HIPS) захищає комп’ютер від шкідливих програм і небажаної активності, що негативно впливає на його роботу. Система HIPS використовує розширений поведінковий аналіз і можливості системи виявлення на основі мережного фільтра для стеження за запущеними процесами, файлами та розділами реєстру. Система HIPS працює окремо від захисту файлової системи в режимі реального часу та не є брандмауером: вона лише відстежує процеси, запущені в операційній системі. Параметри HIPS можна знайти в меню Додаткові параметри (F5) > Антивірус > HIPS > Базові. Інформація про стан системи HIPS (увімкнута/вимкнута) відображається в головному вікні програми ESET Endpoint Antivirus (розділ Параметри > Комп’ютер).

ESET Endpoint Antivirus використовує вбудовану технологію самозахисту, яка не дозволяє шкідливому програмному забезпеченню пошкоджувати або відключати антивірусні й антишпигунські модулі, забезпечуючи безперервний захист системи. Щоб вимкнути систему HIPS або самозахист, потрібно перезавантажити ОС Windows. Удосконалений сканер пам’яті працює разом із засобом захисту від експлойтів. Він посилює захист від зловмисного ПЗ, призначеного для обходу захисних продуктів за допомогою обфускації або шифрування. Удосконалений сканер пам’яті ввімкнено за замовчуванням. Докладніше про цей тип захисту див. у глосарії. Захист від експлойтів служить для захисту програм, які зазвичай використовуються для зараження системи, зокрема веб-браузерів, PDF-читачв, клієнтів електронної пошти й компонентів MS Office. Захист від експлойтів увімкнено за замовчуванням. Докладніше про цей тип захисту див. у глосарії. Фільтрація може виконуватися в одному з чотирьох режимів. 46

Автоматичний режим – операції ввімкнуто (окрім заблокованих попередньо визначеними правилами, які захищають систему). Інтерактивний режим – користувач повинен давати підтвердження на виконання операцій. Режим на основі політик – операції заблоковано. Режим навчання – операції ввімкнуто, а після кожної створюється правило. Правила, створені в цьому режимі, можна переглянути в редакторі правил, проте їх пріоритет нижчий за пріоритет правил, створених уручну або в автоматичному режимі. Якщо в розкривному меню "Режим фільтрації HIPS" вибрати "Режим навчання", параметр Режим навчання стане неактивним о буде ввімкнуто. Виберіть тривалість використання режиму навчання (максимум 14 днів). Після завершення зазначеного періоду відобразиться запит на зміну правил, створених системою HIPS у режимі навчання. Також можна вибрати інший режим фільтрації або відкласти рішення й продовжити використання режиму навчання. Інтелектуальний режим – користувач отримуватиме сповіщення лише про дуже підозрілі події. Система HIPS контролює події в операційній системі та реагує на них відповідно до правил, аналогічних тим, що використовуються в персональному брандмауері. Для доступу до вікна керування правилами HIPS натисніть Змінити. Тут можна вибирати, створювати, змінювати або видаляти правила. На наведеному нижче прикладі ми продемонструємо, як обмежити небажану поведінку програм. 1. Призначте ім’я правилу та виберіть Заблокувати в розкривному меню Дія. 2. Увімкніть перемикач Сповістити користувача, щоб відображати сповіщення під час кожного застосування правила. 3. Виберіть принаймні одну операцію, до якої необхідно застосувати правило. У розкривному меню вікна Програми-джерела виберіть Усі програми, щоб застосувати нове правило до всіх програм, які намагаються виконати будь-яку з вибраних операцій з указаними програмами. 4. Виберіть Змінити стан іншої програми (опис дій наведено в довідці продукту, яку можна переглянути, натиснувши клавішу F1). 5. У розкривному меню виберіть елемент Окремі програми й за допомогою опції Додати вкажіть одну або кілька програм, які потрібно захистити. 6. Натисніть кнопку Готово, щоб зберегти нове правило.

47

3.9.1.8.1 Додаткові параметри Наведені нижче опції стануть у пригоді під час налагодження програми й аналізу її поведінки. Драйвери, які дозволено завжди завантажувати – виберіть драйвери, які можна завантажувати в усіх режимах фільтрації, якщо їх не блокує правило користувача. Реєструвати всі заблоковані операції – усі заблоковані операції будуть записуватися в журнал HIPS. Повідомляти, коли в автоматично виконувані програми вносяться зміни – на робочому столі відображатимуться сповіщення щоразу, коли програма додається до запуску системи або видаляється з нього. Оновлену версію цієї сторінки довідки див. у відповідній статті з бази знань.

48

3.9.1.8.2 Інтерактивне вікно HIPS Якщо за замовчуванням для правила вибрано дію Запитувати, під час кожного його застосування відображатиметься відповідне діалогове вікно. Ви можете Відхилити або Дозволити певну операцію. Якщо за відведений час ви не вказали жодної дії, її буде вибрано на основі правил.

У діалоговому вікні можна створити правило на основі дії, виявленої системою HIPS, а також визначити умови, за яких її буде дозволено або заблоковано. Для доступу до точних параметрів натисніть Додаткова інформація. Створені таким чином правила рівноцінні заданим уручну. Тому правило, створене в діалоговому вікні, може бути менш конкретним за те, що ініціювало появу цього вікна. Це означає, що після створення такого правила одна операція може ініціювати появу того самого вікна. Параметр Тимчасово запам’ятати дію для цього процесу ініціює використання дії (Дозволити/Відхилити) до наступної зміни правил або режимів фільтрування, оновлення модуля HIPS чи перезапуску системи. Якщо виконати якусь із цих трьох дій, тимчасові правила буде видалено.

3.9.1.9 Режим презентації Режим презентації – це функція для користувачів, які не хочуть переривати робочий процес, відволікатися на спливаючі вікна й надмірно навантажувати процесор. Режим презентації також може використовуватися під час ілюстрованих доповідей, які небажано переривати антивірусною перевіркою. Коли цей режим увімкнено, показ спливаючих вікон заборонено, а заплановані завдання не виконуються. Функції захисту системи продовжують роботу у фоновому режимі, не вимагаючи втручання користувача. Виберіть Параметри > Комп’ютер і натисніть перемикач Режим презентації, щоб уручну активувати відповідний режим. У меню Додаткові параметри (F5) виберіть Інструменти > Режим презентації, після чого натисніть перемикач Автоматично вмикати режим презентації під час запуску програм у повноекранному режимі, щоб програма ESET Endpoint Antivirus автоматично вмикала режим презентації під час запуску застосунків у повноекранному режимі. Увімкнення режиму презентації становить потенційний ризик для безпеки комп’ютера, тому колір піктограми статусу захисту на панелі завдань стане жовтим, а також відобразиться відповідне попередження. Це попередження також відображатиметься в головному вікні, де з’явиться оранжеве сповіщення Режим презентації ввімкнено. Якщо ввімкнути параметр Автоматично вмикати режим презентації під час запуску програм у повноекранному режимі, режим презентації активуватиметься під час запуску програми в повноекранному режимі й автоматично вимикатиметься після її закриття. Таким чином, можна активувати режим презентації відразу після запуску гри, відкриття програми в повноекранному режимі або початку презентації. Також можна встановити прапорець Автоматично вимкнути режим презентації через, щоб визначити у хвилинах проміжок часу, через який режим презентації буде автоматично вимкнено. 49

3.9.1.10 Сканування під час запуску За замовчуванням автоматична перевірка файлів під час запуску виконується після запуску системи або під час оновлення вірусної бази даних. Цей процес перевірки залежить від параметрів і завдань, визначених у розділі Завдання за розкладом. Параметри сканування під час запуску є частиною запланованого завдання Перевірка файлів під час запуску системи. Щоб змінити параметри сканування під час запуску, перейдіть до розділу Інструменти > Планувальник, натисніть Автоматична перевірка файлів під час запуску системи, а потім – Змінити. На останньому кроці відобразиться вікно Автоматична перевірка файлів під час запуску системи (див. наступний розділ для отримання докладніших відомостей). Детальні інструкції щодо створення запланованого завдання та керування див. у розділі Створення нових завдань.

3.9.1.10.1 Автоматична перевірка файлів під час запуску системи Створюючи заплановане завдання перевірки файлів під час запуску, можна змінити перелічені нижче параметри. У розкривному меню Файли, які зазвичай використовуються визначається глибина перевірки файлів, що виконується під час запуску системи, на основі секретного прогресивного алгоритму. Відповідно до вказаних критеріїв файли розташовуються за спаданням: Всі зареєстровані файли (перевіряється більшість файлів) Файли, які рідко використовуються Файли, які зазвичай використовуються Файли, які часто використовуються Тільки файли, які найчастіше використовуються (перевірка виконується на мінімальній кількості файлів) Включено також дві конкретні групи: Файли, запущені перед входом користувача в систему – файли з розташувань, доступні без обов’язкового входу користувача в систему (практично всі розташування під час запуску, зокрема служби, додаткові компоненти браузера, сповіщення winlogon, записи інструмента "Завдання за розкладом", відомі dll тощо). Файли, що запускаються після входу користувача в систему – файли з розташувань, які дають змогу запускати їх лише після входу користувача в систему (файли, які запускаються лише для певного користувача, зокрема файли в розташуванні HKEY_CURRENT_USER\SOFTWARE\Microsof t\Windows \CurrentVersion\Run). Списки файлів, які потрібно перевірити, незмінні для кожної групи. Пріоритет сканування – рівень пріоритетності, що визначається перед початком сканування: Під час простою – завдання виконуватиметься лише тоді, коли система неактивна. Найнижчий – за мінімально можливого рівня завантаження системи. Низький – за низького завантаження системи. Нормальний – за середнього завантаження системи.

3.9.1.11 Захист від ботнетів Модуль захисту документів сканує документи Microsoft Office перед їх відкриттям, а також файли, автоматично завантажені браузером Internet Explorer (такі як елементи Microsoft ActiveX). Захист документів – це додатковий рівень безпеки, окрім захисту файлової системи в режимі реального часу. Для підвищення продуктивності його можна вимкнути в системах, робота яких не пов’язана з опрацюванням великих обсягів документів Microsoft Office. Параметр Інтегрувати до системи активує систему захисту. Щоб змінити цей параметр, натисніть F5 і відкрийте вікно додаткових параметрів, а потім виберіть Антивірус > Захист документів у дереві додаткових параметрів. Цю функцію активують програми, у яких використовується прикладний інтерфейс Microsoft Antivirus API (наприклад, Microsoft Office 2000 та пізнішої версії або Microsoft Internet Explorer 5.0 і пізнішої версії). 50

3.9.1.12 Виключення У розділі "Виключення" можна виключити файли та папки під час сканування. Щоб система сканувала всі об’єкти на наявність загроз, рекомендується створювати виключення лише за необхідності. Існують ситуації, коли може виникнути потреба виключити об’єкт. Це можуть бути елементи великих баз даних, сканування яких значно сповільнить роботу комп’ютера, або програмне забезпечення, що конфліктує зі сканером (наприклад, ПЗ для резервного копіювання). Щоб виключити об’єкт із перевірки, виконайте наведені нижче дії. 1. Натисніть Додати. 2. Введіть шлях до об’єкта або виберіть його в розміщеній нижче структурі дерева. Щоб охопити групу файлів, можна використовувати символи узагальнення. Знак запитання (?) позначає окремий змінний символ, а зірочка (*) представляє змінний рядок, який складається з нуля або більшої кількості символів. Приклади Якщо необхідно виключити всі файли в папці, введіть шлях до папки та скористайтеся маскою "*.*". Щоб повністю виключити диск, на якому збережено всі файли та вкладені папки, скористайтеся маскою "D: \*". Щоб виключити лише файли у форматі doc, скористайтеся маскою "*.doc". Якщо ім’я виконуваного файлу має певну кількість символів (і вони різняться), а точно відомий лише перший (наприклад, "D"), використовуйте такий формат: "D????.exe". Знаки запитання замінюють відсутні (невідомі) символи.

ПРИМІТКА. Загрозу у файлі не буде виявлено модулем захисту файлової системи в режимі реального часу або модулем перевірки комп’ютера, якщо файл відповідає критеріям виключення під час сканування. Стовпці Шлях – шлях до виключених файлів і папок. Загроза – якщо поруч із виключеним файлом відображається ім’я загрози, це означає, що файл виключений лише для відповідної загрози. Якщо цей файл пізніше буде інфіковано іншою шкідливою програмою, антивірусний модуль його виявить. Цей тип виключення можна використовувати лише для певних проникнень. Його можна створити у вікні тривоги про загрозу (для цього натисніть Показати додаткові 51

параметри, а потім – Виключити з перевірки) або відкрити Інструменти > Карантин, натиснути правою кнопкою миші файл у карантині й вибрати в контекстному меню пункт Відновити та виключити з перевірки. Елементи керування Додати – виключає об’єкти з перевірки. Змінити – редагує вибрані елементи. Видалити – видаляє вибрані елементи.

3.9.1.13 Налаштування параметрів підсистеми ThreatSense ThreatSense – це технологія, яка використовує багато комплексних методів виявлення загроз. Вона – проактивна, тобто забезпечує захист навіть у перші години поширення нової загрози. У ній поєднуються різні методи (аналіз коду, емуляція коду, родові сигнатури, сигнатури вірусів), які працюють узгоджено, що суттєво підвищує рівень захисту системи. Підсистема сканування може контролювати одночасно кілька потоків даних, підвищуючи ефективність і швидкість виявлення. Окрім того, технологія ThreatSense успішно знищує руткіти. У налаштуваннях підсистеми ThreatSense можна задати кілька параметрів сканування: типи й розширення файлів, які потрібно сканувати; комбінацію різних методів виявлення; рівні очистки тощо. Щоб перейти до вікна налаштувань, натисніть Настройка параметрів підсистеми ThreatSense у меню додаткових параметрів будь-якого модуля, що використовує технологію ThreatSense (див. нижче). Для різних сценаріїв інколи потрібно налаштувати індивідуальні конфігурації. Зважаючи на це, підсистему ThreatSense можна налаштовувати окремо для кожного з таких модулів захисту: захисту файлової системи в режимі реального часу; сканування в неактивному стані; сканування під час запуску; захисту документів; захисту поштового клієнта; захисту доступу до Інтернету; сканування комп’ютера. Параметри ThreatSense оптимізовано для кожного модуля, тому їх змінення може суттєво вплинути на роботу системи. Наприклад, якщо ввімкнути обов’язкове сканування упакованих програм або розширену евристику для модуля захисту файлової системи в режимі реального часу, робота системи може значно сповільнитися (зазвичай такі методи використовуються лише для сканування щойно створених файлів). Рекомендується не змінювати параметри ThreatSense за замовчуванням для всіх модулів, окрім перевірки комп’ютера. Перевірити об’єкти У цьому розділі можна визначати компоненти комп’ютера та файли, які скануватимуться на наявність проникнень. Оперативна пам’ять – сканування на предмет проникнень, орієнтованих на оперативну пам’ять комп’ютера. Завантажувальні сектори – сканування завантажувальних секторів на наявність вірусів у головному завантажувальному записі. Файли електронної пошти – програма підтримує такі розширення: DBX (Outlook Express) і EML. Архіви – програма підтримує такі розширення: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE та багато інших. Саморозпакувальні архіви (SFX) – архіви, які не вимагають для свого розпакування жодних спеціалізованих програм. Упаковані програми – після виконання ці програми (на відміну від стандартних типів архіву) розпаковуються 52

в пам’яті. Окрім стандартних статичних пакувальників (UPX, yoda, ASPack, FGS та інших), сканер здатен розпізнати кілька додаткових типів пакувальників завдяки емуляції коду. Опції сканування Виберіть методи сканування системи на наявність проникнень. Доступні наведені нижче параметри. Евристика – алгоритм, який аналізує зловмисні дії програм. Основна перевага цієї технології – можливість виявляти шкідливе програмне забезпечення, яке не існувало під час формування попередньої вірусної бази даних або не було в ній відображене. Недолік – (дуже мала) імовірність помилкових сигналів. Розширена евристика/DNA/Smart-підписи – у розширеній евристиці реалізовано унікальний евристичний алгоритм, розроблений компанією ESET, який оптимізовано для виявлення комп’ютерних черв’яків, троянських програм і написано мовами програмування високого рівня. Використання розширеної евристики значно розширює можливості продуктів ESET для виявлення загроз. За допомогою сигнатур можна надійно виявляти й визначати віруси. Автоматична система оновлення дає змогу отримувати нові сигнатури протягом кількох годин із моменту виявлення загрози. Недолік використання сигнатур полягає в тому, що визначити можна лише відомі віруси (або їх дещо змінені версії). Потенційно небажаною є програма, що містить рекламу, інсталює панелі інструментів або має інше незрозуміле призначення. Проте в деяких випадках переваги від використання потенційно небажаної програми для користувача переважають ризики. Саме тому система безпеки ESET відносить такі програми до категорії зниженого ризику в порівнянні з іншими типами зловмисного ПЗ, такими як троянські програми або черв’яки. Попередження! Знайдено потенційну загрозу Коли виявлено потенційно небажану програму, можна вибрати дію, яку потрібно виконати. 1. Очистити/Відключити: застосування цієї опції завершує дію й запобігає проникненню потенційної загрози в систему. 2. Пропустити: ця опція дозволить потенційній загрозі потрапити до системи. 3. Щоб у майбутньому певна програма без проблем запускалася на комп’ютері, натисніть Додаткова інформація/Показати параметри й установіть прапорець Виключити з перевірки.

Коли виявлено потенційно небажану програму, яку не вдається очистити, у нижньому правому куті екрана відображається вікно сповіщення Адресу заблоковано. Щоб дізнатися більше про цю подію, у головному меню перейдіть до розділу Інструменти > Журнали > Відфільтровані веб-сайти.

53

Потенційно небажані програми – параметри Під час інсталяції продукту ESET можна самостійно ввімкнути виявлення потенційно небажаних програм, як показано нижче.

Потенційно небажані програми можуть поширювати рекламу, інсталювати панелі інструментів або містити інші небажані або небезпечні функції. Відповідні параметри можна в будь-який час змінити в налаштуваннях програми. Щоб увімкнути або вимкнути виявлення потенційно небажаних, небезпечних чи підозрілих програм, дотримуйтеся наведених нижче інструкцій. 1. Відкрийте продукт ESET. Як відкрити продукт ESET? 2. Натисніть клавішу F5, щоб відкрити меню Додаткові параметри. 3. Натисніть Антивірус і на власний розсуд увімкніть або вимкніть параметри Увімкнути виявлення потенційно небажаних програм, Увімкнути виявлення потенційно небезпечних програм і Увімкнути виявлення підозрілих програм. Підтвердьте зміни, натиснувши OK.

54

Потенційно небажані програми – приховані програмні надбудови Прихована програмна надбудова – особливий тип зміни програми, що використовується на деяких хостингах файлів. Це інструмент стороннього виробника, що інсталює бажану програму разом із додатковим програмним забезпеченням, наприклад, панеллю інструментів або рекламним застосунком. Додаткове ПЗ також може вносити зміни в домашню сторінку веб-браузера й налаштування пошуку. Власники хостингів файлів часто не сповіщають виробника ПЗ або користувача про внесені зміни й не дають змоги безпосередньо запобігти виконанню небажаних дій. Саме тому система безпеки ESET класифікує приховані програмні надбудови як потенційно небажане ПЗ, щоб користувачі самостійно приймали рішення про необхідність продовження завантаження. Оновлену інформацію див. у цій статті бази знань ESET. Потенційно небезпечні програми – характеристика, яка застосовується до комерційних легальних програм (див. розділ Потенційно небезпечні програми). До них належать такі програми, як засоби віддаленого доступу, програми для зламу паролів і клавіатурні шпигуни (програми, які записують кожне натискання клавіш, зроблене користувачем). За замовчуванням цей параметр вимкнуто. Очистка Параметри очистки визначають поведінку сканера під час очистки інфікованих файлів. Існує 3 рівні очистки. Без очистки – інфіковані файли не очищуються автоматично. Програма відкриє вікно попередження та дозволить користувачу вибрати дію. Цей рівень розрахований на досвідчених користувачів, які знають, як діяти у випадку виникнення загрози. Стандартне очищення – програма спробує автоматично очистити або видалити інфікований файл на основі попередньо визначеної дії (залежно від типу проникнення). Під час виявлення та видалення інфікованого файлу в правому нижньому кутку екрана з’являється сповіщення. Якщо неможливо вибрати правильну дію автоматично, програма пропонує низку дій на вибір. Програма поводиться так само, якщо неможливо виконати дію, указану в налаштуваннях. Ретельна очистка – програма очистить або видалить усі інфіковані файли. Єдині виключення – системні файли. Якщо їх неможливо очистити, користувачу пропонується вибрати дію, зазначену у вікні попередження.

55

Попередження. Якщо архів містить інфіковані файли, можливі два варіанти його обробки. У стандартному режимі (Стандартна очистка) увесь архів видаляється, якщо всі файли в ньому інфіковані. У режимі Ретельна очистка архів видаляється, якщо містить хоча б один інфікований файл, незалежно від стану інших файлів у ньому. Виключення Розширення – це частина імені файлу, відокремлена крапкою. Розширення визначає тип і вміст файлу. Цей розділ налаштування параметрів підсистеми ThreatSense дає змогу визначити типи файлів, які потрібно сканувати. Інше Під час налаштування параметрів підсистеми ThreatSense для сканування комп’ютера за вимогою доступні також наведені нижче опції розділу Інше. Перевіряти альтернативні потоки даних (ADS) – файлова система NTFS використовує альтернативні потоки даних, тобто асоціації файлів і папок, невидимі для звичайних методик перевірки. Багато загроз намагаються уникнути виявлення, маскуючись як альтернативні потоки даних. Запускати фонові перевірки з низьким пріоритетом – на кожну процедуру сканування витрачається певний обсяг ресурсів системи. Якщо запущено програму, яка спричиняє значне використання ресурсів системи, можна активувати фонову перевірку з низьким пріоритетом і зберегти ресурси для програм. Реєструвати всі об’єкти – якщо цей параметр вибрано, у журналі будуть відображені всі проскановані файли, навіть неінфіковані. Наприклад, якщо проникнення знайдено в архіві, у журналі будуть перелічені також чисті файли, які містилися в ньому. Увімкнути Smart-оптимізацію – коли Smart-оптимізацію ввімкнуто, система використовує оптимальні параметри для забезпечення найефективнішого рівня сканування, одночасно підтримуючи найвищу швидкість цього процесу. Різноманітні модулі захисту виконують інтелектуальне сканування, використовуючи різні методи й застосовуючи їх до відповідних типів файлів. Якщо Smart-оптимізацію вимкнуто, під час сканування застосовуються лише визначені користувачем у ядрі ThreatSense параметри для окремих модулів. Зберегти час останнього доступу – установіть цей прапорець, щоб зберігати початковий час доступу до сканованих файлів, а не оновлювати їх (наприклад, якщо цього потребує робота систем резервного копіювання даних). Обмеження У розділі "Обмеження" можна вказати максимальний розмір об’єктів і число рівнів вкладених архівів, які необхідно сканувати. Параметри об’єкта Максимальний розмір об’єкта – визначає максимальний розмір об’єктів, які потрібно сканувати. Після встановлення цього параметра відповідний антивірусний модуль скануватиме лише об’єкти, розмір яких не перевищуватиме зазначений. Цей параметр рекомендується змінювати тільки досвідченим користувачам, у яких може виникнути потреба виключити з перевірки великі об’єкти. Значення за замовчуванням: необмежено. Максимальний час перевірки об’єкта (с) – визначає максимальний час перевірки об’єкта. Якщо в це поле введено користувацьке значення, після завершення відповідного часу антивірусний модуль припинить перевірку об’єкта, незалежно від того, чи закінчилася вона. Значення за замовчуванням: необмежено. Параметри перевірки архівів Глибина архіву – визначає максимальну глибину сканування архіву. Значення за замовчуванням: 10. Максимальний розмір файлу в архіві – за допомогою цього параметра можна вказати максимальний розмір для файлів, що містяться в архівах (у видобутому стані), які потрібно просканувати. Значення за замовчуванням: необмежено. 56

ПРИМІТКА. Змінювати значення за замовчуванням не рекомендується, оскільки за нормальних обставин для цього немає причин.

3.9.1.13.1 Виключення Розширення – це частина імені файлу, відокремлена крапкою. Розширення визначає тип і вміст файлу. Цей розділ налаштування параметрів підсистеми ThreatSense дає змогу визначити типи файлів, які потрібно сканувати. За замовчуванням скануються всі файли. Будь-яке розширення можна додати до списку файлів, виключених із перевірки. Іноді доцільно виключити з перевірки певні типи файлів, якщо сканування таких файлів заважає належній роботі відповідних програм. Наприклад, рекомендується виключати файли з розширеннями .edb, .eml і .tmp в разі використання серверів Microsoft Exchange. За допомогою кнопок Додати та Видалити можна дозволити або заборонити сканування певних розширень файлів. Щоб додати до списку нове розширення, натисніть Додати, введіть розширення в пусте поле й натисніть OK. Якщо вибрати параметр Введіть декілька значень, можна вказати кілька розширень файлів, розділяючи їх рискою, комою або крапкою з комою. Коли активовано множинний вибір, розширення відобразяться в списку. Щоб видалити розширення зі списку, виберіть його та натисніть Видалити. Щоб відредагувати вибране розширення, натисніть Змінити. Можна використовувати спеціальні символи * (зірочка) і ? (знак запитання). Зірочка замінює будь-яку послідовність символів, а знак запитання – будь-який окремий символ. ПРИМІТКА: Щоб дізнатися точне розширення (якщо є) файлу в ОС Windows, відкрийте сторінку Панель керування, виберіть Параметри папки та перейдіть на вкладку Вигляд. Після цього зніміть прапорець Приховувати розширення для зареєстрованих типів файлів.

57

3.9.2 Інтернет і електронна пошта Параметри захисту доступу до Інтернету й електронної пошти знаходяться в меню Параметри > Інтернет і електронна пошта. З цього вікна можна отримати доступ до додаткових параметрів програми.

Підключення до Інтернету – це стандартна функція персонального комп’ютера. На жаль, саме вона стала основним засобом для передачі шкідливого коду. Тому Захист доступу до Інтернету є однією з функцій, якій слід приділяти особливу увагу. Захист поштового клієнта забезпечує керування поштовими комунікаціями через протоколи POP3 та IMAP. За допомогою модуля plug-in для поштового клієнта ESET Endpoint Antivirus забезпечує керування поштовими комунікаціями (POP3, IMAP, HTTP, MAPI). Захист від фішинг-атак – інший рівень захисту, орієнтований на зловмисні веб-сайти, що намагаються отримати паролі й іншу конфіденційну інформацію. Налаштування захисту від фішинг-атак можна знайти в області Параметри розділу Інтернет і електронна пошта. Докладніше див. у розділі Захист від фішинг-атак. Вимкнути – натисніть перемикач, щоб вимкнути захист доступу до Інтернету й електронної пошти для веббраузерів і поштових клієнтів .

3.9.2.1 Фільтрація протоколів Антивірусний захист для протоколів програм забезпечується підсистемою сканування ThreatSense, у яку повністю інтегровано всі найдосконаліші методики виявлення шкідливих програм. Фільтрація протоколів здійснюється автоматично, незалежно від використовуваного веб-браузера чи клієнта електронної пошти. Щоб змінити параметри зашифрованого з’єднання (SSL), виберіть Інтернет і електронна пошта > SSL. Увімкнути фільтрацію вмісту протоколів програм – може використовуватися для вимкнення фільтрації протоколів. Зверніть увагу, що робота багатьох модулів програми ESET Endpoint Antivirus (захист доступу до Інтернету, захист протоколів електронної пошти, захист від фішингу, веб-контроль) неможлива без цього компонента. Виключені програми – дає змогу виключати певні програми з фільтрації протоколів. Цей параметр доцільно 58

використовувати в разі виникнення проблем із сумісністю, пов’язаних із фільтрацією протоколів. Виключені IP-адреси – дає змогу виключати певні віддалені адреси з фільтрації протоколів. Цей параметр доцільно використовувати в разі виникнення проблем із сумісністю, пов’язаних із фільтрацією протоколів. Інтернет і поштові клієнти – використовується лише в середовищі операційних систем Windows XP та дає змогу вибирати програми, на трафік яких поширюватиметься фільтрація протоколів, незалежно від використовуваного порту.

3.9.2.1.1 Веб-клієнти й поштові клієнти ПРИМІТКА. Починаючи з ОС Windows Vista з пакетом оновлень 1 і Windows Server 2008, для перевірки мережевого зв’язку використовується нова архітектура фільтрування пакетів для Windows (Windows Filtering Platform, WFP). Оскільки технологія WFP використовує спеціальні методи моніторингу, розділ Веб-клієнти й поштові клієнти не доступний. Через наявність в Інтернеті величезної кількості шкідливих програм, безпечна робота з ним – це дуже важливий аспект захисту комп’ютера. Уразливості веб-браузера та шахрайські посилання дають змогу шкідливому коду непомітно потрапляти до системи. Саме тому програма ESET Endpoint Antivirus зосереджується на безпеці веб-браузера. Кожна програма, яка звертається до мережі, може бути позначена як веб-браузер. До списку Інтернет- і поштових клієнтів можна додати програми, що вже використовували протоколи для комунікації, або просто вказати шлях до потрібних програм.

3.9.2.1.2 Виключені програми Щоб виключити певні мережеві програми зі сфери охоплення фільтра протоколу, додайте їх до списку. Підключення HTTP/POP3/IMAP, які встановлюватимуться за участю вибраних програм, не перевірятимуться на наявність загроз. Рекомендується використовувати лише цей метод у випадках, коли програми не працюють належним чином за ввімкненої фільтрації протоколів. Програми й служби, які вже потрапили до сфери охоплення фільтрації протоколів, автоматично відображатимуться після натискання кнопки Додати. Змінити – редагує вибрані записи зі списку. Видалити – видаляє вибрані записи зі списку.

59

3.9.2.1.3 Виключені IP-адреси IP-адреси з цього списку буде виключено з фільтрації вмісту протоколів. Підключення HTTP/POP3/IMAP, які встановлюватимуться за участю вказаних адрес, не перевірятимуться на наявність загроз. Рекомендується використовувати цей параметр лише для довірених адрес. Додати – натисніть, щоб додати IP-адреси, діапазон адрес або підмережу віддаленої точки, до якої застосовується правило. Змінити – редагує вибрані записи зі списку. Видалити – видаляє вибрані записи зі списку.

3.9.2.1.4 SSL/TLS Програма ESET Endpoint Antivirus здатна перевіряти на наявність загроз зв’язки за протоколом SSL. Можна використовувати різні режими сканування для перевірки захищених SSL-зв’язків, коли застосовуються довірені сертифікати, невідомі сертифікати або сертифікати, виключені з перевірки захищених SSL-зв’язків. Увімкнути фільтрацію протоколу SSL/TLS – якщо фільтрацію протоколу вимкнено, програма не скануватиме SSL-зв’язки. Для параметра Режим фільтрації протоколу SSL/TLS доступні наведені нижче опції. Автоматичний режим – виберіть цей параметр, щоб сканувати всі захищені SSL-зв’язки, окрім захищених виключеними з перевірки сертифікатами. Якщо встановлюється новий зв’язок із використанням невідомого підписаного сертифіката, вас не буде сповіщено про це й зв’язок буде автоматично відфільтровано. Якщо сервер має недовірений сертифікат, позначений як довірений (доданий до списку довірених), зв’язок із сервером дозволяється, а вміст каналу зв’язку відфільтровується. Інтерактивний режим – у разі введення нового веб-сайту із захистом SSL (з невідомим сертифікатом) відображається діалогове вікно з можливістю вибору дії. У цьому режимі можна створити список сертифікатів SSL, які буде виключено з перевірки. Блокувати зашифрований зв’язок, що використовує застарілий протокол SSL v2 – автоматично блокує зв’язки, для встановлення яких використовується попередня версія протоколу SSL. Кореневий сертифікат Кореневий сертифікат – для належного функціонування зв’язків за протоколом SSL у браузерах і клієнтах 60

електронної пошти важливо, щоб до списку відомих кореневих сертифікатів (видавців) було додано кореневий сертифікат для ESET. Параметр Додати кореневий сертифікат до відомих браузерів має бути ввімкнено. Установіть цей прапорець, щоб автоматично додати кореневий сертифікат ESET до відомих браузерів (наприклад, Opera та Firefox). Для браузерів, які використовують системне сховище сертифікатів, він додається автоматично (наприклад, до Internet Explorer). Щоб застосувати сертифікат до непідтримуваних браузерів, виберіть Переглянути сертифікат > Відомості > Копіювати в файл..., після чого вручну імпортуйте його до браузера. Дійсність сертифікатів Якщо сертифікат не вдається перевірити за допомогою сховища сертифікатів TRCA – інколи сертифікат не можна перевірити за допомогою сховища довірених кореневих сертифікатів (TRCA). Це означає, що сертифікат самостійно підписаний певною особою (наприклад, адміністратором веб-сервера чи невеликої компанії), тому вважати його довіреним не завжди небезпечно. Більшість великих комерційних організацій (наприклад, банки) використовують сертифікати, підписані TRCA. Якщо прапорець Запитувати про дійсність сертифіката встановлено (за замовчуванням), користувач побачить запит на вибір дії, яку потрібно виконати в разі встановлення зашифрованого зв’язку. Можна встановити прапорець Блокувати зв’язок, який використовує сертифікат, щоб завжди переривати зашифровані підключення до сайтів, які використовують неперевірені сертифікати. Якщо сертифікат є недійсним або пошкодженим – це означає, що термін його дії минув або його неправильно підписано. У такому випадку рекомендується залишити прапорець Блокувати зв'язок, який використовує сертифікат установленим. Список відомих сертифікатів також дає змогу коригувати поведінку програми ESET Endpoint Antivirus відносно певних сертифікатів SSL.

3.9.2.1.4.1 Зашифрований SSL-зв’язок Якщо систему налаштовано на використання сканування трафіку за SSL-протоколом, у двох наведених нижче ситуаціях відображатиметься діалогове вікно з пропозицією вибрати дію. Перша: якщо веб-сайт використовує недійсний сертифікат або такий, що не можна перевірити, і програму ESET Endpoint Antivirus налаштовано запитувати вказівки користувача (за замовчуванням "Так" – для сертифікатів, які не вдається перевірити, а "Ні" – для недійсних), відображатиметься діалогове вікно із запитом про дію, яку потрібно застосувати до відповідного підключення (Заблокувати чи Дозволити). Друга: якщо для параметра Режим фільтрації протоколу SSL установлено значення Інтерактивний режим, для кожного веб-сайту відображатиметься діалогове вікно із запитом про дію, яку потрібно застосувати до трафіку (Сканувати чи Ігнорувати). Деякі програми перевіряють, чи не зазнавав змін або перевірок оброблюваний ними SSL-трафік. У такому разі ESET Endpoint Antivirus має ігнорувати трафік, щоб забезпечити роботу цих програм. В обох випадках користувач може зафіксувати вибрану ним дію. Збережені дії можна знайти в розділі Список відомих сертифікатів.

3.9.2.1.4.2 Список відомих сертифікатів Розділ Список відомих сертифікатів можна використовувати, щоб коригувати поведінку ESET Endpoint Antivirus стосовно певних сертифікатів SSL, а також запам’ятовувати вибрані дії (якщо в розділі Режим фільтрації протоколів SSL/TLS вибрано параметр Інтерактивний режим). Список можна переглянути й відредагувати в меню Додаткові параметри (F5) > Інтернет і електронна пошта > SSL/TLS > Список відомих сертифікатів. Вікно Список відомих сертифікатів складається з наведених нижче елементів. Стовпці Ім’я – ім’я сертифіката. Видавець сертифіката – ім’я автора сертифіката.

61

Предмет сертифіката – тема, пов’язана з відкритим ключем, указаним у відповідному полі. Доступ – виберіть значення Дозволити або Заблокувати для параметра Доступ, щоб дозволити чи заблокувати зв’язок, захищений відповідним сертифікатом незалежно від його надійності. Виберіть Автоматично, щоб програма дозволяла довірені сертифікати й запитувала про недовірені. Виберіть Запитувати, щоб система завжди зверталася за вказівками до користувача. Перевірка – виберіть значення Перевіряти або Ігнорувати для параметра Перевірка, щоб перевіряти або ігнорувати зв’язок, захищений відповідним сертифікатом. Виберіть Автоматично, щоб в автоматичному режимі виконувалася перевірка, а в інтерактивному система зверталася за вказівками користувача. Виберіть Запитувати, щоб система завжди зверталася за вказівками до користувача. Елементи керування Додати – сертифікат можна завантажити вручну; це має бути файл із розширенням .cer, .crt або .pem. Натисніть "Файл", щоб завантажити локальний сертифікат, або URL-адреса, щоб указати сертифікат на сайті. Змінити – виберіть сертифікат, який потрібно налаштувати, і натисніть Змінити. Видалити – виберіть потрібний сертифікат і натисніть Видалити. OK/Скасувати – натисніть OK, щоб зберегти зміни, або Скасувати, щоб залишити сторінку без збереження змін.

3.9.2.2 Захист поштового клієнта 3.9.2.2.1 Поштові клієнти Інтеграція ESET Endpoint Antivirus з поштовими клієнтами підвищує рівень активного захисту від шкідливого коду в повідомленнях електронної пошти. Якщо ваш поштовий клієнт підтримується, інтеграцію можна активувати за допомогою елементів керування ESET Endpoint Antivirus. Якщо інтеграцію ввімкнено, панель інструментів ESET Endpoint Antivirus вставляється безпосередньо в поштовий клієнт (панель інструментів для останніх версій Windows Live Mail не вставляється), що підвищує ефективність захисту електронної пошти. Параметри інтеграції доступні в меню Параметри > Додаткові параметри > Інтернет і електронна пошта > Захист поштового клієнта > Поштові клієнти. Інтеграція в поштові клієнти Наразі підтримуються такі поштові клієнти: Microsoft Outlook, Outlook Express, Windows Mail і Windows Live Mail. Захист електронної пошти працює як компонент plug-in для цих програм. Головна перевага компонента plug-in – незалежність від використовуваного протоколу. Коли клієнт електронної пошти отримує зашифроване повідомлення, воно розшифровується й передається на обробку до антивірусного сканера. Щоб отримати повний список підтримуваних поштових клієнтів і їхніх версій, див. відповідну статтю бази знань ESET. Навіть якщо інтеграцію вимкнено, поштова комунікація захищена модулем захисту електронної пошти (POP3, IMAP). Якщо під час роботи з поштовим клієнтом спостерігається вповільнення роботи системи, установіть прапорець Не перевіряти під час зміни вміст поштової скриньки (тільки MS Outlook). Така ситуація може виникати під час отримання електронної пошти з папки Kerio Outlook Connector Store. Повідомлення для сканування Увімкнути захист електронної пошти за плагінами клієнта – якщо захист поштового клієнта за відповідними плагінами вимкнуто, він усе одно перевірятиметься за фільтрацією протоколів. Отримані повідомлення – увімкнути/вимкнути перевірку отриманих повідомлень. Відправлені повідомлення – увімкнути/вимкнути перевірку повідомлень під час надсилання. Прочитані повідомлення – увімкнути/вимкнути перевірку повідомлень під час читання.

62

Дія, яку потрібно виконати із зараженим повідомленням електронної пошти Нічого не робити – програма виявлятиме інфіковані вкладення, але не застосовуватиме жодних дій до повідомлень електронної пошти. Видалити повідомлення – програма повідомлятиме користувачу про виявлені загрози й видалятиме повідомлення. Перемістити повідомлення до папки "Видалені" – інфіковані повідомлення буде автоматично переміщено до папки "Видалені". Перемістити повідомлення до папки – інфіковані повідомлення буде автоматично переміщено до вказаної папки. Папка – укажіть спеціальну папку, куди потрібно переміщувати інфіковані повідомлення електронної пошти. Повторити сканування після оновлення – увімкнути/вимкнути повторне сканування після оновлення вірусної бази даних. Прийняти результати сканування іншими модулями – модуль захисту електронної пошти прийматиме результати сканування іншими модулями захисту (сканування протоколів POP3, IMAP). ПРИМІТКА: Рекомендуємо активувати параметри Увімкнути захист електронної пошти за плагінами клієнта й Увімкнути захист електронної пошти за фільтрацією протоколів.

3.9.2.2.2 Протоколи електронної пошти IMAP і POP3 – найпоширеніші протоколи, які використовуються для поштового зв’язку в програмах поштових клієнтів. ESET Endpoint Antivirus забезпечує захист користувачів цього протоколу незалежно від їхнього поштового клієнта й без необхідності його повторного налаштування. Перевірку протоколів IMAP/IMAPS і POP3/POP3S можна налаштувати в меню додаткових параметрів. Щоб отримати доступ до відповідних налаштувань, розгорніть гілку Інтернет і електронна пошта > Захист поштового клієнта > Протоколи електронної пошти. Увімкнути захист протоколів електронної пошти – вмикає захист протоколів електронної пошти. На комп’ютерах під керуванням ОС Windows Vista й пізніших версій протоколи IMAP і POP3 автоматично визначаються й скануються на всіх портах. На комп’ютерах під керуванням ОС Windows XP для всіх програм скануються лише Порти, що використовуються протоколом IMAP/POP3. Також скануються всі порти для програм, позначених як Інтернет і поштові клієнти. ESET Endpoint Antivirus також підтримує сканування протоколів IMAPS і POP3S, які використовують зашифрований канал для передачі інформації між сервером і клієнтом. ESET Endpoint Antivirus перевіряє комунікаційні зв’язки, що використовують протоколи SSL (Secure Socket Layer – рівень захищених сокетів) і TLS (Transport Layer Security – захист на транспортному рівні). Програма скануватиме лише трафік, який передається через Порти, що використовуються протоколом IMAPS/POP3S, незалежно від версії операційної системи. Якщо вибрано параметри за замовчуванням, зашифровані комунікації не скануватимуться. Щоб увімкнути сканування зашифрованих зв’язків, у меню додаткових параметрів перейдіть до розділу SSL/TLS, натисніть Інтернет і електронна пошта, SSL/TLS, а потім – Увімкнути фільтрацію протоколів SSL/TLS.

63

3.9.2.2.3 Повідомлення про загрози та сповіщення Захист електронної пошти забезпечує контроль над поштовим трафіком, що надходить через протоколи POP3 й IMAP. За допомогою модуля plug-in для Microsoft Outlook та інших поштових клієнтів ESET Endpoint Antivirus забезпечує керування всіма зв’язками з поштовим клієнтом (POP3, MAPI, IMAP, HTTP). Під час перевірки вхідних повідомлень програма використовує всі додаткові методи сканування, доступні в підсистемі ThreatSense. Це означає, що виявлення шкідливих програм відбувається раніше, ніж перевірка на наявність їх ознак у вірусній базі даних. Сканування зв’язків, установлених за протоколами POP3 й IMAP, не залежить від поштових клієнтів, що використовуються. Параметри цієї функції доступні в меню Додаткові параметри в розділі Інтернет і електронна пошта > Захист поштового клієнта > Сигнали та сповіщення. Налаштування параметрів підсистеми ThreatSense – додаткові параметри антивірусного сканера дають змогу вказати об’єкти перевірки, методи виявлення загроз тощо. Натисніть, щоб відобразити вікно детальних параметрів антивірусного сканера. Після завершення перевірки електронної пошти сповіщення з результатом сканування може бути додано до повідомлення. Можна вибрати параметр Додавати повідомлення-ознаку до отриманої та прочитаної пошти, Додавати примітку до теми отриманої та прочитаної інфікованої електронної пошти або Додавати повідомлення-ознаку до відправленої пошти. Пам’ятайте, що іноді повідомлення-ознаки можуть бути втрачені в проблемних HTML-повідомленнях або підроблені зловмисним ПЗ. Повідомлення-ознаки можуть додаватися до прочитаних вхідних повідомлень електронної пошти та до надісланих листів. Доступні параметри: Ніколи – повідомлення-ознаки взагалі не додаватимуться. Тільки до інфікованих повідомлень – як перевірені позначатимуться лише повідомлення, які містять шкідливе програмне забезпечення (за замовчуванням). До всіх просканованих повідомлень – програма додаватиме повідомлення до всієї просканованої електронної пошти. Додавати примітку до теми відправленої інфікованої електронної пошти – зніміть цей прапорець, щоб 64

модуль захисту електронної пошти не додавав попередження про віруси до теми інфікованого повідомлення. Ця функція дає можливість налаштувати звичайну фільтрацію інфікованої електронної пошти за темою повідомлення (якщо підтримується поштовою програмою). Ця функція також підвищує рівень довіри одержувача до повідомлень, а якщо виявлено загрозу – надає корисні дані про рівень небезпеки повідомлення чи відправника. Шаблон, що додається до теми інфікованої електронної пошти – відредагуйте цей шаблон, якщо потрібно змінити формат префіксу теми інфікованої електронної пошти. Ця функція змінюватиме тему повідомлення "Вітаю!", використовуючи вказане значення префіксу ("[virus]"), і такий формат: "[virus] Вітаю!". Змінна % VIRUSNAME% вказує на виявлену загрозу.

3.9.2.3 Захист доступу до Інтернету Підключення до Інтернету – стандартна функція більшості персональних комп’ютерів. На жаль, саме вона стала основним засобом для передачі шкідливого коду. Захист доступу до Інтернету здійснюється за допомогою контролю зв’язків між веб-браузерами й віддаленими серверами відповідно до правил протоколів HTTP (протокол передавання гіпертексту) і HTTPS (зашифрований HTTP). Доступ до відомих веб-сторінок зі шкідливим вмістом блокується до початку його завантаження. Усі інші вебсторінки перевіряються підсистемою сканування ThreatSense під час завантаження й блокуються в разі виявлення зловмисного вмісту. Захист доступу до Інтернету має два рівні: блокування за чорним списком і блокування за вмістом.

Настійно рекомендується не вимикати функцію захисту доступу до Інтернету. Щоб отримати доступ до цього параметра, у головному вікні програми ESET Endpoint Antivirus перейдіть на вкладку Параметри > Інтернет і електронна пошта > Захист доступу до Інтернету. У меню Додаткові параметри (F5) > Інтернет і електронна пошта > Захист доступу до Інтернету доступні такі параметри: Веб-протоколи – дає змогу налаштувати моніторинг для стандартних протоколів, що використовуються більшістю веб-браузерів. Управління URL-адресами – дає змогу вказати списки HTTP-адрес, які потрібно заблокувати, дозволити або виключити з перевірки. Налаштування параметрів підсистеми ThreatSense – додаткові параметри антивірусного сканера, що, 65

зокрема, дають змогу вказати типи об’єктів для перевірки (електронна пошта, архіви тощо), методи виявлення загроз для захисту доступу до Інтернету та багато іншого.

3.9.2.3.1 Веб-протоколи За замовчуванням ESET Endpoint Antivirus налаштовано на відстеження протоколу HTTP, що використовується більшістю веб-браузерів. На комп’ютерах під керуванням ОС Windows Vista й пізніших версій трафік за протоколом HTTP завжди відстежується на всіх портах для всіх програм. У середовищі ОС Windows XP можна змінювати Порти, що використовуються протоколом HTTP, перейшовши в меню Додаткові параметри (F5) > Інтернет і електронна пошта > Захист доступу до Інтернету > Веб-протоколи > Параметри сканера HTTP. Трафік за протоколом HTTP відстежується на вказаних портах для всіх програм і на всіх портах для програм, позначених як Інтернет і поштові клієнти. ESET Endpoint Antivirus також підтримує перевірку протоколу HTTPS. У разі застосування зв’язку HTTPS для передавання інформації між сервером і клієнтом використовується зашифрований канал. ESET Endpoint Antivirus перевіряє зв’язки, для яких використовується шифрування за протоколами SSL (Secure Socket Layer – рівень захищених сокетів) і TLS (Transport Layer Security – захист на транспортному рівні). Програма скануватиме лише трафік, який передається через Порти, що використовуються протоколом HTTPS, незалежно від версії операційної системи. Якщо вибрано параметри за замовчуванням, зашифровані комунікації не скануватимуться. Щоб увімкнути сканування зашифрованих зв’язків, у меню додаткових параметрів перейдіть до розділу SSL/TLS, натисніть Інтернет і електронна пошта, SSL/TLS, а потім – Увімкнути фільтрацію протоколів SSL/TLS.

3.9.2.3.2 Управління URL-адресами У розділі управління URL-адресами можна вказати HTTP-адреси, які потрібно заблокувати, дозволити чи виключити з перевірки. Веб-сайти зі списку заблокованих адрес будуть недоступні, якщо їх не перемістити до списку дозволених адрес. Веб-сайти зі списку адрес, виключених із перевірки, не скануються на наявність шкідливого програмного коду. Виберіть параметр Увімкнути фільтрацію протоколу SSL, щоб фільтрувати адреси HTTPS додатково до вебсторінок HTTP. У протилежному випадку додаватимуться лише домени відвіданих вами сайтів HTTPS, а не повні URL-адреси. В усіх списках можна використовувати спеціальні символи: зірочку (*) та знак запитання (?). Зірочка позначає будь-яке число або символ, а знак запитання – будь-який один символ. Необхідно дуже обережно визначати виключені адреси, тому що список має містити лише довірені та безпечні адреси. Окрім того, необхідно переконатися, що символи * та ? використовуються в списку правильно. Перегляньте розділ Додати HTTPадресу/маску домену, щоб дізнатися, як безпечно визначити весь домен разом із субдоменами. Щоб активувати список, увімкніть параметр Активний список. Щоб отримувати попередження про введення адреси з поточного списку, виберіть Сповіщати про застосування. Щоб заблокувати всі HTTP-адреси, окрім включених в активний список дозволених адрес, додайте символ * в активний список заблокованих адрес.

66

Додати – створює список додатково до попередньо налаштованих. Це може бути корисно, коли потрібно логічно розділити різні групи адрес. Наприклад, один список заблокованих адрес може містити веб-сторінки з певного зовнішнього загальнодоступного чорного списку, а другий – включати вашу особисту добірку небажаних сайтів. Це полегшить оновлення зовнішнього списку, натомість особистий список залишатиметься без змін. Змінити – дає змогу редагувати наявні списки. Використовуйте цей параметр, щоб додавати адреси в списки або видаляти їх. Видалити – дає змогу видаляти наявні списки. Видаляти можна лише списки, створені за допомогою опції Додати, на відміну від списків за замовчуванням.

3.9.2.4 Захист від фішинг-атак Терміном "фішинг" називається злочинна діяльність із використанням соціотехнік (маніпулювання користувачами для отримання конфіденційної інформації). Як правило, мета фішингу – отримати доступ до таких конфіденційних даних, як номери банківських рахунків, ПІН-коди тощо. Докладнішу інформацію про цю діяльність див. у глосарії. ESET Endpoint Antivirus включає модуль захисту від фішинг-атак, який блокує вебсторінки, що, як відомо, поширюють такий вміст. Рекомендуємо активувати захист від фішингу в ESET Endpoint Antivirus. Для цього відкрийте меню Додаткові параметри (F5) і перейдіть до розділу Інтернет і електронна пошта > Захист від фішинг-атак. Перегляньте цю статтю в базі знань, щоб дізнатися більше про захист від фішинг-атак у ESET Endpoint Antivirus. Відвідування шахрайського веб-сайту Після переходу на шахрайський сайт у веб-браузері відобразиться наведене нижче діалогове вікно. Якщо ви все одно бажаєте відвідати відповідний веб-сайт, натисніть Перейти на сайт (не рекомендується).

67

ПРИМІТКА. За замовчуванням потенційні шахрайські веб-сайти, які було додано до білого списку, через кілька годин видаляються з нього. Щоб остаточно визначити веб-сайт як безпечний, скористайтесь інструментом Управління URL-адресами. У меню Додаткові параметри (F5) розгорніть гілку Інтернет і електронна пошта > Захист доступу до Інтернету > Керування URL-адресою> Список адрес, натисніть Змінити й додайте до списку той веб-сайт, статус якого потрібно змінити. Повідомлення про шахрайський сайт Скористайтеся посиланням Повідомити й передайте дані про шахрайський/шкідливий веб-сайт компанії ESET для його подальшої перевірки. ПРИМІТКА. Перш ніж відправляти дані про веб-сайт до ESET, упевніться, що виконується один або кілька перелічених нижче критеріїв. Веб-сайт узагалі не виявляється. Веб-сайт неправильно виявляється як загроза. У такому разі можна Повідомити про помилковий результат фішингу. Дані про веб-сайт також можна відправити електронною поштою. Надішліть повідомлення на адресу [email protected]. Обов’язково вкажіть тему повідомлення та надайте якомога більше інформації про вебсайт (наприклад, веб-сайт, з якого ви на нього перейшли, як про нього дізналися тощо).

3.9.3 Оновлення програми Регулярне оновлення ESET Endpoint Antivirus – найкращий спосіб забезпечити максимальний захист комп’ютера. Модуль оновлення гарантує, що програма завжди матиме актуальний стан. Це досягається двома шляхами: оновленням вірусної бази даних і оновленням системних компонентів. Натиснувши Оновлення в головному вікні програми, можна переглянути поточний стан оновлення, відомості про дату й час останнього успішного оновлення, а також про те, чи потрібно його виконувати зараз. В основному вікні також указується версія вірусної бази даних. Цифровий показник є діючим посиланням на вебсайт ESET, де перелічені всі сигнатури, додані в оновленні. Окрім цього, тут доступний параметр, який дає можливість запустити процедуру Оновлення вірусної бази даних уручну. Оновлення вірусної бази даних і компонентів програми є важливою складовою частиною підтримки повного захисту від шкідливого коду. Приділіть особливу увагу налаштуванню та роботі цієї функції. Якщо дані ліцензії не було введено під час інсталяції, ліцензійний ключ можна додати, натиснувши Активувати продукт під час оновлення, щоб отримати доступ до серверів ESET. 68

Якщо активувати ESET Endpoint Antivirus за допомогою файлу автономної ліцензії, не вказуючи ім’я користувача та пароль, а потім спробувати оновити продукт, з’явиться повідомлення червоного кольору Не вдалось оновити вірусну базу даних. Це означає, що оновлення можна виконати лише із дзеркала. ПРИМІТКА: Ліцензійний ключ надається компанією ESET після придбання ESET Endpoint Antivirus.

Останнє успішне оновлення – дата останнього оновлення. Переконайтеся, що ця дата недавня: це означає, що вірусна база даних перебуває в актуальному стані. Версія вірусної бази даних – цифрове позначення вірусної бази даних і водночас чинне посилання на веб-сайт ESET. Натисніть його, щоб переглянути список усіх сигнатур, доданих за допомогою цього оновлення.

69

Процес оновлення Посилання Оновлення вірусної бази даних запускає процес оновлення. На екрані відображається індикатор виконання та час до закінчення завантаження. Щоб перервати процес оновлення, натисніть Скасувати оновлення.

Важливо! За нормальних умов після правильного завантаження оновлень у вікні Оновлення з’явиться повідомлення Оновлення не потрібне: вірусна база даних актуальна. Якщо повідомлення не відображається, програма застаріла, у зв’язку з чим вона є більш уразливою до зараження. У цьому випадку оновіть вірусну базу даних якомога швидше. Вірусна база даних застаріла – ця помилка з’являється після кількох невдалих спроб оновити вірусну базу даних. Рекомендується перевірити параметри оновлення. Найпоширеніша причина помилки – неправильно введені дані автентифікації чи неналежним чином налаштовані параметри підключення.

70

Попереднє сповіщення зумовлене двома наведеними нижче повідомленнями про невдале оновлення Не вдалось оновити вірусну базу даних. 1. Недійсна ліцензія – у розділі параметрів оновлення неправильно введено ліцензійний ключ. Рекомендується перевірити дані автентифікації. Вікно додаткових параметрів (у головному меню натисніть Параметри, після чого виберіть Додаткові параметри або натисніть F5 на клавіатурі) містить додаткові параметри оновлення. У головному меню Довідка та підтримка > Керування ліцензією введіть новий ліцензійний ключ.

71

2. Помилка під час завантаження файлів оновлення – до появи цього повідомлення можуть призводити неправильні параметри підключення до Інтернету. Рекомендується перевірити підключення до Інтернету (наприклад, відкривши в браузері будь-який веб-сайт). Якщо веб-сайт не відкривається, імовірно, підключення Інтернету не встановлено або комп’ютер має проблеми з підключенням. Зверніться до свого інтернет-провайдера, якщо не вдається встановити активне підключення до Інтернету.

ПРИМІТКА. Докладніше див. у цій статті бази знань ESET.

3.9.3.1 Параметри оновлення Параметри налаштування оновлень розташовані в дереві Додаткові параметри (F5) у розділі Оновлення > Основна. У розділі параметрів оновлення вказується інформація про відповідне джерело (наприклад, сервери оновлення й дані автентифікації для них). Загальні У розкривному меню Вибраний профіль указується поточний профіль оновлення. Щоб створити профіль, натисніть Редагувати поруч з елементом Список профілів, введіть Ім’я профілю й натисніть Додати. Якщо вам не вдається завантажити оновлення вірусної бази даних, натисніть Очистити, щоб видалити тимчасові файли/кеш оновлення. Повідомлення про застарілі вірусні бази даних Автоматично встановлювати термін дії бази даних – дає змогу встановити максимальний час (у днях), після завершення якого вірусна база даних позначатиметься як застаріла. Значення за замовчуванням: 7. Відкочування Якщо ви підозрюєте, що останнє оновлення бази даних вірусів і/або модулів програми нестабільне або пошкоджене, можна повернутися до попередньої версії та вимкнути всі оновлення для вибраного періоду часу. Крім того, можна активувати попередньо вимкнуті оновлення, якщо їх було призупинено на невизначений час. 72

ESET Endpoint Antivirus зберігає знімки екрана бази даних вірусів і модулів програми для використання з функцією відкочування. Щоб створювати знімки екрана бази даних вірусів, залиште перемикач Створювати знімки екрана файлів оновлення ввімкнутим. Значення в полі Кількість локально збережених знімків визначає кількість знімків екрана бази даних вірусів, які було попередньо збережено. Якщо натиснути Відкочування (Додаткові параметри (F5) > Оновлення > Загальні), у відповідному розкривному меню потрібно вибрати часовий інтервал, упродовж якого оновлення вірусної бази даних і програмних модулів буде призупинено.

Щоб оновлення були завантажені належним чином, важливо правильно вказати всі параметри. Якщо ви використовуєте брандмауер, переконайтеся, що програмі ESET дозволено взаємодіяти з Інтернетом (тобто дозволено зв’язок за протоколом HTTP). Основний За замовчуванням у меню Тип оновлення вибрано параметр Регулярне оновлення. Так файли оновлень автоматично завантажуватимуться із сервера ESET із мінімальним споживанням мережевого трафіку. Оновлення попередніх версій (параметр Бета-версії оновлень) – це оновлення, які пройшли повну внутрішню перевірку й незабаром будуть доступні для широкого загалу. Перевага бета-версії оновлення – доступ до найновіших методів виявлення й виправлення загроз і помилок. Однак виробник не гарантує чітку роботу таких версій, тому їх НЕ МОЖНА використовувати на виробничих серверах і робочих станціях, де вимагається високий рівень доступності та стабільності. Параметр Відкладені оновлення дає змогу виконувати оновлення зі спеціальних серверів, після чого нові версії вірусних баз даних буде інстальовано із затримкою щонайменше X год. Це будуть бази даних, протестовані в реальному середовищі, а тому класифіковані як стійкі. Не відображати сповіщення про успішне оновлення – вимкнути відображення сповіщень у системному треї в нижньому правому куті екрана. Це зручно, коли ви працюєте в повноекранному режимі або коли запущено комп’ютерну гру. Зверніть увагу на те, що в разі вибору режиму презентації всі сповіщення буде вимкнено. Оновити зі змінних носіїв – дає змогу оновлювати зі змінного носія, якщо на ньому створено дзеркало. Якщо вибрано параметр Автоматично, оновлення відбуватиметься у фоновому режимі. Щоб з’являлися діалогові вікна стосовно оновлення, виберіть Завжди запитувати. 73

За замовчуванням у меню Сервер оновлень вибрано параметр AUTOSELECT. Сервер оновлень – це місце зберігання оновлень. У разі використання сервера ESET рекомендується залишити параметр за замовчуванням без змін. У разі використання локального HTTP-сервера (або "дзеркала") параметри сервера оновлення потрібно вказати таким чином: http://ім’я_комп’ютера_або_його_IP-адреса:2221. У разі використання локального HTTP-сервера з протоколом SSL параметри сервера оновлення потрібно вказати таким чином: https://ім’я_комп’ютера_або_його_IP-адреса:2221. У разі використання спільної папки параметри сервера оновлення потрібно вказати таким чином: \\computer_name_or_its_IP_address\shared_f older Оновлення із дзеркала Для автентифікації на отримання доступу до сервера оновлення використовується Ліцензійний ключ, згенерований і надісланий вам після придбання продукту. У разі використання локального сервера-дзеркала можна визначати облікові дані для здійснення клієнтами входу в його систему перед отриманням оновлень. За замовчуванням перевірка не виконується і поля Ім’я користувача та Пароль залишаються незаповненими.

3.9.3.1.1 Профілі оновлення Профілі оновлення можна створювати для різних конфігурацій і завдань оновлення. Зокрема ця функція стане в пригоді користувачам мобільних пристроїв, яким потрібен альтернативний профіль, оскільки їхні параметри підключення до Інтернету часто змінюються. Активний профіль указано в розкривному меню Вибраний профіль (за замовчуванням для цього параметра встановлено значення Мій профіль). Щоб створити профіль, натисніть Змінити поруч з елементом Список профілів, введіть Ім’я профілю й натисніть Додати.

3.9.3.1.2 Відкочування оновлення Якщо натиснути Відкочування (Додаткові параметри (F5) > Оновлення > Профіль), у відповідному розкривному меню потрібно вибрати часовий інтервал, упродовж якого оновлення вірусної бази даних і програмних модулів буде призупинено.

Для призупинення оновлень на невизначений час (доки отримання оновлень не буде відновлено вручну) виберіть До скасування. Оскільки цей параметр спричиняє потенційну загрозу для безпеки, не рекомендується вибирати його. Версію бази даних сигнатур вірусів буде повернено до найстарішої серед доступних, тож вона зберігатиметься як знімок у файловій системі на локальному комп’ютері. Приклад. Скажімо, останньою версією бази даних сигнатур вірусів є версія 10646. Версії 10645 і 10643 зберігаються як знімки бази даних сигнатур вірусів. Зауважте, що версія 10644 з певної причини недоступна (наприклад, через те, що комп’ютер було вимкнуто, а перш ніж було завантажено версію 10644, з’явилось актуальніше оновлення). Якщо ви ввели 2 в поле Кількість локально збережених знімків і натиснули 74

Відкочування, вірусну базу даних (включаючи модулі програми) буде відновлено до версії з номером 10643. Для виконання цього процесу знадобиться певний час. Перевірте, чи було відновлено старішу версію бази даних сигнатур вірусів у головному вікні програми ESET Endpoint Antivirus у розділі Оновлення.

3.9.3.1.3 Режим оновлення На вкладці Режим оновлення розташовані параметри, пов’язані з оновленням компонентів програми. Програма дає можливість налаштувати її поведінку на випадок появи оновлень компонентів програми. Оновлення компонентів програми додають нові можливості або змінюють уже доступні в попередніх версіях. Оновлення може бути застосовано автоматично без участі користувача або з відображенням відповідного сповіщення. Після інсталяції оновлення компонента програми може знадобитися перезавантажити комп’ютер. У розділі Оновлення компонентів програми доступні три наведені нижче опції. Запитувати перед завантаженням компонентів програми – параметр за замовчуванням. Коли оновлення компонентів програми стануть доступними, відобразиться запит на дозвіл або заборону їх завантаження. Завжди оновлювати компоненти програми – оновлення компонентів програми будуть завантажуватися й інсталюватися автоматично. Пам’ятайте, що після цього може знадобитися перезавантажити комп’ютер. Ніколи не оновлювати компоненти програми – оновлення компонентів програми не виконується взагалі. Цей варіант доречно використовувати для інсталяцій на сервері, тому що сервери зазвичай оновлюються лише під час обслуговування. ПРИМІТКА. Вибір опції залежить від особливостей робочої станції, на якій відповідні параметри застосовуватимуться. Пам’ятайте про відмінності між робочими станціями та серверами. Наприклад, автоматичне перезавантаження сервера після оновлення програми може завдати серйозної шкоди. Якщо параметр Запитувати перед завантаженням оновлення ввімкнуто, у разі появи оновлення відображатиметься відповідне сповіщення. Якщо розмір файлу оновлення перевищуватиме значення, указане в полі Запитувати, якщо розмір файлу оновлення більший за (КБ), програма відображатиме відповідне сповіщення.

3.9.3.1.4 Проксі-сервер HTTP Щоб отримати доступ до параметрів проксі-сервера для певного профілю оновлення, виберіть елемент Оновлення в дереві Додаткові параметри (F5) і натисніть Проксі-сервер HTTP. Натисніть розкривне меню Режим проксі-сервера й виберіть один із трьох наведених нижче параметрів. Не використовувати проксі-сервер Підключення через проксі-сервер Використовувати глобальні параметри проксі-сервера У разі вибору параметра Використовувати глобальні параметри проксі-сервера програма використовуватиме параметри проксі-сервера, уже вказані в гілці Інструменти > Проксі-сервер дерева додаткових параметрів. Виберіть параметр Не використовувати проксі-сервер, щоб указати, що для оновлення ESET Endpoint Antivirus не потрібно використовувати проксі-сервер. Параметр Підключення через проксі-сервер слід вибрати в наведених нижче випадках. Якщо цей проксі-сервер потрібно використовувати для оновлення ESET Endpoint Antivirus і він відрізняється від зазначеного в глобальних параметрах (Інструменти > Проксі-сервер). У такому випадку відповідні параметри потрібно вказати тут: Проксі-сервер (адреса), Порт зв’язку (3128 за замочуванням), а також Ім’я користувача й Пароль для доступу до проксі-сервера (якщо потрібно). Якщо параметри проксі-сервера для загального використання не було встановлено, а програма ESET Endpoint Antivirus здійснюватиме підключення до проксі-сервера для здійснення оновлень. Якщо комп’ютер підключено до Інтернету через проксі-сервер. Під час інсталяції програми значення параметрів беруться з конфігурації Internet Explorer, проте якщо вони згодом змінюються (наприклад, ви звертаєтеся до іншого постачальника послуг Інтернету), переконайтеся, що параметри проксі-сервера HTTP в цьому вікні вказано правильно. У протилежному випадку програма не зможе підключитися до серверів оновлень. 75

За замовчування для проксі-сервера застосовується параметр Використовувати глобальні параметри проксісервера. ПРИМІТКА. Дані автентифікації (Ім’я користувача й Пароль) використовуються для отримання доступу до проксі-сервера. Заповнюйте ці поля, лише якщо ім’я користувача та пароль вимагаються. Пам’ятайте, що в ці поля не слід вводити пароль/ім’я користувача в ESET Endpoint Antivirus. Ї х потрібно заповнювати, лише якщо ви точно знаєте, що для доступу до Інтернету через проксі-сервер потрібен пароль.

3.9.3.1.5 Підключатися до локальної мережі як Під час оновлення з локального сервера під керуванням операційної системи Windows NT автентифікація кожного мережевого підключення вимагається за замовчуванням. Щоб налаштувати такий обліковий запис, виберіть одну з наведених нижче опцій у розкривному меню Тип локального користувача: Системний обліковий запис (за замовчуванням), Поточний користувач, Вказаний користувач. Виберіть Системний обліковий запис (за замовчуванням), щоб використовувати системний обліковий запис для автентифікації. Як правило, процес автентифікації не відбувається, якщо в розділі головних параметрів оновлення не вказані дані автентифікації. Щоб для автентифікації програма використовувала дані облікового запису користувача, який увійшов до системи, виберіть параметр Поточний користувач. Недолік цього рішення полягає в тому, що програма не зможе підключитися до сервера оновлень, якщо в потрібний момент жоден користувач не ввійшов у систему. Використовуйте параметр Зазначений користувач, коли потрібно, щоб для автентифікації програма використовувала обліковий запис конкретного користувача. Використовуйте цей метод, якщо не вдається виконати підключення за допомогою системного облікового запису. Пам’ятайте, що обліковий запис зазначеного користувача повинен мати доступ до каталогу файлів оновлення на локальному сервері. Інакше програма не зможе встановити підключення та завантажити оновлення. Попередження: Якщо вибрано параметр Поточний користувач або Зазначений користувач, у разі зміни ідентифікації програми з використанням даних потрібного користувача може статися помилка. Дані автентифікації для локальної мережі рекомендується вводити в розділі головних параметрів оновлення. У цьому розділі параметрів оновлення дані автентифікації слід вводити таким чином: назва_домену\користувач (для робочої групи – назва_робочої_групи\назва) і пароль. У разі оновлення з HTTP-версії локального сервера автентифікація не вимагається. Активуйте параметр Відключатися від сервера після оновлення, щоб розривати підключення до сервера, яке залишається активним навіть після завантаження оновлень.

3.9.3.1.6 Дзеркало ESET Endpoint Antivirus дає змогу користувачеві створювати копії файлів оновлень, які можна використовувати для оновлення інших робочих станцій у мережі. Використовувати дзеркало (копію файлів оновлень у середовищі локальної мережі) зручно, оскільки файли оновлень не потрібно щоразу завантажувати із серверів оновлень постачальників на кожну робочу станцію. Оновлення завантажуються на локальний сервер-дзеркало й потім поширюються на всі робочі станції. Це дає можливість уникнути ризику перевантаження мережі надлишковим трафіком. Оновлення клієнтських робочих станцій із дзеркала оптимізує навантаження на мережу й зберігає пропускну здатність каналу підключення до Інтернету. Налаштування локального сервера-дзеркала доступні в розділі Оновлення меню додаткових параметрів. Щоб перейти до нього, натисніть F5, виберіть Оновлення й відкрийте вкладку Дзеркало.

76

Щоб створити дзеркало на клієнтській робочій станції, активуйте параметр Створити дзеркало оновлення. Адже він відкриває доступ до інших параметрів дзеркала, зокрема тих, які визначають спосіб доступу до файлів оновлення та шлях до файлів дзеркала. Доступ до файлів оновлення Оновлення файлів через внутрішній HTTP-сервер – якщо ввімкнено, доступ до файлів оновлень можна отримати через протокол HTTP (облікові дані вводити не потрібно). ПРИМІТКА. Щоб використовувати HTTP-сервер, на комп’ютері під керуванням Windows XP потрібно інсталювати пакет оновлень 2 або пізнішої версії. Способи отримання доступу до сервера-дзеркала детально описано в розділі Оновлення із дзеркала. Існує два основних способи отримання клієнтами доступу до дзеркала: папка з файлами оновлень може бути представлена як спільна папка в мережі або як HTTP-сервер. Папку, у яку зберігатимуться файли оновлень для дзеркала, можна вказати в розділі Папка для дзеркальних дублікатів файлів. Натисніть Папка, щоб перейти до папки на локальному комп’ютері або спільної папки в мережі. Якщо для вибраної папки потрібна авторизація, слід ввести дані автентифікації в полях Ім’я користувача та Пароль. Якщо вибрана цільова папка розташована на мережевому диску з операційною системою Windows NT/2000/XP, зазначені ім’я користувача та пароль мають надавати права запису для вибраної папки. Формат імені користувача й пароля має бути таким: Домен/користувач або Робоча група/ користувач. Не забудьте вказати відповідні паролі. Файли – під час налаштування дзеркала можна вказати мовні версії оновлень, які потрібно завантажувати. Вибрані мови мають підтримуватися сервером створеного користувачем дзеркала. HTTP-сервер Порт сервер – за замовчуванням для цього параметра встановлено значення 2221. Аутентифікація – визначає спосіб автентифікації для доступу до файлів оновлень. Доступні такі варіанти: Немає, Базова й NTLM. Виберіть Базова, щоб використовувати кодування base64 з базовою автентифікацією за допомогою імені користувача та пароля. Варіант NTLM передбачає кодування з використанням безпечного 77

методу. Для автентифікації використовується обліковий запис користувача робочої станції зі спільним доступом до файлів оновлень. За замовчуванням використовується значення Немає, що надає доступ до файлів оновлень, не вимагаючи автентифікації. Додайте Файл ланцюжка сертифікатів чи створіть самостійно підписаний сертифікат, щоб забезпечити підтримку HTTP-сервера через протокол HTTPS (SSL). Доступні такі типи сертифікатів: ASN, PEM і PFX. Для забезпечення додаткового захисту завантажувати файли оновлень можна через протокол HTTPS. У разі використання цього протоколу практично неможливо відстежити передачу даних і дані входу. За замовчуванням для параметра Тип приватного ключа встановлено значення Інтегрований (тому параметр Файл приватного ключа за замовчуванням вимкнено). Це означає, що приватний ключ є частиною вибраного файлу ланцюжка сертифікатів.

Підключатися до локальної мережі як Тип локального користувача – у відповідних розкривних меню відображатимуться параметри Системний обліковий запис (за замовчуванням), Поточний користувач й Указаний користувач. Параметри Ім’я користувача й Пароль є необов’язковими. Також див. розділ Підключатися до локальної мережі як. Установіть прапорець Відключатися від сервера після оновлення, щоб розривати підключення до сервера, яке залишається активним після завантаження оновлень. Оновлення компонентів програми Автоматично оновлювати компоненти – дає змогу доповнювати й оновлювати наявні функції. Оновлення може бути застосовано автоматично без участі користувача чи з відображенням відповідного сповіщення. Після інсталяції оновлення компонента програми може знадобитися перезавантажити комп’ютер. Оновити компоненти зараз – оновлення компонентів програми до останньої версії.

78

3.9.3.1.6.1 Оновлення із дзеркала Існує два основних способи налаштування дзеркала – сховища, з якого клієнти завантажують файли оновлення. Папка з файлами оновлень може бути представлена як спільна папка в мережі або як HTTP-сервер. Доступ до дзеркала за допомогою внутрішнього HTTP-сервера Ця конфігурація використовується за замовчуванням, і її заздалегідь указано в налаштуваннях програми. Щоб дозволити доступ до дзеркала за допомогою HTTP-сервера, перейдіть до меню Додаткові параметри > Оновлення > Дзеркало й виберіть Створити дзеркало оновлення. У розділі HTTP-сервер на вкладці Дзеркало можна вказати Порт сервера, який прослуховуватиме HTTP-сервер, а також тип автентифікації (параметр Аутентифікація), використовуваний HTTP-сервером. За замовчуванням порт сервера має номер 2221. Параметр Аутентифікація визначає спосіб автентифікації для доступу до файлів оновлень. Доступні такі варіанти: Немає, Базова й NTLM. Виберіть Базова, щоб використовувати кодування base64 з базовою автентифікацією за допомогою імені користувача та пароля. Варіант NTLM передбачає кодування з використанням безпечного методу. Для автентифікації використовується обліковий запис користувача робочої станції зі спільним доступом до файлів оновлень. За замовчуванням використовується значення Немає, що надає доступ до файлів оновлень, не вимагаючи автентифікації. Попередження. Якщо потрібно надати доступ до файлів оновлень через HTTP-сервер, папка дзеркала має бути розташована на тому ж комп’ютері, на якому інстальовано програму ESET Endpoint Antivirus, що використовувалася для її створення. SSL для HTTP-сервера Додайте Файл ланцюжка сертифікатів чи створіть самостійно підписаний сертифікат, щоб забезпечити підтримку HTTP-сервера через протокол HTTPS (SSL). Доступні такі типи сертифікатів: PEM, PFX і ASN. Для забезпечення додаткового захисту завантажувати файли оновлень можна через протокол HTTPS. У разі використання цього протоколу практично неможливо відстежити передачу даних і дані входу. За замовчуванням для параметра Тип приватного ключа встановлено значення Інтегрований, що означає, що приватний ключ є частиною вибраного файлу проміжного сертифіката. ПРИМІТКА: Якщо не вдалось оновити вірусну базу даних із дзеркала кілька разів поспіль, на вкладці оновлень головного меню відобразиться помилка Неприпустиме ім’я користувача та(або) пароль. Рекомендується перейти до розділу Додаткові параметри > Оновлення > Дзеркало та перевірити ім’я користувача й пароль. Найчастіше причиною цієї помилки є неправильно введені дані автентифікації.

79

Після завершення налаштування сервера-дзеркала потрібно додати новий сервер оновлення на клієнтські робочі станції. Для цього виконайте наведені нижче дії. Відкрийте Додаткові параметри (F5) і натисніть Оновлення > Базові. Зніміть прапорець Автоматичний вибір і додайте новий сервер у полі Сервер оновлення в одному з таких форматів: http://IP_адреса_вашого_сервера:2221 https://IP_адреса_вашого_сервера:2221 (якщо використовується SSL) Доступ до дзеркала через спільні папки системи Спочатку потрібно створити спільну папку на локальному або мережевому пристрої. Під час створення папки дзеркала потрібно надати доступ "для запису" користувачеві, який зберігатиме файли оновлень, і доступ "для читання" всім користувачам, які оновлюватимуть ESET Endpoint Antivirus з цієї папки. Потім налаштуйте доступ до дзеркала в меню Додаткові параметри > Оновлення > вкладка Дзеркало, вимкнувши параметр Оновлення файлів через внутрішній HTTP-сервер. Цей параметр вмикається за замовчуванням під час інсталяції програми. Якщо спільна папка розташована на іншому комп’ютері в мережі, необхідно ввести дані автентифікації для доступу до нього. Щоб указати дані автентифікації, відкрийте меню Додаткові параметри (F5) ESET Endpoint Antivirus й натисніть Оновлення > Підключатися до локальної мережі як. Це той самий параметр оновлення, який описано в розділі Підключатися до локальної мережі як. Після завершення налаштування дзеркала перейдіть до клієнтської робочої станції та вкажіть \\UNC\ШЛЯХ як сервер оновлення відповідно до наведених нижче інструкцій. 1. Відкрийте меню Додаткові параметри ESET Endpoint Antivirus і натисніть Оновлення > Базові. 2. Натисніть поле Сервер оновлення та вкажіть новий сервер у форматі \\UNC\ШЛЯХ. ПРИМІТКА: Для належного функціонування оновлень шлях до папки дзеркала потрібно вказати у форматі UNC. Оновлення з підключених мережевих дисків можуть не працювати.

80

Останній розділ контролює компоненти програми. За замовчуванням компоненти завантаженої програми підготовлені до копіювання до локального дзеркала. Якщо активовано параметр Оновлення компонентів програми, не потрібно натискати Оновити, оскільки файли копіюються до локального дзеркала автоматично, щойно стають доступними. Докладніше про оновлення компонентів програми див. у розділі Режим оновлення.

3.9.3.1.6.2 Виправлення неполадок під час оновлення із дзеркала У більшості випадків проблеми в процесі оновлення із сервера-дзеркала викликані однією або кількома причинами: неправильними параметрами папки дзеркала, некоректними даними автентифікації для папки дзеркала, помилковими параметрами локальних робочих станцій, які намагаються завантажити файли оновлення із дзеркала, або поєднанням усіх цих чинників. Нижче розглядаються найпоширеніші проблеми, які можуть виникати в процесі оновлення із дзеркала. ESET Endpoint Antivirus повідомляє про помилку підключення до сервера-дзеркала – імовірно, неправильно вказано сервер оновлення (мережевий шлях до папки дзеркала), з якого локальні робочі станції завантажують оновлення. Щоб перевірити папку, натисніть меню Пуск в ОС Windows, виберіть Виконати, введіть ім’я папки й натисніть OK. Після цього має відобразитися вміст папки. ESET Endpoint Antivirus вимагає введення імені користувача й пароля – імовірно, введено неправильні дані автентифікації (ім’я користувача й пароль) у розділі оновлення. Ім’я користувача та пароль використовуються для надання доступу до сервера оновлень, з якого програма буде оновлюватися. Переконайтеся, що дані автентифікації правильні та введені в належному форматі. Наприклад, Домен/ім’я_користувача або Робоча_група/ім’я_користувача й відповідні паролі. Якщо сервер-дзеркало доступний "Для всіх", це зовсім не означає, що доступ надається будь-якому користувачеві. "Для всіх" не означає "для будь-якого неавторизованого користувача". Це значить, що відповідна папка доступна для всіх користувачів домену. Отже, навіть якщо папка доступна "Для всіх", усе одно в розділі параметрів оновлення потрібно ввести ім’я користувача домену та пароль. ESET Endpoint Antivirus повідомляє про помилку підключення до сервера-дзеркала – зв’язок через порт, визначений для доступу до HTTP-версії дзеркала, блокується.

3.9.3.2 Створення завдань оновлення Процес оновлення можна ініціювати вручну, натиснувши Оновлення вірусної бази даних в основному вікні, яке відобразиться після вибору елемента Оновлення в головному меню. Оновлення також можна виконувати як заплановані завдання. Щоб налаштувати заплановане завдання, натисніть Інструменти > Завдання за розкладом. За замовчуванням у програмі ESET Endpoint Antivirus активовано наведені нижче завдання. Регулярне автоматичне оновлення Автоматичне оновлення після встановлення модемного підключення Автоматичне оновлення після входу користувача в систему Кожне завдання оновлення за бажанням можна змінювати. Окрім стандартних завдань оновлення, користувач може створювати нові завдання із власною користувацькою конфігурацією. Докладніше про створення й налаштування завдань оновлення див. у розділі Планувальник.

81

3.9.4 Інструменти У меню Інструменти представлено ряд модулів, які допомагають спростити адміністрування програми та надають додаткові можливості для досвідчених користувачів.

Цей розділ містить такі елементи: Файли журналу Статистика захисту Перегляд активності Запущені процеси (якщо ESET Live Grid увімкнено в програмі ESET Endpoint Antivirus) Розклад Карантин ESET SysInspector Надіслати файл для аналізу – дає змогу надсилати підозрілі файли на аналіз до лабораторії ESET. Діалогове вікно, яке відкривається після вибору цього посилання, описано в розділі Відправлення зразків на аналіз. ESET SysRescue – переспрямовує вас на сторінку ESET SysRescue Live, де можна завантажити образ ESET SysRescue Live або програму Live CD/USB Creator для операційних систем Microsoft Windows.

82

3.9.4.1 Журнали Журнали містять інформацію про важливі програмні події та надають огляд виявлених загроз. Ведення журналу є важливим засобом системного аналізу, виявлення загроз і виправлення неполадок. Запис у журнал відбувається у фоновому режимі без втручання користувача. Інформація, яка може записуватися в журнал, залежить від поточних параметрів деталізації журналу. Текстові повідомлення й журнали можна переглядати безпосередньо в середовищі ESET Endpoint Antivirus. Також можна архівувати файли журналів. Доступ до журналів можна отримати з головного вікна програми, натиснувши Інструменти > Журнали. Виберіть потрібний тип журналу в розкривному меню Журнал. Доступні такі журнали: Виявлені загрози – цей журнал надає детальну інформацію про загрози, виявлені модулями ESET Endpoint Antivirus. Інформація включає час виявлення, назву загрози, розташування, виконану дію та ім’я користувача, який перебував у системі в той час, коли було виявлено загрозу. Двічі натисніть будь-який запис журналу, щоб відобразити детальні відомості в окремому вікні. Події – усі важливі дії, виконані ESET Endpoint Antivirus, записуються в журналі подій. Журнал містить інформацію про події та помилки, які сталися в програмі. Він призначений для системних адміністраторів і користувачів, яким потрібна допомога з вирішенням проблем. Часто інформація в ньому допомагає знайти вирішення проблеми, яка виникла під час роботи програми. Перевірка комп’ютера – усі результати сканування відображаються в цьому вікні. Кожний рядок відповідає одному скануванню комп’ютера. Двічі клацніть будь-який рядок, щоб переглянути докладну інформацію про відповідний сеанс сканування. HIPS – містить записи певних правил, позначених для запису. Протокол показує програму, яка викликала операцію, результат (правило було дозволено чи заборонено), а також ім’я створеного правила. Відфільтровані веб-сайти – список веб-сайтів, заблокованих модулем захисту доступу до Інтернету. У журналах містяться дані про час, URL-адресу, користувача та програму, пов’язані з переходом на окремий сайт. Контроль пристроїв – містить записи про змінні носії та пристрої, підключені до комп’ютера. У файлі журналу реєструються ті пристрої, для яких створено правило контролю. Якщо правило не відповідає підключеному пристрою, запис у журналі для підключеного пристрою не створюватиметься. У цьому ж журналі можна переглянути відомості про тип пристрою, серійний номер, ім’я постачальника та розмір носія (якщо доступно). Інформацію з кожного розділу можна скопіювати в буфер обміну (сполучення клавіш Ctrl + C). Для цього виберіть запис і натисніть Копіювати. За допомогою клавіш Ctrl і Shift можна вибрати відразу кілька записів. Натисніть

Фільтрація, щоб відкрити вікно Фільтрація журналу, де можна визначати критерії фільтрації.

Щоб відобразити контекстне меню, натисніть правою кнопкою миші потрібний запис. У контекстному меню ви зможете отримати доступ до наведених нижче параметрів. Показати – показ додаткової інформації про вибраний журнал у новому вікні. Відфільтровувати однакові записи – після активації цього фільтра відображатимуться лише записи певного типу (діагностичні, попереджувальні тощо). Фільтрувати.../Знайти... – після натискання цієї опції у вікні Пошук у журналі можна буде визначати критерії фільтрування для певних записів журналу. Увімкнути фільтр – активація параметрів фільтра. Вимкнути фільтр – очищення всіх параметрів фільтрації (як описано вище). Копіювати/Копіювати все – копіювання інформації про всі записи у вікні. Видалити/Видалити все – видалення вибраних або всіх відображуваних записів (для виконання цієї дії необхідні права адміністратора). Експорт... – експорт інформації про записи у форматі XML. Експортувати все… – експорт інформації про всі записи у форматі XML. Прокручування журналу – залиште цю опцію ввімкненою, щоб у вікні Журнали старі записи автоматично прокручувалися й завжди відображалися активні. 83

3.9.4.1.1 Пошук у журналі У журналах зберігається інформація про важливі системні події. Функція фільтрації журналу дає змогу переглянути записи подій певного типу. Введіть ключове слово пошуку в поле Знайти текст. Якщо пошук за ключовим словом потрібно обмежити певним стовпцем, змініть фільтр у розкривному меню Знайти в стовпцях. Типи запису – виберіть записи журналу одного або кількох типів у розкривному меню: Діагностика – запис інформації, необхідної для оптимізації програми, і всіх зазначених вище елементів. Інформаційні записи – запис інформаційних повідомлень, включно зі сповіщеннями про успішне оновлення, і всіх зазначених вище елементів. Попередження – запис усіх критичних помилок і попереджувальних повідомлень. Помилки – запис таких помилок, як "Помилка під час завантаження файлу" та критичних помилок. Критичні помилки – запис лише критичних помилок (помилка запуску антивірусного захисту, тощо). Проміжок часу – укажіть проміжок часу, за який потрібно відобразити результати. Тільки слово повністю – установіть цей прапорець, якщо потрібні точніші результати з конкретними словами. З урахуванням регістру – увімкніть цю опцію, якщо під час фільтрації потрібно враховувати верхній і нижній регістри літер. Пошук за зростанням – першими відображатимуться результати пошуку, розташовані вище в документі.

3.9.4.2 Параметри проксі-сервера У великих локальних мережах проксі-сервер може керувати підключенням комп’ютерів до Інтернету. У такому випадку потрібно визначити наведені нижче параметри. Інакше програма не зможе автоматично оновлюватися. У програмі ESET Endpoint Antivirus параметри проксі-сервера доступні у двох розділах дерева додаткових параметрів. По-перше, параметри проксі-сервера можна вказати в розділі Додаткові параметри меню Інструменти > Проксі-сервер. Указані на цьому рівні параметри визначають загальні налаштування проксі-сервера для всіх функцій ESET Endpoint Antivirus. Визначені тут параметри використовуватимуться всіма модулями, які вимагають підключення до Інтернету. Щоб визначити параметри проксі-сервера на цьому рівні, установіть прапорець Використовувати проксісервер, після чого введіть його адресу в полі Проксі-сервер і номер порту в полі Порт. Якщо підключення за допомогою проксі-сервера вимагає автентифікації, установіть прапорець Проксі-сервер вимагає автентифікації та введіть дійсні дані в поля Ім’я користувача й Пароль. Натисніть Виявити, щоб параметри проксі-сервера виявлятись і застосовувались автоматично. Буде скопійовано параметри, указані в Internet Explorer. ПРИМІТКА. Ім’я користувача й пароль потрібно вручну вказати в налаштуваннях проксі-сервера. Параметри проксі-сервера також можна визначити у спеціальному розділі: у меню Додаткові параметри > Оновлення > Проксі-сервер HTTP виберіть елемент Підключення через проксі-сервер із розкривного меню Режим проксі-сервера. Ці параметри застосовуються до відповідного профілю оновлення. Ї х рекомендується вказувати на портативних комп’ютерах, оскільки вони часто отримують оновлення вірусної бази даних із віддалених місць розташування. Щоб переглянути додаткові відомості про ці параметри, див. розділ Додаткові параметри оновлення.

84

3.9.4.3 Планувальник Інструмент "Завдання за розкладом" керує запланованими завданнями та запускає їх із попередньо визначеною конфігурацією та заданими властивостями. Доступ до інструмента "Завдання за розкладом" можна отримати в головному вікні програми ESET Endpoint Antivirus, натиснувши Інструменти > Завдання за розкладом. У розділі Завдання за розкладом міститься список усіх завдань і властивостей конфігурацій, зокрема такі параметри, як дата, час і профіль сканування. Модуль завдань за розкладом використовується для планування таких завдань: оновлення вірусної бази даних, сканування за розкладом, сканування файлів під час запуску системи й обслуговування журналів. Завдання можна додавати або видаляти безпосередньо з головного вікна планувальника (натисніть у нижній частині Додати завдання або Видалити). Клацніть правою кнопкою миші в будь-якій частині вікна, щоб виконати такі дії: відобразити детальну інформацію, виконати завдання негайно, додати нове завдання або видалити наявне. Використовуйте прапорці на початку кожного запису, щоб активувати або вимкнути завдання. За замовчуванням у вікні Завдання за розкладом відображаються такі завдання: Обслуговування журналу Регулярне автоматичне оновлення Автоматичне оновлення після встановлення модемного підключення Автоматичне оновлення після входу користувача в систему Автоматична перевірка файлів під час запуску системи (після входу користувача в систему) Автоматична перевірка файлів під час запуску системи (після успішного оновлення вірусної бази даних) Автоматичне перше сканування Щоб змінити конфігурацію наявного запланованого завдання (як стандартного, так і користувацького), натисніть завдання правою кнопкою миші й виберіть команду Змінити... або вкажіть потрібне завдання й натисніть кнопку Змінити. Додавання нового завдання 1. Натисніть Додати завдання в нижній частині вікна. 2. Укажіть ім’я завдання. 3. Виберіть потрібне завдання з розкривного меню: Запуск зовнішньої програми – планування запуску зовнішньої програми. Обслуговування журналу – окрім усього іншого, у журналах також містяться залишки видалених записів. Це завдання регулярно оптимізовує записи в журналах для підвищення ефективності роботи. Перевірка файлів під час запуску системи – перевірка файлів, що запускаються автоматично під час завантаження системи або входу до облікового запису. Створити знімок стану системи – створення знімка системи засобом ESET SysInspector, який збирає докладну інформацію про системні компоненти (наприклад, драйвери, програми) й оцінює рівень ризику для кожного з них. Сканування комп’ютера за вимогою – сканування файлів і папок на комп’ютері. Перше сканування – за замовчуванням сканування комп’ютера виконується через 20 хвилин після інсталяції або перезавантаження (як завдання з низьким пріоритетом). Оновлення – планування завдання оновлення, у рамках якого оновлюються вірусна база даних і модулі програми. 4. Увімкніть перемикач Увімкнено, щоб активувати завдання (це можна зробити пізніше, установивши/знявши прапорець у списку запланованих завдань), натисніть Далі й виберіть один із часових параметрів: Один раз – завдання буде виконано у визначений день і час. Багаторазово – завдання буде виконуватися багаторазово через зазначений інтервал часу. Щодня – завдання буде виконуватися багаторазово кожен день у визначений час. Щотижня – завдання буде виконуватись у вибраний день і час. За умови виникнення події – завдання буде виконано, якщо відбудеться зазначена подія. 85

5. Виберіть Не запускати завдання, якщо комп’ютер працює від батареї, щоб зменшити використання системних ресурсів, коли портативний комп’ютер працює від батареї. Завдання буде виконуватись у вибраний день і час відповідно до параметрів розділу Запуск завдання. Якщо завдання не вдалося запустити в заданий час, можна зазначити, коли його необхідно виконати наступного разу: Під час наступного запланованого виконання Якомога швидше Негайно, якщо час з останнього запуску перевищує зазначений інтервал (інтервал можна вибрати за допомогою поля прокрутки Минуло часу з останнього запуску) Щоб переглянути інформацію про заплановане завдання, натисніть його правою кнопкою миші й виберіть Показати деталі задачі.

3.9.4.4 Статистика захисту Щоб переглянути графік статистичних даних, які відносяться до модулів захисту ESET Endpoint Antivirus, клацніть Інструменти > Статистика захисту. У розкривному меню Статистика виберіть необхідний модуль захисту, щоб відкрити відповідний графік і легенду. Якщо навести курсор на один з елементів у легенді, у графіку відобразяться дані лише для цього елемента. Доступні такі статистичні графіки: Антивірус та антишпигун – відображення кількості інфікованих і очищених об’єктів. Захист файлової системи – відображення лише тих об’єктів, які читалися або записувалися у файлову систему. Захист поштового клієнта – відображення лише тих об’єктів, які надсилалися або приймалися поштовими клієнтами. Захист доступу до Інтернету та захист від фішинг-атак – відображення лише тих об’єктів, які було завантажено веб-браузерами. Поруч із графіками зі статистичними даними зазначається кількість просканованих, інфікованих, очищених і чистих об’єктів. Натисніть Скинути, щоб очистити статистичну інформацію, або натисніть Скинути все, щоб очистити й видалити всі наявні дані.

86

3.9.4.5 Перегляд активності Щоб переглянути поточну активність файлової системи у вигляді графіка, клацніть Інструменти > Перегляд активності. Унизу графіка розташована часова шкала, яка відображає активність файлової системи в режимі реального часу за вибраний період. Інший період часу можна вибрати в розкривному меню Частота оновлення.

Доступні наведені нижче опції. Крок 1 секунда – графік оновлюється щосекунди й відображає дані за останні 10 хвилин. Крок в 1 хвилину (останні 24 години) – графік оновлюється щохвилини й відображає дані за останні 24 години. Крок в 1 годину (останній місяць) – графік оновлюється щогодини й відображає дані за останній місяць. Крок в 1 годину (вибраний місяць) – графік оновлюється щогодини й відображає дані за вибрану кількість останніх місяців (Х). Вертикальна вісь графіка активності файлової системи представляє обсяг прочитаних (синя лінія) і записаних (червона ліня) даних. Обидва значення представлені в КБ (кілобайтах)/МБ/ГБ. Якщо навести курсор на прочитані або записані дані в легенді під графіком, на графіку відобразиться значення лише для цього типу активності.

87

3.9.4.6 ESET SysInspector ESET SysInspector – це програма, яка ретельно перевіряє комп’ютер і збирає докладну інформацію про такі системні компоненти, як драйвери й програми, мережеві підключення та важливі розділи реєстру. Крім того, вона оцінює рівень ризику для кожного компонента. Ця інформація може допомогти виявити причину підозрілого поводження системи, яке може бути спричинено несумісністю програмного забезпечення або обладнання чи проникненням шкідливої вірусної програми. Вікно SysInspector містить таку інформацію про створені журнали: Час – час створення журналу. Коментар – короткий коментар. Користувач – ім’я користувача, який створив журнал. Статус – статус створення журналу. Можливі такі дії: Відкрити – відкриває створений журнал. Також відповідний файл журналу можна натиснути правою кнопкою миші й вибрати Показати в контекстному меню. Порівняти – порівняння двох наявних журналів. Створити... – створення нового журналу. Перш ніж відкривати журнал, дочекайтеся, поки ESET SysInspector завершить роботу (статус журналу зміниться на "Створено"). Видалити – видалення вибраних журналів зі списку. Для одного або кількох вибраних файлів журналу в контекстному меню доступні такі елементи: Показати – відкриття вибраного журналу в ESET SysInspector (аналогічно подвійному натисканню журналу). Порівняти – порівняння двох наявних журналів. Створити... – створення нового журналу. Перш ніж відкривати журнал, дочекайтеся, поки ESET SysInspector завершить роботу (статус журналу зміниться на "Створено"). Видалити все – видалення всіх журналів. Експорт... – експорт журналу у файл .xml або стиснутий .xml.

3.9.4.7 ESET Live Grid ESET Live Grid – це система завчасного попередження про нові загрози, у якій використовується кілька хмарних технологій. Вона виявляє нові загрози на основі репутаційних даних і підвищує ефективність перевірок за допомогою білих списків. Відомості про нову загрозу передаються у хмару в режимі реального часу, що дає змогу лабораторії ESET із дослідження шкідливого ПЗ забезпечити оперативне реагування та стабільно високий рівень захисту. Користувачі можуть перевіряти репутацію запущених процесів і файлів безпосередньо за допомогою засобів інтерфейсу програми або контекстного меню з додатковою інформацією від ESET Live Grid. Під час інсталяції ESET Endpoint Antivirus виберіть одну з наведених нижче опцій. 1. За потреби можна не вмикати систему ESET Live Grid. При цьому функціональні можливості програми не буде обмежено, однак інколи продукт ESET Endpoint Antivirus може повільніше реагувати на нові загрози, доки їх не буде включено до вірусних баз даних. 2. Можна налаштувати систему ESET Live Grid на відправлення анонімної інформації про нові загрози й виявлене місце розташування нового загрозливого коду. Відповідний файл можна відправити до ESET для детального аналізу. Вивчення цих загроз допоможе ESET оновити свої засоби виявлення загроз. Система ESET Live Grid збиратиме пов’язану з нововиявленими загрозами інформацію про комп’ютер. Ця інформація може містити зразок або копію файлу, у якому виявлено загрозу, шлях до нього, його назву, інформацію про дату й час, відомості про процес, який викликав появу загрози на комп’ютері, а також дані про операційну систему комп’ютера. За замовчуванням ESET Endpoint Antivirus налаштовано на передачу підозрілих файлів для детального аналізу до антивірусної лабораторії ESET. Файли з такими розширеннями, як .doc або .xls, завжди виключаються. До списку виключень можна додати й інші розширення файлів, які ви чи ваша організація не бажаєте відправляти.

88

Система репутації ESET Live Grid дає змогу використовувати білі й чорні списки на основі хмарних технологій. Щоб отримати доступ до налаштувань ESET Live Grid, натисніть F5 (відкриється меню додаткових параметрів), розгорніть розділ Інструменти > ESET Live Grid. Увімкнути систему репутації ESET Live Grid (рекомендується) – система репутації ESET Live Grid підвищує ефективність рішень ESET для захисту від шкідливого ПЗ, порівнюючи проскановані файли з хмарною базою даних об’єктів, доданих до білих і чорних списків. Надіслати анонімну статистику – дає змогу компанії ESET збирати інформацію про нові виявлені загрози, зокрема їх назви, дати й час виявлення, методи виявлення та пов’язані метадані, версії та конфігурації продуктів із відомостями про систему. Відправляти файли – підозрілі файлі, які за вмістом або поведінкою схожі на загрози, відправляються для аналізу компанії ESET. Виберіть опцію Вести журнал, щоб відправлення файлів і статистичної інформації реєструвалося. в журналі подій. Щоразу, коли система надсилатиме на аналіз файли чи статистичну інформацію, у цьому журналі з’являтиметься новий запис. Контактна адреса електронної пошти (необов’язково) – ваша контактна адреса електронної пошти може відправлятися з будь-якими підозрілими файлами й використовуватися для зв’язку з вами, якщо для проведення аналізу знадобляться додаткові відомості. Зверніть увагу, що ви не отримаєте відповіді від ESET, якщо додаткова інформація не буде потрібна. Виключення – фільтр виключень дає можливість запобігати відправленню для аналізу певних типів файлів або папок. Наприклад, доцільно виключити файли, які можуть містити конфіденційну інформацію (документи, електронні таблиці тощо). Перелічені файли ніколи не будуть надсилатися до лабораторії ESET для аналізу, навіть якщо вони містять підозрілий код. Найпоширеніші типи файлів виключено за замовчуванням (.doc тощо). За потреби можна доповнити список виключених файлів. Якщо ви раніше використовували систему ESET Live Grid, а потім вимкнули її, на комп’ютері ще можуть залишатися пакети даних, підготовлені до відправлення. Навіть після вимкнення системи завчасного попередження ці пакети буде відправлено до ESET. Після відправлення всієї поточної інформації пакети не створюватимуться.

89

3.9.4.8 Запущені процеси Модуль стеження за запущеними процесами відображає інформацію про програми або процеси на комп’ютері та є засобом негайного й постійного інформування ESET про нові загрози. ESET Endpoint Antivirus надає детальну інформацію про запущені процеси, захищаючи користувачів за допомогою активної технології ESET Live Grid.

Рівень ризику – у більшості випадків ESET Endpoint Antivirus і технологія ESET Live Grid призначають рівні ризику об’єктам (файлам, процесам, розділам реєстру тощо), використовуючи ряд евристичних правил, за якими досліджуються характеристики кожного об’єкта й потім визначається потенціал шкідливої активності. На основі цієї евристики об’єктам призначається певний рівень ризику: від 1 – Безпечний (зелений) до 9 – Небезпечний (червоний). Процес – ім’я процесу або програми, запущеної на комп’ютері. Усі запущені процеси доступні для перегляду також у диспетчері завдань Windows. Диспетчер завдань можна відкрити, клацнувши правою кнопкою миші пусту область на панелі завдань і вибравши пункт "Диспетчер завдань" або натиснувши сполучення клавіш Ctrl +Shift+Esc на клавіатурі. PID – ідентифікатор процесу, запущеного в середовищі операційної системи Windows. ПРИМІТКА. Програми з позначкою Безпечний (зелений) без сумніву безпечні (зазначені в білому списку) і не скануватимуться. Це допоможе пришвидшити процес перевірки комп’ютера за вимогою або роботу модуля захисту файлової системи в режимі реального часу. Кількість користувачів – кількість користувачів, які використовують певну програму. Збір цієї інформації виконує технологія ESET Live Grid. Час виявлення – час, коли програму було виявлено технологією ESET Live Grid. Примітка. Якщо програму позначено рівнем Невідомі (червоний), вона необов’язково шкідлива. Зазвичай таку позначку отримують нові програми. Якщо ви не впевнені, чи шкідливий певний файл, можна відправити його на аналіз до антивірусної лабораторії ESET. Якщо буде визначено, що цей файл – шкідлива програма, засоби для його виявлення буде додано до одного з наступних оновлень вірусної бази даних. 90

Назва програми – ім’я, присвоєне програмі або процесу. Якщо вибрати одну із програм у нижній частині екрана, внизу вікна відобразиться наведена нижче інформація. Шлях – розміщення програми на комп’ютері. Розмір – розмір файлу в КБ (кілобайтах) або МБ (мегабайтах). Опис – характеристики файлу на основі його опису операційною системою. Компанія – ім’я постачальника або прикладного процесу. Версія – інформація від видавця програми. Продукт – ім’я програми та/або фірмове найменування. Дата створення – дата й час створення програми. Дата змінення – дата й час останньої зміни програми. ПРИМІТКА. Перевірку репутації також можна виконати для файлів, які не належать до категорії запущених програм/процесів. Для цього позначте файли, які потрібно перевірити, натисніть їх правою кнопкою миші й у контекстному меню виберіть Додаткові параметри > Перевірити репутацію файлу за допомогою ESET Live Grid.

3.9.4.9 Відправлення зразків на аналіз Ви можете відправляти файли та сайти на аналіз компанії ESET у відповідному діалоговому вікні. Щоб відкрити його, натисніть Інструменти > Надіслати зразок на аналіз. Якщо ви виявили на комп’ютері файл, поведінка якого викликає підозру, або підозрілий веб-сайт, їх можна відправити на аналіз до антивірусної лабораторії компанії ESET. Якщо буде визначено, що файл або веб-сайт шкідливий, ми додамо засоби для його виявлення до одного з наступних оновлень. Файл також можна відправити електронною поштою. Якщо цей варіант зручніший для вас, додайте відповідні файли до архіву WinRAR/ZIP, установивши для нього пароль "infected", і надішліть на адресу [email protected]. Обов’язково вкажіть інформативну тему повідомлення, а також надайте якомога більше інформації про файл (наприклад, зазначте веб-сайт, з якого його завантажено). ПРИМІТКА. Перш ніж відправляти зразок до ESET, упевніться, що він відповідає одному або кільком переліченим нижче критеріям. файл або веб-сайт не виявляється взагалі файл або веб-сайт неправильно визначається як загроза Відповідь ви не отримаєте, окрім випадків, коли для аналізу будуть потрібні додаткові відомості. У розкривному меню Причини відправлення зразка виберіть опис, який найкраще відповідає отриманому повідомленню: Підозрілий файл Підозрілий сайт (веб-сайт, інфікований будь-яким шкідливим ПЗ) Файл, заблокований помилково (файли, неправильно розпізнані як інфіковані) Сайт, заблокований помилково Інше Файл/сайт – шлях до файлу або веб-сайту, який потрібно відправити. Контактна адреса електронної пошти – контактна адреса електронної пошти, яка відправляється до ESET разом із підозрілими файлами, і може використовуватися для зв’язку з вами, якщо для аналізу будуть потрібні додаткові відомості про надіслані файли. Додавати контактну адресу електронної пошти необов’язково. Ви не отримаєте відповіді від ESET (окрім тих випадків, коли для аналізу будуть потрібні додаткові відомості), оскільки щодня на наші сервери надходять десятки тисяч файлів і ми не маємо можливості відповідати на всі повідомлення. 91

3.9.4.10 Сповіщення електронною поштою ESET Endpoint Antivirus може автоматично надсилати сповіщення електронною поштою, якщо відбулася подія з вибраним рівнем детальності. Увімкніть параметр Відправляти сповіщення про події електронною поштою, щоб активувати відповідну функцію.

Сервер SMTP SMTP-сервер – сервер SMTP для надсилання сповіщень (наприклад, smtp.provider.com:587, попередньо визначений порт – 25). ПРИМІТКА. Сервери SMTP з шифруванням за протоколом TLS підтримуються ESET Endpoint Antivirus. Ім’я користувача й пароль – якщо SMTP-сервер вимагає автентифікації, у ці поля слід ввести дійсні ім’я користувача та пароль, які надають доступ до SMTP-сервера. Адреса відправника – у цьому полі слід указати адресу відправника, що відображатиметься в заголовку надісланих електронною поштою сповіщень. Адреса отримувача – у цьому полі слід указати адресу отримувача, що відображатиметься в заголовку надісланих електронною поштою сповіщень. У розкривному меню Мінімальна детальність повідомлень можна вибрати початковий рівень важливості сповіщень, які потрібно надсилати. Діагностика – запис інформації, необхідної для оптимізації програми, і всіх зазначених вище елементів. Інформаційні записи – запис інформаційних повідомлень (наприклад, про нестандартні події в мережі), включно зі сповіщеннями про успішне оновлення, і всіх зазначених вище елементів. Попередження – фіксуються всі критичні помилки й попереджувальні повідомлення (анттируткіт не працює належним чином або не вдалося здійснити оновлення). Помилки – запис помилок (захист документів не запущено) і критичних помилок. Критичні помилки – запис лише критичних помилок (помилка запуску антивірусного захисту або інфікування системи). 92

Увімкнути TLS – активувати надсилання повідомлень про загрози та сповіщень із підтримкою шифрування TLS. Інтервал, через який будуть надсилатися нові сповіщення електронною поштою (хв) – інтервал у хвилинах, через який електронною поштою надсилатимуться нові сповіщення. Якщо вибрати 0, сповіщення надходитимуть миттєво. Надсилати кожне сповіщення окремим електронним листом – якщо ввімкнено, кожне сповіщення надсилатиметься окремо. Ї х може надійти чимало за короткий проміжок часу. Формат повідомлень Формат повідомлень про події – формат повідомлень про події, що відображаються на віддалених комп’ютерах. Формат попереджень про загрози – визначений за замовчуванням формат повідомлень про загрози та сповіщень. Рекомендується не змінювати його. Проте за деяких обставин (наприклад, якщо використовується автоматична система обробки електронної пошти) може виникнути необхідність змінити формат повідомлень. Використовувати символи місцевого алфавіту – перетворює текст повідомлення електронної пошти на кодування символів ANSI, залежно від регіональних параметрів Windows (наприклад, windows-1250). Якщо не встановити цей прапорець, повідомлення буде перетворено та закодовано з використанням ACSII (7-біт) (наприклад, "á" буде замінено на "a", а невідомі символи – на "?"). Використовувати місцеве кодування символів – джерело повідомлення електронної пошти буде закодовано у формат Quoted-printable (QP), який використовує символи ASCII та може правильно передати спеціальні символи національного алфавіту електронною поштою у 8-бітному форматі (áéíóú).

93

3.9.4.11 Карантин Головна функція карантину – безпечно зберігати інфіковані файли. Файли слід помістити в карантин, якщо їх неможливо очистити, якщо їх видалення небезпечне або не рекомендоване або якщо ESET Endpoint Antivirus хибно виявив їх як віруси. До карантину можна перемістити будь-який файл. Це рекомендується робити, коли файл поводиться підозріло або не виявляється антивірусним сканером. З карантину файли можна відправити на аналіз до антивірусної лабораторії ESET.

Файли, які зберігаються в папці карантину, можна переглядати в таблиці, де показано дату й час переміщення в карантин, шлях до вихідного місця розташування інфікованого файлу, його розмір у байтах, причину (наприклад, об’єкт, доданий користувачем) і кількість загроз (наприклад, якщо це архів, який містить багато загроз). Карантинування файлів ESET Endpoint Antivirus автоматично переміщує видалені файли в карантин (якщо користувач не вимкнув цей параметр у вікні тривоги). За потреби будь-які підозрілі файли можна перемістити в карантин уручну, натиснувши кнопку Карантин. Оригінальний файл видаляється зі свого вихідного місця розташування. Для цього також можна використовувати контекстне меню: натисніть правою кнопкою миші у вікні Карантин і виберіть Карантин. Відновлення з карантину Файли з карантину можна відновлювати й повертати до початкових місць розташування. Щоб відновити файл із карантину, натисніть його правою кнопкою миші у вікні "Карантин" і виберіть Відновити в контекстному меню. Якщо файл позначено як потенційно небажана програма, також буде доступною опція Відновити та виключити з перевірки. У контекстному меню також доступна опція Відновити в..., за допомогою якої користувач може відновити файли в інше місце, а не туди, звідки їх було видалено. Видалення з карантину – натисніть правою кнопкою миші відповідний елемент і виберіть Видалити з карантину або виберіть потрібний елемент і натисніть клавішу Delete на клавіатурі. Також одночасно можна 94

виділяти й видаляти кілька елементів. ПРИМІТКА: Якщо програма помилково перемістила в карантин нешкідливий файл, виключіть цей файл з перевірки після відновлення, а потім надішліть його службі технічної підтримки ESET. Відправка на аналіз файлів із карантину Якщо ви помістили в карантин підозрілий файл, який не виявила програма, або файл було помилково розпізнано як загрозу й переміщено в карантин, надішліть його на аналіз в антивірусну лабораторію ESET. Щоб відправити файл із карантину, клацніть його правою кнопкою миші та виберіть Відправити на аналіз у контекстному меню.

3.9.4.12 Оновлення Microsoft Windows Служба Windows Update – важливий компонент захисту користувачів від шкідливого програмного забезпечення. Тому критично необхідно інсталювати оновлення Microsoft Windows одразу ж, як вони стають доступними. ESET Endpoint Antivirus повідомляє про відсутні оновлення відповідно до рівня, установленого користувачем. Для вибору доступні наведені нижче рівні. Жодних оновлень – жодні оновлення системи не пропонуватимуться для завантаження. Додаткові оновлення – для завантаження пропонуватимуться оновлення, позначені як низькопріоритетні, і важливіші. Рекомендовані оновлення – для завантаження пропонуватимуться оновлення, позначені як найпоширеніші, і такі, що мають пізнішу дату випуску. Важливі оновлення – для завантаження пропонуватимуться оновлення, позначені як важливіші, і такі, що мають пізнішу дату випуску. Критичні оновлення – для завантаження пропонуватимуться лише критичні оновлення. Натисніть кнопку OK, щоб зберегти зміни. Вікно "Оновлення системи" відкриється після перевірки стану на сервері оновлень. Відповідно, інформація про оновлення системи може бути доступна не відразу після збереження змін.

3.9.5 Інтерфейс користувача У розділі Інтерфейс користувача можна налаштувати поведінку графічного інтерфейсу програми. Використовуючи засіб Елементи інтерфейсу користувача, можна змінити вигляд програми й використовувані візуальні ефекти. Щоб гарантувати максимальну надійність системи безпеки, можна запобігти внесенню будь-яких несанкціонованих змін у її параметри за допомогою інструмента Параметри доступу. Налаштувавши Сигнали та сповіщення, можна змінити поведінку сигналів щодо виявлених загроз і системних сповіщень. Відповідні параметри можна налаштувати залежно від своїх потреб. Якщо відображення певних сповіщень скасовано, їх можна переглянути в розділі Елементи інтерфейсу користувача > Статуси програм. Тут можна переглянути їх статус або, навпаки, скасувати показ таких сповіщень. Вікно Інтеграція з контекстним меню відображається, якщо натиснути вибраний об’єкт правою кнопкою миші. Використовуйте цей інструмент, щоб інтегрувати елементи керування ESET Endpoint Antivirus в контекстне меню. Режим презентації рекомендовано для користувачів, які не бажають під час роботи з програмою бачити спливаючі вікна та сповіщення про заплановані завдання, і не хочуть, щоб певні компоненти перезавантажували процесор або оперативну пам’ять.

95

3.9.5.1 Елементи інтерфейсу користувача Параметри конфігурації інтерфейсу користувача в програмі ESET Endpoint Antivirus дають можливість коригувати робоче середовище відповідно до своїх потреб. Доступ до цих параметрів конфігурації можна отримати в гілці Інтерфейс користувача > Елементи інтерфейсу користувача дерева додаткових параметрів ESET Endpoint Antivirus. У розділі Елементи інтерфейсу користувача можна відкоригувати робоче середовище. Скористайтеся розкривним меню Режим запуску графічного інтерфейсу користувача, щоб вибрати один із наведених нижче режимів запуску. Повний – графічний інтерфейс користувача відображатиметься повністю. Мінімальний – графічний інтерфейс користувача доступний, але на екран виводяться лише сповіщення. Ручний – сповіщення та повідомлення про загрози не відображатимуться. Німий – графічний інтерфейс користувача недоступний, сповіщення й повідомлення про загрози не відображатимуться. Цей режим корисно використовувати, коли потрібно зберегти системні ресурси. Німий режим може активувати лише адміністратор. ПРИМІТКА: Якщо вибрано мінімальний режим, після перезавантаження комп’ютера сповіщення відображатимуться, а графічний інтерфейс користувача – ні. Щоб відновити повнофункціональний режим графічного інтерфейсу, запустіть інтерфейс від імені адміністратора з меню "Пуск", натиснувши Усі програми > ESET > ESET Endpoint Antivirus. Також можна застосувати політику ESET Remote Administrator. Щоб вимкнути стартовий екран ESET Endpoint Antivirus, зніміть прапорець Відображати стартовий екран під час запуску. Щоб під час сканування програма ESET Endpoint Antivirus відтворювала звукове попередження про важливі події (наприклад, виявлення загрози або завершення процесу), установіть прапорець Використовувати звуковий сигнал. Додати до контекстного меню – додати елементи керування ESET Endpoint Antivirus до контекстного меню. Статуси Статуси програм – натисніть кнопку Редагувати, щоб вимкнути статуси, які відображаються на панелі Статус захисту в головному меню. Інформація про ліцензію Показувати інформацію про ліцензію – якщо цей параметр вимкнуто, інформація про ліцензію на сторінках Статус захисту та Довідка та підтримка не відображатиметься. Показувати сповіщення та повідомлення щодо ліцензії – якщо цей параметр вимкнуто, сповіщення та повідомлення відображатимуться лише після завершення терміну дії ліцензії. ПРИМІТКА: Ви можете застосувати параметри інформації про ліцензію. Однак зверніть увагу: для продукту ESET Endpoint Antivirus, активованого за допомогою ліцензії MSP, вони недоступні.

96

97

3.9.5.2 Параметри доступу Для максимальної безпеки системи першочергове значення має правильне налаштування програми ESET Endpoint Antivirus. Будь-яка некваліфікована зміна може призвести до втрати важливих даних. Щоб уникнути несанкціонованих змін, параметри ESET Endpoint Antivirus можна захистити паролем. Параметри захисту паролем можна знайти в розділі Параметри доступу > Інтерфейс користувача (меню Додаткові параметри (F5)).

Параметри захисту паролем – укажіть налаштування пароля. Натисніть, щоб відкрити вікно "Параметри пароля". Щоб призначити або змінити пароль для захисту параметрів програми, натисніть Установити. Для облікових записів адміністраторів потрібні повні права адміністратора – залиште цей прапорець установленим, щоб поточний користувач (якщо він не має таких прав) отримував запит на введення імені користувача й пароля адміністратора в разі змінення певних параметрів системи (подібно до служби захисту користувачів (UAC) у Windows Vista). Можливі зміни також стосуються вимкнення модулів захисту. Лише для ОС Windows XP: Потрібні права адміністратора (системи без підтримки UAC) – увімкніть цей параметр, щоб програма ESET Endpoint Antivirus запитувала облікові дані адміністратора.

98

3.9.5.3 Повідомлення про загрози та сповіщення У розділі Сигнали та сповіщення меню Інтерфейс користувача можна налаштувати спосіб обробки сигналів і системних сповіщень (наприклад, повідомлень про успішне оновлення) програмою ESET Endpoint Antivirus. Також можна налаштувати тривалість відображення та прозорість сповіщень у системному треї (це стосується тільки систем, які підтримують відображення сповіщень у системному треї).

Вікна повідомлень про загрози У разі вимкнення параметра Показувати повідомлення про загрози скасовується відображення всіх вікон сигналів тривоги, що доречно лише для обмеженої кількості особливих ситуацій. Для більшості користувачів рекомендується залишити цей параметр у стані за замовчуванням (увімкнено). Сповіщення на робочому столі Сповіщення на робочому столі та спливаючі підказки є інформативними засобами, які не вимагають втручання користувача. Вони відображаються в області сповіщень у нижньому правому куті екрана. Щоб активувати функцію відображення сповіщень на робочому столі, установіть прапорець Відображати сповіщення на робочому столі. Увімкніть перемикач Не показувати сповіщення під час роботи програм у повноекранному режимі, щоб скасувати відображення всіх неінтерактивних сповіщень. Детальніші параметри (наприклад, час відображення повідомлень і прозорість вікна) можна змінити нижче. У розкривному меню Мінімальна детальність подій для відображення можна вибрати рівень важливості сигналів і сповіщень, які потрібно відображати на екрані. Доступні наведені нижче параметри. Діагностика – запис інформації, необхідної для оптимізації програми, і всіх зазначених вище елементів. Інформаційні записи – запис інформаційних повідомлень, включно зі сповіщеннями про успішне оновлення, і всіх зазначених вище елементів. Попередження – запис усіх критичних помилок і попереджувальних повідомлень. Помилки – запис таких помилок, як "Помилка під час завантаження файлу" та критичних помилок. Критичні помилки – запис лише критичних помилок (помилка запуску антивірусного захисту, тощо).

99

Остання функція в цьому розділі дає змогу вказати адресата сповіщень у середовищі з багатьма користувачами. У полі У системі з багатьма користувачами відображати сповіщення на екрані цього користувача вкажіть користувача, який буде отримувати системні та інші сповіщення в системах, доступ до яких можуть одночасно отримувати декілька користувачів. Як правило, це адміністратор системи або мережі. Цей параметр особливо корисний для термінальних серверів за умови, що всі системні повідомлення відправляються адміністратору. Вікна повідомлень Щоб спливаючі вікна закривалися автоматично через певний проміжок часу, установіть параметр Автоматично закривати вікна повідомлень. Якщо вікна сигналів тривог не закрити вручну, їх буде закрито автоматично після завершення вказаного періоду часу. Повідомлення про підтвердження – показує список повідомлень про підтвердження, де можна вибрати ті, що потрібно відображати.

3.9.5.4 Піктограма в системному треї Доступ до деяких найбільш важливих параметрів і функцій можна отримати, клацнувши правою кнопкою миші піктограму в системному треї .

Тимчасово вимкнути захист – відображається діалогове вікно з підтвердженням, у якому можна вимкнути антивірус та антишпигун, тобто модуль, який захищає систему від атак, контролюючи передачу даних у файлах, через Інтернет й електронну пошту.

Розкривне меню Проміжок часу служить для вибору періоду, протягом якого антивірус і антишпигун залишатимуться вимкненими. Блокувати весь мережевий трафік – заборона всього трафіку з мережі. Щоб дозволити трафік знову, натисніть Припинити блокувати весь мережевий трафік. Додаткові параметри – скористайтеся цією опцією, щоб відкрити дерево Додаткові параметри. Меню додаткових параметрів також можна відкрити, натиснувши клавішу F5 або перейшовши до розділу Параметри 100

> Додаткові параметри. Журнали – журнали містять інформацію про важливі програмні події та надають огляд виявлених загроз. Сховати ESET Endpoint Antivirus – приховати вікно ESET Endpoint Antivirus, що відображається на екрані. Скинути макет вікна – відновлення стандартного розміру та розміщення вікна ESET Endpoint Antivirus. Оновлення вірусної бази даних – запуск оновлення вірусної бази даних для забезпечення повного захисту від шкідливого коду. Про програму – вікно, що містить інформацію про систему, версію ESET Endpoint Antivirus й інстальовані модулі програми, а також термін дії ліцензії. Інформацію про операційну систему й системні ресурси можна знайти внизу сторінки.

3.9.5.5 Контекстне меню Контекстне меню відкривається, якщо натиснути об’єкт (файл) правою кнопкою миші. У меню перелічені всі дії, які можна виконати з об’єктом. Можна інтегрувати елементи керування ESET Endpoint Antivirus у контекстне меню. Параметри для налаштування цієї функції доступні в дереві додаткових параметрів у розділі Інтерфейс користувача > Елементи інтерфейсу користувача. Додати до контекстного меню – додати елементи керування ESET Endpoint Antivirus до контекстного меню.

3.10 Для досвідчених користувачів 3.10.1 Менеджер профілів Менеджер профілів використовується у двох розділах ESET Endpoint Antivirus: Сканування комп’ютера за вимогою та Оновлення. Сканування комп’ютера за вимогою Потрібні параметри сканування можна зберегти для майбутнього використання. Рекомендується створити окремі профілі (з різними об’єктами сканування, способами сканування й іншими параметрами) для кожного типу сканування, який регулярно застосовуються. Щоб створити новий профіль, відкрийте вікно додаткових параметрів (F5) і натисніть Антивірус > Сканування комп’ютера за вимогою, а потім – Змінити поруч з елементом Список профілів. Розкривне меню Вибраний профіль містить перелік усіх наявних профілів сканування. Щоб створити профіль, який точно відповідатиме вашим вимогам, ознайомтеся з вмістом розділу Налаштування параметрів підсистеми ThreatSense, у якому окремо описуються функції кожного параметра сканування. Приклад. Припустимо, що вам потрібно створити власний профіль сканування, для якого частково підходить конфігурація Smart-сканування, але ви не бажаєте сканувати упаковані або потенційно небезпечні програми й додатково хочете застосувати параметр Ретельна очистка. Введіть ім’я нового профілю у вікні Диспетчер профілів і натисніть Додати. Виберіть новий профіль у розкривному меню Вибраний профіль і відкоригуйте решту параметрів відповідно до своїх потреб. Потім натисніть OK, щоб зберегти свій новий профіль.

101

Оновлення Редактор профілів у розділі параметрів оновлення дає змогу користувачам створювати нові профілі оновлення. Створювати й використовувати власні спеціальні профілі (відмінні від стандартного Мій профіль) слід лише тоді, коли на комп’ютері застосовується кілька способів підключення до серверів оновлення. Наприклад, портативний комп’ютер, як правило, підключається до локального сервера (дзеркала) в локальній мережі, а в разі відключення від неї (під час відрядження) завантажує оновлення безпосередньо із серверів оновлення ESET. При цьому можуть використовуватися два профілі: перший – для з’єднання з локальним сервером, другий – для підключення до серверів ESET. Налаштувавши ці профілі, перейдіть до меню Інструменти > Завдання за розкладом і змініть параметри завдання оновлення. Призначте один профіль первинним, а інший вторинним. Вибраний профіль – профіль оновлення, який наразі використовується. Щоб змінити його, виберіть інший профіль із розкривного меню. Список профілів – дає змогу створювати й видаляти профілі оновлення.

3.10.2 Діагностика Модуль діагностики створює дампи робочих процесів ESET у разі збою програми (наприклад, ekrn). Якщо програма аварійно завершує роботу, створюється дамп. Це може допомогти розробникам вирішити різноманітні проблеми з програмою ESET Endpoint Antivirus і налагодити її роботу. Натисніть розкривне меню Тип дампу й виберіть один із трьох доступних параметрів: Виберіть Вимкнути (за замовчуванням), щоб вимкнути цю функцію. Мінімальний – фіксує мінімальний набір корисної інформації, яка може допомогти визначити причину неочікуваного завершення роботи програми. Дамп такого типу може бути корисним, коли обсяг вільного місця обмежений. Проте аналіз цього файлу може не виявити помилок, які не були безпосередньо спричинені виконуваним потоком, оскільки зібрана інформація є неповною. Повний – фіксує весь вміст системної пам’яті в разі аварійного завершення роботи програми. Повний дамп пам’яті може містити дані про процеси, які виконувалися під час створення дампу пам’яті. Увімкнути розширене журналювання для фільтрації протоколів – запис усіх даних, що проходять через підсистему фільтрації протоколів у форматі PCAP, щоб розробники могли діагностувати й усувати проблеми, пов’язані з фільтрацією протоколів. Розташування файлів журналу: C:\ProgramData\ESET\ESET Smart Security\Diagnostics\ на комп’ютері під керуванням Windows Vista й новіших версій або C:\Documents and Settings\All Users\... на комп’ютерах під керуванням попередніх версій ОС Windows. Цільовий каталог – каталог збереження файлу дампу в разі збою програми. Відкрити папку діагностичних даних – натисніть Відкрити, щоб відкрити цей каталог у новому вікні провідника Windows.

3.10.3 Імпорт і експорт параметрів Можна імпортувати або експортувати спеціально визначений файл конфігурації ESET Endpoint Antivirus .xml із меню Параметри. Імпортування й експортування файлів конфігурації є корисними функціями, якщо потрібно створити резервну копію поточної конфігурації ESET Endpoint Antivirus для використання в майбутньому. Опція експорту параметрів також стане в пригоді для користувачів, які бажають застосовувати власну конфігурацію на кількох комп’ютерах: вони зможуть легко перенести ці параметри, імпортувавши файл .xml. Імпорт конфігурації – це проста процедура. У головному вікні програми натисніть Параметри > Параметри імпорту/експорту, після чого виберіть Імпорт параметрів. Введіть шлях до файлу конфігурації або натисніть кнопку ... і перейдіть до каталогу, де зберігається цей файл.

102

Аналогічним чином виконується й експорт конфігурації. У головному вікні програми натисніть Параметри > Параметри імпорту/експорту. Виберіть Експорт параметрів, після чого введіть ім’я файлу конфігурації (наприклад, export.xml). Після цього виберіть каталог на комп’ютері, у якому потрібно зберегти файл конфігурації. ПРИМІТКА. Під час експортування параметрів може виникнути помилка, якщо ви не маєте достатньо прав для запису експортованого файлу в указаний каталог.

3.10.4 Командний рядок Антивірусний модуль ESET Endpoint Antivirus можна запустити через командний рядок: вручну (командою "ecls") або за допомогою командного файлу ("bat"). Використання сканера командного рядка ESET: ecls [OPTIONS..] FILES..

У разі запуску антивірусного сканера з командного рядка можна використовувати наведені нижче параметри та перемикачі. Параметри /base-dir=ПАПКА /quar-dir=ПАПКА /exclude=МАСКА /subdir /no-subdir /max-subdir-level=РІВЕНЬ /symlink /no-symlink /ads /no-ads /log-file=ФАЙЛ /log-rewrite /log-console /no-log-console /log-all /no-log-all /aind /auto

завантажити модулі з ПАПКИ ПАПКА карантину виключити файли, що відповідають МАСЦІ, під час сканування сканувати підпапки (за замовчуванням) не сканувати підпапки максимальний підрівень папок, вкладених у папки для сканування переходити за символьними посиланнями (за замовчуванням) пропускати символьні посилання сканувати ADS (за замовчуванням) не сканувати ADS виводити дані з журналу у ФАЙЛ перезаписувати вихідний файл (за замовчуванням – дописувати) виводити дані журналу на консоль (за замовчуванням) не виводити дані журналу на консоль також реєструвати чисті файли не реєструвати чисті файли (за замовчуванням) показувати індикатор активності сканувати всі локальні диски та автоматично очищувати інфекції

Параметри сканера /files /no-files /memory /boots

сканувати файли (за замовчуванням) не сканувати файли сканувати пам’ять сканувати завантажувальні сектори 103

/no-boots /arch /no-arch /max-obj-size=РОЗМІР

не сканувати завантажувальні сектори (за замовчуванням) сканувати архіви (за замовчуванням) не сканувати архіви сканувати лише файли, розмір яких не перевищує значення РОЗМІР у мегабайтах (за замовчуванням 0 = необмежено) /max-arch-level=РІВЕНЬ максимальний підрівень архівів в архівах (вкладених архівів) для сканування /scan-timeout=ЛІМІТ сканувати архіви не довше, ніж визначено значенням ЛІМІТ у секундах /max-arch-size=РОЗМІР сканувати лише файли в архівах, розмір яких не перевищує значення РОЗМІР (за замовчуванням 0 = необмежено) /max-sfx-size=РОЗМІР сканувати лише файли в саморозпакувальних архівах, якщо їх розмір не перевищує значення РОЗМІР у мегабайтах (за замовчуванням 0 = необмежено) /mail сканувати файли електронної пошти (за замовчуванням) /no-mail не сканувати файли електронної пошти /mailbox сканувати поштові скриньки (за замовчуванням) /no-mailbox не сканувати поштові скриньки /sfx сканувати саморозпакувальні архіви (за замовчуванням) /no-sfx не сканувати саморозпакувальні архіви /rtp сканувати упаковані файли (за замовчуванням) /no-rtp не сканувати програми для стиснення виконуваних файлів /unsafe сканувати на наявність потенційно небезпечних програм /no-unsafe не сканувати на наявність потенційно небезпечних програм (за замовчуванням) /unwanted сканувати на наявність потенційно небажаних програм /no-unwanted не сканувати на наявність потенційно небажаних програм (за замовчуванням) /suspicious перевіряти на наявність підозрілих програм (за замовчуванням) /no-suspicious не перевіряти на наявність підозрілих програм /pattern використовувати вірусні сигнатури (за замовчуванням) /no-pattern не використовувати вірусні сигнатури /heur увімкнути евристику (за замовчуванням) /no-heur вимкнути евристику /adv-heur увімкнути розширену евристику (за замовчуванням) /no-adv-heur вимкнути розширену евристику /ext=РОЗШИРЕННЯ сканувати лише файли, які мають указані РОЗШИРЕННЯ, розділені двокрапкою /ext-exclude=РОЗШИРЕННЯ не сканувати файли, які мають указані РОЗШИРЕННЯ, розділені двокрапкою /clean-mode=РЕЖИМ використовувати РЕЖИМ очищення інфікованих об’єктів

/quarantine /no-quarantine

Доступні наведені нижче параметри. немає – автоматичне очищення не виконується. стандартно (за замовчуванням) – програма ecls.exe спробує автоматично очистити або видалити інфіковані файли. ретельно – програма ecls.exe спробує автоматично очистити або видалити інфіковані файли без втручання користувача (перед видаленням не відображатиметься запит на підтвердження дії). суворо – програма ecls.exe видалятиме файли без спроби очищення незалежно від їхнього типу. видалення – програма ecls.exe без спроби очищення видалятиме файли, оминаючи важливі (наприклад, системні файли Windows). копіювати інфіковані файли (у разі очищення) до карантину (як доповнення до операції, що виконується під час чищення) не копіювати інфіковані файли до карантину

Загальні параметри /help /version /preserve-time

відкрити довідку та вийти показати інформацію про версію та вийти зберегти час останнього доступу

Коди завершення 0 104

загроз не знайдено

1 10 50 100

загрози знайдено й очищено деякі файли не вдалося просканувати (можуть становити загрозу) знайдено загрозу помилка

ПРИМІТКА. Коди завершення зі значенням більше 100 означають, що файл не був просканований і, відповідно, може бути інфікований.

3.10.5 Виявлення неактивного стану Параметри виявлення неактивного стану можна вказати в розділі Антивірус > Сканування в неактивному стані > Виявлення неактивного стану (меню Додаткові параметри). Ці параметри визначають умови ініціювання Сканування в неактивному стані, коли: з’являється заставка; комп’ютер заблоковано; користувач вийшов із системи. Щоб активувати чи вимкнути певні умови ініціювання виявлення неактивного стану, скористайтеся відповідними перемикачами.

3.10.6 ESET SysInspector 3.10.6.1 Загальний опис ESET SysInspector ESET SysInspector – це програма, яка ретельно перевіряє комп’ютер і докладно відображає зібрані дані. Така інформація, як інстальовані драйвери й програми, мережеві підключення або важливі розділи реєстру, допоможе дослідити підозріле поводження системи, яке може бути спричинено несумісністю програмного забезпечення або обладнання чи проникненням шкідливої вірусної програми. Доступ до ESET SysInspector можна отримати двома способами: скориставшись його інтегрованою версією в ESET Security або безкоштовно завантаживши окрему версію (SysInspector.exe) із веб-сайту ESET. Обидві версії ідентичні за своїми функціональними можливостями й мають однакові елементи керування. Єдина різниця полягає у способі керування вихідними даними. Кожна з версій дає змогу експортувати знімки системи у файл формату .xml і зберігати їх на диску. Однак інтегрована версія також дає змогу зберігати знімки системи безпосередньо в розділі Інструменти > ESET SysInspector (за винятком ESET Remote Administrator). Щоб отримати додаткові відомості, див. розділ ESET SysInspector як частина ESET Endpoint Antivirus. Зачекайте, доки ESET SysInspector скануватиме ваш комп’ютер. Ця процедура може тривати від 10 секунд до кількох хвилин залежно від конфігурації вашого обладнання, використовуваної операційної системи та кількості програм, інстальованих на комп’ютері.

3.10.6.1.1 Запуск ESET SysInspector Щоб запустити ESET SysInspector, просто скористайтеся виконуваним файлом SysInspector.exe, завантаженим із веб-сайту ESET. Якщо на вашому комп’ютері вже інстальовано одне з рішень ESET Security, можна запустити ESET SysInspector безпосередньо з меню "Пуск" (Програми > ESET > ESET Endpoint Antivirus). Зачекайте, доки програма виконає перевірку системи. На це може знадобитися кілька хвилин.

105

3.10.6.2 Інтерфейс користувача та використання програми Для спрощеного використання головне вікно програми поділене на чотири основні розділи: елементи керування програми, розташовані вгорі в головному вікні програми, вікно навігації – зліва, вікно опису – справа, вікно подробиць – справа внизу. Розділ "Статус журналу" містить перелік базових параметрів журналу (використовуваний фільтр, тип фільтра, інформацію про те, чи є журнал результатом порівняння, тощо).

3.10.6.2.1 Елементи керування програми У цьому розділі описані всі елементи керування програми, доступні в ESET SysInspector. Файл Натиснувши Файл, можна зберегти поточний стан системи для пізнішого аналізу або відкрити раніше збережений журнал. Для опублікування рекомендується створити журнал за допомогою опції Придатний для надсилання. У такій формі журнал не містить конфіденційної інформації (імені поточного користувача, імені комп’ютера, імені домену, прав доступу поточного користувача, змінних робочого середовища тощо). ПРИМІТКА. Раніше збережені звіти ESET SysInspector можна відкрити, просто перетягнувши їх у головне вікно програми. Дерево Дає змогу розгортати або згортати всі вузли, а також експортувати вибрані розділи до службового скрипту. Список Містить функції для полегшення навігації у програмі, а також інші функції, такі як пошук інформації в Інтернеті. Довідка Містить інформацію про програму та її функції. 106

Подробиці Цей параметр змінює спосіб відображення інформації в головному вікні програми та спрощує роботу з нею. "Базовий" режим надає доступ до інформації, необхідної для пошуку вирішення загальних проблем у системі. У "середньому" режимі програма відображає менш використовувану інформацію. У "повному" режимі ESET SysInspector відображає всю інформацію, необхідну для вирішення специфічних проблем. Фільтрація Фільтрацію об’єктів найкраще використовувати для виявлення підозрілих файлів або записів реєстру в системі. Переміщуючи повзунок, можна фільтрувати елементи за їх рівнем ризику. Якщо повзунок установлено в крайнє ліве положення (рівень ризику 1), відображаються всі елементи. Якщо перемістити повзунок вправо, програма відфільтровуватиме всі елементи, безпечніші за поточний рівень ризику, і показуватиме лише елементи, підозріліші за відображуваний рівень. Якщо повзунок розташований у крайньому правому положенні, програма відображає лише відомі шкідливі елементи. Усі елементи, які мають рівень ризику 6–9, становлять загрозу для безпеки. Якщо ви не використовуєте рішення безпеки від компанії ESET, після того як модуль ESET SysInspector знайшов будь-який подібний елемент, рекомендується перевірити систему за допомогою ESET Online Scanner. ESET Online Scanner – це безкоштовна служба. ПРИМІТКА. Рівень ризику, пов’язаний з елементом, можна швидко визначити, порівнюючи колір елемента з кольором на повзунку рівня ризику. Порівняти Порівнюючи два журнали, можна переглядати всі, лише додані, лише видалені або лише замінені елементи. Знайти Пошук можна використовувати для швидкого знаходження певного елемента за його ім’ям або частиною імені. Результати пошукового запиту відображаються у вікні опису. Повернутися Натиснувши стрілку назад або вперед, можна повернутися до інформації, яка відображалась у вікні опису раніше. Для цього також можна використовувати клавіші Backspace і ПРОБІЛ. Розділ статусу Відображає поточний вузол, вибраний у вікні навігації. Увага! Елементи, виділені червоним кольором, невідомі, тому програма позначає їх як потенційно небезпечні. Проте, якщо елемент позначено червоним кольором, це не означає, що його можна видалити. Перед видаленням переконайтеся, що файли дійсно небезпечні або непотрібні.

3.10.6.2.2 Навігація в ESET SysInspector ESET SysInspector розподіляє інформацію різних типів по кількох базових розділах – вузлах. Якщо доступно, можна переглянути додаткові відомості, розгорнувши кожен вузол на його вкладені вузли. Щоб розгорнути або згорнути вузол, двічі клацніть його назву чи позначку або поруч із назвою вузла. Переміщаючись структурою дерева вузлів і вкладених вузлів у вікні навігації, можна переглянути різні відомості з кожного вузла у вікні опису. Вибираючи елементи у вікні опису, можна переглянути додаткові відомості щодо кожного з них у вікні подробиць. Нижче наведено огляд основних вузлів у вікні навігації та відповідної інформації у вікнах опису та подробиць. Запущені процеси Цей вузол містить інформацію про програми та процеси, які виконувалися під час створення журналу. У вікні опису можна знайти додаткові відомості про кожен процес: динамічні бібліотеки, використовувані процесом, їх місце розташування в системі, ім’я постачальника програми та рівень ризику файлу. Вікно подробиць містить додаткову інформацію про елементи, вибрані у вікні опису, наприклад розмір файлу 107

або його геш. ПРИМІТКА. Операційна система складається з кількох важливих компонентів рівня ядра, які постійно працюють, надаючи можливість використовувати основні функції іншим програмам користувача. У деяких випадках такі процеси відображаються в ESET SysInspector у вигляді шляху до файлу, який починається з \??\. Ці символи забезпечують оптимізацію перед запуском цих процесів; вони безпечні для системи. Мережеві підключення Вікно опису містить список процесів і програм, які взаємодіють через мережу з використанням протоколу, вибраного у вікні навігації (TCP або UDP), а також віддалену адресу, до якої підключена програма. Також можна перевірити IP-адреси DNS-серверів. Вікно подробиць містить додаткову інформацію про елементи, вибрані у вікні опису, наприклад розмір файлу або його геш. Важливі розділи реєстру Список вибраних розділів реєстру, з якими часто пов’язані різні системні проблеми, наприклад значення, що вказують на програми запуску, додаткові компоненти браузера тощо. У вікні опису можна довідатися, які файли пов’язані з певними розділами реєстру. Додаткові відомості можна переглянути у вікні подробиць. Служби Вікно опису містить список файлів, зареєстрованих як служби Windows. Порядок запуску служб, а також певні відомості про файли можна переглянути у вікні подробиць. Драйвери Список драйверів, інстальованих у системі. Критичні файли У вікні опису наведено вміст критично важливих файлів операційної системи Microsoft Windows. Заплановані системні завдання Містить список завдань, ініційованих планувальником завдань Windows через визначений час/проміжок. Інформація про систему Містить докладну інформацію про обладнання та програмне забезпечення, а також відомості щодо змінних системного середовища, прав користувача та журналів системних подій. Інформація про файл Список важливих системних файлів і файлів у папці Program Files. Додаткову інформацію про конкретні файли можна переглянути у вікнах опису й подробиць. Про програму Відомості про версію ESET SysInspector і список модулів програми.

108

3.10.6.2.2.1 Сполучення клавіш Під час роботи з ESET SysInspector можна використовувати наведені нижче сполучення клавіш. Файл Ctrl+O Ctrl+S

відкрити наявний журнал зберегти створені журнали

Генерувати Ctrl+G Ctrl+H

створює стандартний знімок системи зі станом комп’ютера створює знімок системи зі станом комп’ютера із внесенням до журналу конфіденційної інформації

Фільтрація об’єктів 1, O 2 3 4, U 5 6 7, B 8 9 + Ctrl+9 Ctrl+0

безпечний, відображаються елементи з рівнем ризику 1–9 безпечний, відображаються елементи з рівнем ризику 2–9 безпечний, відображаються елементи з рівнем ризику 3–9 невідомий, відображаються елементи з рівнем ризику 4–9 невідомий, відображаються елементи з рівнем ризику 5–9 невідомий, відображаються елементи з рівнем ризику 6–9 ризикований, відображаються елементи з рівнем ризику 7–9 ризикований, відображаються елементи з рівнем ризику 8–9 ризикований, відображаються елементи з рівнем ризику 9 зменшити рівень ризику збільшити рівень ризику режим фільтрації, однаковий або вищий рівень режим фільтрації, лише однаковий рівень

Перегляд Ctrl+5 Ctrl+6 Ctrl+7 Ctrl+3 Ctrl+2 Ctrl+1 BackSpace ПРОБІЛ Ctrl+W Ctrl+Q

переглянути за постачальником (усі постачальники) переглянути за постачальником (лише Microsoft) переглянути за постачальником (усі інші постачальники) повна деталізація інформації середня деталізація інформації базова інформація на один крок назад на один крок уперед розгорнути дерево згорнути дерево

Інші елементи керування Ctrl+T Ctrl+P Ctrl+A Ctrl+C Ctrl+X Ctrl+B Ctrl+L Ctrl+R Ctrl+Z Ctrl+F Ctrl+D Ctrl+E

перейти до початкового місця розташування елемента після вибору в результатах пошуку показати базову інформацію про елемент показати повну інформацію про елемент скопіювати дерево поточного елемента скопіювати елементи знайти інформацію про вибрані файли в Інтернеті відкрити папку, у якій розташований вибраний файл відкрити відповідний запис у редакторі реєстру скопіювати шлях до файлу (якщо елемент пов’язаний із файлом) перейти до поля пошуку закрити результати пошуку запустити службовий скрипт

Порівняння Ctrl+Alt+O

відкрити вихідний журнал/журнал для порівняння 109

Ctrl+Alt+R Ctrl+Alt+1 Ctrl+Alt+2 Ctrl+Alt+3 Ctrl+Alt+4 Ctrl+Alt+5 Ctrl+Alt+C Ctrl+Alt+N Ctrl+Alt+P

скасувати порівняння показати всі елементи показати лише додані елементи; у журналі будуть показані елементи, які є в поточному журналі показати лише видалені елементи; у журналі будуть показані елементи, які є в попередньому журналі показати лише замінені елементи (включно з файлами) показати лише розходження між журналами відобразити порівняння показати поточний журнал відкрити попередній журнал

Різне F1 Alt+F4 Alt+Shift+F4 Ctrl+I

відкрити довідку закрити програму закрити програму без підтвердження статистика журналу

3.10.6.2.3 Функція "Порівняти" Функція "Порівняти" дає змогу користувачеві порівнювати два наявних журнали. Результат роботи цієї функції – ряд елементів, які не є спільними для обох журналів. Це зручно, якщо потрібно відслідковувати зміни в системі й виявляти шкідливий програмний код. Після запуску програма створює новий журнал, який відкривається в новому вікні. Натисніть Файл > Зберегти журнал, щоб зберегти його у файл. Журнали можна буде відкрити й переглянути пізніше. Щоб відкрити наявний журнал, натисніть Файл > Відкрити журнал. У головному вікні програми ESET SysInspector завжди одночасно відображає тільки один журнал. Перевагою функції порівняння двох журналів є те, що можна одночасно переглядати наразі активний журнал і той, який збережено у файлі. Щоб порівняти журнали, виберіть команду Файл > Порівняти журнал, після чого натисніть Вибрати файл. Вибраний журнал буде порівняно з тим, що відображається в головному вікні програми. У порівняльному журналі відображатимуться лише розходження між двома журналами. ПРИМІТКА. Якщо ви порівнюєте два журнали, виберіть Файл > Зберегти журнал, щоб зберегти дані як ZIP-файл. Буде збережено обидва файли. Якщо пізніше відкрити такий файл, журнали, які містяться в ньому, автоматично порівнюються. Поруч із відображуваними елементами ESET SysInspector додає символи, які визначають розходження між порівняними журналами. Опис усіх символів, які можуть відображатися поруч з елементами журналу, наведено нижче. нове значення, відсутнє в попередньому журналі; розділ структури дерева містить нові значення; видалене значення, наявне лише в попередньому журналі; розділ структури дерева містить видалені значення; значення/файл змінено; розділ структури дерева містить змінені значення/файли; рівень ризику зменшився/у попередньому журналі він був вищим; рівень ризику збільшився/в попередньому журналі він був нижчим. Розділ пояснень у лівому нижньому куті екрана містить опис усіх символів, а також назви порівнюваних журналів.

110

Будь-який порівняльний журнал можна зберегти у файлі й пізніше відкрити. Приклад Створіть і збережіть журнал із початковою інформацією про систему у файлі "попередній.xml". Після того як у систему було внесено зміни, відкрийте ESET SysInspector і з його допомогою створіть новий журнал. Збережіть його у файл з іменем поточний.xml. Щоб виявити зміни між цими двома журналами, натисніть Файл > Порівняти журнали. Програма створить порівняльний журнал, який покаже розходження між журналами. Такого ж результату можна досягти за допомогою цієї команди: SysIsnpector.exe поточний.xml попередній.xml

3.10.6.3 Параметри командного рядка ESET SysInspector підтримує створення звітів із командного рядка з використанням таких параметрів: /gen /privacy /zip /silent /blank

генерування журналу безпосередньо з командного рядка без запуску графічного інтерфейсу генерування журналу без конфіденційної інформації збереження вихідного журналу в стиснутому zip-архіві примусове закриття вікна процесу під час генерування журналу з командного рядка запуск ESET SysInspector без генерування/завантаження журналу

Приклади Застосування: Sysinspector.exe [load.xml] [/gen=save.xml] [/privacy] [/zip] [compareto.xml]

Щоб завантажити певний журнал безпосередньо в браузер, скористайтеся командою SysInspector.exe . \clientlog.xml Щоб створити журнал за допомогою командного рядка, скористайтеся командою SysInspector.exe /gen=. \mynewlog.xml Щоб створити журнал без конфіденційної інформації та зберегти його безпосередньо в стиснутий файл, скористайтеся командою SysInspector.exe /gen=.\mynewlog.zip /privacy /zip Щоб порівняти два журнали й переглянути відмінності, скористайтеся командою SysInspector.exe new.xml old.xml ПРИМІТКА. Якщо ім’я файлу/папки містить пробіл, його треба взяти в лапки.

111

3.10.6.4 Службовий скрипт Службовий скрипт – це засіб, який надає допомогу користувачам ESET SysInspector, легко видаляючи небажані об’єкти із системи. За допомогою службового скрипту можна експортувати весь журнал ESET SysInspector або його окремі компоненти. Після експорту можна позначити небажані об’єкти для видалення, а потім запустити змінений журнал, щоб видалити позначені об’єкти. Службовий скрипту призначено для користувачів, які мають досвід діагностики системних проблем. Некваліфіковані зміни можуть призвести до порушення роботи операційної системи. Приклад Якщо у вас виникла підозра, що комп’ютер інфіковано вірусом, який не виявляється антивірусною програмою, дотримуйтеся наведених нижче покрокових інструкцій. 1. Запустіть ESET SysInspector, щоб створити новий знімок системи. 2. Виберіть перший елемент у розділі ліворуч (у структурі дерева), натисніть Shift і виберіть останній елемент, щоб позначити всі елементи. 3. Правою кнопкою миші натисніть вибрані об’єкти та виберіть пункт Експортувати вибрані розділи до службового скрипту. 4. Вибрані об’єкти буде експортовано в новий журнал. 5. А це найважливіший крок усієї процедури: відкрийте новий журнал і змініть атрибут "-" на "+" для всіх об’єктів, які потрібно видалити. Переконайтеся, що не позначено жодні файли/об’єкти, важливі для роботи системи. 6. Відкрийте ESET SysInspector, натисніть Файл > Запустити службовий скрипт і введіть шлях до потрібного скрипту. 7. Натисніть OK, щоб запустити скрипт.

3.10.6.4.1 Створення службового скрипту Щоб створити скрипт, натисніть правою кнопкою миші будь-який елемент у дереві меню (у лівій області) головного вікна ESET SysInspector. У контекстному меню виберіть Експортувати всі розділи до службового скрипту або Експортувати вибрані розділи до службового скрипту. ПРИМІТКА. Неможливо експортувати службовий скрипт під час порівняння двох журналів.

3.10.6.4.2 Структура службового скрипту У першому рядку заголовка скрипту можна знайти інформацію про версію ядра (ev), версію графічного інтерфейсу користувача (gv) і версію журналу (lv). Ці дані можна використовувати для відстеження можливих змін у файлі .xml, який застосовується для створення звіту й уникнення появи невідповідностей під час виконання скрипту. Цю частину скрипту не можна змінювати. Інша частина файлу поділена на розділи, елементи яких можна змінювати (позначте ті, що оброблятимуться скриптом). Елементи, призначені для обробки, позначаються заміною символу "-" перед елементом на символ "+". Розділи скрипту відділяються один від одного порожнім рядком. Кожен розділ має номер і заголовок. 01) Running processes (Запущені процеси) Цей розділ містить список усіх процесів, запущених у системі. Кожен процес визначається за допомогою шляху у форматі UNC та його геш-коду CRC16, з обох боків відокремленого зірочками (*). Приклад 01) Running processes: - \SystemRoot\System32\smss.exe *4725* - C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...]

На цьому прикладі було вибрано процес module32.exe (позначено символом "+"); процес буде завершено 112

після виконання скрипту. 02) Loaded modules (Завантажені модулі) Цей розділ містить перелік наразі використовуваних системних модулів. Приклад 02) Loaded modules: - c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...]

На цьому прикладі модуль khbekhb.dll позначено символом "+". Коли скрипт буде запущено, система розпізнає процес, використовуючи вказаний модуль, і завершить його. 03) TCP connections (Підключення TCP) Цей розділ містить інформацію про наявні підключення TCP. Приклад 03) TCP connections: - Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe - Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006, - Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System [...]

Коли скрипт буде запущено, система визначить власника сокета для позначених підключень TCP й зупинить сокет, звільняючи системні ресурси. 04) UDP endpoints (Кінцеві точки UDP) Цей розділ містить інформацію про наявні кінцеві точки UDP. Приклад 04) UDP endpoints: - 0.0.0.0, port 123 (ntp) + 0.0.0.0, port 3702 - 0.0.0.0, port 4500 (ipsec-msft) - 0.0.0.0, port 500 (isakmp) [...]

Коли скрипт буде запущено, система ізолює власника сокета для позначених кінцевих точок UDP й зупинить сокет. 05) DNS server entries (Записи DNS-сервера) Цей розділ містить інформацію про поточну конфігурацію DNS-сервера. Приклад 05) DNS server entries: + 204.74.105.85 - 172.16.152.2 [...]

Позначені записи DNS-сервера буде видалено після запуску скрипту. 06) Important registry entries (Важливі розділи реєстру) У цьому розділі міститься інформація про важливі розділи реєстру.

113

Приклад 06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = http://thatcrack.com/ [...]

Після виконання скрипту позначені записи буде видалено, скорочено до значення обсягом 0 байт, або буде відновлено їх стандартні значення. Дія, яка застосовуватиметься до певного запису, залежить від категорії запису та значення окремого розділу реєстру. 07) Services (Служби) Цей розділ містить перелік служб, зареєстрованих у системі. Приклад 07) Services: - Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic - Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic - Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual [...]

Після виконання скрипту позначені служби та ті, що залежать від них, буде зупинено й видалено. 08) Drivers (Драйвери) Цей розділ містить перелік інстальованих драйверів. Приклад 08) Drivers: - Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot - Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32 \drivers\adihdaud.sys, state: Running, startup: Manual [...]

Під час виконання скрипту роботу вибраних драйверів буде зупинено. Зауважте, що деякі драйвери не дозволяють вимкнення. 09) Critical files (Критичні файли) Цей розділ містить інформацію про файли, критично важливі для належного функціонування операційної системи.

114

Приклад 09) Critical files: * File: win.ini - [fonts] - [extensions] - [files] - MAPI=1 [...] * File: system.ini - [386Enh] - woafont=dosapp.fon - EGA80WOA.FON=EGA80WOA.FON [...] * File: hosts - 127.0.0.1 localhost - ::1 localhost [...]

Вибрані елементи буде видалено, або система відновить їх стандартні значення.

3.10.6.4.3 Виконання службових скриптів Позначте потрібні елементи, після чого збережіть і закрийте скрипт. Запустіть відредагований скрипт безпосередньо з головного вікна ESET SysInspector, вибравши опцію Запустити службовий скрипт у меню "Файл". Після відкриття скрипту програма відобразить таке повідомлення: Ви дійсно бажаєте запустити службовий скрипт "%Назва_скрипту%"? Після підтвердження вибору може відобразитися інше попередження з інформацією про те, що службовий скрипт, який ви намагаєтеся запустити, не підписано. Натисніть Запустити, щоб розпочати виконання скрипту. Діалогове вікно підтвердить успішне виконання скрипту. Якщо скрипт можна обробити лише частково, відобразиться діалогове вікно з таким повідомленням: Службовий скрипт виконано частково. Бажаєте переглянути звіт про помилки? Виберіть Так, щоб переглянути детальний звіт про помилки зі списком усіх операцій, які не було виконано. Якщо скрипт не розпізнано, відобразиться діалогове вікно з таким повідомленням: Вибраний службовий скрипт не містить підпису. Запуск невідомих скриптів без підпису може пошкодити дані вашого комп’ютера. Ви дійсно бажаєте запустити скрипт і виконати операції? Поява такого повідомлення може бути викликана невідповідностями у скрипті (пошкоджений заголовок, пошкоджений заголовок розділу, між розділами відсутній порожній рядок тощо). Можна повторно відкрити файл скрипту й виправити помилки в ньому або створити новий службовий скрипт.

3.10.6.5 Запитання й відповіді Чи необхідні права адміністратора для запуску ESET SysInspector? Хоча для запуску ESET SysInspector права адміністратора не потрібні, частина інформації, яку він збирає, може бути доступна лише для користувача облікового запису адміністратора. Якщо запустити програму з обліковим записом "Звичайний користувач" або "Обмежений користувач", вона збере менше інформації про робоче середовище. Чи створює ESET SysInspector журнал? ESET SysInspector може створити журнал із даними про конфігурацію комп’ютера. Щоб зберегти журнал, у головному вікні програми натисніть Файл > Зберегти журнал. Журнали зберігаються в XML-форматі. За замовчуванням файли зберігаються в каталозі %ПРОФІЛЬ_КОРИСТУВАЧА%\Мої документи\ з іменем файлу у форматі "SysInpsector-%ІМ’Я_КОМП’ЮТЕРА%-РРММДД-ГГХХ.XML". За потреби перед збереженням місце розташування та ім’я журналу можна змінити. Як переглянути журнал ESET SysInspector? Щоб переглянути журнал, створений за допомогою ESET SysInspector, запустіть програму та в головному меню програми натисніть Файл > Відкрити журнал. Також можна відкривати журнали, перетягуючи необхідні файли у вікно програми ESET SysInspector. Якщо вам потрібно часто переглядати журнали ESET SysInspector, 115

рекомендується створити ярлик для файлу SYSINSPECTOR.EXE на робочому столі; після цього можна перетягувати на нього журнали, щоб переглядати їх. З міркувань безпеки в ОС Windows Vista/7 може бути заборонене перетягування елементів між вікнами, для яких установлено різні рівні дозволу. Чи доступна специфікація формату журналу? Як щодо SDK? Наразі ні специфікація журналів, ні SDK не доступні, оскільки програма ще перебуває в стані розробки. Після фінального випуску програми ми зможемо забезпечити ці матеріали відповідно до відгуків і попиту клієнтів. Як ESET SysInspector оцінює ризик, викликаний певним об’єктом? У більшості випадків ESET SysInspector призначає рівні ризику об’єктам (файлам, процесам, параметрам реєстру тощо), використовуючи ряд евристичних правил, за якими досліджуються характеристики кожного об’єкта й потім визначається потенціал шкідливої активності. На основі цієї евристики об’єктам призначається певний рівень ризику: від 1 – Безпечний (зелений) до 9 – Небезпечний (червоний). Розділи в області переходів ліворуч забарвлюються з урахуванням найвищого рівня ризику об’єктів у них. Чи вказує рівень ризику "6 – Невідомий (червоний)" на те, що об’єкт небезпечний? Оцінка ESET SysInspector іще не означає, що об’єкт шкідливий: визначити це має фахівець із безпеки. ESET SysInspector призначений для швидкого збору необхідної інформації для фахівців із безпеки, щоб вони могли визначати, які об’єкти в системі викликають підозру та потребують уваги. Навіщо ESET SysInspector під час роботи підключається до Інтернету? Як і багато інших програм, програма ESET SysInspector має сертифікат із цифровим підписом, який гарантує, що програмне забезпечення опубліковано ESET і його не було змінено. Щоб перевірити сертифікат, операційна система підключається до центру сертифікації, де можна підтвердити автентичність видавця програмного забезпечення. Це звичайна поведінка для всіх програм із цифровим підписом для Microsoft Windows. Що таке технологія Anti-Stealth? Технологія Anti-Stealth забезпечує ефективне виявлення руткітів. У разі атаки системи шкідливим кодом, який поводиться як руткіт, користувач наражається на ризик пошкодження або викрадення даних. За відсутності спеціальних засобів проти руткітів виявити їх майже неможливо. Чому інколи деякі файли позначено як "Підписано MS" і в той же час вони мають інший запис у полі "Назва компанії"? Намагаючись визначити цифровий підпис виконуваного файлу, ESET SysInspector спершу здійснює пошук цифрового підпису, включеного у файл. Якщо програмі вдається знайти цифровий підпис, файл буде перевірено з використанням цих даних. Якщо цифровий підпис не буде знайдено, програма ESI починає пошук відповідного файлу CAT (каталог безпеки – %systemroot%\system32\catroot), який містить інформацію про оброблюваний виконуваний файл. Якщо програмі вдається знайти відповідний файл CAT, у процесі перевірки виконуваного файлу використовуватиметься цифровий підпис файлу CAT. Саме тому деякі файли позначено як "Підписано MS", а в полі "Назва компанії" відображається інший запис.

3.10.6.6 ESET SysInspector як частина ESET Endpoint Antivirus Щоб відкрити розділ ESET SysInspector в ESET Endpoint Antivirus, натисніть Інструменти > ESET SysInspector. Система керування у вікні ESET SysInspector подібна до наявної у вікнах журналів перевірки комп’ютера або завдань за розкладом. Усі операції зі знімками системи (створення, перегляд, порівняння, видалення й експорт) можна виконати одним або кількома натисканнями кнопок миші. Вікно ESET SysInspector містить базову інформацію про створені знімки системи: час створення, короткий коментар, ім’я користувача, який створив знімок, і статус знімка. Щоб порівняти, створити або видалити знімки, використовуйте відповідні кнопки, розташовані нижче списку знімків у вікні ESET SysInspector. Ці опції доступні також у контекстному меню. Щоб переглянути вибраний знімок системи, скористайтеся командою контекстного меню Показати. Щоб експортувати вибраний знімок у 116

файл, клацніть його правою кнопкою миші та в контекстному меню виберіть команду Експорт.... Нижче наведено детальний опис доступних опцій. Порівняти – порівняння двох наявних журналів. Це зручно, якщо потрібно простежити зміни між поточним і попереднім журналами. Щоб активувати цю функцію, потрібно вибрати для порівняння два знімки. Створити... – створення нового запису. Спочатку потрібно ввести короткий коментар до запису. Щоб дізнатися про хід поточної операції створення знімка системи, див. стовпець Стан. Усі завершені знімки мають статус Створено. Видалити/Видалити все – видалення записів зі списку. Експорт... – зберігає вибраний запис в XML-файлі (створюється також версія у форматі ZIP).

3.11 Глосарій 3.11.1 Типи загроз Загроза – це будь-яка шкідлива програма, яка намагається потрапити на комп’ютер користувача та/або пошкодити його.

3.11.1.1 Віруси Комп’ютерний вірус – частина шкідливого коду, попередньо відкладена або додана до існуючих файлів на комп’ютері. Віруси було названо на честь біологічних вірусів, оскільки, поширюючись від одного комп’ютера до іншого, вони використовують ті самі методи. До того ж, термін "вірус" часто неправильно застосовується для позначення всіх типів загроз. Поступово цей термін замінюється на більш точне поняття "шкідлива програма" (шкідливе програмне забезпечення). Комп’ютерні віруси атакують переважно виконувані файли та документи. Іншими словами, вірус діє таким чином: після виконання інфікованого файлу зловмисний код викликається та виконується до виконання вихідної програми. Вірус може вразити будь-які файли, дозвіл на запис яких має користувач. Цілі комп’ютерних вірусів і наслідки зараження можуть бути різними. Деякі з них надзвичайно небезпечні, оскільки здатні навмисно видаляти файли з жорсткого диска. Деякі віруси, навпаки, не завдають реальної шкоди: – вони лише дратують користувача й демонструють технічні навички їх авторів. Якщо ваш комп’ютер уражено вірусом і видалити його неможливо, його слід переслати до ESET для ретельного аналізу. У деяких випадках інфіковані файли можуть бути змінені настільки, що їх видалення неможливе, тому вони мають бути замінені чистими копіями.

3.11.1.2 Черв’яки Комп’ютерний черв’як – це програма зі шкідливим кодом, яка атакує комп’ютери в мережі та поширюється через неї. Основна відмінність між вірусом і черв’яком полягає в тому, що черв’яки здатні самостійно розмножуватися. Вони не залежать від файлів на комп’ютері чи завантажувальних секторів. Черв’яки поширюються за допомогою адрес електронної пошти зі списку контактів або використовують для цього вразливі місця різних мережевих програм. З огляду на це, черв’яки життєздатніші, ніж комп’ютерні віруси. Через широку доступність Інтернету вони можуть поширитися по всьому світу за кілька годин або навіть хвилин після своєї появи. Ця здатність до незалежного й швидкого розмноження робить їх небезпечнішими за інші типи шкідливих програм. Активний черв’як створює в системі цілий ряд незручностей: він може видаляти файли, знижувати продуктивність системи або навіть вимикати певні програми. Завдяки своїм характеристикам він служить "транспортним засобом" для проникнень іншого типу. Якщо комп’ютер заражено черв’яком, інфіковані файли рекомендується видалити, оскільки вони можуть містити шкідливий код.

117

3.11.1.3 Троянські програми Троянськими програмами (троянами) традиційно називається клас загроз, які намагаються видати себе за корисні програми й таким чином змушують користувача запустити їх. Оскільки троянські програми – це доволі широка категорія, її часто поділяють на кілька підкатегорій. Завантажувач – шкідлива програма, здатна завантажувати інші загрози з Інтернету. Дропер – шкідлива програма, здатна "перекидати" інші типи шкідливих програм на інфіковані комп’ютери. Бекдор – шкідлива програма, яка обмінюється даними з віддаленими зловмисниками, даючи їм змогу отримувати доступ до комп’ютера та керувати його вмістом. Клавіатурний шпигун – програма, яка записує кожне натискання клавіш, зроблене користувачем, і відправляє інформацію віддаленому зловмиснику. Діалер – шкідлива програма, призначена для встановлення підключень до номерів із високими тарифами замість номера постачальника послуг Інтернету. Користувач майже не має можливості помітити створення нового підключення. Діалери можуть завдати збитків лише користувачам комутованих модемів, які сьогодні зустрічаються досить рідко. Якщо на комп’ютері виявлено файл троянської програми, рекомендується його видалити, оскільки він, найімовірніше, містить шкідливий код.

3.11.1.4 Руткіти Руткіти – це шкідливі програми, які надають зловмисникам з Інтернету необмежений доступ до системи, водночас приховуючи свою присутність. Отримавши доступ до системи (як правило, скориставшись її вразливістю) руткіти використовують функції операційної системи для уникнення виявлення антивірусною програмою: вони приховують процеси, файли та дані реєстру Windows. Через це їх майже неможливо виявити за допомогою звичайних методів тестування. Існує два наведені нижче рівні виявлення, які допомагають перешкодити розгортанню руткітів. 1. Етап, коли руткіт намагається отримати доступ до системи. Руткіт іще не розгорнуто, а тому він не активний. Більшість антивірусних систем здатні видалити руткіти на цьому рівні (за умови, що вони дійсно виявляють інфіковані файли). 2. Етап, коли руткіт не виявлено під час звичайного тестування. У програмі ESET Endpoint Antivirus користувачі можуть скористатися перевагами технології Anti-Stealth, на основі якої також виявляються та видаляються активні руткіти.

3.11.1.5 Нав’язлива реклама Нав’язлива реклама – це програмне забезпечення, розробка якого підтримується рекламою. Програми, у яких відображаються рекламні матеріали, належать до цієї категорії. Нав’язлива реклама часто автоматично відкриває у веб-браузері нові спливаючі вікна, які містять рекламні оголошення, або змінюють його домашню сторінку. Нав’язлива реклама часто входить до складу програм, які поширюються безкоштовно, що дозволяє розробникам покривати витрати на розробку цих (зазвичай корисних) програм. Нав’язлива реклама не становить небезпеки – користувачам лише докучають рекламні оголошення. Небезпека полягає в тому, що нав’язлива реклама також може виконувати функції відстеження (як це роблять шпигунські програми). Якщо ви вирішите скористатися безкоштовним продуктом, зверніть особливу увагу на інсталяційну програму. Швидше за все інсталятор повідомить про встановлення додаткових рекламних програм. Часто дозволяється скасувати його та інсталювати програму без реклами. Деякі програми не можна інсталювати без нав’язливої реклами, або в разі такої інсталяції їх функціональність обмежується. Це означає, що нав’язлива реклама часто може отримувати "законний" доступ до системи, оскільки користувачі погодилися на його інсталяцію. У такому випадку краще убезпечити себе, ніж потім жалкувати про свої дії. Якщо виявлений на комп’ютері файл віднесено до нав’язливої реклами, рекомендується видалити його, оскільки існує велика ймовірність того, що він містить зловмисний код. 118

3.11.1.6 Шпигунські програми Ця категорія охоплює всі програми, які відправляють приватну інформацію без згоди й відома користувачів. Шпигунські програми використовують функції стеження для відправки різних статистичних даних, наприклад списку відвіданих веб-сайтів, адрес електронної пошти зі списку контактів користувача або переліків натиснутих клавіш. Автори шпигунських програм заявляють, що такі техніки використовуються для того, щоб більше дізнатися про потреби та інтереси користувачів і, як результат, запропонувати їм краще націлені рекламні матеріали. Проблема полягає в тому, що немає чіткої відмінності між корисними та шкідливими програмами, і ніхто не може бути впевненим, що зібрана інформація не буде використана не за призначенням. Дані, які збираються шпигунськими програмами, можуть містити коди системи безпеки, ПІН-коди, номери банківських рахунків тощо. Шпигунські програми часто інтегрують у безкоштовне програмне забезпечення для того, щоб заохотити до покупки цієї програми й отримати з цього прибуток. Часто користувачам повідомляється про присутність шпигунської програми під час інсталяції безкоштовного програмного забезпечення. При цьому пропонується оновити програму до платної версії, яка не містить шпигунського коду. Прикладами відомих безкоштовних програмних продуктів, які містять інтегровані шпигунські програми, є клієнтські програми однорангових (P2P) мереж. Spyfalcon або Spy Sheriff (і багато інших) належать до особливої підкатегорії шпигунських програм: вони видають себе за антишпигунські програми, але насправді самі є шпигунськими програмами. Якщо на комп’ютері виявлено файл зі шпигунською програмою, його краще видалити, оскільки існує велика ймовірність того, що він містить шкідливий код.

3.11.1.7 Пакувальники Пакувальник – це виконуваний файл у саморозпакувальному архіві, який уміщує кілька видів шкідливих програм. Найбільш розповсюдженими пакувальниками є UPX, PE_Compact, PKLite і ASPack. Залежно від пакувальника способи виявлення шкідливих програм різняться. Пакувальники також характеризуються можливістю змінювати "сигнатури", що значно ускладнює процедуру виявлення й видалення шкідливих програм.

3.11.1.8 Потенційно небезпечні програми Існує багато легальних програм, призначених для спрощення процесу адміністрування комп’ютерів у мережі. Проте, потрапивши не в ті руки, вони можуть використовуватися для зловмисних цілей. ESET Endpoint Antivirus має спеціальну опцію для виявлення подібних загроз. Потенційно небезпечні програми – характеристика, яка застосовується до комерційного легального програмного забезпечення. Сюди належать такі програми, як засоби віддаленого доступу, програми для зламу паролів і клавіатурні шпигуни (програми, які записують кожне натискання клавіш, зроблене користувачем). Якщо ви помітили, що на комп’ютері працює потенційно небезпечна програма (хоча ви її не інсталювали), зверніться до адміністратора мережі або видаліть її.

119

3.11.1.9 Потенційно небажані програми Потенційно небажаною є програма, що містить рекламу, інсталює панелі інструментів або має інше незрозуміле призначення. Проте в деяких випадках переваги від використання потенційно небажаної програми для користувача переважають ризики. Саме тому система безпеки ESET відносить такі програми до категорії зниженого ризику в порівнянні з іншими типами зловмисного ПЗ, такими як троянські програми або черв’яки. Попередження! Знайдено потенційну загрозу Коли виявлено потенційно небажану програму, можна вибрати дію, яку потрібно виконати. 1. Очистити/Відключити: застосування цієї опції завершує дію й запобігає проникненню потенційної загрози в систему. 2. Пропустити: ця опція дозволить потенційній загрозі потрапити до системи. 3. Щоб у майбутньому певна програма без проблем запускалася на комп’ютері, натисніть Додаткова інформація/Показати параметри й установіть прапорець Виключити з перевірки.

Коли виявлено потенційно небажану програму, яку не вдається очистити, у нижньому правому куті екрана відображається вікно сповіщення Адресу заблоковано. Щоб дізнатися більше про цю подію, у головному меню перейдіть до розділу Інструменти > Журнали > Відфільтровані веб-сайти.

120

Потенційно небажані програми – параметри Під час інсталяції продукту ESET можна самостійно ввімкнути виявлення потенційно небажаних програм, як показано нижче.

Потенційно небажані програми можуть поширювати рекламу, інсталювати панелі інструментів або містити інші небажані або небезпечні функції. Відповідні параметри можна в будь-який час змінити в налаштуваннях програми. Щоб увімкнути або вимкнути виявлення потенційно небажаних, небезпечних чи підозрілих програм, дотримуйтеся наведених нижче інструкцій. 1. Відкрийте продукт ESET. Як відкрити продукт ESET? 2. Натисніть клавішу F5, щоб відкрити меню Додаткові параметри. 3. Натисніть Антивірус і на власний розсуд увімкніть або вимкніть параметри Увімкнути виявлення потенційно небажаних програм, Увімкнути виявлення потенційно небезпечних програм і Увімкнути виявлення підозрілих програм. Підтвердьте зміни, натиснувши OK.

121

Потенційно небажані програми – приховані програмні надбудови Прихована програмна надбудова – особливий тип зміни програми, що використовується на деяких хостингах файлів. Це інструмент стороннього виробника, що інсталює бажану програму разом із додатковим програмним забезпеченням, наприклад, панеллю інструментів або рекламним застосунком. Додаткове ПЗ також може вносити зміни в домашню сторінку веб-браузера й налаштування пошуку. Власники хостингів файлів часто не сповіщають виробника ПЗ або користувача про внесені зміни й не дають змоги безпосередньо запобігти виконанню небажаних дій. Саме тому система безпеки ESET класифікує приховані програмні надбудови як потенційно небажане ПЗ, щоб користувачі самостійно приймали рішення про необхідність продовження завантаження. Оновлену інформацію див. у цій статті бази знань ESET.

122

3.11.2 Електронна пошта Електронна пошта – це сучасна форма зв’язку, яка має багато переваг. Вона гнучка, швидка й точно орієнтована, завдяки чому відігравала вирішальну роль у поширенні Інтернету на початку 90-х років 20-го століття. На жаль, через високий рівень анонімності електронна пошта й Інтернет залишають багато простору для незаконної діяльності, такої як розсилання спаму. Поняття спаму охоплює небажану рекламу, містифікації та поширення шкідливих програм, створених зловмисниками. Незручність і загроза для користувача збільшується через те, що вартість відправлення електронного листа мінімальна, а автори спаму мають у своєму розпорядженні багато засобів для отримання нових адрес електронної пошти. До того ж, обсяг і різноманітність спаму ускладнюють керування ним. Що довше ви користуєтеся своєю адресою електронної пошти, то більша ймовірність того, що вона потрапить у базу даних системи розсилання спаму. Нижче наведено кілька порад щодо того, як цьому запобігти. Якщо можливо, не публікуйте свою адресу електронної пошти в Інтернеті. Надавайте свою адресу електронної пошти лише людям, яким довіряєте. Якщо можливо, не використовуйте поширені імена в адресі. Що складніше ім’я, то нижча ймовірність його виявлення. Не відповідайте на спам, який уже потрапив до папки вхідних повідомлень. Будьте обережні під час заповнення форм в Інтернеті: особливу увагу звертайте на такі опції, як "Так, я хочу отримувати додаткову інформацію на свою електронну адресу". Використовуйте "спеціалізовані" адреси електронної пошти: одну – для роботи, іншу – для спілкування з друзями тощо. Час від часу змінюйте свою адресу електронної пошти. Користуйтеся рішенням для боротьби зі спамом.

3.11.2.1 Реклама Реклама в Інтернеті – одна з форм реклами, яка розвивається найшвидше. Основні маркетингові переваги цієї форми реклами – мінімум витрат і високий рівень спрямованості. Окрім того, рекламні повідомлення доставляються майже негайно. Багато компаній використовують маркетингові засоби на базі електронної пошти для ефективної комунікації з поточними та потенційними клієнтами. Цей тип реклами є законним, оскільки користувач може бути зацікавлений в отриманні комерційної інформації про деякі продукти. Але багато компаній надсилають велику кількість небажаних комерційних повідомлень. У таких випадках реклама за допомогою електронної пошти переходить дозволену межу й перетворюється на спам. Обсяг небажаних комерційних електронних повідомлень перетворився на справжню проблему, оскільки немає жодних ознак його зменшення. Автори небажаних електронних повідомлень намагаються замаскувати спам, надаючи йому вигляду законних повідомлень.

3.11.2.2 Містифікації Містифікація – це неправдива інформація, яка поширюється в Інтернеті. Містифікації зазвичай надсилаються електронною поштою або за допомогою інших засобів комунікації на зразок ICQ або Skype. Розповсюджуване повідомлення часто є жартом або вигадкою. Містифікації комп’ютерних вірусів призначені для нагнітання страху, невпевненості та сумнів в одержувачів, оскільки змушують їх повірити, що існує "невиявний вірус", який видаляє файли та зчитує паролі або виконує якісь інші шкідливі дії в системі. Принцип дії деяких містифікацій полягає у зверненні до одержувачів із проханням переслати певне повідомлення своїм контактам, завдяки чому містифікація поширюється. Існують містифікації для мобільних телефонів, благання про допомогу, пропозиції надіслати гроші з-за кордону тощо. У більшості випадків неможливо визначити намір їх автора. Якщо ви отримали повідомлення з проханням переслати його всім, кого знаєте, це цілком може бути містифікацією. Існує багато веб-сайтів, які дають можливість перевірити законність електронного повідомлення. Перш ніж переслати, здійсніть в Інтернеті пошук тексту будь-якого повідомлення, яке, на вашу 123

думку, може бути містифікацією.

3.11.2.3 Фішинг Терміном "фішинг" називається злочинна діяльність із використанням соціотехнік (маніпулювання користувачами для отримання конфіденційної інформації). Мета фішингу – отримати доступ до таких конфіденційних даних, як номери банківських рахунків, ПІН-коди тощо. Доступ, як правило, надається через електронне повідомлення нібито від особи або компанії, яким можна довіряти (наприклад, фінансової установи, страхової компанії). Це електронне повідомлення може виглядати як справжнє, містити графічні матеріали й текст, узяті з оригіналу, за який він себе видає. Вам пропонуватимуть із різних приводів (перевірка даних, фінансові операції) ввести свої персональні дані – номери банківських рахунків, імена користувачів, паролі тощо. Усі ці дані, якщо їх відправити, можна легко викрасти й використати для зловмисних цілей. Банки, страхові компанії та інші легальні компанії ніколи не запитують імена користувачів та паролі через електронну пошту.

3.11.2.4 Розпізнавання спаму Е кілька показників, які допоможуть розпізнати спам (небажані електронні повідомлення) в електронній скриньці. Якщо повідомлення відповідає принаймні деяким із наведених нижче критеріїв, найімовірніше, це спам. Адреси відправника немає у списку ваших контактів. Вам пропонують велику суму грошей, але для їх отримання спершу потрібно зробити невеликий внесок. Вас просять із різних приводів (перевірка даних, фінансові операції) ввести свої персональні дані – номери банківських рахунків, імена користувачів, паролі тощо. Повідомлення написано іноземною мовою. Вас просять купити товар, який вас не цікавить. Якщо ви все-таки вирішите його придбати, переконайтеся, що відправник повідомлення є надійним продавцем (проконсультуйтеся з виробником оригінального товару). Деякі слова написані з орфографічними помилками, щоб обійти фільтр спаму. Наприклад, замість слова "віагра" написано "ваігра" тощо.

3.11.3 Технологія ESET 3.11.3.1 Захист від експлойтів Захист від експлойтів призначений для захисту програм, які зазвичай використовуються для зараження системи, зокрема веб-браузерів, PDF-читачів, клієнтів електронної пошти або компонентів MS Office. Цей модуль стежить за поведінкою процесів і виявляє підозрілі дії, що можуть свідчити про наявність експлойту. З його допомогою можна на крок наблизитися до зловмисників і створити додатковий рівень безпеки завдяки технології, що кардинально відрізняється від методів самостійного виявлення зловмисних файлів. Коли захист від експлойтів виявляє підозрілий процес, то негайно його зупиняє, реєструє дані про загрозу, які потім надсилає у хмарну систему ESET Live Grid. Дані обробляються в антивірусній лабораторії ESET і використовуються для захисту користувачів від відомих загроз і нових типів атак (проти яких іще не створено засоби захисту).

3.11.3.2 Удосконалений сканер пам’яті Удосконалений сканер пам’яті працює разом із засобом захисту від експлойтів. Він посилює захист від зловмисного ПЗ, призначеного для обходу захисних продуктів за допомогою обфускації та/або шифрування. У випадках, коли звичайна емуляція чи евристика не виявляють загрозу, удосконалений сканер пам’яті може визначити підозрілу поведінку та просканувати загрози, якщо вони проявляються в системній пам’яті. Це рішення ефективне навіть проти зловмисного коду зі значною обфускацією. На відміну від засобу захисту від експлойтів, удосконалений сканер пам’яті працює за принципом реагування: існує ризик того, що перед виявленням загрози можуть бути виконані певні зловмисні дії. Однак якщо інші засоби не спрацюють, цей сканер забезпечить додатковий рівень захисту. 124

3.11.3.3 ESET Live Grid Рішення ESET Live Grid працює на базі системи завчасного попередження ThreatSense.Net®. Воно збирає дані від користувачів ESET з усього світу й передає до антивірусної лабораторії. Отримуючи підозрілі зразки та метадані від ESET Live Grid, ми можемо миттєво реагувати на потреби користувачів і підтримувати системи ESET в актуальному стані. Дослідники ESET використовують цю інформацію, щоб отримати загальну картину глобального поширення загроз і вчасно надати захист від них. Дані ESET Live Grid відіграють важливу роль у пріоритизації інформації під час її автоматичної обробки. Також це рішення використовує систему репутації, що допомагає покращити загальну ефективність наших захисних рішень. Коли в системі користувача перевіряється виконуваний файл або архів, його хеш-тег спочатку порівнюється з базою даних об’єктів, згрупованих у білий і чорний списки. Якщо файл знайдено в білому списку, він уважається безпечним і буде без перешкод виконуватися під час наступних перевірок. Якщо ж він у чорному списку, система вживає заходів відповідно до типу загрози. Якщо збігів не знайдено, файл проходить ретельну перевірку. Відповідно до її результатів файл зараховується до загрозливих або безпечних об’єктів. Такий підхід значно покращує ефективність перевірки. Система репутації дає змогу ефективно виявляти зловмисний код іще до того, як його сигнатури будуть поширені серед користувачів за допомогою оновлень вірусної бази даних (здійснюються кілька разів на день).

3.11.3.4 Захист від експлойтів Java Захист від експлойтів Java – це розширення наявного модуля захисту ESET. Він відстежує програми, створені мовою Java, на предмет шкідливої поведінки. Зразки заблокованих програм можуть бути передані спеціалістам зі зловмисного ПЗ, які створять сигнатури для блокування відповідних проникнень на різних рівнях (блокування URL-адреси, завантаження файлу тощо).

125