ESET ENDPOINT SECURITY 6 Používateľská príručka Microsoft® Windows® 10/8.1/8/7/Vista/XP x86 SP3/XP x64 SP2 Pre stiahnutie najnovšej verzie tohto dokumentu kliknite sem
ESET ENDPOINT SECURITY 6 © 1992 – 2016 ESET, spol. s r.o. Všetky práva vyhradené.
ESET, spol. s r.o. Einsteinova 24 851 01 Bratislava Slovenská republika Obchodné oddelenie
[email protected] tel.: +421 (2) 322 44 250 Technická podpora web: http://kb.eset.sk kontaktný formulár: http://www.eset.com/sk/ podpora/formular/ tel.: +421 (2) 322 44 444 Vš etky práva vyhradené. Žiadna časť tejto publikácie nesmie byť reprodukovaná žiadnym prostriedkom, ani distribuovaná akýmkoľvek spôsobom bez predchádzajúceho písomného povolenia spoločnosti ESET, spol. s r. o. Spoločnosť ESET, spol. s r. o. si vyhradzuje právo zmien programových produktov popísaných v tejto publikácii bez predchádzajúceho upozornenia. Technická podpora: www.eset.com/sk/podpora/ REV. 3/29/2016
Obsah rezidentnej ochrany 3.9.1.3.3 Kontrola........................................................................40
1. ESET Endpoint .......................................................6 Security
........................................................................40 nastavenia rezidentnej ochrany 3.9.1.3.4 Kedy meniť
1.1 Čo ....................................................................................................6 je nové
ak nefunguje rezidentná ochrana 3.9.1.3.5 Čo robiť, ........................................................................40
1.2 Systémové ....................................................................................................7 požiadavky 1.3 Prevencia ....................................................................................................8
2. Dokumentácia pre používateľov pripojených .......................................................9 cez ESET Remote Administrator 2.1 ESET ....................................................................................................9 Remote Administrator Server 2.2 ESET ....................................................................................................10 Webconsole
3.9.1.4
Kontroly ..................................................................................40 počítača
prispôsobenej kontroly 3.9.1.4.1 Spustenie........................................................................41 ........................................................................43 3.9.1.4.2 Priebeh kontroly
3.9.1.5
Správa ..................................................................................44 zariadení
3.9.1.5.1 Pravidlá ........................................................................45 pravidiel správy zariadení 3.9.1.5.2 Pridanie ........................................................................46
3.9.1.6
Vymeniteľné ..................................................................................47 médiá
3.9.1.7
Kontrola ..................................................................................48 v nečinnosti
2.3 Proxy ....................................................................................................11 server
3.9.1.8
HIPS ..................................................................................48 (Host-based Intrusion Prevention System).
2.4 Agent ....................................................................................................11
nastavenia 3.9.1.8.1 Rozšírené........................................................................50
2.5 RD ....................................................................................................11 Sensor
........................................................................50 okno 3.9.1.8.2 HIPS interaktívne
3. Používanie ESET Endpoint Security bez ERA .......................................................12 servera
3.9.1.9
Prezentačný ..................................................................................51 režim
3.9.1.10
Kontrola ..................................................................................51 po štarte
súborov spúšťaných po štarte počítača 3.9.1.10.1 Kontrola........................................................................51
3.1 Inštalácia ....................................................................................................12 s použitím nástroja ESET AV Remover
3.9.1.11
Ochrana ..................................................................................52 dokumentov
3.1.1
Nástroj ..............................................................................13 ESET AV Remover
3.9.1.12
Vylúčenia ..................................................................................52
3.1.2
Odinštalácia pomocou nástroja ESET AV Remover skončila ..............................................................................16 chybou
3.9.1.13
ThreatSense ..................................................................................53 parametre
3.2 Inštalácia ....................................................................................................16 3.2.1
Pokročilá ..............................................................................18 inštalácia
3.9.1.13.1 Vylúčenia........................................................................59 3.9.2
Sieť ..............................................................................59
3.9.2.1
Personálny ..................................................................................60 firewall
3.3 Inštalácia ....................................................................................................21 produktu (príkazový riadok)
režim 3.9.2.1.1 Učiaci sa........................................................................62
3.4 Aktivácia ....................................................................................................23 produktu
3.9.2.2
3.5 Kontrola ....................................................................................................24 počítača
........................................................................63 k sieťovým adaptérom 3.9.2.2.1 Profily priradené
3.6 Aktualizácia ....................................................................................................24 na novšiu verziu
3.9.2.3
3.7 Začíname ....................................................................................................25
........................................................................64 pravidiel 3.9.2.3.1 Nastavenia
3.7.1
Používateľské ..............................................................................25 rozhranie
........................................................................65 3.9.2.3.2 Úprava pravidla
3.7.2
Nastavenie ..............................................................................27 aktualizácie
3.9.2.4
Dôveryhodná ..................................................................................65 zóna
3.7.3
Zóny..............................................................................29
3.9.2.5
Ako ..................................................................................66 nastaviť zóny
Nástroje ..............................................................................29 webovej kontroly
3.9.2.6
Známe ..................................................................................66 siete
3.7.4
Profily ..................................................................................62 firewallu Ako ..................................................................................63 nastaviť a používať pravidlá
3.8 Ako ....................................................................................................30 na to
........................................................................66 sietí 3.9.2.6.1 Editor známych
3.8.1
Ako aktualizovať ..............................................................................30 ESET Endpoint Security
........................................................................69 zóny – nastavenie serverovej časti 3.9.2.6.2 Autentifikácia
3.8.2
Ako aktivovať ..............................................................................30 ESET Endpoint Security.
3.9.2.7
Vytváranie ..................................................................................69 protokolov
3.8.3
Ako aktivovať nový produkt s pôvodnými prihlasovacími ..............................................................................31 údajmi
3.9.2.8
Nadväzovanie ..................................................................................69 spojenia - detekcia
3.9.2.9
Riešenie ..................................................................................70 problémov s personálnym firewallom
3.8.4
Ako odstrániť ..............................................................................31 vírus z môjho počítača
........................................................................70 riešením problémov 3.9.2.9.1 Sprievodca
3.8.5
Ako povoliť ..............................................................................31 komunikáciu pre určitú aplikáciu
3.9.2.9.2 Vytváranie protokolov a pravidiel alebo výnimiek z
3.8.6
Ako vytvoriť ..............................................................................32 novú plánovanú úlohu
protokolu ........................................................................71
3.8.7
Ako naplánovať úlohu pre kontrolu súborov (každých 24 hodín) ..............................................................................32
........................................................................71 pravidla z protokolu 3.9.2.9.2.1 Vytvorenie
3.8.8
Ako pripojím svoj produkt k programu ESET Remote Administrator ..............................................................................33
protokoly PCAP 3.9.2.9.4 Rozšírené........................................................................71
3.8.9
Ako nastaviť ..............................................................................33 funkciu mirror
3.9 Práca ....................................................................................................34 s ESET Endpoint Security 3.9.1
Počítač ..............................................................................35
3.9.1.1
Antivírus ..................................................................................35
hrozba 3.9.1.1.1 Našla sa........................................................................36
3.9.1.2
Zdieľaná ..................................................................................38 lokálna vyrovnávacia pamäť
3.9.1.3
Rezidentná ..................................................................................38 ochrana
........................................................................39 ThreatSense parametre 3.9.1.3.1 Dodatočné
3.9.1.3.2
Úrovne liečenia ........................................................................39
........................................................................71 výnimky z oznámenia firewallu 3.9.2.9.3 Vytvorenie problémov s kontrolou protokolov 3.9.2.9.5 Riešenie........................................................................72
3.9.3
Web..............................................................................73 a mail
3.9.3.1
Filtrovanie ..................................................................................74 protokolov
........................................................................74 klienty 3.9.3.1.1 Web a mail aplikácie 3.9.3.1.2 Vylúčené........................................................................75 IP adresy 3.9.3.1.3 Vylúčené........................................................................76
3.9.3.1.4 SSL/TLS ........................................................................76 ........................................................................77 SSL komunikácia 3.9.3.1.4.1 Kryptovaná ........................................................................77 certifikátov 3.9.3.1.4.2 Zoznam známych
3.9.3.2
Ochrana ..................................................................................78 webu a mailu
3.10.2
Diagnostika ..............................................................................122
3.9.3.2.1
Poštové ........................................................................78 programy
3.10.3
Import ..............................................................................122 a export nastavení
3.9.3.2.2
E-mailové ........................................................................79 protokoly
3.10.4
Príkazový ..............................................................................123 riadok
3.9.3.2.3
Upozornenia ........................................................................80 a udalosti
3.10.5
Kontrola ..............................................................................125 v nečinnosti
3.9.3.2.4
Antispamová ........................................................................81 ochrana
3.10.6
ESET..............................................................................125 SysInspector
adries 3.9.3.2.4.1 Zoznamy........................................................................82
3.10.6.1
Úvod ..................................................................................125 do programu ESET SysInspector
dôveryhodných adries 3.9.3.2.4.2 Pridanie........................................................................83
........................................................................125 programu ESET SysInspector 3.10.6.1.1 Spustenie
........................................................................83 správy ako spam 3.9.3.2.4.3 Označenie
3.10.6.2
Používateľské ..................................................................................126 rozhranie a používanie aplikácie
Ochrana ..................................................................................84 prístupu na web
........................................................................126 prvky programu 3.10.6.2.1 Ovládacie
protokoly 3.9.3.3.1 Webové ........................................................................84
........................................................................127 v programe ESET SysInspector 3.10.6.2.2 Navigácia
3.9.3.3.2
Manažment ........................................................................85 URL adries
........................................................................129 skratky 3.10.6.2.2.1Klávesové
3.9.3.4
Anti-phishing ..................................................................................86 ochrana
........................................................................130 protokolov 3.10.6.2.3 Porovnanie
3.9.4
Webová ..............................................................................87 kontrola
3.10.6.3
Ovládanie ..................................................................................131 cez príkazový riadok
3.9.4.1
Editor ..................................................................................87 pravidiel
3.10.6.4
Servisný ..................................................................................132 skript
3.9.3.3
pravidiel webovej kontroly 3.9.4.1.1 Pridanie........................................................................88
........................................................................132 servisného skriptu 3.10.6.4.1 Generovanie
3.9.4.2
Editor ..................................................................................89 Skupiny kategórií
........................................................................132 servisného skriptu 3.10.6.4.2 Štruktúra
3.9.4.3
Editor ..................................................................................90 URL skupín
........................................................................135 servisných skriptov 3.10.6.4.3 Spúšťanie
3.9.5
Aktualizácia ..............................................................................90 programu
3.10.6.5
Často ..................................................................................135 kladené otázky
3.9.5.1
Nastavenie ..................................................................................94 aktualizácie
3.10.6.6
ESET ..................................................................................136 SysInspector ako súčasť ESET Endpoint Security
........................................................................96 profily 3.9.5.1.1 Aktualizačné 3.11 Slovník ....................................................................................................136 pojmov zmien 3.9.5.1.2 Vrátenie........................................................................96 Typy..............................................................................136 infiltrácií 3.11.1 ........................................................................96 3.9.5.1.3 Režim aktualizácie ..................................................................................137 3.11.1.1 Vírusy
3.9.5.1.4
HTTP Proxy ........................................................................97
3.11.1.2
Červy ..................................................................................137
3.9.5.1.5
Pre pripojenie ........................................................................97 do LAN vystupovať ako
3.11.1.3
Trojské ..................................................................................137 kone
3.9.5.1.6
Mirror ........................................................................98
3.11.1.4
Rootkity ..................................................................................138
........................................................................100 programu pomocou mirroru 3.9.5.1.6.1 Aktualizácia
3.11.1.5
Adware ..................................................................................138
3.9.5.1.6.2 Riešenie problémov pri nastavovaní aktualizačného mirroru........................................................................101
3.11.1.6
Spyware ..................................................................................138
3.11.1.7
Packery ..................................................................................139
3.11.1.8
Potenciálne ..................................................................................139 zneužiteľné aplikácie
3.11.1.9
Potenciálne ..................................................................................139 nechcené aplikácie
3.9.5.2
Vytvorenie ..................................................................................102 aktualizačnej úlohy
3.9.6
Nástroje ..............................................................................102
3.9.6.1
Protokoly ..................................................................................103
........................................................................104 v protokole 3.9.6.1.1 Vyhľadávanie
3.9.6.2
Nastavenie ..................................................................................105 Proxy servera
3.9.6.3
Plánovač ..................................................................................105
3.9.6.4
Štatistiky ..................................................................................107 ochrany
3.9.6.5
Sledovanie ..................................................................................107 aktivity
3.9.6.6
ESET ..................................................................................108 SysInspector
3.9.6.7
ESET ..................................................................................108 Live Grid
3.9.6.8
Spustené ..................................................................................110 procesy
3.9.6.9
Sieťové ..................................................................................111 spojenia
3.9.6.10
Poslať ..................................................................................112 vzorku na analýzu
3.9.6.11
E-mailové ..................................................................................113 upozornenia
3.9.6.12
Karanténa ..................................................................................115
3.9.6.13
Aktualizácia ..................................................................................116 Microsoft Windows
3.9.7
Používateľské ..............................................................................116 rozhranie
3.9.7.1
Prvky ..................................................................................116 používateľského rozhrania
3.9.7.2
Prístup ..................................................................................118 k nastaveniam
3.9.7.3
Upozornenia ..................................................................................119 a udalosti
3.9.7.4
Ikona ..................................................................................120 v paneli úloh
3.9.7.5
Kontextové ..................................................................................121 menu
3.10 Pokročilý ....................................................................................................121 používateľ 3.10.1
Manažér ..............................................................................121 profilov
..................................................................................141 3.11.1.10 Botnet
3.11.2
Typy..............................................................................142 útokov
3.11.2.1
Útoky ..................................................................................142 počítačových červov
3.11.2.2
DoS ..................................................................................142 útoky
3.11.2.3
Port ..................................................................................142 scanning útok
3.11.2.4
DNS ..................................................................................142 Poisoning
3.11.3
Elektronická ..............................................................................143 pošta
3.11.3.1
Reklamy ..................................................................................143
3.11.3.2
Fámy ..................................................................................143
3.11.3.3
Phishing ..................................................................................144
3.11.3.4
Rozpoznávanie ..................................................................................144 spamových podvodov
3.11.3.4.1 Pravidlá........................................................................144 ........................................................................145 3.11.3.4.2 Whitelist
3.11.3.4.3 Blacklist........................................................................145 výnimiek 3.11.3.4.4 Zoznam........................................................................145 na strane servera 3.11.3.4.5 Kontrola........................................................................145
3.11.4
ESET..............................................................................145 Technológia
3.11.4.1
Exploit ..................................................................................145 Blocker
3.11.4.2
Pokročilá ..................................................................................146 kontrola pamäte
3.11.4.3
Štít ..................................................................................146 zraniteľností
3.11.4.4
ESET ..................................................................................146 Live Grid
3.11.4.5
Ochrana ..................................................................................146 proti botnetom
Obsah 3.11.4.6
Java ..................................................................................146 Exploit Blocker
1. ESET Endpoint Security ESET Endpoint Security 6 predstavuje nový prístup k integrovanej počítačovej bezpečnosti. Najnovšia verzia skenovacieho jadra ThreatSense® spolu s našim vlastným personálnym firewallom a antispamovým modulom využíva rýchlosť a presnosť, aby bol váš počítač chránený. Výsledkom je inteligentný systém, ktorý je neustále v pohotovosti pred útokmi, či škodlivým softvérom, ktoré ohrozujú váš počítač. ESET Endpoint Security je komplexné bezpečnostné riešenie a výsledkom dlhodobého úsilia spojiť maximálnu bezpečnosť s minimálnou záťažou systému. Naše pokročilé technológie, založené na umelej inteligencii, sú schopné proaktívne eliminovať preniknutie vírusov, spyware, trójskych koní, červov, adware, rootkitov a ďalších internetových útokov šírených bez toho, aby brzdili výkon systému alebo spôsobili nefunkčnosť operačného systému počítača. ESET Endpoint Security 6 je navrhnutý pre pracovné stanice vo firmách/v podnikoch. Môže byť použitý s nástrojom ESET Remote Administrator, ktorý umožňuje hromadne meniť nastavenia viacerých pracovných staníc, ako napr. zavádzať politiky a pravidlá, sledovať zachytené infiltrácie, vzdialene ich nastavovať z iného počítača v sieti a pod.
1.1 Čo je nové Nové grafické prostredie programu ESET Endpoint Security bolo kompletne prebudované pre lepšiu čitateľnosť jednotlivých prvkov a viac intuitívne používanie. ESET Endpoint Security vo verzii 6 prináša nasledujúce vylepšenia: Vylepšenia funkcie a použiteľnosti Webová kontrola - umožňuje definovať pravidlá pre URL adresy alebo politiky pre sieťové lokácie. Tzv. "Soft" politiky blokovania sú novinkou vo verzii 6 spoločne s možnosťou čiastočného prispôsobenia blokovacích a varovných stránok. Personálny Firewall – Môžete vytvárať pravidlá priamo z protokolov a IDS oznámení, môžete priradiť profil k sieťovému adaptéru. Ochrana pred botnetmi – pomáha objaviť škodlivý softvér pomocou analýzy komunikačných protokolov. Správa zariadení – Obsahuje možnosť zistenia typu a sériového čísla zariadenia a vytvárať pravidlá pre skupiny zariadení. Nový Smart režim pre HIPS – je umiestnený medzi Automatickým a Interaktívnym režimom. Rozpoznáva podozrivé aktivity a škodlivé procesy v systéme. Vylepšenia mirroru/aktualizácie – Teraz môžete spustiť prerušené sťahovania aktualizácii vírusovej databázy a/ alebo modulov programov. Nový prístup k vzdialenému ovládaniu počítača pomocou ESET Remote Administrator – Preposielanie protokolov v prípade, že treba ERA preinštalovať kvôli testovaniu alebo vzdialenej inštalácii bezpečnostných produktov od spoločnosti ESET. Vylepšenia používateľského rozhrania – Pribúda možnosť spustiť aktualizáciu vírusovej databázy jedným kliknutím. Podpora dotykových obrazoviek a vysokého rozlíšenia. Vylepšená detekcia a odstraňovanie bezpečnostných programov tretích strán. Nové funkcionality Anti-Phishing ochrana– Obmedzuje webové stránky podozrivých z distribúcie obsahu za účelom manipulácie používateľov, aby poskytli svoje osobné údaje. Vylepšenie rýchlosti kontroly – pomocou zdieľanej lokálnej vyrovnávacej pamäte vo virtualizovaných prostrediach.
6
Technológie detekcie a ochrany Rýchlejšia a spoľahlivejšia inštalácia. Pokročilá kontrola pamäte – pracuje spolu s funkciou Exploit Blocker na zvýšení ochrany proti malvéru, ktorý bol navrhnutý tak, aby obišiel detekciu bezpečnostných produktov jej oklamaním a/alebo šifrovaním. Rozšírený Exploit blocker – je navrhnutý na ochranu najčastejšie zneužívaných aplikácií, ako napríklad internetových prehliadačov, prehliadačov PDF dokumentov, mailových klientov a komponentov MS Office. Exploit blocker navyše teraz podporuje technológiu Java a tak pomáha zdokonaliť detekciu a ochranu pred týmto typom zraniteľnosti. Vylepšená detekcia a odstraňovanie rootkitov. IDS a pokročilé nastavenia – Môžete nastaviť pokročilé možnosti filtrovania obsahu a detekcie rôznych druhov útokov a zraniteľností, ktoré môžu byť namierené na váš počítač. Kontrola počítača – Vykoná manuálnu kontrolu diskov, jednotlivých priečinkov a súborov na počítači.
1.2 Systémové požiadavky Pre bezproblémový chod ESET Endpoint Security je potrebné splniť nasledujúce požiadavky na hardvér a softvér: Podporované procesory: • 32-bit (x86) alebo 64-bit (x64) procesor, 1 GHz alebo vyššie (Poznámka 1) Operačné systémy: Microsoft® Windows® 10/8.1/8/7/Vista/XP SP3 32-bit/XP SP2 64-bit • Operačný systém a požadovaný service pack podporovaný inštalovanou verziou produktu ESET • Splnené systémové požiadavky na operačný systém a iný softvér inštalovaný na počítači • 0.3 GB voľnej systémovej pamäte (Poznámka 2) • 1 GB voľnej diskovej pamäte (Poznámka 3) • Minimálne rozlíšenie monitoru 1024x768 • Internetové pripojenie alebo sieťové pripojenie na zabezpečenie produktových aktualizácií (Poznámka 4) Aj keď je možné inštalovať a využívať produkt na systémoch, ktoré nespĺňajú tieto požiadavky, vopred odporúčame previesť užívateľské testovanie v nadväznosti na požiadavky na výkon. Poznámka: (1): Pre Windows XP operačný systém, minimálne požiadavky na rýchlosť procesoru môžu byť nižšie. (2): Program môže spotrebovať viac systémovej pamäť, v prípade ťažko infikovaného počítača ak by táto nebola využívaná, alebo v prípade importovania veľkého objemu dát do programu (napr. URL white listy). (3): Disková pamäť potrebná na stiahnutie inštalačného súboru, na inštaláciu programu, a na uloženie kópie inštalačného súboru v programových dátach, ako aj pre zálohy programových aktualizácií na podporu funkcie Rollback. Program môže mať väčšie požiadavky na diskovú pamäť pri odlišných nastaveniach (v prípade ukladania viacerých verzií zálohovania produktových aktualizácií, výpisov pamäte, alebo v prípade ukladania nadmerného počtu log záznamov), alebo na infikovanom počítači (napríklad v dôsledku využívania funkcie karantény). Odporúčame zachovať dostatočne voľnú diskovú pamäť za účelom aktualizácie operačného systému, ako aj pre aktualizáciu samotného programu ESET. (4): Aj keď sa to neodporúča, program je možné aktualizovať aj manuálne z vymeniteľného média.
7
1.3 Prevencia Pri používaní počítača, najmä pri práci s internetom, je potrebné mať neustále na pamäti, že žiaden antivírusový systém nedokáže úplne odstrániť riziká spôsobné infiltráciami a útokmi. Pre zaručenie maximálnej bezpečnosti a pohodlnosti je potrebné antivírusový systém správne používať a dodržiavať niekoľko užitočných pravidiel. Pravidelná aktualizácia antivírusového systému Podľa štatistík z ESET Live Grid, vznikajú denne tisíce nových unikátnych infiltrácií, ktoré sa snažia obísť existujúce bezpečnostné opatrenia a priniesť svojim tvorcom zisk na úkor ostatných používateľov. Vírusoví analytici spoločnosti ESET denne tieto hrozby analyzujú a vydávajú aktualizácie, ktoré zvyšujú úroveň ochrany používateľov antivírusového systému. Pri nesprávnom nastavení aktualizácie sa účinnosť antivírusového systému dramaticky znižuje. Pre podrobnejšie informácie, o nastavení aktualizácie, kliknite na nasledujúci odkaz Aktualizácia. Sťahovanie bezpečnostných záplat Tvorcovia infiltrácií s obľubou využívajú chyby v často používaných programoch aby zvýšili účinnosť šírenia škodlivých kódov. Tvorcovia väčšiny programov preto sledujú známe bezpečnostné chyby vo svojich produktoch a pravidelne vydávajú bezpečnostné záplaty, ktorými chyby opravujú. Je dôležité tieto záplaty pravidelne inštalovať. Medzi takéto programy môžeme zaradiť napríklad operačný systém Windows alebo internetový prehliadač Internet Explorer. Zálohovanie dôležitých dát Tvorcovia infiltrácií väčšinou neberú ohľad na potreby používateľa a tak často nimi vytvorené infiltrácie môžu spôsobiť úplnú nefunkčnosť niektorých programov, operačného systému alebo poškodenie dát, niekedy dokonca aj zámerne. Pravidelné zálohovanie citlivých a dôležitých dát napríklad na CD-ROM môže výrazne uľahčiť a urýchliť obnovu systému po útoku do pôvodného stavu. Pravidelná kontrola počítača Detekcia známych, či menej známych vírusov, červov, trojanov a rootkitov je zabezpečená pomocou Rezidentnej ochrany súborového systému. To znamená, že vždy keď sa pristúpi alebo otvorí súbor, je skontrolovaný, či neobsahuje malvér. Napriek tomu odporúčame, aby ste spustili kontrolu počítača aspoň raz mesačne, pretože malvér je rôzny, dynamický a vírusová databáza sa aktualizuje každý deň. Dodržiavanie základných bezpečnostných pravidiel Jedným z najužitočnejších a najúčinnejších bezpečnostných opatrení je obozretnosť používateľa. V súčasnosti mnoho infiltrácií vyžaduje ich priame spustenie používateľom a preto opatrnosť pri otváraní súborov môže ušetriť mnoho problémov pri snahe o odstránenie infiltrácie z počítača. Medzi užitočné rady by sme mohli zahrnúť: Obmedziť návštevy podozrivých stránok, ktoré používateľa bombardujú otváraním okien s reklamnými ponukami a pod. Opatrnosť pri sťahovaní a inštalovaní voľne šíriteľných programov, kodekov apod. Odporúčame využívať iba overené programy a internetové stránky. Opatrnosť pri otváraní príloh e-mailov obzvlášť pri masovo posielaných e-mailoch alebo pri e-mailoch od neznámych odosielateľov. Nepoužívať na bežnú prácu na počítači účet s právami Administrátora.
8
2. Dokumentácia pre používateľov pripojených cez ESET Remote Administrator ESET Remote Administrator je nástroj, ktorý vám umožňuje spravovať produkty od spoločnosti ESET pripojené do siete z jedného programu. Pomocou spravovania úloh vám umožňuje nainštalovať produkty od spoločnosti ESET na vzdialené počítače v sieti a okamžite reagovať na problémy, ktoré môžu vzniknúť na zariadení. ESET Remote Administrator neposkytuje ochranu proti škodlivému kódu, no spolieha sa na bezpečnostné produkty nainštalované na pripojených klientských počítačoch. Podporuje spojenie so všetkými platformami produktov spoločnosti ESET. Vaša sieť tak môže obsahovať zariadenia s operačnými systémami Microsoft Windows, Mac OS ako aj Linux a operačné systémy na mobilných zariadeniach (mobilné telefóny a tablety). Nasledujúci obrázok zobrazuje príklad siete chránenej bezpečnostnými produktami od spoločnosti ESET.
Poznámka: Viac informácií sa nachádza k kapitole ESET Remote Administrator Používateľská príručka.
2.1 ESET Remote Administrator Server ESET Remote Administrator Server (ERAS) je hlavnou súčasťou nástroja ESET Remote Administrator 6. Úlohou servera je spracovávať všetky dáta prijaté od klientov pripojených na server (cez ERA Agenta). ESET Remote Administrator Agent uľahčuje komunikáciu medzi klientom a serverom. Dáta (protokoly klientov, nastavenia, replikácia agenta atď.) sú uložené v databáze (MySQL). Predtým ako začnete spravovať klientov, musí byť ESET Remote Administrator Server (ERAS) nainštalovaný na podporovanom operačnom systéme. Pre správne spracovanie dát, vyžaduje ERAS stabilné pripojenie na databázový server, kde sú uložené dáta. Odporúčame preto nainštalovať ERAS a databázu na dva oddelené servery pre optimalizáciu výkonu. Počítač, na ktorom je ERAS nainštalovaný, musí byť nastavený na akceptovanie všetkých komunikácii z nástrojov Agent/Proxy/RD Sensor, ktoré sú overované pomocou certifikátov. Po nainštalovaní, je ERAS prístupný cez nástroj ERA Web Console, z ktorého sú spravované 9
všetky operácie nástroja ERAS.
2.2 ESET Webconsole ESET Webconsole je nainštalovaný na rovnakom počítači ako ERAS. Je to webové rozhranie, ktoré zobrazuje dáta z nástroja ERAS. Keďže je na ERAS servery spustená služba webového servera, na Webconsole sa dá pristupovať aj zo vzdialených počítačov. Webconsole sa používa na spravovanie všetkých klientov. Je zobrazený náhľad na klientov v sieti, dá sa použiť na vzdialenú inštaláciu produktov spoločnosti ESET na klientov. Webconsole možno otvoriť v každom podporovanom webovom prehliadači. Pri prvom pripojení na Webconsole, budete vyzvaný na prihlásenie. Štandardne prihlasovacie údaje sú: user: root password:
V dolnej časti Webconsole sa nachádza nástroj rýchleho vyhľadávania Quick Search. Zadajte do tohoto poľa meno klienta alebo IPv4/IPv6 adresu do poľa Computer Name a kliknite na lupu, alebo stlačte Enter pre vyhľadanie klienta. Budete presmerovaný do sekcie Groups, kde bude klient zobrazený. Všetci klienti sú spravovaní pomocou Webconsole. Prístup do Webconsole je možný z väčšiny zariadení a prehliadačov. Poznámka: Viac informácií sa nachádza v Používateľskej príručke ESET Remote Administratora.
10
2.3 Proxy server ERA Proxy je ďalším komponentom ESET Remote Administrator a slúži na tieto účely. V stredne veľkých sieťach alebo v podnikových sieťach s mnohými klientami (napríklad 10 000 a viac klientov) môžete použiť ERA Proxy a prerozdeliť záťaž siete medzi viaceré ERA Proxy pracovné stanice a ERA Server. Ďalšou výhodou ERA Proxy je, že je možné ho použiť ak sa pripájate na vzdialenú pobočku firmy s pomalším pripojením. To znamená, že ERA Agent na každom klientovi nie je pripojený do ERA Serveru priamo cez ERA Proxy, ktorý je v tej istej sieti ako pobočka firmy. ERA Proxy prijíma komunikáciu z ESET klientov, spája ju a odosiela na server (alebo ďalšiu proxy). To umožňuje pripojenie viacerých klientov na vašu sieť bez obmedzenia kvality databázových dotazov. V závislosti od nastavenia siete by malo byť možné pripojiť Proxy na ďalšiu Proxy a až potom na Server. Pre správnu funkciu Proxy musí byť na hosťovskom počítači nainštalované okrem ESET Proxy aj program ESET Agent a tiež musí byť pripojený na vyšší level siete.
2.4 Agent Agent je nevyhnutnou súčasťou produktu ESET Remote Administrator – každé klientske riešenie (napríklad Endpoint, Smart security, atď...) komunikuje so serverom cez agenta. Agent je tá časť ESET Remote Administratora, ktorá umožňuje správu produktov spoločnosti ESET pomocou klientov. Agent zbiera informácie z klienta a odosiela ich na server. Ak server odosiela úlohu pre klienta, najprv ju odošle agentovi, ktorý následne tú úlohu odošle klientovi. Všetka komunikácia na sieti sa deje medzi agentom a vyššími časťami ERA siete – serverom a proxy. ESET Agent používa nasledujúce tri metódy pripojenia k Serveru: 1. Agent klienta je pripojený priamo na server. 2. Agent klienta je pripojený na server cez proxy. 3. Agent klienta je pripojený na server cez viaceré proxy. Aplikácia ESET Agent komunikuje s produktami spoločnosti ESET na klientoch, zbiera informácie a odosiela nastavenia zo servera na klientov. Poznámka: ESET proxy má vlastného agenta, ktorý sa stará o komunikáciu medzi klientom, ostatnými proxy a serverom.
2.5 RD Sensor RD (Rogue Detection) Sensor je vyhľadávací nástroj, ktorý dokáže rozpoznať všetky vzdialené počítače zo siete, ku ktorej je pripojený. RD Sensor je súčasťou ESET Remote Administratora. Je to pohodlný spôsob pridania nových počítačov do ESET Remote Administratora bez nutnosti ich manuálneho vyhľadávania. Každý počítač zistený zo siete je zobrazený vo Web Console a je pridaný do skupiny Lost&Found. Odtiaľ sú dostupné ďalšie akcie s počítačmi. Výsledky vyhľadávania senzora sú zapísané do protokolu "detectedMachines.log". RD Sensor vyhľadá počítače, ktoré sú v sieti a pošle o nich informáciu ERA Serveru. ERA Server vyhodnotí, či je nájdený počítač neznámy alebo už spravovaný.
11
3. Používanie ESET Endpoint Security bez ERA servera Táto časť dokumentácie je pre používateľov, ktorí používajú ESET Endpoint Security bez ESET Remote Administratora. Dostupnosť všetkých funkcionalít a nastavení produktu ESET Endpoint Security záleží od oprávnení používateľského účtu.
3.1 Inštalácia s použitím nástroja ESET AV Remover Predtým, ako začnete s inštalačným procesom je dôležité, aby ste odinštalovali inú nežiadúcu antivírusovú aplikáciu z vášho počítača. Označte možnosť Želám si odinštalovať nežiadúce antivírusové aplikácie použitím nástroja ESET AV Remover ak chcete skontrolovať váš systém a odstrániť akýkoľvek z podporovaných antivírusových aplikácií. Ak nechcete spustiť nástroj ESET AV Remover, ponechajte túto možnosť neoznačenú a kliknite na Pokračovať.
12
3.1.1 Nástroj ESET AV Remover ESET AV Remover je nástroj, ktorý vám pomôže odstrániť takmer každú skôr nainštalovanú antivírusovú aplikáciu vo vašom systéme. Pre odstránenie existujúcej antivírusovej aplikácie s pomocou nástroja ESET AV Remover postupujte podľa nasledujúcich inštrukcií: 1. Pre zoznam podporovaných antivírusových aplikácií, ktoré dokáže nástroj ESET AV Remover odstrániť navštívte článok znalostnej databázy spoločnosti ESET.
2. Prečítajte a potvrďte licenčnú dohodu s koncovým používateľom kliknutím na Prijať. Kliknutím na Nesúhlasím budete pokračovať v inštalácií ESET Endpoint Security bez odstránenia existujúcej antivírusovej aplikácie vo vašom počítači.
13
3. ESET AV Remover začne prehľadávať váš systém.
4. Zvoľte vybranú antivírusovú aplikáciu zo zoznamu a kliknite na Odstrániť. Odstránenie môže chvíľu trvať.
14
5. Po úspešnom odstránení kliknite na Pokračovať.
6. Pre aplikovanie zmien reštartujte váš počítač a pokračujte v inštalácií ESET Endpoint Security. Ak odinštalácia nebola úspešná, pozrite kapitolu Odinštalácia pomocou nástroja ESET AV Remover skončila chybou v časti tohto sprievodcu.
15
3.1.2 Odinštalácia pomocou nástroja ESET AV Remover skončila chybou Ak sa nepodarilo odstrániť antivírusovú aplikáciu s použitím nástroja ESET AV Remover obdržíte oznámenie, že aplikácia, ktorú sa pokúšate odstrániť nie je podporovaná nástrojom ESET AV Remover. Navštívte zoznam podporovaných antivírusových aplikácií alebo navštívte článok znalostnej databázy spoločnosti ESET pre overenie možnosti odstránenia konkrétnej aplikácie. Ak bola odinštalácia antivírusovej aplikácie neúspešná alebo bola nejaká jeho súčasť odinštalovaná čiastočne budete vyzvaný Reštartovať a prehľadať znova. Potvrďte kontrolu používateľských kont (UAC) a pokračujte v prehľadávaní a procese odinštalácie. Ak je to potrebné, kontaktujte ESET Technickú podporu s protokolom AppRemover.log, ktorý sa nachádza v priečinku eset. Tento priečinok najľahšie otvoríte tak, že napíšete do prieskumníka %TEMP%. Pracovníci technickej podpory spoločnosti ESET odpovedia čo najskôr aby vám pomohli vyriešiť váš problém.
3.2 Inštalácia Po spustení inštalátora vás spirievodca prevedie celým inštalačným procesom. Dôležité: Uistite sa, či nemáte nainštalovaný antivírusový program od inej spoločnosti. Medzi dvoma antivírusovými programami môže dochádzať ku konfliktu. Preto odporúčame odinštalovať akýkoľvek iný antivírusový program zo systému. Viac informácii a nástroje na odstránenie bežných antivírusových programov nájdete v nasledujúcom článku databázy znalostí ESET.
16
Zobrazí sa licenčná dohoda s koncovým používateľom. Prečítajte si licenčnú zmluvu a potvrďte ju kliknutím na Súhlasím s licenčnou dohodou. Ak súhlasíte s podmienkami kliknite na Ďalej pre pokračovanie v inštalácii.
Po tom, ako si prečítate a potvrdíte Licenčnú dohodu s koncovým používateľom, budete vyzvaní na nastavenie systému ESET Live Grid. ESET Live Grid umožňuje, aby spoločnosť ESET bola pohotovo a neustále informovaná o nových infiltráciách, a tak efektívne chránila svojich zákazníkov. Systém dovoľuje odosielať nové druhy hrozieb do vírusového laboratória spoločnosti ESET, kde sú tieto hrozby analyzované a zapracovávané do vírusových databáz.
17
Potenciálne nechcené aplikácie zahŕňajú programy, ktoré nie vždy priamo predstavujú bezpečnostné riziko, môžu však negatívne ovplyvniť správanie operačného systému. Viac informácii nájdete v kapitole Potenciálne nechcené aplikácie. Kliknutím na Pokročilé nastavenia sa zobrazia nastavenia, ktoré sú navrhnuté pre skúsených používateľov, ktorí potrebujú nastaviť program podľa svojich požiadaviek.
V poslednom kroku kliknite na Inštalovať pre spustenie inštalácie.
3.2.1 Pokročilá inštalácia Pokročilá inštalácia vám umožňuje nastaviť parametre, ktoré nie sú dostupné pri typickej inštalácii. Po nastavení možností potenciálne nechcených aplikácií a kliknutím na Pokročilé nastavenia sa zobrazia nastavenia inštalačnej zložky. Predvolený inštalačný priečinok je nasledovný: C:\Program Files\ESET\ESET Endpoint Security\ Je možné zadať cestu k modulovému a dátovému priečinku. Predvolené inštalačné priečinky sú: C:\Program Files\ESET\ESET Endpoint Security\ C:\Program Files\ESET\ESET Endpoint Security\ Kliknite na Prechádzať... pre zmenu týchto adresárov (neodporúča sa).
V tomto okne môžete vybrať, ktoré moduly budú nainštalované. V časti Počítač sú komponenty ako rezidentná ochrana, kontrola počítača, ochrana dokumentov, správa zariadení. Rezidentná ochrana a kontrola počítača sú povinné pre správnu funkčnosť programu. V časti Sieť je komponent personálny firewall, ktorý sleduje všetky 18
prichádzajúce a odchádzajúce sieťové komunikácie a aplikuje pravidlá pre jednotlivé sieťové spojenia. Chráni pred útokmi zo vzdialených počítačov a umožňuje blokovanie niektorých služieb. V časti Web a mail sú komponenty dôležité pre ochranu vášho počítača pri surfovaní na internete a komunikácii cez e-mail. Sú to: Mirror, komponent používaný na aktualizovanie počítačov v lokálnej sieti. Podpora Microsoft NAP poskytuje ESET agentovi plnú kompatibilitu s NAP architektúrou.
Pre nastavenie proxy servera vyberte možnosť Pri pripojení použivam proxy-server a kliknite na Ďalej. Zadajte IP adresu a URL proxy servera do poľa Adresa. Ak si nieste istí, či na pripojenie k internetu používate proxy server, vyberte možnosť Chcem použiť rovnaké nastavenia ako v programe Internet Explorer a kliknite na Ďalej. Ak nechcete použiť proxy server, vyberte možnosť Pri pripojení nepoužívam proxy server. Viac informácií sa nachádza v kapitole Proxy server.
19
Pokročilá inštalácia umožňuje nastaviť automatickú aktualizáciu programových súčastí. Kliknite na Zmeniť... pre zobrazenie Pokročilých nastavení.
Ak nechcete aby boli aktualizované programové komponenty, vyberte možnosť Neaktualizovať programové komponenty. Vyberte Pred aktualizáciou programových súčastí sa opýtať používateľa pre zobrazenie dialógového okna pred stiahnutím aktualizácii programových komponentov. Pre automatické aktualizovanie programových komponentov, vyberte možnosť Vždy aktualizovať programové súčasti. Poznámka: Inštalácia nových programových komponentov zvyčajne vyžaduje reštart počítača. Odporúčame zvoliť V prípade potreby reštartovať počítač bez upozornenia. Ďalej, vyberte režim personálneho firewallu. ESET Endpoint Security môže pracovať v štyroch režimoch filtrovania. Správanie firewallu záleží od zvoleného režimu. Režimy filtrovania Nastavením režimu sa ovplyvní potreba interakcie používateľa.
20
Ďalšie okno inštalácie ponúka možnosť nastavenia hesla na ochranu nastavení programu. Pre zapnutie ochrany nastavení heslom potvrďte možnosť Chcem, aby boli nastavenia chránené heslom a zadajte nové heslo do polí Nové heslo a Potvrdiť nové heslo. Toto heslo bude odteraz vyžadované pre všetky ďalšie zmeny v nastaveniach ESET Endpoint Security. Ak obe zadané heslá súhlasia, kliknite na Ďalej pre pokračovanie.
Pre zrušenie prvej kontroly po inštalácií, ktorá je štandardne spustená po skončení inštalácie, zrušte zaškrtávacie políčko Zapnúť kontrolu po inštalácii.
Kliknutím na Inštalovať spustite inštaláciu.
3.3 Inštalácia produktu (príkazový riadok) Nasledujúce nastavenia sú určené na použitie len pri obmedzenom, základnom alebo žiadnom používateľskom grafickom rozhraní. Pre podrobnejšie informácie o príkazoch v príkazovom riadku si pozrite dokumentáciu nástroja msiexec. Podporované parametre: APPDIR= o path - Platná cesta do o adresára, do ktorého bude aplikácia nainštalovaná o Napríklad: ees_nt64_ENU.msi /qn APPDIR=C:\ESET\
ADDLOCAL=DocumentProtection
21
APPDATADIR= o path - Platná cesta do o adresára kde budú uložene dáta aplikácie MODULEDIR= o path - Platná cesta do o adresára, do ktorého budú nainštalované moduly ADDLOCAL= o Inštalácia komponentov - zoznam nepovinných funkcií, ktoré budú lokálne nainštalované. o Použitie s ESET inštalačnými balíkmi .msi: ees_nt64_ENU.msi /qn ADDLOCAL= o Viac informácii o parametre ADDLOCAL nájdete na stránke http://msdn.microsoft.com/en-us/library/aa367536% 28v=vs.85%29.aspx Pravidlá o Príkaz ADDLOCAL list je zoznam funkcií, ktoré budú nainštalované, oddelených čiarkou. o Pri výbere funkcie na inštaláciu, musí byť uvedená v zozname celá cesta (vrátane všetkách rodičovských funkcií). o Pre správne použitie pozrite ostatné pravidlá. Prítomnosť funkcie o Povinné - táto funkcia bude nainštalovaná vždy o Voliteľné - výber tejto funkcie môžete zrušiť o Neviditeľné - funkcia je povinná pre správne fungovanie inej funkcie o Zástupný symbol - funkcia, ktorá neovplyvňuje produkt, ale má iné funkcie Funkcie Endpoint 6.1: Strom funkcií
Názov funkcie
Prítomnosť funkcie
Počítač Computer / Antivirus and antispyware Computer / Antivirus and antispyware > Real-time file system protection Computer / Antivirus and antispyware > Computer scan Computer / Antivirus and antispyware > Document protection Computer / Device control Sieť Network / Personal Firewall Web a mail Web a mail Filtrovanie protokolov Web and e-mail / Web access protection Web and e-mail / E-mail client protection Web and e-mail / E-mail client protection / MailPlugins Web and e-mail / E-mail client protection / Antispam protection Web and e-mail / Web control Mirror Microsoft NAP support
Počítač Antivírus Rezidentná ochrana
Povinné Povinné Povinné
Kontrola počítača Ochrana dokumentov
Povinné Voliteľné
DeviceControl Sieť Personálneho firewallu WebAndEmail ProtocolFiltering WebAccessProtection EmailClientProtection MailPlugins Antispam
Voliteľné Zástupný symbol Voliteľné Zástupný symbol Neviditeľne Voliteľné Voliteľné Neviditeľne Voliteľné
WebControl UpdateMirror MicrosoftNAP
Voliteľné Voliteľné Voliteľné
Ostatné pravidlá o Ak bude označená niektorá z funkcií v sekcii WebAndEmail, neviditeľná funkcia ProtocolFiltering musí byť zahrnutá v zozname. o Ak bude označená niektorá z funkcií v sekcii EmailClientProtection, neviditeľná funkcia MailPlugins musí byť zahrnutá v zozname. Príklady: 22
ees_nt64_ENU.msi /qn ADDLOCAL=WebAndEmail,WebAccessProtection,ProtocolFiltering ees_nt64_ENU.msi /qn ADDLOCAL=WebAndEmail,EmailClientProtection,Antispam,MailPlugins
Zoznam vlastností CFG_ properties: CFG_POTENTIALLYUNWANTED_ENABLED=1/0 • 0 - vypnuté, 1 - zapnuté • PUA CFG_LIVEGRID_ENABLED=1/0 • 0 - vypnuté, 1 - zapnuté • LiveGrid FIRSTSCAN_ENABLE=1/0 • 0 - vypnuté, 1 - zapnuté • Prvá kontrola po inštalácii CFG_EPFW_MODE=0/1/2/3 • 0 - Automatický, 1 - Interaktivívny, 2 - Politika, 3 - Učiaci sa CFG_PROXY_ENABLED=0/1 • 0 - vypnuté, 1 - zapnuté CFG_PROXY_ADDRESS= • IP adresa proxy CFG_PROXY_PORT= • číslo portu proxy CFG_PROXY_USERNAME= • Overenie používateľa. CFG_PROXY_PASSWORD= • Heslo pre overenie.
3.4 Aktivácia produktu Po ukončení inštalácie sa zobrazí dialógové okno s ponukou na aktiváciu produktu. Vyberte si jednu z dostupných metód aktualizácie ESET Endpoint Security. Viac informácií o aktivácii nájdete v kapitole Ako aktivovať ESET Endpoint Security.
23
3.5 Kontrola počítača Prvá kontrola sa štandardne spúšťa 15 minút po inštalácii alebo po reštarte počítača. Odporúčame po nej vykonať riadnu kontrolu alebo naplánovať pravidelnú kontrolu počítača. V hlavnom okne programu kliknite na Kontrola počítača > Kontrola lokálnych diskov. Viac informácii o kontrole počítača nájdete v kapitole Kontrola počítača.
3.6 Aktualizácia na novšiu verziu Novšie verzie ESET Endpoint Security sú vydávané za účelom zdokonalenia produktu a opravy chýb, ktoré nie je možné opraviť v rámci automatickej aktualizácie programových modulov. Je niekoľko spôsobov ako aktualizovať produkt na novšiu verziu: 1. Automaticky prostredníctvom aktualizácie programových komponentov (PCU). Keďže aktualizácia programových komponentov sa týka všetkých používateľov daného produktu a môže mať významný dopad na systém, je vydávaná až po dlhom období testovania na všetkých operačných systémoch v rôznych konfiguráciách. Ak potrebujete aktualizovať na najnovšiu verziu hneď po jej vydaní, použitie niektorú z nasledujúcich dvoch metód. 2. Manuálne, stiahnutím a nainštalovaním novej verzie cez starú verziu programu pomocou inštalátora. 3. Manuálne, cez nastavenia ESET Remote Administrator.
24
3.7 Začíname Nasledujúca časť poskytuje prvý pohľad na produkt ESET Endpoint Security a jeho základné nastavenia.
3.7.1 Používateľské rozhranie Hlavné okno ESET Endpoint Security je rozdelené na dve hlavné časti. Pravá časť slúži prevažne na zobrazovanie informácií, pričom jej obsah závisí od voľby používateľa v ľavom menu. Nasleduje popis jednotlivých tlačidiel hlavného menu v ľavej časti okna. Stav ochrany – V prehľadnej forme poskytne používateľovi informácie o stave ochrany ESET Endpoint Security. Kontrola počítača – Používateľ v tejto časti môže nastaviť a vykonať kontrolu lokálnych diskov a prispôsobenú kontrolu počítača, alebo je možné zopakovať poslednú kontrolu. Aktualizácia – Zobrazuje informácie o vírusovej databáze. Nastavenie – Obsahuje možnosti nastavenia ochrany pre Počítač, Sieť a Web a mail. Nástroje – Pístup k prezeraniu Protokolu, Štatistiky ochrany, Sledovania aktivity, Spustených procesov, Sieťových pripojení,, ESET SysInspector a ESET SysRescue pre vytvorenie záchranného CD. Môžete tiež odoslať vzorku na analýzu. Pomoc a podpora – Umožňuje prístup k Pomocníkovi, webstránke spoločnosti ESET a do databázy znalostí spoločnosti ESET. Obsahuje tiež formulár na kontaktovanie zákazníckej podpory, podporné nástroje a informácie o aktivácii a licencii produktu.
V záložke Stav ochrany sú zobrazene informácie o bezpečnosti a úrovni ochrany vášho systému. Zelená ikona a zelený nápis Maximálna bezpečnosť znamená, že je zaistená maximálna úroveň ochrany. Stavové okno zobrazuje najčastejšie používané súčasti ESET Endpoint Security a informácie o aktualizáciach.
25
Čo robiť, ak program nepracuje správne? Pri plnej funkčnosti ochrany majú jednotlivé moduly zelené symboly. Červený výkričník alebo oranžová notifikácia oznamuje, že ochrana vášho systému nie je zaručená v plnej miere. Dodatočné informácie o module sú zobrazené vo vrchnej časti okna. Taktiež je zobrazené navrhované riešenie v prípade problému s modulom. Stav jednotlivých modulov môže byť menený po kliknutí na Nastavenia a označení požadovaného modulu.
Červená alebo oranžová notifikácia oznamuje, že ochrana vášho systému nie je zaručená v plnej miere. Možné príčiny sú: Antivírusová a antispywareová ochrana je vypnutá – Kompletnú ochranu môžete znovu spustiť kliknutím na Aktivácia všetkých súčastí antivírusovej ochrany v sekcii Stav ochrany alebo Zapnúť antivírusovú a antispywareovú ochranu v záložke Nastavenie v hlavnom okne programu. Personálny firewall je vypnutý – Tento problém je signalizovaný notifikáciou na ploche vedľa ikony siete v panely oznámení. Obnoviť funkciu presonálneho firewallu môžte kliknutím na Zapnúť režim filtrovania. Vírusová databáza je zastaralá Produkt nie je aktivovaný Licencii skončila platnosť – V tomto prípade ikonka ochrany zmení farbu na červenú. Program nebude možné od tohto momentu aktualizovať. Odporúčame nasledovať inštrukcie vo výstražnom okne pre obnovu licencie. Oranžová ikona so symbolom "!" oznamuje, že sa vyskytol málo kritický problém. Možné príčiny sú: Webová kontrola je vypnutá – Webovú kontrolu môžete znovu spustiť kliknutím na Zapnúť webovú kontrolu. Platnosť licencie sa blíži ku koncu – V tomto prípade sa ikona ochrany zmení na výkričník v paneli oznámení systému. Po vypršaní licencie program nebude možné aktualizovať a status ochrany bude mať červenú farbu. V prípade, ak nie je možné tento problém vyriešiť na základe vopred definovaných problémov a riešení, je potrebné použiť časť Pomoc a podpora pre prístup k pomocníkovi programu a na vyhľadávanie cez databázu znalostí 26
spoločnosti ESET. Ak aj napriek tomu potrebujete pomoc, môžete kontaktovať technickú podporu spoločnosti ESET. Špecialisti spoločnosti ESET reagujú na problémy rýchlo a efektívne vám poradia riešenia vášho problému.
3.7.2 Nastavenie aktualizácie Aktualizácia vírusových databáz a programových komponentov je dôležitá súčasť na zabezpečenie komplexnej ochrany pred škodlivým kódom. Jej nastaveniu a funkčnosti preto treba venovať zvýšenú pozornosť. V hlavnom menu kliknite na Aktualizácia a Aktualizovať teraz pre okamžitú kontrolu dostupnosti novšej databázy. Ak ste doteraz nezadali licenčný kľúč, budete k tomu vyzvaní práve teraz.
27
Pokročilé nastavenia (kliknite na Nastavenie v hlavnom okne programu a kliknite na Rozšírené nastavenia, alebo stlačte F5 na vašej klávesnici) obsahujú rozšírené nastavenia aktualizácií. Pre nastavenie rozšírených možností, ako napríklad aktualizačný profil, proxy server alebo LAN pripojenie, či mirror, kliknite na Aktualizácia v strome Rozšírených nastavení. Ak máte problém s aktualizáciami, kliknite na tlačidlo Vyčistiť pre zmazanie obsahu adresára s dočasnými aktualizačnými súbormi. Aktualizačný server je prednastavený na AUTOSELECT. Ak na aktualizáciu používate servery ESET, odporúčame ponechať predvolené nastavenia. Ak nechcete byť informovaní o nainštalovaní aktualizácii vírusovej databázy, zapnite možnosť Nezobrazovať upozornenie o úspešnej aktualizácií.
Pre úplnú funkčnosť programu je dôležité, aby bol pravidelne aktualizovaný. To nie je možné bez zadaného Licenčného kľúča v časti hlavného okna programu Pomoc a podpora > Spravovať licenciu. Ak ste nezadali Licenčný kľúč ihneď po inštalácii, môžete tak spraviť kedykoľvek. Pre viac informácií o aktivácii si pozrite kapitolu Ako aktivovať ESET Endpoint Security a zadajte licenčný kľúč, ktorý ste obdržali s vašim ESET bezpečnostným produktom v okne Aktivácia.
28
3.7.3 Zóny Pre ochranu počítača v sieti je potrebné nastaviť dôveryhodné zóny. Zadaním dôveryhodnej zóny umožníte zdieľanie a sprístupníte počítač iným používateľom v danej sieti. Kliknite na Rozšírené nastavenia (F5) > Personálny Firewall > Základné a pri popise Zóny kliknite na Upraviť. Zobrazí sa okno s možnosťami režimu ochrany vášho počítača v sieti. Automatická detekcia dôveryhodnej zóny sa vykoná po nainštalovaní ESET Endpoint Security, alebo pridaní počítača do novej zóny. Vo väčšine prípadov preto nie je potrebné dodatočne definovať tieto zóny. Pri detekcií novej zóny je štandardne zobrazený dialóg s možnosťou definovania úrovne ochrany v tejto zóne.
Upozornenie: Nesprávnym nastavením dôveryhodnej zóny vystavujete počítač ohrozeniu. Poznámka: Štandardne je počítačom z dôveryhodnej zóny povolený prístup k zdieľaným súborom a tlačiarňam, povolená prichádzajúca RPC komunikácia, dostupná služba zdieľanie pracovnej plochy.
3.7.4 Nástroje webovej kontroly Ak ste už stihli aktivovať webovú kontrolu v ESET Endpoint Security, je potrebné ešte nastaviť webovú kontrolu pre používateľské účty, aby kontrola mohla fungovať správne. V kapitole Webová kontrola nájdete postup pre vytvorenie špecifických pravidiel pre ochranu pracovných staníc pred potenciálne nebezpečným alebo citlivým či neslušným obsahom.
29
3.8 Ako na to Táto kapitola obsahuje niektoré z najčastejšie sa vyskytujúcich otázok a problémov, s ktorými sa môžete stretnúť. Kliknite na tému pre návod na vyriešenie problému: Ako aktualizovať ESET Endpoint Security Ako aktivovať ESET Endpoint Security Ako aktivovať nový produkt s pôvodnými prihlasovacími údajmi Ako odstrániť vírus z môjho počítača Ako povoliť komunikáciu pre určitú aplikáciu Ako vytvoriť novú plánovanú úlohu Ako naplánovať úlohu pre kontrolu súborov (každých 24 hodín) Ako pripojím svoj produkt k programu ESET Remote Administrator Ako nastaviť funkciu mirror Ak nie je váš problém zahrnutý v tomto zozname, skúste hľadať podľa kľúčového slova alebo frázy, ktorá popisuje váš problém v pomocníkovi programu ESET Endpoint Security (F1). Ak nenájdete riešenie vášho problému v pomocníkovi, môžete vyskúšať našu pravidelne aktualizovanú databázu znalostí spoločnosti ESET , kde sa nachádzajú pravidelne aktualizované riešenia a návody. Ako odstránim trojan Sirefef (ZeroAccess!? Riešenie problémov pri nastavovaní aktualizačného mirroru. Ktoré porty a adresy treba povoliť ak používam firewall od iného výrobcu? Ak vám pomocník programu ani znalostná databáza nepomohli, môžete sa obrátiť na technickú podporu spoločnosti ESET. Kontaktný formulár možno nájsť v časti Pomoc a podpora v hlavnom okne ESET Endpoint Security.
3.8.1 Ako aktualizovať ESET Endpoint Security Aktualizácia ESET Endpoint Security môže byť vykonaná manuálne alebo automaticky. Pre začatie aktualizácie, kliknite na tlačidlo Aktualizovať teraz v záložke Aktualizácia v hlavnom okne programu. Štandardné nastavenia inštalácie vytvoria úlohu v plánovači, ktorá spúšťa automatickú aktualizáciu každú hodinu. Ak chcete zmeniť tento interval, môžete tak urobiť v záložkeNástroje > Plánovač (pre podrobnejšie informácie o Plánovači, kliknite sem).
3.8.2 Ako aktivovať ESET Endpoint Security. Po ukončení inštalácie sa zobrazí dialógové okno s ponukou na aktiváciu produktu. Existuje niekoľko možností ako aktivovať produkt. Dostupnosť nižšie uvedených aktivačných scenárov v dialógovom okne sa môže líšiť v závislosti od spôsobu distribúcie inštalačného súboru (CD, stránka ESET, ...). Pre aktiváciu vašej kópie programu ESET Endpoint Security, priamo z programu, kliknite na ikonu programu v paneli oznámení a vyberte možnosť Aktivácia produktu. Alebo v hlavnom okne programu kliknite na Pomoc a podpora > Aktivovať produkt alebo Stav ochrany > Aktivovať produkt. Môžete použiť nasledujúce metódy aktivácie ESET Endpoint Security: Licenčný Kľúč – Jedinečný reťazec znakov XXXX-XXXX-XXXX-XXXX-XXXX , ktorý je použitý na identifikáciu vlastníka licencie a aktiváciu licencie. Bezpečnostného správcu – Konto vytvorené portáli ESET License Administrator s prihlasovacími údajmi (mailová adresa + heslo). Táto metóda vám umožní spravovať viac licencií z jedného miesta. Offline registrácia – Automaticky vygenerovaný Offline licenčný súbor s informáciami o vašej licencii. Offline licenčný súbor je generovaný pomocou licenčného portálu ESET a používa sa v sieťach odkiaľ sa aplikácia nemôže pripojiť na licenčné servery. Kliknite na Aktivovať neskôr pomocou RA ak je váš počítač súčasťou spravovanej siete, a správca siete vykoná aktiváciu pomocou nástroja ESET Remote Administrator alebo chcete vykonať aktiváciu neskôr.
30
Licenciu je možné zmeniť kedykoľvek, kliknutím na Pomoc a podpora > Spravovať licenciu v hlavnom okne programu. Uvidíte verejné identifikačné číslo, ktoré slúži na identifikáciu licencie a musí byť uvedené v komunikácii s technickou podporou spoločnosti ESET. Používateľské meno, s ktorým je počítač registrovaný v licenčnom systéme, je zaznamenané v sekcii O programe, ktorú spustíte cez kontextové menu, kliknutím pravým tlačidlom myši na ikonu programu v panely oznámení . Poznámka: ESET Remote Administrator automaticky aktivuje pracovné stanice (aktivácia prebieha v pozadí, bez oznámení) pomocou licencie sprístupnenej správcom. Pre podrobnejšie informácie pozrite používateľskú príručku ESET Remote Administrator.
3.8.3 Ako aktivovať nový produkt s pôvodnými prihlasovacími údajmi Ak už máte svoje prihlasovacie meno a heslo a chceli by ste ich skonvertovať na licenčný kľúč, navštívte stránku ESET License Administrator.
3.8.4 Ako odstrániť vírus z môjho počítača Ak má váš počítač príznaky infekcie škodlivým kódom, tzn. je pomalší, zamŕza, a pod. odporúčame nasledovné kroky: 1. V hlavnom okne programu kliknite na Kontrola počítača. 2. Kliknite na možnosť Smart kontrola pre začatie kontroly vášho počítača. 3. Po ukončení kontroly preverte protokol so zoznamom skontrolovaných, infikovaných a vyliečených súborov. 4. Ak chcete skontrolovať len určité časti svojho počítača, vyberte možnosť Prispôsobená kontrola a označte ciele kontroly. Pre podrobnejšie a pravidelne aktualizované informácie si prečítajte nasledujúci článku databázy znalostí ESET.
3.8.5 Ako povoliť komunikáciu pre určitú aplikáciu Ak je detegované nové spojenie v interaktívnom režime, pre ktoré nie je vytvorené pravidlo, budete vyzvaný na povolenie alebo blokovanie tohto spojenia. Ak chcete aby váš produkt ESET Endpoint Security vykonával opakovane tú istú akciu zakaždým, keď sa táto aplikácia pokúsi nadviazať spojenie, zaškrtnite začiarkavacie políčko Zapamätať si akciu (vytvoriť pravidlo).
Pre aplikácie, ktoré práve nenadväzujú spojenie, môžete vytvoriť pravidlo v okne Rozšírené nastavenia > Personálny firewall > Základné v časti Pravidlá kliknutím na Zmeniť.
31
Pre pridanie nového pravidla kliknite na pridať. V záložke Všeobecné zadajte názov pravidla, smer a komunikačný protokol pre nové pravidlo. V tomto okne môžete definovať akciu, ktorá sa vykoná, ak je toto pravidlo aplikované. V záložke Lokálna strana zadajte cestu k aplikácii (*.exe). Kliknite na záložku Vzdialená strana pre vloženie adresy a portu (ak je to potrebné). Novovytvorené pravidlo sa aplikuje akonáhle sa aplikácia znovu pokúsi o komunikáciu.
3.8.6 Ako vytvoriť novú plánovanú úlohu Novú úlohu možno vytvoriť v časti Nástroje > Plánovač kliknutím na Pridanie plánovanej úlohy alebo vyvolaním kontextového menu pravým tlačidlom myši kliknutím na Pridať.... Na výber je päť plánovaných úloh: Spustenie externej aplikácie – Výber aplikácie, ktorá má byť spustená plánovačom. Údržba protokolov – Defragmentácia odstraňuje prázdne záznamy v protokoloch, čím sa zefektívni a zrýchli práca s nimi. Viditeľné zlepšenie práce s protokolmi po optimalizácii je očividné hlavne pri väčších množstvách záznamov v protokoloch. Kontrola súborov spúšťaných po štarte – Kontroluje súbory, ktoré sa spúšťajú pri štarte alebo prihlásení do systému. Vytvorenie záznamu o stave počítača – Vytvorí záznam programu ESET SysInspector , ktorý slúži na dôkladné preskúmanie stavu vášho počítača a je schopný zobraziť zhromaždené údaje v jednoduchej čitateľnej forme. Kontrola počítača – Vykoná manuálnu kontrolu diskov, jednotlivých priečinkov a súborov na počítači. Prvá kontrola – Štandardne sa spúšťa 20 minút po inštalácii alebo po reštarte. Kontrola má nízku prioritu. Aktualizácia – Zabezpečuje aktualizáciu vírusových databáz, ako aj aktualizáciu všetkých programových komponentov systému. Keďže medzi najčastejšie používané plánované úlohy patrí Aktualizácia, podrobnejšie popíšeme pridanie aktualizačnej úlohy. Z roletového menu Typ úlohy vyberte možnosť Aktualizácia. Zadajte názov úlohy do textového poľaNázov úlohy a kliknite na Ďalej. Vyberte interval vykonania úlohy. Sú dostupné tieto možnosti: Raz, Opakovane, Denne, Týždenne a Pri udalosti. Možnosť Nespúšťať úlohu ak je počítač napájaný z batérie je dobré použiť, ak prenosný počítač nie je zapojený do elektrickej siete a chcete v tomto čase minimalizovať jeho systémové prostriedky. Zadajte čas/dátum alebo interval, v ktorom bude úloha vykonaná do poľa Vykonanie úlohy. Ďalej je potrebné zadefinovať akciu, ktorá sa vykoná v prípade, že v stanovenom termíne nebude možné úlohu spustiť. Sú dostupné tieto možnosti: Vykonať úlohu v najbližšom naplánovanom čase Vykonať úlohu hneď ako to bude možné Vykonať úlohu okamžite, ak čas od posledného vykonania prekročil zadaný interval (pričom interval je možné definovať priamo pri potvrdení tejto voľby v poli Uplynulý čas od posledného spustenia (v hodinách)) V ďalšom kroku nastavte profil, ktorý sa použije pri aktualizácii. Kliknite na Dokončiť pre uloženie plánovanej úlohy. Zobrazí sa okno umožňujúce vybrať profily, ktoré budú použité pri plánovanej úlohe. Je možné zadefinovať primárny a alternatívny profil. Alternatívny profil sa použije v prípade, že úlohu nebude možné vykonať použitím primárneho profilu. Pre uloženie plánovanej úlohy kliknite na Dokončiť. Úloha bude následne pridaná do zoznamu úloh Plánovača.
3.8.7 Ako naplánovať úlohu pre kontrolu súborov (každých 24 hodín) Pre naplánovanie štandardnej kontroly otvorte hlavné okno programu a kliknite na Nástroje > Plánovač. Nižšie je popísaný stručný návod ako vytvoriť úlohu ktorá bude kontrolovať vaše lokálne disky každých 24 hodín. Pre naplánovanie úlohy: 1. Kliknite na Pridanie plánovanej úlohy v hlavnom okne Plánovača. 2. V roletovom menu zvoľte Kontrolu počítača . 3. Zadajte názov úlohy a kliknite na možnosť vykonať Denne. 4. Vyberte čas vykonania úlohy. 5. Označte možnosť ako bude úloha pokračovať v prípade, že nemohla byť vykonaná. 32
6. Skontrolujte súhrn naplánovaných úloh a kliknite na Dokončiť. 7. V roletovom menu Ciele kontroly si zvoľte Lokálne disky. 8. Kliknite na Nastaviť pre dokončenie nastavovania úlohy.
3.8.8 Ako pripojím svoj produkt k programu ESET Remote Administrator Ak ste nainštalovali ESET Endpoint Security a chcete ho spojiť s nástrojom ESET Remote Administrator, uistite sa, že ste tiež nainštalovali nástroj ERA Agent, ktorý je dôležitou súčasťou komunikácie s ERA Serverom. ESET Remote Administrator používa nástroj RD Sensor, ktorým dokáže rozpoznať všetky vzdialené počítače zo siete, v ktorej je pripojený. Tieto počítače sú zobrazené vo Web Console. Ak je už ERA Agent nasadený, môžete vykonať vzdialenú inštaláciu niektorého z ESET bezpečnostných riešení na vašej klientskej stanici. Presné kroky vzdialenej inštalácie sú popísané v kapitole Inštalácia produktu pod Prvé kroky > Nasadenie v ESET Remote Administrator používateľskej príručke.
3.8.9 Ako nastaviť funkciu mirror ESET Endpoint Security môže byť nastavený na zdieľanie aktualizácii vírusových databáz na ostatné pracovné stanice v sieti. Sprístupnenie mirroru prostredníctvom HTTP servera Otvorte Rozšírené nastavenia stlačením klávesy F5 (zadajte heslo ak je klient chránený heslom). Otvorte ESET Endpoint Security Rozšírené nastavenia > Aktualizácia > Základné. Uistite sa, že Aktualizačný server server je nastavený na AUTOSELECT. Zapnite možnosť Vytvárať kópie aktualizácií a Sprístupniť kópie aktualizácii cez HTTP server v sekcii Rozšírené nastavenia > Základné > Mirror. Sprístupnenie mirroru prostredníctvom zdieľaného sieťového súboru Ako prvý krok je potrebné na lokálnom, či sieťovom disku vytvoriť zdieľaný adresár. K tomuto adresáru musia mať prístup a musia z neho vedieť "čítať" produkty, ktoré pomocou neho plánujete aktualizovať ako aj vaše používateľské konto. Zapnite možnosť Vytvárať kópie aktualizácií a kliknutím na ikonu adresára vedľa popisu Priečinok pre ukladanie súborov z mirrora vyberte cestu k zdieľanému súboru. Tieto nastavenia sa nachádzajú v sekcii Rozšírené nastavenia > Aktualizácia > Mirror. Poznámka: Ak nechcete vykonávať aktualizáciu prostredníctvom HTTP servera deaktivujte možnosť Sprístupniť kópie aktualizácie cez HTTP server.
33
3.9 Práca s ESET Endpoint Security ESET Endpoint Security vám umožňuje nastaviť úroveň ochrany počítača pre antivír, web a mail, sieť.
Sekcia Nastavenie obsahuje nasledovné nastavenia: Počítač Sieť Web a mail Kliknutím na komponent sa zobrazia rozšírené nastavenia komponentu. V záložke Počítač sú nasledovné komponenty, ktorých hodnotu môžete nastaviť: Rezidentná ochrana – Všetky súbory, ktoré sa v počítači otvárajú, vytvárajú a spúšťajú, sú kontrolované na prítomnosť infiltrácie. Ochrana dokumentov – Modul ochrany dokumentov kontroluje dokumenty Microsoft Office pred ich otvorením a kontroluje objekty pri automatickom sťahovaní pomocou programu Internet Explorer, napríklad prvky Microsoft ActiveX. HIPS – Systém HIPS monitoruje udalosti vo vnútri operačného systému a reaguje na ne podľa pravidiel, ktoré sú štruktúrou podobné pravidlám personálneho firewallu. Prezentačný režim – je funkcia určená pre používateľov, ktorí musia neprerušovane používať svoj softvér a neželajú si byť vyrušovaní oznámeniami a dialógovými oknami, taktiež požadujú minimálne vyťaženie procesora antivírusom. Pri zapnutom prezentačnom režime sa zobrazuje upozornenie (bez zobrazovania okien sú nefunkčné niektoré prvky ochrany). Anti-Stealth ochrana – dômyselný systém na detekciu nebezpečných programov – rootkitov, ktoré sú po ich aktivácii neviditeľné pre operačný systém a iné aplikácie vrátane antivírusových programov. Kvôli tomu ich nie je možné detegovať pomocou bežných kontrolných techník. V záložke Sieť môžete vypnúť alebo zapnúť Personálny firewall.
34
Sekcia Web a mail vám umožňuje nastaviť nasledujúce komponenty: Webová kontrola – Blokuje webovej stránky, ktoré môžu obsahovať potenciálne nežiadúci obsah. Okrem toho môže správca zakázať prístup na 27 predvolených kategórii webových stránok. Ochrana prístupu na web – Ak je zapnutá, všetka komunikácia cez HTTP alebo HTTPS je kontrolovaná na prítomnosť škodlivého kódu. Ochrana poštových klientov – zabezpečuje kontrolu poštovej komunikácie prijímanej prostredníctvom POP3 a IMAP protokolu. Antispamová ochrana – zabezpečuje filtrovanie nevyžiadaných emailových správ. Anti-phishing protection – Filtruje obsah webových stránok podozrivých z distribúcie obsahu za účelom manipulácie používateľov, aby poskytli svoje osobné údaje (napr. prihlásenie na iBanking). Pre dočasné pozastavenie ochrany jednotlivých modulov kliknite na zelené tlačidlo vystavujete váš systém bezpečnostnému riziku.
. Pozastavením ochrany
Pre zapnutie ochrany komponentov, ktoré ju majú pozastavenú, kliknite na červené tlačidlo
.
Poznámka: Ochrana pozastavená týmto spôsobom sa znova zapne po reštarte. Pre zobrazenie podrobných nastavení komponentu kliknite na ozubené koleso
.
V dolnej časti okna sa nachádzajú nasledujúce možnosti: Pre vloženie nastavení zo súboru .xml alebo pre uloženie nastavení do súboru kliknite na Import/Export nastavení. Viac informácii nájdete v kapitole Import/Export nastavení. Rozšírené nastavenia spustíte kliknutím na Rozšírené nastavenia alebo klávesovou skratkou F5.
3.9.1 Počítač Modul Počítač sa nachádza v hlavnom okne programu v sekcii Nastavenie > Počítač. Viac o tomto type ochrany sa môžete dočítať v predchádzajúcej kapitole. V tejto sekcii sú dostupné nasledujúce možnosti: Kliknite na ozubené koleso vedľa popisu Rezidentná ochrana a následne na Nastaviť vylúčenia pre otvorenie okna Vylúčenia. Vylúčenia umožňujú nastaviť súbory a adresáre, ktoré nemajú byť kontrolované. Poznámka: Nastavenia ochrany dokumentov je možné meniť v strome Rozšírených nastavení (F5) > Antivírus > Ochrana dokumentov. Pozastaviť antivírusovú a antispywarovú ochranu – Vyberte dobu, na ktorú chcete pozastaviť ochranu z roletového menu a kliknite na OK pre potvrdenie. Pre zapnutie pozastavenej ochrany kliknite na Zapnúť antivírusovú a antispywarovú ochranu. Nastavenie kontroly počítača... – kliknite pre zmenu nastavení kontroly počítača (prispôsobenej kontroly).
3.9.1.1 Antivírus Antivírus zabezpečuje komplexnú ochranu pred nebezpečnými programami ohrozujúcimi systém. Zahŕňa kontrolu súborov, emailov a internetovej komunikácie. V prípade zistenia infiltrácie ju dokáže eliminovať zablokovaním, následným vyliečením, zmazaním alebo presunutím do karantény. Nastavenia modulu Antivírus možno zmeniť v Rozšírených nastaveniach, ktoré otvoríte kliknutím na tlačidlo v programe alebo klávesovou skratkou F5. Nastavenia skenera pre všetky moduly ochrany (napr. rezidentnú ochranu, prístupu na web, ...) umožňujú povoliť alebo zakázať nasledovné detekcie: Potenciálne nechcené aplikácie (PUA) sú programy, ktoré síce nemusia predstavovať bezpečnostné riziko, avšak môžu mať negatívny vplyv na činnosť počítačového systému. Viac o tomto type aplikácii sa môžete dočítať v slovníku pojmov. Potenciálne zneužiteľné aplikácie zahŕňajú v prevažnej miere komerčný a legitímny software, ale v nesprávnych rukách môže dôjsť k ich zneužitiu na nekalé účely. Medzi príklady potenciálne zneužiteľných aplikácii môžme zaradiť nástroje vzdialeného prístupu, nástroje na prelomenie hesiel, keyloggery (programy zapisujúce každé 35
stlačenie klávesnice používateľom). Táto možnosť je v predvolených nastaveniach zakázaná. Viac o tomto type aplikácii sa môžete dočítať v slovníku pojmov. Podozrivé aplikácie sú programy prevažne nakazené malvérom, ktoré sú komprimované pomocou packerov alebo protektorov. Tieto druhy protektorov sú často využívané autormi malvéru na oklamanie kontroly počítača. Anti-Stealth ochrana je dômyselný systém na detekciu nebezpečných programov – rootkitov, ktoré sú po ich aktivácii neviditeľné pre operačný systém a iné aplikácie vrátane antivírusových programov. Kvôli tomu ich nie je možné detegovať pomocou bežných kontrolných techník. Vylúčenia umožňujú nastaviť súbory a adresáre, ktoré nemajú byť kontrolované. Za normálnych okolností sa neodporúča používať túto možnosť, ak si chcete byť istí, že všetky objekty sú kontrolované, či neobsahujú vírusy. Niekedy je však potrebné túto možnosť využiť, ak chceme vylúčiť niektoré objekty z kontroly. Napríklad, veľké databázové súbory, ktoré môžu spomaliť kontrolu počítača a databázový softvér môže byť s priebehom kontroly v konflikte. Pre postup vylúčenia objektu z kontroly si pozrite kapitolu Vylúčenia.
3.9.1.1.1 Našla sa hrozba Infiltrácie sa môžu do PC dostať z rôznych zdrojov: z webových stránok, zo zdieľaných adresárov, prostredníctvom emailu, z výmenných zariadení počítača (USB kľúče, externé disky, CD a DVD, diskety, a iné). Štandardné správanie V programe ESET Endpoint Security môžu byť infiltrácie zachytené pomocou: Rezidentnej ochrany súborového systému Ochrany prístupu na web Ochrany poštových klientov alebo Kontroly počítača, ktoré majú prednastavenú Štandardnú úroveň liečenia. Vtedy sa súbor pokúsi buď vyliečiť a presunúť do Karantény, alebo zruší spojenie. Notifikácie sa zobrazujú v paneli oznámení v pravej dolnej časti obrazovky. Pre viac informácií o jednotlivých úrovniach liečenia a správaní si, prosím, prečítajte kapitolu Liečenie.
36
Liečenie a mazanie Ak rezidentná ochrana nevie vybrať akciu, vyzve vás pomocou výstražného okna, aby ste akciu vybrali sami. Na výber sú spravidla akcie Liečiť, Zmazať a Ponechať. Možnosť Žiadna akcia sa neodporúča, nakoľko infiltrácia zostáva na svojom pôvodnom mieste a tak stále predstavuje potenciálnu hrozbu. Výnimkou je, ak máte úplnú istotu, že daný súbor bol ako infiltrácia detegovaný omylom.
Liečenie súboru sa dá aplikovať v prípade, že do zdravého súboru bola zavedená časť, ktorá obsahuje škodlivý kód. V tomto prípade má zmysel pokúsiť sa infikovaný súbor liečiť a získať tak naspäť pôvodný zdravý súbor. V prípade, že infiltráciou je súbor, ktorý obsahuje výlučne škodlivý kód, bude zmazaný. V prípade, že súbor s infiltráciou je „držaný“, napr. systémovým procesom, môže nastať situácia, že nebude vymazaný okamžite, ale až po jeho uvoľnení po reštarte počítača. Viaceré hrozby Ak pri kontrole počítača neboli niektoré infikované súbory vyliečené (prípadne úroveň liečenia bola nastavená na hodnotu Neliečiť), zobrazí sa okno s možnosťou výberu akcie pre jednotlivé súbory. Mazanie súborov v archívoch Ak bola detegovaná infiltrácia, ktorá sa nachádza zbalená v archívnom súbore, bude archív pri štandardnej úrovni liečenia vymazaný len v prípade, že obsahuje samotný súbor infiltrácie. Archív nebude zmazaný, ak okrem infiltrácie obsahuje aj neškodné zdravé súbory. Opatrnosť treba dodržiavať pri nastavení prísnej úrovne liečenia – v tomto prípade bude archív vymazaný, bez ohľadu na to, či jeho obsah tvoria aj zdravé súbory. Ak má váš počítač príznaky infekcie škodlivým kódom, tzn. je pomalší, zamŕza, a pod. odporúčame nasledovné kroky: V hlavnom okne programu kliknite na Kontrola počítača. Kliknite na možnosť Smart kontrola pre začatie kontroly vášho počítača. Kontrola počítača). Po ukončení kontroly preverte protokol so zoznamom skontrolovaných, infikovaných a vyliečených súborov. Ak chcete skontrolovať len určité časti svojho počítača, vyberte možnosť Prispôsobená kontrola a označte ciele kontroly.
37
3.9.1.2 Zdieľaná lokálna vyrovnávacia pamäť Zdieľaná lokálna vyrovnávacia pamäť zvyšuje výkon vo virtuálnych prostrediach tým, že predchádza duplicitnej kontrole na sieti. Každý súbor bude kontrolovaný len raz a uložený v lokálnej vyrovnávacej pamäti. Povoľte možnosť Možnosti používania vyrovnávacej pamäti pre ukladanie informácií o kontrolovaných súboroch na sieti do vyrovnávacej pamäti. Pri novej kontrole bude ESET Endpoint Security hľadať kontrolované súbory vo vyrovnávacej pamäti. Ak nájde zhodné súbory vylúči ich z kontroly. Nastavenia Servera vyrovnávacej pamäte obsahujú: Názov hostiteľa – Názov alebo IP adresa počítača, na ktorom sa nachádza vyrovnávacia pamäť. Port – Číslo portu použitého pre komunikáciu (rovnaké aké ste zadali pri nastavení zdieľanej lokálnej vyrovnávacej pamäti). Používateľské heslo – Ak je to potrebné, zadajte heslo.
3.9.1.3 Rezidentná ochrana Rezidentná ochrana sa spustí pri štarte systému a poskytuje nepretržitú kontrolu. Všetky súbory, ktoré sa v počítači otvárajú, vytvárajú alebo spúšťajú, sú kontrolované na prítomnosť infiltrácie.
Štandardne sa rezidentná ochrana spustí pri štarte systému a poskytuje nepretržitú kontrolu. V osobitných prípadoch (napr. ak dôjde ku konfliktu s iným rezidentným skenerom), je možné rezidentnú ochranu zastaviť odznačením tlačidla Automatický štart rezidentnej ochrany v sekcii Reazidentná ochrana v strome rozšírených nastavení. Kontrola médií Predvolene je nastavená kontrola všetkých typov médií: Lokálne disky – Lokálne pevné disky v počítači. Výmeniteľné médiá – Diskety, CD/DVD, USB kľúče, ... Sieťové disky – Mapované disky. Odporúčame používať predvolené nastavenia kontroly všetkých médií a meniť ich iba v špecifických prípadoch, napríklad keď pri kontrole určitého média vzniká výrazné spomalenie prenosu dát. 38
Vykonávať kontrolu pri týchto udalostiach Štandardne sa súbory kontrolujú pri otváraní, vykonávaní a vytváraní a tieto nastavenia odporúčame aj ponechať. Pri ponechaní týchto nastavení je zabezpečená kontrola všetkého diania v počítači. Otvorenie súboru – Zapne alebo vypne kontrolu súborov pri prístupe k súboru a jeho otváraní. Vytvorenie súboru – Zapne alebo vypne kontrolu vytváraných alebo modifikovaných súborov. Vykonanie súboru – Zapne alebo vypne kontrolu súborov pri ich spúšťaní. Prístup na vymeniteľné médiá – Zabezpečuje kontrolu pri prístupe na vybrané výmenné zariadenia. Platí len pre zariadenia s úložným priestorom. Vypnutie počítača – Zapne alebo vypne kontrolu pri vypnutí počítača. Rezidentná ochrana kontroluje rôzne typy médií a kontrola je vykonávaná pri rôznych udalostiach, napríklad pri prístupe k súboru. Pri kontrole sú používané detekčné metódy technológie ThreatSense (sú popísané v kapitole nastavenie parametrov ThreatSense). Správanie kontroly môže byť iné pri novovytvorených a existujúcich súboroch. Napríklad pri novovytvorených súboroch je možné nastaviť hlbšiu úroveň kontroly. Pre zabezpečenie minimálnych systémových nárokov pri použití rezidentnej ochrany, súbory, ktoré už boli skontrolované, nie sú kontrolované opakovane (pokiaľ neboli zmenené). Súbory sú kontrolované znova ihneď po každej aktualizácii vírusovej databázy. Toto správanie je kontrolované pomocou Smart optimalizácie. Pokiaľ je Smart optimalizácia zakázaná, všetky súbory sú kontrolované vždy, keď sa k nim pristupuje. Ak chcete túto možnosť zmeniť, otvorte okno Rozšírené nastavenia (stlačením klávesy F5) a kliknite na Počítač > Antivírus > Rezidentná ochrana. Kliknite na ThreatSense parametre, v sekcii Iný problém zapnite alebo vypnite voľbu Zapnúť Smart optimalizáciu.
3.9.1.3.1 Dodatočné ThreatSense parametre Doplňujúce parametre ThreatSense pre novovytvorené a upravené súbory – Pravdepodobnosť infiltrácie novovytvorených alebo modifikovaných súborov je vyššia ako u existujúcich súborov. To je dôvod, prečo program tieto súbory kontroluje s prídavnými parametrami. Spolu s kontrolou založenou na porovnávaní vzoriek sa využíva pokročilá heuristika, vďaka ktorým možno zachytiť nové hrozby skôr, ako vyjde aktualizácia vírusovej databázy. Okrem novovytvorených súborov sa kontrolujú aj samorozbaľovacie súbory (.sfx) a runtime archívy (interne komprimované spustiteľné súbory). Štandardne sú archívy kontrolované do desiatej úrovne vnorenia, bez ohľadu na ich veľkosť. Pre zmenu kontroly archivovaných súborov odznačte možnosť Štandardné nastavenie archívov. Viac informácii o Runtime archívoch, Samorozbaľovacích archívoch a Rozšírenej heuristike nájdete v kapitole Nastavenie skenovacieho jadra ThreatSense. Doplňujúce parametre ThreatSense pre spustené súbory – Predvolene sa rozšírená heuristika používa, keď sú dané súbory spúšťané. Odporúčame ponechať zapnutú Smart optimalizáciu a ESET Live Grid pre zmiernenie vplyvu na výkon vášho systému.
3.9.1.3.2 Úrovne liečenia Rezidentná ochrana pracuje v troch režimoch liečenia (pre zobrazenie nastavení v okne rozšírených nastavení (F5) kliknite na Antivírus > Rezidentná ochrana a kliknite na záložku ThreatSense parametre). Neliečiť – Infikované súbory sa nebudú automaticky liečiť. Používateľovi sa pri detekcii zobrazí varovné okno s možnosťou výberu akcie, ktorá sa má vykonať. Táto úroveň liečenia je určená pre pokročilých používateľov, ktorí vedia ako postupovať pri infiltráciách. Normálne liečenie – Program sa pokúsi infikované súbory automaticky liečiť, alebo zmazať na základe vopred definovanej akcie (v závislosti od typu infiltrácii). Detekcia a vymazanie infikovaného súboru je oznámená notifikáciou v pravom dolnom rohu obrazovky. Ak program nevie vybrať správnu akciu, zobrazí sa varovné okno s možnosťou výberu akcie. Možnosť výberu akcie sa zobrazí aj v momente, keď sa predvolenú akciu nepodarí vykonať. Prísne liečenie – Program vylieči, alebo zmaže všetky infikované súbory. Výnimku tvoria systémové súbory. Ak tieto nie je možné liečiť, je ponúknutá akcia, ktorá sa má vykonať. Varovanie: Pri detekcií infiltrácie v archívnom súbore sú dve možnosti: Pri štandardnom liečení bude archívny súbor zmazaný len v prípade, že obsahuje samotný súbor s infiltráciou. V Prísnom liečení bude komprimovaný súbor 39
(archív) zmazaný aj v prípade, že obsahuje ďalšie súbory neobsahujúce infiltráciu.
3.9.1.3.3 Kontrola rezidentnej ochrany Či je rezidentná ochrana funkčná a deteguje vírusy je možné otestovať pomocou testovacieho súboru eicar.com. Jedná sa o súbor, ktorý je detegovaný antivírusovými programami. Súbor bol vytvorený spoločnosťou EICAR (European Institute for Computer Antivirus Research) na otestovanie funkčnosti antivírusových programov. Súbor eicar.com je dostupný k stiahnutiu na adrese http://www.eicar.org/download/eicar.com. Poznámka: Pred kontrolou rezidentnej ochrany je potrebné vypnúť Personálny firewall. Ak je firewall zapnutý, súbor bude detegovaný už pri sťahovaní, čo znemožní kontrolu. Nezabudnite firewall zapnúť hneď po ukončení kontroly rezidnetnej ochrany.
3.9.1.3.4 Kedy meniť nastavenia rezidentnej ochrany Rezidentná ochrana je kľúčovým modulom zabezpečujúcim ochranu počítača. Preto pri zmenách nastavení treba byť obozretný. Rezidentnú ochranu odporúčame meniť len v špecifických prípadoch. Po inštalácií ESET Endpoint Security sú nastavenia prednastavené tak, aby zabezpečovali používateľovi maximálnu bezpečnosť systému. Pre obnovenie predvolených nastavení kliknite na tlačidlo v okne rozšírených nastavení (Rozšírené nastavenia (F5) a kliknite na Antivírus > Rezidentná ochrana).
3.9.1.3.5 Čo robiť, ak nefunguje rezidentná ochrana V nasledujúcej kapitole si popíšeme problémové stavy, ktoré môžu nastať s rezidentnou ochranou a ako pri nich postupovať. Rezidentná ochrana je vypnutá Ak bola rezidentná ochrana vypnutá používateľom, opätovne ju aktivujte. Pre aktivovanie rezidentnej ochrany otvorte hlavné okno programu a kliknite na Nastavenia > Počítač, kliknite na prepínač pri popise Rezidentná ochrana. Ak sa nespúšťa rezidentná ochrana pri štarte operačného systému, pravdepodobne je vypnutá voľba Automatický štart rezidentnej ochrany. Ak chcete túto možnosť zmeniť, otvorte okno Rozšírených nastavení (F5) a kliknite na Antivírus > Rezidentná ochrana > Základné. Uistite sa, že možnosť Automatický štart rezidentnej ochrany je zapnutá. Rezidentná ochrana nedeteguje a nelieči infiltrácie Uistite sa, či nemáte nainštalovaný antivírusový program od inej spoločnosti. Medzi dvomi rezidentnými ochranami môže dochádzať ku konfliktu. Odporúčame preto odinštalovať akýkoľvek iný antivírusový program zo systému. Rezidentná ochrana sa nespúšťa pri štarte Ak sa nespúšťa rezidentná ochrana pri štarte operačného systému, a možnosť Automatický štart rezidentnej ochrany je zapnutá, dochádza ku konfliktu s iným programom. V takomto prípade odporúčame kontaktovať technickú podporu spoločnosti ESET.
3.9.1.4 Kontroly počítača Dôležitou súčasťou ESET Endpoint Security je aj prispôsobená kontrola na požiadanie (On-demand skener), ktorá umožňuje manuálnu kontrolu diskov, jednotlivých priečinkov a súborov na počítači. Z bezpečnostného hľadiska je žiadúce, aby kontrola počítača bola spúšťaná nielen pri podozrení na infikované súbory, ale v rámci prevencie aj priebežne. Kontrolu disku odporúčame vykonávať v určitých časových intervaloch, aby sa detegovali prípadné vírusy, ktoré v čase zápisu na disk neboli zachytené pomocou Rezidentnej ochrany súborového systému. Takáto situácia môže nastať, ak bola rezidentná ochrana v tom čase vypnutá, alebo vírusová databáza bola zastaraná, prípadne program tento konkrétny vírus nedetegoval v čase zápisu na disk. Na výber sú dva typy kontroly počítača. Kontrola lokálnych diskov slúži na rýchle spustenie kontroly počítača bez nastavovania ďalších parametrov kontroly. Prispôsobená kontrola naopak umožňuje vybrať si z rôznych prednastavených profilov skenovania a určiť ciele kontroly. 40
Viac informácií nájdete v kapitole Priebeh kontroly. Kontrola lokálnych diskov Spustením Štandardnej kontroly je možné zabezpečiť kontrolu počítača prostredníctvom definovaného profilu Hĺbková kontrola počítača, ktorý je štandardne nastavený na liečenie infikovaných súborov bez nutnosti interakcie používateľa. Výhodou štandardnej kontroly je rýchle spustenie skenovania, bez nutnosti nastavovania. Kontrolujú sa všetky súbory na lokálnych diskoch. Detegované infiltrácie budú automaticky vyliečené alebo zmazané. Úroveň liečenia je automaticky nastavená na štandardnú hodnotu. Podrobnejšie informácie o type liečenia sa nachádzajú v kapitole Liečenie. Prispôsobená kontrola Prispôsobená kontrola je užitočná v prípade, že chcete vybrať konkrétne ciele kontroly a metódy skenovania počítača. Výhodou je možnosť vlastného nastavenia všetkých podrobností kontroly. Tieto nastavenia sa dajú uložiť do tzv. profilov. To je užitočné najmä vtedy, ak chcete vykonávať pravidelnú vlastnú kontrolu počítača s vašimi obľúbenými nastaveniami. Ak si želáte skontrolovať len špecifické súbory na disku, kliknite na Kontrola počítača > Prispôsobená kontrola, z roletového menu Ciele kontroly vyberte príslušnú možnosť, resp. príslušné cieľové umiestnenie z adresárovej (stromovej) štruktúry. Editovací riadok pod adresárovou stromovou štruktúrou slúži na rýchly presun k zvolenému cieľu (adresáru alebo súboru). Ak chcete spustiť kontrolu systému bez liečenia, zaškrtnite políčko Kontrolovať bez liečenia. Máte na výber tri úrovne liečenia, ktoré je možno nastaviť po kliknutí na Nastaviť... v časti Threatsense parametre > Liečenie. Použivanie prispôsobenej kontroly je navrhnuté pre skúsených používateľov, ktorí majú skúsenosti s antivírovými programami. Kontrola vymeniteľných médií Funguje podobne ako Kontrola lokálnych diskov, ktorá spustí rýchlu kontrolu vymeniteľných médií pripojených do počítača (ako napr. CD, DVD a USB). Toto môže byť užitočné v prípade, ak pripojíte USB kľúč do počítača a želáte si skontrolovať jeho obsah, či neobsahuje nejaké vírusy alebo iné potenciálne hrozby. Tento typ kontroly počítača je možné vyvolať aj kliknutím na možnosť Prispôsobená kontrola, potom z roletového menu Ciele kontroly zvoľte možnosť Vymeniteľné médiá a kliknite na Kontrolovať. Môžete použiť možnosť Akcia po kontrole a vybrať z roletového menu akciu, ktorá sa vykoná po dokončení kontroly (sú dostupné možnosti: Žiadna akcia, Vypnúť, Reštartovať). Povoliť vypnutie počítača po kontrole – Umožňuje plánované vypnutie na požiadanie, keď skončí kontrola počítača. Po skončení kontroly sa spustí dialóg o potvrdení vypnutia alebo reštartovania počítača s 60 sekundovým intervalom, v ktorom je možné vypnutie zrušiť. Kliknutím na Zrušiť zrušíte vypnutie alebo reštart počítača. Poznámka: Odporúča sa, aby kontrola prebehla raz za 1-2 mesiace. Kontrolu je možné nastaviť aj ako plánovanú úlohu v hlavnom okne cez Nástroje > Plánovač.
3.9.1.4.1 Spustenie prispôsobenej kontroly Ak si želáte skontrolovať len špecifické súbory na disku, môžete použiť nástroj Prispôsobená kontrola. Kliknite na Kontrola počítača > Prispôsobená kontrola a z roletového menu Ciele kontroly vyberte príslušnú možnosť, resp. príslušné cieľové umiestnenie z adresárovej (stromovej) štruktúry. Ciele kontroly slúžia na výber objektov (pamäte, diskov, sektorov, súborov a adresárov), ktoré majú prejsť kontrolou na infiltrácie. Voľbou cieľov z výberového menu môžete vybrať ciele kontroly spomedzi všetkých zariadení počítača. Roletové menu Ciele kontroly umožňuje vybrať kontrolované objekty: Podľa nastavenia profilu – vykoná výber cieľov uložených v profile. Výmenné disky – Diskety, USB flash disky, CD/DVD. Lokálne disky – Lokálne pevné disky v počítači. Sieťové disky – Mapované disky. Bez výberu – Zruší každý nastavený výber. 41
Editovací riadok pod adresárovou stromovou štruktúrou slúži na zadanie cesty k zvolenému cieľu (adresáru alebo súboru). Priame zadanie je to možné len ak je v roletovom menu Ciele kontroly nastavená možnosť Bez výberu.
Infikované objekty pri detekcií nebudú automaticky liečené. Kontrolou bez liečenia môže byť získaný prehľad o aktuálnom stave systému a potrebách liečenia. Ak chcete spustiť kontrolu systému bez liečenia, zaškrtnite políčko Kontrolovať bez liečenia. Máte na výber tri úrovne liečenia, ktoré je možno nastaviť po kliknutí na Nastaviť v časti Liečenie. Informácie o kontrole sa zobrazia po skončení kontroly a budú zapísané do protokolu. Profil konfigurácie, s ktorým bude vykonaná kontrola zvolených cieľov môžete vybrať z roletového menu Profil kontroly. Predvolený profil je Smart kontrola počítača. Sú dostupné ďalšie dva preddefinované profily: Hĺbková kontrola počítača a Kontrola počítača z kontextového menu. Tieto profily používajú rôzne nastavenia parametrov skenovacieho jadra ThreatSense. Po kliknutí na tlačidlo Nastaviť... sa zobrazia podrobné nastavenia kontroly. počítača Dostupné možnosti sú popísané v časti Iný problém v nastaveniach ThreatSense parametrov. Kliknite na Uložiť pre uloženie aktuálnych nastavení cieľov kontroly, vrátane aktuálneho výberu v adresárovej stromovej štruktúre. Kliknite na Kontrolovať pre spustenie kontroly počítača s parametrami, ktoré sú nastavené. Kontrolovať ako Administrátor spúšťa kontrolu počítača pod používateľom Administrátor. Túto možnosť je vhodné použiť, ak prihlásený používateľ nemá dostatočné privilégia na prístup k príslušným súborom, ktoré sa majú kontrolovať. Táto možnosť nie je dostupná ak tento užívateľ nemôže vyvolať operácie UAC (kontroly používateľských kont) ako administrátor.
42
3.9.1.4.2 Priebeh kontroly Okno priebehu kontroly zobrazuje aktuálny stav kontroly a zoznam súborov, ktoré môžu obsahovať škodlivý kód.
Poznámka: Je v poriadku, ak určité typy súborov, ako napríklad dáta chránené heslom alebo súbory využívané systémom (napr. pagef ile.sys a niektoré súbory logov), nemôžu byť skontrolované. Priebeh kontroly zobrazuje pomer skontrolovaných súborov oproti súborom, ktoré čakajú na kontrolu. Stav priebehu kontroly je určovaný podľa celkového počtu objektov zahrnutých do kontroly. Cieľ – Názov aktuálne kontrolovaného súboru a jeho umiestnenie. Objekty – Zobrazuje celkový počet kontrolovaných súborov, nájdených infiltrácii, či infiltrácii vyliečených počas kontroly. Pozastaviť – Zastaví kontrolu. Pokračovať – Táto možnosť sa zobrazí po pozastavení kontroly. Kliknite na Pokračovať pre pokračovanie v pozastavenej kontrole. Zastaviť – Preruší a ukončí kontrolu. Rolovanie výpisu protokolu o kontrole – Po zapnutí tejto možnosti, pole Protokol sa bude automaticky načítavať ďalej s pribúdajúcimi položkami tak, aby boli viditeľné tie najnovšie.
43
3.9.1.5 Správa zariadení ESET Endpoint Security poskytuje automatickú kontrolu nad externými zariadeniami (CD/DVD/USB/...). Tento modul umožňuje kontrolovať (skenovať), blokovať a nastaviť im rozšírené prístupové práva a pravidlá na filtrovanie prístupu k zariadeniu. Toto môže byť užitočné v prípade, že administrátor chce, aby používatelia nemohli používať externé zariadenia s nevyžiadaným obsahom. Podporované externé zariadenia Diskové úložisko (HDD alebo USB výmenné médiá) CD/DVD/Blu-ray USB tlačiareň FireWire úložisko Zariadenie Bluetooth Čítačka smart kariet Obrazové zariadenie Modem Port LPT/COM Prenosné zariadenie Všetky typy zariadení Nastavenia správy zariadení je možné meniť v Rozšírených nastaveniach (F5) > Správa zariadení. Možnosť Integrácia do systému zapína funkcionalitu správy zariadení programu ESET Endpoint Security. Pre dokončenie zmeny tejto konfigurácie bude potrebný reštart operačného systému. Zároveň sa vedľa popisu Pravidlá správy zariadení aktivuje tlačidlo Nastaviť.., ktoré otvára okno Pravidiel správcu zariadení. Ak sa vložené zariadenie zhoduje s existujúcim pravidlom, ktoré vykonáva akciu Blokovať, v pravom dolnom rohu sa zobrazí notifikácia a prístup na zariadenie nebude povolený.
44
3.9.1.5.1 Pravidlá Okno Pravidlá zobrazuje používateľské pravidlá umožňujúce kontrolovať vymeniteľné médiá pripojené k počítaču.
Špecifické vymeniteľné médiá môžu byť povolené alebo blokované vzhľadom na používateľa alebo skupinu používateľov podľa vybraných parametrov nastavených v pravidle. Zoznam pravidiel pozostáva z niekoľkých parametrov, ako sú meno, typ vymeniteľné média, akcia vykonaná po pripojení média a rozsah vytvorených protokolov. Kliknite na Pridať alebo Upraviť na úpravu pravidla. Zrušte možnosť Zapnuté ak chcete pravidlo vypnúť (táto možnosť je užitočná, ak nechcete pravidlo zmazať len dočasne zakázať) alebo na Zmazať pre odstránenie pravidla. Pre automatické vyplnenie parametrov z pripojeného zariadenia kliknite na Načítať. Kliknutím na pravidlo môžete aplikovať akciu ako napríklad Presunúť Na vrch/Hore/Dole/Na spodok, na zvolené pravidlo. Pravidlá, ktoré sú v zozname vyššie majú väčšiu prioritu. Protokoly správy zariadení sú prístupné z menu hlavného okna programu v sekcii Nástroje > Protokoly.
45
3.9.1.5.2 Pridanie pravidiel správy zariadení Pravidlo správy zariadení definuje akciu, ktorá bude vykonaná pri pripojení zariadenia spĺňajúceho kritériá v pravidle.
Do poľa Meno vložte popis pravidla pre jeho lepšiu identifikáciu. Tlačidlo Zapnuté aktivuje alebo deaktivuje konkrétne pravidlo čo je užitočné v prípade, ak si neželáte vymazať pravidlo natrvalo. Typ zariadenia Z rolovacieho menu vyberte typ externého zariadenia. Typ zariadenia je prevzatý od operačného systému a je uvedený v systémovom Správcovi zariadení (Device manager), ak je zariadenie pripojené k počítaču. Úložné zariadenia môžu byť externé disky alebo čítačky pamäťových kariet pripojené cez USB alebo FireWire. Čítačky Smart kariet chránia používateľov integrovaným obvodom, sú to napríklad SIM karty alebo overovacie karty. Medzi zobrazovacie zariadenia patria napríklad skenery alebo digitálne fotoaparáty, ktoré neposkytujú informáciu o používateľovi iba o jeho akciách. Z toho vyplýva, že môžu byť blokované len globálne pre všetkých používateľov. Akcia Prístupové práva k zariadeniam bez úložiska môžu byť povolené/blokované. Prístupové práva k zariadeniam s úložiskom môžu byť nasledovné: Čítanie/Zápis – Všetky práva nad externým zariadením. Blokovať – Prístup k zariadeniu nebude povolený. Iba na čítanie – Používateľ pristupuje k súborom, ale nemôže do nich zapisovať, či ukladať na zariadenie. Upozorniť – Používateľ bude upozornený, že je zariadenie povolené/blokované a bude vytvorený protokol. Až do opätovného pripojenia je zariadenie povolené a je vytvorený protokol. Niektoré akcie nemusia byť podporované pri niektorých zariadeniach. Ak má však zariadenie úložisko, všetky štyri akcie sú dostupné. Pre zariadenia bez úložiska sú dostupné len tri akcie (napríklad akcia Iba na čítanie nie je dostupná pri zariadeniach s Bluetooth, tieto zariadenia sa dajú len povoliť, blokovať alebo upozorniť). Typ kritéria – Zvoľte Zariadenie alebo Skupinu zariadení. Nasledujúce parametre môžu byť použité na vyladenie pravidla, tak aby bolo platné pre vybrané zariadenie. Všetky parametre rozlišujú malé a veľké písmená: 46
Výrobca/skupina dodávateľov – Filtrovanie podľa výrobcu alebo ID. Model/skupina modelov – Názov daného zariadenia. Sériové číslo/skupina sériových čísel – Externé zariadenia majú zvyčajne svoje vlastné sériové číslo. V prípade CD/ DVD sa jedná o sériové číslo daného média, nie CD mechaniky. Poznámka: Ak sú hore spomenuté popisy prázdne, pravidlo bude tieto polia počas filtrovania ignorovať. Parametre vo všetkých poliach okna rozlišujú malé a veľké písmená a nepoužívajú špeciálne znaky (*, ?). Tip: Pre zistenie parametrov zariadenia pripojeného k počítaču najprv vytvorte pravidlo pre povolenie daného typu zariadení a po pripojení zariadenia k počítaču zistite jeho parametre v Protokole správcu zariadení. Závažnosť Vždy – Vytvára protokol zo všetkej komunikácie pre potreby hľadania závad a riešenia problémov. Diagnostika – Vytvára protokol z komunikácie dôležitej pre ladenie programu a všetky nasledujúce úrovne. Informácie – Zobrazované budú informačné správy napríklad o úspešnej aktualizácií a všetky nasledujúce úrovne. Upozornenie – Zobrazované budú varovné správy, chyby a kritické chyby. Žiadne – Infikované súbory sa nebudú automaticky liečiť. Pravidlo môže byť obmedzené len na určitých používateľov alebo skupín používateľov ich pridaním do Zoznamu používateľov: Pridať – Otvorí okno Vybrať objekty typu: Používatelia, Skupiny alebo Vstavané autority zabezpečenia kde je možné vybrať konkrétnych používateľov. Zmazať – Odoberie vybraného používateľa zo zoznamu. Poznámka: Všimnite si, že všetky typy zariadení sa dajú kontrolovať pomocou používateľských pravidiel (napríklad zobrazovacie zariadenia neposkytujú informácie o užívateľoch, ktorí ich používajú len o ich akciách).
3.9.1.6 Vymeniteľné médiá ESET Endpoint Security poskytuje automatickú kontrolu nad externými zariadeniami (CD/DVD/USB/...). Tento modul vám umožňuje skontrolovať vymeniteľné médium. Toto môže byť užitočné v prípade, že administrátor chce, aby používatelia nemohli používať externé zariadenia s nevyžiadaným obsahom. Vykonať akciu po vložení vymeniteľného média – Vyberte predvolenú akciu, ktorá bude vykonaná po pripojení vymeniteľného média do počítača (CD/DVD/USB). Ak je označená možnosť Zobraziť možnosti kontroly, zobrazí sa bublinové oznámenie, v ktorom je možné zvoliť požadovanú akciu: Nekontrolovať – Žiadna akcia sa nevykoná a okno Rozpoznané nové zariadenie sa zatvorí. Automaticky skontrolovať zariadenie – Spustí sa kontrola výmenného zariadenia. Zobraziť možnosti kontroly – Zobrazenie podrobných nastavení výmenných médií.
ESET Endpoint Security obsahuje tiež Správcu zariadení, ktorý dovoľuje používateľom vytvárať pravidlá pre vymeniteľné média. Viac informácií nájdete v kapitole Správa zariadení či sa verzia vírusovej databázy znížila.
47
3.9.1.7 Kontrola v nečinnosti Nastavenia pre kontrolu v nečinnosti sa nachádzajú v Rozšírených nastaveniach vo vetve Antivírus > Kontrola v nečinnosti > Základné. Pre zapnutie kontroly v nečinnosti kliknite na prepínač vedla popisu Zapnúť kontrolu v nečinnosti . Ak je počítač v nečinnosti, na pozadí sa spúšťa kontrola všetkých diskov počítača. O všetkých podmienkach spustenia kontroly v nečinnosti sa dočítate v kapitole detektorov stavu nečinnosti. V predvolených nastaveniach programu sa kontrola nečinnosti nespúšťa ak je počítač (laptop) napájaný z batérie. Túto podmienku zrušíte kliknutím na možnosť Spustiť aj keď počítač beží z batérie v Pokročilých nastaveniach. Kliknite na Vytvárať protokol ak chcete z kontroly v nečinnosti vytvárať protokol, ktorý nájdete v časti Protokoly (hlavného okna programu kliknite Nástroje > Protokoly a z roletového menu Protokol označte Kontrola počítača). Kontrola v stave nečinnosti je spustená ak je detegovaný jeden z nasledujúcich stavov nečinnosti: Šetrič obrazovky Uzamknutie počítača Odhlásenie používateľa Kliknite na ThreatSense parametre pre nastavenia metód detekcie, vylúčení atď. pre kontrolu v stave nečinnosti.
3.9.1.8 HIPS (Host-based Intrusion Prevention System). Ak nie ste skúsený používateľ, neodporúčame meniť nastavenia systému HIPS. Nesprávna konfigurácia nastavení HIPS môže viesť k nestabilite systému. HIPS (Host-based Intrusion Prevention System) chráni váš systém pred škodlivým kódom a eliminuje aktivity ohrozujúce bezpečnosť vášho počítača. Používa pokročilú analýzu správania kódu, ktorá spolu s detekčnými schopnosťami sieťového filtra zabezpečuje sledovanie bežiacich procesov, súborov a záznamov v registroch. HIPS je samostatný od firewallu aj od rezidentnej ochrany, sleduje len procesy bežiace v rámci operačného systému. Nastavenia HIPS sa nachádzajú v Rozšírených nastaveniach (F5) v záložke Antivírus > HIPS. Stav systému HIPS (zapnutý/vypnutý) sa zobrazuje v hlavnom okne ESET Endpoint Security, v sekcii Nastavenia > Počítač.
48
ESET Endpoint Security má vstavanú technológiu Self -def ense aby sa zabránilo pokusom škodlivých softvérov o narušenie alebo blokovanie ochrany. Zmeny v nastaveniach Zapnúť HIPS a Zapnúť Self-Defense sa prejavia až po reštarte systému Windows. Z tohto dôvodu sa aj vypnutie celého systému HIPS prejaví až po reštarte. Pokročilá kontrola pamäte pracuje spolu s funkciou Exploit Blocker na zvýšení ochrany proti malvéru, ktorý bol navrhnutý tak aby obišiel detekciu bezpečnostných produktov jej oklamaním a/alebo šifrovaním. Táto možnosť je v predvolených nastaveniach povolená. Viac o tomto type ochrany sa môžete dočítať v Slovníku pojmov. Exploit Blocker je navrhnutý na ochranu najčastejšie zneužívaných aplikácií, ako napríklad internetových prehliadačov, prehliadačov PDF dokumentov, mailových klientov a komponentov MS Office. Táto možnosť je v predvolených nastaveniach povolená. Viac o tomto type ochrany sa môžete dočítať v Slovníku pojmov. Filtrovanie HIPS je možné nastaviť do jedného z nasledovných režimov: Automatický režim – Operácie budú povolené, s výnimkou preddefinovaných pravidiel, ktoré by mohli poškodiť váš systém. Smart režim – Používateľ bude informovaný o každej podozrivej udalosti. Interaktívny režim – Používateľ bude na operácie opýtaný. Režim politiky – Operácie, ktoré nie sú definované pravidlom, môžu byť blokované. Učiaci sa režim – Operácie sú dovolené a zároveň je vytvorené pravidlo, ktoré ich dovoľuje. Pravidlá vytvorené týmto režimom sú viditeľné v editore pravidiel ale majú nižšiu prioritu ako pravidlá vytvorené ručne alebo z dotazovacieho dialógu. Pri zapnutom učiacom sa režime sa sprístupní políčko Upozorniť na ukončenie učiaceho sa režimu za X dní. Po nastavenom počte dní v možnosti Upozorniť na ukončenie učiaceho sa režimu za X dní sa učiaci sa režim zakáže znova. Maximálny počet dní je 14. Po uplynutí tohto času sa zobrazí dialóg, z ktorého je možné upravovať pravidlá a používateľ si musí vybrať iný režim filtrovania. Systém HIPS monitoruje udalosti vo vnútri operačného systému a reaguje na ne podľa pravidiel, ktoré sú štruktúrou podobné pravidlám personálneho firewallu.
49
3.9.1.8.1 Rozšírené nastavenia Nasledujúce možnosti sú užitočné pre ladenie (debugovanie) a analýzu správania sa aplikácií. Drivery majú vždy povolené sa načítať – Vybrané drivery sú vždy načítané podľa zvoleného režimu filtrovania, až dokým nie sú výslovne zablokované pravidlom používateľa. Zapisovať všetky zablokované operácie do protokolu – Všetky zablokované operácie sa zapíšu do HIPS protokolu. Upozorňovať na zmeny v zozname aplikácii automatický spúšťaných po štarte – Ak pribudne alebo ubudne aplikácia zo zoznamu aplikácii spúšťaných po štarte, zobrazí sa bublinové upozornenie. Aktuálny popis k týmto nastaveniam nájdete v nasledujúcom článku databázy znalostí ESET.
3.9.1.8.2 HIPS interaktívne okno Ak je akcia v pravidle nastavená na Pýtať sa, po spustení pravidla sa zobrazí dialógové okno s výberom možností. Umožňuje vybrať či má byť operácia povolená alebo zakázaná. Ak používateľ nezvolí odpoveď vo vyhradenom čase, vyberie sa pomocou pravidiel nová akcia tak, ako keby žiadne pravidlo prikazujúce opýtanie sa neexistovalo.
Dialógové okno tiež umožňuje vytvorenie pravidla, ktoré má podmienky nastavené podľa udalosti, ktorá vyvolala tento dialóg. Nastavenia špecifických parametrov sa zobrazia po kliknutí na Viac informácií. Takto vytvorené pravidlá sa vyhodnocujú rovnako, ako keby boli zadané ručne, teda pravidlo vytvorené z dotazovacieho dialógu môže byť menej špecifické ako pravidlo, ktoré tento dialóg vyvolalo. To znamená, že po jeho vytvorení sa môže pri rovnakej udalosti zobraziť ďalší dialóg, ak parametre z predchádzajúcej situácie nesedia na novú situáciu. Dočasne si zapamätať akciu pre tento proces spôsobí, že zvolená akcia (Povoliť/Zakázať) sa zapamätá pre tento proces a platí len po najbližšiu zmenu pravidiel, režimu filtrovania, aktualizáciu HIPS modulu alebo reštart systému. Po vykonaní jednej z horeuvedených činností budú dočasné pravidlá zmazané.
50
3.9.1.9 Prezentačný režim Prezentačný režim je funkcia určená pre používateľov, ktorí musia neprerušovane používať svoj softvér a neželajú si byť vyrušovaní notifikáciami a dialógovými oknami, taktiež požadujú minimálne vyťaženie procesora antivírusom. Prezentačný režim možno použiť aj pri prezentáciách, ktoré by mohli byť prerušené notifikáciami programu. Zapnutím prezentačného režimu budú zakázané všetky notifikácie programu a aktivity plánovača. Samotná ochrana beží ďalej v pozadí, ale nevyžaduje žiadne zásahy používateľa. Kliknite na Nastavenie > Počítač a kliknite na Prezentačný režim pre manuálne zapnutie prezentačného režimu. V Rozšírených nastaveniach (F5), kliknite na Nástroje > Prezentačný režim, a povoľte možnosť Automaticky zapnúť prezentačný režim pri spustení aplikácie v režime na celú obrazovku. ESET Endpoint Security teraz spustí prezentačný režim hneď ako sa spustí aplikácia na celú obrazovku. Zapnutie prezentačného režimu môže predstavovať potenciálne bezpečnostné riziko, a preto sa ikonka ochrany na lište zmení na oranžovú. Zobrazí sa tiež oranžové varovné hlásenie v hlavnom okne: Prezentačný režim je zapnutý. Po zaškrtnutí možnosti Automaticky zapnúť prezentačný režim pri spustení aplikácie v režime na celú obrazovku sa Prezentačný režim automaticky zapne po spustení aplikácie na celú obrazovku a po jej skončení sa vypne. Táto možnosť je užitočná pre okamžité spustenie prezentačného režimu po spustení aplikácie na celú obrazovku alebo začatí prezentácie. Môžete si tiež zvoliť možnosť Automaticky vypnúť prezentačný režim po X minútach zaškrtnutím tejto možnosti a zvolením požadovaného časového úseku. Poznámka: Ak je personálny firewall v interaktívnom režime a zapnete prezentačný režim, môžu sa vyskytnúť problémy s pripojením sa do internetu. To môže byť problematické ak napríklad spustíte program, ktorý sa pripája do internetu. Je to spôsobené tým, že za bežných okolností by si firewall vyžiadal používateľské potvrdenie pripojenia (ak nie sú definované žiadne pravidlá alebo výnimky pre spojenia), ale v prezentačnom režime sú všetky vyskakovacie okná vypnuté. Riešením je definovať pravidlá alebo výnimky pre každú aplikáciu, ktorá by mohla mať konflikt s týmto správaním sa alebo zvoliť si iný režim filtrovania v personálnom firewalle. Majte tiež na pamäti, že ak pri zapnutom prezentačnom režime pracujete s aplikáciou alebo stránkou, ktorá predstavuje potenciálne riziko, bude zablokovaná. Nezobrazí sa žiadne vysvetlenie alebo varovanie, lebo sú vypnuté všetky akcie vyžadujúce zásah používateľa.
3.9.1.10 Kontrola po štarte Pri predvolených nastaveniach programu pri štarte ESET Endpoint Security prebehne kontrola súborov spúšťaných pri štarte a aktualizácia vírusovej databázy. Táto kontrola závisí od nastavenia Plánovača a úloh. Nastavenia kontroly po štarte sú súčasťou plánovanej úlohy s názvom Kontrola súborov spúšťaných po štarte. Pre zmenu/zobrazenie týchto nastavení kliknite na Nástroje > Plánovač, označte položku Kontrola súborov spúšťaných po štarte a kliknite na Upraviť.... V poslednom kroku sa zobrazí okno Kontrola súborov spúšťaných po štarte počítača (pre viac informácií kliknite na odkaz). Pre podrobné inštrukcie ohľadom vytvárania a správy plánovaných úloh si pozrite kapitolu Vytvorenie novej úlohy.
3.9.1.10.1 Kontrola súborov spúšťaných po štarte počítača Pri vytváraní úlohy Kontrola súborov spúšťaných po štarte počítača v plánovači máte na výber nasledujúce možnosti: V roletovom menu Úroveň kontroly sa určuje hĺbka kontroly súborov spúšťaných pri štarte operačného systému. Ich poradie je určené podľa počtu kontrolovaných súborov: Všetky registrované súbory (najviac kontrolovaných súborov) Zriedkavo používané súbory Bežne používané súbory Často používané súbory Iba najčastejšie používané súbory (najmenej kontrolovaných súborov)
51
Patria sem aj dve špeciálne skupiny: Súbory spustené pred prihlásením používateľa – Obsahuje množstvo súborov z umiestnení, z ktorých sa môžu spúšťať súbory bez toho, aby bol používateľ prihlásený (zahŕňa takmer všetky startup lokácie ako napr. services, browser helper objects, winlogon notify, položky plánovača systému Windows, známe dll súbory, atď.). Súbory spustené po prihlásení používateľa – Obsahuje menšie množstvo súborov z umiestnení, z ktorých sa spúšťajú súbory po prihlásení používateľa (zahŕňa súbory, ktoré sa spúšťajú iba pre daného používateľa, napr. HKEY_CURRENT_USER\SOFTWARE\Microsof t\Windows\CurrentVersion\Run). Zoznamy súborov na kontrolu sú pre každú skupinu pevne definované. Priorita kontroly – Priorita, s ktorou bude spustená kontrola: Počas nečinnosti – v momente, keď nie sú vykonávané žiadne iné činnosti, Najnižší – zaťaženie systému je najnižšie možné, Nižší – zaťaženie systému je nižšie, Normálny – zaťaženie systému je normálne.
3.9.1.11 Ochrana dokumentov Modul ochrany dokumentov kontroluje dokumenty Microsoft Office pred ich otvorením a kontroluje objekty pri automatickom sťahovaní pomocou programu Internet Explorer, napríklad prvky Microsoft ActiveX. Ochrana dokumentov poskytuje dodatočnú vrstvu ochrany k modulu Rezidentnej ochrany súborového systému. Ochrana dokumentov môže byť zakázaná pre účely zvýšenia výkonu v operačných systémoch Windows, ktoré nie sú vystavované veľkým počtom dokumentov balíka Microsoft Office. Integrácia do systému aktivuje systém ochrany dokumentov. Ak chcete túto možnosť zmeniť, otvorte okno Rozšírené nastavenia (stlačením klávesy F5) a kliknite na Antivírus > Ochrana dokumentov. Tento modul pracuje iba s aplikáciami, ktoré podporujú rozhranie Microsoft Antivirus API (napríklad Microsoft Office 2000 od verzie 9.0 a Microsoft Internet Explorer od verzie 5.0).
3.9.1.12 Vylúčenia Vylúčenia umožňujú nastaviť súbory a adresáre, ktoré nemajú byť kontrolované. Za normálnych okolností sa neodporúča používať túto možnosť, ak si chcete byť istí, že všetky objekty sú kontrolované, či neobsahujú vírusy. Niekedy je však potrebné túto možnosť využiť, ak chceme vylúčiť niektoré objekty z kontroly. Napríklad, veľké databázové súbory, ktoré môžu spomaliť kontrolu počítača a databázový softvér môže byť s priebehom kontroly v konflikte (napríklad zálohovací softvér). Postup na vylúčenie objektu zo kontroly: 1. Kliknite Pridať, 2. Zadajte cestu k požadovanému objektu, alebo vyhľadajte požadovaný súbor a adresár. Pri vylúčení súborov z testovania môžu byť použité zástupné znaky pre pokrytie skupiny súborov. Otáznik "?" na nahradenie jedného ľubovoľného znaku a hviezdička "*" na nahradenie ľubovoľnej postupnosti znakov. Príklady Ak chceme vylúčiť vo zvolenom adresáre všetky súbory, zadáme cestu k adresáru a použijeme masku “*.*“. Pre vylúčenie celého disku, vrátane všetkých súborov a podadresárov, môžeme použiť masku "D:\*". V prípade vylúčenia všetkých .doc súborov, použijeme masku “*.doc“. Ak má meno spustiteľného súboru určitý počet znakov a my nevieme aké, ale vieme len začiatočný znak použijeme tvar “D????.exe“. Otázniky zastupujú chýbajúce (neznáme) znaky.
52
Poznámka: Infiltrácia v súbore nebude detegovaná modulmi Rezidentná ochrana súborového systému a Kontrola počítača, pokiaľ súbor spĺňa kritéria pre vylúčenie z kontroly. Stĺpce Cesta – Cesta k vylúčenému súboru, alebo adresáru. Hrozba – Ak je pri vylúčenom súbore uvedený aj názov infiltrácie, znamená to, že na súbore je vylúčená iba daná infiltrácia, nie je vylúčený súbor ako celok. Ak by teda došlo k infikovaniu takto vylúčeného súboru inou infiltráciou, táto bude antivírusovým modulom riadne detegovaná. Tento typ vylúčenia je možné použiť iba pre určité typy infiltrácií a je možné ho zadať buď z výstražného okna informujúceho o zachytení infiltrácie (voľbou Zobraziť nastavenia a označením možnosti Vylúčiť z detekcie), alebo kliknutím na Nástroje > Karanténa, kliknutím pravým tlačidlom na súbor v karanténe a označením možnosti Obnoviť a vylúčiť z kontroly z kontextového menu. Ovládacie prvky Pridať – Pridanie objektu na vylúčenie. Upraviť – Úprava existujúceho vylúčenia. Zmazať – Odstrániť zvolené vylúčenie.
3.9.1.13 ThreatSense parametre ThreatSense je názov technológie, ktorú tvorí súbor komplexných metód detekcie infiltrácie. Táto technológia je proaktívna, poskytuje ochranu aj počas prvých hodín šírenia novej hrozby. K odhaleniu hrozieb využíva kombináciu niekoľkých metód (analýza kódu, emulácia kódu, generické signatúry, vírusové signatúry), čím efektívne spája ich výhody. Detekčné jadro je schopné kontrolovať niekoľko dátových tokov paralelne a tak maximalizovať svoj výkon a účinnosť detekcie. Technológia ThreatSense dokáže účinne bojovať aj s rootkitmi. Samotné nastavenia ThreatSense umožňujú nastavenie viacerých detailov kontroly: Voľba typu súborov a prípon, ktoré si želáte kontrolovať. Výber kombinácie rôznych metód detekcie. Výber úrovne liečenia a pod.
53
Do nastavení sa dostanete kliknutím na ThreatSense parametre , ktoré sa nachádza v nastaveniach príslušných modulov využívajúcich ThreatSense. Pre rôzne druhy ochrany sa používa rôzna úroveň nastavenia. ThreatSense je nastaviteľné zvlášť pre tieto moduly: Rezidentná ochrana súborového systému Ochrana dokumentov Ochrana poštových klientov Ochrana prístupu na web Kontrola počítača Je opodstatnené, že nastavenia ThreatSense sú pre každý modul odlišné. Ich zmena môže mať v určitom stave značný vplyv na celkový výkon systému. Príkladom môže byť spomalenie systému pri povolení kontroly runtime archívov a rozšírenej heuristiky pre rezidentnú ochranu súborov (súbory sú touto kontrolou skontrolované iba ak sú novovytvorené). Preto odporúčame ponechať pôvodné nastavenia ThreatSense pre všetky druhy ochrany, okrem Kontroly počítača. Objekty na kontrolu Sekcia Objekty na kontrolu umožňuje nastaviť, ktoré komponenty počítača a súborového systému budú testované na prítomnosť infiltrácie. Operačná pamäť – Slúži na kontrolu prítomnosti hrozieb, ktoré môžu byť zavedené v operačnej pamäti počítača. Boot sektory – Kontrola prítomnosti boot vírusov v sektoroch disku, kde sa nachádza tzv. zavádzač operačného systému. Poštové súbory – Podporované sú nasledovné prípony súborov: DBX (Outlook Express) a EML súbory. Archívy – Podporované sú nasledovné prípony súborov: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE, a iné. Samorozbaľovacie archívy – Archívy, ktoré nepotrebujú pre svoje rozbalenie iné programy. Jedná sa o SFX (Selfextracting) archívy. Runtime archívy – Runtime archívy sa na rozdiel od klasických archívov rozbalia po spustení v pamäti počítača. Okrem podpory tradičných statických archívov (UPX, yoda, ASPack, FSG, ...) program podporuje vďaka emulácii kódu aj veľa iných typov archívov. Možnosti kontroly V sekcii Možnosti kontroly môžte upraviť nastavenia pokročilých metód detekcie používaných pri kontrole systému na infiltrácie. Sú dostupné tieto možnosti: Heuristika – Heuristika je algoritmus vyhľadávajúci vírusy pomocou analýzy činnosti programu. Výhodou heuristiky je schopnosť odhaliť aj taký škodlivý softvér, ktorý v dobe poslednej aktualizácie vírusovej databázy programu ešte neexistoval alebo nebol známy. Nevýhodou je (veľmi malá) možnosť “falošného poplachu”. Rozšírená heuristika/DNA/Smart vzorky – Rozšírená heuristika je jedinečný algoritmus heuristiky vyvinutý firmou ESET, ktorý je optimalizovaný na odhaľovanie červov a trójskych koní písaných vo vyšších programovacích jazykoch. Použitie rozšírenej heuristiky značne zvyšuje možnosti rozpoznávania vírusov a malvéru. Vzorky umožňujú spoľahlivo nájsť a pomenovať nové vírusy. Vďaka pravidelnej aktualizácii sú čerstvé vzorky k dispozícii zvyčajne už o niekoľko hodín. Nevýhodou je, že, táto metóda odhaľuje iba známe vírusy, alebo ich čiastočne pozmenené verzie. Potenciálne nechcená aplikácia je program, ktorý obsahuje adware, inštaluje panely nástrojov a sleduje ďalšie nejasné ciele. Vyskytujú sa situácie, kedy sa používateľ rozhodne, že výhody, ktoré mu potenciálne nechcená aplikácia poskytuje, prevyšujú riziko spojené s jej používaním. Preto ich ESET radí do kategórie s nižším rizikom, ako iné typy škodlivého softvéru, napr. trojany alebo červy. Upozornenie - Našla sa potenciálna hrozba Ak sa nájde potenciálne nechcená aplikácia, budete môcť zvoliť, ako sa program zachová:
54
1. Vyliečiť/Odpojiť: Táto možnosť ukončí akciu a zabráni potenciálnej hrozbe napadnúť váš systém. 2. Žiadna akcia: Táto voľba umožní potenciálnej hrozbe napadnúť váš systém. 3. Ak si želáte natrvalo povoliť spustenie tejto aplikácie na vašom počítači bez ďalších varovaní, kliknite na Viac informácií/Zobraziť nastavenia a označte možnosť Vylúčiť z detekcie.
Ak je zistená potenciálne nechcená aplikácia a nie je možné ju vyliečiť, v pravom dolnom rohu obrazovku sa zobrazí okno Adresa bola zablokovaná. Pre viac informácií o tejto udalosti prejdite v hlavnom programovom menu na Nástroje > Protokoly > Filtrované stránky.
55
Potenciálne nechcené aplikácie - Nastavenia Počas inštalácie vášho ESET produktu môžete rozhodnúť, či si želáte povoliť detekciu potenciálne nechcených aplikácií, ako je zobrazené nižšie:
Potenciálne nechcené aplikácie môžu so sebou niesť riziko inštalácie adware (reklamný softvér), panelov nástrojov a iných nechcených súčastí programu. Toto nastavenie môžete kedykoľvek zmeniť v nastaveniach programu. Pre povolenie alebo zakázanie detekcie Potenciálne nechcených, zneužiteľných alebo podozrivých aplikácií, postupujte podľa týchto krokov: 1. Otvorte hlavné okno vášho ESET produktu. Ako môžem otvoriť hlavné okno programu ESET? 2. Stlačte klávesu F5 pre otvorenie okna Rozšírené nastavenia. 3. Rozbaľte položku Antivírus a povoľte možnosti Zapnúť detekciu potenciálne nechcených aplikácií, Zapnúť detekciu potenciálne nebezpečných aplikácií a Zapnúť detekciu podozrivých aplikácií podľa vašich potrieb. Kliknite na OK pre uloženie nastavení.
56
Potenciálne nechcené aplikácie - Software wrappers Softvérový "wrapper" (z angl. baliť, obalovať) je softvér vyvinutý za špeciálnym účelom a tým je zmena aplikácií, ktorý využívajú napríklad niektoré internetové stránky ponúkajúce rozličné súbory na stiahnutie. Wrapper je aplikácia tretej strany, ktorá vám nainštaluje program, ktorý si chcete stiahnuť, ale súbežne s ním nainštaluje aj ďalší softvér, ako napríklad nástrojové lišty do internetového prehliadača, alebo adware. Prídavný softvér môže zmeniť nastavenia domácej stránky, či nastavenia vyhľadávania vo vašom prehliadači. Mnohé internetové stránky poskytujúce služby ukladania/sťahovania súborov (file hosting) často neupozornia predajcov softvéru, ani používateľov na zmenu v sťahovaných súboroch a neuľahčujú možné vynechanie už spomínaných potenciálne nechcených sprievodných dodatkov pri inštalácii. Z týchto dôvodov ESET klasifikuje softvérové "wrappery" ako jeden z typov potenciálne nechcených aplikácií, aby tak mali používatelia možnosť výberu, či chcú sťahovaný súbor prijať, alebo sťahovanie odmietnuť. Aktuálnu verziu tejto stránky nájdete v nasledujúcom článku databázy znalostí ESET. Potenciálne zneužiteľné aplikácie – Potenciálne zneužiteľné aplikácie sú nástroje vzdialeného prístupu, nástroje na prelomenie hesiel aplikácii, keyloggery (programy zapisujúce každé stlačenie klávesnice používateľom). Táto možnosť je v predvolených nastaveniach zakázaná. ESET Live Grid – Vďaka systému reputácie súborov spoločnosti ESET sa počas skenovania súborov berú do úvahy údaje z ESET Live Grid pre zväčšenie detekcie a rýchlosť kontroly. Liečenie Nastavenia liečenia určujú správanie skenera pri čistení infikovaných súborov. Sú dostupné tri úrovne liečenia: Neliečiť – Infikované súbory sa nebudú automaticky liečiť. Používateľovi sa pri detekcii zobrazí varovné okno s možnosťou výberu akcie, ktorá sa má vykonať. Táto úroveň liečenia je určená pre pokročilých používateľov, ktorí vedia ako postupovať pri infiltráciách. Normálne liečenie – Program sa pokúsi infikované súbory automaticky liečiť, alebo zmazať na základe vopred definovanej akcie (v závislosti od typu infiltrácii). Detekcia a vymazanie infikovaného súboru je oznámená notifikáciou v pravom dolnom rohu obrazovky. Ak program nevie vybrať správnu akciu, zobrazí sa varovné okno s možnosťou výberu akcie. Možnosť výberu akcie sa zobrazí aj v momente, keď sa predvolenú akciu nepodarí vykonať.
57
Prísne liečenie – Program vylieči, alebo zmaže všetky infikované súbory. Výnimku tvoria systémové súbory. Ak tieto nie je možné liečiť, je ponúknutá akcia, ktorá sa má vykonať. Varovanie: Pri detekcií infiltrácie v archívnom súbore sú dve možnosti: Pri štandardnom liečení bude archívny súbor zmazaný len v prípade, že obsahuje samotný súbor s infiltráciou. V Prísnom liečení bude komprimovaný súbor (archív) zmazaný aj v prípade, že obsahuje ďalšie súbory neobsahujúce infiltráciu. Vylúčenia Prípona je časť názvu súboru, spravidla oddelená bodkou. Prípona určuje typ a obsah súboru. V tejto časti nastavení ThreatSense zvolíte, ktoré typy súborov budú kontrolované. Ostatné V časti Kontrola počítača a sekcii ThreatSense parametre sa nachádzajú aj nasledovné možnosti v sekcii iný problém: Kontrolovať alternatívne dátové prúdy – Alternatívne dátové prúdy (ADS) používané systémom NTFS sú asociácie k súborom a adresárom, ktoré sú pre bežné spôsoby kontroly neviditeľné. Veľa vírusov ich preto využíva na svoje maskovanie pred prípadným odhalením. Kontroly na pozadí vykonávať s nízkou prioritou – Každá kontrola počítača využíva nezanedbateľný výkon počítača. Ak práve pracujete s programami náročnými na výkon počítača, presunutím kontroly na pozadie jej môžete priradiť nižšiu prioritu a získať tým viac výkonu pre vaše aplikácie. Zapisovať všetky objekty do protokolu – Ak je povolená táto možnosť, v protokole kontroly budú zobrazené všetky skontrolované súbory, aj bezpečné. Napríklad: ak sa nájde infiltrácia v archíve, tak v protokole budú obsiahnuté aj čisté súbory nachádzajúce sa v archíve. Zapnúť Smart optimizáciu – Pri zapnutej Smart optimizácii sa použijú optimálne nastavenia pre zabezpečenie najefektívnejšej úrovne kontroly pri zachovaní najvyššej možnej rýchlosti kontroly. Moduly ochrany pri kontrole dômyselne využívajú rozdielne metódy kontroly na rôzne typy súborov. Ak je Smart optimizácia vypnutá sú pri kontrole použité len užívateľské nastavenia jadra ThreatSense. Zachovať časy prístupu k súborom – Pri kontrole súboru nebude zmenený čas prístupu, ale bude ponechaný pôvodný (vhodné pri používaní zálohovacích systémov). Obmedzenia Obmedzenia určujúce hranice veľkostí objektov a archívov, ktoré sa budú testovať na prítomnosť vírusov: Nastavenie objektov Maximálna veľkosť objektu (v bytoch) – Definuje maximálnu hodnotu veľkosti skenovaného objektu. Daný modul antivírusu bude kontrolovať len objekty s menšou veľkosťou ako je definovaná hodnota. Tieto hodnoty odporúčame modifikovať len pokročilým používateľom, ktorí chcú veľké objekty vylúčiť z kontroly. Štandardná hodnota: neobmedzená. Maximálny čas kontroly objektu (v sekundách) – Definuje maximálny povolený čas pre kontrolu objektov. Ak si používateľ definuje určitú hodnotu, tak antivírus pri kontrole objektu po prekročení tejto hodnoty skončí prebiehajúcu kontrolu bez ohľadu na kompletnosť kontroly. Štandardná hodnota: neobmedzená. Nastavenie archívov Úroveň vnorenia archívov – Špecifikuje maximálnu úroveň vnorenia do archívu pri kontrole antivírusom. Štandardná hodnota: 10. Maximálna veľkosť súboru v archíve (v bytoch) – Špecifikuje maximálnu veľkosť rozbaleného súboru v archíve, ktorý sa má kontrolovať. Štandardná hodnota: neobmedzená. Poznámka: Neodporúčame meniť predvolené hodnoty, za normálnych okolností nie je žiadny dôvod na ich zmenu.
58
3.9.1.13.1 Vylúčenia Prípona je časť názvu súboru, spravidla oddelená bodkou. Prípona určuje typ a obsah súboru. V tejto časti nastavení ThreatSense zvolíte, ktoré typy súborov budú kontrolované. Prednastavená je kontrola všetkých súborov bez ohľadu na príponu. Do zoznamu súborov vyňatých z kontroly môžete pridávať ľubovoľné prípony. Vylúčenie prípony z kontroly má zmysel vtedy, ak kontrola určitého typu súboru spôsobuje nekorektné fungovanie programu. Napríklad vylúčenie súborov typu EDB, EML a TMP pri používaní MS Exchange servera. Pomocou tlačidiel Pridať a Zmazať povolíte alebo zakážete testovanie súborov s požadovanou príponou. Pre pridanie novej prípony do zoznamu kliknite na Pridať, zadajte príponu a kliknite na OK. Ak označíte Zadať viaceré hodnoty, môžete do textového poľa zadať viac prípon oddelených riadkami, čiarkami alebo bodkočiarkami. Ak je povolený hromadný výber, prípony sa zobrazia v zozname. Označením prípony v zozname a kliknutím na tlačidlo Zmazať sa zmaže prípona zo zoznamu. Ak chcete editovať príponu, označte jej riadok a kliknite na Upraviť. Je možné používať špeciálny znak ? (otáznik). Otáznik nahrádza ľubovoľný znak. POZNÁMKA: Ak chcete vidieť presnú príponu súboru v operačnom systéme Windows, zrušte možnosť Skryť prípony známych súborov v Ovládací panel > Možnosti priečinka > Zobrazenie (záložka) a uložte zmeny.
3.9.2 Sieť Personálny firewall zabezpečuje kontrolu všetkých spojení medzi sieťou a daným systémom. Na základe definovaných pravidiel jednotlivé spojenia povoľuje alebo blokuje. Chráni pred útokmi zo vzdialených počítačov a umožňuje blokovanie niektorých služieb. Personálny firewall tiež poskytuje IDS/IPS funkcie na kontrolu povolenej komunikácie a odhaľovanie potenciálne škodlivej sieťovej komunikácie. Nastavenie Personálneho firewallu sa nachádza v časti Nastavenia > Sieť. Umožní vám zvoliť si režim filtrovania, pravidlá a podrobné nastavenia. Kliknutím na ozubené koleso > Konfigurovať... vedľa popisu Personálny firewall, alebo klávesovou skratkou F5 môžete spustiť Rozšírené nastavenia. Ochrana proti sieťovým útokom (IDS) – Analyzuje sieťovú prevádzku a chráni pred sieťovými útokmi. Všetka komunikácia, ktorá sa považuje za škodlivú bude blokovaná. Ochranu proti sieťovým útokom môžete zrušiť kliknutím na (neodporúča sa). Ochrana proti botnetmi – Rýchlo a presne zachytí škodlivý softvér v systéme. Ochranu proti botnetom môžete zrušiť kliknutím na (neodporúča sa). Pripojené siete – Zobrazuje siete, na ktoré sú pripojené sieťové adaptéry. Po kliknutí na ozubené koleso sa otvorí okno s nastavením typu ochrany pre danú sieť. Sieťové adaptéry – Zobrazuje všetky sieťové adaptéry vášho počítača a k nim pridelené profily firewallu a dôveryhodné zóny. Viac informácií sa nachádza v kapitole Sieťové adaptéry. Dočasný zoznam blokovaných IP adries – Zobrazenie zoznamu IP adries, ktoré boli detegované ako zdroje útokov sú pridané na zoznam a na určitý čas je na ne prerušená komunikácia. Pre viac informácií o tejto funkcionalite prosím stlačte F1 po jej otvorení. Sprievodca riešením problémov – umožňuje vyriešiť problémy so spojením, ktoré môžu vznikať pri používaní personálneho firewallu. Viac informácií sa nachádza v kapitole Sprievodca riešením problémov.
59
Kliknutím na ozubené koleso
vedľa popisu Personálny firewall sa zobrazia nasledujúce možnosti:
Konfigurovať... – Zobrazenie nastavení Personálneho firewallu, pravidiel filtrovania a dôveryhodnej zóny. Pozastaviť firewall (povoliť všetku sieťovú komunikáciu komunikáciu) – opačný proces k vyššie spomínanému blokovaniu všetkej komunikácie. Pri použití tejto možnosti je filtrovanie spojení personálneho firewallu úplne vypnuté a všetky prichádzajúce aj odchádzajúce spojenia sú povolené. Ak je režim filtrovania nastavený na Pozastaviť firewall, kliknutím na Zapnúť firewall znovu zapnete firewall. Zablokovať všetku komunikáciu – Každá prichádzajúca a odchádzajúca komunikácia je personálnym firewallom bez upozornenia používateľa zablokovaná. Použitie takéhoto blokovania je vhodné pri podozrení na možné kritické bezpečnostné riziká s nutnosťou odpojenia systému od siete. Ak je režim filtrovania nastavený na Všetka komunikácia blokovaná, kliknutím na Povoliť filtrovanie znovu zapnete firewall. Automatický režim – Zmena režimu filtrovania sa vykonáva kliknutím na interaktívny režim. Interaktívny režim – Zmena režimu filtrovania sa vykonáva kliknutím na automatický režim s výnimkami.
3.9.2.1 Personálny firewall Personálny firewall monitoruje sieťovú prevádzku z a do systému. To je dosiahnuté povolením alebo zakázaním jednotlivých sieťových spojení, ktoré sú založené na špecifických pravidlách filtrovania. Poskytuje ochranu proti útokom zo vzdialených počítačov a umožňuje blokovanie niektorých služieb. Taktiež poskytuje antivírusovú ochranu pre protokoly HTTP, POP3 a IMAP. Táto funkcionalita predstavuje veľmi dôležitú súčasť zabezpečenia počítača. Zapnúť ochranu proti sieťovým útokom (IDS) – Analyzuje sieťovú prevádzku a chráni pred sieťovými útokmi. Všetka komunikácia, ktorá sa považuje za škodlivú bude blokovaná. Zapnúť ochranu proti botnetom – Deteguje a blokuje komunikáciu so servermi a zabráni tak vykonaniu naprogramovaných úloh. Ochrana je založená na typických vzorkách, kedy je počítač nainfikovaný a bot sa pokúša komunikovať. ESET Endpoint Security môže pracovať v štyroch režimoch filtrovania. Nastavenie režimov filtrovania sa nachádza v Rozšírených nastaveniach (F5) v záložke Personály firewall. Správanie firewallu záleží od zvoleného režimu. 60
Nastavením režimu sa ovplyvní potreba interakcie používateľa. Filtrovanie je možné nastaviť do jedného zo štyroch režimov: Automatický režim – predvolený režim. Je vhodný pre užívateľov, ktorí preferujú pohodlné používanie firewallu bez potreby zadávania pravidiel. Vlastné, používateľské pravidlá môžu byť vytvorené aj v automatickom režime, no nie sú povinné. Povoľuje všetku komunikáciu z daného systému smerom do siete a blokuje všetku novú prichádzajúcu komunikáciu zo siete (okrem komunikácie z dôveryhodnej zóny, povolenej v IDS a rozšírené nastavenia/Povolené služby a prichádzajúcej komunikácie odpovedajúcej na nedávnu odchádzajúcu komunikáciu z tej istej adresy). Interaktívny režim – predstavuje komfortnú možnosť nastavenia si personálneho firewallu na mieru podľa požiadaviek používateľa. V prípade zistenia akejkoľvek komunikácie, na ktorú nie je možné aplikovať žiadne existujúce pravidlo, je používateľovi zobrazené informačné okno o zachytení neznámeho spojenia. Následne je možné túto komunikáciu povoliť alebo zamietnuť, pričom toto rozhodnutie môže byť trvalé a teda personálny firewall vytvorí nové pravidlo. V tom prípade bude každá komunikácia tohto typu v budúcnosti povolená alebo zablokovaná podľa tohto pravidla. Režim politiky – blokuje každé spojenie, pre ktoré neexistuje povoľujúce pravidlo. Skúsený používateľ tak môže povoliť len želané bezpečné spojenia, ktoré vyžaduje. Personálny firewall bude blokovať všetku ostatnú neznámu komunikáciu. Učiaci sa režim – V tomto režime je pre každú komunikáciu vytvorené a uložené zodpovedajúce pravidlo, je vhodný na prvotné nakonfigurovanie personálneho firewallu. Vytvorenie pravidiel prebehne bez interakcie s používateľom a uchovávané sú vopred definované parametre. Tento režim nie je bezpečný a odporúča sa používať ho len krátko na začiatku po nainštalovaní, kým sa nevytvoria pravidlá pre všetku bežnú komunikáciu. Profily sú ďalším účinným nástrojom na ovplyvňovanie správania Personálneho firewallu v ESET Endpoint Security.
Pravidlá – Pridanie pravidiel Personálneho firewallu, podľa ktorých bude riadiť spojenia. Zóny – Vytvorenie zón z viacerých IP adries. IDS a pokročilé nastavenia – Môžete nastaviť pokročilé možnosti filtrovania obsahu a detekcie rôznych druhov útokov a zraniteľností, ktoré môžu byť namierené na váš počítač. 61
IDS výnimky – Pridanie IDS výnimky a nastavenie reakcií na škodlivé aktivity.
3.9.2.1.1 Učiaci sa režim Učiaci sa režim vytvorené a uložené pre každú komunikáciu zodpovedajúce pravidlo. Vytvorenie pravidiel prebehne bez interakcie s používateľom a uchovávané sú vopred definované parametre. Používanie tohoto režimu je rizikové a odporúča sa len v prípade potreby prvotného nastavenia personálneho firewallu. Učiaci sa režim môžete zapnúť v Rozšírených nastaveniach (F5) > Personálny firewall > Učiaci sa režim. Táto sekcia obsahuje nasledovné nastavenia: Upozornenie: V učiacom sa režime firewall nefiltruje komunikáciu. Všetká odchádzajúca komunikácia je povolená. Váš počítač v tomto režime nie je úplne chránený personálnym firewallom. Typ komunikácie – Zvoľte, pre každý typ komunikácie osobitné zásady vytvárania pravidiel. Učiaci sa režim rozlišuje nasledujúce štyri typy komunikácie: Prichádzajúca komunikácia z dôveryhodnej zóny – Príklad prichádzajúcej komunikácie z dôveryhodnej zóny: Vzdialený počítač z dôveryhodnej zóny sa pokúša komunikovať s lokálnou aplikáciu bežiacou na vašom počítači. Odchádzajúca komunikácia do dôveryhodnej zóny – Lokálna aplikácia sa pokúša komunikovať s iným počítačom v lokálnej sieti, alebo s inou sieťou v dôveryhodnej zóne. Prichádzajúca internetová komunikácia – Vzdialený počítač sa pokúša komunikovať s aplikáciou bežiacou na počítači. Odchádzajúca internetová komunikácia – Vzdialený počítač sa pokúša komunikovať s aplikáciou bežiacou na počítači. Definovanie parametrov, ktoré sa pridajú do vytváraných pravidiel: Pridať lokálny port – Číslo lokálneho portu sieťového spojenia. Pre odchádzajúce spojenia sa zvyčajne generujú náhodné čísla, preto je vhodné tento parameter definovať len pri kontrole prichádzajúcich spojení. Pridať aplikáciu – Meno procesu lokálnej aplikácie. Odporúčame použiť vtedy, ak chceme do pravidla zahrnúť kompletnú komunikáciu špecifikovanej aplikácie. Teda napr. povoliť komunikáciu pre prehliadač web stránok, poštový klient a pod. Pridať vzdialený port – Číslo vzdialeného portu sieťového spojenia. Napríklad povolenie/zakázanie konkrétnej služby so známym číslom portu, napr. HTTP – 80, POP3 – 110 a pod. Pridať vzdialenú IP adresu / dôveryhodnú zónu – Vzdialená IP adresa alebo celá zóna adries umožňuje definovať pravidlo, ktoré sa aplikuje na všetky sieťové spojenia medzi lokálnym systémom a týmito adresami. Vhodné použiť v prípade, ak chcem definovať akcie pre konkrétny počítač alebo skupinu počítačov v sieti. Maximálny počet pravidiel pre jednu aplikáciu – Pokiaľ aplikácia komunikuje viacerými smermi (z rôznych portov, na rôzne IP adresy a pod.,), firewall v učiacom sa režime pre ňu vytvára zodpovedajúci počet pravidiel. Touto voľbou je možné limitovať počet pravidiel, ktoré môžu byť vytvorené pre jednu aplikáciu.
3.9.2.2 Profily firewallu Profily filtrovania sú ďalším účinným nástrojom na ovplyvňovanie správania Personálneho firewallu v ESET Endpoint Security. Pri vytvorení alebo editovaní pravidiel personálneho firewallu môžete k pravidlu priradiť profil alebo priradiť pravidlo ku všetkým profilom. Ak sa personálny firewall prepne do tohoto profilu, budú použité len globálne nastavenia a nastavenia priradeného profilu. Používateľ môže vytvoriť viacero profilov s rôznymi priradenými pravidlami, čím môže jednoducho meniť správanie Personálneho firewallu. Kliknite na Upraviť vedľa popisu Zoznam profilov pre otvorenie okna Profily, v ktorom môžete meniť profily. Sieťový adaptér môže byť nastavený tak aby používal pri pripojený k špecifickej sieti k nej priradený profil. Priradiť profil k sieti je možné v Rozšírených nastaveniach (F5) > Personálny firewall > Známe siete. Zo zoznamu Známe siete vyberte sieť a kliknite na Upraviť pre priradenie profilu k sieti vyberte daný profil z roleteového menu Firewall 62
profil. Ak k sieti nie je priradený žiadny profil, bude použitý predvolený profil. Ak je adaptér nastavený na použitie sieťového profilu, predvolený profil bude použitý bez ohľadu na to do akej siete je počítač pripojený. Ak nie je vytvorený žiadny profil pre sieť alebo sieťový adaptér, budú použité globálne nastavenia. Pre priradenie profilu k personálnemu firewallu, kliknite na Upraviť vedľa popisu Profily priradené k sieťovým adaptérom, označte profil z roletového menu Predvolený profil a kliknite na OK. Keď personálny firewall mení aktívny profil na iný, zobrazí sa notifikácia v dolnom pravom rohu obrazovky pri hodinách.
3.9.2.2.1 Profily priradené k sieťovým adaptérom Zmenou profilu personálneho firewallu sa dá rýchlo zmeniť niekoľko jeho nastavení naraz a chovanie. Pre každý profil je možné nastaviť vlastné pravidlá. Všetky sieťové adaptéry v počítači sú automaticky pridané do zoznamu Sieťové adaptéry. Stĺpce Názov – Meno sieťového adaptéra. Predvolený firewall profil – Profil, do ktorého sa firewall prepne pri pripojení na danú sieť ak táto sieť nemá nastavený vlastný profil. Použiť profil siete – Ak je táto možnosť zapnutá sieťový adaptér použije profil priradený k pripojenej sieti. Ovládacie prvky Pridať – Vytvoriť nový sieťový adaptér. Upraviť – Zmeniť existujúci sieťový adaptér. Zmazať – Označte položku v zozname a kliknite na Zmazať pre odstránenie položky zo zoznamu. OK/Zrušiť - Kliknite na OK pre potvrdenie nastavení alebo na Zrušiť.
3.9.2.3 Ako nastaviť a používať pravidlá Pravidlá predstavujú zoznam podmienok, podľa ktorých sú testované všetky sieťové spojenia, a zároveň sú uplatnené definované akcie. Môžeme teda definovať, aká akcia sa má vykonať so spojením spĺňajúcim podmienky daného pravidla. Nastavenia pravidiel filtrovania sa nachádzajú v Pokročilých nastaveniach (F5) > Personálny firewall > Základné. Niektoré z vopred definovaných pravidiel sa dajú vypnúť len pomocou začiarkavacích políčok v sekcii Povolené služby (v okne IDS a rozšírené nastavenia). Narozdiel od predchádzajúcej verzie ESET Endpoint Security je priorita pravidiel v zozname posudzovaná z hora na dol. To znamená, že bude uplatnené prvé zodpovedajúce pravidlo. Je to dôležitá zmena, pretože v predchádzajúcej verzii boli priority pravidiel posudzované automaticky a podrobnejšie pravidlá mali väčšiu prioritu. Z pohľadu smeru komunikácie je možné rozdeliť spojenia na prichádzajúce a odchádzajúce. Prichádzajúce spojenie je inicializované na vzdialenej strane a snaží sa nadviazať spojenie s lokálnou stranou. V prípade odchádzajúceho spojenia je situácia opačná, teda lokálna strana nadväzuje spojenie so vzdialenou. V prípade zistenia neznámej komunikácie je potrebné zvážiť, či ju povoliť alebo zamietnuť. Nevyžiadané, nezabezpečené alebo úplne neznáme spojenia predstavujú pre systém bezpečnostné riziko. Pri takejto komunikácii je vhodné venovať pozornosť hlavne vzdialenej strane a aplikácii, ktorá sa pokúša nadviazať spojenie. Mnohé infiltrácie odosielajú súkromné dáta alebo sťahujú iné škodlivé aplikácie na používateľské stanice. Práve tieto skryté spojenia je možné pomocou personálneho firewallu odhaliť a zakázať.
63
3.9.2.3.1 Nastavenia pravidiel Kliknite na Upraviť... v časti Pravidlá pre zobrazenie okna Pravidlá personálneho firewallu, v ktorom je zobrazený prehľad pravidiel. V spodnej časti okna sa nachádzajú aj tlačidlá Pridať, Upraviť a Zmazať, ktoré slúžia na spravovanie pravidiel. Prioritu pravidla môžete nastaviť pomocou šípok Na vrch/Vyššie/Nižšie/Na spodok po označení pravidla v zozname.
Stĺpce Názov – Meno pravidla. Zapnutý – Zaškrtávacím políčkom pri mene je možné vypnúť a zapnúť pravidlo. Protokol – Protocol, pre ktorý je pravidlo platné. Profil – Profil, pre ktorý je pravidlo platné. Akcia – Zobrazuje stav komunikácie po uplatnení pravidla (Povolené/Zakázané/Pýtať sa). Smer – Zobrazuje smer komunikácie (Dnu/Von/Oba) Lokálna strana – IP adresa a Port lokálnej strany. Vzdialená strana – IP adresa a Port vzdialenej strany. Aplikácia – Aplikácia, pre ktorú bude platiť pravidlo. Ovládacie prvky Pridať – Vytvorenie nového pravidla. Upraviť – Zmena existujúceho pravidla. Zmazať – Vymazanie existujúceho pravidla. Zobrazovať vstavané (preddefinované) pravidlá – Pravidlá predvolené programom ESET Endpoint Security. Tieto pravidlá môžete povoliť alebo zakázať ale nemôžete ich zmazať. Presunúť: Na vrch/Vyššie/Nižšie/Na spodok – Šípky, ktoré vám jednoducho umožňujú meniť poradie pravidiel v zozname.
64
3.9.2.3.2 Úprava pravidla Zmena pravidla je vyžadovaná vždy, ak príde k zmene sledovaných parametrov spojenia. V tom prípade totiž pravidlo už nespĺňa podmienku a následne naň nie je uplatnená definovaná akcia. V konečnom dôsledku to môže znamenať zamietnutie spojenia a následné problémy funkcionality. Príkladom je zmena sieťovej adresy vzdialenej strany alebo čísla portu. Pravá časť okna obsahuje 3 záložky: Všeobecné – Zadajte názov, smer, akciu (Povoliť, Zakázať, Pýtať sa), protokol a profil, pre ktorý bude pravidlo platné. Lokálna strana – Zobrazuje informácie o lokálnej strane komunikácie, vrátane čísla portu alebo rozsahu portov a názov komunikujúcej aplikácie. Vzdialená strana – Informácie o vzdialenom porte alebo rozsahu portov. Taktiež môžete zadať IP adresu alebo zónu pre dané pravidlo. Pri vytváraní pravidla musíte zadať meno pravidla do poľa Názov. Vyberte Smer z roletového menu a Akciu, ktorá bude vykonaná pravidlo platí pre komunikáciu. Protokol je komunikačný protokol použitý pri komunikácii. Vyberte protokol, ktorý bude použitý pre dané pravidlo. ICMP Typ/Kód predstavuje číslo ICMP správy (napríklad 0 predstavuje správu "Echo Reply"). Štandardne je každé pravidlo platné pre všetky profily. Ak chcete vybrať špecifický profil, zvoľte názov profilu, pre ktoré bude pravidlo platiť z roletového menu Profil.. Po zapnutí možnosti Protokol, bude aktivita pravidla zapisovaná do protokolu. Upozorniť používateľa pre zobrazenie upozornenia v prípade ak sa pravidlo použije. Nasleduje príklad, v ktorom je znázornené vytvorenie pravidla pre povolenie webového prehliadača na sieti. V tomto príklade musia byť aktívne nasledujúce nastavenia: V záložke Všeobecné povoľte pre smer Von komunikáciu cez TCP a UDP protokoly. V záložke Lokálna strana zadajte cestu k aplikácii (*.exe). V záložke Vzdialená strana povoľte port číslo 80 (pre štandardný webový prehliadač. Poznámka: Pamätajte, že preddefinované pravidlá môžu byť upravené len do určitej miery.
3.9.2.4 Dôveryhodná zóna Dôveryhodná zóna predstavuje skupinu sieťových adries s plnou dôverou používateľa a bez akéhokoľvek blokovania Personálnym firewallom. Nastavenia pre funkcie ako zdieľanie na sieti alebo vzdialená plocha v dôveryhodnej zóne nájdete v sekcii IDS a pokročilé nastavenia . Skutočná dôveryhodná zóna je vytváraná dynamicky a samostatne pre každý sieťový adaptér, na základe toho v akej sieti je práve počítač pripojený. Adresy, ktoré patria, alebo sú pridané do dôveryhodnej zóny, budú vždy považované za bezpečné. Ak sa sieťový adaptér pripojí na známu sieť sú do zoznamu Známych sietí automaticky pridané Dodatočné dôveryhodné adresy nastavené pre túto sieť. Ak je sieť Domáca/Pracovná, všetky priamo pripojené podsiete sú zahrnuté do dôveryhodnej zóny. Nastavenia dôveryhodnej zóny pre sieťový adaptér sa nachádzajú v hlavnom okne programu v sekcii Nastavenia, v záložke Sieť > Sieťové adaptéry. Poznámka:: Dôveryhodné zóny pre sieťové adaptéry nie sú podporované v operačných systémoch Windows XP/2003. Pre tieto operačné systémy musia mať všetky adaptéry rovnaké nastavenie dôveryhodnej zóny.
65
3.9.2.5 Ako nastaviť zóny Zóny sú skupiny IP adries, ktoré sú užitočné ak potrebujete odmietnuť sadu IP adries v niekoľkých pravidlách. Nastavenie zón je dostupné cez Rozšírené nastavenia > Personálny firewall > Základné, kliknutím na tlačidlo Upraviť vedľa popisu Zóny. Pre pridanie zóny kliknite na tlačidlo Pridať, zadajte Meno a Popis zóny, zadajte adresu do poľa Vzdialená adresa počítača (IPv4, IPv6). V zozname Firewall zóny sú zobrazené názvy zón, ich popis a zoznam IP adries s autentifikáciu zóny (viď kapitolu Editor známych sietí).
3.9.2.6 Známe siete Pri častom používaní počítača, ktorý je stále pripojený na verejné siete mimo vašej domácnosti alebo pracoviska, vám odporúčame overiť dôveryhodnosť siete, na ktoré sa pripájate. Po nastavení sietí, ESET Endpoint Security vie rozpoznať dôveryhodné siete (Domáce/pracovné) pomocou nastavení v časti Identifikácia siete. Počítače sa často pripájajú do sietí, ktorých IP adresy sú podobné dôveryhodnej zóne. V takých prípadoch môže ESET Endpoint Security označiť neznámu sieť ako dôveryhodnú. Preto odporúčame používať Autentifikáciu siete. Ak sa sieťový adaptér pripojí na sieť alebo sú zmenené jeho nastavenia, ESET Endpoint Security vyhľadá známu sieť, ktorá zodpovedá týmto nastaveniam. Ak sú Identifikácia a Autentifikácia siete (nepovinné) totožné so sieťou, bude označená ako pripojená pre daný adaptéry. Ak nebola nájdená známa sieť, bude vytvorená nová známa sieť s identifikáciou siete nastavenou na rozpoznanie tejto siete pri budúcom pripojení. Štandardne, nové siete používajú typ ochrany Verejná. Zobrazí sa oznámenie Zistené pripojenie do novej siete s možnosťami Verejná sieť alebo Domáca/Pracovná sieť. Ak sa sieťový adaptér pripojí na známu sieť, ktorá je Domáca/Pracovná sú do zoznamu Známych sietí automaticky pridané jej podsiete . Poznámka: Ak zapnete možnosť Automaticky označiť nové siete za verejné, okno Zistené pripojenie do novej siete sa nebude zobrazovať pri pripojení na novú sieť ale siete budú automaticky označené za verejné. Nastavenie verejnej siete zakazuje niektoré funkcie zdieľanie na sieti, napríklad zdieľanie súborov alebo vzdialená plocha. Nastavenia známych sietí sú dostupné v okne Editor známych sietí.
3.9.2.6.1 Editor známych sietí Nastavenie známych sietí je dostupné cez Rozšírené nastavenia > Personálny firewall > Známe siete, kliknutím na tlačidlo Upraviť. Stĺpce Názov – Meno siete. Typ ochrany – Môže byť Domáca/pracovná alebo Verejná sieť. Firewall profil – Z roletového menu môžete filtrovať záznamy pravidiel podľa vybraného profilu. Ovládacie prvky Pridať – Vytvorenie novú sieť. Upraviť – Zmena existujúcej siete. Zmazať – Označte položku v zozname a kliknite na Zmazať pre odstránenie položky zo zoznamu. Presunúť: Na vrch/Vyššie/Nižšie/Na spodok – Šípky, ktoré vám jednoducho umožňujú meniť poradie položiek v zozname. Rozšírené nastavenia pri pridaní alebo zmene známej siete sú rozdelené do nasledujúcich záložiek: Sieť V tejto záložke môžete zadať názov siete a typ ochrany (Verejná sieť alebo Domáca/pracovná sieť). V roletovom menu Firewall profil môžete vybrať profil pre túto sieť. Ak je sieť Domáca/pracovná, všetky priamo pripojené podsiete sú zahrnuté do dôveryhodnej zóny. Napríklad ak má sieťový adaptér pre túto sieť IP adresu 192.168.1.5 a masku podsiete 255.255.255.0, podsieť 192.168.1.0/24 bude pridaná do dôveryhodnej zóny. Ak má adaptér viac 66
adries/podsietí, všetky budú dôveryhodné, bez ohľadu na nastavenia Identifikácie siete. Adresy, ktoré pridáte do Dodatočných dôveryhodných adries sú vždy považované za dôveryhodné (bez ohľadu na typ ochrany siete). Nasledujúca podmienka musí byť splnená aby bola sieť pridaná do zoznamu pripojených sietí: Identifikácia siete – Všetky nastavenia musia byť totožné s parametrami siete. Autentifikácia siete – Ak je označený autentifikačný server, sieť bude autentifikovaná pomocou ESET Autentifikačného Servera. Sieťové obmedzenia (len pre Windows XP/2003) – všetky globálne obmedzenia musia byť vyplnené. Identifikácia siete Sieťová identifikácia prebieha na základe parametrov lokálneho sieťového adaptéra. Všetky nastavené parametre sú porovnávané so skutočnými parametrami aktívneho sieťového pripojenia. Sú povolené IPv4 aj IPv6 adresy.
Autentifikácia siete Sieťová autentifikácia vyhľadáva špecifický server na sieti a používa asymetrické kryptovanie (RSA) na autentifikáciu s týmto serverom. Názov siete, ktorá je autentifikovaná, musí byť rovnaký s názvom nastaveným v nastaveniach autentifikácie siete. Pri nastavení autentifikačného servera je potrebné zadať jeho názov, port na ktorom počúva a verejný kľúč (enkódovaný v base64) zodpovedajúci tajnému privátnemu kľúču servera (Autentifikácia zóny – nastavenie serverovej časti). Za menom servera môže nasledovať cesta upresňujúca lokalizáciu na serveri (napr. "meno_servera_/adresar1/adresar2/autentif ikacia"). Môžete zadať alternatívne servery oddelené bodkočiarkou. Verejný kľúč môže byť vložený v nasledujúcich typoch: PEM kryptovaný verejný kľúč (.pem) - tento typ kľúča je generovaný pomocou nástroja ESET Authentication Server ( Autentifikácia zóny – nastavenie serverovej časti). Kryptovaný verejný kľúč Verejný certifikát (.crt)
67
Kliknite na Testovať pre odskúšanie nastavení. Ak bola autentifikácia úspešná, objaví sa oznámenie Autentif ikácia so serverom bola úspešná. Ak nie je autentifikácia nastavená správne, môže sa objaviť jedno z nasledujúcich chybových hlásení: Zlyhala autentif ikácia servera. Neplatný alebo nezhoduj úci sa podpis. Podpis servera sa nezhoduje so zadaným verejným kľúčom. Zlyhala autentif ikácia servera. Názov siete sa nezhoduj e. Nastavený názov siete sa nezhoduje so sieťou pre overenie servera. Overte názvy a uistite sa, že sú zhodné. Zlyhala autentif ikácia servera. Neplatná alebo žiadna odpoveď zo servera. Nie je prijatá odpoveď zo servera, server nie je spustený alebo je nedostupný. Neplatná odpoveď sa môže byť spôsobená iným HTTP serverom spusteným na nastavenej adrese. Zadaný neplatný verej ný kľúč. Overte, či nie je zadaný súbor verejného kľúča poškodený. Sieťové obmedzenia Pri pripojení cez modem (Windows Vista alebo novší o.s.), má každý sieťový adaptér svoju vlastnú dôveryhodnú zónu a profil. V systéme Windows XP tieto nastavenia nie sú podporované, takže všetky sieťové adaptéry zdieľajú rovnakú dôveryhodnú zónu a profil. To predstavuje potenciálne bezpečnostné riziko pre počítač pripojený do niekoľkých sietí naraz. V takom prípade, komunikácia z nedôveryhodnej siete môže byť používaná s profilom dôveryhodnej siete nastaveným pre inú sieť. Pre obmedzenie tohto rizika používajte nasledujúce obmedzenia, aby neboli používané globálne nastavenia jednej siete, ak je pripojená druhá, ktorá môže byť nedôveryhodná. V systéme Windows XP sú nastavenia dôveryhodnej siete a profilu firewallu aplikované globálne, pokiaľ nie sú zapnuté nasledujúce možnosti: a. Je aktívne len jedno sieťové pripojenie b. Nie je aktívne bezdrôtové pripojenie c. Nie je aktívne nezabezpečené bezdrôtové pripojenie
68
3.9.2.6.2 Autentifikácia zóny – nastavenie serverovej časti Autentifikáciu vykonáva ľubovoľný počítač/server, ktorý je pripojený do siete, ktorá má byť autentifikovaná. Aplikácia ESET Authentication Server by mala byť neustále zapnutá a v rámci danej siete dostupná, aby bolo možné vykonať autentifikáciu kedykoľvek pri pripojení klienta. Inštalačný súbor aplikácie ESET Authentication server je možné stiahnuť z web stránky spoločnosti ESET. Po nainštalovaní sa zobrazí riadiace dialógové okno autentifikačného servera, ktoré je možné neskôr kedykoľvek vyvolať cez ponuku Štart > Všetky programy > ESET > ESET Authentication Server. Pre konfiguráciu autentifikačného servera zadajte názov autentifikovanej siete, port na ktorom bude server počúvať (štandardne 80) a cestu k adresáru, do ktorého bude vygenerovaný súkromný a verejný kľúč. V ďalšom budú kľúče použité na autentifikačnom procese. Súkromný kľúč ostáva nastavený na serveri, verejný kľúč je treba použiť na klientskej strane – v nastaveniach autentifikačného servera v ESET Endpoint Security.
3.9.2.7 Vytváranie protokolov Personálny firewall ESET Endpoint Security ukladá dôležité udalosti do protokolového súboru, ktorý je možné prehliadať priamo z hlavného okna. Kliknite na Nástroje > Protokoly a z roletového menu vyberte možnosť Personálny firewall. Logovanie predstavuje silný nástroj na odhaľovanie chýb a zisťovanie prienikov do systému. Protokoly personálneho firewallu obsahujú nasledovné údaje: Čas, kedy daná udalosť nastala Názov udalosti Zdrojovú sieťovú adresu Cieľovú sieťovú adresu Protokol sieťovej komunikácie Aplikované pravidlo, resp. názov červa, ak je identifikovaný Komunikujúca aplikácia Prihlásený používateľ v čase zistenia hrozby Analýzou týchto údajov môžeme odhaliť pokusy o narušenie bezpečnosti systému. Príliš časté spojenia z rôznych neznámych lokalít, hromadné pokusy o nadviazanie spojenia, komunikujúce neznáme aplikácie či nezvyčajné čísla portov môžu pomôcť v odhalení útoku a minimalizovaní jeho následkov.
3.9.2.8 Nadväzovanie spojenia - detekcia Personálny firewall deteguje každé nové sieťové spojenie. Nastavenie režimu filtrovania určuje aké činnosti sa vykonajú pri novom sieťovom spojení. Pri Automatickom režime alebo pri Režime politiky personálny firewall pracuje bez interakcie používateľa. V prípade interaktívneho režimu je zobrazené informačné okno, oznamujúce detekciu nového sieťového spojenia spolu s informáciami o tomto spojení. Používateľovi je ponúknutá možnosť spojenie povoliť alebo zakázať. V prípade, ak opakovane povoľujete rovnaké rozhodnutia spojenie, odporúčame zapamätať túto možnosť vytvorením pravidla. Kliknite na Zapamätať si akciu (vytvoriť pravidlo) pre uloženie akcie do nastavení personálneho firewallu ako nové pravidlo. V prípade, ak firewall v budúcnosti rozpozná rovnaké spojenie, bez opýtania naň aplikuje už existujúce pravidlo. Zapamätať akciu pre tento proces (nevytvorí sa pravidlo) spôsobí, že zvolená akcia (Povoliť/ Zakázať) sa zapamätá pre tento proces a platí len po najbližšiu zmenu pravidla, režimu filtrovania, aktualizácie firewallového modulu alebo reštartu systému. Po vykonaní jednej z hore uvedených činností budú dočasné pravidlá zmazané.
69
Pri zistení neznámeho spojenia treba postupovať obozretne a povoľovať len tie spojenia, ktoré sú bezpečné. Personálny firewall pri povolení všetkých spojení stráca svoje opodstatnenie. Dôležitými parametrami spojenia sú hlavne: Vzdialený počítač – Povoľujeme len spojenia na dôveryhodné a známe adresy. Aplikácia – Nie je vhodné povoliť spojenia neznámym aplikáciám a procesom. Lokálny port – Komunikácia na známych portoch (napr. web – port číslo 80) je zvyčajne bezpečná. Počítačové infiltrácie vo veľkej miere pre svoje šírenie využívajú internet a skryté spojenia, pomocou ktorých sú schopné infikovať systém. Správnym konfigurovaním pravidiel personálneho firewallu je možné ochrániť systém pred množstvom škodlivého kódu.
3.9.2.9 Riešenie problémov s personálnym firewallom Ak ste si všimli problém s pripojením pri používaní ESET Endpoint Security, existuje niekoľko spôsobov ako zistiť či je problém spôsobený personálnym firewallom od spoločnosti ESET. Sprievodca riešením problémov vám umožňuje vyriešiť problémy so spojením, ktoré môžu vznikať pri používaní personálneho firewallu. Viac informácii nájdete v nasledujúcich kapitolách: Sprievodca riešením problémov Vytváranie protokolov a pravidiel alebo výnimiek z protokolu Vytvorenie výnimky z oznámenia firewallu Rozšírené protokoly PCAP Riešenie problémov s kontrolou protokolov
3.9.2.9.1 Sprievodca riešením problémov Sprievodca riešením problémov monitoruje všetky blokované spojenia a pomôže vám pri riešení problémov s firewallom, spôsobených určitou aplikáciou alebo vzdialeným zariadením. Sprievodca vám navrhne nové pravidlá pre zlepšenie problémového stavu. Sprievodca riešením problémov nájdete v hlavnom okne programu v záložke Nastavenie > Sieť.
70
3.9.2.9.2 Vytváranie protokolov a pravidiel alebo výnimiek z protokolu Štandardne personálny firewall nevytvára protokol o blokovaní spojení. Ak chcete zistiť, ktoré spojenia sú blokované Personálnym firewallom, povoľte možnosť Zapnúť rozšírené protokoly personálneho firewallu cez Rozšírené nastavenia > Nástroje > Diagnostika. Ak vo vytvorenom protokole nájdete nežiadúce spojenia, môžete pre tieto spojenia vytvoriť IDS výnimku kliknutím pravým tlačidlom na záznam a vybratím možnosti Neblokovať podobné udalosti v budúcnosti. Vezmite prosím na vedomie, že blokované spojenia môžu obsahovať tisíce údajov a môže byť veľmi ťažké nájsť špecifické spojenie, ktoré spôsobuje problém. Po vyriešení problému môžete vytváranie protokolov znova vypnúť. Viac informácii protokoloch nájdete v kapitole Protokoly. Poznámka: Použite vytváranie protokolov na zistenie pravidiel, podľa ktorých personálny firewall blokuje špecifické spojenia. Vytváranie pravidiel z týchto protokolov vám umožňuje prispôsobiť pravidlá presne podľa vašich potrieb.
3.9.2.9.2.1 Vytvorenie pravidla z protokolu Nová verzia ESET Endpoint Security vám umožňuje vytvoriť pravidlo z protokolu. V hlavnom okne programu kliknite na Nástroje > Protokoly. Z roletového menu vyberte Personálny firewall, pravým tlačidlom myši kliknite na protokol a z kontextového menu vyberte možnosť Neblokovať podobné udalosti v budúcnosti. Zobrazí sa oznámenie o vytvorení nového pravidla. Aby bolo možné vytvoriť pravidlo z protokolu ESET Endpoint Security, musí byť nastavené nasledovne: Nastavte minimálnu úroveň ukladanie záznamov na možnosť Diagnostický v strome Rozšírených nastavení (F5) > Nástroje > Protokoly. Povoľte v Rozšírených nastaveniach (F5) > Personálny firewall > IDS a pokročilé nastavenia > Detekcia útokov možnosť Zobraziť upozornenia aj pre prichádzajúce útoky na bezpečnostné diery.
3.9.2.9.3 Vytvorenie výnimky z oznámenia firewallu Keď personálny firewall deteguje škodlivú aktivitu na sieti, zobrazí oznámenie s popisom udalosti. Toto oznámenie obsahuje odkaz, ktorý vám umožňuje vytvoriť výnimku. Poznámka: Ak sieťová aplikácia alebo zariadenie nespĺňa sieťové štandardy, môže dôjsť k opakovanému oznámeniu tej istej udalosti. Takýmto oznámeniam sa dá predísť vytvorením výnimky priamo z oznámenia na obrazovke.
3.9.2.9.4 Rozšírené protokoly PCAP Táto funkcionalita je navrhnutá na komplexné vytváranie protokolov pre technickú podporu spoločnosti ESET. Kvôli značnej veľkosti protokolov a spomaleniu počítača pri ich vytváraní, použite túto možnosť, len ak vás na to vyzval pracovník technickej podpory spoločnosti ESET. 1. PCAP protokoly zapnete cez Rozšírené nastavenia (F5) > Personálny firewall > IDS a pokročilé nastavenia > Hľadanie závad > Vytvárať rozšírený PCAP protokol. 2. Po zapnutí vytvárania protokolov sa pokúste znova vyvolať váš problém. 3. Následne vypnite vytváranie rozšírených protokolov PCAP. 4. PCAP protokoly sa nachádzajú v rovnakom adresári ako diagnostické pamäťové obrazy, ktoré boli vygenerované: Microsoft Vista alebo novší operačný systém C:\ProgramData\ESET\ESET Endpoint SecurityMicrosoft XP/2003
C:\Documents and Settings\All Users
\...
71
3.9.2.9.5 Riešenie problémov s kontrolou protokolov Ak ste si všimli problém s pripojením pri používaní ESET Endpoint Security, v prvom rade treba zistiť, či je problém spôsobený kontrolou protokolov. Pre zistenie toho skúste vypnúť kontrolu protokolov v rozšírených nastaveniach (nezabudnite kontrolu znova zapnúť keď skončíte, v opačnom prípade ostanú webové prehliadače a poštový klienti nechránené) Ak sa po vypnutí kontroly protokolov neprejavuje váš problém, je možné, že to je jeden z nasledujúcich problémov: Problémy aktualizácie alebo bezpečnou komunikáciou Ak aplikácia vyhlasuje problém s aktualizáciou alebo so zabezpečením komunikačných kanálov. Ak je zapnutá kontrola protokolov SSL, skúste ju dočasne vypnúť. Ak to pomôže, môžete ju naďalej používať a umožniť aktualizáciu vylúčením problémovej komunikácie: Prepnite kontrolu protokolu SSL na interaktívny mód. Spustite znova aktualizáciu. Malo by sa zobraziť dialógové okno o kryptovanej komunikácii. Uistite sa, že aplikácia v okne je tá, ktorej problém riešite, a že certifikát pochádza z aktualizačného servera. Označte možnosť zapamätať akciu pre tento certifikát a vyberte Ignorovať. Ak sa nezobrazia ďalšie relevantné dialógy, môžete prepnúť režim filtrovania späť na automatický a problém by mal byť vyriešený. Ak aplikácia nie je internetový prehliadač alebo poštový klient, môžete kompletne vyňať z kontroly protokolov (ak vyjmete z kontroly poštový klient alebo webový prehliadač vystavíte tým váš počítač riziku infiltrácie). Aplikácie, ktoré mali zapnutú kontrolu protokolov by už mali byť v zozname , ktorý vám bol poskytnutý pri pridávaní výnimky, takže manuálne pridanie výnimky by už nemalo byť potrebné. Problém s prístupom na sieťové zariadenie Ak nemáte prístup k funkcionalitám zariadení na vašej sieti (napríklad otváranie webstránky sieťovej webkamery alebo prehranie videa z počítača na vašom domácom multimediálnom prehrávači/centre). Problém so špecifickou stránkou Pre vylúčenie webstránky z kontroly protokolov použite manažment URL adries. Napríklad, ak nemáte prístup k stránke https://www.gmail.com/intl/en/mail/help/about.html, skúste pridať *gmail.com* do zoznamu webstránok vyňatých z kontroly. Chyba "Niektoré aplikácie schopné importovať koreňový certifikát stále bežia“ Ak povolíte kontrolu protokolu SSL, ESET Endpoint Security sa postará aby aplikácie dôverovali spôsobu kontroly protokolov SSL importovaním certifikátov do ich úložného priestoru certifikátov. V niektorých aplikáciach to nieje možné vykonať za behu. Vrátane programov ako napríklad Firefox, Thunderbird, Opera. Uistite sa, že tieto aplikácie nebežia (napríklad cez Správca úloh - ak sa v zozname Procesy nenachádza firefox.exe, thunderbird.exe alebo opera.exe). Chyba o nedôveryhodnom vydavateľovi alebo neplatnom podpisovateľovi certifikátu Toto oznámenie znamená, že predošlé kroky zlyhali. V prvom rade sa uistite, Potom vypnite kontrolu protokolu SSL a následne ju zapnite. Tento postup znova spustí import.
72
3.9.3 Web a mail Nastavenia webu a mailov je možné nájsť v menu Nastavenie > Web a mail. Odtiaľto môžete tiež pristupovať k podrobnejším nastaveniam programu.
Webová kontrola umožňuje blokovať web stránky, ktoré môžu obsahovať potenciálne neprístojný obsah. Hlavnou úlohou Webovej kontroly je kontrola webových stránok prezeraných používateľmi firemnej siete. Prečítajte si aj o Webová kontrola . Internetové pripojenie patrí do štandardnej výbavy osobných počítačov. Zároveň sa stalo aj hlavným médiom prenosu škodlivého softvéru. Preto je veľmi dôležité venovať zvýšenú pozornosť Ochrane prístupu na web. Ochrana poštových klientov zabezpečuje kontrolu poštovej komunikácie prijímanej prostredníctvom POP3 a IMAP protokolu. Pomocou doplnku (pluginu) do poštových klientov je zabezpečená kontrola všetkej komunikácie poštových klientov (POP3, MAPI, IMAP, HTTP). Antispamová ochrana zabezpečuje filtrovanie nevyžiadaných emailových správ. Kliknutím na ozubené koleso
vedľa popisu Antispamová ochrana sa zobrazia nasledujúce možnosti:
Konfigurovať... – Otvorí dialógové okno Poštové programy. Používateľský zoznam dôveryhodných adries/blokovaných adries/výnimiek – Zobrazí okno, kde môžete pridať/ odobrať/upraviť adresy, ktoré považujete za dôveryhodné alebo nedôveryhodné. Adresy pridané do tohto zoznamu a správy, ktoré z nich boli prijaté budú považované za spam. Kliknite na Používateľský zoznam výnimiek pre otvorenie zoznamu adries, ktoré majú byť vždy kontrolované na prítomnosť spamu. Správy prijaté z týchto adries budú vždy skontrolované. Anti-Phishing Filtruje obsah webových stránok podozrivých z distribúcie obsahu za účelom manipulácie používateľov, aby poskytli svoje osobné údaje (napr. prihlásenie na iBanking). Nastavenia Anti-Phishingu je možné nájsť v menu Nastavenia > Web a mail. Prečítajte si aj o Anti-phishing. Vypnúť – Kliknite pre pozastavenie webovej/mailoveja antispamovej ochrany pre poštové klienty a webové prehliadače . 73
3.9.3.1 Filtrovanie protokolov Antivírusová ochrana aplikačných protokolov je vykonávaná prostredníctvom skenovacieho jadra ThreatSense, v ktorom sú sústredené všetky pokročilé metódy detekcie škodlivého softvéru. Kontrola pracuje nezávisle od používaného internetového prehliadača, alebo poštového klienta. Meniť nastavenie SSL je možné v sekcii Ochrana webu a mailu > SSL/TLS. Zapnúť kontrolu obsahu aplikačných protokolov – Zapne/Vypne filtrovanie protokolov. Moduly ESET Endpoint Security (Webová kontrola, Kontrola poštových klientov, Anti-Phishing ochrana, Ochrana prístupu na web) sú závislé na tomto nastavení a vypnutí filtrovania protokolov nebudú funkčné. Vylúčené aplikácie – Pridanie aplikácie vylúčenej z filtrovania protokolov. Odporúčame použiť v prípade, že filtrovanie protokolov obmedzuje spojenie. Vylúčené IP adresy – Pridanie adresy vylúčenej z filtrovania protokolov. Odporúčame použiť v prípade, že filtrovanie protokolov obmedzuje spojenie. Webové a poštové klienty – Dostupné len v operačnom systéme Windows XP/2003. Umožňuje pridať aplikácie, ktorých komunikácia má byť kontrolovaná filtrovaním protokolov.
3.9.3.1.1 Web a mail klienty Poznámka: Od systémov Windows Vista so Service Pack 1 a Windows server 2008 sa používa odlišný spôsob kontroly komunikácie (je využitá nová architektúra Windows Filtering Platform). Z tohto dôvodu nie je nastavenie Web a mail klienty dostupné na novších systémoch. Bezpečnosť pri prezeraní web stránok je vzhľadom na veľké množstvo škodlivého kódu dôležitou súčasťou ochrany osobného počítača. Chyby prehliadačov a rôzne klamlivé odkazy dokážu zaviesť škodlivý kód do systému bez vedomia používateľa. Z tohto dôvodu je v ESET Endpoint Security venovaná pozornosť Internetovým prehliadačom. Každá aplikácia, ktorá pristupuje k sieti, môže byť označená ako Internetový prehliadač. Aplikácie, ktoré už používajú protokoly na komunikáciu alebo aplikácie z vybranej cesty, môžu byť pridané do zoznamu Poštových klientov.
74
3.9.3.1.2 Vylúčené aplikácie Pre vylúčenie aplikácií z kontroly protokolov ich pridajte do tohto zoznamu. Po pridaní do zoznamu nebude HTTP, POP3, či IMAP komunikácia označených aplikácií kontrolovaná na prítomnosť škodlivého kódu. Odporúčame používať túto možnosť iba v prípade aplikácií, ktoré by sa so zapnutou kontrolou protokolov nechovali správne. Aplikácie a služby, ktoré sú ovplyvnené kontrolou protokolov sa automaticky zobrazia po kliknutí na tlačidlo Pridať.
75
3.9.3.1.3 Vylúčené IP adresy IP adresy uvedené v zozname budú vylúčené z filtrovania protokolov. Obojstranná HTTP, POP3, či IMAP komunikácia označených aplikácií nebude kontrolovaná na prítomnosť škodlivého kódu. Odporúčame používať túto možnosť iba v prípade dôveryhodných IP adries. Pridať – Umožňuje pridanie vzdialenej adresy Internet Protokolu (IP) verzie 4, rozsahu adries alebo podsiete, pre ktorú je uplatnené pravidlo. Upraviť – Edituje IP adresu zo zoznamu. Zmazať – Odstráni označené IP adresy zo zoznamu.
3.9.3.1.4 SSL/TLS ESET Endpoint Security umožňuje kontrolu komunikácie pomocou protokolu SSL. Kontrolu možno prispôsobiť podľa toho, či certifikát využívaný danou SSL komunikáciou je dôveryhodný, neznámy, alebo je v zozname certifikátov, pre ktoré sa nebude vykonávať kontrola obsahu v protokole SSL. Povoliť filtrovanie SSL/TLS protokolu – Ak je táto možnosť vypnutá, nebude sa používať filtrovanie komunikácie cez protokol SSL. Režim filtrovania SSL/TLS je dostupný v nasledujúcich režimoch: Automatický režim – Bude vykonávaná kontrola každej komunikácie cez protokol SSL, okrem komunikácie využívajúcej certifikáty vylúčené z kontroly. Pri komunikácii využívajúcej nový - zatiaľ neznámy certifikát, ktorý je dôveryhodne podpísaný, nebude používateľ upozornený a komunikácia sa bude automaticky filtrovať. Ak používateľ pristupuje na server používajúci nedôveryhodne podpísaný certifikát, pričom bol tento používateľom označený ako dôveryhodný (zaradený do zoznamu dôveryhodných certifikátov), prístup bude povolený a komunikácia bude filtrovaná. Interaktívny režim – V prípade neznámeho certifikátu bude zobrazené okno s možnosťou výberu akcie. Tento režim umožňuje vytvoriť zoznam certifikátov, pre ktoré sa nebude vykonávať kontrola v protokole SSL. Blokovať kryptovanú komunikáciu používajúcu zastaraný protokol SSL v2 – Komunikácia cez staršiu verziu SSL protokolu bude automaticky pri jej nadviazaní blokovaná. Koreňový certifikát Koreňový certifikát – Pre správne fungovanie SSL komunikácie v danom prehliadači/emailovom klientovi je 76
nevyhnutné, aby do jeho zoznamu známych koreňových certifikátov (vydavateľov) bol pridaný aj certifikát spoločnosti ESET, spol. s r.o. Pridať koreňový certifikát do známych prehliadačov by teda mala ostať zaškrtnutá. Voľba zabezpečuje jeho automatické pridanie do známych prehliadačov (napr. Opera, Firefox). Prehliadače používajúce ukladací priestor systémových certifikátov pridaný automaticky (napr. Internet Explorer). Pre nepodporované prehliadače môže byť certifikát vyexportovaný cez tlačidlo Zobraziť certifikát > Podrobnosti > Kopírovať do súboru... a následne manuálne naimportovaný do prehliadača. Platnosť certifikátu Ak sa nedá overiť platnosť certifikátu pomocou certifikačného úložiska TRCA – V niektorých prípadoch sa nedá overiť platnosť certifikátu pomocou certifikačných autorít (napr. TRCA). To znamená, že certifikát je niekým samostatne podpísaný (napr. administrátorom webového servera alebo malou firmou) a považovanie tohto certifikátu za dôveryhodný nemusí vždy predstavovať riziko. Väčšina veľkých obchodných spoločností (napr. banky) používajú certifikát podpísaný certifikačnou autoritou (TRCA – Trusted Root Certification Authorities). Ak je označená možnosťSpýtať sa používateľa na platnosť certifikátu(predvolená), používateľ bude v prípade nadviazania šifrovanej komunikácie upozornený na výber akcie. Pomocou možnosti Zakázať komunikáciu využívajúcu daný certifikát sa vždy zablokuje komunikácia s web stránkou využívajúcu neoverený certifikát. Ak je certifikát neplatný alebo poškodený – znamená to, že mu vypršala platnosť alebo bol nesprávne podpísaný. V tomto prípade sa odporúča ponechať možnosť Zakázať komunikáciu využívajúcu daný certifikát označenú. Zoznam známych certifikátov – umožňuje nastaviť správanie pre špecifické SSL certifikáty.
3.9.3.1.4.1 Kryptovaná SSL komunikácia Ak je počítač nastavený na kontrolu protokolu SSL, môže sa pri pokuse o kryptovanú komunikáciu zobraziť výstražné okno s možnosťami výberu z dvoch situácií. Prvá možnosť nastáva ak stránka používa neoveriteľný alebo neplatný certifikát, a ESET Endpoint Security je nastavené sa v takýchto prípadoch pýtať používateľa (predvolene len pri neoveriteľných). Zobrazí sa dialógové okno s možnosťami Blokovať alebo Povoliť spojenie. Druhá možnosť je, ak je Režim filtrovania protokolu SSL nastavený na Interaktívny režim, zobrazí sa dialógové okno pre každú webovú stránku s možnosťami Kontrolovať alebo Ignorovať spojenia. Niektoré aplikácie kontrolujú či ich SSL komunikácia nie je zmenená alebo sledovaná inou aplikáciou, v takomto prípade musí ESET Endpoint Security Ignorovať komunikáciu týchto aplikácií, aby nedošlo k obmedzeniu ich funkčnosti. V oboch hore uvedených prípadoch zobrazenia výstražných okien je možné zapamätať danú akciu. Zapamätané akcie sú uložené v Zozname známych certifikátov.
3.9.3.1.4.2 Zoznam známych certifikátov Pomocou Zoznamu známych certifikátov môžete prispôsobiť správanie ESET Endpoint Security k určitým SSL certifikátom, ako aj na zapamätanie pravidiel pri Interaktívnom režime nastavenom v sekcii SSL/TLS. Upravovanie zoznamu je možné v časti Rozšírené nastavenia (klávesová skratka F5) > Ochrana webu a mailu > SSL/TLS > Zoznam známych certifikátov. V okne Zoznam známych certifikátov sú dostupné nasledujúce možnosti: Stĺpce Názov – Meno certifikátu. Vydavateľ certifikátu – Meno tvorcu certifikátu. Predmet certifikátu – Verejný kľúč certifikátu. Prístup – Zvoľte Povoliť alebo Blokovať na povolenie alebo blokovanie komunikácie s certifikátom bez ohľadu na jeho dôveryhodnosť. Vyberte možnosť Automaticky pre povolenie dôveryhodných a pýtanie sa na nedôveryhodné certifikáty. Vyberte možnosť Pýtať sa pre zobrazenie okna s výberom možnosti pri každej komunikácii. 77
Kontrolovať – Vyberte Kontrolovať alebo Ignorovať ako akciu kontroly pri komunikácii. Vyberte možnosť Automaticky pre povolenie dôveryhodných a pýtanie sa na nedôveryhodné certifikáty. Vyberte možnosť Pýtať sa pre zobrazenie okna s výberom možnosti pri každej komunikácii. Ovládacie prvky Pridať – Certifikát môže byť načítaný manuálne ako súbor s príponou .cer, .crt alebo .pem. Kliknite na Súbor ak chcete načítať certifikát alebo na URL a zadajte presnú adresu online certifikátu. Upraviť – Upraviť nastavenia pre certifikát. Zmazať – Označte položku v zozname a kliknite na Zmazať pre odstránenie položky zo zoznamu. OK/Zrušiť - Kliknite na OK pre potvrdenie nastavení alebo na Zrušiť.
3.9.3.2 Ochrana webu a mailu 3.9.3.2.1 Poštové programy Integrácia ESET Endpoint Security a poštových klientov zlepšuje možnosť aktívnej ochrany pred škodlivým kódom v e-mailových správach. V prípade, ak je daný poštový klient podporovaný, je vhodné povoliť jeho integráciu s ESET Endpoint Security. Pri integrácii prichádza priamo k vloženiu panelu nástrojov ESET Endpoint Security do poštového klienta (okrem novších verzií Windows Live Mail), čo prispieva k dokonalejšej kontrole e-mailových správ. Nastavenia pre túto funkcionalitu sú dostupné cez Rozšírené nastavenia (F5) > Ochranu webu a mailu > Kontrola poštových klientov > Poštové programy. Integrácia s poštovými klientmi V tomto okne je možné aktivovať integráciu s podporovanými poštovými klientmi, ktorými v súčasnej verzii sú: Microsoft Outlook, Outlook Express, Windows Mail a Windows Live Mail. Kontrola je vykonávaná prostredníctvom pluginu. Hlavnou výhodou je nezávislosť od použitého protokolu. V prípade šifrovanej komunikácie program takto od poštového klienta dostáva už dešifrované správy na skenovanie. Kompletný zoznam podporovaných emailových klientov a ich verzií nájdete v nasledujúcom článku databázy znalostí ESET. V prípade neoznačenia integrácie bude emailová komunikácia chránená modulom ochrany poštových klientov (POP3, IMAP). Možnosť Vypnúť kontrolu pri zmene obsahu priečinkov s doručenou poštou odporúčame použiť v prípade, ak pozorujete spomalenie pri práci s poštovým klientom. Uvedená situácia môže nastať napríklad v prípade prijímania správ z úložiska správ prostredníctvom Kerio Outlook Connector Store. Skontrolovať e-mail Zapnúť e-mailovú ochranu prostredníctvom doplnkov klienta – Ak je kontrola e-mailových programov vypnutá, kontrola e-mailových programov prostredníctvom filtrovania protokolov bude aj naďalej zapnutá. Prijaté správy – Zapnutie / vypnutie kontroly prijatých správ. Odoslané správy – Zapnutie / vypnutie kontroly odosielaných správ. Prečítané správy – Zapnutie / vypnutie kontroly čítaných správ. S infikovanými správami vykonať nasledujúcu akciu Žiadna akcia – Program upozorní na správy s infikovanými prílohami, avšak nevykoná žiadnu akciu. Odstrániť e-mail – Program upozorní na infikované prílohy a odstráni celú správu. Presunúť správu do priečinku vymazaných správ – Program bude presúvať správy do priečinku Vymazané správy. Presunúť správu do priečinka – Program bude presúvať správy do zadaného priečinku. Zložka – Adresár/priečinok, do ktorého bude program presúvať správy, v kt. boli zachytené infiltrácie. Opakovať kontrolu po aktualizácii – Zapnutie / vypnutie opätovnej kontroly správ po aktualizácií databáz. Zohľadniť výsledky kontroly iných modulov – Zohľadnenie výsledku kontroly vykonanej iným modulom (kontrolou protokolov POP3, IMAP).
78
3.9.3.2.2 E-mailové protokoly IMAP a POP3 sú najrozšírenejší protokoly slúžiace na príjem emailovej komunikácie prostredníctvom poštového klienta. ESET Endpoint Security zabezpečuje ochranu tohto protokolu nezávisle od používaného klienta. Nastavenia protokolov IMAP/IMAPS a POP3/POP3S môžete meniť v Rozšírených nastaveniach programu. Nastavenia pre túto funkcionalitu sú dostupné cez Rozšírené nastavenia (F5) > Ochranu webu a mailu > Kontrola poštových klientov > E-mailové protokoly. Zapnúť ochranu e-mailových protokolov prostredníctvom filtrovania protokolov – Zapne kontrolu e-mailových protokolov. V operačnom systéme Windows Vista (a novších operačných systémoch) sú IMAP a POP3 protokoly automaticky detegované a kontrolované na všetkých portoch. V operačnom systéme Windows XP/2003, sú kontrolované iba porty používané IMAP/POP3 protokolmi, avšak všetky porty sú kontrolované na aplikácie označené ako Web a mail klienty. ESET Endpoint Security tiež podporuje kontrolu IMAPS a POP3S. Pri týchto protokoloch sú prenášané údaje medzi serverom a klientom zašifrované. Kontrolovaná je aj komunikácie šifrovaná pomocou šifrovacích metód SSL (Secure Socket Layer), alebo TLS (Transport Layer Security). Kontrolované sú len porty používané IMAP/POP3 protokolmi, v závislosti od operačného systému. Kryptovaná komunikácia nie je kontrolovaná, ak sú ponechané predvolené nastavenia. Pre povolenie kontroly kryptovanej komunikácie je treba zapnúť možnosť SSL/TLS v Rozšírených nastaveniach v sekcii Ochrana Webu a mailu > SSL/TLS, kde povoľte možnosť Povoliť filtrovanie SSL/TLS protokolu.
79
3.9.3.2.3 Upozornenia a udalosti Ochrana poštových klientov zabezpečuje kontrolu poštovej komunikácie prijímanej prostredníctvom POP3 a IMAP protokolu. Pomocou zásuvného programu do klienta Microsoft Outlook je zabezpečená kontrola všetkej komunikácie tohto klienta (POP3, MAPI, IMAP, HTTP). Pri kontrole prijímaných správ sú použité všetky pokročilé metódy kontroly obsiahnuté v skenovacom jadre ThreatSense. Tým je zabezpečená detekcia nebezpečných programov ešte pred aktualizáciou vírusových databáz. Kontrola POP3 a IMAP protokolu je nezávislá od typu poštového klienta. Nastavenia pre túto funkcionalitu sú dostupné cez Rozšírené nastavenia (F5) > Ochranu webu a mailu > Kontrola poštových klientov > Upozornenia a udalosti. ThreatSense parametre – Detailnejšie nastavenia kontroly, ako napr. typy súborov, ktoré si želáte kontrolovať alebo metódy detekcie. Program umožňuje do kontrolovaných správ pridávať podpis s informáciami o výsledku kontroly. Textové upozornenia môže používateľ Pridávať do prijatých a čítaných správ, Pridávať do predmetu prijatých a čítaných správ, alebo tiež Pridávať do odosielaných správ a Pridávať do predmetu odosielaných správ. Na tieto podpisy sa nemožno úplne spoliehať, nakoľko nemusia byť doplnené do problematických HTML správ a taktiež môžu byť sfalšované vírusmi. Pridávanie podpisu možno nastaviť zvlášť pre prijaté a čítané správy a zvlášť pre odosielané správy. Sú dostupné tieto možnosti: Nepridávať do správ – Program nebude pridávať podpisy do žiadnych kontrolovaných správ. Pridávať len do infikovaných správ – Program bude pridávať podpisy len do infikovaných správ. Pridávať do všetkých testovaných správ – Program bude pridávať podpisy do všetkých kontrolovaných správ. Pridávať do predmetu prijatých a čítaných/odosielaných infikovaných správ – Umožňuje pridať do predmetu infikovaných správ reťazec špecifikovaný v nastavení Šablóna pridávaná do predmetu infikovaných správ. Táto funkcia sa dá využiť pre jednoduché filtrovanie infikovaných správ podľa predmetu, pokiaľ to poštový klient umožňuje. Reťazec tiež vzbudzuje dôveryhodnosť u adresáta správy a poskytuje hodnotnú informáciu o bezpečnosti správy. Šablóna pridávaná do predmetu infikovaných správ – – Upravte túto šablónu, ak si želáte zmeniť prefix formát subjektu infikovaného emailu. Táto funkcionalita doplní predmet správy, ktorý znie napríklad "Ahoj " prefixom "[virus]" na nasledovný formát: "[virus] Ahoj ". Premenná %VIRUSNAME% predstavuje typ nájdeného vírusu.
80
3.9.3.2.4 Antispamová ochrana V súčasnosti sa medzi najväčšie problémy emailovej komunikácie radí nevyžiadaná pošta – spam. Spam tvorí až 80% zo všetkej emailovej komunikácie. Antispamová ochrana slúži na ochranu pred týmto problémom. Obsahuje kombináciu viacerých účinných princípov zabezpečujúcich dokonalé filtrovanie.
Základnou metódou rozpoznávania nevyžiadanej pošty je schopnosť jej rozpoznania na základe vopred definovaných dôveryhodných a spamových adries. Medzi dôveryhodné adresy sú automaticky zaradené všetky z adresára emailového klienta a zoznam adries sa ďalej rozširuje o adresy označené používateľom. Hlavným princípom je rozpoznávanie spamu na základe vlastností emailových správ. Prijatá správa je preverená podľa základných pravidiel (vzorky správ, štatistická heuristika, rozpoznávacie algoritmy a ďalšie unikátne metódy) a podľa výsledku sa určí, či sa jedná o spam alebo nie. Automatický štart ochrany poštových klientov – Zapnuté spôsobí automatické spustenie antispamovej ochrany pri štarte počítača. Povoliť rozšírenú antispamovú kontrolu – Zvýši možnosti antispamu a prináša lepšie výsledky. Budú zároveň stiahnuté dodatočné antispamové databázy. Antispamová ochrana produktu ESET Endpoint Security dovoľuje nastaviť rôzne parametre pre prácu so zoznamami adries. Sú dostupné nasledujúce nastavenia: Práca so správami Pridávať text do predmetu správy – Umožní pridať vlastný text do predmetu e-mailovej správy klasifikovanej ako spam; definuje sa v priľahlom textovom poli (prednastavený je [SPAM]). Presunúť správu do spamového priečinka – Zapne/vypne používanie prednastaveného priečinka na spam. Použiť priečinok – Zapnite túto možnosť, kliknite do poľa a vpíšte cestu priečinka, do ktorého chcete aby boli presúvané spamové správy. Zložka – Spam bude presunutý do zvolenej zložky. 81
SPAM správy označovať ako prečítané – Zapne označovanie spamových správ ako prečítaných, čim vám umožní koncentrovať Vašu pozornosť na legitímne neprečítané správy. Reklasifikované správy označovať ako neprečítané – Ak je pole aktívne, správy pôvodne označené ako spam, a neskôr prehodnotené a označené ako legitímne, sa zobrazia ako neprečítané správy. Zápis hodnotenia antispamovej ochrany do protokolu – Antispamové jadro ESET Endpoint Security priraďuje každej skontrolovanej správe skóre. Správa sa zaznamenáva do antispam protokolu (ESET Endpoint Security > Nástroje > Protokoly > Antispamová ochrana). Nezapisovať – Stĺpec Skóre bude v protokole antispamovej ochrany prázdny. Zapisovať len reklasifikované správy a správy označené ako SPAM – Zvoľte túto možnosť, ak si želáte zapisovať spam skóre pre správy označené ako SPAM. Zapisovať všetky správy – Všetky správy budú mať zaznamenané spam skóre. Poznámka: ESET Endpoint Security podporuje antispamovú ochranu pre Microsoft Outlook, Outlook Express, Windows Mail a Windows Live mail.
3.9.3.2.4.1 Zoznamy adries Antispamová ochrana produktu ESET Endpoint Security dovoľuje nastaviť rôzne parametre pre prácu so zoznamami adries. Používateľský zoznam dôveryhodných adries obsahuje e-mailové adresy, ktoré sú bezpečné. Správy prijaté z týchto adries budú vždy v priečinku prijatej pošty. Používateľský zoznam blokovaných adries obsahuje e-mailové adresy, ktoré sú nebezpečné/rozširujú nevyžiadanú poštu. Všetky správy prijaté z týchto adries budú označené ako Spam a presunuté do príslušného priečinka. Používateľský zoznam blokovaných výnimiek obsahuje e-mailové adresy, ktoré môžu obsahovať nevyžiadanú poštu, ale zároveň nie sú spamové adresy (napr. ak je adresa odosielateľa falšovaná). Všetky používateľské zoznamy sú prístupné cez Rozšírené nastavenia > Ochrana Webu a mailu > Kontrola poštových klientov > Zoznamy adries. Pomocou tlačidiel Pridať, Upraviť a Zmazať môžete upraviť všetky zoznamy. Zoznamy sú prístupné aj z hlavného okna programu v sekcii Nastavenie > Web a mail po kliknutí na pri popise Antispamová ochrana.
Štandardne ESET Endpoint Security pridá všetky vaše kontakty z poštového klienta do zoznamu dôveryhodných adries. Zoznam blokovaných adries je štandardne prázdny. Zoznam výnimiek obsahuje len e-mailové adresy používateľa.
82
3.9.3.2.4.2 Pridanie dôveryhodných adries Emailové adresy ľudí, s ktorými prebieha bežná komunikácia, môžu byť zaradené do zoznamu tzv. dôveryhodných adries. Zabezpečí sa tak, že správa, ktorá príde z takejto emailovej adresy, nebude vyhodnotená ako spam. Známe spamové adresy môžu byť zaradené do zoznamu tzv. nedôveryhodných adries, takže budú vždy označené ako spam. Pridať adresu do zoznamov je možné kliknutím pravým tlačidlom myši na danú emailovú správu a zvolením ESET Endpoint Security > Pridať do zoznamu dôveryhodných adries alebo Pridať do zoznamu blokovaných adries, alebo kliknutím na možnosť Dôveryhodná adresa alebo Blokovaná adresa v ESET Endpoint Security Antispam doplnkovom panely vo vašom poštovom klientovi. Podobný postup platí aj pre spamové adresy. Pokiaľ sa emailová adresa nachádza v zozname spamových adries, každá prichádzajúca emailová správa z tejto adresy bude vyhodnotená ako spam.
3.9.3.2.4.3 Označenie správy ako spam Každá správa v poštovom klientovi môže byť označená ako spam. Pre označenie správy za spam kliknite pravým tlačidlom myši na správu/y v poštovom klientovi a cez kontextové menu (zvolením ESET Endpoint Security > Reklasifikovať označené správy ako Spam alebo kliknutím na voľbu Spam v ESET Endpoint Security Antispamovom paneli, ktorý sa nachádza vo vrchnej časti poštového klienta pod menu. Reklasifikované správy sú automaticky presunuté do spamového priečinka, ale adresa odosielateľa nie je pridaná do Používateľského zoznamu blokovaných adries. Pre zrušenie označenia správy za spam kliknite pravým tlačidlom myši na správu/y v poštovom klientovi a cez kontextové menu (zvolením ESET Endpoint Security > Reklasifikovať označené správy ako Nie Spam alebo kliknutím na voľbu Spam v ESET Endpoint Security Antispamovom paneli, ktorý sa nachádza vo vrchnej časti poštového klienta pod menu. Ak je správa z priečinka Junk E-mail reklasifikovaná ako Nie Spam, bude presunutá do priečinka Inbox. Reklasifikované správy ako Nie Spam sú automaticky presunuté do priečinka prijatých správ a adresa odosielateľa je automaticky pridaná do Používateľského zoznamu dôveryhodných adries.
83
3.9.3.3 Ochrana prístupu na web Internetové pripojenie patrí do štandardnej výbavy osobných počítačov. Zároveň sa stalo aj hlavným médiom prenosu škodlivého softvéru Ochrana prístupu na web spočíva hlavne v monitorovaní komunikácie prehliadačov internetových stránok so servermi, ktorá prebieha podľa pravidiel protokolu HTTP a HTTPS. Prístup na web stránky, ktoré sú známe ich nebezpečným obsahom, je vždy blokovaný skôr ako je obsah stiahnutý. Všetky ostatné webové stránky sú kontrolované technológiou ThreatSense pri ich načítaní a ak obsahujú škodlivý obsah, sú zablokované. Webová kontrola obsahuje 2 vrstvy ochrany, blokovanie zo zoznamu a blokovanie podľa obsahu.
Odporúčame ponechať Webovú kontrolu zapnutú. Nastavenia webovej ochrany sú prístupné z hlavného okna ESET Endpoint Security v sekcii Nastavenia > Web a mail > Ochrana prístupu na web. Nastavenia pre túto funkcionalitu sú dostupné cez Rozšírené nastavenia > Ochrana webu a mailu > Ochrana poštových klientov: Webové protokoly – Umožňujú kontrolu na štandardných protokoloch Webových prehliadačov. Manažment URL adries – Vo svojich nastaveniach dovoľuje definovať zoznamy adries, ktoré budú blokované, povolené, alebo vylúčené z kontroly. ThreatSense parametre – Detailnejšie nastavenia kontroly, ako napr. typy súborov, ktoré si želáte kontrolovať, metódy detekcie pre Ochranu prístupu na web.
3.9.3.3.1 Webové protokoly Štandardne je ESET Endpoint Security nakonfigurovaný na monitorovanie protokolov používaných vo väčšine internetových prehliadačov. V operačnom systéme Windows Vista (a novších operačných systémoch) je HTTP protokol automaticky detegovaný a kontrolovaný na všetkých portoch vo všetkých aplikáciach. V operačnom systéme Windows XP sú nastavenia kontroly HTTP v časti Rozšírené nastavenia (F5) > Ochrana webu a mailu > Ochrana prístupu na web > Webové protokoly. Komunikácia pomocou HTTP protokol je automaticky detegovaná a kontrolovaná na všetkých portoch vo všetkých aplikáciach označených ako Web a mail klienty. ESET Endpoint Security podporuje kryptovanú komunikáciu HTTPS. Pri tejto komunikácií sú údaje, prenášané medzi 84
serverom a klientom, zašifrované. Kontrolovaná je aj komunikácie šifrovaná pomocou šifrovacích metód SSL (Secure Socket Layer) alebo TLS (Transport Layer Security). Kontrolované sú len Porty používané protokolom HTTPS, pričom nezáleží na operačnom systéme. Kryptovaná komunikácia nie je kontrolovaná, ak sú ponechané predvolené nastavenia. Pre povolenie kontroly kryptovanej komunikácie je treba zapnúť možnosť SSL/TLS v Rozšírených nastaveniach v sekcii Ochrana Webu a mailu > SSL/TLS, kde povoľte možnosť Povoliť filtrovanie SSL/TLS protokolu.
3.9.3.3.2 Manažment URL adries Manažment URL adries vo svojich nastaveniach dovoľuje definovať zoznamy adries, ktoré budú blokované, povolené, alebo vylúčené z kontroly. Adresy na zozname zakázaných adries nebudú prístupné. Adresy na zozname adries vylúčených z kontroly sú prístupné bez kontrolovania. Kontrola protokolu SSL, musí byť povolená, ak chcete okrem HTTP adries filtrovať aj adresy HTTPS. V opačnom prípade budú pridané len domény HTTPS adries, ktoré ste navštívili a celé URL adresy nebudú pridané. V zoznamoch URL adries je možné používať špeciálne znaky * (hviezdička) a ? (otáznik). Hviezdička nahrádza ľubovoľný reťazec a otáznik nahrádza ľubovoľný znak. Adresy vylúčené zo skenovania sa nekontrolujú proti hrozbám a preto by mal zoznam obsahovať iba overené a dôveryhodné adresy. Rovnako je potrebné dbať na opatrnosť pri používaní špeciálnych znakov v tomto zozname. Pozrite kapitolu Pridanie masky adresy / domény pre návod ako môže byť celá doména zahrňujúc subdomény bezpečne zhodná. Ak chcete aktivovať zoznam, zapnite možnosť Zoznam je aktívny. Ak chcete byť upozornený pri aplikovaní adresy zo zoznamu, zapnite možnosť Upozorniť pri aplikovaní adresy zo zoznamu. Ak chcete zablokovať všetky adresy okrem adries zaradených na Zozname povolených adries, pridajte "*" do Zoznamu zakázaných adries.
Pridať – Pridanie URL adresy do zoznamu. Toto môže byť užitočné ak chcete logicky rozdeliť niekoľko skupín adries. Napríklad, jeden zoznam blokovaných adries môže obsahovať adresy z externého verejného zoznamu blokovaných adries a ďalší zoznam môže obsahovať váš vlastný zoznam blokovaných adries, čo uľahčuje aktualizáciu externých zoznamov pričom nenaruší váš užívateľský zoznam. Upraviť – Upraví existujúci zoznam. Použite túto možnosť na pridanie alebo odstránenie adresy zo zoznamu. Zmazať – Odstráni existujúci zoznam. Dostupné len pre zoznamy pridané cez tlačidlo Pridať.
85
3.9.3.4 Anti-phishing ochrana Pojmom phishing sa definuje kriminálna činnosť využívajúca tzv. sociálne inžinierstvo (manipulačné techniky na získanie dôverných informácií). Cieľom je získať citlivé údaje, ako napríklad heslá k bankovým účtom, PIN kódy a iné detaily. Viac o tomto type aktivity sa môžete dočítať v slovníku pojmov. ESET Endpoint Security má zabudovanú ochranu proti phishingu, a teda známe webové stránky s týmto typom obsahu môžu byť zablokované. Odporúčame, aby ste povolili možnosť Anti-Phishing v programe ESET Endpoint Security. Nachádza sa v strome Rozšírených nastavení (F5) vo vetve Ochrana webu a mailu > Anti-Phishing ochrana. Aktuálny popis k týmto nastaveniam nájdete v nasledujúcom článku databázy znalostí spoločnosti ESET. Prístup na phishingovú stránku Ak otvoríte phishingovú stránku, otvorí sa vám v prehliadači nasledujúce upozornenie. Kliknutím na Prejsť na stránku (neodporúča sa), budete môcť zobraziť podozrivú stránku bez zobrazenia upozornenia v prehliadači.
Poznámka: Potenciálne phishingové stránky, ktoré boli horeuvedeným spôsobom pridané do whitelistu, expirujú v produkte po niekoľkých hodinách. Pre trvalé povolenie konkrétnej webovej stránky použite nástroj Manažment URL adries. V strome Rozšírených nastavení (F5) rozkliknite Ochrana webu a mailu > Ochrana prístupu na web > Manažment URL adries, v časti Zoznam adries kliknite na Upraviť a pridajte adresu do zoznamu. Nahlasovanie phishingových stránok V časti Nahlásiť phishingovú web stránku umožňuje ohlasovanie phishingových alebo malvérových web stránok do spoločnosti ESET na analýzu. Poznámka: Predtým, ako pošlete stránku do spoločnosti ESET na analýzu, sa prosím uistite, či web stránka spĺňa nasledovné podmienky: Webová stránka ešte nie je v programe detegovaná, Webová stránka sa nesprávne deteguje ako hrozba. V takom prípade kliknite na odkaz Toto nie je phishingová stránka. Webovú stránku na analýzu môžete odoslať aj prostredníctvom emailu, na adresu
[email protected]. Nezabudnite uviesť výstižný predmet správy a čo najviac informácii o webovej stránke (napr. URL adresa, z ktorej ste sa na túto stránku dostali, ako ste sa o nej dopočuli a pod.).
86
3.9.4 Webová kontrola Webová kontrola vám umožňuje konfigurovať nastavenie, ktoré chráni firmu pred rizikom právnej zodpovednosti. Webová kontrola riadi prístup k webovým stránkam, ktoré môžu obsahovať potenciálne neprístojný obsah alebo môžu porušovať intelektuálne vlastníctvo iných osôb/spoločností. Jej cieľom je zamedziť zamestnancom prístup na tieto stránky ako aj na stránky, ktoré môžu negatívne ovplyvniť ich produktivitu. Webová kontrola umožňuje blokovať webové stránky, ktoré môžu obsahovať potenciálne neprístojný obsah. Okrem toho môžu zamestnávatelia alebo systémoví administrátori zakázať prístup na 27 predvolených kategórii web stránok. V predvolenom nastavení je táto funkcionalita v produkte vypnutá. Ak chcete túto možnosť zmeniť, otvorte okno Rozšírené nastavenia (stlačením klávesy F5) a kliknite na Ochrana webu a mailu > Webová kontrola. Možnosť Integrácia do systému integruje Webovú kontrolu do programu ESET Endpoint Security. Kliknite na Upraviť vedľa popisu Pravidlá na otvorenie okna Editora pravidiel. Polia Správa pri blokovaní stránky a Blokovaná grafika stránky umožňujú nastaviť správu, ktorá sa bude zobrazovať ak bude webová stránka blokovaná. Tip: Ako príklad správy pri blokovaní webovej stránky môže byť text Táto webová stránka bola zablokovaná pretože j e považovaná za nevhodnú alebo s nevhodným obsahom. Prosím kontaktuj te vášho správcu siete pre viac inf ormácií a môžete tiež vložiť URL adresu alebo sieťovú cestu ku vlastnému obrázku napríklad takto http://test.com/ test.j pg. Veľkosť obrázka je automaticky nastavená na 90 x 30; obrázok bude automaticky upravený na túto veľkosť.
3.9.4.1 Editor pravidiel Okno Editor pravidiel zobrazuje existujúce pravidlá pre URL adresy a webové kategórie.
Zoznam pravidiel pozostáva z niekoľkých parametrov ako sú meno, typ, URL/kategória, Používatelia, Akcia vykonaná po pri načítaní stránky a Závažnosť. Kliknite na Pridať alebo Upraviť na úpravu pravidla. Podržaním klávesy CTRL a kliknutím na pravidlá môžete hromadne označiť viac položiek v zozname. Možnosť Zapnuté povoľuje alebo zakazuje konkrétne pravidlo; užitočné v prípade, ak si neželáte vymazať pravidlo natrvalo. Pravidlá sú zoradené podľa priority, navrchu sa nachádzajú pravidlá s najvyššou prioritou. Pravidlá s nastavenou akciou podľa URL majú vždy väčšiu prioritu ako pravidlá nastavené podľa kategórie. Napríklad, ak je pravidlo pre URL adresu v zozname nižšie ako pravidlo pre skupinu, pravidlo pre URL adresu má vyššiu váhu a bude spustené skôr. 87
3.9.4.1.1 Pridanie pravidiel webovej kontroly Okno Editora pravidiel webovej kontroly vám umožňuje manuálne pridať alebo zmeniť pravidlá webovej kontroly.
Zadajte názov pravidlo do poľa Meno pre jeho odlíšenie a ľahšiu identifikáciu a označte možnosť Zapnutý, ktorá zapína/vypína pravidlo, je užitočná ak nechcete pravidlo úplne zmazať iba na určitý čas zastaviť. Typ Akcia podľa URL – Prístup na danú webstránku. Do poľa URL zadajte URL adresu webstránky. Akcia podľa kategórie – Po zvolení tejto možnosti vyberte kategóriu z roletového menu. V zoznamoch URL adries je možné používať špeciálne znaky * (hviezdička) a ? (otáznik). Pre webové adresy, na ktoré je možný prístup pomocou rôznych domén vytvorte samostatnú skupinu (napríklad examplepage.com, examplepage.sk). Keď pridáte adresu do zoznamu, celý obsah nachádzajúci sa na danej doméne (napríklad sub.examplepage.com) bude blokovaný na základe vášho nastavenia akcie podľa URL. Akcia Povoliť – Prístup na URL adresu/kategóriu bude povolený. Upozorniť – Pri prístupe na URL adresu/kategóriu bude užívateľ upozornený. Blokovať – Prístup na URL adresu/kategóriu nebude povolený. URL alebo Použiť URL skupinu – URL adresa alebo skupina, pre ktorú bude vykonaná akcia. Závažnosť zapisovania do protokolu Vždy – Vytvára protokol zo všetkej komunikácie pre potreby hľadania závada a riešenia problémov. Diagnostická – Vytvára protokol z komunikácie dôležitej pre ladenie programu a všetky nasledujúce úrovne. Informácie – Zobrazované budú informačné správy napríklad o úspešnej aktualizácií a všetky nasledujúce úrovne. Upozornenie – Zobrazované budú varovné správy, chyby a kritické chyby. Žiadne – Žiadny protokol nebude vytvorený. Zoznam používateľov Pridať – Zobrazí okno Používatelia alebo Skupiny kde je možné vybrať konkrétnych používateľov. Ak nie je zadaný žiaden používateľ, pravidlo sa týka všetkých používateľov. Zmazať – Odoberie vybraného používateľa zo zoznamu.
88
3.9.4.2 Editor Skupiny kategórií Okno editora Skupiny kategórií je rozdelené na dve časti. Pravá časť okna obsahuje zoznam skupín a podskupín. V zozname Skupiny vyberte podskupiny, ktoré chcete zobraziť. Každá skupina obsahuje obsah pre dospelých a/alebo všeobecne nevhodný obsah. Po kliknutí na skupinu, môžete pridávať alebo odoberať podskupiny zo zoznamu skupín, napríklad extrémne násilie alebo zbrane. Vytvorením pravidla sa dajú webové stránky s nevhodným obsahom buď úplne blokované alebo sa užívateľovi pri prístupe na stránku zobrazí upozornenie o nevhodnom obsahu stránky. Zaškrtnite možnosť na pridanie alebo vyňatie podskupiny z danej skupiny.
V nasledujúcom odseku sú popísané niektoré skupiny: Rôzne – Zvyčajne privátne (lokálne) IP adresy ako napríklad intranet, 192.168.0.0/16, atď. Ak sa zobrazuje chybové hlásenie 403 alebo 404 webová stránka je aj v tejto skupine. Nevyriešené – Obsahuje webové stránky, ktoré nie sú objasnené kvôli chybe pri pripájaní k databáze webovej kontroly. Nekategorizované – Stránky ktoré nie sú zaradené do databázy webovej kontroly. Proxy servery – Webové stránky ako anonymizér, presmerovač alebo verejná proxy môžu byť použité na prístup k webová stránkam, ktoré sú zakázané webovou kontrolou. Zdieľanie súborov – Obsahujú veľké množstvo dát ako fotky, videá alebo elektronické knihy. Existuje riziko že tieto súbory obsahujú nevhodný obsah. Poznámka: Podskupiny môžu patriť pod všetky skupiny. Niektoré podskupiny nie sú zahrnuté vo vopred definovaných skupinách (napríklad Hry). Ak chcete tieto podskupiny filtrovať pomocou Webovej kontroly pridajte do niektorej skupiny.
89
3.9.4.3 Editor URL skupín Editor URL skupín umožňuje vytvárať skupiny URL adries, pre ktoré chcete vytvoriť pravidlo. Pre vytvorenie URL skupiny kliknite na Upraviť potom na Pridať. Do poľa zadajte názov skupiny a kliknite na Pridať pre vytvorenie novej skupiny. Následne podobne pridajte URL adresy alebo ich vložte zo súbory pomocou tlačidla Importovať zo súboru (súbor by mal obsahovať adresy oddelené po riadkoch, a mal by byť vo formáte napríklad .txt s kódovaním UTF-8). Akciu k URL skupine priradíte pri vytvorení pravidla v okne Editor pravidiel, v ktorom kliknite na odkaz Použiť URL, vyberte skupinu z roletového menu a potvrďte nastavenia kliknutím na OK. Poznámka: Blokovanie alebo povolenie určitej webovej stránky môže byť presnejšie ako blokovanie kategórie stránok. Pri zmene nastavení a pri pridaní kategórie do zoznamu buďte opatrný.
3.9.5 Aktualizácia programu Pravidelná aktualizácia vírusovej databázy ESET Endpoint Security a programových modulov je jedna z najlepších metód, ako zabezpečiť maximálnu úroveň ochrany vášho počítača. Modul Aktualizácia zabezpečuje, aby bol program stále aktuálny, čo zahŕňa aktualizáciu vírusových databáz, ako aj aktualizáciu všetkých komponentov systému. V sekcii Aktualizácia v hlavnom okne programu je zobrazený aktuálny stav aktualizácie, konkrétne dátum a čas poslednej aktualizácie vírusovej databázy prípadne upozornenie v prípade, že je dostupná novšia verzia. Tiež sa tu nachádza verzia vírusovej databázy v programe. Toto numerické označenie je zároveň aktívny odkaz na stránku ESET s informáciami o pridaných vzorkách v rámci danej aktualizácie. Zároveň je ponúknutá možnosť okamžitej aktualizácie cez voľbu Aktualizovať teraz. Aktualizácia vírusových databáz a programových komponentov je dôležitá súčasť na zabezpečenie komplexnej ochrany pred škodlivým kódom. Jej nastaveniu a funkčnosti preto treba venovať zvýšenú pozornosť. Počas aktualizácie a v prípade, keď ste nezadali počas inštalácie svoje licenčné údaje, môžete teraz vložiť svoj licenčný kľúč pre autorizáciu voči aktualizačným serverom ESET. Ak aktivujete ESET Endpoint Security pomocou Offline registrácie bez Používateľského mena a hesla, zobrazí sa červené upozornenie Aktualizácia vírusovej databázy skončila kvôli chybe a znamená to, že môžete sťahovať aktualizácie len z mirroru. Poznámka: Váš licenčný kľúč vám bol zaslaný po zakúpení produktu.
90
Posledná úspešná aktualizácia – Dátum, kedy sa program naposledy aktualizoval. Ak nie je zobrazený dátum môže byť vírusová databáza zastaralá. Verzia vírusovej databázy – Nachádza sa tu číslo verzie databázy. Po kliknutí na číslo je možné zobraziť na stránke spoločnosti ESET všetky zmeny v aktualizovanej databáze.
91
Priebeh sťahovania Po kliknutí na Aktualizovať teraz, sa spustí proces sťahovania, v ktorom sa zobrazí priebeh sťahovania súboru aktualizácie a zostávajúci čas do konca. Kliknutím na tlačidlo Prerušiť aktualizáciu sa aktualizácia zastaví.
Dôležité: Za normálnych okolností (pravidelné úspešné aktualizácie) je v okne Aktualizácia v zobrazená správa Aktualizácia nie je potrebná – vírusová databáza je aktuálna. Ak to tak nie je, program nie je aktualizovaný a zvyšuje sa riziko infiltrácie. Odporúčame v takom prípade aktualizovať vírusovú databázu čo najskôr. Ak to tak nie je, môžu nastať tieto situácie: Vírusová databáza je zastaralá – Toto hlásenie sa zobrazí po niekoľkých neúspešných pokusoch o aktualizáciu vírusovej databázy. Odporúčame preveriť nastavenia aktualizácie. Odporúčame, aby ste skontrolovali nastavenia aktualizácie. Najčastejší problém sú zle zadané licenčné údaje alebo zlé nastavenia siete.
92
S predošlým chybovým hlásením súvisia aj nasledujúce dve hlásenia Aktualizácia vírusovej databázy skončila kvôli chybe: 1. Nesprávne licenčné údaje – V nastaveniach aktualizácie sú nesprávne zadané autorizačné údaje pre prístup k aktualizačným serverom. Odporúčame, aby ste skontrolovali licenčné údaje. Rozšírené nastavenia (kliknite na Nastavenie v hlavnom okne programu a kliknite na Rozšírené nastavenia, alebo stlačte F5 na vašej klávesnici) obsahujú rozšírené nastavenia aktualizácií. Kliknite na Aktualizácia.
93
2. Aktualizácia vírusovej databázy skončila kvôli chybe – Najčastejší problém sú zle zadané nastavenia siete. Odporúčame, aby ste skontrolujte vaše internetové pripojenie (otvorením akejkoľvek webovej stránky vo webovom prehliadači). Rovnako odporúčame skontrolovať či je počítač pripojený do Internetu. Uistite sa tiež, či váš poskytovateľ internetu nemá výpadok pripojenia.
Poznámka: Viac informácii o aktualizácii nájdete v nasledujúcom článku databázy znalostí ESET.
3.9.5.1 Nastavenie aktualizácie Konfigurácia aktualizácie je prístupná cez strom Pokročilých nastavení (F5) a kliknutím na Aktualizácia > Nastavenia. Nastavenie aktualizácie pozostáva zo špecifikácie zdroja aktualizácie, teda z nastavenia aktualizačných serverov a autentifikácie voči týmto serverom. Všeobecné Profil, ktorý je spustený je zobrazený v sekcii Aktívny profil. Pridať nový profil je možné prostredníctvom tlačidla Upraviť v sekcii Zoznam profilov. Ak máte problém s aktualizáciami, kliknite na tlačidlo Vyčistiť pre zmazanie obsahu adresára s dočasnými aktualizačnými súbormi. Upozornenia o zastaranej vírusovej databáze Automaticky nastaviť maximálny vek vírusovej databázy – Umožňuje nastaviť maximálnu dobu (dni), po ktorej vírusová databáza bude považovaná za zastaralú. Prednastavená hodnota je 7. Rollback Ak máte podozrenie, že nová aktualizácia vírusovej databázy alebo programového modulu môže byť poškodená, môžete sa vrátiť na predošlú verziu a zrušiť aktualizácie na určitú dobu. Ak ste aktualizácie odložili natrvalo, môžete ich povoliť. ESET Endpoint Security zaznamenáva snímky vírusovej databázy a programových modulov pre použitie funkcionality rollback. Ak chcete vytvoriť snímku vírusovej databázy, ponechajte možnosť Povoliť zálohovanie aktívnu. V poli 94
Počet záložných snímok môžete zadefinovať počet snímok vírusových databáz, ktoré budú uložené. Ak kliknete na Rollback aktualizácií (v časti Rozšírené nastavenia (F5) > Aktualizácia > Všeobecné), môžete zvoliť z roletového menu časový interval, ktorý predstavuje interval, počas ktorého bude aktualizácia vírusovej databázy alebo programového modulu pozastavená.
Pre správne fungovanie aktualizácie je nevyhnutné mať všetky parametre nastavené správne. Ak používate firewall, treba zaistiť, aby mal program povolenú komunikáciu HTTP cez internet. Základné Štandardne je v sekcii Základné > Typ aktualizácie nastavený typ Priebežná aktualizácia, ktorá zabezpečuje priebežné sťahovanie aktualizácií zo serverov ESET tak aby pritom čo najmenej zaťažovala sieť. Nezobrazovať upozornenie o úspešnej aktualizácii – Táto voľba zruší zobrazovanie notifikácie v panely úloh – v pravom dolnom rohu obrazovky. Použitie tejto voľby je užitočné hlavne v prípadoch, keď je na počítači spustená aplikácia na celú obrazovku (tzv. full-screen mód), ako je napríklad počítačová hra a pod. Zoberte prosím na vedomie, že pri zapnutom Prezentačnom režime sa nezobrazujú oznámenia na obrazovke. Aktualizovať z vymeniteľného média – Možnosť aktualizovať produkt ak sa súbor vírusovej databázy nachádza v koreňovom adresári vymeniteľného média. Ak chcete zobraziť dialógové okná počas aktualizácie z vymeniteľného média, vyberte možnosť Vždy sa spýtať z roletového menu. Uistite sa, že Aktualizačný server je nastavený na AUTOSELECT. Aktualizačný server je adresár, v ktorom sú uložené aktualizácie. Ak na aktualizáciu používate servery ESET, odporúčame ponechať predvolené nastavenia. Ak používate mirror ako lokálny HTTP server, zadajte aktualizačný server v tomto formáte: http://názov_počítača_alebo_j eho_IP_adresa:2221 Ak používate mirror ako lokálny HTTP server s SSL, zadajte aktualizačný server v tomto formáte: https://názov_počítača_alebo_j eho_IP_adresa:2221 Ak používate mirror ako zdieľaný sieťový súbor, zadajte aktualizačný server v tomto formáte: http://názov_počítača_alebo_j eho_IP_adresa/zdieľaný_priečinok 95
Aktualizuje sa z mirrora Pre autorizáciu voči aktualizačným serverom je potrebné zadať Licenčný kľúč, ktorý vám bol vygenerovaný a zaslaný spoločnosťou ESET. po zakúpení licencie produktu. Ak používate lokálny mirror server môžete nastaviť pre klientov prihlasovacie údaje. Štandardne nie je potrebná žiadna verifikácia a polia Prihlasovacie meno a Používateľské heslo sú prázdne.
3.9.5.1.1 Aktualizačné profily Pre rôzne nastavenia aktualizácie je možné vytvárať používateľom definované profily. Vytvorenie rôznych profilov pre aktualizáciu má význam predovšetkým pre mobilných používateľov, ktorí si môžu vytvoriť alternatívny profil pre internetové pripojenie (ktoré sa často obmieňa). V roletovom menu Aktívny profil je vždy zobrazený momentálne vybraný profil. Štandardne je táto položka nastavená na voľbu Môj profil. Pridať nový profil je možné prostredníctvom tlačidla Upraviť v sekcii Zoznam profilov. V otvorenom okne vpíšte meno nového profilu do spodného poľa a kliknite na Pridať.
3.9.5.1.2 Vrátenie zmien Ak kliknete na Rollback aktualizácií (Rozšírené nastavenia (F5) > Aktualizácia > Všeobecné), je potrebné vybrať čas z rolovacieho menu Trvanie, na ako dlho budú aktualizácie vírusovej databázy a programových modulov zastavené.
Ak si želáte neskôr manuálne zapnúť pravidelné aktualizácie, vyberte možnosť Do zrušenia. Pretože táto možnosť predstavuje potenciálne bezpečnostné riziko, označenie tejto možnosti neodporúčame. Príklad: Napríklad číslo 10646 je najaktuálnejšia verzia vírusovej databázy. 10645 a 10643 sú uložené ako obrazy vírusových databáz. Všimnite si, že 10644 nie je k dispozícii, pretože, napríklad, počítač bol dlhšiu dobu vypnutý a počas tohto obdobia vznikla už novšia aktualizácia. Ak ste nastavili číslo 2 (dva) do políčka Počet záložných snímok a klikli na Rollback aktualizácií, vírusová databáza (vrátane programových modulov) sa obnoví na číslo 10643. Tento proces môže chvíľu trvať. Overte si v hlavnom okne programu ESET Endpoint Security, v časti Aktualizácia či sa verzia vírusovej databázy znížila.
3.9.5.1.3 Režim aktualizácie V záložke Režim aktualizácie sa nachádzajú nastavenia súvisiace s aktualizáciou programových komponentov. Program umožňuje nastavenie správania sa v prípade, že je k dispozícii nová verzia programových komponentov. Aktualizácia programových komponentov (PCU) prináša do programu nové funkcie alebo upravuje už existujúce z predchádzajúcich verzií. Môže prebiehať automaticky bez zásahu používateľa alebo s informovaním a výzvou na jej potvrdenie od používateľa. Inštalácia nových programových komponentov zvyčajne vyžaduje reštart počítača. V sekcii Aktualizácia programových komponentov je možné vybrať z troch možností: Pred aktualizáciou programových komponentov sa opýtať používateľa – Predvolené nastavenie. V prípade, že je dostupná nová aktualizácia programových komponentov, program zobrazí dialógové okno s ponukou na ich aktualizáciu. Vždy aktualizovať programové komponenty – Program si automaticky nainštaluje novšiu verziu programových komponentov. Je potrebné rátať s možnosťou, že aktualizácia bude vyžadovať reštart. Neaktualizovať programové komponenty – Aktualizácia programových komponentov sa nebude vykonávať. Toto 96
nastavenie je odporúčané pri inštalácii na serveri, kde možnosť reštartovania prichádza do úvahy iba v čase servisnej údržby. Poznámka: Vhodnosť použitia jednotlivých volieb pre aktualizáciu programových komponentov je závislá od počítača, na ktorom budú uvedené nastavenia aplikované. Pri serveroch môže byť automatický reštart systému nežiadúci, môže spôsobovať vážne problémy. Ak je označená možnosť Upozorniť pred sťahovaním aktualizácií používateľ je upozornený o dostupnosti novej aktualizácie pred stiahnutím každej aktualizácie. Upozorniť ak veľkosť aktualizácie presiahne (kB) – V prípade, že bude sťahovaný aktualizačný súbor väčší ako definovaná veľkosť, bude zobrazené upozornenie.
3.9.5.1.4 HTTP Proxy Nastavenie sa nachádza v strome Rozšírených nastavení (F5), v položke Aktualizácia, v záložke HTTP Proxy. Kliknite roletové menu vedľa popisu Režim proxy a označte jednu z nasledujúcich možností: Nepoužívať proxy server Spojenie pomocou proxy servera Použiť globálne nastavenia proxy servera Po označení voľby Použiť globálne nastavenie proxy servera budú použité globálne nastavenia, ktoré sa nachádzajú v rozšírených nastaveniach v sekcii Nástroje > Proxy server. Po označení voľby Nepoužívať proxy server používateľ explicitne definuje, že pri aktualizácii ESET Endpoint Security nemá byť použitý proxy server. Možnosť Spojenie pomocou proxy servera označte ak: Pri aktualizácii ESET Endpoint Security bude použité spojenie prostredníctvom proxy servera, zároveň je však potrebné definovať podrobnosti takého spojenia, teda adresu Nástroje > Proxy server). Zároveň je však potrebné definovať podrobnosti takého spojenia, teda adresu Proxy servera, komunikačný Port (štandardne 3128), ďalej Používateľské meno a heslo v prípade potreby autorizácie voči serveru. Proxy server používaný pri aktualizácii ESET Endpoint Security je iný než globálne nastavený proxy server. Váš počítač je pripojený na internet cez proxy server. Nastavenia sú prevzaté z Internet Explorera počas inštalácie programu no ak dôjde po čase k zmene v nastaveniach proxy servera (napríklad v dôsledku zmeny sprostredkovateľa Internetového pripojenia – ISP), tak je potrebné dosadiť v tejto sekcií aktuálne hodnoty. V opačnom prípade nebude automaticky prebiehať sťahovanie aktualizácií z aktualizačných serverov. Predvolená pri štandardnej inštalácii je voľba Použiť globálne nastavenia proxy servera. Poznámka: Autorizačné údaje ako Používateľské meno a Používateľské heslo pre proxy server sa vyplňujú v prípade, ak ich proxy server vyžaduje. Toto nie sú autorizačné údaje, ktoré ste obdržali pri kúpe produktu ESET Endpoint Security.
3.9.5.1.5 Pre pripojenie do LAN vystupovať ako Pri aktualizácii z lokálneho servera s verziou operačného systému Windows NT, je pre vytvorenie spojenia štandardne vyžadovaná autorizácia. Nastavenie typu konta je možné v roletovom menu Lokálny typ používateľa. Sú dostupné možnosti: Systémový účet (predvolený), Aktuálne prihlásený používateľ a Určený používateľ. Pre použitie vášho systémového účtu vyberte možnosť Systémový účet (štandardne). Za normálnych okolností autorizácia neprebehne, ak nie sú nastavené autorizačné údaje v hlavných nastaveniach aktualizácie. Voľbou Aktuálne prihlásený používateľ sa dosiahne, že sa program bude autorizovať pod účtom aktuálne prihláseného používateľa. Nevýhodou v prípade tohto nastavenia je nemožnosť pripojenia na server a následnej aktualizácie, ak nie je na počítači prihlásený žiaden používateľ. Voľbou Určený používateľ sa zabezpečí autorizácia pod zadaným používateľom. Túto možnosť odporúčame v prípade, že zlyhá spojenie pod lokálnym systémovým účtom. Treba ale dbať na to, aby špecifikovaný účet mal práva 97
pre prístup do adresára s mirrorom na serveri. V opačnom prípade sa spojenie nepodarí vytvoriť a nestiahne sa aktualizácia. Upozornenie: Pri použití volieb Aktuálne prihlásený používateľ a Určený používateľ môže nastať chyba pri zmene identity programu na požadovaného používateľa. Z toho dôvodu odporúčame pri pripojení do LAN nastaviť autorizačné údaje v hlavných nastaveniach aktualizácie. V týchto nastaveniach je potrebné uviesť údaje v nasledovnom tvare: názov_domény\používateľ (v prípade pracovnej skupiny (workgroupy) je to názov_pracovnej _skupiny\používateľ) a heslo. Pri aktualizácií cez HTTP nie je štandardne potrebné zadávať autorizačné údaje. V prípade, ak po vytvorení pripojenia a stiahnutí aktualizácie ostávajú pripojenia aktívne, odporúčame zapnúť možnosť Po skončení aktualizácie zrušiť pripojenie na server.
3.9.5.1.6 Mirror ESET Endpoint Security umožňuje vytváranie kópie aktualizácie, z ktorej sa môžu aktualizovať ďalšie stanice nachádzajúce sa v sieti. Vytváranie kópie aktualizačných súborov "mirroru" – je výhodné použiť hlavne pri väčších sieťach, kde by množstvo dát pri aktualizovaní každej jednej stanice z Internetu spôsobovalo veľký prenos a vyťaženie kapacít liniek. Preto je odporúčané aktualizovať len jeden objekt v sieti priamo z aktualizačných serverov na Internete a následne aktualizáciu sprístupniť pomocou mirroru ostatným objektom v lokálnej sieti. Aktualizáciou staníc z mirroru sa zabezpečí rozloženie zaťaženia siete a tiež odľahčí zaťaženie pripojenia do Internetu. Nastavenia mirroru sú prístupné (po vložení licenčného kľúča/súboru obdržaného pri kúpe produktu) v Rozšírených nastaveniach (F5) v záložke Aktualizácia > Mirror.
Prvým krokom vytvorenia mirroru je povolenie tejto funkcie v nastaveniach, kliknutím na tlačidlo vedľa popisu Vytvárať kópie aktualizácií. Označením tejto možnosti povolíte tvorbu kópie aktualizačných súborov, sprístupnia sa ďalšie nastavenia mirroru, predovšetkým spôsob prístupu k aktualizačným súborom a definovanie adresára, do ktorého sa budú ukladať aktualizačné súbory vytváraného mirroru Prístup k aktualizačným súborom Sprístupniť kópie aktualizácie cez HTTP server – Aktualizácia bude poskytovaná aj cez HTTP protokol a nemusíte 98
nastavovať meno ani heslo. Poznámka: HTTP server potrebuje najmenej balík Service Pack 2 pri použití operačného systému Windows XP. Spôsoby sprístupnenia mirroru sú popísané v kapitole Aktualizácia programu pomocou mirroru. Existujú dva základné spôsoby sprístupnenia mirroru, a to buď prostredníctvom zdieľaného adresára, alebo sprístupnením kópie aktualizácie cez HTTP server. Definovanie adresára, do ktorého sa budú ukladať aktualizačné súbory vytváraného mirroru, sa vykonáva do políčka označeného Priečinok pre ukladanie súborov z mirrora. Pre zmenu cesty k adresáru kliknite na ikonu adresára s popisom mirror. V prípade, že na zápis do zvoleného adresára je nevyhnutná autorizácia, je potrebné zadať autorizačné údaje v políčkach Používateľské meno a Používateľské heslo. Ak je vybraný súbor umiestnený na sieťovom disku spustenom pod operačným systémom Windows NT/2000/XP, meno a používateľské heslo musia byť zadané aby bol umožnený zápis do súboru. Zadávajú sa vo formáte Doména/Používateľ alebo Pracovná_skupina/ Používate. Samozrejme s im prislúchajúcimi heslami. Súbory – Ak vytvárate mirror, môžete bližšie špecifikovať jazykové verzie, pre ktoré chcete stiahnuť aktualizačné súbory. Zvolená jazyková verzia musí byť podporovaná mirrorom. HTTP server Port servera – V predvolených nastaveniach je preddefinovaný na 2221. Autorizácia – Zvoľte metódu autorizácie pre prístup k súborom. Sú dostupné tieto možnosti: Žiadna, Základná a NTLM. Zvolením voľby Základná zabezpečíte autorizáciu s použitím jednoduchej metódy kódovania base64. Voľba NTLM zabezpečí kódovanie prostredníctvom bezpečnej metódy. Pri autorizácií sa používajú používatelia vytvorení na stanici zdieľajúcej aktualizáciu. Prednastavená je voľba Žiadna, ktorá sprístupňuje aktualizačné súbory bez potreby autorizácie. Ak si želáte, aby HTTP server bol spustený s podporou HTTPS (SSL), vložte svoj Súbor obsahujúci reťaz certifikátov. Sú dostupné tieto možnosti: ASN, PEM a Integrovaný. Pre dodatočné zabezpečenie môžete použiť na sťahovanie súborov protokol HTTPS. Pri použití tohoto protokolu je takmer nemožné vystopovať prihlasovacie údaje a inú komunikáciu na sieti. Možnosť Typ privátneho kľúča je štandardne nastavená na Integrovaný, preto nie je dostupná možnosť Súbor obsahujúci privátny kľúč, privátny kľúč je súčasťou reťaze certifikátov. Pre pripojenie do LAN vystupovať ako Lokálny typ používateľa – Sú dostupné možnosti: Systémový účet (predvolený), Aktuálne prihlásený používateľ a Určený používateľ. Prihlasovacie meno a Prihlasovacie heslo nie su povinné. Viac informácii nájdete v kapitole Pre pripojenie do LAN vystupovať ako. V prípade, ak po vytvorení pripojenia a stiahnutí aktualizácie ostávajú pripojenia aktívne, odporúčame zapnúť možnosť Po skončení aktualizácie zrušiť pripojenie na server. Programové komponenty Aktualizovať programové komponenty – Zapne aktualizáciu programových komponentov cez mirror. Môže prebiehať automaticky bez zásahu používateľa alebo s informovaním a výzvou na jej potvrdenie od používateľa. Inštalácia nových programových komponentov zvyčajne vyžaduje reštart počítača. Aktualizovať teraz – Aktualizovať programové komponenty na najnovšiu verziu.
99
3.9.5.1.6.1 Aktualizácia programu pomocou mirroru Existujú dva základné spôsoby sprístupnenia mirroru, a to buď prostredníctvom zdieľaného adresára, alebo sprístupnením kópie aktualizácie cez HTTP server. Sprístupnenie mirroru prostredníctvom HTTP servera Je použité automaticky, ako preddefinované nastavenie, pri štandardnej inštalácii. pre sprístupnenie mirroru prostredníctvom HTTP servera stačí v Rozšírené nastavenia > Aktualizácia > Mirror vyberte možnosť Vytvárať kópie aktualizácií. V sekcii HTTP Server môžete nastaviť Port servera a Autorizáciu, ktorú bude využívať váš HTTP server. Port servera – V predvolených nastaveniach je preddefinovaný na 2221. Autorizácia – Zvoľte metódu autorizácie pre prístup k súborom. Sú dostupné tieto možnosti: Žiadna, Základná a NTLM. Zvolením voľby Základná zabezpečíte autorizáciu s použitím jednoduchej metódy kódovania base64. Voľba NTLM zabezpečí kódovanie prostredníctvom bezpečnej metódy. Pri autorizácií sa používajú používatelia vytvorení na stanici zdieľajúcej aktualizáciu. Prednastavená je voľba Žiadna, ktorá sprístupňuje aktualizačné súbory bez potreby autorizácie. Upozornenie: Pri sprístupnení mirroru prostredníctvom HTTP musí byť mirror umiestnený na rovnakom počítači ako ESET Endpoint Security, ktorý mirror vytvára. SSL pre HTTP server Ak si želáte, aby HTTP server bol spustený s podporou HTTPS (SSL), vložte svoj Súbor obsahujúci reťaz certifikátov. Sú dostupné tieto možnosti: ASN, PEM a Integrovaný. Pre dodatočné zabezpečenie môžete použiť na sťahovanie súborov protokol HTTPS. Pri použití tohoto protokolu je takmer nemožné vystopovať prihlasovacie údaje a inú komunikáciu na sieti. Možnosť Typ privátneho kľúča je štandardne nastavená na Integrovaný, preto nie je dostupná možnosť Súbor obsahujúci privátny kľúč, privátny kľúč je súčasťou reťaze certifikátov.
Po nastavení mirroru nastavíme na staniciach nový aktualizačný server podľa nasledujúceho postupu: Otvorte ESET Endpoint Security Rozšírené nastavenia > Aktualizácia > Základné. Zrušte možnosť Automatický výber servera a do poľa Aktualizačný server zadajte server v nasledujúcom formáte: 100
http://IP_address_of _your_server:2221 https://IP_address_of _your_server:2221 (ak je zapnuté SSL) Sprístupnenie mirroru prostredníctvom zdieľaného adresára Ako prvý krok je potrebné na lokálnom, či sieťovom disku vytvoriť zdieľaný adresár. Pri vytváraní adresára pre mirror je potrebné dbať na to, aby používateľ, ktorý do neho bude zapisovať, mal práva na “zápis”. Používatelia, ktorí sa budú z aktualizovať mirroru, musia mať práva na “čítanie ” z mirror adresára. Nastavte prístup k mirroru cez Rozšírené nastavenia > Aktualizácia > Mirror vyberte možnosť Vytvárať kópie aktualizácií. Táto možnosť je v predvolených nastaveniach zakázaná. V prípade umiestnenia zdieľaného adresára na iný počítač je potrebné nastaviť autorizáciu voči tejto stanici. Autorizáciu voči tejto stanici nastavíte cez Rozšírené nastavenia (F5) > Aktualizácia > Pre pripojenie do LAN vystupovať ako. Toto nastavenie je totožné ako pri aktualizácií a je popísane v kapitole Pre pripojenie do LAN vystupovať ako. Po nastavení mirroru nastavíme na staniciach nový aktualizačný server ako \\UNC\PATH podľa nasledovného postupu: 1. Otvorte ESET Endpoint Security Rozšírené nastavenia > Aktualizácia > Základné. 2. Do poľa Aktualizačný server zadajte server v nasledujúcom formáte: \\UNC\PATH Poznámka: Pri zadávaní cesty k aktualizačnému serveru je dôležite aby bol použitý UNC tvar cesty. Aktualizácie z namapovaných diskov nemusia inak správne fungovať. Posledné nastavenie v tejto časti je nastavenie aktualizácie programových komponentov (PCU). V predvolených nastaveniach je táto možnosť zapnutá. Ak je možnosť Aktualizovať programové komponenty zapnutá, nemusíte viac klikať na Aktualizovať pretože súbory boli do súboru s mirrorom skopírované automaticky. Viac informácií o aktualizácii programových komponentov nájdete v kapitole Režim aktualizácie.
3.9.5.1.6.2 Riešenie problémov pri nastavovaní aktualizačného mirroru Vo väčšine prípadov sú problémy pri aktualizácii z mirroru spôsobené nesprávnym nastavením niektorého z nastavení v rámci záložky Mirror, nesprávnym nastavením práv prístupu ku aktualizačnému adresáru Mirror, nesprávnym nastavením lokálnej stanice pokúšajúcej sa aktualizovať z mirroru, alebo kombináciou viacerých z vyššie spomenutých príčin. Prinášame prehľad najbežnejších problémov, ktoré môžu nastať pri aktualizácii z mirroru: ESET Endpoint Security nevie nadviazať spojenie s mirrorom – Pravdepodobne spôsobené nesprávnym zadaním aktualizačného servera (sieťovej cesty k adresáru mirror), z ktorého sa má lokálna stanica aktualizovať. Správnosť adresára overíte napríklad tak, že stlačíte tlačidlo Štart > Spustiť, zadáte cestu k adresáru a potvrdíte kliknutím na OK. Mal by sa zobraziť obsah adresára. ESET Endpoint Security vyžaduje zadanie mena a hesla – pravdepodobne spôsobené nesprávnym zadaním autorizačných údajov (Mena a Hesla) v nastaveniach Aktualizácie pre prístup na aktualizačný server, z ktorého sa má lokálna stanica aktualizovať Správnosť týchto údajov overte a nastavte tak, aby bola dodržaná stanovená forma zadávania týchto údajov. Uistite sa, že prihlasovacie údaje sú správne a v správnom formáte zadané. Napríklad Doména/Používateľské meno alebo Pracovná skupina/Používateľské meno,a k nim prislúchajúce Heslá. Ak je mirror adresár sprístupnený pre „Everyone” (t. j. pre „každého” používateĺa), treba brať tento názov s rezervou. Ak je certifikát neplatný alebo poškodený, znamená to, že mu vypršala platnosť alebo bol nesprávne podpísaný. „Everyone” neznamená ľubovoľný anonymný prístup, znamená to iba, že je adresár prístupný pre všetkých používateľov danej domény. ESET Endpoint Security nevie nadviazať spojenie s mirrorom – Nie je povolená komunikácia na porte, ktorý bol nastavený pre sprístupnenie mirroru cez HTTP server.
101
3.9.5.2 Vytvorenie aktualizačnej úlohy Aktualizáciu je možné spustiť manuálne, potvrdením voľby Aktualizovať vírusovú databázu v okne zobrazenom po kliknutí na položku Aktualizácia z hlavného menu programu. Aktualizáciu je tiež možné spustiť ako plánovanú úlohu. Pre jej nastavenie kliknite na Nástroje > Plánovač. V predvolenom nastavení sú v ESET Endpoint Security aktivované nasledujúce aktualizačné úlohy: Pravidelná automatická aktualizácia Automatická aktualizácia po modemovom spojení Automatická aktualizácia po prihlásení používateľa Každú z uvedených aktualizačných úloh je možné používateľom upraviť podľa jeho potrieb. Okrem štandardných aktualizačných úloh môže používateľ vytvoriť nové aktualizačné úlohy s vlastnými nastaveniami. Podrobnejšie sa vytváraním a nastaveniami aktualizačných úloh zaoberá kapitola Plánovač.
3.9.6 Nástroje Menu Nástroje obsahuje moduly, ktoré pomáhajú zjednodušiť správu programu a ponúkajú doplňujúce nastavenia pre pokročilých užívateľov.
102
Táto sekcia obsahuje nasledovné nastavenia: Protokoly Štatistiky ochrany Sledovanie aktivity Spustené procesy (ak je povolené ESET Live Grid v ESET Endpoint Security) Plánovač Karanténa Sieťové spojenia (Ak je povolený Personálny firewall v ESET Endpoint Security) ESET SysInspector Odoslať vzorku na analýzu – odosiela podozrivé vzorky do vírusového laboratória spoločnosti ESET na analýzu. Po kliknutí na túto položku sa zobrazí okno, ktorého popis nájdete v kapitole Odoslanie vzorky na analýzu. ESET SysRescue – Spúšťa sprievodcu vytvorením disku ESET SysRescue.
3.9.6.1 Protokoly Protokoly obsahujú informácie o všetkých systémových udalostiach a poskytujú prehľad zistených ohrození. Predstavujú silný nástroj systémovej analýzy, odhaľovania problémov a rizík a v neposlednom rade hľadania riešení. Vytváranie protokolov prebieha aktívne na pozadí bez akejkoľvek interakcie s používateľom. Zaznamenávajú sa informácie podľa aktuálnych nastavení detailnosti protokolov. Prezeranie protokolov je umožnené priamo z prostredia ESET Endpoint Security. Rovnako je tieto protokoly možné archivovať Sú prístupné zo stromu rozšírených nastavení cez Nástroje > Protokoly. Zvoľte názov protokolu z roletového menu: Zachytené infiltrácie – Protokol zachytených infiltrácií ponúka detailné informácie ohľadne infiltrácií zachytených modulmi ESET Endpoint Security. Informácie zahŕňajú čas detekcie, názov infiltrácie, umiestnenie, vykonanú činnosť a používateľa prihláseného v čase detekcie. Dvojkliknutím na protokol zobrazíte podrobnosti v novom okne. Udalosti – V tomto protokole sú zaznamenané všetky dôležité operácie vykonané ESET Endpoint Security. Protokol udalostí obsahuje informácie o udalostiach v programe a chybách, ktoré sa vyskytli. Je navrhnutý ako pomoc pre systémových administrátorov a užívateľov pri riešení problémov. Informácie z tohto logu vám pomôžu nájsť príčiny problémov, prípadne ich riešenie., ktorá umožňuje manuálnu kontrolu diskov, jednotlivých priečinkov a súborov na počítači. Kontrola počítača – Protokol kontroly počítača obsahuje výsledky ukončenej manuálnej alebo plánovanej kontroly v ESET Endpoint Security. Každý riadok prináleží samostatnej kontrole Pre detaily je možné poskytnúť k nim prístup pomocou dvojkliku na názov danej položky. Dvojkliknutím na protokol zobrazíte podrobnosti v novom okne. HIPS – Obsahujú záznamy konkrétnych pravidiel systému HIPS označených na zaznamenávanie. V protokole je zobrazená aplikácia, ktorá danú operáciu vyvolala a následne výsledok (tzn. či bolo pravidlo povolené, alebo zakázané), prípadne aj názov vytvoreného pravidla. Personálny firewall – Protokol personálneho firewallu obsahuje všetky vzdialené útoky zachytené personálnym firewallom. Tu nájdete informácie o všetkých útokoch na váš počítač. V stĺpci Udalosť je typ zisteného útoku. V stĺpci Zdroj sú podrobnejšie informácie o útočníkovi. V stĺpci Protokol je komunikačný protokol použitý pri útoku. Analýzou tohto protokolu je možné včas odhaliť pokusy o prienik do systému. Filtrované stránky – Tento zoznam je užitočné vidieť v prípade, ak si želáte vidieť web stránky, ktoré boli blokované modulu Ochrany prístupu na web alebo protectrov Webová kontrola. V tomto protokole môžete vidieť čas, adresu URL, používateľa a aplikáciu, ktorá vytvorila spojenie s príslušnou webovou stránkou. Antispamová ochrana – Obsahuje záznamy súvisiace s emailovými správami, ktoré boli označené ako spam. Webová kontrola – Protokol zobrazuje web stránky, ktoré boli buď blokované alebo povolené nastaveniami webovej kontroly. V stĺpci Vykonaná akcia sú podrobnejšie informácie o pravidle, ktoré bolo použité. Správa zariadení – Zoznam vymeniteľných médií a zariadení, ktoré boli pripojené k vášmu počítaču. V protokole sú zaznamenané len zariadenia s vytvorením pravidlom. Ak na pripojené zariadenie nie je uplatnené žiadne pravidlo, 103
protokol sa nevytvorí. Môžete tu tiež vidieť detaily o zariadeniach ako napríklad typ, sériové číslo, výrobca, model, veľkosť pamäte (v prípade médií). Pre každú z daných oblastí je možné jednotlivé udalosti kopírovať do schránky (je možné použiť aj klávesovú skratku Ctrl + C) priamo po označení udalostí a kliknutí na tlačidlo Kopírovať. Pre efektívnejší výber viacerých záznamov môžu byť použité klávesy CTRL and SHIFT. Kliknutím na tlačidlo Filtrovanie sa otvorí okno Filtrovanie protokolov kde môžete nastaviť podmienky filtrovania zoznamu protokolov. Je možné vyvolať kontextové menu kliknutím na protokol pravým tlačidlom na myši. V kontextovom menu sú dostupné nasledujúce možnosti: Zobraziť – Zobrazí podrobnejšie informácie o označenom protokole v novom okne Filtrovať rovnaké záznamy – Po aktivácii tohoto filtra sa zobrazia protokoly rovnakého typu (diagnostické, varovania, ...). Filter.../Hľadať... – Po kliknutí na túto možnosť sa otvorí okno Vyhľadávanie v protokole, ktoré vám umožní zadať filtrovacie pravidlo alebo vyhľadávacie slovo. Zapnúť filter – Zapne filter, ktorý ste nastavili v okne Filtrovanie protokolov. Vypnúť filter – Vypne aktivovaný filter. Kopírovať/Kopírovať všetky – Kopíruje len označené alebo všetky protokoly z okna. Vymazať/Odstrániť všetko – Odstráni označené alebo všetky protokoly z okna – vyžaduje administrátorské práva. Exportovať... – exportuje informácie o protokoloch vo formáte XML. Exportovať všetko – exportuje informácie o všetkých protokoloch vo formáte XML. Rolovanie protokolu – Ponechajte túto možnosť zapnutú ak chcete aby sa okno Protokoly posúvalo súčasne s pribúdajúcimi protokolmi.
3.9.6.1.1 Vyhľadávanie v protokole Protokoly obsahujú rôzne druhy záznamov z diania systému. Prostredníctvom funkcie filtrovania môžu byť zobrazené len záznamy určitého druhu. Zadajte kľúčové slovo, ktoré chcete vyhľadať do poľa Hľadať text. Ak si želáte vyhľadávať kľúčové slovo iba v konkrétnych stĺpcoch, zmeňte filtrovanie v roletovom menu Hľadať v stĺpcoch. Typy záznamov – Označte jeden alebo viacero typov záznamov z roletového menu: Diagnostická – Informácie dôležité pre ladenie programu a všetky nasledujúce úrovne. Informatívna – Informačné správy napríklad o úspešnej aktualizácií a všetky nasledujúce úrovne. Upozornenia – Varovné správy, chyby a kritické chyby. Chyby – Chyby typu „Chyba pri sťahovaní súboru aktualizácie“ a kritické chyby. Kritická – Kritické chyby (nespustenie Antivírusovej ochrany, Personálneho firewallu, atď.). Časové obdobie – Zadajte časové obdobie, z ktorého chcete, aby boli výsledky zobrazené. Hľadať iba celé slová – Táto možnosť poskytuje precíznejšie výsledky, lebo vyhľadáva iba podľa konkrétneho celého slova. Rozlišovať veľké a malé písmená – Povoľte túto možnosť, ak považujete za potrebné rozlišovať malé písmena od veľkých vo výsledkoch vyhľadávania. Hľadať smerom nahor – Výsledky vyhľadávania zo začiatku dokumentu sa zobrazia prvé.
104
3.9.6.2 Nastavenie Proxy servera V prostredí, kde sa používa rozsiahlejšia lokálna sieť, je väčšinou pripojenie do internetu zabezpečované cez tzv. proxy server. V takomto prípade musia byť nastavenia proxy servera správne špecifikované. V opačnom prípade nebude automaticky prebiehať sťahovanie aktualizácií. Nastavenie proxy servera je možné v ESET Endpoint Security definovať na dvoch odlišných miestach v rámci štruktúry Rozšírených nastavení. Tieto nastavenia sa nachádzajú v strome Rozšírených nastavení v časti Nástroje > Proxy server. Proxy server zadaný v tejto sekcii bude použitý programom ESET Endpoint Security ako globálne nastavenie proxy servera. Nastavenia budú používať všetky moduly vyžadujúce prístup na internet. Nastavenie proxy servera aktivujete potvrdením možnosti používať Používať proxy server. Ďalej zadajte adresu proxy servera do poľa Proxy server a číslo portu do poľa Port. V prípade, že komunikácia s proxy serverom si vyžaduje autorizáciu, potvrdíte možnosť Proxy server vyžaduje autorizáciu a zadajte autorizačné meno a heslo do polí Meno a Používateľské heslo. Pre automatické zistenie nastavení proxy servera programom, kliknite na tlačidlo Detegovať. Pomocou tlačidla sa prenesú nastavenia z programu Internet Explorer. Poznámka: Týmto spôsobom nie je možné získať autorizačné údaje (meno a heslo), ktoré v prípade potreby, musia byť zadané používateľom. Nastavenia Proxy servera sa nachádzajú aj v rozšírených nastaveniach aktualizácie (Rozšírené nastavenia > Aktualizácia > HTTP Proxy výberom možnosti Spojenie pomocou proxy servera v roletovom menu Režim proxy). Toto nastavenie je platné pre konkrétny profil aktualizácie a je ho vhodné nastaviť, ak sa jedná o prenosný počítač, ktorý vykonáva aktualizáciu z rôznych miest. Bližší popis nastavenia sa nachádza v kapitole HTTP Proxy.
3.9.6.3 Plánovač Plánovač zjednodušuje prácu s programovým balíkom automatizovaním často používaných operácií do plánovaných úloh. Je prístupný z menu hlavného okna programu v sekcii Nástroje > Plánovač. Plánovač obsahuje prehľadný zoznam všetkých plánovaných úloh, ich nastavení a vlastností, ktoré sa vykonávajú v stanovený čas s použitím zadefinovaných profilov. Slúži na plánovanie úloh ako je napr. aktualizácia programu, kontrola disku, kontrola súborov spúšťaných po štarte, či pravidelné čistenie protokolov. Priamo z hlavného okna môžete Pridať alebo Vymazať úlohu kliknutím na príslušné tlačidlo. Kontextové menu, ktoré sa otvorí po kliknutí pravým tlačidlom myši v okne plánovača, umožňuje nasledovné akcie: zobrazenie detailných informácií o úlohe, okamžité vykonanie úlohy, pridanie novej úlohy, úpravu, resp. odstránenie už existujúcej úlohy. Zaškrtávacím políčkom pri úlohe je úlohu možné vypnúť/zapnúť. V predvolenom nastavení Plánovača sú dostupné nasledujúce úlohy: Údržba protokolov Pravidelná automatická aktualizácia Automatická aktualizácia po modemovom spojení Automatická aktualizácia po prihlásení používateľa Kontrola súborov spúšťaných po štarte (pri prihlásení používateľa na počítač) Kontrola súborov spúšťaných po štarte (pri úspešnej aktualizácii vírusových databáz) Nastavenia existujúcich plánovaných úloh (pri vopred definovaných, ako aj vlastných) je možné meniť cez Kontextové menu potvrdením voľby Upraviť alebo výberom príslušného riadku v zozname úloh určeného na zmenu a kliknutím na tlačidlo Upraviť. Pridanie plánovanej úlohy 1. Kliknite na Pridanie plánovanej úlohy v spodnej časti okna. 2. Zadajte názov úlohy.
105
3. Zvoľte typ úlohy z roletového menu: Spustenie externej aplikácie – Výber aplikácie, ktorá má byť spustená plánovačom. Údržba protokolov – Defragmentácia odstraňuje prázdne záznamy v protokoloch, čím sa zefektívni a zrýchli práca s nimi. Viditeľné zlepšenie práce s protokolmi po optimalizácii je očividné hlavne pri väčších množstvách záznamov v protokoloch. Kontrola súborov spúšťaných po štarte – Kontroluje súbory, ktoré sa spúšťajú pri štarte alebo prihlásení do systému. Vytvorenie záznamu o stave počítača – Vytvorí záznam programu ESET SysInspector, ktorý slúži na dôkladné preskúmanie stavu vášho počítača a je schopný zobraziť zhromaždené údaje v jednoduchej čitateľnej forme. Kontrola počítača – Vykoná manuálnu kontrolu diskov, jednotlivých priečinkov a súborov na počítači. Prvá kontrola – Štandardne sa spúšťa 20 minút po inštalácii alebo po reštarte. Kontrola má nízku prioritu. Aktualizácia – Zabezpečuje aktualizáciu vírusových databáz, ako aj aktualizáciu všetkých programových komponentov systému. 4. Potvrďte možnosť Zapnutý pre zapnutie úlohy a kliknite na Ďalej pre nastavenie načasovania úlohy: Raz – Úloha sa vykoná iba raz v presne určený deň a čas. Opakovane – Úloha bude vykonávaná opakovane v určenom časovom intervale (v hodinách). Denne – Úloha bude vykonávaná opakovane každý deň v určenom čase. Týždenne – Úloha sa bude vykonávať týždenne v určité dni a v určený čas. Pri udalosti – Úloha sa bude vykonávať po určenej udalosti. 5. Možnosť Nespúšťať úlohu ak je počítač napájaný z batérie je dobré použiť, ak prenosný počítač nie je zapojený do elektrickej siete a chcete v tomto čase minimalizovať jeho systémové prostriedky. Zadajte čas/dátum alebo interval, v ktorom bude úloha vykonaná do poľa Vykonanie úlohy. V prípade, že sa naplánovanú úlohu nepodarí spustiť v určenom čase, môžete nastaviť spôsob, ako program bude postupovať: Vykonať úlohu v najbližšom naplánovanom čase Vykonať úlohu hneď ako to bude možné Vykonať úlohu okamžite, ak čas od posledného vykonania prekročil zadaný interval (pričom interval je možné definovať priamo pri potvrdení tejto voľby v poli Uplynulý čas od posledného spustenia (v hodinách)) Pre zobrazenie prehľadu nastavení úlohy, kliknite pravým tlačidlom na myši a z menu vyberte možnosť Zobraziť informácie.
106
3.9.6.4 Štatistiky ochrany Štatistické údaje, ktoré sa týkajú rôznych modulov ochrany pred infiltráciami, sú dostupné v grafickom zobrazení v časti Nástroje > Štatistiky ochrany. V hornej časti okna označte modul programu z roletového menu Štatistika pre zobrazenie štatistík daného modulu. Po ponechaní kurzora na zvolenej položke bude zobrazená len táto položka. Sú dostupné tieto možnosti: Antivírusová a antispywarová ochrana – Zahŕňa celkové počty infikovaných a vyliečených objektov. Ochrana súborového systému – Len objekty, ktoré boli čítané alebo zapisované na súborový systém. Ochrana poštových klientov – Len objekty, ktoré boli prijaté alebo odoslané pomocou poštových klientov. Ochrana webu a Anti-Phishing – Len objekty, ktoré boli prijaté pomocou prehliadačov webu. Antispamová ochrana poštových klientov – Zobrazí antispamové štatistiky od posledného štartu. Pod grafom štatistík je zobrazený celkový počet kontrolovaných objektov, posledný kontrolovaný objekt a čas začatia kontroly. Kliknite na Vynulovať pre odstránenie všetkých informácií z vybranej štatistiky alebo Vynulovať všetko pre odstránenie všetkých štatistík.
3.9.6.5 Sledovanie aktivity Pre zobrazenie Aktivity súborového systému na grafe kliknite na Nástroje > Sledovanie aktivity. V spodnej časti grafu je časová os, zobrazujúca systémovú aktivitu v reálnom čase, obnovuje sa v nastavených intervaloch. Pre zmenu obnovenia vyberte frekvenciu z menu Obnovovacia frekvencia v dolnej časti okna.
Sú dostupné tieto možnosti: Obnovovacia frekvencia: 1 sekunda – Graf sa obnovuje každú sekundu. Obnovovacia frekvencia: 1 minúta (posledných 24 hodín) – Graf sa obnovuje každú minútu, časová os zobrazuje posledných 24 hodín. Obnovovacia frekvencia: 1 hodina (posledný mesiac) – Graf sa obnovuje každú hodinu, časová os zobrazuje posledný mesiac. Obnovovacia frekvencia: 1 hodina (vybraný mesiac) – Graf sa obnovuje každú hodinu, časová os zobrazuje vami 107
vybraný interval. Zvislá os grafu aktivity súborového systému zobrazuje objem prečítaných dát (modrou farbou) a objem zapisovaných dát (červenou farbou). Obidva údaje sú zobrazené v kB (kilobajtoch)/MB/GB. Druhá možnosť v roletovom menu je Sieťová aktivita. Zvislá os grafu sieťovej aktivity zobrazuje množstvo prijatých dát (modrou farbou) a množstvo odoslaných dát (červenou farbou).
3.9.6.6 ESET SysInspector ESET SysInspector je aplikácia slúžiaca na dôkladné preskúmanie stavu vášho počítača, ktorá je schopná zhromažďovať údaje o nainštalovaných ovládačoch a programoch, sieťových pripojeniach či údaje z databázy registrov systému a zobraziť ich v jednoduchej čitateľnej forme. Tieto informácie vám môžu pomôcť zistiť príčiny podozrivého správania sa systému, či už vplyvom nekompatibility alebo infekcie škodlivého kódu. V okne SysInspector sa nachádzajú informácie o vytvorených logoch: Čas – Čas vytvorenia. Komentár – Stručný komentár k vytvorenému záznamu. Používateľ – Meno používateľa, ktorý vytvoril záznam. Stav – Stav vytvorenia. Sú dostupné tieto možnosti: Otvoriť – Otvorí vytvorený protokol. Môžete ho tiež otvoriť kliknutím pravým tlačidlom myši a z kontextového menu vyberte možnosť Zobraziť. Porovnať – Porovnanie dvoch vytvorených záznamov. Pridať – Vytvorenie nového záznamu. Prosím počkajte kým ESET SysInspector vytvorí protokol. (kým jeho Stav nebude Vytvorený). Vymazať – Odstránenie záznamu zo zoznamu. Po pravom kliknutí na konkrétny záznam sú dostupné ďalšie možnosti z kontextového menu: Zobraziť – Zobrazenie záznamu. Porovnať – Porovnanie dvoch vytvorených záznamov. Pridať – Vytvorenie nového záznamu. Prosím počkajte kým ESET SysInspector vytvorí protokol. (kým jeho Stav nebude Vytvorený). Vymazať – Odstránenie záznamu zo zoznamu. Odstrániť všetko – Vymaže všetky protokoly. Exportovať... – Uloženie záznamov do súboru súboru .xml alebo do zozipovaného súboru .xmll.
3.9.6.7 ESET Live Grid ESET Live Grid (ďalšia generácia technológie ESET ThreatSense.Net) je pokročilý varovný systém, ktorý vás chráni proti novým infiltráciám na základe ich reputácie. Pomocou informácii, ktoré sú okamžite zdieľané na serveroch dokážu vírusové laboratóriá spoločnosti ESET aktualizovať produkty a poskytovať tak stálu ochranu. Používateľ môže overiť reputáciu súborov a bežiacich procesov priamo z užívateľského prostredia programu alebo z kontextového menu, v ktorom sa nachádzajú dodatočné funkcie ESET Live Grid. Máte dve možnosti: 1. Môžete sa rozhodnúť neaktivovať ESET Live Grid. Neprídete tým o žiadnu funkcionalitu programu ale v niektorých prípadoch môže ESET Endpoint Security reagovať skôr než dôjde k aktualizácii vírusovej databázy. 2. Môžete sa rozhodnúť ESET Live Grid aktivovať čo vám umožní posielať informácie o nových infiltráciách. Ak je nový nebezpečný kód súčasťou súboru, celý súbor bude odoslaný na podrobnú analýzu do spoločnosti ESET. Skúmanie týchto infiltrácií nám pomôže zvýšiť schopnosť detekcie. ESET Live Grid zozbiera z vášho počítača tie informácie, ktoré sa týkajú novej infiltrácie. To môže zahŕňať ukážku alebo kópiu súboru, v ktorom sa infiltrácia objavila; názov adresára, kde sa súbor nachádzal; názov súboru; informáciu o dátume a čase detekcie; spôsob, akým sa infiltrácia dostala na váš počítač; a informáciu o operačnom systéme vášho počítača. Štandardne ESET Endpoint Security odosiela podozrivé vzorky do vírusového laboratória spoločnosti ESET na analýzu. 108
Súbory s niektorými príponami, napríklad .doc alebo .xls sa neodosielajú. Ak sú ďalšie súbory, u ktorých sa špeciálne chcete vyhnúť možnosti odoslania, môžete doplniť ďalšie prípony. Nastavenia ESET Live Grid ponúkajú niekoľko možností pre zapnutie / vypnutie ESET Live Grid, ktorý slúži na posielanie podozrivých súborov a anonymných štatistických informácii do laboratória spoločnosti ESET. Nastavenia ESET Live Grid sa nachádzajú v Rozšírených nastaveniach (F5) v sekcii Nástroje > ESET Live Grid.a Zapnúť ESET Live Grid (odporúča sa) – ESET Live Grid, ktorý slúži na posielanie podozrivých súborov a anonymných štatistických informácii do laboratória spoločnosti ESET. Anonymne odoslať štatistiky – Vypnite túto možnosť, ak si neželáte, aby ESET Live Grid zbiera anonymné informácie o vašom počítači vzťahujúce sa k novým objaveným hrozbám. Tieto môžu obsahovať meno infiltrácie, dátum a čas detekcie, verziu systému ESET Endpoint Security, verziu používaného operačného systému a miestne nastavenia. Štatistiky sa normálne odosielajú na server firmy ESET, spol. s r.o. jeden až dvakrát denne. Odoslať súbory – Táto možnosť je v predvolených nastaveniach povolená. Prostredníctvom systému ESET Live Grid sú odosielané súbory, u ktorých je veľký predpoklad obsahu novej infiltrácie. Kliknite na Vytvárať protokol ak si želáte z kontroly v nečinnosti vytvárať protokol, ktorý nájdete v hlavnom programovom menu v Nástroje > Protokoly. Táto možnosť zapne vytváranie protokolu do Denníka udalostí pri odosielaní súborov a štatistík. Kontaktný e-mail (nepovinný údaj) – Váš kontaktný e-mail bude použitý v prípade ak treba dodatočné informácie o zachytenej infiltrácií. Tento e-mail nebude použitý na žiadny iný účel. Vylúčenia – Umožňujú vám vylúčiť z ochrany súbory/adresáre (môže byť užitočné pri dokumentoch obsahujúcich dôverné informácie). Súbory pridané do vylúčení nebudú odoslané na analýzu do vírusových laboratórií. Najbežnejšie prípony sú predvolene vylúčené (napr. .doc). Do zoznamu súborov vyňatých z kontroly môžete pridávať ľubovoľné prípony. Ak ste mali zapnutý ESET Live Grid a neskôr ho vypnete, môže sa stať, že v počítači sú už pripravené dátové balíky na odoslanie. Tieto balíky sa ešte odošlú pri najbližšej príležitosti. Po vypnutí systému sa už nové balíky vytvárať nebudú.
109
3.9.6.8 Spustené procesy Reputácia spustených procesov zobrazuje spustené programy a procesy vo vašom počítači a zabezpečuje pohotovú a neustálu informovanosť spoločnosti ESET o nových infiltráciách. ESET Endpoint Security ponúka detailnejšie informácie ohľadom bežiacich procesov užívateľom so zapnutou technológiou ESET Live Grid.
Úroveň rizika – Vo väčšine prípadov priradí ESET Endpoint Security stupeň rizika pomocou technológie ESET Live Grid na základe heuristických pravidiel a kontroly každého subjektu na prítomnosť škodlivého kódu. Potom na základe týchto výsledkov pridelí procesom stupeň od 1 – poriadku (zelený), reprezentované zelenou ikonkou až po 9 – Riziko (červená) reprezentované červenou. Proces – Názov aplikácie alebo procesu, ktorý aktuálne beží na počítači. Pre lepší prehľad o všetkých procesoch použite Správcu úloh (MS Windows). Správcu úloh môžete otvoriť aj pravým klikom kdekoľvek na hlavný panel a zvolením možnosti Spustiť správcu úloh, prípadne pomocou klávesovej skratky Ctrl+Shift+Esc. PID – je identifikačné číslo procesu spusteného v operačnom systéme Windows. Poznámka: Aplikácie označené ako V poriadku (zelená) sú bezpečné a budú vyňaté z kontroly. Toto urýchľuje rýchlosť Kontroly počítača, alebo Rezidentnej ochrany na Vašom počítači. Počet používateľov – Počet používateľov, ktorí používajú danú aplikáciu. Tieto informácie sú zhromažďované pomocou technológie ESET Live Grid. Čas objavenia – Doba, odkedy bol proces objavený technológiou ESET Live Grid. Poznámka: Aj v prípade, že je aplikácia označená Neznáma (oranžová), nemusí to znamenať, že obsahuje škodlivý kód. Obvykle je to nová aplikácia. Obvykle je to nová aplikácia. Ak si nie je používateľ istý či je to naozaj tak, má možnosť poslať vzorku na analýzu do vírusového laboratória spoločnosti ESET. Ak sa ukáže, že sa jedná o nebezpečnú aplikáciu, jej detekcia bude pridaná v najbližšej aktualizácii vírusovej databázy. Názov aplikácie – Názov vydavateľa aplikácie alebo procesu.
110
Po kliknutí na jednotlivé aplikácie sa v dolnej časti okna zobrazia nasledovné informácie: Cesta – Umiestnenie aplikácie vo Vašom počítači. Veľkosť – Veľkosť súboru v kB (kilobajtoch). Popis – Charakteristika súboru, vychádzajúca z jeho popisu od operačného systému. Firma – Názov vydavateľa aplikácie alebo procesu. Verzia – Táto informácia pochádza od vydavateľa aplikácie alebo procesu. Produkt – Názov aplikácie, obvykle obchodné meno. Vytvorené – Dátum a čas kedy bola aplikácia vytvorená. Upravené – Dátum a čas kedy bola aplikácia naposledy upravená. Poznámka: Reputácia môže byť použitá aj pri súboroch, ktoré sa nesprávajú ako spustené programy/procesy – označte súbor, ktorý chcete kontrolovať, pravým kliknutím vyvolajte kontextové menu a vyberte možnosť Pokročilé nastavenia > Skontrolovať reputáciu súborov použitím ESET Live Grid.
3.9.6.9 Sieťové spojenia V sekcii sieťové spojenia, môžete vidieť zoznam aktívnych alebo čakajúcich spojení. Toto pomáha pri riadení odchádzajúcej komunikácie.
Prvý riadok zobrazuje meno aplikácie a rýchlosť dátového prenosu. Pre zobrazenie zoznamu spojení pre danú aplikáciu (a viac podrobnejších informácií), kliknite na +. Stĺpce Aplikácia/Lokálna IP – Názov aplikácie, lokálna IP adresa a komunikačný port. 111
Vzdialená IP – IP adresa a komunikačný port vzdialenej strany. Protokol – Komunikačný protokol. Rýchlosť von/Rýchlosť dnu – Zobrazuje rýchlosť prichádzajúcej/odchádzajúcej komunikácie. Odoslané/Prijaté – Množstvo dát, ktoré sú prenesené v spojení. Zobraziť detailné informácie – Zobrazí podrobnosti o vybranom spojení. Označte aplikáciu alebo IP adresu v zozname Sieťové spojenia a kliknite pravým tlačidlom pre zobrazenie kontextového menu s nasledovnými možnosťami: Prekladať IP adresy na mená – Pokiaľ je to možné, sieťové adresy sú uvádzané v DNS forme a nie v číselnej podobe IP adresy. Zobrazovať iba TCP spojenia – Zobrazí iba tie spojenia, ktoré patria pod TCP protokol. Zobrazovať počúvajúce spojenia – Zobrazí iba spojenia, pri ktorých neprebieha komunikácia, systém má len otvorený port a čaká na spojenie. Zobrazovať spojenia rámci počítača – Zobrazí iba spojenia, ktoré majú ako vzdialenú stranu použitý lokálny systém. Týka sa to tzv. localhost spojení. Pravým tlačidlom na myši kliknite na spojenie, pre zobrazenie nasledovných možností: Zablokovať komunikáciu pre dané spojenie – Zablokuje nadviazané spojenie. Táto možnosť je dostupná len pri aktívnych spojeniach. Rýchlosť obnovovania – Frekvencia s akou sa budú obnovovať informácie o rýchlosti. Obnoviť teraz – Obnoví informácie v okne. Nasledujúce možnosti sú dostupné len pri kliknutí na aplikáciu alebo proces, nie na aktívne spojenie: Zablokovať komunikáciu pre daný proces – Zablokuje nadviazané spojenie pre danú aplikáciu/proces. V prípade vytvorenia nového spojenia, firewall použije vopred definované pravidlo. Viac informácií nájdete v kapitole Nastaviť zóny.... Povoliť komunikáciu nepatriacu pre daný proces – Povolí nadviazané spojenie pre danú aplikáciu/proces. V prípade vytvorenia nového spojenia, firewall použije vopred definované pravidlo. Viac informácií nájdete v kapitole Nastaviť zóny....
3.9.6.10 Poslať vzorku na analýzu Okno na odoslanie vzorky podozrivého súboru alebo adresy sa nachádza v časti Nástroje > Poslať vzorku na analýzu. V prípade, že máte súbor s podozrivým správaním, môžete ho poslať na analýzu do vírusového laboratória spoločnosti ESET. Ak sa ukáže, že sa jedná o nebezpečnú aplikáciu, jej detekcia bude pridaná v najbližšej aktualizácii vírusovej databázy. Vzorku na analýzu môžete odoslať aj prostredníctvom emailu. Ak vám viac vyhovuje táto možnosť, prosím dbajte na to, aby ste súbor pridali do archívu WinRAR/ZIP a ochránili archív heslom "infected" skôr ako ho odošlete prijímateľovi
[email protected]. Prosím uveďte čo najviac informácií o zdroji softvéru, názve tvorcu/spoločnosti/ produktu, verzii produktu a internetovej adrese, z ktorej bola aplikácia (resp. súbor) stiahnutá. Poznámka: Predtým, ako pošlete vzorku na analýzu, sa prosím uistite, či spĺňa nasledovné kritéria: vzorka nie je ešte v programe detegovaná, vzorka sa nesprávne deteguje ako hrozba. Nebude vám zaslaná žiadna odpoveď pokiaľ nebudú pracovníci vírusového laboratória potrebovať viac informácii.
112
Zvoľte možnosť, ktorá najlepšie zodpovedá podozreniu z roletového menu Dôvod odoslania súboru: Podozrivý súbor Podozrivá stránka (stránka s infiltrovaným malvérom), Falošný poplach súboru (súbor, ktorý je detegovaný ako vírus, no sám o sebe vírusom nie je), Falošný poplach stránky Ostatné Súbor – Cesta k súboru alebo webstránke, ktorú chcete odoslať. Kontaktný email – Je zaslaný spolu s podozrivým súborom. Zadanie mailovej adresy nie je povinné. Na kontaktný email nebude zaslaná informácia či sa jedná o škodlivý program, bude využitý len v prípade, že budú od používateľa potrebné ďalšie informácie.
3.9.6.11 E-mailové upozornenia ESET Endpoint Security podporuje posielanie udalostí emailom ak sa vyskytne udalosť s nastavenou úrovňou zápisu. Kliknutím na možnosť Zasielať e-mail s upozornením o udalosti aktivujete možnosť posielania emailových upozornení.
SMTP server SMTP server – SMTP server, cez ktorý budú odosielané správy (napríklad smtp.provider.com:587, preddefinovaný port je 25). Poznámka: SMTP servery, ktoré využívajú kryptovanie TLS, sú podporované produktom ESET Endpoint Security. Meno a Používateľské heslo – V prípade, že SMTP server vyžaduje autorizáciu, musí byť táto možnosť zapnutá a správne meno a heslo nastavené pre prístup k SMTP serveru. E-mailová adresa odosielateľa – Špecifikuje adresu odosielateľa, ktorá sa použije v hlavičke emailovej správy. E-mailová adresa príjemcu – Špecifikuje adresu odosielateľa, ktorá sa použije v hlavičke emailovej správy. Posielať udalosti od úrovne – Špecifikácia, od ktorej úrovne sa budú posielať udalosti: 113
Diagnostická – Informácie dôležité pre ladenie programu a všetky nasledujúce úrovne. Informatívna – Informačné správy napríklad o úspešnej aktualizácií a všetky nasledujúce úrovne. Upozornenia – Varovné správy, chyby a kritické chyby. Chyby – Chyby typu „ochrana dokumentov sa nespustila“ a kritické chyby. Kritická – Kritické chyby (nespustenie Antivírusovej ochrany alebo infikovanie systému). Zapnúť TLS – Zapne odosielanie správ a oznámení s podporou kryptovania typu TLS. Čas, po ktorom budú zasielané nové upozornenia (min) – Interval v minútach, po ktorom budú nové upozornenia zaslané na email. Ak nastavíte hodnotu 0, upozornenia budú posielané hneď. Posielať každé upozornenie v separátnom email – Príjemca bude dostávať nové emaily pre každé upozornenie individuálne. Môže to však viesť k veľkému počtu emailov prijatých v krátkom čase. Formát správy Formát správ o udalostiach – Formát udalostí zobrazovaných na vzdialenom počítači, ktorý je špecifikovaný v nastaveniach posielania. Formát upozornení o hrozbách – Vírusové správy a upozornenia systému ESET Endpoint Security majú prednastavený formát. Meniť tento formát sa neodporúča. Formát môžete meniť napríklad v prípade ak používate automaticky spracovávajúci emailový systém. Použiť miestne abecedné znaky – Konvertuje emailovú správu do ANSI kódovania, ktoré je nastavené v regionálnych nastaveniach systému Windows (napr. windows-1250). Ak ponecháte túto možnosť nezaškrtnutú, správa bude konvertovaná do ASCII 7-bit (napr. znak "á" sa zmení na "a" a neznámy symbol bude označený ako "?"). Použiť miestne abecedné kódovanie – Emailová správa bude zakódovaná do Quoted-printable (QP) formátu, ktorý využíva ASCII znaky, čím sa môžu bezchybne prenášať prostredníctvom emailu špeciálne (národné) znaky v 8bitovom formáte (áéíóú).
114
3.9.6.12 Karanténa Hlavnou úlohou karantény je bezpečné uchovanie infikovaných súborov. Vo väčšine prípadov sa môže jednať o súbory, pre ktoré neexistuje liečenie, nie je isté či je bezpečné ich zmazať, prípadne sa jedná o nesprávnu detekciu antivírovej ochrany. Súbory do karantény môžu byť pridané aj samotným používateľom. Môže sa tak udiať napríklad v prípade že súbor nie je detegovaný antivírusovým skenerom a má podozrivé správanie. Súbory z karantény môžu byť zaslané na analýzu do vírusového laboratória spoločnosti ESET.
Súbory uložené v karanténe môžete vidieť v prehľadnej tabuľke, kde sú informácie o dátume a čase pridania súboru do karantény, cesta k pôvodnému umiestneniu súboru, jeho dĺžka v bytoch, dôvod (napr. objekt pridaný používateľom), počet infiltrácii (napr. ak archív obsahoval viac infikovaných súborov). Pridanie do karantény ESET Endpoint Security pridáva súbory do karantény automaticky pri ich mazaní (pokiaľ používateľ vo varovnom okne nezruší túto možnosť). Ak to však používateľ uzná za vhodné, môže pomocou tlačidla Presunúť.. uložiť akýkoľvek podozrivý súbor do karantény manuálne. V takomto prípade bude súbor odstránení zo svojho pôvodného umiestnenia. Po kliknutí pravým tlačidlom myši na plochu Karantény sa zobrazí kontextové menu z ktorého zvolíte možnosť Presunúť.... Obnovenie z karantény Súbory uložené v karanténe je možné vrátiť do ich pôvodného umiestnenia, odkiaľ boli zmazané. Slúži na to funkcia Obnoviť, ktorá je takisto prístupná aj z kontextového menu po kliknutí pravým tlačidlom na daný súbor v karanténe. Ak je súbor označený ako Potenciálne nechcená aplikácia, možnosť Obnoviť a vylúčiť z kontroly bude v tomto prípade povolená. Viac o tomto type aplikácie sa môžete dočítať v Slovníku pojmov. V kontextovom menu je tiež možnosť Obnoviť do... , ktorá umožňuje súbor obnoviť na iné miesto, než to, z ktorého bol pôvodne zmazaný. Poznámka: Ak bol súbor do karantény pridaný z dôvodu falošného poplachu, najprv súbor vylúčite z kontroly, po obnovení z karantény ho pošlite technickej podpore spoločnosti ESET.
115
Poslanie na analýzu Ak máte v karanténe uložený súbor s podozrivým správaním, môžete ho poslať do spoločnosti ESET na analýzu. Označte daný súbor v karanténe a kliknite pravým tlačidlom myši. Z kontextového menu zvoľte možnosť Poslať na analýzu.
3.9.6.13 Aktualizácia Microsoft Windows Aktualizácie systému predstavujú dôležitú súčasť pre zabezpečenie ochrany používateľov pred zneužitím bezpečnostných dier a možným infikovaním systému. Preto je vhodné ak nainštalujete aktualizácie systému Microsoft Windows hneď ako sú dostupné. ESET Endpoint Security vás informuje o chýbajúcich systémových aktualizáciách na úrovni, ktorú je možné nastaviť. Sú dostupné tieto úrovne: Žiadne aktualizácie – Nebudú ponúkané žiadne aktualizácie. Voliteľné aplikácie – Budú ponúkané aktualizácie s nízkou prioritou a všetky nasledovné. Odporúčané aktualizácie – Budú ponúkané bežné aktualizácie a všetky nasledovné. Dôležité aktualizácie – Budú ponúkané dôležité aktualizácie a všetky nasledovné. Kritické aktualizácie – Budú ponúkané len kritické aktualizácie. Kliknite na OK pre uloženie zmien. Zobrazenie okna dostupných aktualizácií prebehne po overení stavu na aktualizačnom serveri. Samotné zobrazenie dostupných aktualizácií preto nemusí nutne prebehnúť hneď po uložení zmien.
3.9.7 Používateľské rozhranie Sekcia Používateľské rozhranie umožňuje nastaviť správanie programových GUI (grafické používateľské rozhranie) prvkov. V sekcii Prvky používateľského rozhrania môžete nastaviť vizuálnu stránku programu a použité efekty. Pre zabezpečenie maximálnej ochrany vášho bezpečnostného softvéru, môžete zabrániť neoprávneným zmenám nastavení heslom v časti Prístup k nastaveniam. V časti Upozornenia a udalosti môžete zmeniť správanie sa varovaní pri detekcii ohrození a správanie sa systémových upozornení. Tie môžu byť zmenené aby vyhovovali vašim požiadavkám. Ak sa rozhodnete nezobrazovať určité upozornenia, budú zobrazené v časti Prvky používateľského rozhrania > Vypnuté stavy aplikácií. Môžete kontrolovať ich stav, zobraziť viac informácií alebo ich odstrániť. Kontextové menu sa zobrazuje po kliknutí pravým tlačidlom myši na súbor v prieskumníkovi. Táto funkcionalita slúži na integráciu ovládacích prvkov ESET Endpoint Security do kontextového menu systému. Prezentačný režim je funkcia určená pre používateľov, ktorý musia neprerušovane používať svoj softvér a neželajú si byť vyrušovaný oznámeniami a dialógovými oknami, taktiež požadujú minimálne vyťaženie procesora a pamäte antivírusom.
3.9.7.1 Prvky používateľského rozhrania ESET Endpoint Security umožňuje meniť nastavenia pracovného prostredie programu podľa potreby. Nastavenia používateľského rozhrania sa nachádzajú v strome Rozšírených nastavení v časti Používateľské rozhranie > Prvky používateľského rozhrania. V časti Prvky používateľského rozhrania môžete meniť nastavenia grafického rozhrania programu. Grafické rozhranie by malo byť prepnuté na Tiché ak zobrazovanie prvkov grafického rozhrania programu spomaľuje výkon vášho počítača alebo spôsobuje problémy. V roletovom menu Štartovací režim sú na výber nasledujúce možnosti: Úplný – Zobrazuje sa kompletné grafické rozhranie. Minimálny – Grafické rozhranie je spustené ale zobrazujú sa len oznámenia na ploche. Ručný – Nezobrazujú sa ani oznámenia ani varovania. Tento režim môže spustiť každý používateľ. Tichý – Nezobrazujú sa ani oznámenia ani varovania. Tento režim môže spustiť len správca. 116
Poznámka: Akonáhle je zvolený Minimálny režim a počítač reštartovaný, tak sa budú zobrazovať oznámenia ale grafické rozhranie nebude zobrazené. Pre vrátenie späť do úplného grafického zobrazenia, spustite grafické rozhranie z ponuky Štart > Všetky programy > ESET > ESET Endpoint Security ako správca, alebo to môžete vykonať tiež cez ESET Remote Administrator použitím politiky. Ak chcete zrušiť zobrazovanie úvodného obrázku v ESET Endpoint Security zrušte možnosť Zobrazovať úvodný obrázok pri štarte. Pri udalostiach v systéme môžu zaznieť zvukové efekty (napríklad pri nájdení hrozieb pri kontrole počítača alebo pri dokončení kontroly), ktoré môžu byť zapnuté voľbou Používať zvukové znamenia. Používať kontextové menu – Integruje ovládacie prvky ESET Endpoint Security do kontextového menu systému. Stavy Vypnuté stavy aplikácií – Kliknite na Upraviť pre správu stavov, ktoré sú zobrazené v hlavnom menu v Stave ochrany. Licenčné informácie Zobraziť licenčné informácie – Ak je táto možnosť vypnutá, licenčné informácie v časti Stav ochrany a Pomoc a podpora hlavného menu nebudú zobrazené. Zobraziť licenčné informácie a upozornenia – Ak je táto možnosť vypnutá, upozornenia a správy budú zobrazované len v prípade, že platnosť licencie vypršala.
117
3.9.7.2 Prístup k nastaveniam Správne nastavenie ESET Endpoint Security je veľmi dôležité pre zachovanie celkovej bezpečnosti vášho systému. Neoprávnené zmeny nastavení môžu vystaviť systém nebezpečenstvu, prípadne spôsobiť stratu dát. Aby ste predišli neoprávneným zmenám nastavení, rozšírené nastavenia ESET Endpoint Security sa dajú ochrániť heslom. Nastavenia prístupu sa nachádzajú v strome Rozšírených nastavení v časti Používateľské rozhranie > Nastavenia prístupu.
Ochrana nastavení heslom – Po kliknutí sa otvorí okno Nastavenie hesla. Pre zmenu nastaveného hesla kliknite na Nastaviť. Pre obmedzené účty správcu vyžadovať úplné práva – Ak prihlásený používateľ nemá administrátorské práva, môžu byť tieto v prípade pokusu o zmenu niektorých nastavení od neho vyžadované (podobne ako je to vo Windows Vista a 7 pri zapnutom UAC). Týka sa to hlavne dôležitých nastavení ako je vypnutie jednotlivých modulov ochrany alebo vypnutie firewallu. Len pre Windows XP: Požadovať úplné práva správcu pre obmedzené správcovské konto – Zapnite túto možnosť a ESET Endpoint Security bude pýtať poverenia správcu.
118
3.9.7.3 Upozornenia a udalosti V časti Upozornenia a udalosti umiestnenej v sekcii Používateľské rozhranie, sa konfigurujú výstražné a informačné hlásenia ESET Endpoint Security. Nastaviť sa dá dĺžka trvania ako aj priehľadnosť okna s upozornením (len v systémoch, ktoré podporujú notifikácie).
Výstražné upozornenia Po vypnutí možnosti Zobrazovať výstražné upozornenia sa nebudú zobrazovať žiadne upozornenia v prípade detekcie infiltrácie alebo inej udalosti, toto nastavenie je vhodné len pre určité situácie. Odporúčame túto voľbu ponechať aktívnu. Oznámenia na ploche Oznámenia na pracovnej ploche sú informačnými prostriedkami, ktoré neponúkajú a ani nevyžadujú interakciu používateľa. Zobrazujú sa v paneli oznámení v pravej dolnej časti obrazovky. Zobrazovanie oznámení na pracovnej ploche sa aktivuje možnosťou Zobrazovať oznámenia na ploche. Ďalšie možnosti (ako trvanie zobrazenia upozornenia a priehľadnosť tohto okna) môžno nastaviť nižšie. Povolením možnosti Nezobrazovať oznámenia pri spustení aplikácie v režime na celú obrazovku budú pozastavené oznamovacie okná v prípade, že bude spustená aplikácia na celú obrazovku. V rolovacom menu Zobrazovať udalosti od úrovne, je možné nastaviť, aké závažné udalosti sa budú zobrazovať. Sú dostupné tieto možnosti: Diagnostický – Zobrazované budú informácie dôležité pre ladenie programu a všetky nasledujúce úrovne. Informatívny – Zobrazované budú informačné správy napríklad o úspešnej aktualizácií a všetky nasledujúce úrovne. Upozornenia – Zobrazované budú varovné správy, chyby a kritické chyby. Chyby – Zobrazované budú chyby typu „Chyba pri sťahovaní súboru aktualizácie“ a kritické chyby. Kritický – Zobrazované budú len kritické chyby (nespustenie Antivírusovej ochrany , Personálneho firewallu, atď.). Poslednou možnosťou konfigurácie v tomto okne je nastavenie príjemcu správ v systémoch s viacerými 119
používateľmi. Pole s názvom Vo viacpoužívateľskom prostredí posielať systémové oznámenia tomuto používateľovi predstavuje meno používateľa, ktorému budú zasielané dôležité systémové hlásenia ESET Endpoint Security v systéme s viacerými používateľmi. Štandardne je týmto používateľom administrátor systému alebo siete. Voľbu je vhodné použiť na terminálovom serveri, kde všetky systémové hlásenia budú chodiť len administrátorovi. Okná správ Dĺžku zobrazenia informačných okien možno nastaviť v poli pod možnosťou Oznamovacie okná zatvárať automaticky. Po uplynutí nastaveného času sa okno oznámenia zatvorí, ak tak neurobí používateľ sám. Potvrdzujúce správy – Zobrazí zoznam potvrdzujúcich správ, ktoré môžu mať nastavené buď nezobrazovanie alebo zobrazovanie.
3.9.7.4 Ikona v paneli úloh Niektoré dôležité nastavenia sú dostupné v menu, ktoré sa zobrazí po kliknutí pravým tlačidlom na ikonu programu v paneli úloh .
Blokovať sieť – Personálny firewall zablokuje všetky prichádzajúce / odchádzajúce komunikácie cez internet. Pozastaviť ochranu – Zobrazí okno pre potvrdenie pozastavenia Antivírusovej a antispywarovej ochrany, ktoré zabezpečujú komplexnú ochranu pred nebezpečnými programami, webovou a emailovou komunikáciou ohrozujúcou systém.
Roletové menu Časový interval predstavuje dobu, počas ktorej bude pozastavená Antivírusová a antispywarová ochrana. Pozastaviť firewall (povoliť všetku sieťovú komunikáciu) – Pozastaví kontrolu siete personálnym firewallom. Viac informácií nájdete v kapitole Sieť .
120
Blokovať sieťovú komunikáciu – Pozastaví sieťovú komunikáciu. Pozastavenie sa zruší kliknutím na Zrušiť blokovanie sieťovej komunikácie. Rozšírené nastavenia – Otvorí okno Rozšírených nastavení programu. Okno sa dá otvoriť pomocou klávesovej skratky F5 alebo z hlavného okna programu Nastavenie > Rozšírené nastavenia. Protokoly – Otvorí Protokoly, ktoré obsahujú informácie o všetkých systémových udalostiach a poskytujú prehľad zistených ohrození. Skryť ESET Endpoint Security 6 – Skryje hlavné okno programu z obrazovky. Obnoviť rozmiestnenie okien – Obnoví prednastavenú veľkosť a umiestnenie okna na obrazovke. Aktualizácia vírusovej databázy – Spustí aktualizáciu vírusových databáz a programových komponentov, ktorá je dôležitá súčasť na zabezpečenie komplexnej ochrany pred škodlivým kódom. O programe – Informácie o programe ESET Endpoint Security, v ktorých môžete nájsť verziu produktu, licenčné informácie a informácie o nainštalovaných moduloch. Informácie o operačnom systéme a systémových prostriedkoch sú zobrazené v dolnej časti okna.
3.9.7.5 Kontextové menu Kontextové menu sa zobrazuje po kliknutí pravým tlačidlom myši na súbor v prieskumníkovi. Obsahuje zoznam akcií, ktoré možno so súborom vykonať. Použite túto funkcionalitu pre integráciu ovládacích prvkov ESET Endpoint Security do kontextového menu systému. Podrobnejšie nastavenia tejto funkcionality sa nachádzajú v strome pokročilých nastavení v časti Používateľské rozhranie > Prvky používateľského rozhrania. Používať kontextové menu – Integruje ovládacie prvky ESET Endpoint Security do kontextového menu systému.
3.10 Pokročilý používateľ 3.10.1 Manažér profilov Manažér profilov sa v ESET Endpoint Security používa na dvoch miestach – v sekcii Kontrola počítača a v sekcii Aktualizácia. Kontroly počítača Obľúbené nastavenia kontroly počítača sa dajú uložiť do profilov. Odporúčame vytvoriť viacero profilov s rôznymi cieľmi a metódami kontroly, prípadne ďalšími nastaveniami pre často používané kontroly. Pre vytvorenie nového profilu, otvorte okno Rozšírené nastavenia (F5) a kliknite na Antivírus > Kontrola počítača a pri popise Zoznam profilov kliknite na Upraviť. V menu Manažér profilov môžete vybrať profil pre túto kontrolu. Pre pomoc s nastavovaním nového profilu si pozrite kapitolu ThreatSense parametre . Príklad: Povedzme, že chcete vytvoriť vlastný profil kontroly počítača a čiastočne vám vyhovujú nastavenia preddefinovaného profilu Smart kontrola počítača. Nechcete však kontrolovať runtime archívy, zneužiteľné aplikácie a chcete použiť Prísne liečenie. Zadajte názov nového profilu do okna Manažér profilov a kliknite na Pridať. Označte váš nový profil a z roletového menu Aktívny profil a nastavte parametre a kliknite na OK pre uloženie profilu.
121
Aktualizácia Editor profilov nastavení aktualizácie umožňuje vytvárať nové profily pre aktualizáciu Používanie iných profilov, ako je štandardne nastavený Môj profil má význam v prípade, ak sa počítač pripája na aktualizačné servery viacerými spôsobmi. Príkladom je notebook, ktorý sa pripája v domovskej sieti na lokálny server – Mirror, no keď je mimo, na cestách, sťahuje si aktualizácie priamo zo serverov spoločnosti ESET. Vtedy je potrebné vytvoriť dva profily. Jeden sa bude pripájať na lokálny server, druhý, cestovný, na servery spoločnosti ESET. Potom už len stačí v sekcii Nástroje > Plánovač upraviť úlohu pre aktualizáciu. Označte profily ako primárny a sekundárny Aktívny profil – Profil, ktorý je momentálne použitý. Možno ho zmeniť výberom iného profilu z roletového menu. Pridať – Vytvorí nový alebo odstráni existujúci aktualizačný profil.
3.10.2 Diagnostika Diagnostika poskytuje výpisy aplikácie pri zlyhaní procesov ESET (napr. ekrn). Ak aplikácia zlyhá, vygeneruje sa výpis. Výpis môže pomôcť vývojárom ladiť a opraviť rôzne problémy ESET Endpoint Security. Kliknite roletové menu vedľa popisu Typ výpisu a označte jednu z nasledujúcich možností: Pre vypnutie výpisov označte možnosť Žiadny (predvolené). Skrátený – Zaznamená najmenšiu sadu užitočných informácií, ktoré môžu pomôcť identifikovať dôvod, prečo aplikácia nečakane zastavila. Tento typ výpisu môže byť užitočný, keď je obmedzený priestor na disku. Avšak, kvôli obmedzenému množstvu zahrnutých informácií, chyby, ktoré neboli priamo spôsobené vláknom (threadom), ktoré bolo aktívne v čase problému, nemusia byť objavené analýzou tohto súboru. Úplný – Zaznamená celý obsah systémovej pamäti, keď aplikácia nečakane zastaví. Kompletný výpis z pamäti môže obsahovať dáta procesov, ktoré bežali v čase keď bol výpis zozbieraný. Zapnúť rozšírené protokoly personálneho firewallu – Zaznamená všetky sieťové dáta prechádzajúce cez Personálny firewall vo formáte PCAP za účelom pomoci vývojárom diagnostikovať a vyriešiť problémy súvisiace s Personálnym firewallom. Zapnúť rozšírené protokoly filtrovania protokolov – Zaznamená všetky dáta prechádzajúce jadrom filtrovania protokolov v PCAP formáte za účelom pomôcť vývojárom diagnostikovať a vyriešiť problémy súvisiace s filtrovaním protokolov. Protokoly je možné nájsť v priečinku: C:\ProgramData\ESET\ESET Smart Security\Diagnostics\ in Windows Vista alebo novší a pre staršie verzie Windows C:\Documents and Settings\All Users\... Cieľový adresár – Súbor, do ktorého sa vygeneruje výpis pri zlyhaní. Otvoriť diagnostický priečinok – Pre otvorenie cieľového adresára v novom okne prieskumníka Windows kliknite na Zobraziť.
3.10.3 Import a export nastavení V tomto okne môžete importovať alebo exportovať vaše nastavenia ESET Endpoint Security z/do .xml súboru, okno možno spustiť v časti Nastavenie. Importovanie a exportovanie konfiguračných súborov je potrebné napríklad pri zálohovaní nastavení, ku ktorým sa chce používateľ neskôr vrátiť. Export nastavení ďalej určite ocenia tí, ktorí jednotné nastavenia ESET Endpoint Security potrebujú použiť na viacerých počítačoch, kde do nainštalovaného programu jednoducho naimportujú .xml súbor s nastaveniami. Import nastavení je veľmi jednoduchý. V hlavnom okne programu kliknite na Nastavenie > Import/export nastavení a vyberte možnosť Import nastavení. Vpíšte meno konfiguračného súboru alebo kliknite na tlačidlo ... pre vyhľadanie a označenie súboru, ktorý chcete importovať.
122
Export nastavení má podobný postup ako import. V hlavnom okne programu kliknite na Nastavenie > Import/export nastavení. Vyberte možnosť Export nastavení a zadajte názov konfiguračného súboru (napríklad export.xml). Potom pomocou prieskumníka zvoľte miesto na disku, kam chcete súbor s nastaveniami uložiť. Poznámka: Pri exporte nastavení sa môže objaviť chybové hlásenie, ak nemáte potrebné práva na zápis do príslušného adresára.
3.10.4 Príkazový riadok Antivírusový modul ESET Endpoint Security je možné spustiť cez príkazový riadok – manuálne (príkazom "ecls") alebo pomocou súboru typu "bat". Použitie ESET Security skenera na požiadanie: ecls [VOĽBY..] SÚBORY..
Pri spúšťaní on-demand skenera cez príkazový riadok môžete použiť niekoľko parametrov a prepínačov: Voľby /base-dir=ADRESÁR /quar-dir=ADRESÁR /exclude=MASKA /subdir /no-subdir /max-subdir-level=ÚROVEŇ /symlink /no-symlink /ads /no-ads /log-file=SÚBOR /log-rewrite /log-console /no-log-console /log-all /no-log-all /aind /auto
moduly zaveď z ADRESÁRA súbory karanténuj do ADRESÁRA vylúč súbory zodpovedajúce MASKE spod kontroly zostúp do podadresárov (implicitné) nezostupuj do podadresárov podadresáre skontroluj len do ÚROVEŇ hĺbky (implicitne 0 = neobmedzené) nasleduj symbolické linky (implicitné) preskoč symbolické linky kontroluj ADS (implicitné) nekontroluj ADS zapíš protokol do SÚBORU prepíš výstupný súbor protokolu (implicitne sa dopíše) zapíš výstup na konzolu (implicitné) nezapisuj výstup na konzolu vypisuj aj čisté súbory nevypisuj čisté súbory (implicitné) zobraz indikátor aktivity automaticky preskenuj a lieč všetky lokálne disky
Voľby skenera /files /no-files /memory /boots /no-boots /arch
kontroluj súbory (implicitné) nekontroluj súbory kontroluj pamäť kontroluj zavádzacie súbory nekontroluj zavádzacie súbory (implicitné) kontroluj archívy (implicitné) 123
/no-arch /max-obj-size=VEĽKOSŤ /max-arch-level=ÚROVEŇ /scan-timeout=LIMIT /max-arch-size=VEĽKOSŤ /max-sfx-size=VEĽKOSŤ /mail /no-mail /mailbox /no-mailbox /sfx /no-sfx /rtp /no-rtp /unsafe /no-unsafe /unwanted /no-unwanted /suspicious /no-suspicious /pattern /no-pattern /heur /no-heur /adv-heur /no-adv-heur /ext=PRÍPONY /ext-exclude=PRÍPONY /clean-mode=MÓD
nekontroluj archívy kontroluj len súbory menšie ako VEĽKOSŤ megabajtov (implicitne 0 = neobmedzené) archívy kontroluj najviac do ÚROVEŇ hĺbky archívy kontroluj najviac LIMIT sekúnd kontroluj len súbory v archívoch menšie ako VEĽKOSŤ megabajtov (implicitne 0 = neobmedzené) kontroluj len súbory v samorozbaľovacích archívoch menšie ako VEĽKOSŤ megabajtov (implicitne 0 = neobmedzené) kontroluj poštové súbory (implicitné) nekontroluj poštové súbory kontroluj poštové schránky (implicitné) nekontroluj poštové schránky kontroluj samorozbaľovacie archívy (implicitné) nekontroluj samorozbaľovacie archívy kontroluj runtime archívy (implicitné) nekontroluj runtime archívy kontroluj zneužiteľné aplikácie nekontroluj zneužiteľné aplikácie (implicitné) kontroluj potenciálne nechcené aplikácie nekontroluj potenciálne nechcené aplikácie (implicitné) kontroluj podozrivé aplikácie (implicitné) nekontroluj pdozrivé aplikácie použi vzorky (implicitné) nepouži vzorky zapni heuristiku (implicitné) vypni heuristiku zapni rozšírenú heuristiku (implicitné) vypni rozšírenú heuristiku kontroluj len dvojbodkou oddelené PRÍPONY výluč spod kontroly dvojbodkou oddelené PRÍPONY použi MÓD liečenia infikovaných objektov Sú dostupné tieto možnosti: none – Infikované súbory sa nebudú automaticky liečiť. standard (implicitné) – ecls.exe sa pokúsi infikované súbory vyliečiť alebo zmazať. strict – ecls.exe sa pokúsi automaticky vyliečiť alebo zmazať infikované súbory bez zásahu užívateľa. rigorous – ecls.exe vymaže infikované súbory bez toho aby sa pokúsil ich vyčistiť, bez ohľadu na druh súboru. delete – ecls.exe vymaže infikované súbory bez toho aby sa pokúsil ich vyčistiť, nevymaže však citlivé súbory ako napríklad systémové súbory Windowsu.
/quarantine
ulož infikované súbory (pri liečení) do karantény (doplnková akcia pri liečení súborov)
/no-quarantine
neukladaj infikované súbory do karantény
Všeobecné voľby /help /version /preserve-time
zobraz pomocníka a skonči zobraz informáciu o verzii a skonči zachovaj posledný čas prístupu k súborom
Návratové hodnoty 0 124
nenašla sa žiadna infekcia
1 10 50 100
našla sa infekcia, ale bola odstránená niektoré súbory nemohli byť skontrolované (a môžu obsahovať infekciu) našla sa infekcia chyba
Poznámka: Výstupné kódy väčšie ako 100 znamenajú, že súbor nebol skontrolovaný a teda môže byť infikovaný.
3.10.5 Kontrola v nečinnosti Tieto nastavenia sa nachádzaju v strome Rozšírených nastavení v časti Antivírus > Kontrola v nečinnosti > Detekcia stavu nečinnosti. Tieto nastavenia špecifikujú detektory pre nástroj Kontrola v nečinnosti, keď: je spustený šetrič obrazovky, počítač je uzamknutý, používateľ je odhlásený. Použite tieto možnosti pre povolenie alebo zakázanie daných detektorov.
3.10.6 ESET SysInspector 3.10.6.1 Úvod do programu ESET SysInspector ESET SysInspector je aplikácia, ktorá dôkladne prehliadne váš počítač a zobrazí zozbierané dáta v súhrnnom náhľade. Informácie ako nainštalované ovládače a aplikácie, sieťové pripojenia, či dôležité položky registra Windows vám môžu pomôcť pri zisťovaní príčiny podozrivého správania sa systému, či už kvôli softvérovej alebo hardvérovej nekompatibilite alebo malwarovej infiltrácii. K programu ESET SysInspector je možné pristupovať dvomi spôsobmi: Zo zabudovanej verzie bezpečnostného produktu ESET, alebo stiahnutím samostatnej bezplatnej verzie (SysInspector.exe) priamo zo stránky ESET. Obidva druhy programu majú rovnaké ovládanie. Jediný rozdiel spočíva v tom, ako sú riadené výstupy. Samostatná verzia, ako aj integrovaná verzia, umožňuje export systémových záznamov počítača do súboru .xml a jeho uloženie na disk. Integrovaná verzia programu však umožňuje udržiavať systémové protokoly priamo v produkte, v časti Nástroje > ESET SysInspector (nie v prípade ESET Remote Administrator). Viac informácii sa nachádza v kapitole ESET SysInspector ako súčasť ESET Endpoint Security. Kontrola počítača pomocou ESET SysInspector môže trvať od 10 sekúnd až po niekoľko minút, v závislosti od hardvérovej konfigurácie počítača, operačného systému a počtu nainštalovaných aplikácii.
3.10.6.1.1 Spustenie programu ESET SysInspector Pre spustenie programu ESET SysInspector jednoducho spustite SysInspector.exe, ktorý ste stiahli priamo zo stránky ESET. Ak máte nainštalované jedno z riešení bezpečnostného produktu ESET, môžete spustiť ESET SysInspector priamo z ponuky Štart (Programy > ESET > ESET Endpoint Security). Následne, prosím, počkajte, kým aplikácia prehliadne váš systém, čo môže trvať aj niekoľko minút v závislosti od vášho hardwaru a dát, ktoré sa majú zozbierať.
125
3.10.6.2 Používateľské rozhranie a používanie aplikácie Pre jednoduché používanie je hlavné okno rozdelené do štyroch hlavných sekcií – Ovládanie programu je umiestnené hore v hlavnom okne, navigačné okno je naľavo a okno s popisom je napravo v strednej časti. Okno s detailmi sa nachádza v pravej časti dole. Sekcia Stav protokolu zobrazuje základné parametre protokolu (použitý filter, typ filtra, či je protokol výsledkom porovnania, atď.).
3.10.6.2.1 Ovládacie prvky programu Táto sekcia obsahuje popis všetkých ovládacích prvkov dostupných v programe ESET SysInspector. Súbor Kliknutím sem si môžete uložiť váš súčasný protokol pre neskoršie preskúmanie, alebo otvoriť predtým uložený protokol. Ak chcete váš protokol zverejniť, odporúčame ho vygenerovať ako vhodný na posielanie. V tomto prípade sa vynechajú citlivé informácie (meno používateľa, názov počítača, názov domény, používateľské oprávnenia, premenné prostredia, atď.). Poznámka: Uložené protokoly programu ESET SysInspector môžete jednoducho otvoriť pretiahnutím súboru do hlavného okna vo všetkých podporovaných operačných systémoch s výnimkou operačného systému Windows Vista a to z bezpečnostných dôvodov. Strom Umožňuje vám rozbaliť alebo zatvoriť všetky vetvy a vyexportovať vybrané časti do Servisného skriptu. Zoznam Obsahuje funkcie pre jednoduchšiu navigáciu v programe a ďalšie funkcie, ako napríklad vyhľadávanie informácií online.
126
Pomocník Obsahuje informácie o aplikácii a jej funkciách. Detail Ovplyvňuje informácie zobrazené v ostatných sekciách hlavného okna a tým robí používanie programu jednoduchým. V "Základnom" móde máte prístup k informáciám, ktoré sa používajú na nájdenie bežných problémov v systéme. V "Strednom" móde program zobrazuje aj menej používané detaily, zatiaľ čo v "Úplnom" móde ESET SysInspector zobrazí všetky informácie potrebné k vyriešeniu veľmi špecifických problémov. Filtrovanie Sa používa najlepšie na vyhľadanie podozrivých súborov alebo zápisov v registri vo vašom systéme. Nastavením posuvníka môžete filtrovať položky podľa ich úrovne rizika. Ak je posuvník nastavený čo najviac vľavo (Filtrovanie 1), tak sú zobrazené všetky položky. Nastavením posuvníka viac doprava odfiltrujete všetky položky s úrovňou rizika menšou, než je aktuálne nastavená a zobrazíte viac podozrivé položky. Ak je posuvník nastavený čo najviac vpravo, program zobrazí iba známe škodlivé položky. Všetky položky, ktoré majú úroveň rizika 6 až 9 môžu predstavovať bezpečnostné riziko. Ak nepoužívate niektoré bezpečnostné riešenie od spoločnosti ESET, odporúčame, aby ste si preskenovali váš systém pomocou ESET Online Scanner, ak ESET SysInspector našiel takúto položku. ESET Online Scanner je zadarmo dostupná služba. Poznámka: Úroveň rizika niektorej položky sa dá rýchlo určiť porovnaním farby danej položky s farbou na posuvníku úrovne rizika. Hľadať Vyhľadávanie sa dá použiť pre rýchle hľadanie špecifickej položky alebo časti jej mena. Výsledky požiadavky na hľadanie sú zobrazené v časti s popisom. Návrat Kliknutím na šípku späť alebo dopredu sa môžete vrátiť k predošlej zobrazenej informácii v okne s popisom. Namiesto klikania na šípky môžete použiť klávesy backspace a medzerník. Zobrazená sekcia Zobrazuje súčasnú vetvu v navigačnom okne. Dôležité: Položky vyznačené červenou farbou sú neznáme, preto ich program označí ako potenciálne nebezpečné. Ak je niektorá položka v červenom, neznamená to, že môžete automaticky zmazať daný súbor. Pred samotným zmazaním sa uistite, že súbory sú skutočne nebezpečné alebo nepotrebné.
3.10.6.2.2 Navigácia v programe ESET SysInspector ESET SysInspector rozdeľuje niekoľko typov informácií do niekoľkých základných sekcií, ktoré sa nazývajú uzly. Ak je dostupných viac informácií, môžete ich nájsť po rozbalení každého uzla, kde uvidíte jeho poduzly. Pre rozbalenie alebo zavretie uzla, dvakrát poklikajte na názov, alebo kliknite na alebo vedľa názvu uzla. Pri prehliadaní stromovej štruktúry uzlov a poduzlov v navigačnom okne, môžete nájsť viac detailov pre každý uzol v okne s popisom. Ak prehliadate položky v okne s popisom, ďalšie detaily pre každý typ položky môžu byť zobrazené v okne s detailmi. Nasledujú popisy hlavných uzlov v navigačnom okne a súvisiace informácie v oknách s popisom a detailmi. Spustené procesy Táto vetva obsahuje informácie o aplikáciách a procesoch, ktoré sú spustené v čase generovania protokolu. V okne s popisom môžete nájsť ďalšie detaily pre každý proces, ako napríklad ktoré dynamické knižnice proces používa a ich umiestnenie v systéme, meno dodávateľa aplikácie, úroveň rizika daného súboru, atď. Okno s detailmi obsahuje ďalšie informácie pre položky vybrané v okne s popisom, ako napríklad veľkosť súboru alebo jeho kontrolný súčet. 127
Poznámka: Operačný systém pozostáva z niekoľkých dôležitých komponentov jadra systému, ktoré bežia nepretržite a poskytujú základnú a vitálnu funkcionalitu pre ostatné užívateľské aplikácie. V niektorých prípadoch sú takéto procesy zobrazené v protokole ESET SysInspector s cestou začínajúcou na \??\. Tieto symboly poskytujú optimalizáciu ešte pred spustením pre tieto procesy; sú bezpečné pre systém a ako také sú korektné. Sieťové pripojenia Okno s popisom obsahuje zoznam procesov a aplikácií, ktoré komunikujú cez sieť pomocou protokolu, ktorý je vybraný v navigačnom okne (TCP alebo UDP) a tiež aj vzdialenú adresu, kam sa daná aplikácia pripája. Taktiež môžete skontrolovať IP adresy DNS serverov. Okno s detailmi obsahuje dodatočné informácie pre položky vybrané v okne s popisom, ako napríklad veľkosť súboru alebo jeho kontrolný súčet. Dôležité záznamy registrov Obsahuje zoznam vybraných položiek registra Windows, ktoré často súvisia s rôznymi problémami vo vašom počítači, napríklad tie, ktoré definujú programy spúšťané po štarte, browser helper objects (BHO), atď. V okne s popisom môžete nájsť, ktoré súbory súvisia so špecifickými položkami v registri. Viac detailov môžete vidieť v okne s detailmi. Služby Okno s popisom obsahuje zoznam súborov, ktoré sú zaregistrované ako služby systému Windows. Môžete si skontrolovať, akým spôsobom sa služba spúšťa spoločne so špecifickými detailmi súboru v okne s detailmi. Ovládače Zoznam ovládačov, ktoré sú nainštalované v systéme. Kritické súbory Okno s popisom zobrazí obsah s kritickými súbormi súvisiacimi s operačným systémom Microsoft Windows. Úlohy systémového plánovača Obsahuje zoznam úloh, ktoré sa spúšťajú v určitom čase/intervale pomocou systémového plánovača úloh Windowsu. Systémové informácie Obsahuje detailné informácie o hardvéri a softvéri, spoločne s informáciami o nastavených globálnych premenných, používateľských právach a záznamov udalostí systému. Detaily súborov Zoznam dôležitých systémových súborov a súborov v adresári Program Files. Ďalšie informácie, špecifické pre súbory, sa dajú nájsť v oknách s popisom a detailmi. O programe Informácie o programe ESET SysInspector, v ktorých môžete nájsť verziu produktu a zoznam programových modulov. Výsledky hľadania Zoznam hľadaných špecifických položiek alebo častí jej mena.
128
3.10.6.2.2.1 Klávesové skratky Klávesové skratky, ktoré sa dajú použiť pri práci s programom ESET SysInspector, zahŕňajú: Súbor Ctrl+O Ctrl+S
otvorí existujúci protokol uloží vytvorený protokol
Generovanie Ctrl+G Ctrl+H
vytvorí štandardný záznam stavu systému vytvorí záznam o stave systému, ktorá môže zaznamenať aj citlivé informácie
Filtrovanie 1, O 2 3 4, U 5 6 7, B 8 9 + Ctrl+9 Ctrl+0
bezpečné, sú zobrazené položky s úrovňou rizika 1-9 bezpečné, sú zobrazené položky s úrovňou rizika 2-9 bezpečné, sú zobrazené položky s úrovňou rizika 3-9 neznáme, sú zobrazené položky s úrovňou rizika 4-9 neznáme, sú zobrazené položky s úrovňou rizika 5-9 neznáme, sú zobrazené položky s úrovňou rizika 6-9 riskantné, sú zobrazené položky s úrovňou rizika 7-9 riskantné, sú zobrazené položky s úrovňou rizika 8-9 riskantné, sú zobrazené položky s úrovňou rizika 9 zníži úroveň rizika zvýši úroveň rizika režim filtrovania, rovnaká úroveň alebo vyššia režim filtrovania, iba rovnaká úroveň
Zobrazenie Ctrl+5 Ctrl+6 Ctrl+7 Ctrl+3 Ctrl+2 Ctrl+1 BackSpace Space Ctrl+W Ctrl+Q
zobraziť podľa výrobcu, všetci výrobcovia zobraziť podľa výrobcu, iba Microsoft zobraziť podľa výrobcu, všetci ostatní výrobcovia zobrazí plné detaily zobrazí stredné detaily základné zobrazenie urobí krok naspäť urobí krok dopredu rozbalí stromovú štruktúru balí stromovú štruktúru
Iné klávesové skratky Ctrl+T Ctrl+P Ctrl+A Ctrl+C Ctrl+X Ctrl+B Ctrl+L Ctrl+R Ctrl+Z Ctrl+F Ctrl+D Ctrl+E
prejde na pôvodnú lokáciu položky po jej vybratí vo výsledkoch vyhľadávania zobrazí základné informácie o položke zobrazí plné informácie o položke skopíruje stromovú vetvu aktuálnej položky skopíruje všetky položky vyhľadá informácie o označenej položke na internete otvorí adresár, kde sa nachádza zvolený súbor otvorí príslušnú položku v editore registrov skopíruje cestu k súboru (ak označená položka súvisí so súborom) prepne sa do vyhľadávacieho políčka zatvorí výsledky vyhľadávania spustí servisný skript
Porovnávanie Ctrl+Alt+O
otvorí pôvodný / porovnávací protokol 129
Ctrl+Alt+R Ctrl+Alt+1 Ctrl+Alt+2 Ctrl+Alt+3 Ctrl+Alt+4 Ctrl+Alt+5 Ctrl+Alt+C Ctrl+Alt+N Ctrl+Alt+P
zruší porovnanie zobrazí všetky položky zobrazí iba pridané položky, protokol zobrazí položky, ktoré sú prítomné v aktuálnom protokole zobrazí iba odobraté položky, protokol zobrazí položky, ktoré sú prítomné v predchádzajúcom protokole zobrazí iba nahradené položky (vrátane súborov) zobrazí iba rozdiely medzi protokolmi zobrazí porovnanie otvorí aktuálny protokol otvorí predošlý protokol
Rôzne F1 Alt+F4 Alt+Shift+F4 Ctrl+I
zobrazí nápovedu zatvorí program zatvorí program bez opýtania štatistiky protokolu
3.10.6.2.3 Porovnanie protokolov Funkcia Porovnanie protokolov umožňuje užívateľovi porovnať dva existujúce protokoly. Výstup z tejto funkcionality je sada položiek, ktoré nie sú spoločné pre obidva protokoly. Je to vhodné, ak chcete sledovať zmeny v systéme – môžete napríklad objaviť aktivitu škodlivého programu. Po tom, čo je spustená, aplikácia vytvorí nový protokol, ktorý sa zobrazí v novom okne. Choďte do Súbor > Ulož protokol pre uloženie protokolu do súboru. Protokoly sa dajú otvoriť a prezerať aj neskôr. Pre otvorenie už existujúceho protokolu, použite menu Súbore > Načítaj protokol. V hlavnom okne programu ESET SysInspector sa vždy zobrazí naraz iba jeden protokol. Ak porovnávate dva protokoly, princíp spočíva v tom, že porovnávate práve aktívny protokol s protokolom uloženým v súbore. Pre porovnanie protokolov použite voľbu Súbor > Porovnanie protokolov a zvoľte Výber súboru. Vybraný protokol bude porovnaný s aktívnym v hlavnom okne programu. Výsledný, tzv. porovnávací protokol zobrazí iba rozdiely medzi tými dvomi protokolmi. Poznámka: V prípade, že porovnávate dva protokoly, vyberiete voľbu Súbor > Ulož protokol a uložíte ich ako ZIP súbor, obidva súbory sú uložené. Ak neskôr otvoríte takýto súbor, protokoly, ktoré obsahuje, budú automaticky porovnané. Vedľa zobrazených položiek, ESET SysInspector zobrazí symboly identifikujúce rozdiely medzi porovnávanými protokolmi. Popis všetkých symbolov, ktoré môžu byť zobrazené vedľa symbolov: nová hodnota, nebola prítomná v predchádzajúcom protokole sekcia so stromovou štruktúrou obsahuje nové hodnoty odobraná hodnota, prítomná iba v predchádzajúcom protokole sekcia so stromovou štruktúrou obsahuje odobrané hodnoty hodnota / súbor boli zmenené sekcia so stromovou štruktúrou obsahuje zmenené hodnoty / súbory úroveň rizika poklesla / bola vyššia v predošlom protokole úroveň rizika stúpla / bola nižšia v predošlom protokole Vysvetľujúca sekcia zobrazená v ľavom dolnom rohu popisuje všetky symboly a tiež zobrazuje názvy protokolov, ktoré sú porovnávané.
130
Hociktorý porovnávací protokol môže byť uložený do súboru a kedykoľvek neskôr otvorený. Príklad Vygenerujte a uložte protokol, ktorý zaznamená originálne informácie o systéme do súboru predchadzaj uci.xml. Po tom, čo budú vykonané zmeny v systéme, otvorte SysInspector a nechajte ho vygenerovať nový protokol. Uložte ho do súboru aktualny.xml. Aby sme mohli sledovať zmeny medzi týmito dvomi protokolmi, choďte do menu Súbor > Porovnanie protokolov. Program vytvorí zrovnávací protokol, ktorý ukazuje rozdiely medzi protokolmi. Rovnaký výsledok sa dá dosiahnuť, ak použijete nasledovnú voľbu v príkazovom riadku: SysIsnpector.exe aktualny.xml predchadzaj uci.xml
3.10.6.3 Ovládanie cez príkazový riadok ESET SysInspector podporuje generovanie protokolov z príkazového riadku za použitia týchto parametrov: /gen /privacy /zip /silent /blank
vygeneruje protokol priamo z príkazového riadku bez spustenia grafického rozhrania vygeneruje protokol bez citlivých informácií uloží výsledný protokol priamo na disk v komprimovanom súbore tento parameter potlačí zobrazenie ukazovateľa stavu pri generovaní protokolu zobrazí informácie o použití parametrov v príkazovom riadku
Príklady Použitie: Sysinspector.exe [load.xml] [/gen=save.xml] [/privacy] [/zip] [compareto.xml]
Pre zobrazenie niektorého protokolu priamo do prehliadača, použite: SysInspector.exe "c:\klientskyprotokol.xml" Pre vygenerovanie protokolu do špecifického súboru/lokácie, použite: SysInspector.exe /gen="c:\adresar \moj novyprotokol.xml" Pre vygenerovanie protokolu bez citlivých informácií, použite: SysInspector.exe /gen="c:\moj novyprotokol.zip" / privacy /zip Pre porovnanie dvoch protokolov, použite: SysInspector.exe "aktualny.xml" "originalny.xml" Poznámka: Ak názov súboru/adresára obsahuje medzeru, mal by byť napísaný medzi úvodzovkami.
131
3.10.6.4 Servisný skript Servisný skript je nástroj, ktorý slúži na poskytnutie pomoci zákazníkom, ktorí používajú ESET SysInspector. Slúži na odstránenie nežiaducich objektov zo systému. Servisný skript umožňuje používateľovi vyexportovať celý SysInspector protokol alebo iba vybrané časti. Po exporte môžete označiť nežiaduce objekty na zmazanie. Potom môžete spustiť modifikovaný protokol pre zmazanie označených objektov. Servisný skript je vhodný pre pokročilých používateľov s predošlými skúsenosťami v diagnostikovaní systémových problémov. Nekvalifikované zásahy môžu viesť k strate funkčnosti operačného systému. Príklad Ak máte podozrenie, že je váš počítač napadnutý vírusom, ktorý nie je detegovaný vašim antivírusovým programom, pokračujte podľa nasledovných krokov: Spustite ESET SysInspector a vygenerujte nový protokol o systéme. Označte prvú položku v sekcii naľavo (v stromovej štruktúre), stlačte Ctrl a označte poslednú položku pre označenie všetkých položiek. Pustite Ctrl. Kliknite pravým tlačidlom myši na označené objekty a zvoľte Ulož vybrané sekcie do servisného skriptu z kontextového menu. Vybrané objekty budú vyexportované do nového protokolu. Toto je najdôležitejší krok v celej procedúre: otvorte nový protokol a zmeňte atribút – na + pre všetky objekty, ktoré chcete odstrániť. Prosím, uistite sa, že neoznačíte žiadne objekty, ktoré sú potrebné pre správne fungovanie systému. Otvorte ESET SysInspector, kliknite na Súbor > Spusti servisný skript a vložte cestu k vášmu skriptu. Kliknite na OK pre spustenie skriptu.
3.10.6.4.1 Generovanie servisného skriptu Pre vygenerovanie skriptu, kliknite pravým tlačidlom myši na ľubovoľnú položku v stromovej štruktúre (v ľavej časti) v hlavnom okne programu ESET SysInspector. Z kontextového menu vyberte buď voľbu Ulož všetky sekcie do servisného skriptu alebo Ulož vybrané sekcie do servisného skriptu. Poznámka: Nie je možné vyexportovať servisný skript, keď sa porovnávajú dva protokoly.
3.10.6.4.2 Štruktúra servisného skriptu V prvom riadku hlavičky skriptu sa nachádzajú informácie o verzii enginu (ev), verzii grafického rozhrania (gv) a verzii protokolu (lv). Tieto dáta môžete použiť pri hľadaní možných zmien v .xml súbore, ktorý generuje skript a zamedziť všetkým nezrovnalostiam počas vykonania skriptu. Táto časť skriptu by nemala byť modifikovaná. Zvyšok súboru je rozdelený do sekcií, v ktorých sa môžu jednotlivé položky modifikovať (označiť tie, ktoré budú spracované skriptom). Položky označíte na spracovanie tak, že zameníte znak “-” pred položkou za znak “+”. Jednotlivé sekcie v skripte sú oddelené prázdnym riadkom. Každá sekcia ma číslo a nadpis. 01) Running processes Táto sekcia obsahuje zoznam všetkých bežiacich procesov v systéme. Každý proces je identifikovaný svojou UNC cestou a následne aj kontrolným súčtom CRC16 medzi hviezdičkami (*). Príklad: 01) Running processes: - \SystemRoot\System32\smss.exe *4725* - C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...]
V tomto príklade bol vybraný proces module32.exe (označený znakom “+”); proces bude ukončený pri spustení skriptu. 132
02) Loaded modules Táto sekcia obsahuje zoznam aktuálne použitých systémových modulov. Príklad: 02) Loaded modules: - c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...]
V tomto príklade bol modul khbekhb.dll bol označený znakom “+”. Keď sa skript spustí, rozpozná procesy, ktoré používajú tento špecifický modul a ukončí ich. 03) TCP connections Táto sekcia obsahuje informácie o existujúcich TCP spojeniach. Príklad: 03) TCP connections: - Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe - Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006, - Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System [...]
Keď sa skript spustí, nájde vlastníka socketu v označených TCP spojeniach a zastaví tento socket, čím uvoľní systémové prostriedky. 04) UDP endpoints Táto sekcia obsahuje informácie o existujúcich koncových bodoch UDP. Príklad: 04) UDP endpoints: - 0.0.0.0, port 123 (ntp) + 0.0.0.0, port 3702 - 0.0.0.0, port 4500 (ipsec-msft) - 0.0.0.0, port 500 (isakmp) [...]
Keď sa skript spustí, izoluje vlastníka socketu v označených koncových bodoch UDP a zastaví tento socket. 05) DNS server entries Táto sekcia obsahuje informácie o súčasnej konfigurácií DNS serverov. Príklad: 05) DNS server entries: + 204.74.105.85 - 172.16.152.2 [...]
Označené záznamy DNS budú odstránené, keď spustíte skript. 06) Important registry entries Táto sekcia obsahuje informácie o dôležitých záznamoch v registri Windows.
133
Príklad: 06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = http://thatcrack.com/ [...]
Označené hodnoty budú zmazané, redukované na 0 bytové hodnoty, alebo vynulované do základných hodnôt po spustení skriptu. Akcia, ktorá sa vykoná po spustení skriptu, závisí od kategórie danej položky a kľúčovej hodnoty v špecifickej vetve v registri. 07) Services Táto sekcia obsahuje zoznam služieb, ktoré sú zaregistrované v systéme. Príklad:
07) Services: - Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Aut - Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: - Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: M [...]
Služby, ktoré sú označené a tiež služby, ktoré sú na nich závislé, budú po spustení skriptu zastavené a odinštalované. 08) Drivers Táto sekcia obsahuje zoznam nainštalovaných ovládačov. Príklad:
08) Drivers: - Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot - Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adi [...]
Keď spustíte skript, zvolené ovládače budú pozastavené. Všimnite si, že niektoré ovládače nie je možné pozastaviť. 09) Critical files Táto sekcia obsahuje informácie o súboroch, ktoré sú kritické pre správne fungovanie operačného systému. Príklad: 09) Critical files: * File: win.ini - [fonts] - [extensions] - [files] - MAPI=1 [...] * File: system.ini - [386Enh] - woafont=dosapp.fon - EGA80WOA.FON=EGA80WOA.FON [...] * File: hosts - 127.0.0.1 localhost - ::1 localhost [...]
Zvolené položky budú buď odstránené, alebo vynulované do ich pôvodných hodnôt.
134
3.10.6.4.3 Spúšťanie servisných skriptov Označte všetky požadované položky, potom skript uložte a zavrite. Spustite pozmenený skript priamo z hlavného okna programu SysInspector zvolením možnosti Spusti servisný skript z menu Súbor. Keď otvoríte skript, program vám zobrazí nasledovnú hlášku: Ste si istý vykonaním servisného skriptu “%Scriptname%”? Po tom, čo potvrdíte váš výber, môže sa objaviť ďalšie upozornenie, ktoré vás informuje, že servisný skript, ktorý sa pokúšate spustiť, nebol podpísaný. Kliknite na Run pre spustenie skriptu. Dialógové okno potvrdí úspešné vykonanie skriptu. Ak mohol byť skript spracovaný iba z časti, objaví sa dialógové okno s nasledovnou správou: Servisný skript bol len čiastočne vykonaný bez chyby. Želáte si zobraziť chybové hlásenia? Zvoľte Áno pre zobrazenie komplexného chybového protokolu, v ktorom bude zoznam operácií, ktoré sa nevykonali. Ak nebol skript rozpoznaný, objaví sa dialógové okno s nasledovnou správou: Vybraný servisný skript nie je podpísaný. Spustenie nepodpísaného či neznámeho skriptu môže vážne ohroziť stabilitu operačného systému a vykonávate ho na svoje vlastné riziko. Ste si istý vykonaním operácie? Toto môže byť spôsobené nezrovnalosťami v skripte (poškodená hlavička, poškodený nadpis sekcie, chýbajúci prázdny riadok medzi dvomi sekciami, atď.). Môžete buď opätovne otvoriť servisný skript a napraviť chyby v ňom, alebo vytvoriť nový servisný skript.
3.10.6.5 Často kladené otázky Potrebuje ESET SysInspector práva Administrátora, aby fungoval korektne ? Zatiaľ čo ESET SysInspector nepotrebuje práva Administrátora, aby sa spustil, niektoré informácie, ktoré zbiera, sú prístupné iba administrátorskému účtu. Spustenie programu ako Standard User alebo Restricted User bude mať za následok, že zozbiera menej informácií o operačnom prostredí. Vytvorí ESET SysInspector súbor s protokolom ? ESET SysInspector dokáže vytvoriť súbor s protokolom o konfigurácií vášho počítača. Pre uloženie súboru, zvoľte Súbor > Ulož protokol z hlavného menu. Protokoly sú uložené v XML formáte. Štandardne sa súbory ukladajú do adresára %USERPROFILE%\My Documents\ s názvom súboru podľa konvencie "SysInpsector-%COMPUTERNAME%YYMMDD-HHMM.XML". Umiestnenie a názov protokolu môžete zmeniť pred uložením, ak si to želáte. Ako si prezriem ESET SysInspector protokol ? Pre zobrazenie protokolu, ktorý vytvoril ESET SysInspector, spustite program a zvoľte Súbor > Načítaj protokol z hlavného menu. Tiež môžete pretiahnuť súbor s protokolom priamo na ESET SysInspector aplikáciu. Ak si potrebujete často prezerať protokoly programu ESET SysInspector, odporúčame urobiť zástupcu súboru SYSINSPECTOR.EXE na vašu Plochu; potom môžete súbory s protokolmi priamo presúvať na uvedeného zástupcu pre prehliadanie. Z bezpečnostných dôvodov nemusí Windows Vista/7 povoliť preťahovanie súboru medzi oknami, ktoré majú rozdielne bezpečnostné práva. Je k dispozícií špecifikácia formátu súboru s protokolom? Čo SDK ? V súčasnosti nie je k dispozícií ani špecifikácia, ani SDK, keďže program je ešte stále vo vývoji. Po tom, čo bude program uvoľnený, môžeme tieto veci poskytnúť vzhľadom na spätnú odozvu užívateľov a ich požiadaviek. Ako ESET SysInspector vyhodnotí riziko, ktoré predstavuje konkrétny objekt ? Väčšinou ESET SysInspector priradí úroveň rizika objektom (súbory, procesy, kľúče v registri, atď.) použitím série heuristických pravidiel, ktoré skontrolujú charakteristiku každého objektu, a potom zváži potenciál pre škodlivú činnosť. Na základe týchto heuristík sa objektom priradí úroveň rizika od 1 - V poriadku (zelená) do 9 - Nebezpečné (červená). V ľavom navigačnom okne sú jednotlivé sekcie zafarbené farbou podľa objektu s najvyššou úrovňou rizika, ktorý sa v nich nachádza. Znamená úroveň rizika "6 - Neznáme (červená)", že je objekt nebezpečný ? Odhad programu ESET SysInspector nezaručuje, že je objekt škodlivý – toto rozhodnutie by mal urobiť bezpečnostný expert. Na čo je ESET SysInspector navrhnutý, je poskytnutie rýchleho odhadu bezpečnostnému expertovi, takže ten vie, na ktoré objekty v systéme sa má zamerať pre podrobnejšie preskúmanie neobvyklého chovania. 135
Prečo sa ESET SysInspector pripája na internet pri spustení ? Ako mnohé iné aplikácie, aj ESET SysInspector je podpísaný digitálnym certifikátom, aby bolo možné zaručiť, že software bol vydaný spoločnosťou ESET a nebol modifikovaný. Aby sa mohol overiť daný certifikát, operačný systém kontaktuje certifikačnú autoritu pre overenie identity vydavateľa softwaru. Toto je normálne správanie pre všetky digitálne podpísané programy pod operačným systémom Microsoft Windows. Čo je technológia Anti-Stealth ? Technológia Anti-Stealth poskytuje efektívnu detekciu rootkitov. Ak je systém napadnutý škodlivým kódom, ktorý sa správa ako rootkit, užívateľ je vystavený riziku poškodenia, straty alebo ukradnutia dát. Bez špeciálnych anti-rootkitovských nástrojov je takmer nemožné detegovať rootkity. Prečo sú niekedy súbory označené ako "Podpísal Microsoft" a zároveň majú iné "Meno spoločnosti" ? Pri pokuse identifikovať digitálny podpis spustiteľného súboru, SysInspector najskôr hľadá digitálny podpis vložený v súbore. Ak ho nájde, pre validáciu sa použije táto identifikácia. Na druhej strane, ak súbor neobsahuje digitálny podpis, ESI začne hľadať príslušný CAT súbor (Security Catalog - %systemroot%\system32\catroot), ktorý obsahuje informácie o spracovávanom spustiteľnom súbore. V prípade, že sa nájde patričný CAT súbor, digitálny podpis toho CAT súboru sa použije pri overovacom procese spustiteľného súboru. Toto je dôvod, prečo sú niekedy súbory označené ako "Podpísal Microsoft", ale majú iné "Meno spoločnosti".
3.10.6.6 ESET SysInspector ako súčasť ESET Endpoint Security ESET SysInspector je možné otvoriť priamo z produktu ESET Endpoint Security po kliknutí na Nástroje > ESET SysInspector. Systém spravovania v okne ESET SysInspectorje podobný s protokolmi kontroly počítača alebo s oknom plánovaných úloh. Všetky operácie so systémovými výpismi – ako pridať, zobraziť, porovnať, odstrániť a exportovať – sú prístupné pomocou jedného alebo dvoch kliknutí. Okno ESET SysInspector obsahuje základné informácie o vytvorených výpisoch ako napríklad čas vytvorenia, popis, meno používateľa, ktorý vytvoril výpis a stav výpisu. Pre porovnanie, vytvorenie alebo odstránenie výpisov použite príslušné tlačidlá, ktoré sa nachádzajú v okne ESET SysInspector pod zoznamom výpisov. Tieto možnosti sú k dispozícii tiež aj z kontextového menu. Pre zobrazenie konkrétneho systémového výpisu použite možnosť Zobraziť. Pre odzálohovanie konkrétneho výpisu do súboru kliknite pravým tlačidlom myši na konkrétny výpis a zvoľte možnosť Exportovať.... Nasleduje podrobný opis dostupných možností: Porovnať – Umožňuje porovnanie dvoch existujúcich záznamov. Je vhodný, ak chcete sledovať zmeny medzi aktuálnym záznamom a starším. Musíte zvoliť dva záznamy, ktoré majú byť porovnávané. Pridať... – Vytvorí nový záznam. Pred tým musíte zadať krátky komentár k záznamu. Stav vytvárania výpisu (ktorý sa práve generuje) v percentách nájdete v stĺpci Stav. Všetky dokončené snímky sú označené stavom Vytvorený. Odstrániť – Odstráni záznamy zo zoznamu. Exportovať... – Uloží označený záznam do XML súboru (alebo do jeho zo-zipovanej verzie).
3.11 Slovník pojmov 3.11.1 Typy infiltrácií Infiltrácia je typ škodlivého softvéru, ktorý sa pokúša dostať do počítača a spôsobiť v ňom škody.
136
3.11.1.1 Vírusy Tento druh infiltrácií napáda zvyčajne už existujúce súbory na disku. Označenie dostal podľa biologického vírusu, pretože sa podobným spôsobom šíri z počítača na počítač. Slovo vírus sa často nesprávne používa pre pomenovanie všetkých typov bezpečnostných hrozieb. V súčasnosti sa začína používať presnejšie pomenovanie - malware (skratka malicious software) alebo škodlivý softvér. Počítačové vírusy napádajú najčastejšie spustiteľné súbory a dokumenty. Priebeh aktivácie počítačového vírusu je teda zhruba nasledovný: po spustení napadnutého súboru dôjde najprv k spusteniu pripojeného vírusu. Ten vykoná akciu, ktorú má v sebe naprogramovanú a až nakoniec sa k slovu dostane pôvodná aplikácia. Vírus môže nakaziť všetky súbory, ku ktorým má používateľ zapisovacie práva. Samotná činnosť aktivovaného vírusu môže mať mnoho podôb. Niektoré vírusy sú krajne nebezpečné, pretože dokážu cielene zmazať súbory z disku. Ostatné len majú zdôrazniť zručnosť svojich tvorcov a skôr iba používateľa obťažujú, ako by mali spôsobiť reálnu škodu. Ak je váš počítač nakazený vírusom a čistenie nepomohlo, pošlite vzorku na analýzu do ESET Virus Labu. V prípade infekcie vírusom môžu byť súbory natoľko modifikované, že nie je možné ich vyliečenie a musia byť nahradené ich zálohovanou kópiou.
3.11.1.2 Červy Počítačový červ je program so škodlivým kódom, ktorý napáda hostiteľské počítače a cez sieť sa šíri ďalej. Základný rozdiel medzi vírusom a červom je ten, že červ sa dokáže šíriť sám a nie je závislý na hostiteľskom súbore (alebo boot sektore). Červ využíva na šírenie hlavne elektronickú poštu, bezpečnostné diery v sieťových aplikáciach. Preto majú omnoho dlhšiu životnosť ako vírusy. Vďaka rozšírenosti Internetu sa dokáže dostať do celého sveta v priebehu niekoľkých hodín od vydania, niekedy dokonca v priebehu niekoľkých minút. Schopnosť samostatne a rýchlo sa replikovať ich robí nebezpečnejšími ako ostatné typy malvéru. Červ aktivovaný v systéme dokáže spôsobiť celý rad nepríjemností: môže mazať súbory, značne spomaluje činnosti PC, deaktivuje niektoré programy. Svojou povahou je ideálny na „pomoc“ pri distribúcii iných druhov infiltrácií. V prípade infekcie červom sa odporúča škodlivý súbor zmazať, pretože obsahuje len škodlivý kód.
3.11.1.3 Trojské kone Počítačové trójske kone sú typom infiltrácií, ktoré sa snažili zamaskovať sa za užitočné programy, a tak si zabezpečiť svoje spustenie. Trójsky kôň je v súčasnosti všeobecný pojem, ide o pomerne širokú kategóriu aplikácií, z ktorých najznámejšie sú: Downloader – Škodlivý kód, ktorého úlohou je z Internetu sťahovať do systému ďalšie infiltrácie. Dropper – Škodlivý kód, tzv. nosič. Prenáša v sebe ukrytý ďalší škodlivý software (napr. vírusy) a sťažuje tým ich detekciu pomocou antivírových programov. Backdoor – Škodlivý kód, tzv. zadné vrátka. Je to program komunikujúci so vzdialeným útočníkom, ktorý tak môže získať prístup a kontrolu nad napadnutým systémom. Keylogger – (keystroke logger) – Sleduje, aké klávesy používateľ stláča a informácie zasiela vzdialenému útočníkovi. Dialer – Pripája sa na zahraničné čísla, ktoré sú spoplatnené vysokými čiastkami. Používateľ si prakticky nemá šancu všimnúť odpojenie od miestneho poskytovala pripojenia a vytvorenie nového pripojenia do zahraničia. Reálnu škodu môžu spôsobiť iba používateľom so starším vytáčaným pripojením (tzv. dial-up). Súbor trójskeho koňa neobsahuje v zásade nič iné okrem samotného škodlivého kódu, preto odporúčanou akciou v prípade infekcie je zmazanie.
137
3.11.1.4 Rootkity Rootkit je kategóriou škodlivého software, ktorý zabezpečí útočníkovi prienik do systému, pričom utají svoju prítomnosť. Ide o program, ktorý po preniknutí do systému (zvyčajne využitím bezpečnostnej diery) po sebe zahladí všetky stopy – prítomnosť súborov, spustené procesy, zápisy v registroch Windows, atď. Tým pádom je v podstate neodhaliteľný bežnou kontrolou. Pri prevencii je potrebné vziať na vedomie fakt, že s rootkitom je možné prísť do kontaktu na dvoch úrovniach: 1. V momente, keď sa snaží preniknúť do systému. V tomto prípade sa ešte nenachádza v systéme, čiže je to ešte len potenciálny rootkit. Antivírový systém si s ním poradí (za predpokladu, že rozpozná, že ide o infiltráciu). 2. Keď je už zavedený v systéme a nedetegovateľný štandardným spôsobom kontroly. Používatelia ESET Endpoint Security majú výhodu v tom, že tento program používa technológiu Antistealth a dokáže aj aktívne rootkity odhaliť a eliminovať
3.11.1.5 Adware Adware je skratka od „advertising-supported software“. Do tejto kategórie patria programy, ktorých úlohou je zobrazovať reklamu. Adware zvyčajne sám otvorí nové okno (tzv. pop-up okno) s reklamou v internetovom prehliadači, alebo zmení nastavenie východzej domovskej stránky. Používajú ho často výrobcovia voľne šíriteľných (bezplatných) programov, aby si finančne zabezpečili ďalší vývoj svojej vlastnej, mnohokrát užitočnej aplikácie. Samotný adware sám o sebe nebýva škodlivý, len používateľa obťažuje. Nebezpečie spočíva v tom, že môže vykonávať sledovanie (ako spyware). Ak sa používateľ rozhodne pre voľne šíriteľný software, odporúča sa venovať procesu inštalácie zvýšenú pozornosť. Inštalátor totiž zvyčajne upozorňuje, že sa popri zvolenom programe nainštaluje aj adware. V mnohých prípadoch môže používateľ zakázať jeho inštaláciu. Na druhej strane niektoré programy sa bez prídavného adware odmietnu nainštalovať, prípadne budú mať obmedzenú funkčnosť. Z toho vyplýva, že adware sa môže dostať do systému „legálnou“ cestou, pretože používateľ s tým súhlasí. Pozornosť je teda namieste. Ak sa nájde na vašom počítači súbor, ktorý je detegovaný ako adware, odporúčanou akciou je zmazanie kedže je veľká pravdepodobnosť, že súbor obsahuje nebezpečný kód.
3.11.1.6 Spyware Kategória spyware zahŕňa programy, ktoré bez vedomia používateľa odosielajú informácie. Predmetom odosielania sú rôzne štatistické informácie, ako napríklad zoznam navštevovaných internetových stránok, zoznam e-mailových adries v adresári, alebo klávesy stlačené používateľom. Tvorcovia takýchto programov argumentujú, že ide len o snahu zistiť potreby alebo záujmy používateľa a zásobovať ho cielenou reklamou. Hranica zneužiteľnosti je však v tomto prípade veľmi nejasná a nemožno zaručiť, že získané informácie nebudú v budúcnosti zneužité. Údaje získané metódami spyware totiž môžu obsahovať aj rôzne bezpečnostné kódy, čísla bankových účtov, atď. Spyware sa šíri spoločne s niektorými voľne šíriteľnými programami. Autori o tejto skutočnosti vedia a často o tom informujú používateľov počas inštalácie. Ide tým pádom do veľkej miery aj o etický problém. Príkladom voľne šíriteľného software obsahujúceho spyware sú hlavne klientske aplikácie P2P (peer-to-peer) sietí – Kazaa, BearShare. Zvláštnou podkategóriou sú programy vydávajúce sa za antispyware, pričom samé spyware obsahujú – napr. Spyfalcon, Spy Sheriff. Infikovaný súbor neobsahuje v zásade nič iné okrem samotného škodlivého kódu, preto odporúčanou akciou v prípade infekcie je zmazanie.
138
3.11.1.7 Packery Packer je spustiteľný samorozbaľovací súbor, ktorý v sebe obsahuje niekoľko druhov malware v jednom balíku. Najznámejšie packery sú napr. UPX, PE_Compact, PKLite a ASPack. Jeden malware môže byť detegovaný viacerými spôsobmi, pretože môže byť komprimovaný vždy pomocou iného packera. Packery majú vlastnosť mutácie vlastných "vzoriek", preto je malware ťažšie detegovať a odstrániť.
3.11.1.8 Potenciálne zneužiteľné aplikácie Existuje množstvo programov, ktoré v bežných podmienkach slúžia používateľom k uľahčeniu činnosti, administrácii počítačových sietí a pod. V nesprávnych rukách môže dôjsť k ich zneužitiu na nekalé účely. ESET Endpoint Security ponúka možnosť na zachytenie týchto hrozieb. Potenciálne zneužiteľné aplikácie je klasifikácia používaná pre komerčný a legitímni softvér. Zahŕňajú nástroje pre zobrazenie vzdialenej pracovnej plochy, dešifrovanie kódov a hesiel, ukončovanie bežiacich procesov a pod. V prípade, že používateľ zistí prítomnosť potenciálne zneužiteľnej aplikácie, ktorá sa nachádza v systéme bez jeho vedomia resp. bez vedomia administrátora siete, danú aplikáciu odporúčame odstrániť.
3.11.1.9 Potenciálne nechcené aplikácie Potenciálne nechcená aplikácia je program, ktorý obsahuje adware, inštaluje panely nástrojov a sleduje ďalšie nejasné ciele. Vyskytujú sa situácie, kedy sa používateľ rozhodne, že výhody, ktoré mu potenciálne nechcená aplikácia poskytuje, prevyšujú riziko spojené s jej používaním. Preto ich ESET radí do kategórie s nižším rizikom, ako iné typy škodlivého softvéru, napr. trojany alebo červy. Upozornenie - Našla sa potenciálna hrozba Ak sa nájde potenciálne nechcená aplikácia, budete môcť zvoliť, ako sa program zachová: 1. Vyliečiť/Odpojiť: Táto možnosť ukončí akciu a zabráni potenciálnej hrozbe napadnúť váš systém. 2. Žiadna akcia: Táto voľba umožní potenciálnej hrozbe napadnúť váš systém. 3. Ak si želáte natrvalo povoliť spustenie tejto aplikácie na vašom počítači bez ďalších varovaní, kliknite na Viac informácií/Zobraziť nastavenia a označte možnosť Vylúčiť z detekcie.
Ak je zistená potenciálne nechcená aplikácia a nie je možné ju vyliečiť, v pravom dolnom rohu obrazovku sa zobrazí okno Adresa bola zablokovaná. Pre viac informácií o tejto udalosti prejdite v hlavnom programovom menu na Nástroje > Protokoly > Filtrované stránky.
139
Potenciálne nechcené aplikácie - Nastavenia Počas inštalácie vášho ESET produktu môžete rozhodnúť, či si želáte povoliť detekciu potenciálne nechcených aplikácií, ako je zobrazené nižšie:
Potenciálne nechcené aplikácie môžu so sebou niesť riziko inštalácie adware (reklamný softvér), panelov nástrojov a iných nechcených súčastí programu. Toto nastavenie môžete kedykoľvek zmeniť v nastaveniach programu. Pre povolenie alebo zakázanie detekcie Potenciálne nechcených, zneužiteľných alebo podozrivých aplikácií, postupujte podľa týchto krokov: 1. Otvorte hlavné okno vášho ESET produktu. Ako môžem otvoriť hlavné okno programu ESET? 2. Stlačte klávesu F5 pre otvorenie okna Rozšírené nastavenia. 3. Rozbaľte položku Antivírus a povoľte možnosti Zapnúť detekciu potenciálne nechcených aplikácií, Zapnúť detekciu potenciálne nebezpečných aplikácií a Zapnúť detekciu podozrivých aplikácií podľa vašich potrieb. Kliknite na OK pre uloženie nastavení.
140
Potenciálne nechcené aplikácie - Software wrappers Softvérový "wrapper" (z angl. baliť, obalovať) je softvér vyvinutý za špeciálnym účelom a tým je zmena aplikácií, ktorý využívajú napríklad niektoré internetové stránky ponúkajúce rozličné súbory na stiahnutie. Wrapper je aplikácia tretej strany, ktorá vám nainštaluje program, ktorý si chcete stiahnuť, ale súbežne s ním nainštaluje aj ďalší softvér, ako napríklad nástrojové lišty do internetového prehliadača, alebo adware. Prídavný softvér môže zmeniť nastavenia domácej stránky, či nastavenia vyhľadávania vo vašom prehliadači. Mnohé internetové stránky poskytujúce služby ukladania/sťahovania súborov (file hosting) často neupozornia predajcov softvéru, ani používateľov na zmenu v sťahovaných súboroch a neuľahčujú možné vynechanie už spomínaných potenciálne nechcených sprievodných dodatkov pri inštalácii. Z týchto dôvodov ESET klasifikuje softvérové "wrappery" ako jeden z typov potenciálne nechcených aplikácií, aby tak mali používatelia možnosť výberu, či chcú sťahovaný súbor prijať, alebo sťahovanie odmietnuť. Aktuálnu verziu tejto stránky nájdete v nasledujúcom článku databázy znalostí ESET.
3.11.1.10 Botnet Bot alebo webový robot je malvér, ktorý kontroluje sieťové adresy a infikuje ohrozené počítače. Bot umožňuje hakerom prevziať kontrolu nad viacerými počítačmi v tom istom čase a zmeniť ich na botov (tiež známych ako zombie). Hakeri väčšinou používajú botov na infikovanie väčšieho množstva počítačov, ktoré vytvoria sieť alebo tiež botnet. Akonáhle je váš počítač v sieti botnet, môže byť použitý na šírenie DoS útokov, proxy a tiež môže byť použitý na vykonávanie úloh cez Internet, bez toho aby ste o tom vedeli (napríklad posielanie nevyžiadanej pošty, vírusov alebo na ukradnutie osobných a súkromných údajov ako sú prihlasovacie údaje do internet bankingu alebo číslo kreditnej karty).
141
3.11.2 Typy útokov Existujú rôzne techniky umožňujúce útočníkom napadnúť vzdialené počítačové systémy. Podľa svojej povahy sa útoky delia na niekoľko skupín.
3.11.2.1 Útoky počítačových červov Počítačový červ je program so škodlivým kódom, ktorý napáda hostiteľské počítače a cez sieť sa šíri ďalej. Tzv. sieťové červy zneužívajú rôzne bezpečnostné chyby v aplikáciach. Vďaka rozšírenosti Internetu sa dokáže dostať do celého sveta v priebehu niekoľkých hodín od vydania, niekedy dokonca v priebehu niekoľkých minút. Útokom červov sa dá vyhnúť správnym nastavením firewallu. Pri pripojení do verejnej siete je dôležité vždy zvoliť nastavenie Verejná sieť, ďalej je pri ochrane pred červami veľmi dôležité pravidelne aktualizovať systém a aplikácie na najnovšie verzie.
3.11.2.2 DoS útoky DoS, čiže Denial of Service, je pokus útočníka zamedziť užívateľom prístup k službám počítača alebo k sieti. Komunikácia medzi používateľmi je natoľko preťažená, že nemôže adekvátne prebiehať. Napadnutý používateľ je nútený reštartovať PC aby mohol poskytovať plnohodnotné služby. Cieľom sa stávajú najčastejšie web servery a účelom útoku je vyradiť ich z činnosti.
3.11.2.3 Port scanning útok Port scanning (skenovanie portov) je činnosť, ktorou sa systematicky overuje prístupnosť počítačových portov. Port scanner je špeciálny software, ktorý dokáže zistiť v sieti prípadné otvorené porty. Počítačový port je miesto, ktorým prechádzajú informácie z/do počítača, takže ide z hľadiska bezpečnosti o kritickú záležitosť. Vo veľkých sieťach má táto činnosť svoje legitímne opodstatnenie, pretože je to rýchly spôsob odhalenia prípadných bezpečnostných dier. Port scanning je najčastejšia technika používaná vzdialenými útočníkmi. Prvým krokom je zvyčajne zaslanie paketov na každý port. Na základe odpovede sa dá zistiť, či je port používaný. Samotná kontrola sama o sebe ešte nespôsobuje žiadne škody. Technika však umožňuje odhaliť slabo zabezpečený vstupný bod a získať tak nadvládu nad vzdialeným počítačom. Administrátor siete by mal teda automaticky zabezpečiť, aby nevyužívané porty nezostali otvorené a aby využívané boli čo najlepšie chránené.
3.11.2.4 DNS Poisoning DNS poisoning („otrávenie pomocou odpovede Domain Name Servera“) je metóda, ktorá dokáže oklamať DNS klienta na PC tým, že sú mu podsunuté klamné informácie, ktoré DNS klient považuje za autentické. Nepravdivé informácie si DNS klient na určité časové obdobie uchováva v pamäti cache, čím umožňuje útočníkovi manipulovať so záznamami DNS a IP adresami. Vytvorí tak u používateľa dojem, že navštevuje legitímnu internetovú stránku, no v skutočnosti mu môže byť podsunutý škodlivý obsah, napríklad počítačový vírus, alebo červ.
142
3.11.3 Elektronická pošta Elektronická pošta, čiže email prináša ako moderná forma komunikácie veľa výhod. Je flexibilná, rýchla a adresná. Bola vlastne hlavným dôvodom, prečo sa Internet v prvej polovici deväťdesiatych rokov rozšíril po celom svete. Vďaka vysokej miere anonymity vznikol priestor na zneužívanie Internetu a elektronickej pošty k nekalým účelom – šíreniu nevyžiadanej pošty. Nevyžiadaná pošta je pomerne širokou kategóriou zahŕňajúcou napríklad reklamy, fámy, šírenie škodlivého software (malware). Nebezpečenstvo umocňuje fakt, že náklady na rozposielanie sú v podstate nulové a tvorcovia majú k dispozícií veľa nástrojov a zdrojov na zistenie e-mailových adries. Množstvo nevyžiadanej pošty sa tým stáva ťažko regulovateľné a bežný používateľ elektronickej pošty je v podstate neustále vystavovaný nebezpečným útokom. Čím dlhšie je e-mailová schránka používaná, tým sa zvyšuje pravdepodobnosť, že sa dostane do databázy tvorcov nevyžiadanej pošty. Niekoľko tipov na prevenciu: Pokiaľ je to možné, nezverejňovať svoju adresu na Internete Poskytovať svoju adresu len dôveryhodným osobám Používať nie úplne bežné aliasy – zložitejšie sú ťažšie zistiteľné technikami používanými pri rozosielaní nevyžiadanej pošty Neodpovedať na nevyžiadanú poštu, ktorá sa do schránky už dostala Pozornosť pri prípadnom vyplňovaní formulárov na Internete – položky typu „chcem dostávať do svoje schránky informácie“ Používať viacero „špecializovaných“ e-mailových adries – napr. pracovný email, email pre komunikáciu s priateľmi, atď. Raz za čas zmeniť emailovú adresu Používať antispamové riešenie
3.11.3.1 Reklamy Reklama na Internete patrí medzi najrýchlejšie sa šíriace formy reklamy. Ponuky zasielané prostredníctvom emailu sú jednou z kategórií Internetovej reklamy. Ich hlavnou výhodou sú takmer nulové náklady, veľmi vysoká adresnosť, okamžité doručenie odkazu adresátovi a vysoká výnosnosť. Spoločnosti sa snažia týmto spôsobom udržiavať kontakt so svojimi súčasnými klientmi, prípadne získať si nových. Reklama zasielaná e-mailom je sama o sebe legitímna. Používateľ môže mať záujem získavať reklamné informácie z určitej oblasti. Často si však nepraje, aby mu bola reklama zasielaná, no napriek tomu sa tak deje. V takomto prípade sa reklamný email stáva zároveň nevyžiadanou poštou – spamom. V súčasnej dobe sa množstvo nevyžiadaných reklamných e-mailov stalo veľkým problémom. Tvorcovia nevyžiadanej pošty sa prirodzene snažia vytvoriť dojem legitímnosti; na druhej strane legitímna reklama zasielaná vo veľkých objemoch vyvoláva u používateľov negatívnu reakciu.
3.11.3.2 Fámy Fáma (z anglického „hoax“) je Internetom masovo šírená správa. Najčastejším médiom je elektronická pošta, prípadne komunikačné nástroje typu ICQ a Skype. Ide buď o falošnú poplašnú správu, žart, alebo mystifikáciu – správa sama o sebe sa jednoducho nezakladá na pravde. Niektoré poplašné správy útočia na city používateľov. Autori sa snažia zabezpečiť si čo najväčšie rozšírenie správy výzvami na ďalšie preposlanie pod rôznymi zámienkami. Niektoré fámy požadujú od používateľa preposlanie správy ďalej a čo najviac ľuďom, tak aby sa čo najviac rozšírili. Časté sú fámy o mobilných telefónoch, prosby o pomoc, ponuky na veľké sumy peňazí zo zahraničia. Vo väčšine prípadov je ťažké zistiť pôvodný zámer autora. V zásade platí pravidlo, že ak správa obsahuje výzvu na ďalšie hromadné rozposlanie, je to s najväčšou pravdepodobnosťou fáma. Na Internete existuje niekoľko špecializovaných stránok, na ktorých je možné nájsť najznámejšie fámy (hoaxy). Pred posielaním správy ďalej, sa môžte prostredníctvom internetového vyhľadávania uistiť či sa nejedná o fámu.
143
3.11.3.3 Phishing Pojmom phishing sa definuje kriminálna činnosť využívajúca tzv. sociálne inžinierstvo (manipulačné techniky na získanie dôverných informácií). Cieľom je získať citlivé údaje, ako napríklad heslá k bankovým účtom, PIN kódy a iné detaily. Phishingom označujeme falošný email, tváriaci sa dôveryhodne, ktorý sa snaží vzbudiť dojem, že jeho odosielateľom je inštitúcia – banka, poisťovňa. Grafický výzor správy, alebo stránka, na ktorú správa odkazuje, je na prvý pohľad nerozpoznateľný od originálov používaných existujúcimi inštitúciami. Pod rôznymi zámienkami, napríklad overením si prístupových údajov, zaslania sumy peňazí na účet, atď. sú od používateľov získavané dôverné informácie. Tie môžu byť neskôr zneužité v neprospech poškodeného. Banky, poisťovne ani iné inštitúcie od vás nikdy nebudú požadovať zaslanie prihlasovacieho mena alebo hesla prostredníctvom mailu.
3.11.3.4 Rozpoznávanie spamových podvodov Existuje niekoľko znakov, podľa ktorích sa dá rozpoznať, či je emailová správa vo vašej schránke nevyžiadanou poštou. Ak daná správa spĺňa niektorú z nasledovných podmienok, ide pravdepodobne o nevyžiadanú poštu – spam. Adresa odosielateľa nepatrí do vášho zoznamu kontaktov. Dostanete výhodnú finančnú ponuku, no žiada sa od vás vstupný poplatok. Pod rôznymi zámienkami, napríklad overením si prístupových údajov, zaslania sumy peňazí na účet, atď. sú od vás požadované citlivé prístupové údaje (napr. číslo bankového účtu, heslo do Internetového bankovníctva). Správa je napísaná v cudzom jazyku. Správa ponúka produkt, o ktorý sa nezaujímate. Ak máte predsa len o produkt záujem, je vhodné si overiť priamo u výrobcu, či odosielateľ správy patrí medzi dôveryhodných distribútorov. Správa obsahuje skomolené slová, aby sa oklamali filtre pre nevyžiadanú poštu. Napríklad namiesto „viagra“ bude „vaigra“ a podobne.
3.11.3.4.1 Pravidlá Pravidlá v prostredí antispamového programu, prípadne poštového klienta, sú nástroje pre prácu s e-mailovou poštou. Pravidlo sa skladá z dvoch logických častí: 1. Podmienka (napr. príchod správy z určitej adresy) 2. Akcia (napr. zmazanie správy, alebo presunutie do vopred určenej zložky) Množstvo a kombinácie pravidiel závisí od konkrétneho programu. Pravidlá môžu slúžiť aj ako opatrenia proti nevyžiadanej pošte. Typické príklady: 1. Podmienka: Prijatá správa obsahuje slovo typické pre nevyžiadanú poštu. 2. Akcia: Zmaž správu. 1. Podmienka: Prijatá správa obsahuje ako prílohu súbor s príponou .exe. 2. Akcia: Zmaž prílohu a správu ulož do schránky. 1. Podmienka: Prijatá správa prišla z domény vášho zamestnávateľa. 2. Akcia: Presuň správu do adresára „Pracovné“. Používanie rôznych pravidiel je bežnou súčasťou práce s antispamovým programom a pri vhodnom nastavení pomáha efektívne filtrovať nevyžiadanú poštu.
144
3.11.3.4.2 Whitelist Všeobecne je to zoznam dôveryhodných adries, súborov alebo ľudí. Pojmom emailový whitelist sa označuje zoznam kontaktov, ktoré majú povolenie doručovať správy do používateľovej schránky. Zoznamy možno vytvárať na základe kľúčových slov, ktoré sú potom vyhľadávané v emailových adresách, názvoch domén, alebo v IP adresách. Ak je whitelist nastavený do režimu exkluzivity, správy z iných adries, domén, či IP adries sa do pošty nedostanú. Ak sa whitelist síce používa, nie však v režime exkluzivity, tak nevyžiadaná pošta sa zvyčajne presunie do schránky s nevyžiadanou poštou. Whitelist je založený na opačnom princípe ako Blacklist. Výhodou whitelistu je, že nie je natoľko náročný na udržiavanie ako blacklist. Obe metódy je možné vhodne skombinovať a dosiahnuť tak účinné filtrovanie nevyžiadanej pošty.
3.11.3.4.3 Blacklist Všeobecne je to zoznam blokovaných adries, súborov alebo ľudí. Vo virtuálnom svete predstavuje mechanizmus, ktorý povoľuje prijímanie elektronickej pošty od všetkých odosielateľov, ktorí sa na blackliste nenachádzajú. Blacklisty sa vyskytujú na dvoch úrovniach. Používateľ si sám vo svojom antispamovom programe môže definovať vlastný zoznam. Existuje však možnosť používať pravidelne aktualizované, profesionálne blacklisty od rôznych inštitúcií, ktorých sa na Internete nachádza veľké množstvo. Je však aj náročný na udržiavanie, pretože nové adresy, ktoré je potrebné pridať do zoznamu, sa zjavujú každý deň. Na docielenie efektívneho filtrovania nevyžiadanej pošty odporúčame použiť kombináciu whitelistu a blacklistu.
3.11.3.4.4 Zoznam výnimiek Používateľský zoznam výnimiek je zvyčajne zoznam adries, ktoré môžu byť zneužité na rozposielanie spamu. Správy prijaté z týchto adries budú vždy skontrolované. Štandardne obsahuje zoznam výnimiek všetky adresy z poštových schránok používateľa.
3.11.3.4.5 Kontrola na strane servera Kontrola na strane servera je technika identifikácie hromadného spamu založená na počte prijatých správ a odpovedí užívateľa. Každá správa zanecháva jedinečnú digitálnu "stopu" založenú na jej obsahu. Jedinečné identifikačné číslo nehovorí nič o obsahu správy. Dve zhodné správy majú rovnakú stopu a odlišné správy rozdielnu stopu. Stopa správ označených ako Spam je odoslaná na server. Ak server prijme viac zhodných stôp (zodpovedajúce spamovým správam), stopa bude uložená do databázy spamových stôp. Pri kontrole prijatých správ, program odosiela stopy na server. Sever vracia informácie, o tom, ktoré stopy resp. zodpovedajúce správy boli používateľmi označené za spam.
3.11.4 ESET Technológia 3.11.4.1 Exploit Blocker Exploit Blocker je navrhnutý na ochranu najčastejšie zneužívaných aplikácií, ako napríklad internetových prehliadačov, prehliadačov PDF dokumentov, poštových klientov a komponentov MS Office. Funguje na princípe monitorovania správania procesov podozrivých aktivít, ktoré môžu poukázať na exploit. Pridáva ďalšiu vrstvu ochrany, použitím odlišných techník na zistenie infiltrácii medzi súbormi. Ak exploit blocker identifikuje podozrivý proces, môže ho okamžite zastaviť a zaznamenať dáta o tejto hrozbe. Tieto dáta sú následne odoslané do ESET Live Grid cloud systému. Následne sú spracované ESET vírusovým laboratóriom a použité na lepšiu ochranu všetkých používateľov pred neznámymi hrozbami a tzv. zero-day útokmi (ide o práve vydaný malvér, pre ktorý zatiaľ nie sú vydané záplaty/opravy).
145
3.11.4.2 Pokročilá kontrola pamäte Pokročilá kontrola pamäte pracuje spolu s funkciou Exploit Blocker na zvýšení ochrany proti malvéru, ktorý bol navrhnutý tak aby obišiel detekciu bezpečnostných produktov jej oklamaním a/alebo šifrovaním. V prípade kde bežná emulácia ani heuristika neodhalia hrozbu, pokročilá kontrola pamäte identifikuje podozrivé správanie a deteguje hrozby, ktoré sa spustia v pamäti systému. Toto riešenie je efektívne proti ťažko odhaliteľnému malvéru. Na rozdiel od funkcie Exploit Blocker je metóda pracujúca až po spustení malvéru. Znamená to, že existuje riziko prebehnutia určitej škodlivej aktivity skôr, ako dôjde k odhaleniu hrozby. Avšak len v prípade, že ostatné detekčné techniky zlyhajú.
3.11.4.3 Štít zraniteľností Štít zraniteľností je rozšírenie personálneho firewallu, ktoré vylepšuje detekciu známych zraniteľností na úrovni siete. Použitím detekcií bežných zraniteľností v rozšírených protokoloch ako SMB, RPC a RDP vznikla ďalšia dôležitá vrstva ochrany proti malvéru, útokom zo siete a proti zneužívaniu zraniteľností, na ktoré zatiaľ nebola vydaná záplata.
3.11.4.4 ESET Live Grid Systém ESET Live Grid postavený na varovnom systéme ThreatSense.Net® využíva dáta, ktoré odosielajú používatelia produktov ESET z celého sveta do vírusových laboratórií spoločnosti ESET. Prijaté vzorky podozrivého softvéru a metaúdaje nám umožňujú pomocou ESET Live Grid okamžite reagovať na najnovšie hrozby. Z prijatých údajov pracovníci vírusových laboratórií spoločnosti ESET vytvoria čo najpresnejší obraz o pôvode a rozsahu hrozby, vďaka čomu sa dokážu zamerať na aktuálne hrozby. Dáta sú pre ESET Live Grid dôležité pri určovaní priorít pri automatickom spracovaní. Okrem toho implementuje systém reputácie, ktorý pomáha zlepšiť celkovú účinnosť našich anti-malvérových riešení. Ak je preverovaný archív alebo spustiteľný súbor, porovná sa hash tag súboru s databázou škodlivých súborov. Ak sa súbor nenachádza na zozname škodlivých súborov, bude označený za bezpečný a zároveň bude vyňatý z budúcich kontrol. Ak sa súbor nachádza na zozname škodlivých súborov, budú vykonané akcie zodpovedajúce typu danej hrozby. Ak nie je nájdený žiadny zhodný súbor, bude dôkladne skontrolovaný. Na základe výsledkov kontroly sú súbory zaradené do kategórií ako škodlivé a neškodné. Táto metóda ma značné pozitívne efekty na výkon kontrolovania súborov. Systém kontroly súborov podľa reputácie umožňuje odhaliť vzorky malvéru ešte predtým, ako sú zaradené do vírusovej databázy (niekoľkokrát za deň).
3.11.4.5 Ochrana proti botnetom Ochrana proti botnetom objavuje škodlivý softvér pomocou analýzy komunikačných sieťových protokolov. Botnet malvér sa často mení na rozdiel od sieťových protokolov, ktoré sa v posledných rokoch nezmenili. Táto nová technológia pomáha spoločnosti ESET poraziť malvér, ktorý sa snaží o to, aby nebol odhalený a snaží sa pripojiť váš počítač k sieti botnetov.
3.11.4.6 Java Exploit Blocker Java Exploit Blocker je rozšírením už existujúcej ochrany Exploit Blocker. Monitoruje technológiu Java a hľadá správanie podobné hrozbe. Blokované vzorky môžu byť poslané analytikom ESET vírusového laboratória, ktorí tak môžu vytvoriť podpisy pre blokovanie na rôznych vrstvách (URL blokovanie, sťahovanie súborov, atď.).
146
